This is the Trace Id: bfdccf3c515e79641c9b47bcdcff2d5b
Siirry pääsisältöön Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Näytä kaikki tuotteet Tekoälyä hyödyntävä kyberturvallisuus Pilvipalvelujen suojaus Tietoturva ja hallinto Käyttäjätiedot ja verkon käyttöoikeudet Tietosuoja ja riskien hallinta Tekoälyn suojaus Pienet ja keskisuuret yritykset Yhdistetty SecOps Zero Trust -suojausmalli Hinnoittelu Palvelut Kumppanit Miksi kannattaa valita Microsoft Security Kyberturvallisuustietoisuus Asiakkaiden kertomuksia Tietoturvan perusteet Tuotekokeilut Toimialan tunnustus Microsoft Security Insider Microsoft Digital Defense Report -raportti Security Response Center Microsoft Security ‑blogi Microsoft Security -tapahtumat Microsoft Tech Community Käyttöoppaat Tekninen sisältökirjasto Koulutus ja sertifioinnit Compliance Program for Microsoft Cloud Microsoftin luottamuskeskus Service Trust Portal Microsoft Secure Future Initiative Yritysratkaisukeskus Ota yhteys myyntiin Aloita maksuton kokeilu Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoftin tekoäly Azure Space Yhdistetty todellisuus Microsoft HoloLens Microsoft Viva Kvanttilaskenta Koulutus Autoilu Talouspalvelut Julkishallinto Terveydenhoito Teollinen valmistus Vähittäiskauppa Etsi kumppani Ryhdy kumppaniksi Kumppaniverkosto Microsoft Marketplace Ohjelmistoyritykset Blogi Microsoft Advertising Kehittäjäkeskus Ohjeet Tapahtumat Käyttöoikeudet Microsoft Learn Microsoft Research Näytä sivustokartta
Tässä on pyydetty vaihtoehtoinen teksti ilman viittausta sumeisiin kasvoihin: **Vaihtoehtoinen teksti:** Henkilö pitelee tablettia palvelintilassa ja katsoo kojelautaa, jossa näkyy kaavioita ja järjestelmämittareita.

Mitä vaarantumisindikaattorit (IOC:t) ovat?

Opi valvomaan, tunnistamaan ja käyttämään vaarantumisindikaattoreita sekä vastaamaan niihin.
Tutustu Microsoft Defender Threat Intelligence -tuotteisiin

Vaarantumisindikaattorit selitettyinä

Vaarantumisindikaattori eli IOC on todiste siitä, että joku on saattanut murtautua organisaation verkkoon tai päätepisteeseen. Nämä tutkimustiedot eivät ainoastaan ilmaise mahdollista uhkaa, vaan ne osoittavat, että hyökkäys, kuten haittaohjelma, vaarantuneet tunnistetiedot tai tietojen luvaton siirto, on jo tapahtunut. Suojausammattilaiset etsivät IOC-kohteita tapahtumalokeista, laajennetun havaitsemisen ja reagoinnin (XDR) ratkaisuista sekä suojaustietojen ja tapahtumien hallinnan (SIEM) ratkaisuista. Hyökkäyksen aikana tiimi käyttää IOC-kohteita uhkan poistamiseen ja vahinkojen lieventämiseen. Palautuksen jälkeen IOC:t auttavat organisaatiota ymmärtämään tapahtuneen paremmin, jotta organisaation suojaustiimi voi vahvistaa suojausta ja vähentää toisen samankaltaisen tapauksen riskiä.

IOC-esimerkit

IOC-suojauksessa IT valvoo ympäristöä seuraavien vihjeiden varalta siitä, että hyökkäys on käynnissä:

Verkkoliikenteen poikkeamat

Useimmissa organisaatioissa on yhdenmukaisia malleja verkkoliikenteelle, joka kulkee digitaalisessa ympäristössä sisään ja ulos. Kun tämä muuttuu, esimerkiksi jos organisaatiosta poistuu huomattava määrä tietoja tai jos verkossa on toimintaa epätavallisesta sijainnista, se voi olla merkki hyökkäyksestä.

