This is the Trace Id: 02041242eb2400670a9bf1a409d793ea
Przejdź do głównej zawartości Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobacz wszystkie produkty Cyberbezpieczeństwo obsługiwane przez AI Bezpieczeństwo w chmurze Bezpieczeństwo danych i zarządzanie nimi Dostęp do sieci i tożsamość Zarządzanie prywatnością i ryzykiem Zabezpieczenia dla AI Małe i średnie firmy Ujednolicone operacje zabezpieczeń Zero Trust Ceny Usługi Partnerzy Dlaczego warto wybrać rozwiązania zabezpieczające firmy Microsoft Świadomość cyberbezpieczeństwa Historie klientów Podstawy zabezpieczeń Wersje próbne produktów Uznanie w branży Microsoft Security Insider Raport firmy Microsoft dotyczący cyberobrony Centrum zabezpieczeń firmy Microsoft Blog dotyczący rozwiązań zabezpieczających firmy Microsoft Wydarzenia dotyczące rozwiązań zabezpieczających firmy Microsoft Microsoft Tech Community Dokumentacja Techniczna biblioteka zawartości Szkolenia i certyfikacje Compliance Program for Microsoft Cloud Centrum zaufania firmy Microsoft Service Trust Portal Microsoft Inicjatywa na rzecz Bezpiecznej Przyszłości Centrum rozwiązań biznesowych Kontakt z działem sprzedaży Skorzystaj z bezpłatnej wersji próbnej Rozwiązania zabezpieczające firmy Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Rzeczywistość mieszana Microsoft HoloLens Microsoft Viva Obliczenia kwantowe Edukacja Motoryzacja Usługi finansowe Administracja publiczna Opieka zdrowotna Produkcja Handel detaliczny Znajdź partnera Zostań partnerem Sieć partnerów Microsoft Marketplace Firmy oprogramowania Blog Microsoft Advertising Centrum deweloperów Dokumentacja Wydarzenia Licencje Microsoft Learn Microsoft Research Wyświetl mapę witryny
Oto tekst alternatywny zgodnie z żądaniem, bez wzmianki o zamazanej twarzy: **Tekst alternatywny:** Osoba trzymająca tablet w serwerowni, przeglądająca pulpit nawigacyjny z wykresami i wskaźnikami systemowymi wyświetlanymi na ekranie.

Czego dotyczą oznaki naruszenia bezpieczeństwa (IOC)?

Dowiedz się, jak monitorować, identyfikować, używać oznaki naruszenia bezpieczeństwa i jak reagować na nie.
Odkryj usługę Microsoft Defender Threat Intelligence

Wyjaśnienie naruszenia bezpieczeństwa

Oznaka naruszenia bezpieczeństwa (IOC) jest dowodem na to, że ktoś mógł naruszyć bezpieczeństwo sieci lub punktu końcowego organizacji. Te dane dowodowe nie tylko wskazują na potencjalne zagrożenie, ale sygnalizują, że atak, taki jak złośliwe oprogramowanie, naruszone poświadczenia lub eksfiltracja danych, już wystąpił. Specjaliści ds. bezpieczeństwa wyszukują oznak naruszenia bezpieczeństwa w przypadku dzienników zdarzeń, rozwiązań dotyczących rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) oraz rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Podczas ataku zespół ten używa oznak naruszenia bezpieczeństwa do eliminowania zagrożenia i ograniczania szkód. Po odzyskaniu oznaki naruszenia bezpieczeństwa pomagają organizacji lepiej zrozumieć, co się stało, dzięki czemu zespół ds. bezpieczeństwa w organizacji może wzmocnić bezpieczeństwo i zmniejszyć ryzyko wystąpienia innego podobnego zdarzenia.

Przykłady oznak naruszenia bezpieczeństwa

W ramach zabezpieczeń ON dział IT monitoruje środowisko pod kątem następujących wskazówek, które informują, że atak jest w toku:

Anomalie ruchu sieciowego

W większości organizacji istnieją spójne wzorce ruchu sieciowego docierającego i wychodzącego środowiska cyfrowego. Gdy to się zmieni, na przykład jeśli znacznie więcej danych opuszcza organizację lub występuje aktywność pochodząca z nietypowej lokalizacji w sieci, może to być sygnałem ataku.

