This is the Trace Id: 6aab486fafdb44633a867d713b96cebf
Preskoči na glavno vsebino Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Prikaži vse izdelke Kibernetska varnost, ki uporablja umetno inteligenco Varnost v oblaku Varnost in upravljanje podatkov Identiteta in omrežni dostop Zasebnost in upravljanje tveganj Varnost za umetno inteligenco Malo in srednje veliko podjetje Poenoteni varnostno-operativni postopki SecOps Ničelno zaupanje Cene Storitve Partnerji Zakaj Microsoftova varnost Osveščanje o kibernetski varnosti Mnenja strank Osnove varnosti Preskusne različice izdelkov Priznanja v panogi Microsoft Security Insider Poročilo o Microsoftovi digitalni obrambi Odzivno središče za varnost Spletni dnevnik o Microsoftovi varnosti Dogodki Microsoftove varnosti Microsoft Tech Community Dokumentacija Knjižnica tehnične vsebine Usposabljanje in potrdila Program skladnosti s predpisi za Microsoft Cloud Microsoftovo središče zaupanja Portal za zanesljivost storitev Microsoftova Pobuda za varno prihodnost Središče za poslovne rešitve Obrnite se na prodajo Začetek uporabe brezplačne preskusne različice Microsoftova varnost Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoftova umetna inteligenca Azure Space Mešana resničnost Microsoft HoloLens Microsoft Viva Kvantno računalništvo Izobraževanje Avto-moto Finančne storitve Državne ustanove Zdravstvo Proizvodnja Maloprodaja Poiščite partnerja Postanite partner Mreža za partnerje Microsoft Marketplace Podjetja za programsko opremo Spletni dnevnik Microsoft Advertising Središče za razvijalce Dokumentacija Dogodki Licenciranje Microsoft Learn Microsoft Research Oglejte si zemljevid spletnega mesta
Tukaj je nadomestno besedilo, kot ste zahtevali, ne da bi omenili zamegljen obraz: **Nadomestno besedilo:** Oseba, ki drži tablični računalnik v strežniški sobi in si ogleduje nadzorno ploščo z grafikoni in sistemsko metriko, prikazano na zaslonu.

Kaj so kazalniki ogroženosti (IOC)?

Naučite se nadzorovati, prepoznati, uporabljati kazalnike ogroženosti in se odzvati nanje.
Odkrijte Obveščanje o grožnjah Microsoft Defender

Več informacij o kazalnikih ogroženosti

Kazalnik ogroženosti (IOC) je dokaz, da je nekdo vdrl v omrežje organizacije ali v končno točko. Ti forenzični podatki ne označujejo le morebitne grožnje, ampak označujejo, da je že prišlo do napada, kot je zlonamerna programska oprema, ogrožene poverilnice ali nepooblaščeno filtriranje podatkov. Varnostni strokovnjaki v dnevnikih dogodkov poiščejo IOC-je, rešitve razširjenega odzivanja in zaznavanja (XDR) ter upravljanja varnostnih informacij in dogodkov (SIEM). Med napadom skupina uporablja IOC-je za odstranitev grožnje in preprečevanje škode. IOC-ji po obnovitvi pomagajo organizaciji bolje razumeti, kaj se je zgodilo, da lahko varnostna skupina organizacije okrepi varnost in zmanjša tveganje drugega podobnega dogodka.

Primeri IOC-jev

V varnosti IOC IT nadzira okolje za sledeče namige, da se izvaja napad:

Anomalije omrežnega prometa

V večini organizacij obstajajo dosledni vzorci za omrežni promet, ki prehaja v digitalno okolje in iz njega. Če se to spremeni, npr. če je v organizaciji na voljo veliko več podatkov ali če prihaja do dejavnosti iz nenavadne lokacije v omrežju, je to lahko znak napada.