Epätavalliset kirjautumisyritykset

Verkkoliikenteen tavoin ihmisten työtavat ovat ennakoitavissa. He yleensä kirjautuvat sisään samoista sijainneista suunnilleen samoihin aikoihin viikon aikana. Suojausammattilaiset voivat havaita vaarantuneen tilin kiinnittämällä huomiota kirjautumisiin outoina vuorokaudenaikoina tai epätavallisista maantieteellisistä sijainneista, kuten maasta, jossa organisaatiolla ei ole toimistoa. On myös tärkeää huomioida useat epäonnistuneet kirjautumiset samalta tililtä. Vaikka käyttäjät usein unohtavat salasanojaan tai heillä on ongelmia sisäänkirjautumisessa, he yleensä pystyvät ratkaisemaan asian muutaman yrityksen jälkeen. Toistuvat epäonnistuneet kirjautumisyritykset saattavat ilmaista, että joku yrittää päästä organisaatioon varastetun tilin avulla.

Oikeutetun tilin epätavallinen käyttö

Monet hyökkääjät, olivatpa he sitten sisä- tai ulkopuolisia, ovat kiinnostuneita järjestelmänvalvojatilien käytöstä ja arkaluonteisten tietojen hankinnasta. Näihin tileihin liittyvä epätavallinen toiminta, kuten henkilön yritys nostaa omia oikeuksiaan, voi olla merkki rikkomuksesta.

Järjestelmämääritysten muutokset

Haittaohjelmat on usein ohjelmoitu tekemään muutoksia järjestelmämäärityksiin, kuten sallimaan etäkäyttö tai poistamaan suojausohjelmisto käytöstä. Valvomalla näitä odottamattomia määritysmuutoksia suojausammattilaiset voivat tunnistaa rikkomuksen, ennen kuin liikaa vahinkoa ehtii tapahtua.

Odottamattomat ohjelmistoasennukset tai -päivitykset

Monet hyökkäykset alkavat sellaisten ohjelmistojen, kuten haittaohjelmien tai kiristysohjelmien, asentamisella, joiden tarkoituksena on tehdä tiedostoista käyttökelvottomia tai antaa hyökkääjille verkon käyttöoikeus. Valvomalla suunnittelemattomia ohjelmistoasennuksia ja -päivityksiä organisaatiot huomaavat nämä IOC:t nopeasti.

Useita saman tiedoston pyyntöjä

Useat yksittäisen tiedoston pyynnöt saattavat ilmaista, että huonoaikeinen toimija yrittää varastaa sen ja on yrittänyt käyttää sitä useilla tavoilla.

Epätavalliset toimialueen nimijärjestelmän pyynnöt

Jotkut huonoaikeiset toimijat käyttävät hyökkäysmenetelmää nimeltä Komento ja hallinta. He asentavat organisaation palvelimeen haittaohjelman, joka luo yhteyden heidän omistamaansa palvelimeen. Tämän jälkeen he lähettävät komentoja palvelimeltaan tartunnan saaneeseen koneeseen, jotta he voivat varastaa tietoja tai häiritä toimintoja. Epätavalliset toimialueen nimijärjestelmän (DNS) pyynnöt auttavat IT-osastoa tunnistamaan nämä hyökkäykset.

IOC-tunnistaminen

Digitaalisen hyökkäyksen merkit tallennetaan lokitiedostoihin. Osana IOC-kyberturvallisuutta tiimit valvovat säännöllisesti digitaalisia järjestelmiä epäilyttävän toiminnan varalta. Nykyaikaiset SIEM- ja XDR-ratkaisut yksinkertaistavat prosessia tekoäly- ja koneoppimisalgoritmeilla, jotka muodostavat perustan organisaation normaalille toiminnalle ja ilmoittavat sitten tiimille poikkeamista. On myös tärkeää sitouttaa muutkin kuin suojaustyöntekijät, jotka saattavat saada epäilyttäviä sähköpostiviestejä tai ladata vahingossa tartunnan saaneen tiedoston. Hyvät tietoturvakoulutusohjelmat auttavat työntekijöitä havaitsemaan vaarantuneet sähköpostiviestit paremmin ja tarjoavat heille tapoja ilmoittaa kaikesta epätavallisesta.

Miksi IOC:t ovat tärkeitä

Vaarantumisindikaattoreiden valvonta on erittäin tärkeää organisaation suojausriskin pienentämiseksi. Varhaisen IOC-tunnistamisen avulla suojaustiimit voivat reagoida hyökkäyksiin ja ratkaista ne nopeasti, mikä vähentää käyttökatkojen ja häiriöiden määrää. Säännöllinen valvonta antaa tiimeille myös enemmän tietoa organisaation haavoittuvuuksista, joita voidaan sitten lieventää.

