This is the Trace Id: 54435049032a555e273e9e9cb3e5560b
Põhisisu juurde Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Kuva kõik tooted Tehisintellektipõhine küberturve Pilvepõhine turve Andmete turvalisus ja juhtimine Identiteet ja juurdepääs võrgule Privaatsus ja riskihaldus Turvalisus tehisintellekti jaoks Väikese ja keskmise suurusega ettevõte Ühtne SecOps Täisusaldamatus Hinnakiri Teenused Partnerid Miks valida Microsofti turbeteenus Küberturve teadlikkus Kliendilood Sissejuhatus turbesse Toote prooviversioonid Valdkonnatunnustus Microsoft Security Insider Microsofti digitaalse kaitse aruanne Küberturbe reageerimiskeskus Microsofti turbeajaveeb Microsofti turbeüritused Microsoft Tech Community Dokumentatsioon Tehniline sisuteek Koolitus ja serdid Microsofti pilvteenuste vastavusprogramm Microsofti usalduskeskus Teenuste usaldusväärsuse portaal Microsofti turvalise tuleviku algatus Ärilahenduste keskus Võtke ühendust müügiosakonnaga Tasuta prooviversiooni kasutamise alustamine Microsofti turve Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Hübriidreaalsus Microsoft HoloLens Microsoft Viva Kvantarvuti Haridus Autotööstus Finantsteenused Riigiasutused Tervishoid Tootmine Jaemüük Partneri otsimine Saage partneriks Partnervõrgustik Microsoft Marketplace Tarkvaraettevõtted Ajaveeb Microsoft Advertising Arenduskeskus Dokumentatsioon Sündmused Litsentseerimine Microsoft Learn Microsoft Research Kuva saidikaart
Kaks spetsialisti seisavad koos kontori koridoris, hoiavad tahvelarvutit ja arutavad tööd.

Mis on ohutuvastus ja -kõrvaldus (TDR)?

Sellest artiklist saate teada, kuidas oma organisatsiooni varasid kaitsta, kasutades küberturberiskide ennetavaks tuvastamiseks ja maandamiseks ohutuvastuse ja -kõrvalduse lahendust.
Microsofti XDR-lahenduse tutvustus

Ohutuvastuse ja -kõrvalduse (TDR) määratlus

Ohutuvastus ja -kõrvaldus on küberturbe protsess organisatsiooni digitaalsete varade pihta suunatud küberohtude tuvastamiseks ja nende võimalikult kiireks leevendamiseks.

Kuidas ohutuvastus ja -kõrvaldus töötab?

Küberohtude ja muude turbeprobleemidega tegelemiseks seavad paljud asutused ja ettevõtted sisse turbetoimingute keskuse ehk SOC („Security Operations Center“) – tsentraliseeritud funktsiooni või meeskonna, kes vastutab organisatsiooni küberturbeseisundi tugevdamise ning ohtude ennetamise, tuvastamise ja kõrvaldamise eest. Lisaks käimasolevate küberrünnete jälgimisele ja neile reageerimisele tegeleb SOC ka ennetavalt tärkavate küberohtude ning organisatsiooni nõrkuste tuvastamisega. Enamik SOC meeskondi, kes võivad olla nii kohapealsed kui ka väljast palgatud, tegutsevad ööpäev läbi, seitse päeva nädalas.

SOC kasutab ohuanalüüsi ja tehnoloogiat proovitud, edukate ja pooleliolevate turbemurrete tuvastamiseks. Kui küberoht on tuvastatud, kasutab turbemeeskond probleemi kõrvaldamiseks või leevendamiseks ohutuvastuse ja -kõrvalduse tööriistu.

Ohutuvastus ja -kõrvaldus hõlmab enamasti järgmisi etappe.
 
