This is the Trace Id: d3a7a9819cfeca46603b9b1cf2cac744
Pāriet uz galveno saturu Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Skatīt visus produktus Mākslīgā intelekta kiberdrošība Mākoņa drošība Datu drošība un pārvaldība Identitāte un piekļuve tīklam Konfidencialitāte un riska pārvaldība AI drošība Mazie un vidējie uzņēmumi Vienotas drošības operācijas Nulles uzticamība Cenas Pakalpojumi Partneri Kāpēc izvēlēties komplektu Microsoft drošība? Kiberdrošības apzināšanās Klientu stāsti Drošības pamati Produktu izmēģinājumversijas Atzinība nozarē Microsoft Security Insider Microsoft digitālās aizsardzības atskaite Drošības reaģēšanas centrs Microsoft drošības emuārs Microsoft drošības pasākumi Microsoft tehniskā kopiena Dokumentācija Tehniskā satura bibliotēka Apmācība un sertifikācija Microsoft Cloud atbilstības nodrošināšanas programma Microsoft drošības kontroles centrs Pakalpojumu drošības kontroles portāls Microsoft drošas nākotnes iniciatīva Biznesa risinājumu centrmezgls Saziņa ar tirdzniecības pārstāvi Sākt bezmaksas izmēģinājumversiju Microsoft drošība Azure Dynamics 365 Azure Microsoft Teams Windows 365 Microsoft AI Azure Space Jauktā realitāte Microsoft HoloLens Microsoft Viva Kvantu skaitļošana Izglītība Automobiļi Finanšu pakalpojumi Valsts Veselības aprūpe Ražošana Mazumtirdzniecība Atrast partneri Kā kļūt par partneri Partneru tīkls Microsoft Marketplace Programmatūras uzņēmumi Emuārs Microsoft Advertising Izstrādātāju centrs Dokumentācija Pasākumi Licencēšana Microsoft Learn Microsoft Research Skatīt vietnes karti
Šeit ir pieprasītais alternatīvais teksts, neminot izpludināto seju: **Alternatīvais teksts:** Persona servera telpā tur planšetdatoru un skatās informācijas paneli, kurā ekrānā redzamas diagrammas un sistēmas metrikas.

Kas ir apdraudējuma rādītāji (IOC)?

Uzziniet, kā pārraudzīt, identificēt, izmantot apdraudējuma rādītājus un kā reaģēt uz šiem rādītājiem.
Atklājiet Microsoft Defender draudu informāciju

Apdraudējuma rādītāju skaidrojums

Apdraudējuma rādītājs (indicator of compromise — IOC) indikators ir pierādījums, ka kāds, iespējams, ir veicis pārkāpumu organizācijas tīklā vai galapunktā. Šie izmeklēšanas dati ne tikai norāda potenciālo apdraudējumu, bet arī norāda, ka uzbrukums, piemēram, ļaunprogrammatūras darbība, akreditācijas datu apdraudējums vai datu eksfiltrācija, jau ir noticis. Drošības speciālisti meklē apdraudējuma rādītājus notikumu žurnālos, paplašinātās atklāšanas un reaģēšanas (XDR) risinājumos, kā arī drošības informācijas un notikumu pārvaldības (SIEM) risinājumos. Uzbrukuma laikā komanda izmanto apdraudējuma rādītājus, lai novērstu apdraudējumu un mazinātu bojājumus. Pēc atkopšanas apdraudējuma rādītāji palīdz organizācijai labāk saprast, kas notika, lai organizācijas drošības komanda varētu stiprināt drošību un mazināt cita līdzīga incidenta risku.

Apdraudējuma rādītāju piemēri

Apdraudējuma rādītāju drošībā IT pārrauga vidi, lai noteiktu šādas norādes par to, ka notiek uzbrukums:

Tīkla trafika anomālijas

Lielākajā daļā organizāciju pastāv konsekventi tā tīkla trafika modeļi, kas ienāk ciparu vidē un iziet no tās. Ja ir šīs izmaiņas, piemēram, ja no organizācijas tiek nosūtīts ievērojami vairāk datu, vai ja tiek veiktas darbības no neparastas atrašanās vietas tīklā, tas var liecināt par uzbrukumu.

