This is the Trace Id: d44a55384d4c2b27faab7a2657cb09cb
Gå til hovedinnhold Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Vis alle produkter Cybersikkerhet drevet av kunstig intelligens Skysikkerhet Datasikkerhet og -styring Identitets- og nettverkstilgang Personvern og risikostyring Sikkerhet for kunstig intelligens Små og mellomstore bedrifter Samlede sikkerhetsoperasjoner Nulltillit Prissetting Tjenester Partnere Hvorfor Microsoft Sikkerhet Bevisstgjøring om cybersikkerhet Kundehistorier ABC om sikkerhet Prøveversjoner av produktene Anerkjennelse i bransjen Microsoft Security Insider Rapport om Microsofts digitale forsvar Security Response Center Microsoft Sikkerhet-bloggen Microsoft Sikkerhet-arrangementer Microsoft Tech Community Dokumentasjon Teknisk innholdsbibliotek Opplæring og sertifiseringer Compliance Program for Microsoft Cloud Microsoft Klareringssenter Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub Kontakt salgsavdelingen Start kostnadsfri prøveversjon Microsoft Sikkerhet Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft kunstig intelligens Azure Space Blandet virkelighet Microsoft HoloLens Microsoft Viva Kvantedatabehandling Utdanning Bilbransjen Finansielle tjenester Offentlig sektor Helsevesen Produksjon Detaljhandel Finn en partner Bli en partner Partner Network Microsoft Marketplace Programvareselskaper Blogg Microsoft Advertising Utviklingssenter Dokumentasjon Arrangementer Lisensiering Microsoft Learn Microsoft Research Vis områdekart
Her er den alternative teksten som forespurt, uten å nevne det uskarpe ansiktet: **Alternativ tekst:** En person som holder et nettbrett i et serverrom og viser et instrumentbord med diagrammer og systemmåledata som vises på skjermen.

Hva er indikatorer på brudd (IOC-er)?

Finn ut hvordan du overvåker, identifiserer, bruker og håndterer indikatorer på brudd.
Oppdag Microsoft Defender trusselinformasjon

indikatorer på brudd forklart

En indikator på brudd (IOC) er bevis på at noen kan ha begått et sikkerhetsbrudd i en organisasjons nettverk eller endepunkt. Disse tekniske dataene indikerer ikke bare en potensiell trussel, de signaliserer at et angrep, for eksempel skadelig programvare, kompromittert legitimasjon eller dataeksfiltrasjon, allerede har forekommet. Sikkerhetseksperter søker etter IOC-er på hendelseslogger, løsninger for utvidet oppdagelse og svar (XDR) og løsninger for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM). Under et angrep bruker teamet IOC-er for å eliminere trusselen og redusere skade. Etter gjenoppretting hjelper IOC-er en organisasjon med å forstå hva som skjedde, slik at organisasjonens sikkerhetsteam kan styrke sikkerheten og redusere risikoen for en annen lignende hendelse.

Eksempler på IOC-er

I IOC-sikkerhet overvåker IT miljøet for følgende hint om at et angrep pågår:

Avvik i nettverkstrafikk

I de fleste organisasjoner er det faste mønstre i nettverkstrafikken som går inn og ut av det digitale miljøet. Når det endrer seg, for eksempel hvis det forsvinner betydelig mer data fra organisasjonen eller det kommer aktivitet fra en uvanlig plassering i nettverket, kan det være et tegn på angrep.

Uvanlige påloggingsforsøk

På samme måte som nettverkstrafikk er arbeidsvanene til folk forutsigbare. De logger vanligvis på fra de samme stedene og omtrent samme tid i løpet av uken. Sikkerhetseksperter kan oppdage en kompromittert konto ved å være oppmerksom på pålogginger på ulike tidspunkter på dagen eller fra uvanlige geografiske områder, for eksempel et land der en organisasjon ikke har et kontor. Det er også viktig å notere seg flere mislykkede pålogginger fra samme konto. Selv om folk med jevne mellomrom glemmer passordene sine, eller har problemer med å logge på, kan de vanligvis løse det etter noen få forsøk. Gjentatte mislykkede påloggingsforsøk kan tyde på at noen prøver å få tilgang til organisasjonen ved hjelp av en stjålet konto.

Uregelmessigheter i privilegerte kontoer

Mange angripere, enten de er interne eller eksterne, er ute etter å få tilgang til administratorkontoer og skaffe seg sensitive data. Atypisk atferd knyttet til disse kontoene, for eksempel noen som prøver å eskalere rettighetene sine, kan være et tegn på et brudd.

Endringer i systemkonfigurasjoner

Skadelig programvare programmeres ofte til å gjøre endringer i systemkonfigurasjoner, for eksempel aktivere ekstern pålogging eller deaktivere sikkerhetsprogramvare. Ved å overvåke disse uventede konfigurasjonsendringene kan sikkerhetsteknikere identifisere et brudd før det har oppstått for mye skade.

