Verwenden des verhaltensbasierten Blockierens
Die heutige Bedrohungslandschaft wird von dateiloser Schadsoftware mit „LotL“-Taktiken (Living off the Land) überlaufen. Schadsoftware mit hoch polymorphen Bedrohungen, die schneller mutieren, als herkömmliche Lösungen mithalten können, und von Menschen gesteuerte Angriffe, die sich an das anpassen, was Gegner auf kompromittierten Geräten vorfinden. Herkömmliche Sicherheitslösungen reichen nicht aus, um solche Angriffe zu stoppen. Sie benötigen von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) unterstützte Funktionen, wie z. B. Verhaltensblockierung und Eindämmung, die in Defender für Endpunkte enthalten sind.
Verhaltensbasierte Blockierungs- und Eindämmungsfunktionen können dazu beitragen, Bedrohungen basierend auf ihren Verhaltensweisen und Prozessstrukturen zu identifizieren und zu stoppen, auch wenn die Bedrohung bereits gestartet wurde. Der Schutz der nächsten Generation, EDR und Defender für Endpunkt-Komponenten und -Features arbeiten bei den Funktionen für verhaltensbasiertes Blockieren und Eindämmen Hand in Hand.
Funktionen für verhaltensbasiertes Blockieren und Eindämmen können für mehrere Komponenten und Features von Defender für Endpunkt verwendet werden, um Angriffe sofort zu beenden und deren Fortschreiten zu verhindern.
Der Schutz der nächsten Generation (einschließlich Microsoft Defender Antivirus) kann Bedrohungen erkennen, indem Verhaltensweisen analysiert und Bedrohungen beendet werden, die mit der Ausführung begonnen haben.
Endpunkterkennung und -reaktion (EDR) empfängt Sicherheitssignale von Ihrem Netzwerk, Geräten und Betriebssystem-Kernelverhalten. Beim Erkennen von Bedrohungen werden Warnungen erstellt. Mehrere Warnungen desselben Typs werden zu Incidents zusammengefasst, wodurch Ihr Sicherheitsteam die Bedrohung leichter untersuchen und darauf reagieren kann.
Defender für Endpunkt bietet eine breite Palette von Funktionen in den Bereichen Identitäten, E-Mail, Daten und Apps. Dazu zählen das Netzwerk, der Endpunkt und die Kernelverhaltenssignale, die über EDR empfangen werden. Eine Komponente von Microsoft Defender XDR, Defender für Endpunkt verarbeitet und korreliert diese Signale, löst Erkennungswarnungen aus und verbindet verwandte Warnungen in Vorfällen.
Mit diesen Funktionen können mehr Bedrohungen verhindert oder blockiert werden, selbst wenn sie bereits begonnen haben. Sobald verdächtiges Verhalten erkannt wird, wird die Bedrohung eingedämmt, Warnungen werden erstellt, und die Bedrohungen werden in ihrem Ablauf gestoppt.
Die folgende Abbildung zeigt ein Beispiel für eine Warnung, die durch Funktionen für verhaltensbasiertes Blockieren und Eindämmen ausgelöst wurde:
Clientseitiges verhaltensbasiertes Blockieren
Das Blockieren von Clientverhalten ist eine Komponente von Verhaltensblockierungs- und Eindämmungsfunktionen in Defender für Endpunkt. Da verdächtige Verhaltensweisen auf Geräten erkannt werden, die als Clients oder Endpunkte bezeichnet werden, werden Artefakte wie Dateien oder Anwendungen automatisch blockiert, überprüft und korrigiert.
Funktionsweise des clientseitigen verhaltensbasierten Blockierens
Microsoft Defender Antivirus kann verdächtiges Verhalten, bösartigen Code, dateilose und speicherlose Angriffe und vieles mehr auf einem Gerät erkennen. Wenn verdächtige Verhaltensweisen erkannt werden, überwacht und sendet Microsoft Defender Antivirus diese verdächtigen Verhalten und die zugehörigen Prozessstrukturen an Cloud Protection Service. Maschinelles Lernen unterscheidet zwischen böswilligen Anwendungen und guten Verhaltensweisen innerhalb von Millisekunden und klassifiziert jedes Artefakt. Sobald ein Artefakt als bösartig erkannt wird, wird es auf dem Gerät blockiert.
Wenn ein verdächtiges Verhalten erkannt wird, wird eine Warnung generiert und im Microsoft Defender-Portal angezeigt.