Vaarantumisindikaattoreihin vastaaminen

Kun suojaustiimit tunnistavat IOC:n, heidän on reagoitava tehokkaasti varmistaakseen mahdollisimman vähäisen vahingon organisaatiolle. Seuraavien vaiheiden avulla organisaatiot voivat keskittyä ja pysäyttää uhat mahdollisimman nopeasti:

Luo tapausten käsittelysuunnitelma

Tapaukseen vastaaminen on stressaavaa ja se tulee tehdä nopeasti, koska mitä kauemmin hyökkääjät pysyvät tunnistamattomina, sitä todennäköisemmin he saavuttavat tavoitteensa. Monet organisaatiot kehittävät tapausten käsittelyn suunnitelman, joka auttaa tiimejä reagoinnin kriittisissä vaiheissa. Suunnitelmassa selvennetään roolit ja vastuualueet, tapauksen ratkaisemiseen tarvittavat vaiheet sekä sen, miten organisaatio määrittää tapauksen ja miten tiimin tulisi viestiä työntekijöille ja ulkopuolisille sidosryhmille.

Eristä vaarantuneet järjestelmät ja laitteet

Kun organisaatio on tunnistanut uhan, suojaustiimi eristää nopeasti hyökkäyksen kohteena olevat sovellukset tai järjestelmät muista verkoista. Näin hyökkääjiä voidaan estää pääsemästä yrityksen muihin osiin.

Tee tutkimusanalyysi

Tutkimusanalyysin avulla organisaatiot voivat paljastaa kaikki tietomurron piirteet, mukaan lukien lähteen, hyökkäyksen tyypin ja hyökkääjän tavoitteet. Analyysi tehdään hyökkäyksen aikana, jotta voidaan ymmärtää vaarantumisen laajuus. Kun organisaatio on palautunut hyökkäyksestä, lisäanalyysi auttaa tiimiä ymmärtämään mahdollisia haavoittuvuuksia ja muita merkityksellisiä tietoja.

Poista uhka

Tiimi poistaa hyökkääjän ja mahdolliset haittaohjelmat asianomaisista järjestelmistä ja resursseista, mikä voi vaatia järjestelmien siirtämisen offline-tilaan.

Ota käyttöön suojaus- ja prosessiparannukset

Kun organisaatio on palautunut tapauksesta, on tärkeää arvioida, miksi hyökkäys tapahtui ja olisiko organisaatio voinut tehdä mitään sen estämiseksi. Saatavilla voi olla prosessi- ja käytäntöparannuksia, jotka vähentävät samankaltaisen hyökkäyksen riskiä tulevaisuudessa, tai tiimi voi löytää aiempaa kattavampia ratkaisuja lisättäväksi suojauksen toteutussuunnitelmaan.



IOC-ratkaisut

Useimmat tietoturvarikkomukset jättävät lokitiedostoihin ja -järjestelmiin tutkimustodisteiden polun. Oppimalla tunnistamaan ja valvomaan vaarantumisindikaattoreita organisaatiot voivat nopeasti eristää ja poistaa hyökkääjiä. Monet tiimit käyttävät SIEM-ratkaisuja, kuten Microsoft Sentineliä ja Microsoft Defender XDR:ää, jotka käyttävät tekoälyä ja automaatiota IOC:iden löytämiseen ja niiden korreloimiseen muiden tapahtumien kanssa. Tapausten käsittelysuunnitelman avulla tiimit voivat päästä hyökkäysten edelle ja pysäyttää ne nopeasti. Kyberturvallisuuden osalta mitä nopeammin yritykset ymmärtävät tapahtumat, sitä todennäköisemmin ne pystyvät pysäyttämään hyökkäyksen ennen kuin se aiheuttaa taloudellisia menetyksiä ja mainehaittaa. IOC-suojaus on avain, jonka avulla organisaatiot voivat vähentää kalliin tietoturvarikkomuksen riskiä.
Resurssit

Lue lisää Microsoft Securitystä

  1.
Mies ja nainen istuvat pöydän ääressä. Nainen kirjoittaa kirjaan, ja kannettava tietokone on näkyvissä.

Microsoft Threat Protection

Tunnista tapaukset koko organisaatiossasi ja käsittele ne uhilta suojautumisen uusimmilla ominaisuuksilla.
Lue lisää
Henkilö istuu työpöydän ääressä ja käyttää kannettavaa tietokonetta.

Microsoft Sentinel

Yhdistä suojaustiedot ja konteksti agenttipohjaisen puolustuksen tehostamiseksi SIEM:n & tekoälyvalmiin käyttöympäristön avulla.
Lue lisää
Nainen, joka katsoo matkapuhelinta.