  • Ohutuvastus. Turbetööriistad, mis jälgivad lõpp-punkte, identiteete, võrke, rakendusi ja pilvkeskkondi, aitavad ohte ja võimalikke turbemurdeid päevavalgele tuua. Turbespetsialistid kasutavad tuvastamisest mööda hiilivate keerukamate küberohtude leidmiseks ka küberohujahi tehnikaid.
  • Uurimine. Pärast riski tuvastamist kasutab SOC tehisintellekti ja muid tööriistu veendumaks, et küberoht on reaalne. Samuti tehakse kindlaks, kuidas see aset leidis ning milliseid ettevõtte varasid see mõjutab.
  • Ohjeldamine. Küberründe leviku peatamiseks isoleerivad küberturbemeeskonnad ja automaatsed tööriistad nakatunud seadmed, identiteedid ja võrgud organisatsiooni ülejäänud varadest.
  • Likvideerimine. Meeskonnad eemaldavad turbeintsidendi algpõhjuse; eesmärk on ründaja keskkonnast täielikult välja juurida. Samuti leevendavad nad nõrkusi, mis võivad asutuse või ettevõtte seada uute sarnaste küberrünnete ohtu.
  • Taaste. Pärast seda, kui meeskonnad on mõistlikult veendunud, et küberoht või nõrkus on eemaldatud, toovad nad isoleeritud süsteemid uuesti võrku tagasi.
  • Aruanne. Olenevalt intsidendi raskusastmest dokumenteerivad turbemeeskonnad ründe ning teavitavad juhtkonda, juhatust ja/või nõukogu sellest, mis juhtus ja kuidas see lahendati.
  • Riskileevendus. Sarnase turbemurde kordumise vältimiseks ja edaspidi paremini reageerimiseks uurivad meeskonnad intsidenti ning otsustavad, milliseid muudatusi tuleks keskkonnas ja protsessides teha.

Mis on ohutuvastus?

Küberohtude tuvastamine on muutunud aina keerulisemaks, kuna organisatsioonid on laiendanud oma jalajälge pilvkeskkondades, ühendanud rohkem seadmeid Internetiga ja läinud üle hübriidtööle. Ründajad kasutavad ära nii seda laienenud ründepinda kui ka turbetööriistade killustumist. Levinud taktikad on järgmised.
 
  • Andmepüügikampaaniad. Üks kõige levinumaid meetodeid, mida ründajad kasutavad ettevõttesse tungimiseks, on selliste meilisõnumite saatmine, mis eksitavad töötajad alla laadima ründekoodi või sisestama oma identimisteabe.
  • Ründevara. Paljud küberründajad kasutavad tarkvara, mis on mõeldud arvutite ja süsteemide kahjustamiseks või delikaatse teabe kogumiseks.
  • Lunavara. Lunavara on teatud tüüpi ründevara, mida ründajad kasutavad kriitilise tähtsusega süsteemide ja andmete pantvangi võtmiseks, ähvardades privaatseid andmeid avalikustada või pilvressursse Bitcoini kaevandamiseks varastada, kui andmete või ressursside omanik ei maksa lunaraha. Viimasel ajal on inimeste juhitavad lunavararünded, mille korral rühm küberründajaid saab juurdepääsu organisatsiooni kogu võrgule, muutumas turbemeeskondade jaoks aina suuremaks murekohaks.
  • Hajusad teenusetõkestusründed (DDoS-ründed). Arvukate robotite abil saavad ründajad halvata veebisaidi või teenuse töö, ujutades selle liiklusega üle.
  • Siseoht. Kõik küberohud ei pärine väljastpoolt organisatsiooni. Alati on olemas oht, et usalduse pälvinud inimesed, kellel on juurdepääs tundlikele andmetele, võivad organisatsiooni kas kogemata või teadlikult kahjustada.
  • Identiteedipõhised ründed. Enamik turbemurdeid hõlmab ründe ohvriks langenud identiteete: küberründed varastavad või arvavad ära kasutaja identimisteabe ning kasutavad seda organisatsiooni süsteemidele ja andmetele juurdepääsu saamiseks.
  • Asjade Interneti (IoT) ründed. IoT seadmed on samuti küberrünnetele haavatavad – eelkõige pärandseadmed, millel pole tänapäevaste seadmetega võrreldavaid sisseehitatud turbemeetmeid.
  • Tarneahelate ründed. Vahel proovib mõne organisatsiooni sihikule võtnud ründaja rikkuda tarkvara või riistvara, mille on tarninud kolmandast osapoolest teenusepakkuja.
  • Koodisüst. Kasutades ära nõrkusi selles, kuidas lähtekood käitleb välisandmeid, saavad küberkurjategijad rakendusse süstida ründekoodi.
Ohtude tuvastamine
Küberturberünnete hoogustumisega sammu pidamiseks kasutavad asutused ohtude modelleerimist turbenõuete määratlemiseks, nõrkuste ja riskide tuvastamiseks ning kahjutustamismeetmete prioriseerimiseks. Hüpoteetilisi stsenaariumeid kasutades proovivad SOC töötajad viia end mõtteviisilt küberkurjategijatega samale lainepikkusele, et turbeintsidente paremini ennetada või nende mõju leevendada. MITRE ATT&CK®-i raamistik on kasulik mudel, mis aitab mõista levinumaid küberründetehnikaid ja -taktikaid.

