This is the Trace Id: aee89acc1f5e7502cdae171125a291ff
Перейти к основному контенту Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Посмотреть все продукты Кибербезопасность на базе искусственного интеллекта Безопасность облака Безопасность данных и управление ими Идентификация и доступ к сети Конфиденциальность и управление рисками Защита для ИИ Для малого и среднего бизнеса Унифицированные операции по обеспечению безопасности Модель "Никому не доверяй" Цены Услуги Партнеры Преимущества Microsoft Security Осведомленность о кибербезопасности Истории клиентов Основы безопасности Пробные версии продуктов Признание в отрасли Центр по реагированию на угрозы Блог Microsoft Security Мероприятия Microsoft Security Сообщество технических специалистов Майкрософт Документация Библиотека технических материалов Обучение и сертификация Комплаенс-программа для Microsoft Cloud Центр управления безопасностью Майкрософт Service Trust Portal Microsoft Инициатива «Безопасное будущее» Центр решений для бизнеса Связь с отделом продаж Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ от Майкрософт Azure Space Смешанная реальность Microsoft HoloLens Microsoft Viva Квантовые вычисления Образование: Автомобили Финансовые услуги Государственный сектор Здравоохранение Производство Розничная торговля Найти партнера Стать партнером Партнерская сеть Microsoft Marketplace Компании-разработчики программного обеспечения Блог Microsoft Advertising Центр разработчиков Документация Мероприятия Лицензирование Microsoft Learn Microsoft Research Посмотреть карту сайта
Два специалиста стоят в офисном коридоре, держа в руках планшет и обсуждая рабочие вопросы.

Что такое обнаружение угроз и реагирование на них (TDR)?

Узнайте, как защитить ресурсы организации, активно выявляя и снижая риски кибербезопасности с помощью обнаружения угроз и реагирования на них.

Определение обнаружения угроз и реагирования на них (TDR)

Обнаружение угроз и реагирование на них — это процесс кибербезопасности, позволяющий выявлять киберугрозы цифровым активам организации и предпринимать шаги по их максимально быстрому устранению.

Как работает обнаружение угроз и реагирование на них?

Для устранения киберугроз и других проблем безопасности многие организации создают центры управления безопасностью (SOC), которые представляют собой централизованную функцию или группу, отвечающую за улучшение состояния кибербезопасности организации, а также за предотвращение, обнаружение и реагирование на угрозы. Помимо мониторинга и реагирования на продолжающиеся кибератаки, SOC также проводит активную работу по выявлению новых киберугроз и организационных уязвимостей. Большинство групп SOC, которые могут находиться на месте или быть привлечены на аутсорсинг, работают круглосуточно, семь дней в неделю.

SOC использует аналитику угроз и технологии для выявления попыток, успешных или продолжающихся нарушений. Обнаружив киберугрозу, группа безопасности использует инструменты обнаружения угроз и реагирования на них, чтобы устранить или смягчить проблему.

Обнаружение угроз и реагирование на них обычно включает следующие этапы:
 
  • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы для обнаружения сложных киберугроз, которые ускользают от обнаружения.
  • Исследование. После определения риска SOC использует ИИ и другие средства, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
  • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности и автоматизированные инструменты изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
  • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полностью исключить злоумышленника из среды. Они также устраняют уязвимости, которые могут подвергнуть организацию риску подобной кибератаки.
  • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
  • Информирование. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
  • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.

Что такое обнаружение угроз?

