This is the Trace Id: a34ab162d35ce68c8d962902f1d6f348
Gå til hovedindholdet Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Vis alle produkter Cybersikkerhed, der er drevet af kunstig intelligens Skysikkerhed Datasikkerhed og styring Identitet og netværksadgang Beskyttelse af personlige oplysninger og risikostyring Sikkerhed til kunstig intelligens Små og mellemstore virksomheder Samlet SecOps Nul tillid Prisfastsættelse Tjenester Partnere Hvorfor Microsoft Security Fokus på cybersikkerhed Kundehistorier Sikkerhed 101 Prøveversioner af produkter Anerkendelse fra branchen Microsoft Security Insider Microsofts rapport om digitalt forsvar Security Response Center Blog om Microsoft Security Microsoft Security-begivenheder Microsoft Tech Community Dokumentation Teknisk indholdsbibliotek Kurser og certifikater Compliance Program til Microsoft Cloud Microsoft Center for sikkerhed og rettigheder Service Trust Portal Microsoft Secure Future Initiative Hub til løsninger for virksomheder Kontakt salgsafdelingen Start gratis prøveversion Microsoft Sikkerhed Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Kunstig intelligens Azure Space Mixed reality Microsoft HoloLens Microsoft Viva Kvantecomputere Uddannelse Biler Finansielle tjenester Myndigheder Sundhedspleje Produktion Detail Find en partner Bliv partner Partner Network Microsoft Marketplace Softwarefirmaer Blog Microsoft Advertising Udviklercenter Dokumentation Arrangementer Licenser Microsoft Learn Microsoft Research Vis oversigt over websted
Her er alternativteksten som ønsket, uden at nævne det slørede ansigt: **Alt-tekst:** En person holder en tablet i et serverrum og ser på et dashboard med diagrammer og systemmålepunkter på skærmen.

Hvad er indikatorer for kompromittering (IOC)?

Få mere at vide om, hvordan du overvåger, identificerer, bruger og reagerer på indikatorer for kompromittering.
Opdag Microsoft Defender Threat Intelligence

Indikatorer for kompromittering er forklaret

En indikator for kompromittering (IOC) er tegn på, at en person måske har brudt ind i en organisations netværk eller slutpunkt. Disse tekniske data indikerer ikke blot en potentiel trussel, den signalerer, at der allerede er opstået et angreb som f.eks. malware, kompromitterede legitimationsoplysninger eller dataudtrækning. Sikkerhedsmedarbejdere søger efter IOC'er på hændelseslogge, løsninger til udvidet registrering og svar (XDR) og SIEM-løsninger (Security Information and Event Management) . Under et angreb bruger teamet IOC'er til at eliminere truslen og afhjælpe skaderne. Efter genoprettelse hjælper IOC'er en organisation med bedre at forstå, hvad der skete, så organisationens sikkerhedsteam kan øge sikkerheden og reducere risikoen for en anden lignende hændelse.

Eksempler på IOC'er

I forbindelse med IOC-sikkerhed overvåger it-teknikere miljøet for følgende tegn på, om et angreb er i gang:

Afvigelser i netværkstrafik

I de fleste organisationer er der ensartede mønstre for netværkstrafik, der passerer ind og ud af det digitale miljø. Når det ændres, f.eks. hvis der er væsentligt flere data, der forlader organisationen, eller hvis der kommer aktivitet fra en usædvanlig placering i netværket, kan det være et tegn på et angreb.

Usædvanlige logonforsøg

Ligesom med netværkstrafik er folks arbejdsvaner forudsigelige. De logger typisk på fra de samme placeringer og stort set de samme tidspunkter i løbet af ugen. Sikkerhedsmedarbejdere kan registrere en kompromitteret konto ved at være opmærksom på logon på ulige tidspunkter af dagen eller fra usædvanlige geografiske områder, f.eks. et land, hvor en organisation ikke har et kontor. Det er også vigtigt at være opmærksom på flere mislykkede logonforsøg fra den samme konto. Selvom folk jævnligt glemmer deres adgangskoder eller har problemer med at logge på, kan de normalt løse det efter nogle få forsøg. Gentagne mislykkede logonforsøg kan indikere, at nogen forsøger at få adgang til organisationen ved hjælp af en stjålen konto.

Uregelmæssigheder i forbindelse med rettighedskonto

Mange personer med ondsindede hensigter, uanset om de er insidere eller outsidere, er interesseret i at få adgang til administrative konti og hente følsomme data. Atypisk adfærd, der er knyttet til disse konti, f.eks. en person, der forsøger at eskalere sine rettigheder, kan være et tegn på et brud.

Ændringer i systemkonfigurationer

Malware er ofte programmeret til at foretage ændringer i systemkonfigurationer, f.eks. aktivering af fjernadgang eller deaktivering af sikkerhedssoftware. Ved at overvåge disse uventede konfigurationsændringer kan sikkerhedsmedarbejdere identificere et sikkerhedsbrud, før der er sket for meget skade.

Uventede softwareinstallationer eller -opdateringer

Mange angreb starter med installationen af software, f.eks. malware eller ransomware, der er designet til at gøre filer utilgængelige eller give hackere adgang til netværket. Ved at overvåge ikke-planlagte softwareinstallationer og -opdateringer kan organisationer hurtigt fange disse IOC'er.

Adskillige anmodninger om den samme fil

Flere anmodninger om en enkelt fil kan være et tegn på, at en ondsindet aktør forsøger at stjæle den og har forsøgt at anvende flere metoder til at få adgang til den.

Usædvanlige anmodninger om Domain Name Systems

Nogle ondsindede aktører bruger en angrebsmetode, der kaldes kommando og kontrol. De installerer malware på en organisations server, der opretter forbindelse til en server, de ejer. De sender derefter kommandoer fra deres server til den inficerede maskine i forsøg på at stjæle data eller afbryde driften. Usædvanlige DNS-anmodninger (Domain Name Systems) hjælper it-teknikere med at registrere disse angreb.

Sådan identificeres IOC'er

Tegnene på et digitalt angreb registreres i logfilerne. Som en del af IOC-cybersikkerhed overvåger teams jævnligt digitale systemer for mistænkelig aktivitet. Moderne SIEM- og XDR-løsninger forenkler denne proces med algoritmer til kunstig intelligens og maskinel indlæring, der etablerer en grundlinje for det, der er normalt i organisationen, og giver derefter teamet besked om uregelmæssigheder. Det er også vigtigt at engagere medarbejdere uden for sikkerheden, som kan modtage mistænkelige mails eller ved et uheld downloade en inficeret fil. Gode programmer til sikkerhedstræning hjælper medarbejderne med at blive bedre til at registrere kompromitterede mails og giver dem mulighed for at rapportere alt, der ser ud til at være mistænkeligt.

Derfor er IOC'er vigtige

Overvågning af IOC'er er afgørende for at reducere en organisations sikkerhedsrisiko. Tidlig registrering af IOC'er gør det muligt for sikkerhedsteams at reagere på og løse angreb hurtigt, hvilket reducerer mængden af nedetid og afbrydelser. Regelmæssig overvågning giver også teams større indsigt i sikkerhedsrisici i organisationen, som derefter kan afhjælpes.

Reaktion på indikatorer for kompromittering

Når sikkerhedsteams identificerer et IOC, skal de reagere effektivt for at sikre, at der sker så lidt skade som muligt på organisationen. Følgende trin hjælper organisationer med at holde fokus og stoppe trusler så hurtigt som muligt:

Opret en plan for svar på hændelser

Det er stressende og tidsfølsomt at reagere på en hændelse, fordi jo længere tid hackere ikke bliver uopdaget, jo mere sandsynligt er det, at de vil nå deres mål. Mange organisationer udvikler enhændelsessvar plan for at hjælpe teams i de kritiske faser af et svar. Planen beskriver, hvordan organisationen definerer en hændelse, roller og ansvarsområder, de trin, der er nødvendige for at løse en hændelse, og hvordan teamet skal kommunikere til medarbejdere og eksterne interessenter.

Isoler kompromitterede systemer og enheder

Når en organisation har identificeret en trussel, isolerer sikkerhedsteamet hurtigt programmer eller systemer, der er under angreb fra resten af netværkene. Dette hjælper med at forhindre personer med ondsindede hensigter fra at tilgå andre dele af virksomheden.

Udfør teknisk analyse

Teknisk analyse hjælper organisationer med at afdække alle aspekter af et sikkerhedsbrud, herunder kilden, typen af angreb og mål for hackere. Analysen udføres under angrebet for at forstå omfanget af kompromitteringen. Når organisationen er kommet sig efter angrebet, hjælper yderligere analyse teamet med at forstå mulige sårbarheder og anden indsigt.

Fjern truslen

Teamet fjerner personen med ondsindede hensigter og eventuel malware fra berørte systemer og ressourcer, hvilket kan medføre at systemer er offline.

Implementer sikkerheds- og procesforbedringer

Når organisationen er kommet sig efter hændelsen, er det vigtigt at evaluere, hvorfor angrebet skete, og om der er noget, organisationen kunne have gjort for at afværge det. Der er muligvis enkle proces- og politikforbedringer, der vil reducere risikoen for et lignende angreb i fremtiden, eller teamet kan identificere løsninger med længere rækkevidde, der skal føjes til en sikkerhedsoversigt.



