This is the Trace Id: ec252403f6d153f86fb9f9b272d6eeca
Преминаване към основното съдържание Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Вижте всички продукти Киберсигурност с подкрепа на ИИ Защита в облака Защита и управление на данните Самоличност и мрежов достъп Поверителност и управление на риска Защита за ИИ Малки и средни фирми Единни операции на защитата Zero Trust Цени Услуги Партньори Защо Microsoft Security Осведомяване относно киберсигурността Разкази на клиенти Защита 101 Пробни версии на продукти Признание в отрасъла Microsoft Security Insider Отчет за цифровата защита на Microsoft Център за реагиране за защита Блог за Microsoft Security Събития, свързани със защитата, на Microsoft Техническа общност на Microsoft Документация Библиотека за техническо съдържание Обучение и сертификации Програма за съответствие за Microsoft Cloud Център за сигурност на Microsoft Service Trust Portal Microsoft Инициатива за защитено бъдеще Център за бизнес решения Свържете се с отдела за продажби Започнете безплатно изпробване Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ на Microsoft Azure Space Смесена реалност Microsoft HoloLens Microsoft Viva Квантови изчисления Образование Автомобилен Финансови услуги Държавни организации Здравеопазване Производство Търговия на дребно Намерете партньор Станете партньор Мрежа от партньори Microsoft Marketplace Софтуерни фирми Блог Реклами на Microsoft Център за разработчици Документация Събития Лицензиране Microsoft Learn Microsoft Research Преглед на картата на сайта
Ето алтернативния текст, както беше поискано, без да се споменава размазаното лице: **Алтернативен текст:** Лице, което държи таблет в сървърно помещение и преглежда табло с диаграми и системни показатели, показани на екрана.

Какво представляват индикаторите за компрометиране (IOC)?

Научете как да следите, идентифицирате, използвате и отговаряте на индикатори за компрометиране.
Открийте „Разузнаване за заплахи на Microsoft Defender“

Обяснение на индикаторите за компрометиране

Индикатор за компрометиране (IOC) е доказателство, че някой може да е нарушил мрежа на организацията или крайна точка. Тези данни от разследване не само показват потенциална заплаха, а сигнализират, че вече е възникнала атака, например злонамерен софтуер, компрометирани идентификационни данни или ексфилтриране на данни. Специалистите по защитата търсят IOC в регистрационни файлове за събития , решения за разширено откриване и отговор (XDR), както и решения за информация за защита и управление на събития (SIEM) решения. По време на атака екипът използва IOC, за да премахне заплахата и да намали щетите. След възстановяването IOC помагат на организацията да разбере по-добре какво се е случило, така че екипът за защита на организацията да може да подобри защитата и да намали риска от друг подобен инцидент.

Примери за IOC

В защитата с IOC, ИТ следи в средата за следните признаци, че е в ход атака:

Аномалии в мрежовия трафик

В повечето организации има устойчиви модели на мрежов трафик, преминаващ във и извън цифровата среда. Когато това се промени, например ако има значително повече данни, които напускат организацията или ако има дейност, идваща от необичайно местоположение в мрежата, това може да е знак за атака.

Необичайни опити за влизане

Подобно на мрежовия трафик, служебните навици на хората са предвидими. Те обикновено влизат от едни и същи местоположения и приблизително по едно и също време през седмицата. Специалистите по защитата могат да открият компрометиран акаунт като обърнат внимание на влизанията в нетипични часове на деня или от необичайни географски местоположения, като например страна, в която организацията няма офис. Също така е важно да се обръща внимание на няколко неуспешни влизания от един и същ акаунт. Въпреки че хората периодично забравят паролите си или имат проблеми с влизането, те обикновено могат да ги разрешат след няколко опита. Повтарящите се неуспешни опити за влизане може да означават, че някой се опитва да получи достъп до организацията чрез откраднат акаунт.

Нарушения на привилегии на акаунт

Много атакуващи, независимо дали са вътрешни или външни лица, се интересуват от достъп до административни акаунти и придобиване на чувствителни данни. Нетипичното поведение, свързано с тези акаунти, например някой, който се опитва да ескалира своите привилегии, може да е знак за пробив.

Промени в конфигурациите на системите

Злонамерен софтуер често е програмиран да прави промени в конфигурациите на системата, например разрешаване на отдалечен достъп или забраняване на софтуер за защита. Чрез наблюдение за тези неочаквани промени в конфигурацията специалистите по защитата могат да идентифицират пробив, преди да възникнат твърде много щети.