Выявлять киберугрозы становится все труднее, поскольку организации расширяют свое облачное пространство, подключают больше устройств к Интернету и переходят на гибридное рабочее место. Злоумышленники пользуются этим расширенным охватом и фрагментацией инструментов безопасности, используя следующие типы тактик:
 
  • Фишинговые кампании. Одним из наиболее распространенных способов проникновения злоумышленников в компанию является рассылка электронных писем, которые обманом заставляют сотрудников скачивать вредоносный код или предоставлять свои учетные данные.
  • Вредоносные программы. Многие киберзлоумышленники используют программное обеспечение, предназначенное для повреждения компьюте­ров и систем или сбора конфиденциальной информации.
  • Программы-шантажисты. Злоумышленники, использующие программы-шантажисты, которые представляют собой тип вредоносного ПО, держат критически важные системы и данные в заложниках, угрожая раскрыть персональные данные или украсть облачные ресурсы для майнинга биткойнов, пока не будет выплачен выкуп. В последнее время управляемые человеком программы-шантажисты, с помощью которых группы киберзлоумышленников получают доступ ко всей сети организации, стала растущей проблемой для групп безопасности.
  • Распределенные атаки типа "отказ в обслуживании" (DDoS). Используя серию ботов, злоумышленники нарушают работу веб-сайта или сервиса, наводняя его трафиком.
  • Внутренняя угроза. Не все киберугрозы исходят извне организации. Также существует риск того, что доверенные люди, имеющие доступ к конфиденциальным данным, могут непреднамеренно или злонамеренно нанести вред организации.
  • Атаки с использованием удостоверений. Большинство нарушений связано с компрометацией персональных данных, то есть когда киберзлоумышленники крадут или угадывают учетные данные пользователя и используют их для получения доступа к системам и данным организации.
  • Атаки Интернета вещей (IoT). Устройства Интернета вещей также уязвимы для кибератак, особенно устаревшие устройства, которые не имеют встроенных средств управления безопасностью, которые есть в современных устройствах.
  • Атака через цепочку поставок. Иногда злоумышленник нацеливается на организацию, вмешиваясь в программное или аппаратное обеспечение, поставляемое сторонним поставщиком.
  • Внедрение кода. Используя уязвимости в обработке исходного кода внешних данных, киберпреступники внедряют в приложение вредоносный код.
Обнаружении угроз
Чтобы опередить рост атак на кибербезопасность, организации используют моделирование угроз для определения требований безопасности, выявления уязвимостей и рисков, а также определения приоритетов их устранения. Используя гипотетические сценарии, SOC пытается проникнуть в сознание киберпреступников, чтобы они могли улучшить способность организации предотвращать или смягчать инциденты безопасности. Структура MITRE ATT&CK® — это полезная модель для распознавания распространенных методов и тактик кибератак.

Многоуровневая защита требует инструментов, которые обеспечивают непрерывный мониторинг среды в реальном времени и выявляют потенциальные проблемы безопасности. Решения также должны перекрываться, чтобы в случае взлома одного метода обнаружения второй обнаружил проблему и уведомил группу безопасности. Решения по обнаружению киберугроз используют различные методы выявления угроз, в том числе:
 
  • Обнаружение на основе подписи. Многие решения безопасности сканируют программное обеспечение и трафик для выявления уникальных подписей, связанных с определенным типом вредоносного ПО.
  • Обнаружение на основе реакции на событие. Чтобы обеспечить обнаружение новых и возникающих киберугроз, решения безопасности также отслеживают действия и поведение, типичные для кибератак.
  • Обнаружение на основе аномалий. ИИ и аналитика помогают группам распознать типичную реакцию на событие пользователей, устройств и программного обеспечения, чтобы они могли выявить что-то необычное, что может указывать на киберугрозу.
Хотя программное обеспечение имеет решающее значение, люди играют не менее важную роль в обнаружении киберугроз. Помимо сортировки и исследования предупреждений, генерируемых системой, аналитики используют методы поиска киберугроз для упреждающего поиска признаков компрометации или поиска тактик, методов и процедур, которые предполагают наличие потенциальной угрозы. Эти подходы помогают SOC быстро обнаруживать и останавливать сложные, труднообнаружимые атаки

Что такое реагирование на угрозы?