Neparasti pierakstīšanās mēģinājumi

Līdzīgi tīkla trafikam arī lietotāju darba paradumi ir paredzami. Nedēļas ietvaros parasti viņi pierakstās no tām pašām atrašanās vietām un aptuveni tajā pašā laikā. Drošības speciālisti var noteikt apdraudētu kontu, pievēršot uzmanību pierakstīšanās reizēm neparastā laikā vai no neparastas ģeogrāfiskās atrašanās vietas, piemēram, valsts, kur organizācijai nav biroja. Ir svarīgi arī ievērot vairākus neizdevušos pierakstīšanās mēģinājumus vienā kontā. Lai gan lietotāji periodiski aizmirst savas paroles vai tiem rodas problēmas ar pierakstīšanos, parasti tiem izdodas visu atrisināt pēc dažiem mēģinājumiem. Atkārtoti neveiksmīgas pierakstīšanās mēģinājumi var norādīt, ka kāds mēģina piekļūt organizācijai, izmantojot nozagtu kontu.

Privilēģiju konta neatbilstības

Daudzi uzbrucēji neatkarīgi no tā, vai viņi ir iekšējas vai ārējas personas, ir ieinteresēti piekļūt administratīvajiem kontiem un iegūt sensitīvus datus. Netipiska darbība, kas saistīta ar šiem kontiem, piemēram, kāds mēģina eskalēt savas privilēģijas, var būt pārkāpuma pazīme.

Izmaiņas sistēmu konfigurācijās

Ļaunprogrammatūra bieži tiek programmēta tā, lai veiktu izmaiņas sistēmu konfigurācijās, piemēram, iespējotu attālo piekļuvi vai atspējotu drošības programmatūru. Uzraugot šīs neparedzētās konfigurācijas izmaiņas, drošības speciālisti var identificēt pārkāpumu, pirms ir nodarīts pārāk daudz ļaunuma.

Neparedzētas programmatūras instalēšanas vai atjaunināšanas

Daudzi uzbrukumi sākas ar tādas programmatūras instalēšanu kā ļaunprogrammatūra vai izspiedējprogrammatūra, kas ir izstrādāta, lai padarītu failus nepieejamus vai nodrošinātu uzbrucējiem piekļuvi tīklam. Pārraugot, vai nav neplānotu programmatūras instalēšanas un atjaunināšanas gadījumu, organizācijas var ātri atrast šos apdraudējuma rādītājus.

Vairāki viena faila pieprasījumi

Vairāki viena faila pieprasījumi var norādīt, ka ļaunprātīgs aktors mēģina to nozagt un ir izmēģinājis vairākas metodes, lai tam piekļūtu.

Neparasti domēnu nosaukumu sistēmu pieprasījumi

Daži ļaunprātīgi aktori izmanto uzbrukuma metodi, ko sauc par komandēšanu un kontroli. Tie instalē ļaunprogrammatūru organizācijas serverī, kas veido savienojumu ar serveri, kas tiem pieder. Pēc tam tie sūta komandas no sava servera uz inficēto datoru, lai mēģinātu nozagt datus vai traucēt darbības. Neparasti domēnu nosaukumu sistēmu (DNS) pieprasījumi palīdz IT darbiniekiem noteikt šos uzbrukumus.

Kā identificēt apdraudējuma rādītājus

Digitālā uzbrukuma pazīmes tiek reģistrētas žurnālfailos. Apdraudējuma rādītāju kiberdrošības ietvaros komandas regulāri pārrauga digitālās sistēmas, vai nav aizdomīgu darbību. Moderni SIEM un XDR risinājumi vienkāršo šo procesu, izmantojot mākslīgo intelektu un mašīnmācīšanās algoritmus, kas izveido bāzes datus par to, kas organizācijā ir normāli, un pēc tam brīdina komandu par anomālijām. Ir svarīgi arī iesaistīt darbiniekus, kuri ir ārpus drošības komandas un kuri var saņemt aizdomīgus e-pasta ziņojumus vai nejauši lejupielādēt inficētu failu. Labas drošības apmācības programmas palīdz darbiniekiem labāk atklāt apdraudētus e-pasta ziņojumus un nodrošināt veidus tiem, kā ziņot par visu, kas šķiet neparasts.

Kāpēc apdraudējuma rādītāji ir svarīgi

Apdraudējuma rādītāju pārraudzība ir kritiski svarīga, lai samazinātu organizācijas drošības risku. Agrīno apdraudējuma rādītāju noteikšana ļauj drošības komandām ātri reaģēt uz uzbrukumiem un novērst tos, samazinot nedarbošanās un traucējumu apjomu. Regulāra pārraudzība arī sniedz komandām lielāku ieskatu par organizācijas ievainojamībām, kuras pēc tam var mazināt.