Uventede programvareinstallasjoner eller oppdateringer

Mange angrep begynner med installasjon av programvare, for eksempel skadelig programvare eller løsepengevirus, som er utformet for å gjøre filer utilgjengelige eller gi angripere tilgang til nettverket. Ved å overvåke for uplanlagte programvareinstallasjoner og oppdateringer, kan organisasjoner raskt fange opp disse IOC-ene.

Mange forespørsler om samme fil

Flere forespørsler etter én enkelt fil kan tyde på at en aktør med ondsinnede hensikter prøver å stjele den og har prøvd flere metoder for å få tilgang til den.

Forespørsler om uvanlige domenenavnsystemer

Noen ondsinnede aktører bruker en angrepsmetode som kalles command and control. De installerer skadelig programvare på en organisasjons server som oppretter en tilkobling til en server som de eier. Deretter sender de kommandoer fra serveren til den infiserte maskinen for å forsøke å stjele data eller forstyrre operasjoner. Uvanlige DNS-forespørsler (Domain Name Systems) hjelper IT med å oppdage disse angrepene.

Slik identifiserer du IOC-er

Tegnene på et digitalt angrep registreres i loggfilene. Som en del av IOC-cybersikkerhet overvåker team regelmessig digitale systemer for mistenkelig aktivitet. Moderne SIEM- og XDR-løsninger forenkler denne prosessen med kunstig intelligens og maskinlæringsalgoritmer som etablerer en grunnlinje for det som er normalt i organisasjonen, og deretter varsler teamet om avvik. Det er også viktig å engasjere ansatte utenfor sikkerhet, som kan motta mistenkelige e-postmeldinger eller ved et uhell laste ned en infisert fil. Gode opplæringsprogrammer for sikkerhet hjelper ansatte med å bli bedre til å oppdage kompromitterte e-postmeldinger og gi dem mulighet til å rapportere alt som virker mistenkelig.

Hvorfor IOC-er er viktige

Overvåking av IOC-er er avgjørende for å redusere en organisasjons sikkerhetsrisiko. Tidlig oppdagelse av IOC-er gjør det mulig for sikkerhetsteam å svare på og løse angrep raskt, noe som reduserer mengden nedetid og avbrudd. Regelmessig overvåking gir også teamene større innsikt i organisatoriske sårbarheter, som deretter kan reduseres.

Svare på indikatorer på brudd

Når sikkerhetsteamene identifiserer en IOC, må de reagere effektivt for å sikre så liten skade på organisasjonen som mulig. Følgende trinn hjelper organisasjoner med å holde fokus og stoppe trusler så raskt som mulig:

Opprett en plan for hendelsesrespons

Å håndtere en hendelse er stressende og tidskritisk, fordi jo lenger angripere forblir uoppdaget, desto større er sjansen for at de oppnår målene sine. Mange organisasjoner utvikler en plan for svar på hendelser for å veilede team i de kritiske fasene av et svar. Planen beskriver hvordan organisasjonen definerer en hendelse, roller og ansvar, trinnene som trengs for å løse en hendelse, og hvordan teamet skal kommunisere med ansatte og eksterne interessenter.

Isoler kompromitterte systemer og enheter

Når en organisasjon har identifisert en trussel, isolerer sikkerhetsteamet raskt apper eller systemer som er under angrep, fra resten av nettverkene. Dette bidrar til å hindre angriperne i å få tilgang til andre deler av virksomheten.

Utfør teknisk analyse

Teknisk analyse hjelper organisasjoner med å avdekke alle aspekter ved et brudd, inkludert kilden, typen angrep og angriperens mål. Analyse utføres under angrepet for å forstå omfanget av bruddet. Når organisasjonen har kommet seg etter angrepet, hjelper ytterligere analyse teamet med å forstå mulige sårbarheter og andre innsikter.

Fjern trusselen

Teamet fjerner angriperen og eventuell skadelig programvare fra berørte systemer og ressurser, noe som kan innebære å ta systemer offline.

Implementer forbedringer i sikkerhet og prosesser

Når organisasjonen har kommet seg etter hendelsen, er det viktig å vurdere hvorfor angrepet skjedde, og om det er noe organisasjonen kunne ha gjort for å forhindre det. Det kan være enkle forbedringer av prosesser og retningslinjer som reduserer risikoen for et lignende angrep i fremtiden, eller teamet kan identifisere langsiktige løsninger som kan legges til i en sikkerhetsroadmap.



IOC-løsninger

De fleste sikkerhetsbrudd etterlater et teknisk spor i loggfiler og systemer. Ved å lære å identifisere og overvåke disse IOC-ene kan organisasjoner raskt isolere og eliminere angripere. Mange team vender seg til SIEM-løsninger, for eksempel Microsoft Sentinel og Microsoft Defender XDR, som bruker kunstig intelligens og automatisering til å vise IOP-er og koordinere dem med andre hendelser. En plan for hendelsesrespons gjør det mulig for team å ligge i forkant av angrep og raskt slå dem ned. Når det gjelder cybersikkerhet, jo raskere selskaper forstår hva som skjer, jo mer sannsynlig er det at de stopper et angrep før det koster dem penger eller skader omdømmet deres. IOC-sikkerhet er nøkkelen til å hjelpe organisasjoner med å redusere risikoen for et kostbart brudd.
Ressurser

Mer informasjon om Microsoft Sikkerhet

  1.
En mann og en kvinne som sitter ved et bord, med kvinnen som skriver i en bok og en bærbar PC synlig.

Microsoft trusselbeskyttelse

Identifiser og svar på hendelser på tvers av organisasjonen med det nyeste innen trusselbeskyttelse.
Mer informasjon
En person som sitter ved et skrivebord og bruker en bærbar datamaskin.

Microsoft Sentinel

Samle sikkerhetsdata og kontekst for å drive agentisk forsvar med en SIEM-plattform & som er KI-basert.
Mer informasjon
En kvinne som ser på mobiltelefonen.

Microsoft Defender XDR

Stopp angrep på tvers av endepunkter, e-post, identiteter, programmer og data med XDR-løsninger.
Mer informasjon
En gruppe på tre personer i et lyst kontor, smilende og engasjert mens de ser på en bærbar datamaskin som holdes av én person.

Trusselinformasjon-fellesskap

Få de nyeste oppdateringene fra fellesskapsutgaven av Microsoft Defender trusselinformasjon.
Mer informasjon
Tilbake til Relaterte produkter-del
Vanlige spørsmål

Vanlige spørsmål

  • Det finnes flere typer IOC-er. Noen av de vanligste er:
    • Avvik i nettverkstrafikk
    • Uvanlige påloggingsforsøk
    • Uregelmessigheter for rettighetskonto
    • Endringer i systemkonfigurasjoner
    • Uventede programvareinstallasjoner eller oppdateringer
    • Mange forespørsler om samme fil
    • Forespørsler om uvanlige domenenavnsystemer
  • En indikator på brudd er digitale bevis på at et angrep allerede har skjedd. En indikator på et angrep er bevis på at et angrep sannsynligvis vil oppstå. En phishing-kampanje er for eksempel en indikator på angrep fordi det ikke finnes bevis for at angriperen har begått sikkerhetsbrudd mot selskapet. Hvis noen imidlertid klikker på en phishing-kobling og laster ned skadelig programvare, er installasjonen av skadelig programvare en indikator på brudd.
  • indikatorer på brudd i e-post inkluderer en plutselig flom av søppelpost, rare vedlegg eller koblinger, eller en uventet e-post fra en kjent person. Hvis en ansatt for eksempel sender en kollega en e-postmelding med et merkelig vedlegg, kan det tyde på at kontoen deres er kompromittert.
  • Det finnes flere måter å identifisere et kompromittert system på. En endring i nettverkstrafikken fra en bestemt datamaskin kan være en indikator på at den er kompromittert. Hvis en person som vanligvis ikke trenger et system, begynner å få tilgang til det regelmessig, er det et rødt flagg. Endringer i konfigurasjonene på systemet eller en uventet programvareinstallasjon kan også indikere at det er kompromittert.
  • Tre IOC-eksempler er:
    • En brukerkonto som er basert i Nord-Amerika begynner å logge på firmaressurser fra Europa.
    • Tusenvis av tilgangsforespørsler på tvers av flere brukerkontoer, noe som indikerer at organisasjonen er offer for et angrep med rå kraft.
    • Nye forespørsler fra domenenavnsystemer kommer fra en ny vert eller et land der ansatte og kunder ikke befinner seg.

Følg Microsoft Sikkerhet

Surface Pro Surface Laptop Copilot for organisasjoner Copilot til personlig bruk Microsoft 365 Utforsk Microsoft-produkter Windows 11-apper Kontoprofil Nedlastingssenter Kundestøtte for Microsoft Store Returer Ordresporing Gjenvinning Kommersielle garantier Microsoft Education Enheter for utdanning Microsoft Teams for utdanning Microsoft 365 Education Office Education Lærerutdanning og -utvikling Tilbud for elever og foreldre Azure for students
Microsoft kunstig intelligens Microsoft Sikkerhet Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Liten bedrift Microsoft Developer Microsoft Learn Støtte for KI-apper på markedsplassen Microsoft Tech-fellesskap Microsoft Marketplace Microsoft Power Platform Programvareselskaper Visual Studio Karriere Om Microsoft Microsoft og personvern Investorer
Norsk bokmål (Norge) Personvern for forbrukerhelse Kontakt Microsoft Personvern Behandle informasjonskapsler Vilkår for bruk Varemerker Om annonsene