Mitmekihiline kaitse nõuab tööriistu, mis võimaldavad keskkonda pidevalt reaalajas jälgida ja võimalikke turbeprobleeme päevavalgele tuua. Samuti peavad lahendused kattuma; kui üks tuvastusmeetod on langenud ründe ohvriks, tuvastab teine probleemi ja teavitab turbemeeskonda. Küberohtude tuvastamise lahendused kasutavad ohtude tuvastamiseks mitmesuguseid meetodeid, mille seas on näiteks järgmised.
 
  • Signatuuripõhine tuvastamine. Paljud turbelahendused kontrollivad tarkvara ja liiklust, tuvastamaks kordumatuid signatuure, mis on seostatud teatud kindlat liiki ründevaraga.
  • Käitumispõhine tuvastamine. Uute ja tärkavate küberohtude tabamiseks otsivad turbelahendused ka toiminguid ja käitumisi, mis on küberrünnetes tavalised.
  • Anomaaliapõhine tuvastamine. Tehisintellekt ja analüüsimine aitavad meeskondadel mõista kasutajate, seadmete ja tarkvara tüüpilist käitumist. Sel viisil on võimalik tuvastada ebatavalist käitumist, mis võib viidata küberohule.
Ehkki tarkvara on äärmiselt oluline, on inimestel küberohtude tuvastamisel sama kriitiline roll. Lisaks süsteemi genereeritud teadete triaažile ja uurimisele kasutavad analüütikud ka küberohujahi tehnikaid, et ennetavalt otsida turvarikkemärke või taktikaid, tehnikaid ja protseduure, mis viitavad potentsiaalsele ohule. Need lähenemised aitavad SOC-l kiiresti tuvastada ja peatada ka keerukad, muidu raskesti tuvastavad ründed.

Mis on ohukõrvaldus?

Kui tõenäoline küberoht on kindlaks tehtud, hõlmab ohukõrvaldus ehk ohule reageerimine mis tahes toiminguid, mida SOC teeb selle ohu ohjeldamiseks ja elimineerimiseks, ründest taastumiseks ning sarnaste rünnete edaspidise tõenäosuse vähendamiseks. Paljudes ettevõtetes töötatakse välja intsidentidele reageerimise plaan, mis aitaks töötajaid juhendada potentsiaalse turbemurde käigus, kui organiseeritus ja kiire tegutsemine on äärmiselt oluline. Hea intsidentidele reageerimise plaan sisaldab tegevuskavasid koos üksikasjalike juhistega teatud kindlat tüüpi ohtude, rollide ja kohustuste kohta ning kommunikatsiooniplaani.

TDR-i komponendid, hüved ja parimad tavad

Organisatsioonid kasutavad ohtude tuvastamiseks ja neile reageerimiseks mitmesuguseid tööriistu ja protsesse. Tõhus ohutuvastus ja -kõrvaldus parandab vastupidavust, minimeerib turbemurdeid ja soodustab tavasid, mis aitavad meeskondadel koostööd teha ning vähendavad küberrünnakute sagedust ja kulusid.