Reaģēšana uz apdraudējuma indikatoriem

Kad drošības komandas identificē apdraudējuma rādītāju, tām ir efektīvi jāreaģē, lai panāktu pēc iespējas mazāk bojājumu organizācijai. Tālāk norādītās darbības palīdz organizācijām koncentrēties un apturēt apdraudējumus, cik ātri vien iespējams:

Atbildes uz incidentu plāna izveide

Reaģēšana uz incidentu ir satraucoša un ir jāveic ātri, jo ilgāk uzbrucēji paliek neatklāti, jo lielāka ir iespējamība, ka viņi sasniegs savus mērķus. Daudzas organizācijas izstrādā atbildes uz incidentu plānu, lai palīdzētu komandām ar norādījumiem atbildes kritisko fāžu laikā. Plānā ir aprakstīts, kā organizācija definē incidentu, lomas un pienākumus, darbības, kas nepieciešamas, lai atrisinātu incidentu, un tas, kā komandai ir jāsazinās ar darbiniekiem un ārējām ieinteresētajām pusēm.

Apdraudēto sistēmu un ierīču izolēšana

Kad organizācija ir identificējusi apdraudējumu, drošības komanda no pārējām tīklu daļām ātri izolē programmas vai sistēmas, kurām notiek uzbrukums. Tas palīdz neļaut uzbrucējiem piekļūt citām uzņēmuma daļām.

Izmeklēšanas datu analīzes veikšana

Izmeklēšanas datu analīze palīdz organizācijām atklāt visus pārkāpuma aspektus, tostarp avotu, uzbrukuma veidu un uzbrucēja mērķus. Uzbrukuma laikā tiek veikta analīze, lai izprastu apdraudējuma pakāpi. Kad organizācija ir atguvusies no uzbrukuma, papildu analīze palīdz komandai izprast iespējamās ievainojamības un citus ieskatus.

Apdraudējuma novēršana

Komanda no ietekmētajām sistēmām un resursiem noņem uzbrucēju un visu ļaunprogrammatūru, un tas var ietvert sistēmu pārslēgšanu bezsaistē.

Drošības un procesu uzlabojumu ieviešana

Kad organizācija ir atguvusies no incidenta, ir svarīgi novērtēt, kāpēc notika uzbrukums un vai organizācija varēja kaut ko izdarīt, lai to nepieļautu. Šeit var būt vienkārši procesu un politikas uzlabojumi, kas samazinās līdzīgu uzbrukumu risku nākotnē, vai arī komanda var identificēt plašākus risinājumus, ko pievienot drošības rīcības plānam.



IOC risinājumi

Vairākums drošības pārkāpumu atstāj izmeklēšanai pieejamas pēdas žurnālfailos un sistēmās. Mācīšanās identificēt un pārraudzīt šos apdraudējuma rādītājus palīdz organizācijām ātri izolēt un likvidēt uzbrucējus. Daudzas komandas pāriet uz SIEM risinājumiem, piemēram, Microsoft Sentinel un Microsoft Defender XDR, kas izmanto mākslīgo intelektu un automatizāciju, lai atklātu apdraudējuma rādītājus un korelētu tos ar citiem notikumiem. Atbildes uz incidentu plāns ļauj komandām būt soli priekšā uzbrukumiem un ātri tos izbeigt. Runājot par kiberdrošību, jo ātrāk uzņēmumi saprot, kas notiek, jo lielāka ir iespējamība, ka tie apturēs uzbrukumu, pirms tas radīs finanšu zaudējumus vai sabojās reputāciju. Apdraudējuma rādītāju drošība ir atslēga, lai palīdzētu organizācijām samazināt dārgi izmaksājoša pārkāpuma risku.
Resursi

Papildinformācija par Microsoft drošību

  1.
Vīrietis un sieviete sēž pie galda, sieviete raksta grāmatā, un blakus redzams klēpjdators.

Microsoft pretdraudu aizsardzība

Identificējiet incidentus un reaģējiet uz tiem visā organizācijā, izmantojot jaunākās pretdraudu aizsardzības iespējas.
Papildinformācija
Persona sēž pie galda, izmantojot klēpjdatoru.