Microsoft Defender XDR

Pysäytä hyökkäykset päätepisteisiin, sähköpostiin, käyttäjätietoihin, sovelluksiin ja tietoihin XDR-ratkaisujen avulla.
Lue lisää
Kolmen ihmisen ryhmä kirkkaassa toimistossa hymyilee innostuneena katsoessaan kannettavaa tietokonetta, jota yksi henkilö pitelee.

Uhkatietämyksen yhteisö

Saa uusimmat päivitykset Microsoft Defender Threat Intelligence -yhteisöversiosta.
Lue lisää
Takaisin Liittyvät tuotteet -osioon
Usein kysytyt kysymykset

Usein kysytyt kysymykset

  • On olemassa useita IOC-tyyppejä. Yleisimpiä ovat seuraavat:
    • Verkkoliikenteen poikkeamat
    • Epätavalliset kirjautumisyritykset
    • Oikeutetun tilin epätavallinen käyttö
    • Järjestelmämääritysten muutokset
    • Odottamattomat ohjelmistoasennukset tai -päivitykset
    • Useita saman tiedoston pyyntöjä
    • Epätavalliset toimialueen nimijärjestelmän pyynnöt
  • Vaarantumisindikaattori on digitaalinen todiste siitä, että hyökkäys on jo tapahtunut. Hyökkäysindikaattori on todiste siitä, että hyökkäys todennäköisesti tapahtuu. Esimerkiksi tietojenkalastelukampanja on hyökkäysindikaattori, koska ei ole todisteita siitä, että hyökkääjä olisi murtautunut yritykseen. Jos joku kuitenkin napsauttaa tietojenkalastelulinkkiä ja lataa haittaohjelman, haittaohjelman asentaminen on vaarantumisindikaattori.
  • Sähköpostin vaarantumisindikaattoreita ovat esimerkiksi roskapostin yhtäkkinen tulva, oudot liitteet tai linkit tai odottamaton sähköpostiviesti tunnetulta henkilöltä. Jos työntekijä esimerkiksi lähettää työtoverille oudon liitteen sisältävän sähköpostiviestin, se saattaa ilmaista, että hänen tilinsä on vaarantunut.
  • Vaarantunut järjestelmä voidaan tunnistaa monella tavalla. Tietyn tietokoneen verkkoliikenteen muutos voi olla merkki siitä, että siihen on murtauduttu. Jos henkilö, joka ei yleensä tarvitse järjestelmää, alkaa käyttää sitä säännöllisesti, kyseessä on varoittava merkki. Järjestelmän määritykseen tehdyt muutokset tai odottamaton ohjelmiston asennus saattavat myös ilmaista, että se on vaarantunut.
  • Kolme IOC-esimerkkiä ovat seuraavat:
    • Pohjois-Amerikassa sijaitseva käyttäjätili alkaa kirjautua yritysresursseihin Euroopasta käsin.
    • Tuhansia käyttöoikeuspyyntöjä useilta käyttäjätileiltä, mikä osoittaa, että organisaatio on väsytyshyökkäyksen kohteena.
    • Uudet toimialueen nimijärjestelmäpyynnöt uudesta isännästä tai maasta, jossa työntekijät ja asiakkaat eivät asu.

Seuraa Microsoft Securitya

Surface Pro Surface Laptop Copilot organisaatioille Copilot henkilökohtaiseen käyttöön Microsoft 365 Tutustu Microsoftin tuotteisiin Windows 11 -sovellukset Tiliprofiili Latauskeskus Microsoft Storen tuki Palautukset Tilausseuranta Kierrätys Kaupalliset takuut Microsoft Education Laitteet opetukseen Microsoft Teams for Education Microsoft 365 Education Office Education Educator-koulutus ja -kehitys Tarjoukset opiskelijoille ja vanhemmille Azure opiskelijoille
Microsoftin tekoäly Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pienyritykset Microsoft-kehittäjät Microsoft Learn Marketplacen tekoälysovellusten tuki Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Ohjelmistoyritykset Visual Studio Työpaikat Tietoja Microsoftista Yritysuutiset Microsoftin tietosuoja Sijoittajat
Suomi (Suomi) Kuluttajien terveystietojen tietosuoja Ota yhteyttä Microsoftiin Tietosuoja Hallitse evästeitä Käyttöluvat Tavaramerkit Tietoja mainoksista EU Compliance DoCs