Laiendatud ohutuvastus ja -kõrvaldus

Laiendatud ohutuvastuse ja -kõrvalduse (XDR) tooted aitavad turbeoperatsioonide keskustel (SOC) lihtsustada küberohtude ennetamise, tuvastamise ja neile reageerimise kogu elutsüklit. Need lahendused jälgivad lõpp-punkte, pilvrakendusi, meilikontosid ja kasutajaidentiteete. Kui XDR-i lahendus tuvastab küberohu, teavitab see turbemeeskondi ja reageerib teatud intsidentidele SOC määratletud kriteeriumide põhjal automaatselt.

Identiteediohtude tuvastus ja kõrvaldus

Kuna ründajad sihivad sageli töötajaid, on oluline kasutusele võtta tööriistad ja protsessid, mis aitavad organisatsiooni kasutajaidentiteetide vastu suunatud ohte tuvastada ja neile reageerida. Enamasti kasutavad need lahendused kasutajate ja olemite käitumise analüüsi (UEBA), et määratleda kasutaja käitumise võrdlusalus ja leida üles võimalikke ohte kujutavad anomaaliad.

Turbeteabe ja -sündmuste haldus

Nähtavuse saavutamine kogu digitaalses keskkonnas on ohumaastiku mõistmises esimene samm. Enamik SOC meeskondi kasutab turbeteabe ja -sündmuste halduse (SIEM) lahendusi, mis koondavad ja korreleerivad paljude lõpp-punktide, pilvkeskkondade, meilikontode, rakenduste ja kasutajaidentiteetide andmeid. Need lahendused kasutavad tuvastusreegleid ja tegevuskavasid potentsiaalsete küberrünnete kindlakstegemiseks, korreleerides logisid ja teateid. Samuti kasutavad tänapäevased SIEM-id tehisintellekti, mis aitab küberohte tõhusamalt päevavalgele tuua, ning kaasavad uute ja tärkavate küberohtude tuvastamiseks väliseid ohuteabe kanaleid.

Ohuanalüüs

Küberohumaastikust põhjaliku ülevaate saamiseks kasutavad SOC-d tööriistu, mis sünteesivad ja analüüsivad mitmesugustest allikatest (sh lõpp-punktid, meilikontod, pilvrakendused ja välised ohuanalüüsi allikad) pärit andmeid. Nende andmete põhjal saadud teadmised aitavad turbemeeskondadel küberründeks valmistuda, aktiivseid küberohte tuvastada, käimasolevaid turbeintsidente uurida ja tõhusalt reageerida.

Lõpp-punkti ohutuvastus ja -kõrvaldus

Lõpp-punkti ohutuvastuse ja -kõrvalduse (EDR) lahendused on XDR-lahenduste varasem versioon, mis keskendub ainult lõpp-punktidele, nagu arvutid, serverid, mobiilseadmed ja asjade internet. Sarnaselt XDR-i lahendustega genereerivad need lahendused võimaliku ründe tuvastamisel teate ja reageerivad teatud rünnete korral (mille käitumine on etteaimatav) automaatselt. Kuna EDR-i lahendused keskenduvad ainult lõppseadmetele, on enamik organisatsioone üle kolimas XDR-i lahendustele.

Nõrkusehaldus

Nõrkusehaldus on pidev, ennetav ja sageli automaatne protsess, mis kaitseb arvutisüsteeme, võrke ja ettevõtterakendusi turbenõrkuste eest. Nõrkusehalduse lahendused hindavad nõrkuste raskusastet ja riskitaset ning koostavad teateid, mida SOC saab kasutada probleemide kõrvaldamiseks.

Turbe orkestreerimine, automatiseerimine ja intsidentidele reageerimine

Turbe korraldamise, automatiseerimise ja reageerimise (SOAR) lahendused aitavad küberohtude tuvastamist ja neile reageerimist lihtsustada, tuules sise- ja välisandmed ning tööriistad ühte kohta kokku. Samuti automatiseerivad need küberohtudele reageerimise, võttes aluseks komplekti eelmääratletud reegleid.