Nenavadni poskusi vpisa

Podobno kot omrežni promet so delovne navade ljudi predvidljive. Običajno se vpišete na istih lokacijah in v približno enakih časih v tednu. Strokovnjaki za varnost lahko zaznajo ogrožen račun tako, da podrobneje pregledujejo vpise ob nenavadnih dnevih ali na nenavadnih geografskih območjih, kot je država, v kateri organizacija nima pisarne. Pomembno je tudi, da si zabeležite več neuspelih vpisov iz istega računa. Čeprav ljudje občasno pozabijo svoja gesla ali imajo težave z vpisom, jih običajno lahko razrešijo po nekaj poskusih. Ponavljajoči se neuspešni poskusi vpisa lahko kažejo na to, da nekdo poskuša dostopati do organizacije z ukradenim računom.

Nepravilnosti privilegiranega računa

Številni napadalci, ne glede na to, ali so notranji ali zunanji uporabniki, želijo dostopati do skrbniških računov in pridobiti občutljive podatke. Znak kršitve je lahko netipično obnašanje, povezano s temi računi, na primer nekdo, ki poskuša posredovati svoje pravice na višji nivo.

Spremembe konfiguracij sistemov

Zlonamerna programska oprema je pogosto programirana za spreminjanje konfiguracij sistemov, na primer za omogočanje oddaljenega dostopa ali onemogočanje varnostne programske opreme. Z nadzorom teh nepričakovanih sprememb konfiguracije lahko varnostni strokovnjaki prepoznajo kršitev, preden je prišlo do prevelike škode.

Nepričakovane namestitve ali posodobitve programske opreme

Številni napadi se začnejo z namestitvijo programske opreme, kot je zlonamerna programska oprema ali izsiljevalska programska oprema, ki je zasnovana tako, da onemogoči dostop do datotek ali napadalcem omogoči dostop do omrežja. Z nadzorom nenačrtovanih namestitev in posodobitev programske opreme lahko organizacije te IOC-je hitro zaznajo.

Številne zahteve za isto datoteko

Več zahtev za eno datoteko lahko pomeni, da jo poskuša zlonameren akter ukrasti in je že poskusil dostopati do nje na več načinov.

Nenavadne zahteve za sisteme imen domen

Nekateri zlonamerni akterji uporabljajo metodo napada, ki se imenuje ukaz in nadzor. V strežnik organizacije namestijo zlonamerno programsko opremo, ki ustvari povezavo s strežnikom, katerega lastnik je. Nato pošljejo ukaze iz strežnika v okuženi računalnik, da poskušajo ukrasti podatke ali prekiniti operacije. Z nenavadnimi zahtevami za sisteme imen domen (DNS) lahko IT ekipa zazna takšne napade.

Kako prepoznati IOC-je

Znaki digitalnega napada so zapisani v dnevniških datotekah. Kot del kibernetske varnosti IOC skupine redno nadzorujejo digitalne sisteme, ali v njih prihaja do sumljivih dejavnosti. Sodobne rešitve SIEM in XDR poenostavijo ta postopek z UI in algoritmi strojnega učenja, ki vzpostavijo osnovni načrt za običajno delovanje v organizaciji in nato opozorijo skupino o odstopanjih. Pomembno je tudi, da vključite zaposlene, ki niso člani oddelka za varnosti in lahko prejemajo sumljiva e-poštna sporočila ali pomotoma prenesejo okuženo datoteko. Z dobrimi varnostnimi programi lahko delavci bolje zaznavajo ogrožena e-poštna sporočila, ponudijo pa jim tudi načine, kako lahko prijavijo vse, kar je videti neobičajnega.

Zakaj so IOC-ji pomembni

Nadzor IOC-jev je ključnega pomena za zmanjšanje varnostnega tveganja organizacije. Z zgodnjim zaznavanjem IOC-jev se lahko varnostne skupine hitro odzovejo na napade in jih razrešijo ter tako zmanjšajo čas nedosegljivosti in motnje. Z rednim nadzorom pridobijo skupine celovitejši vpogled v ranljivosti organizacije, ki jih je nato mogoče ublažiti.