После выявления реальной киберугрозы реагирование на угрозу включает любые действия, которые SOC предпринимает для ее сдерживания и устранения, восстановления и снижения вероятности повторения аналогичной атаки. Многие компании разрабатывают план реагирования на инциденты, который поможет им действовать в случае потенциального нарушения безопасности, когда организованность и быстрота действий имеют решающее значение. Хороший план реагирования на инциденты включает сборники схем с пошаговыми инструкциями по конкретным типам угроз, ролям и обязанностям, а также план коммуникации.

Компоненты, преимущества и рекомендации по TDR

Организации используют различные средства и процессы для обнаружения угроз и реагирования на них. Эффективное обнаружение угроз и реагирование на них повышает устойчивость, сводит к минимуму нарушения и способствует реализации методов, которые помогают командам работать вместе и сокращать частоту и ущерб от кибератак.

Расширенное обнаружение и реагирование

Продукты расширенного обнаружения и реагирования (XDR) помогают центрам SOC упростить весь жизненный цикл предотвращения, обнаружения и реагирования на киберугрозы. Эти решения отслеживают конечные точки, облачные приложения, электронную почту и персональные данные. Если решение XDR обнаруживает киберугрозу, оно предупреждает службы безопасности и автоматически реагирует на определенные инциденты на основе критериев, определенных SOC.

Обнаружение и нейтрализация угроз для удостоверений

Поскольку злоумышленники часто нацелены на сотрудников, важно внедрить инструменты и процессы для выявления и реагирования на угрозы для удостоверений организации. Эти решения обычно используют аналитику реакций на событие пользователей и объектов (UEBA) для определения базовой реакции на событие пользователей и выявления аномалий, представляющих потенциальную угрозу.

Управление информационной безопасностью и событиями безопасности

Получение видимости всей цифровой среды — это первый шаг к распознаванию ландшафта угроз. Большинство групп SOC используют решения для управления информационной безопасностью и событиями безопасности (SIEM), которые агрегируют и сопоставляют данные между конечными точками, облаками, электронной почтой, приложениями и удостоверениями. Эти решения используют правила обнаружения и сценарии для выявления потенциальных киберугроз путем сопоставления журналов и предупреждений. Современные SIEM также используют ИИ для более эффективного обнаружения киберугроз и включают источники внешней информации об угрозах, чтобы они могли выявлять новые и возникающие киберугрозы.

Аналитика угроз

Чтобы получить комплексное представление о ландшафте киберугроз, SOC используют инструменты, которые синтезируют и анализируют данные из различных источников, включая конечные точки, электронную почту, облачные приложения и внешние источники информации об угрозах. Анализ этих данных помогает группам безопасности подготовиться к кибератаке, обнаружить активные киберугрозы, расследовать текущие инциденты безопасности и эффективно реагировать.

Обнаружение и нейтрализация атак на конечные точки

Решения для обнаружения и реагирования на конечные точки (EDR) — это более ранняя версия решений XDR, ориентированная только на конечные точки, такие как компьютеры, серверы, мобильные устройства, Интернет вещей. Как и решения XDR, при обнаружении потенциальной атаки эти решения генерируют предупреждение и, в случае некоторых хорошо понятных атак, реагируют автоматически. Поскольку решения EDR ориентированы только на конечные точки, большинство организаций переходят на решения XDR.

Управление уязвимостями

Управление уязвимостями — это непрерывный, упреждающий и часто автоматизированный процесс, который отслеживает компьютерные системы, сети и корпоративные приложения на наличие слабых мест в безопасности. Решения для управления уязвимостями оценивают уязвимости на предмет серьезности и уровня риска и предоставляют отчеты, которые SOC использует для устранения проблем.

Оркестрация, автоматизация ИБ и реагирование на них

Решения для оркестрации, автоматизации ИБ и реагирования на них (SOAR) помогают упростить обнаружение киберугроз и реагирование на них, объединяя внутренние и внешние данные и инструменты в едином централизованном месте. Они также автоматизируют реагирование на киберугрозы на основе набора предопределенных правил.

Управляемое обнаружение и реагирование

Не у всех организаций есть ресурсы для эффективного обнаружения киберугроз и реагирования на них. Службы управляемого обнаружения и реагирования помогают этим организациям пополнить свои группы безопасности инструментами и людьми, необходимыми для поиска угроз и соответствующего реагирования.
Назад к вкладкам

Решения для обнаружения угроз и реагирования на них

Обнаружение угроз и реагирование на них — важнейшая функция, которую могут использовать все организации, чтобы помочь им обнаружить и устранить киберугрозы до того, как они причинят вред. Microsoft Security предлагает несколько решений по защите от угроз, которые помогают группам безопасности отслеживать, обнаруживать и реагировать на киберугрозы. Для организаций с ограниченными ресурсами эксперты Microsoft Defender предоставляют управляемые службы для расширения существующего персонала и инструментов.
Вопросы и ответы

Вопросы и ответы

  • Расширенное обнаружение угроз включает методы и инструменты, которые специалисты по безопасности используют для обнаружения сложных постоянных угроз, которые представляют собой сложные угрозы, предназначенные для того, чтобы оставаться незамеченными в течение длительного периода времени. Эти угрозы часто более серьезны и могут включать шпионаж или кражу данных.
  • Основными методами обнаружения угроз являются решения безопасности, такие как SIEM или XDR, которые анализируют активность в среде, чтобы обнаружить признаки компрометации или поведение, отклоняющееся от ожидаемого. Люди используют эти инструменты для сортировки потенциальных угроз и реагирования на них. Они также используют XDR и SIEM для поиска сложных злоумышленников, которые могут избежать обнаружения.
  • Обнаружение угроз — это процесс обнаружения потенциальных угроз безопасности, включая действия, которые могут указывать на то, что устройство, программное обеспечение, сеть или удостоверение скомпрометированы. Реагирование на инциденты включает действия, которые группа безопасности и автоматизированные инструменты предпринимают для сдерживания и устранения киберугрозы.
  • Процесс обнаружения угроз и реагирования на них состоит из следующих этапов.
     
    • Обнаружение. Средства безопасности, которые отслеживают конечные точки, идентификационные данные, сети, приложения и облака, помогают выявить риски и потенциальные нарушения. Специалисты по безопасности также используют методы охоты на киберугрозы, чтобы попытаться обнаружить новые киберугрозы.
    • Исследование. После выявления риска люди используют ИИ и другие инструменты, чтобы подтвердить реальность киберугрозы, определить, как она произошла, и оценить, какие активы компании затронуты.
    • Автономность. Чтобы остановить распространение кибератаки, группы кибербезопасности изолируют зараженные устройства, идентификационные данные и сети от остальных активов организации.
    • Искоренения. Группы устраняют основную причину инцидента безопасности с целью полного изгнания злоумышленника из среды и устранения уязвимостей, которые могут подвергнуть организацию риску аналогичной кибератаки.
    • Восстановление. Как только группы будут достаточно уверены в том, что киберугроза или уязвимость устранены, они снова подключат все изолированные системы к сети.
    • Отчет. В зависимости от серьезности инцидента группы безопасности документируют и информируют руководителей, руководителей или совет директоров о том, что произошло и как это было решено.
    • Устранение рисков. Чтобы предотвратить повторение подобного нарушения и улучшить реагирование в будущем, группы изучают инцидент и определяют изменения, которые необходимо внести в среду и процессы.
  • TDR означает обнаружение угроз и реагирование на них, то есть процесс выявления угроз кибербезопасности организации и принятия мер по смягчению этих угроз до того, как они нанесут реальный ущерб. EDR означает обнаружение и реагирование на конечных точках. Это категория программных продуктов, которые отслеживают конечные точки организации на предмет потенциальных кибератак, сообщают об этих киберугрозах группе безопасности и автоматически реагируют на определенные типы кибератак.

Следите за новостями Microsoft Security

Русский (Россия) Конфиденциальность медицинских сведений потребителей Связаться с Майкрософт Конфиденциальность Управление файлами cookie Условия использования Товарные знаки Сведения о рекламе