Hallatav ohutuvastus ja -kõrvaldus

Kõigil organisatsioonidel pole ressursse küberohtude tõhusaks tuvastamiseks ja nende kõrvaldamiseks. Hallatav ohutuvastus ja -kõrvaldus – lugege hallatava ohutuvastuse ja -kõrvalduse (MDR) kohta ning selle kohta, kuidas see aitab kaitsta teie organisatsiooni küberohtude eest.Hallatava ohutuvastuse ja -kõrvalduse teenused aitavad neil organisatsioonidel oma turbemeeskondi täiendada ohtude jahtimiseks ja asjakohaseks reageerimiseks vajalike tööriistade ja inimestega.
Tagasi vahekaartidele

Ohutuvastuse ja -kõrvalduse lahendused

Ohutuvastuse ja -kõrvaldus on kriitilise tähtsusega funktsioon, mida kõik ettevõtted saavad kasutada selleks, et küberohud üles leida ja kõrvaldada veel enne seda, kui need jõuavad kahju tekitada. Microsofti turbeteenus pakub mitut ohutõrjelahendust, mis aitavad turbemeeskondadel küberohte jälgida, tuvastada ja kõrvaldada. Piiratud ressurssidega organisatsioonidele pakuvad Microsoft Defenderi eksperdid olemasolevate töötajate ja tööriistade täiendamiseks hallatavaid teenuseid.
Ressursid

Lisateave Microsofti turbeteenuse kohta

  1.
andmearvulaudade ümber kontoris koostööd tegev meeskond.

Ühtne turbeoperatsioonide lahendus

Ühtse tuvastus-, uurimis- ja reageerimislahenduse abil saate kaitsta kogu oma digivara.
Lisateave
kontorilaudade taga koostööd tegevad kolleegid

Microsoft Defender XDR

Intsidenditaseme nähtavus ja automaatne ründekatkestus võimaldab ohtudele kiiremini reageerida.
Lisateave
elutoas tahvelarvutit kasutav inimene.

Microsoft Sentinel

Ühendage turbeandmed ja kontekst, et toetada agentset kaitset platvormiga SIEM &, mis on tehisintellektikeskne.
Lisateave
akna all sülearvutiga töötav inimene.

Microsoft Defenderi XDR-i eksperdid

Hallatav XDR-i teenus aitab teil ründajaid peatada ja edaspidiseid turbemurdeid ennetada.
Lisateave
koosolekuruumis esitlust arutav meeskond.

Microsoft Defenderi nõrkusehaldus

Küberohte aitab vähendada pidev nõrkuste hindamine, riskipõhine prioriseerimine ja kahjutustamine.
Lisateave
kaks professionaali vestlemas kaasaegses kontori puhkeruumis.

Microsoft Defender for Business

Kaitske oma väikest või keskmise suurusega ettevõtet küberrünnete (nt ründevara ja lunavara) eest.
Lisateave
Tagasi seotud toodete jaotise juurde
KKK

Korduma kippuvad küsimused

  • Täiustatud ohutuvastus hõlmab tehnikaid ja tööriistu, mida turbetöötajad kasutavad püsiohtude tuvastamiseks: need on keerukad ohud, mis on loodud pikemalt tuvastamata jäämiseks. Need ohud on sageli tõsisemad ja võivad hõlmata spionaaži või andmevargust.
  • Peamised ohutuvastusmeetodid on turbelahendused (nt SIEM või XDR), mis analüüsivad tegevusi kogu keskkonnas, et tuvastada turberikkemärke või ootuspärasest kõrvale kalduvat käitumist. Inimesed kasutavad neid tööriistu potentsiaalsete ohtude triaaži jaoks (tähtsuse järgi järjestamiseks) ja neile reageerimiseks. Samuti kasutavad nad XDR-i ja SIEM-i, et jahtida oskuslikke ründajaid, kes võivad tuvastamisest kõrvale hiilida.
  • Ohutuvastus on protsess, mille käigus tuuakse päevavalgele potentsiaalsed turberiskid, sealhulgas tegevused, mis võivad viidata seadme, tarkvara, võrgu või identiteedi ründe ohvriks langemisele. Intsidentidele reageerimine hõlmab toiminguid, mida turbemeeskond ja automaatsed tööriistad küberohu ohjeldamiseks ja kõrvaldamiseks ette võtavad.
  • Ohutuvastuse ja -kõrvalduse protsess hõlmab järgmist.
     