Odzivi na kazalnike ogroženosti

Ko varnostne skupine prepoznajo IOC, se morajo učinkovito odzvati, da organizacija utrpi čim manj škode. Sledeči koraki pomagajo organizacijam ostati osredotočene in grožnje ustaviti čim hitreje:

Vzpostavite načrt za odzivanje na dogodek

Odzivanje na dogodek je stresno in časovno občutljivo, saj dlje, kot ostanejo napadalci neodkriti, bolje verjetno je, da dosežejo svoje cilje. Številne organizacije razvijejo načrt odzivanja na dogodek, s katerim lahko usmerjajo ekipe med kritičnimi obdobji odziva. Načrt določa, kako organizacija opredeljuje dogodek, vloge in odgovornosti, korake, zahtevane za razrešitev dogodka, in način, kako naj skupina komunicira z zaposlenimi in zunanjimi zainteresiranimi skupinami.

Izolirajte ogrožene sisteme in naprave

Ko je organizacija prepoznala grožnjo, mora varnostna ekipa hitro osamiti napadene aplikacije ali sisteme od preostalih omrežij. S tem prepreči napadalcem dostop do drugih delov podjetja.

Izvedite forenzično analizo

Forenzična analiza pomaga organizacijam odkriti vse vidike kršitve, vključno z virom, vrsto napada in cilji napadalca. Analiza se izvaja med napadom, da se seznanite z obsegom grožnje. Ko se organizacija opomore od napada, dodatna analiza pomaga ekipi razumeti morebitne ranljivosti in druge vpoglede.

Odpravite grožnjo

Odstranitev grožnje – ko je faza omejitve dokončana, ekipa odstrani napadalca ter morebitno zlonamerno programsko opremo iz prizadetih sistemov in virov.

Uvedite izboljšave varnosti in postopkov

Ko si organizacija opomore od dogodka, je pomembno, da ocenite, zakaj je prišlo do napada, in ali bi organizacija lahko naredila kar koli za preprečitev napada. Morda bodo na voljo preproste izboljšave postopka in pravilnika, s katerimi boste zmanjšali tveganje za podoben napad v prihodnosti ali pa bo skupina prepoznala dolgotrajne rešitve, ki jih bo dodala v načrt varnosti.



Rešitve IOC

Večina kršitev varnosti pusti forenzično sled v dnevniških datotekah in sistemih. Ko se organizacija nauči prepoznavati in nadzirati te IOC-je, bo lahko hitro izolirala in odstranila napadalce. Številne ekipe uporabljajo rešitve SIEM, kot sta Microsoft Sentinel in Microsoft Defender XDR, ki uporabljata UI in avtomatizacijo za površinske IOC-je, ki jih povežeta z drugimi dogodki. Načrt za odziv na dogodek omogoča skupinam, da so korak pred napadi in jih hitro zaustavijo. Ko je govora o kibernetski varnosti, hitreje ko podjetja razumejo, kaj se dogaja, bolj verjetno je, da bodo zaustavila napad, preden bodo izgubili denar ali si omalovaževali svoj ugled. Varnost IOC je ključna za pomoč organizacijam pri zmanjšanju tveganja, da bi prišlo do drage kršitve.
Viri

Več informacij o Microsoftovi varnosti

  1.
Moški in ženska sedita za mizo, ženska piše v knjigo, viden je prenosnik.

Microsoftova zaščita pred grožnjami

Prepoznajte dogodke v celotni organizaciji in se odzovite nanje z najnovejšimi funkcijami za zaščito pred grožnjami.
Več informacij
Oseba sedi za pisalno mizo in uporablja prenosnik.

Microsoft Sentinel

Poenotite varnostne podatke in kontekst za podporo posredniški obrambi s storitvijo SIEM & platformo, osredotočen na UI.
Več informacij
Ženska gleda svoj mobilni telefon.