Clientverhaltensblockierung ist effektiv, da sie nicht nur hilft, einen Angriff zu verhindern, bevor er beginnt, sondern auch einen Angriff zu stoppen, der bereits ausgeführt wird. Mit der Blockierung von Feedbackschleifen (eine weitere Funktion der Verhaltensblockierung und -eindämmung) werden Angriffe auf anderen Geräten in Ihrer Organisation verhindert.
Verhaltensbasierte Erkennungsmethoden
Verhaltensbasierte Erkennungen werden gemäß der MITRE ATT&CK Matrix for Enterprise benannt. Die Benennungskonvention hilft dabei, die Angriffsphase zu identifizieren, in der böswilliges Verhalten beobachtet wurde:
| Taktik | Bedrohungsname für Erkennung |
|---|---|
| Erstzugriff | Behavior:Win32/InitialAccess.*!ml |
| Ausführung | Behavior:Win32/Execution.*!ml |
| Ausdauer | Behavior:Win32/Persistence.*!ml |
| Rechteausweitung | Behavior:Win32/PrivilegeEscalation.*!ml |
| Umgehen von Verteidigungsmaßnahmen | Behavior:Win32/DefenseEvasion.*!ml |
| Zugriff auf Anmeldeinformationen | Behavior:Win32/CredentialAccess.*!ml |
| Ermittlung | Behavior:Win32/Discovery.*!ml |
| Seitwärtsbewegung | Behavior:Win32/LateralMovement.*!ml |
| Sammlung | Behavior:Win32/Collection.*!ml |
| Befehl und Steuerung | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltration | Behavior:Win32/Exfiltration.*!ml |
| Auswirkung | Behavior:Win32/Impact.*!ml |
| Nicht kategorisiert | Win32/Generic.*!ml |
Blockieren durch Feedbackschleifen
Die Blockierung von Feedbackschleifen, auch als schnelle Absicherung bezeichnet, ist eine Komponente der Verhaltensblockierungs- und Eindämmungsfunktionen in Microsoft Defender for Endpoint. Mit der Blockierung von Feedbackschleifen sind Geräte in Ihrer Organisation besser vor Angriffen geschützt.
Funktionsweise der Blockierung von Feedbackschleifen
Wenn ein verdächtiges Verhalten oder eine Datei erkannt wird, z. B. von Microsoft Defender Antivirus, werden Informationen zu diesem Artefakt an mehrere Klassifizierer gesendet. Das Schnellschutzschleifenmodul prüft und korreliert die Informationen mit anderen Signalen, um eine Entscheidung darüber zu treffen, ob eine Datei blockiert werden soll. Das Überprüfen und Klassifizieren von Artefakten erfolgt schnell. Es führt zu einer schnellen Blockierung bestätigter Schadsoftware und fördert den Schutz im gesamten Ökosystem.
Mit schnellem Schutz kann ein Angriff auf einem Gerät, anderen Geräten in der Organisation und Geräten in anderen Organisationen angehalten werden, da ein Angriff versucht, seinen Fuß zu erweitern.
EDR (Endpoint Detection and Response) im Blockmodus
Wenn die Endpunkterkennung und -reaktion (EDR) im Blockmodus aktiviert ist, blockiert Defender für Endpunkt schädliche Artefakte oder Verhaltensweisen, die durch Schutzmaßnahmen nach einem Sicherheitsverstoß beobachtet werden. EDR im Blockmodus arbeitet im Hintergrund, um schädliche Artefakte zu beheben, die nach der Sicherheitsverletzung erkannt werden.
EDR im Blockmodus ist auch in Microsoft Defender Vulnerability Management integriert. Das Sicherheitsteam Ihrer Organisation erhält eine Sicherheitsempfehlung, EDR im Blockmodus zu aktivieren, wenn er noch nicht aktiviert ist.
Was geschieht bei Erkennen eines schädlichen Artefakts?
Wenn EDR im Blockmodus aktiviert ist und ein schädliches Artefakt erkannt wird, werden Blockierungs- und Wartungsaktionen ausgeführt. Sie sehen den Erkennungsstatus als blockiert oder verhindert als abgeschlossene Aktionen im Info-Center.
Die folgende Abbildung zeigt eine Instanz unerwünschter Software, die im Blockmodus durch EDR erkannt und blockiert wurde:
