This is the Trace Id: fb833df13cfd6324a82d1d7a36752af3
Siirry pääsisältöön Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Näytä kaikki tuotteet Tekoälyä hyödyntävä kyberturvallisuus Pilvipalvelujen suojaus Tietoturva ja hallinto Käyttäjätiedot ja verkon käyttöoikeudet Tietosuoja ja riskien hallinta Tekoälyn suojaus Pienet ja keskisuuret yritykset Yhdistetty SecOps Zero Trust -suojausmalli Hinnoittelu Palvelut Kumppanit Miksi kannattaa valita Microsoft Security Kyberturvallisuustietoisuus Asiakkaiden kertomuksia Tietoturvan perusteet Tuotekokeilut Toimialan tunnustus Microsoft Security Insider Microsoft Digital Defense Report -raportti Security Response Center Microsoft Security ‑blogi Microsoft Security -tapahtumat Microsoft Tech Community Käyttöoppaat Tekninen sisältökirjasto Koulutus ja sertifioinnit Compliance Program for Microsoft Cloud Microsoftin luottamuskeskus Service Trust Portal Microsoft Secure Future Initiative Yritysratkaisukeskus Ota yhteys myyntiin Aloita maksuton kokeilu Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoftin tekoäly Azure Space Yhdistetty todellisuus Microsoft HoloLens Microsoft Viva Kvanttilaskenta Koulutus Autoilu Talouspalvelut Julkishallinto Terveydenhoito Teollinen valmistus Vähittäiskauppa Etsi kumppani Ryhdy kumppaniksi Kumppaniverkosto Microsoft Marketplace Ohjelmistoyritykset Blogi Microsoft Advertising Kehittäjäkeskus Ohjeet Tapahtumat Käyttöoikeudet Microsoft Learn Microsoft Research Näytä sivustokartta
Mies työskentelee kannettavalla tietokoneella.

Mikä on kyberuhkien etsintä?

Kyberuhkien etsintä on prosessi, jossa etsitään ennakoivasti tuntemattomia tai havaitsemattomia uhkia organisaation verkosta, päätepisteistä ja tiedoista.
Tutustu Microsoft Sentineliin

Miten kyberuhkien etsintä toimii

Kyberuhkien etsintä käyttää uhkien etsijöitä etsimään ennaltaehkäisevästi mahdollisia uhkia ja hyökkäyksiä järjestelmästä tai verkosta. Näin voit vastata ketterästi ja tehokkaasti yhä monimutkaisempiin ihmisten tekemiin kyberhyökkäyksiin. Vaikka perinteiset kyberturvallisuusmenetelmät tunnistavat tietoturvarikkomukset sen jälkeen, kyberuhkien etsintä toimii olettaen, että tietomurto on tapahtunut, ja se voi tunnistaa, mukauttaa ja reagoida mahdollisiin uhkiin heti havaitsemisen jälkeen.

Kehittyneet hyökkääjät voivat murtautua organisaatioon ja pysyä tunnistamattomina pitkiä aikoja (päiviä, viikkoja tai jopa pidempään). Kyberuhkien etsinnän lisääminen nykyiseen suojaustyökalujen profiiliisi, kuten päätepisteen tunnistukseen ja käsittelyyn (EDR) sekä suojaustietoihin ja tapahtumien hallintaan (SIEM), voi auttaa estämään ja korjaamaan hyökkäyksiä, jotka eivät muuten jää havaitsematta automaattisilta suojaustyökaluilta.

Automaattinen uhkien etsintä

Kyberuhkien etsijät voivat automatisoida prosessin tiettyjä ominaisuuksia koneoppimisen, automaation ja tekoälyn avulla. SIEM:n ja EDR:n kaltaisten ratkaisujen hyödyntäminen voi auttaa uhkien etsijöitä tehostamaan etsintämenetelmiä valvomalla, havaitsemalla ja reagoimalla mahdollisiin uhkiin. Uhkien etsijät voivat luoda ja automatisoida erilaisia käsikirjoja vastatakseen erilaisiin uhkiin, mikä vähentää IT-tiimien taakkaa aina, kun samanlaisia hyökkäyksiä ilmenee.

Työkalut ja tekniikat kyberuhkien etsintään

Uhkien etsijöillä on käytettävissään useita työkaluja, kuten SIEM ja XDR, jotka on suunniteltu toimimaan yhdessä.