Неочаквани инсталации или актуализации на софтуер

Много атаки започват с инсталирането на софтуер, например злонамерен софтуер или рансъмуер, който е предназначен да направи файловете недостъпни или да даде на хакерите достъп до мрежата. Чрез наблюдение за непланирани софтуерни инсталации и актуализации организациите могат бързо да уловят такива IOC.

Множество искания за един и същ файл

Няколко искания за един файл може да означават, че злонамерено действащо лице се опитва да го открадне, опитвайки няколко метода за достъп до него.

Необичайни заявки за име на домейн

Някои злонамерени действащи лица използват метод за атака, наречен „командване и контрол“. Те инсталират злонамерен софтуер на сървър на организацията, който създава връзка със сървър, който организацията притежава. След това изпращат команди от своя сървър към заразената машина, за да се опитат да откраднат данни или да прекъснат операциите. Необичайните заявки за домейнови именни системи (DNS) помагат на ИТ да открива тези атаки.

Как да идентифицирате IOC

Признаците на цифрова атака се записват в регистрационните файлове. Като част от киберсигурността с IOC, екипите редовно наблюдават цифровите системи за подозрителна дейност. Модерните SIEM и XDR решения опростяват този процес с алгоритми за ИИ и машинно обучение, които създават базова линия за това, което е нормално в организацията, и след това известяват екипа при възникване на аномалии. Също така е важно да ангажирате служители извън защитата, които може да получават подозрителни имейли или случайно да изтеглят заразен файл. Добрите програми за обучение по защитата помагат на работниците да бъдат по-успешни в откриването на компрометирани имейли и им предоставят начини да съобщават за всичко, което изглежда различно от нормалното.

Защо IOC са важни

Наблюдението на IOCS е от решаващо значение за намаляване на риска за защитата на организацията. Ранното откриване на IOC позволява на екипите по защитата да реагират на и да разрешават атаките бързо, което намалява времето на прекъсване и прекъсванията. Редовното наблюдение също така дава на екипите по-добра представа за уязвимостите в организацията, които след това могат да бъдат намалени.

Реагиране на индикатори за компрометиране

След като екипите за защита идентифицират IOC, те трябва да реагират ефективно, за да гарантират възможно най-малко щети на организацията. Следващите стъпки помагат на организациите да останат фокусирани и да спират заплахите възможно най-бързо:

Създаване на план за отговор на инциденти

Отговарянето на инцидент е стресиращо и чувствително към времето, тъй като колкото по-дълго атакуващите остават неоткрити, толкова по-вероятно е да постигнат целите си. Много организации разработват план за отговор на инциденти, който да напътства екипите по време на критичните фази на отговора. Планът описва как организацията определя даден инцидент, ролите и отговорностите, стъпките, необходими за разрешаване на инцидент, и как екипът трябва да комуникира със служителите и външните заинтересовани лица.

Изолиране на компрометираните системи и устройства

След като дадена организация е идентифицирала заплаха, екипът по защитата бързо изолира приложенията или системите, които са обект на атаката, от останалата част от мрежите. Това помага за предотвратяване на достъпа на атакуващите до други части на фирмата.

Извършване на анализ за разследване

Анализът за разследване помага на организациите да разкрият всички аспекти на пробива в защитата, включително източника, типа на атаката и целите на атакуващия. Анализът се извършва по време на атаката, за да се разбере степента на компрометиране. След като организацията се възстанови от атаката, допълнителният анализ помага на екипа да разбере възможните уязвимости и да получи други прозрения.

Елиминиране на заплахата

Екипът отстранява атакуващия и всеки злонамерен софтуер от засегнатите системи и ресурси, което може да включва преминаване на системи в офлайн режим.

Внедряване на подобрения в защитата и процесите

След като организацията се възстанови от инцидента,е важно да оцените защо атаката се е случила и дали има нещо, което организацията би могла да направи, за да я предотврати. Възможно е да има прости подобрения в процесите и правилата, които да намалят риска от подобна атака в бъдеще, или екипът може да идентифицира решения с по-голям обхват, които да добави към пътната карта за защита.



Решения за IOC

Повечето пробиви в защитата оставят досие на разследването в регистрационни файлове и системи. Обучението за идентифициране и мониториране на тези IOC помага на организациите бързо да изолират и елиминират атакуващите. Много екипи се обръщат към решения със SIEM, например Microsoft Sentinel и XDR на Microsoft Defender, които използват ИИ и автоматизация за разкриването на IOC и ги съпоставят с други събития. Планът за отговор на инциденти позволява на екипите да изпреварят атаките и бързо да ги изключват. Когато става въпрос за киберсигурност, колкото по-бързо фирмите разберат какво се случва, толкова по-вероятно е да спрат атаката, преди да им струва пари или да навреди на репутацията им. Защитата с IOC е от ключово значение, за да се помогне на организациите да намалят риска си от скъпоструващи пробиви в защитата.
Ресурси

Научете повече за Microsoft Security

  1.
Мъж и жена седят на маса, като жената пише в книга, а на видно място има лаптоп.

Защита от заплахи на Microsoft

Идентифицирайте и отговаряйте на инциденти във вашата организация с най-новото в защитата срещу заплахи.
Научете повече
Човек седи на бюро и използва лаптоп.

Microsoft Sentinel

Обединете данните за защитата и контекста, за да подсилите агентната отбрана с SIEM платформа &, готова за ИИ.
Научете повече
Жена, която гледа мобилния си телефон.

Microsoft Defender XDR

Спрете атаките в крайни точки, имейли, самоличности, приложения и данни с решения за XDR.
Научете повече
Група от трима души в светъл офис, усмихнати и ангажирани, докато гледат лаптоп, държан от един от тях.

Общност за разузнаване на заплахи

Получете най-новите актуализации от изданието на общността за „Разузнаване за заплахи на Microsoft Defender“.
Научете повече
Връщане към раздела за сродни продукти
ЧЗВ

Често задавани въпроси

  • Има няколко типа IOCS. Някои от най-често срещаните са:
    • Аномалии в мрежовия трафик
    • Необичайни опити за влизане
    • Нарушения на привилегии на акаунт
    • Промени в конфигурациите на системите
    • Неочаквани инсталации или актуализации на софтуер
    • Множество искания за един и същ файл
    • Необичайни заявки за име на домейн
  • Индикатор за компрометиране е цифрово доказателство, че вече е възникнала атака. Индикатор за атака е доказателство, че има вероятност да възникне атака. Например фишинг кампания е индикатор за атака, тъй като няма доказателство, че атакуващият е направил пробив в защитата на фирмата. Ако обаче някой щракне върху фишинг връзка и изтегли злонамерен софтуер, инсталирането на злонамерен софтуер е индикатор за компрометиране.
  • Индикаторите за компрометиране в имейли включват внезапно засипване с нежелана поща, странни прикачени файлове или връзки, или неочакван имейл от познат човек. Например ако служител изпрати на колега имейл със странен прикачен файл, това може да означава, че акаунтът му е бил компрометиран.
  • Има няколко начина за идентифициране на компрометирана система. Промяна в мрежовия трафик от конкретен компютър може да е индикатор, че е бил компрометиран. Ако човек, който обикновено не се нуждае от дадена система, започне да осъществява достъп до нея редовно, това е тревожен сигнал. Промени в конфигурациите на системата или неочаквана инсталация на софтуер може също да означават компрометиране на системата.
  • Три примера за IOC са:
    • Потребителски акаунт, базиран в Северна Америка, започва да влиза в ресурсите на фирмата от Европа.
    • Хиляди искания за достъп в няколко потребителски акаунта, което показва, че организацията е жертва на атака с груба сила.
    • Нови заявки за домейнови именни системи идват от нов хост или държава, където не се намират служители и клиенти.

Следвайте Microsoft Security

Copilot за организации Copilot за лична употреба Microsoft 365 Приложения за Windows 11 Профил на акаунт Център за изтегляния Връщания Проследяване на поръчка Рециклиране Commercial Warranties Microsoft Education Устройства за образование Microsoft Teams за образование Microsoft 365 Education Office Education Обучение и развитие на преподаватели Оферти за учащи и родители Azure за учащи
ИИ на Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Реклами на Microsoft Microsoft 365 Copilot Microsoft Teams Разработчик на Microsoft Microsoft Learn Поддръжка за marketplace AI приложения Техническа общност на Microsoft Microsoft Marketplace Microsoft Power Platform Софтуерни фирми Visual Studio Кариери Поверителност в Microsoft Инвеститори
Български (България) Поверителност на здравето на потребителите Връзка с Microsoft Поверителност Управление на бисквитките Условия за използване Търговски марки За нашите реклами EU Compliance DoCs