Microsoft Defender XDR

Zaustavite napade na različne končne točke, e-pošto, identitete, aplikacije in podatke z rešitvami XDR.
Več informacij
Skupina treh oseb v svetli pisarni se smeji in je angažirana, ko si ogledujejo prenosnik, ki ga drži ena oseba.

Skupnost obveščanja o grožnjah

Pridobite najnovejše posodobitve iz izdaje skupnosti Obveščanja o grožnjah Microsoft Defender.
Več informacij
Nazaj na razdelek sorodnih izdelkov
Pogosta vprašanja

Pogosta vprašanja

  • Obstaja več vrst napadov IOC. Nekateri od najpogostejših so:
    • Anomalije omrežnega prometa
    • Nenavadni poskusi vpisa
    • Nepravilnosti privilegiranega računa
    • Spremembe konfiguracij sistemov
    • Nepričakovane namestitve ali posodobitve programske opreme
    • Številne zahteve za isto datoteko
    • Nenavadne zahteve za sisteme imen domen
  • Kazalnik ogroženosti je digitalni dokaz, da je do napada že prišlo. Kazalnik napada je dokaz, da do napada lahko pride. Napad z lažnim predstavljanjem je na primer kazalnik napada, ker ni nobenega dokaza, da je napadalec kršil pravila podjetja. Če pa se zgodi, da nekdo odpre povezavo z lažnim predstavljanjem in prenese zlonamerno programsko opremo, je namestitev te zlonamerne programske opreme kazalnik ogroženosti.
  • Kazalniki ogroženosti v e-poštnih sporočilih vključujejo nenadno poplavo neželene pošte, nenavadnih prilog ali povezav ali nepričakovano e-poštno sporočilo poznane osebe. Če na primer zaposleni pošlje sodelavki e-poštno sporočilo z nenavadno prilogo, lahko to pomeni, da je bil njen račun ogrožen.
  • Ogrožen sistem lahko prepoznate na več načinov. Sprememba omrežnega prometa iz določenega računalnika je lahko pokazatelj, da je bil računalnik ogrožen. Če oseba, ki običajno ne potrebuje sistema, redno dostopa do sistema, je to rdeča zastavica. Da je bil sistem ogrožen, pokažejo tudi spremembe konfiguracij v sistemu ali nepričakovana namestitev programske opreme.
  • Trije primeri IOC-jev so:
    • Uporabniški račun, ki je v Severni Ameriki, se začne vpisovati v vire podjetja iz Evrope.
    • Na tisoče zahtev za dostop v več uporabniških računov, ki označujejo, da je organizacija žrtev napada z ugibanjem ključa.
    • Nove zahteve sistemov za imena domen (DNS) prihajajo od novega gostitelja ali države, v kateri zaposleni in stranke ne bivajo.

Spremljajte Microsoftovo varnost

Microsoft Copilot Microsoft 365 Aplikacije za Windows 11 Profil računa Središče za prenose Vračila Sledenje naročilom Recikliranje Commercial Warranties Microsoft Education Naprave za izobraževanje Microsoft Teams za izobraževanje Microsoft 365 Education Office Education Izobraževanje in razvoj učiteljev Posebne ponudbe za študente in starše Azure za študente
Microsoftova umetna inteligenca Microsoftova varnost Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Razvijalec za Microsoft Microsoft Learn Podpora za aplikacije UI na tržnici Microsoftova skupnost tehnikov Microsoft Marketplace Microsoft Power Platform Podjetja za programsko opremo Visual Studio Zaposlitev O Microsoftu Zasebnost pri Microsoftu Vlagatelji
Slovenščina (Slovenija) Zasebnost o zdravstvenem stanju potrošnikov Obrnite se na Microsoft Zasebnost Upravljanje piškotkov Pogoji za uporabo Blagovne znamke O naših oglasih EU Compliance DoCs