  • SIEM: Ratkaisu, joka kerää tietoja useista lähteistä reaaliaikaisen analyysin avulla, voi tarjota uhkien etsijöille vihjeitä mahdollisista uhkista.
  • Laajennettu havaitseminen ja reagointi (XDR): Uhkien etsijät voivat käyttää XDR:ää, joka tarjoaa uhkatietoja ja automaattista hyökkäysten keskeyttämistä, jotta ne saavat paremman näkyvyyden uhkiin.
  • EDR: EDR, joka valvoo loppukäyttäjien laitteita, tarjoaa myös uhkien etsijöille tehokkaan työkalun, joka antaa heille tietoa mahdollisista uhkista organisaation kaikissa päätepisteissä.

Kyberuhkien etsinnän kolme tyyppiä

Kyberuhkien etsintä tapahtuu yleensä jollakin seuraavista kolmesta muodosta:

Rakenteellinen: Rakenteellisessa etsinnässä uhkien etsijät etsivät epäilyttäviä taktiikoita, tekniikoita ja toimenpiteitä, jotka viittaavat mahdollisiin uhkiin. Sen sijaan, että uhkan etsijä olisi lähestymässä tietoja tai järjestelmää ja etsimässä tietomurtoja, se luo hypoteesin mahdollisen hyökkääjän menetelmästä ja pyrkii järjestelmällisesti tunnistamaan hyökkäyksen oireet. Koska jäsennetty etsintä on ennakoivampi lähestymistapa, tätä taktiikkaa käyttävät IT-ammattilaiset voivat usein pysäyttää hyökkääjiä nopeasti.

Rakenteeton: Rakenteettomassa etsinnässä kyberuhkien etsijä etsii vaarantumisindikaattoria (IoC) ja suorittaa haun tästä lähtökohdasta. Koska uhkien etsijä voi palata takaisin ja etsiä historiallisia tietoja kuvioista ja vihjeistä, rakenteettomalla etsinnällä voidaan joskus tunnistaa aiemmin havaitsemattomia uhkia, jotka saattavat silti altistaa organisaation uhille.

Tilannekohtainen: Tilannekohtainen uhkien etsintä priorisoi tietyt resurssit tai tiedot digitaalisessa ekosysteemissä. Jos organisaatio arvioi, että tietyt työntekijät tai resurssit ovat suurimmat riskit, se voi ohjata kyberuhkien etsijöitä keskittämään voimansa tai estämään tai korjaamaan hyökkäyksiä näitä haavoittuvassa asemassa olevia henkilöitä, tietojoukkoja tai päätepisteitä vastaan.

Uhkien etsinnän vaiheet ja toteutus

Kyberuhkien etsijät noudattavat usein näitä perusvaiheita uhkien ja hyökkäysten tutkimisessa ja korjaamisessa:

  1. Luo teorian tai hypoteesin mahdollisesta uhasta. Uhkien etsijät saattavat aloittaa tunnistamalla hyökkääjän yleiset TTP:t.
  2. Tekee tutkimusta. Uhkien etsijät tutkivat organisaation tietoja, järjestelmiä ja toimintoja – SIEM-ratkaisu voi olla hyödyllinen työkalu – ja keräävät ja käsittelevät olennaisia tietoja.
  3. Tunnistaa käynnistimen. Tutkimushavainnot ja muut suojaustyökalut voivat auttaa uhkien etsijöitä määrittämään tutkimuksensa lähtöpisteen.
  4. Tutkii uhan. Uhkien etsijät selvittävät tutkimus- ja tietoturvatyökalujensa avulla, onko uhka haitallinen.
  5. Vastaa ja korjaa. Uhkien etsijät ryhtyvät toimiin ratkaistakseen uhan.