Nietypowe próby logowania

Podobnie jak w przypadku ruchu sieciowego, nawyki osób w pracy są przewidywalne. Zwykle logują się z tych samych lokalizacji i mniej więcej w tym samym czasie w ciągu tygodnia. Specjaliści ds. bezpieczeństwa mogą wykrywać naruszone konta, zwracając uwagę na logowania o nietypowych porach dnia lub z nietypowych lokalizacji geograficznych, takich jak kraj, w którym organizacja nie ma biura. Ważne jest również odnotowanie wielu nieudanych logowań z tego samego konta. Mimo że użytkownicy okresowo zapominają swoje hasła lub mają problemy z logowaniem, zwykle są w stanie rozwiązać ten problem po kilku próbach. Powtarzające się nieudane próby logowania mogą wskazywać, że ktoś próbuje uzyskać dostęp do organizacji przy użyciu skradzionego konta.

Nieprawidłowości dotyczące kont uprawnień

Wielu atakujących, niezależnie od tego, czy pochodzą z wewnątrz czy zewnątrz organizacji, są zainteresowani uzyskaniem dostępu do kont administracyjnych i pozyskaniem poufnych danych. Nietypowe zachowanie skojarzone z tymi kontami, takie jak próba eskalacji swoich uprawnień, może być sygnałem naruszenia bezpieczeństwa.

Zmiany w konfiguracji systemów

Złośliwe oprogramowanie jest często zaprogramowane do wprowadzania zmian w konfiguracjach systemów, takich jak włączanie dostępu zdalnego lub wyłączanie oprogramowania zabezpieczającego. Dzięki monitorowaniu tych nieoczekiwanych zmian w konfiguracji specjaliści ds. bezpieczeństwa mogą zidentyfikować naruszenie przed wystąpieniem zbyt wielu uszkodzeń.

Nieoczekiwane instalacje lub aktualizacje oprogramowania

Wiele ataków rozpoczyna się od zainstalowania oprogramowania, takiego jak złośliwe oprogramowanie lub oprogramowanie wymuszające okup, które zostało opracowane w taki sposób, aby pliki były niedostępne lub aby umożliwić atakującym dostęp do sieci. Dzięki monitorowaniu pod kątem nieplanowanych instalacji i aktualizacji oprogramowania organizacje mogą szybko przechwytywać te oznaki naruszenia bezpieczeństwa.

Wiele żądań dla tego samego pliku

Wiele żądań dla pojedynczego pliku może wskazywać, że zły aktor podejmuje próbę jego kradzieży i próbuje uzyskać do niego dostęp przy użyciu wielu metod.

Nietypowe żądania dotyczące systemów nazw domen

Niektórzy źli aktorzy używają metody ataku o nazwie „command and control”. Instalują złośliwe oprogramowanie na serwerze organizacji, który tworzy połączenie z serwerem, który jest ich własnością. Następnie wysyłają polecenia ze swojego serwera do zainfekowanego komputera, aby spróbować wykraść dane lub zakłócić jego działanie. Nietypowe żądania dotyczące systemów nazw domen (DNS) pomagają działowi IT wykrywać te ataki.

Jak identyfikować oznaki naruszenia bezpieczeństwa

Sygnały ataku cyfrowego są rejestrowane w plikach dziennika. W ramach cyberbezpieczeństwa ON zespoły regularnie monitorują systemy cyfrowe pod kątem podejrzanych działań. Nowoczesne rozwiązania SIEM i XDR upraszczają ten proces za pomocą sztucznej inteligencji i algorytmów uczenia maszynowego, które ustanawiają punkt odniesienia dla typowych zachowań w organizacji, a następnie powiadamiają zespół o anomaliach. Ważne jest również angażowanie pracowników spoza obszaru bezpieczeństwa, którzy mogą otrzymywać podejrzane wiadomości e-mail lub przypadkowo pobierać zainfekowany plik. Dobre programy szkoleniowe dotyczące zabezpieczeń pomagają pracownikom pozyskać lepszą umiejętność wykrywania wiadomości e-mail z naruszonymi zabezpieczeniami i udostępniają im sposoby zgłaszania wszystkiego, co wydaje się nietypowe.

Dlaczego oznaki naruszenia bezpieczeństwa są ważne

Monitorowanie oznak naruszenia bezpieczeństwa ma kluczowe znaczenie dla zmniejszenia ryzyka związanego z bezpieczeństwem organizacji. Wczesne wykrywanie oznak naruszenia bezpieczeństwa umożliwia zespołom ds. bezpieczeństwa szybkie reagowanie na ataki i rozwiązywanie ich, co zmniejsza przestój i zakłócenia. Regularne monitorowanie zapewnia również zespołom lepszy wgląd w luki w zabezpieczeniach organizacji, które można następnie ograniczyć.