IOC-løsninger

De fleste sikkerhedsbrud efterlader et teknisk spor i logfiler og systemer. Hvis man lærer at identificere og overvåge disse IOC'er, hjælper det organisationer med hurtigt at isolere og eliminere hackere. Mange teams bruger SIEM-løsninger, f.eks. Microsoft Sentinel og Microsoft Defender XDR, som bruger kunstig intelligens og automatisering til at vise IOC'er og korrelere dem med andre hændelser. En plan for svar på hændelser gør det muligt for teams at komme angreb i forkøbet og hurtigt lukke dem ned. Når det drejer sig om cybersikkerhed, jo hurtigere virksomheder forstår, hvad der sker, jo mere sandsynligt er det, at de stopper et angreb, før det koster dem penge eller skader deres omdømme. IOC-sikkerhed er nøglen til at hjælpe organisationer med at reducere risikoen for dyre brud.
Ressourcer

Få mere at vide om Microsoft Security

  1.
En mand og kvinde, der sidder ved et bord, hvor kvinden skriver på en bog og en bærbar computer er synlig.

Microsoft-trusselsbeskyttelse

Identificer og svar på hændelser på tværs af din organisation med den nyeste trusselsbeskyttelse.
Få mere at vide
En person, der sidder ved et skrivebord og bruger en bærbar computer.

Microsoft Sentinel

Foren sikkerhedsdata og kontekst for at styrke agentbaseret forsvar med en SIEM og AI-forberedt platform.
Få mere at vide
En kvinde, der kigger på sin mobiltelefon.

Microsoft Defender XDR

Stop angreb på tværs af slutpunkter, mail, identiteter, programmer og data med XDR-løsninger.
Få mere at vide
En gruppe på tre personer i et lyst kontor, der smiler og er engagerede, mens de ser på en bærbar computer, som en af dem holder.

Trusselsintelligens-community

Få de seneste opdateringer fra communityudgaven af Microsoft Defender Threat Intelligence.
Få mere at vide
Tilbage til sektionen Relaterede produkter
Ofte stillede spørgsmål

Ofte stillede spørgsmål

  • Der findes flere typer IOC'er. Nogle af de mest almindelige er:
    • Afvigelser i netværkstrafik
    • Usædvanlige logonforsøg
    • Uregelmæssigheder i forbindelse med rettighedskonto
    • Ændringer i systemkonfigurationer
    • Uventede softwareinstallationer eller -opdateringer
    • Adskillige anmodninger om den samme fil
    • Usædvanlige anmodninger om Domain Name Systems
  • En indikator for kompromittering er digitalt tegn på, at der allerede er opstået et angreb. En indikator for et angreb er tegn på, at der sandsynligvis vil finde et angreb sted. En phishingkampagne er f.eks. en indikator for angreb, fordi der ikke er nogen tegn på, at personen med ondsindede hensigter har brudt ind i virksomheden. Men hvis nogen klikker på et phishinglink og downloader malware, er installationen af malware en indikator for kompromittering.
  • Indikatorer på kompromitteret mail omfatter en pludselig strøm af spam, underlige vedhæftede filer eller links eller en uventet mail fra en kendt person. Hvis en medarbejder f.eks. sender en kollega en mail med en underlig vedhæftet fil, kan det indikere, at vedkommendes konto er blevet kompromitteret.
  • Der er flere måder at identificere et kompromitteret system på. En ændring i netværkstrafikken fra en bestemt computer kan være en indikator for, at den er blevet kompromitteret. Hvis en person, der typisk ikke har brug for et system, begynder at tilgå det regelmæssigt, er det et rødt flag. Ændringer af konfigurationerne på systemet eller en uventet softwareinstallation kan også indikere, at det er blevet kompromitteret.
  • Tre IOC-eksempler er:
    • En brugerkonto, der er baseret i Nordamerika begynder at logge på virksomhedsressourcer fra Europa.
    • Tusindvis af adgangsanmodninger på tværs af flere brugerkonti, der angiver, at organisationen er offer for et brute force-angreb.
    • Nye Anmodninger om Domain Name Systems kommer fra en ny vært eller et land, hvor medarbejdere og kunder ikke er bosiddende i.

Følg Microsoft Security

Surface Pro Surface Laptop Copilot til organisationer Copilot til personlig brug Microsoft 365 Udforsk Microsoft-produkter Windows 11-apps Kontoprofil Download Center Microsoft Store Support Returneringer Ordreopfølgning Genanvendelse Kommercielle garantier Microsoft Education Enheder til uddannelse Microsoft Teams til uddannelse Microsoft 365 Education Office Education Underviseruddannelse og -udvikling Tilbud til studerende og forældre Azure til studerende
Microsofts kunstige intelligens Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Små virksomheder Microsoft Udvikler Microsoft Learn Understøttelse af AI-markedspladsapps Microsofts tekniske community Microsoft Marketplace Microsoft Power Platform Softwarefirmaer Visual Studio Karriere Om Microsoft Nyheder om virksomheden Beskyttelse af personlige oplysninger hos Microsoft Investorer
Dansk (Danmark) Beskyttelse af personlige oplysninger om forbrugernes sundhed Kontakt Microsoft Beskyttelse af personlige oplysninger Administrer cookies Copyright & rettigheder Varemærker Om vores annoncer EU Compliance DoCs