Uhkien tyypit, joita etsijät voivat havaita

Kyberuhkien etsintä pystyy tunnistamaan monenlaisia uhkia, kuten seuraavat:

  • Haittaohjelmat ja virukset: Haittaohjelmat haittaavat normaalien laitteiden käyttöä hankkimalla luvattoman pääsyn päätepistelaitteisiin. Tietojen kalastelu -hyökkäykset, vakoiluohjelmat, mainosohjelmat, troijalaiset, madot ja kiristysohjelmat ovat kaikki esimerkkejä haittaohjelmista. Virukset, jotka ovat yleisimpiä haittaohjelmamuotoja, on suunniteltu häiritsemään laitteen normaalia toimintaa tallentamalla, vioittamalla tai poistamalla sen tiedot ennen leviämistä verkon muihin laitteisiin.
  • Sisäiset uhat: Sisäiset uhat johtuvat henkilöistä, joilla on valtuutettu käyttöoikeus organisaation verkkoon. Nämä sisäiset käyttäjät käyttävät väärin tai aiheuttavat vahinkoa organisaation verkoille, tiedoille, järjestelmille tai laitteistoille joko haitallisella toiminnalla tai tahattomalla tai huolimattomalla käyttäytymisellä.
  • Kehittyneet pysyvät uhat: Kehittyneet toimijat, jotka murtautuvat organisaation verkkoon ja pysyvät tunnistamattomina jonkin aikaa, edustavat kehittyneitä jatkuvia uhkia. Nämä hyökkääjät ovat taitavia ja usein niillä on hyvät resurssit.
    Käyttäjän manipulointihyökkäykset: Kyberhyökkääjät voivat käyttää manipulointia ja petosta johtaakseen organisaation työntekijöitä antamaan käyttöoikeus tai luottamuksellisia tietoja. Yleisiä käyttäjän manipulointi -hyökkäyksiä ovat tietojenkalastelu, houkuttelu ja vakoiluohjelmat.

Kyberuhkien etsinnän parhaat käytännöt

Kun toteutat kyberuhkien etsintäprotokollaa organisaatiossasi, pidä mielessä seuraavat parhaat käytännöt:
 
  • Anna uhkien etsijöille täysi näkyvyys organisaatioosi. Uhkien etsijät menestyvät parhaiten, kun ne ymmärtävät kokonaiskuvan.
  • Ylläpidä täydentäviä suojaustyökaluja kuten SIEM, XDR ja EDR. Kyberuhkien etsijät luottavat näiden työkalujen tarjoamiin automaatioihin ja tietoihin, jotta ne voivat tunnistaa uhat nopeammin ja laajemmassa kontekstissa, mikä nopeuttaa niiden ratkaisemista.
  • Pysy ajan tasalla uusimmista nousevista uhkista ja taktiikoista. Hyökkääjät ja heidän taktiikkansa kehittyvät jatkuvasti – varmista, että uhkien etsijöillä on ajantasaisimmat resurssit nykyisiin trendeihin.
  • Kouluta työntekijöitä tunnistamaan epäilyttävät toimintatavat ja ilmoittamaan niistä. Vähennä sisäpiiriuhkien mahdollisuutta pitämällä ihmiset ajan tasalla.
  • Ota käyttöön haavoittuvuuksien hallinta, jotta voit vähentää organisaation yleistä riskialttiutta.

Miksi uhkien etsintä on tärkeää organisaatioille

Kun pahantahtoiset toimijat kehittyvät yhä paremmiksi hyökkäysmenetelmissään, on tärkeää, että organisaatiot investoivat ennakoivaan kyberuhkien etsintään. Kyberuhkien etsintä täydentää passiivisempia uhkien torjuntamuotoja, ja se sulkee tietoturva-aukot, jolloin organisaatiot voivat korjata uhkia, joita ei muuten havaita. Monimutkaisten hyökkääjien uhkien poistaminen tarkoittaa, että organisaatioiden on suojattava itseään säilyttääkseen luottamuksensa arkaluonteisten tietojen käsittelyyn ja vähentääkseen tietoturvarikkomuksiin liittyviä kustannuksia.

Tuotteet, kuten Microsoft Sentinel, voivat auttaa pysymään uhkien edellä keräämällä, tallentamalla ja käyttämällä historiallisia tietoja pilvipalvelun mittakaavassa, virtaviivaistamalla tutkimuksia ja automatisoimalla yleisiä tehtäviä. Nämä ratkaisut voivat tarjota kyberuhkien etsijöille tehokkaita työkaluja, jotka auttavat pitämään organisaatiosi suojattuna.
Resurssit

Lue lisää Microsoft Securitystä

  1.
Nainen katsoo koodia näytöllä

Microsoft Sentinel

Yhdistä suojaustiedot ja konteksti agenttipohjaisen puolustuksen tehostamiseksi SIEM:n & tekoälyvalmiin käyttöympäristön avulla.
Lue lisää
Henkilö työskentelee kannettavalla tietokoneella, ja tietokoneen näyttö näkyy lähikuvassa.