Reagowanie na oznaki naruszenia bezpieczeństwa

Gdy zespoły ds. bezpieczeństwa zidentyfikują oznakę naruszenia bezpieczeństwa, muszą skutecznie zareagować, aby zapewnić jak najmniejsze szkody w organizacji. Poniższe kroki pomagają organizacjom zachować koncentrację i jak najszybciej zatrzymać zagrożenia:

Opracowywanie planu reagowania na zdarzenia

Reagowanie na zdarzenie jest stresujące i uwarunkowane czasowo, ponieważ im dłużej atakujący pozostają niewykryci, tym większe jest prawdopodobieństwo osiągnięcia przez nich swoich celów. Wiele organizacji opracowuje plan reagowania na zdarzenia, który pomaga poprowadzić zespół przez krytyczne fazy reagowania. Plan nakreśla sposób, w jaki organizacja definiuje zdarzenia, role i obowiązki, kroki niezbędne do rozwiązania zdarzenia oraz sposób komunikowania się zespołu z pracownikami i osób zainteresowanych spoza organizacji.

Izolowanie systemów i urządzeń z naruszonymi zabezpieczeniami

Po zidentyfikowaniu zagrożenia przez organizację zespół ds. bezpieczeństwa niezwłocznie odizolowuje atakowane aplikacje lub systemy od reszty sieci. Pomaga to uniemożliwić atakującym dostęp do innych obszarów działalności firmy.

Przeprowadzanie analizy dowodowej

Analiza dowodowa pomaga organizacjom odkrywać wszystkie aspekty naruszenia, w tym źródło, typ ataku i cele atakującego. Analiza jest przeprowadzana podczas ataku, aby zrozumieć zakres naruszenia. Gdy organizacja odzyska sprawności po ataku, dodatkowa analiza pomaga zespołowi zrozumieć możliwe luki w zabezpieczeniach i inne szczegółowe informacje.

Eliminowanie zagrożeń

Zespół usuwa atakującego i wszelkie złośliwe oprogramowanie z zaatakowanych systemów i zasobów, które może być wykorzystywane do przełączenia działania systemów w tryb offline.

Implementowanie ulepszeń dotyczących zabezpieczeń i procesów

Po odzyskaniu działania organizacji po zdarzeniu ważne jest dokonanie oceny przyczyny wystąpienia ataku i czy organizacja mogła coś zrobić, aby temu zapobiec. Mogą istnieć proste ulepszenia dotyczące procesów i zasad, które ograniczą ryzyko wystąpienia podobnego ataku w przyszłości, lub zespół może zidentyfikować rozwiązania w szerszym zakresie w celu dodania do planu zabezpieczeń.



Rozwiązania dotyczące oznak naruszenia bezpieczeństwa

Większość naruszeń zabezpieczeń pozostawia ślad dowodowy w plikach dziennika i systemach. Nauczenie się identyfikowania i monitorowania tych oznak naruszenia bezpieczeństwa pomaga organizacjom szybko izolować i eliminować atakujących. Wiele zespołów korzysta z rozwiązań SIEM, takich jak Microsoft Sentinel i Microsoft Defender XDR, które używają sztucznej inteligencji i automatyzacji do uwydatniania oznak naruszenia bezpieczeństwa i korelowania ich z innymi zdarzeniami. Plan reagowania na zdarzenia umożliwia zespołom bycie o krok przed atakami i ich szybkie zamknięcie. Jeśli chodzi o cyberbezpieczeństwo, im szybciej firmy rozumieją, co się dzieje, tym większe jest prawdopodobieństwo, że zatrzymają atak, zanim poniosą z tego tytułu koszty lub zaszkodzi to ich reputacji. Zabezpieczenia ON są kluczem do ułatwienia organizacjom zmniejszania ryzyka kosztownego naruszenia zabezpieczeń.
Zasoby

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

  1.
Mężczyzna i kobieta siedzący przy stole z widoczną kobietą piszącą na książce i laptopie.

Ochrona przed zagrożeniami firmy Microsoft

Identyfikuj zdarzenia w całej organizacji i reaguj na nie dzięki najnowszej ochronie przed zagrożeniami.
Dowiedz się więcej
Osoba siedząca przy biurku i korzystająca z laptopa.

Microsoft Sentinel

Ujednolicaj dane dotyczące zabezpieczeń i kontekst, aby wzmocnić obronę opartą na agentach dzięki platformie SIEM & opartej na sztucznej inteligencji.
Dowiedz się więcej
Kobieta patrząca na swój telefon komórkowy.

