Microsoft добавляет в Azure Sentinel обнаружение атак программ-вымогателей Fusion

62
Microsoft: Июньские обновления Windows могут нарушить работу точек доступа Wi-Fi

Microsoft заявляет, что облачная платформа SIEM (Security Information and Event Management) Azure Sentinel теперь может обнаруживать потенциальную активность программ-вымогателей с помощью модели машинного обучения Fusion.

Azure Sentinel использует встроенную технологию искусственного интеллекта (AI) для быстрого анализа огромных объемов данных в корпоративных средах в поисках действий потенциальных злоумышленников.

Он также использует технологию машинного обучения, известную как Fusion, для обнаружения и запуска предупреждений о многоэтапных атаках путем выявления наборов подозрительных действий и аномального поведения, обнаруженных на разных этапах атаки.

Azure Sentinel объединяет несколько таких предупреждений для генерации инцидентов, даже если информация ограничена или отсутствует, что затрудняет их обнаружение в противном случае.

Корпорация Майкрософт объявила сегодня, что ее облачный SIEM теперь поддерживает обнаружение Fusion для возможных атак программ-вымогателей и запускает несколько предупреждений высокой степени серьезности, которые могут быть связаны с обнаруженными действиями программ-вымогателей .

Например, Azure Sentinel будет генерировать инциденты атаки программ-вымогателей после обнаружения следующих предупреждений в течение определенного периода времени на том же узле:

  • Запланированные оповещения Azure Sentinel (информационные): события ошибок и предупреждений Windows
  • Защитник Azure (средний): программа-вымогатель GandCrab предотвращена
  • Microsoft Defender for Endpoint (информационный): обнаружено вредоносное ПО Emotet
  • Защитник Azure (низкий): обнаружен бэкдор Tofsee
  • Microsoft Defender for Endpoint (информационный): обнаружено вредоносное ПО Parite

Чтобы обнаружить потенциальные продолжающиеся атаки программ-вымогателей, Azure Sentinel может использовать следующие соединители данных для сбора данных из следующих источников: Защитник Azure (Центр безопасности Azure), Защитник Microsoft для конечных точек , Защитник Microsoft для удостоверений, Microsoft Cloud App Security и запланированный Azure Sentinel. правила аналитики.

Админы посоветовали рассматривать системы как «потенциально скомпрометированные»

«Инциденты генерируются для предупреждений, которые могут быть связаны с действиями программ-вымогателей, когда они происходят в течение определенного периода времени и связаны с этапами выполнения атаки и уклонения от защиты», — объясняет Microsoft .

«Вы можете использовать оповещения, перечисленные в инциденте, для анализа методов, которые могут использоваться злоумышленниками для взлома хоста / устройства и уклонения от обнаружения».

После сценария атаки вымогателя, обнаруженного Fusion в Azure Sentinel, администраторам рекомендуется рассматривать системы как «потенциально скомпрометированные» и принимать немедленные меры.

Microsoft предлагает следующие рекомендуемые шаги для анализа методов, используемых злоумышленниками во время потенциальной атаки:

  1. Изолируйте машину от сети, чтобы предотвратить возможное боковое смещение.
  2. Запустите на компьютере полное сканирование на наличие вредоносных программ, следуя полученным рекомендациям по исправлению.
  3. Просмотрите установленное / запущенное программное обеспечение на машине, удалив все неизвестные или нежелательные пакеты.
  4. Верните машину в заведомо исправное состояние, переустановив операционную систему только при необходимости и восстановив программное обеспечение из проверенного источника, свободного от вредоносных программ.
  5. Выполняйте рекомендации от поставщиков предупреждений (например,  Центра безопасности Azure  и  Microsoft Defender ), чтобы предотвратить нарушения в будущем.
  6. Изучите всю сеть, чтобы понять вторжение и определить другие машины, на которые может повлиять эта атака.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии