This is the Trace Id: 15135dcbcf2fbec4997119e8456b16c3
Преминаване към основното съдържание Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Вижте всички продукти Киберсигурност с подкрепа на ИИ Защита в облака Защита и управление на данните Самоличност и мрежов достъп Поверителност и управление на риска Защита за ИИ Малки и средни фирми Единни операции на защитата Zero Trust Цени Услуги Партньори Защо Microsoft Security Осведомяване относно киберсигурността Разкази на клиенти Защита 101 Пробни версии на продукти Признание в отрасъла Microsoft Security Insider Отчет за цифровата защита на Microsoft Център за реагиране за защита Блог за Microsoft Security Събития, свързани със защитата, на Microsoft Техническа общност на Microsoft Документация Библиотека за техническо съдържание Обучение и сертификации Програма за съответствие за Microsoft Cloud Център за сигурност на Microsoft Service Trust Portal Microsoft Инициатива за защитено бъдеще Център за бизнес решения Свържете се с отдела за продажби Започнете безплатно изпробване Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ на Microsoft Azure Space Смесена реалност Microsoft HoloLens Microsoft Viva Квантови изчисления Образование Автомобилен Финансови услуги Държавни организации Здравеопазване Производство Търговия на дребно Намерете партньор Станете партньор Мрежа от партньори Microsoft Marketplace Софтуерни фирми Блог Реклами на Microsoft Център за разработчици Документация Събития Лицензиране Microsoft Learn Microsoft Research Преглед на картата на сайта
Мъж работи на лаптоп.

Какво представлява проактивно търсене на киберзаплахи?

Издирването на киберзаплахи е процес на активно търсене на неизвестни или неоткрити заплахи в мрежата, крайните точки и данните на организацията.
Открийте Microsoft Sentinel

Как работи проактивното търсене на киберзаплахи

Проактивното търсене на киберзаплахи използва проактивни „ловци на заплахи“ за превантивно търсене на потенциални заплахи и атаки в дадена система или мрежа. По този начин се дава възможност за гъвкави и ефикасни реакции на все по-сложни и управлявани от хора кибератаки. Докато традиционните методи за киберсигурност идентифицират пробивите в защитата постфактум, проактивното търсене на киберзаплахи работи с предположението, че пробивът вече е настъпил, и може да идентифицира, адаптира и реагира на потенциалните заплахи веднага след откриването им.

Използващите усъвършенствани заплахи атакуващи могат да проникнат в организацията и да останат неразкрити за продължителни периоди от време - дни, седмици или дори повече. Добавяне на проактивно търсене на киберзаплахи към съществуващия профил от инструменти за защита, като откриване на крайни точки и реагиране (EDR) и информация за защита и управление на събития (SIEM), може да ви помогне да предотвратите атаки и да поправите последствията от тях, които в противен случай биха останали неоткрити от автоматизираните инструменти за защита.

Автоматизирано проактивно търсене на заплахи

Проактивните ловци на киберзаплахи могат да автоматизират някои аспекти на процеса, като използват машинно обучение, автоматизация и ИИ. Възползването от решения като SIEM и EDR може да помогне на проактивните търсачи на заплахи да рационализират процедурите за лов чрез наблюдение, откриване и реагиране на потенциални заплахи. Проактивните търсачи на заплахи могат да създават и автоматизират различни наръчници, за да реагират на различни заплахи, като по този начин намаляват тежестта върху ИТ екипите при появата на подобни атаки.

Инструменти и техники за проактивно търсене на киберзаплахи

Проактивните търсачи на заплахи разполагат с множество инструменти, включително решения като SIEM и XDR, които са проектирани да работят заедно.

  • SIEM: Решение, което събира данни от множество източници с анализ в реално време, SIEM може да предостави на проактивните търсачи на заплахи информация за потенциални заплахи.
  • Разширеното откриване и реакция (XDR): Проактивните търсачи на заплахи могат да използват XDR, който осигурява разузнаване на заплахите и автоматизирано прекъсване на атаките, за да постигнат по-добра видимост на заплахите.
  • EDR: EDR, следи устройствата на крайните потребители, предоставя на проактивните търсачи на заплахи мощен инструмент, който им дава представа за потенциалните заплахи във всички крайни точки на организацията.

Три вида проактивно търсене на киберзаплахи

Проактивното търсене на киберзаплахи обикновено приема една от следните три форми:

Структурирано: при структурираното проактивно търсене, ловците на заплахи търсят подозрителни тактики, техники и процедури (TTP), които подсказват за потенциални заплахи. Вместо да се обръща към данните или системата и да търси нарушители, ловецът на киберзаплахи проактивно създава хипотеза за метода на потенциалния нападател и методично работи за идентифициране на симптомите на тази атака. Тъй като структурираното проактивно търсене е по-проактивен подход, специалистите по информационни технологии, които използват тази тактика, често могат бързо да прихващат или спират нападателите.

Неструктурирано: при неструктурирано проактивно търсене на заплахи, ловецът на киберзаплахи търси индикатор за компрометиране (IoC) и извършва търсенето от тази начална точка. Тъй като проактивният ловец на заплахи може да се върне назад и да търси модели и улики в историческите данни, неструктурираното проактивно търсене на заплахи понякога може да идентифицира неоткрити досега заплахи, които все още могат да изложат организацията на риск.

Ситуационно: ситуационното проактивно търсене на заплахи приоритизира конкретни ресурси или данни в рамките на цифровата екосистема. Ако организацията прецени, че определени служители или активи са най-рискови, тя може да насочи усилията на проактивните ловци на киберзаплахи към предотвратяване или отстраняване на атаки спрямо тези уязвими хора, масиви от данни или крайни точки.

Стъпки за проактивно търсене и изпълнение

Проактивните ловци на киберзаплахи често следват тези основни стъпки при разследването и отстраняването на заплахи и атаки:

  1. Създайте теория или хипотеза за потенциална заплаха. Търсачите на заплахи могат да започнат с идентифициране на обичайните методи за действие на нападателя.
  2. Провеждане на изследвания. Проактивните ловци на заплахи проучват данните, системите и дейностите на организацията – решение на база на SIEM може да бъде полезен инструмент – и събират и обработват съответната информация.
  3. Идентифициране на активатора. Резултатите от проучванията и други инструменти за сигурност могат да помогнат на търсачите на заплахи да определят отправна точка за своето разследване.
  4. Разследване на заплаха. Търсачите на заплахи използват своите проучвания и инструменти за сигурност, за да определят дали заплахата е злонамерена.
  5. Реагирайте и коригирайте. Проактивните ловци на киберзаплахи предприемат действия за отстраняване на заплахата.

Видове заплахи, които проактивните търсачи на заплахи могат да открият

Проактивното търсене на киберзаплахи може да идентифицира широк спектър от различни заплахи, включително следните:

  • Злонамерен софтуер и вируси: злонамереният софтуер пречи на използването на нормални устройства чрез получаване на неупълномощен достъп до устройства с крайни точки. Фишинг атаки, шпионски и рекламен софтуер, троянски коне, червеи и рансъмуер са примери за зловреден софтуер. Вирусите, някои от най-разпространените форми на зловреден софтуер, са проектирани да пречат на нормалната работа на дадено устройство, като записват, повреждат или изтриват неговите данни, преди да се разпространят до други устройства в мрежата.
  • Вътрешни заплахи: вътрешните заплахи произтичат от лица с оторизиран достъп до мрежата на организацията. Независимо дали става дума за злонамерени действия или за непреднамерено или небрежно поведение, тези вътрешни лица злоупотребяват с мрежите, данните, системите или съоръженията на организацията, или им причиняват вреди.
  • Упорити усъвършенствани заплахи: опитните участници, които проникват в мрежата на дадена организация и остават незабелязани за определен период от време, представляват упорити усъвършенствани заплахи. Тези нападатели са умели и често разполагат със значителни ресурси.
    Атаки със социално инженерство: извършителите на кибератаките могат да използват манипулация и измама, за да заблудят служителите на дадена организация и да ги накарат да предоставят достъп или чувствителна информация. Обичайните атаки на социалното инженерство включват фишинг, примамка и скеъруер.

Най-добри практики за проактивно търсене на киберзаплахи

Когато внедрявате протокол за проактивно търсене на киберзаплахи във вашата организация, имайте предвид следните най-добри практики:
 
  • Осигурете на ловците на заплахи пълна видимост към вашата организация. Проактивните ловци на киберзаплахи са най-успешни, когато разбират цялостната картина.
  • Поддържане на допълнителни инструменти за защита, като SIEM, XDR и EDR. Проактивните ловци на киберзаплахи разчитат на автоматизациите и данните, предоставени от тези инструменти, за да идентифицират заплахите по-бързо и с по-голям контекст за по-бързо разрешаване.
  • Бъдете информирани за най-новите нововъзникващи заплахи и тактики. Нападателите и техните тактики непрекъснато се развиват - уверете се, че вашите ловци на заплахи разполагат с най-актуалните ресурси за текущите тенденции.
  • Обучете служителите да разпознават и докладват за подозрително поведение. Намалете възможността от вътрешни заплахи, като държите хората си информирани.
  • Реализирайтеуправление на уязвимостите, за да намалите общото ниво на уязвимост на вашата организация.

Защо проактивно търсене на заплахи е важно за организациите

Тъй като злонамерените действащи лица стават все по-усъвършенствани в методите си на атака, за организациите е жизненоважно да инвестират в проактивно търсене на киберзаплахи. В допълнение към по-пасивните форми на защита от заплахи проактивното търсене на киберзаплахи запълва пропуските в сигурността, като позволява на организациите да коригират заплахи, които иначе не биха били открити. Засилващите се заплахи от опитни атакуващи означават, че организациите трябва да засилят защитата си, за да запазят доверието в способността си да обработват чувствителни данни и да намалят разходите, свързани с пробиви в защитата.

Продукти като Microsoft Sentinel могат да ви помогнат да изпреварите заплахите чрез събиране, съхраняване и достъп до хронологични данни в мащаба на облака, рационализиране на разследванията и автоматизиране на обичайните задачи. Тези решения могат да предоставят на проактивните ловци на киберзаплахи мощни инструменти, които да помогнат на вашата организация да бъде защитена.
Ресурси

Научете повече за Microsoft Security

  1.
Жена разглежда код,, показван на монитор

Microsoft Sentinel

Обединете данните за защитата и контекста, за да подсилите агентната отбрана с SIEM платформа &, готова за ИИ.
Научете повече
Човек работи на лаптоп, с близък план на екрана на компютъра.

Експерти за проактивно търсене на Microsoft Defender

Разширете проактивното търсене на заплахи отвъд крайните точки.
Научете повече
Жена използва лаптоп в конферентна зала

Разузнаване за заплахи на Microsoft Defender

Помогнете за защитата на вашата организация от модерни противници и заплахи, например рансъмуер.
Научете повече
Колеги гледат монитор заедно в стая, пълна с оборудване

SIEM и XDR

Откривайте, разследвайте и реагирайте на заплахи в цялото си дигитално имущество.
Научете повече
Обратно към контролите за навигация на въртележката
ЧЗВ

Често задавани въпроси

  • Пример за проактивно търсене на киберзаплахи е проактивно търсене, основано на хипотези, при който проактивният търсач на заплахи идентифицира предполагаеми тактики, техники и процедури, които атакуващият може да използва, след което търси доказателства за тях в мрежата на организацията.
  • Откриването на заплахи е активен, често автоматизиран, подход към киберсигурността, докато проактивното търсене на заплахи е проактивен, неавтоматизиран подход.
  • Центърът за операции по сигурността (SOC) е централизирана функция или екип, разположен на място или възложен на външен изпълнител, който отговаря за подобряване на състоянието на киберсигурността на организацията, както и за предотвратяване, откриване и реагиране на заплахи. Проактивното търсене на киберзаплахи е една от тактиките, които SOC използват за идентифициране и отстраняване на заплахи.
  • Инструментите за проактивно търсене на киберзаплахи са софтуерни ресурси, достъпни за екипите по информационни технологии и проактивните ловци на киберзаплахи, които помагат за откриване и отстраняване на заплахи. Примерите за инструменти за проактивно търсене на заплахи включват антивирусни и защитни стени, софтуер за EDR, инструменти за SIEM и анализ на данни.
  • Основната цел на проактивното търсене на киберзаплахи е проактивно откриване и отстраняване на сложни заплахи и атаки, преди те да навредят на организацията.
  • Интелигентност за киберзаплахи е информацията и данните, които софтуерът за киберсигурност събира, често автоматично, като част от своите протоколи за сигурност, с цел по-добра защита срещу кибератаки. Проактивното търсене на заплахи включва използването на информация, събрана от интелигентността за киберзаплахи, и използването ѝ за формулиране на хипотези и действия за търсене и отстраняване на заплахи.

Следвайте Microsoft Security

Copilot за организации Copilot за лична употреба Microsoft 365 Приложения за Windows 11 Профил на акаунт Център за изтегляния Връщания Проследяване на поръчка Рециклиране Commercial Warranties Microsoft Education Устройства за образование Microsoft Teams за образование Microsoft 365 Education Office Education Обучение и развитие на преподаватели Оферти за учащи и родители Azure за учащи
ИИ на Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Реклами на Microsoft Microsoft 365 Copilot Microsoft Teams Разработчик на Microsoft Microsoft Learn Поддръжка за marketplace AI приложения Техническа общност на Microsoft Microsoft Marketplace Microsoft Power Platform Софтуерни фирми Visual Studio Кариери Поверителност в Microsoft Инвеститори
Български (България) Поверителност на здравето на потребителите Връзка с Microsoft Поверителност Управление на бисквитките Условия за използване Търговски марки За нашите реклами EU Compliance DoCs