    • Ohutuvastus. Turbetööriistad, mis jälgivad lõpp-punkte, identiteete, võrke, rakendusi ja pilvkeskkondi, aitavad ohte ja võimalikke turbemurdeid päevavalgele tuua. Turbespetsialistid kasutavad alles pead tõstvate küberohtude leidmiseks ka küberohujahi tehnikaid.
    • Uurimine. Pärast riski tuvastamist kasutavad inimesed tehisintellekti ja muid tööriistu veendumaks, et küberoht on reaalne. Samuti tehakse kindlaks, kuidas see aset leidis ning milliseid ettevõtte varasid see mõjutab.
    • Tõkestamine. Küberründe leviku peatamiseks isoleerivad küberturbemeeskonnad nakatunud seadmed, identiteedid ja võrgud organisatsiooni ülejäänud varadest.
    • Likvideerimine. Meeskonnad eemaldavad turbeintsidendi algpõhjuse, et vaenlane keskkonnast täielikult välja juurida ja kõrvaldada nõrkused, mille tõttu võiks organisatsioon edaspidi uuesti sarnase küberründe ohvriks langeda.
    • Taastamine. Pärast seda, kui meeskonnad on mõistlikult veendunud, et küberoht või nõrkus on eemaldatud, toovad nad isoleeritud süsteemid uuesti võrku tagasi.
    • Aruanne. Olenevalt intsidendi raskusastmest dokumenteerivad turbemeeskonnad ründe ning teavitavad juhtkonda, juhatust ja/või nõukogu sellest, mis juhtus ja kuidas see lahendati.
    • Riskileevendus. Sarnase turbemurde kordumise vältimiseks ja edaspidi paremini reageerimiseks uurivad meeskonnad intsidenti ning otsustavad, milliseid muudatusi tuleks keskkonnas ja protsessides teha.
  • TDR on ingliskeelne lühend, mis tähistab ohutuvastust ja -kõrvaldust – protsessi, mille eesmärk on teha kindlaks organisatsiooni ähvardavad küberturbeohud ja võtta kasutusele meetmed nende ohtude kahjutustamiseks veel enne seda, kui need jõuavad reaalset kahju teha. EDR tähistab lõpp-punkti ohutuvastust ja -kõrvaldust – selle kategooria tarkvaratoodete otstarve on jälgida organisatsiooni lõpp-punkte ehk lõppseadmeid potentsiaalsete küberrünnete tuvastamiseks, nende küberohtude toomist turbemeeskonna vaatevälja ja teatud tüüpi küberrünnetele automaatselt reageerimist.

Jälgige Microsofti turbeteenust

Copilot organisatsioonidele Copilot isiklikuks kasutuseks Microsoft 365 Windows 11 rakendused Konto profiil Allalaadimiskeskus Tagastused Tellimuse jälgimine Ringlussevõtt Commercial Warranties Microsoft Education Haridusseadmed Microsoft Teams haridusasutustele Microsoft 365 Education Office Education Haridustöötajate koolitus ja arendus Pakkumised õpilastele ja vanematele Azure õpilastele
Microsoft AI Microsofti turve Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teamsi jaoks Microsofti arendaja Microsoft Learn Tehisintellekti-turuplatsi rakenduste tugi Microsofti tehnoloogiakogukond Microsoft Marketplace Microsoft Power Platform Tarkvaraettevõtted Visual Studio Töökohad Teave Microsofti kohta Privaatsus Microsoftis Investorid
Eesti (Eesti) Tarbijaseisundi privaatsus Võtke Microsoftiga ühendust Privaatsus Halda küpsiseid Kasutustingimused Kaubamärgid Reklaamide kohta EU Compliance DoCs