Microsoft Defender XDR

Zapobiegaj atakom na punkty końcowe, pocztę elektroniczną, tożsamości, aplikacje i dane przy użyciu rozwiązań XDR.
Dowiedz się więcej
Grupa trzech osób w jasnym biurze, uśmiechających się i zaangażowanych, patrzących na laptop trzymany przez jedną osobę.

Społeczność poświęcona analizie zagrożeń

Uzyskaj najnowsze informacje z wersji społecznościowej usługi Microsoft Defender Threat Intelligence.
Dowiedz się więcej
Powrót do sekcji Powiązane produkty
Często zadawane pytania

Często zadawane pytania

  • Istnieje kilka typów oznak naruszenia bezpieczeństwa. Oto niektóre z najczęściej spotykanych:
    • Anomalie ruchu sieciowego
    • Nietypowe próby logowania
    • Nieprawidłowości dotyczące kont uprawnień
    • Zmiany w konfiguracjach systemów
    • Nieoczekiwane instalacje lub aktualizacje oprogramowania
    • Wiele żądań dla tego samego pliku
    • Nietypowe żądania dotyczące systemów nazw domen
  • Oznaką naruszenia bezpieczeństwa jest cyfrowy dowód na to, że atak już wystąpił. Oznaka ataku jest dowodem na to, że atak prawdopodobnie nastąpi. Na przykład kampania obejmująca wyłudzanie informacji jest oznaką ataku, ponieważ nie ma dowodów na to, że atakujący naruszył zabezpieczenia firmy. Jeśli jednak ktoś kliknie link wyłudzania informacji i pobierze złośliwe oprogramowanie, instalacja złośliwego oprogramowania będzie oznaką naruszenia bezpieczeństwa.
  • Oznaki naruszenia bezpieczeństwa w wiadomościach e-mail obejmują nagłą falę wiadomości-śmieci, dziwnych załączników lub linków albo nieoczekiwaną wiadomość e-mail od znanej osoby. Jeśli na przykład pracownik wyśle współpracownikowi wiadomość e-mail z dziwnym załącznikiem, może to wskazywać, że jego konto zostało naruszone.
  • Istnieje wiele sposobów identyfikowania systemu, którego zabezpieczenia zostały naruszone. Zmiana ruchu sieciowego z określonego komputera może być oznaką naruszenia jego zabezpieczeń. Jeśli osoba, która zwykle nie potrzebuje systemu, zaczyna regularnie uzyskiwać do niego dostęp, jest to sygnał ostrzegawczy. Zmiany w konfiguracjach systemu lub nieoczekiwana instalacja oprogramowania mogą również wskazywać na naruszenie zabezpieczeń.
  • Trzy przykłady ON to:
    • Konto użytkownika z siedzibą w Ameryce Północnej zaczyna logowanie się do zasobów firmy z Europy.
    • Tysiące żądań dostępu w ramach kilku kont użytkowników, co wskazuje, że organizacja jest ofiarą brutalnego ataku siłowego.
    • Nowe żądania dotyczące systemów nazw domen pochodzące z nowego hosta lub kraju, w którym pracownicy i klienci nie są umiejscowieni.

Obserwuj rozwiązania zabezpieczające firmy Microsoft

Surface Pro Surface Laptop Copilot dla organizacji Copilot do użytku osobistego Microsoft 365 Poznaj produkty Microsoft Profil konta Centrum pobierania Pomoc techniczna Microsoft Store Zwroty Śledzenie zamówienia Recykling Gwarancje handlowe Microsoft Education Urządzenia dla instytucji edukacyjnych Microsoft Teams dla Instytucji Edukacyjnych Microsoft 365 Education Office Education Szkolenia i możliwości rozwoju dla nauczycieli Oferty dla uczniów i rodziców Azure dla uczniów
Microsoft AI Rozwiązania zabezpieczające firmy Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Deweloper Microsoft Microsoft Learn Pomoc techniczna do aplikacji z platformy handlowej opartych na AI Społeczność Microsoft Tech Microsoft Marketplace Microsoft Power Platform Firmy oprogramowania Visual Studio Praca Informacje o firmie Microsoft Aktualności Ochrona prywatności Inwestorzy
Polski (Polska) Zasady prywatności dotyczące zdrowia użytkowników Skontaktuj się z Microsoft Ochrona prywatności Zarządzaj plikami cookie Zasady użytkowania Znaki towarowe Informacje o naszych reklamach EU Compliance DoCs