Microsoft Defenderin etsintäasiantuntijat

Laajenna ennakoiva uhkien etsintä päätepisteiden ulkopuolelle.
Lue lisää
Nainen käyttää kannettavaa tietokonetta neuvottelutilassa

Microsoft Defender Threat Intelligence

Auta suojaamaan organisaatiotasi moderneilta vastustajilta ja uhilta, kuten kiristysohjelmilta.
Lue lisää
Työtoverit katsovat näyttöä yhdessä huoneessa, joka on täynnä teknologiaa

SIEM ja XDR

Tunnista ja tutki uhkia ja reagoi niihin koko digitaalisella alueellasi.
Lue lisää
Takaisin karusellin siirtymisohjausobjekteihin
Usein kysytyt kysymykset

Usein kysytyt kysymykset

  • Esimerkki kyberuhkien etsinnästä on hypoteesipohjainen etsintä, jossa uhkien etsijä tunnistaa epäillyt taktiikat, tekniikat ja menettelyt, joita hyökkääjä saattaa käyttää, ja etsii sitten todisteita niistä organisaation verkosta.
  • Uhkien havaitseminen on aktiivinen, usein automatisoitu lähestymistapa kyberturvallisuuteen, kun taas uhkien etsintä on ennakoiva, ei-automatisoitu lähestymistapa.
  • Tietoturvakeskus (SOC) on keskitetty toiminto tai tiimi, joka on joko paikan päällä tai ulkoistettu ja vastuussa organisaation kyberturvallisuustason parantamisesta sekä uhkien estämisestä, havaitsemisesta ja niihin vastaamisesta. Kyberuhkien etsintä on yksi SOC:n taktiikoista uhkien tunnistamiseen ja korjaamiseen.
  • Kyberuhkien etsintätyökalut ovat IT-tiimien ja uhkien etsijöiden käytettävissä olevia ohjelmistoresursseja uhkien havaitsemiseksi ja korjaamiseksi. Uhkien etsintätyökaluja ovat esimerkiksi virustentorjunta ja palomuurisuojaukset, EDR-ohjelmistot, SIEM-työkalut ja data-analytiikka.
  • Kyberuhkien etsinnän pääasiallinen tarkoitus on havaita ja korjata kehittyneitä uhkia ja hyökkäyksiä ennakoivasti, ennen kuin ne vahingoittavat organisaatiota.
  • Kyberuhkatietämys sisältää tiedot, joita kyberturvallisuusohjelmistot keräävät usein automaattisesti osana suojausprotokolliaan suojautuakseen kyberhyökkäyksiltä. Uhkien etsiminen edellyttää uhkatiedoista kerättyjen tietojen keräämistä ja niiden käyttämistä hypoteesien ja toimintojen ilmoittamiseen uhkien etsimiseksi ja korjaamiseksi.

Seuraa Microsoft Securitya

Surface Pro Surface Laptop Copilot organisaatioille Copilot henkilökohtaiseen käyttöön Microsoft 365 Tutustu Microsoftin tuotteisiin Windows 11 -sovellukset Tiliprofiili Latauskeskus Microsoft Storen tuki Palautukset Tilausseuranta Kierrätys Kaupalliset takuut Microsoft Education Laitteet opetukseen Microsoft Teams for Education Microsoft 365 Education Office Education Educator-koulutus ja -kehitys Tarjoukset opiskelijoille ja vanhemmille Azure opiskelijoille
Microsoftin tekoäly Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pienyritykset Microsoft-kehittäjät Microsoft Learn Marketplacen tekoälysovellusten tuki Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Ohjelmistoyritykset Visual Studio Työpaikat Tietoja Microsoftista Yritysuutiset Microsoftin tietosuoja Sijoittajat
Suomi (Suomi) Kuluttajien terveystietojen tietosuoja Ota yhteyttä Microsoftiin Tietosuoja Hallitse evästeitä Käyttöluvat Tavaramerkit Tietoja mainoksista EU Compliance DoCs