Microsoft Sentinel

Apvienojiet drošības datus un kontekstu, lai nodrošinātu uz aģentiem balstītu aizsardzību ar SIEM & AI gatavu platformu.
Papildinformācija
Sieviete skatās savā mobilajā tālrunī.

Microsoft Defender XDR

Apturiet uzbrukumus galapunktos, e-pastā, identitātēs, programmās un datos, izmantojot XDR risinājumus.
Papildinformācija
Trīs cilvēku grupa gaišā birojā, kas smaida un iesaistās, skatoties uz klēpjdatoru, ko tur viens no viņiem.

Draudu informācijas kopiena

Iegūstiet jaunākos atjauninājumus no Microsoft Defender draudu informācijas kopienas izdevuma.
Papildinformācija
Atpakaļ uz sadaļu Saistītie produkti
Bieži uzdotie jautājumi

Bieži uzdotie jautājumi

  • Pastāv vairāki apdraudējuma rādītāju veidi. Daži no visbiežāk sastopamajiem ir:
    • Tīkla trafika anomālijas
    • Neparasti pierakstīšanās mēģinājumi
    • Privilēģiju konta neatbilstības
    • Izmaiņas sistēmas konfigurācijās
    • Neparedzētas programmatūras instalēšanas vai atjaunināšanas
    • Vairāki viena faila pieprasījumi
    • Neparasti domēnu nosaukumu sistēmu pieprasījumi
  • Apdraudējuma rādītājs ir digitāls pierādījums tam, ka uzbrukums jau ir noticis. Uzbrukuma rādītājs ir pierādījums tam, ka varētu notikt uzbrukums. Piemēram, pikšķerēšanas kampaņa ir uzbrukuma rādītājs, jo nav pierādījumu, ka uzbrucējs ir uzņēmumā ir veicis pārkāpumu. Tomēr, ja kāds noklikšķina uz pikšķerēšanas saites un lejupielādē ļaunprogrammatūru, tad ļaunprogrammatūras instalēšana ir apdraudējuma rādītājs.
  • E-pasta apdraudējuma indikatori ietver pēkšņu surogātpasta, dīvainu pielikumu vai saišu pieplūdi vai neparedzētu e-pasta ziņojumu no kādas zināmas personas. Piemēram, ja darbinieks nosūta kolēģim e-pasta ziņojumu ar dīvainu pielikumu, tas var norādīt, ka viņa konts ir apdraudēts.
  • Pastāv vairāki veidi, kā identificēt apdraudētu sistēmu. Konkrēta datora tīkla trafika izmaiņas var būt rādītājs, ka tas ir apdraudēts. Ja persona, kurai parasti nav nepieciešama kāda sistēma, tai sāk regulāri piekļūt, tas ir sarkans karodziņš. Izmaiņas sistēmas konfigurācijās vai neparedzēta programmatūras instalēšana arī var norādīt uz to, ka šī sistēma ir apdraudēta.
  • Trīs apdraudējuma rādītāja piemēri:
    • Lietotāja, kas atrodas Ziemeļamerikā, konts sāk pierakstīties uzņēmuma resursiem no Eiropas.
    • Tūkstošiem piekļuves pieprasījumu vairākos lietotāju kontos, kas norāda, ka organizācija ir pārlases uzbrukuma upuris.
    • Jauni domēnu nosaukumu sistēmu pieprasījumi, kas nāk no jauna resursdatora vai valsts, kurā nav darbinieku un klientu.

Sekot Microsoft drošībai

Copilot organizācijām Copilot individuālai lietošanai Microsoft 365 Windows 11 lietotnes Konta profils Lejupielādes centrs Atgrieztie vienumi Pasūtījumu izsekošana Otrreizējā pārstrāde Commercial Warranties Microsoft Education Ierīces izglītībai Microsoft Teams izglītības iestādēm Microsoft 365 Education Office Education Pedagogu apmācība un attīstība Piedāvājumi skolēniem un vecākiem Azure skolēniem
Microsoft AI Microsoft drošība Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft izstrādātājs Microsoft Learn Atbalsts mākslīgā intelekta tirgus programmām Microsoft tehniskā kopiena Microsoft Marketplace Microsoft Power Platform Programmatūras uzņēmumi Visual Studio Karjera Microsoft privātums Investori
Latviešu (Latvija) Patērētāju veselības konfidencialitāte Sazināties ar Microsoft Konfidencialitāte Pārvaldīt sīkfailus Izmantošanas noteikumi Prečzīmes Par mūsu reklāmām EU Compliance DoCs