This is the Trace Id: 5acf405b6f5f8dc95cbaa7b9553c6af5
Gå till huvudinnehåll Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Visa alla produkter AI-baserad cybersäkerhet Molnsäkerhet Datasäkerhet och datastyrning Åtkomst till identitet och nätverk Sekretess och riskhantering Säkerhet för AI Smått och medelstort företag Enhetliga säkerhetsåtgärder Nolltillit Prissättning Tjänster Partner Varför Microsoft Security Medvetenhet om cybersäkerhet Kundberättelser Grunderna inom säkerhet Utvärderingsversioner av produkter Branscherkännande Microsoft Security Insider Rapport om Microsofts digitala försvar Security Response Center Microsoft Security-bloggen Microsoft Security-evenemang Microsoft Tech Community Dokumentation Tekniskt innehållsbibliotek Utbildning och certifieringar Compliance Program för Microsoft Cloud Microsoft Säkerhetscenter Service Trust Portal Microsoft Secure Future Initiative Hubb för företagslösningar Kontakta säljteamet Starta kostnadsfri utvärderingsversion Microsoft-säkerhet Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixad verklighet Microsoft HoloLens Microsoft Viva Kvantdatorer Utbildning Fordon Finansiella tjänster Myndigheter Hälso- och sjukvård Tillverkning Handel Hitta en partner Bli partner Partnernätverk Microsoft Marketplace Programvaruföretag Blogg Microsoft Advertising Utvecklarcenter Dokumentation Evenemang Licensiering Microsoft Learn Microsoft Research Visa webbplatskarta
Här är alternativtexten enligt önskemål, utan att nämna det suddiga ansiktet: **Alt-text:** En person står i ett serverrum och håller en surfplatta där man ser en instrumentpanel med diagram och systemmått på skärmen.

Vad är angreppsindikatorer (IoC)?

Mer information om hur du övervakar, identifierar, använder och svarar på angreppsindikatorer.
Upptäck Microsoft Defender Hotinformation

Förklaring av angreppsindikatorer

En angreppsindikator (IoC) är bevis på att någon kan ha tagit sig in i en organisations nätverk eller slutpunkt. Dessa tekniska data indikerar inte bara ett potentiellt hot, det signalerar att en attack, till exempel skadlig kod, komprometterade autentiseringsuppgifter eller dataexfiltrering, redan har inträffat. Säkerhetspersonal söker efter IOC:er i händelseloggar, utökad identifiering och åtgärd (XDR) Vad är utökad identifiering och åtgärd (XDR)?lösningar för utökad identifiering och svar (XDR) och lösningar för säkerhetsinformation och händelsehantering (SIEM). Under en attack använder teamet IOC:er för att eliminera hotet och minimera skador. Efter återställningen hjälper angreppsindikatorer en organisation att bättre förstå vad som hände, så att organisationens säkerhetsteam kan stärka säkerheten och minska riskerna för en annan liknande incident.

Exempel på angreppsindikatorer

Inom IoC-säkerhet övervakar it-avdelningen miljön i jakt på följande ledtrådar om att en attack pågår:

Avvikelser i nätverkstrafik

I de flesta organisationer finns det enhetliga mönster för nätverkstrafik som passerar in och ut ur den digitala miljön. När det ändras, till exempel om betydligt mer data lämnar organisationen eller om det förekommer aktivitet från en ovanlig plats i nätverket, kan det vara ett tecken på en attack.

Ovanliga inloggningsförsök

Precis som nätverkstrafik är användarnas arbetsvanor förutsägbara. De loggar vanligtvis in från samma platser och vid ungefär samma tidpunkter under veckan. Säkerhetspersonal kan identifiera ett komprometterat konto genom att vara uppmärksam på inloggningar under udda tider på dagen eller från ovanliga geografiska områden, till exempel ett land där en organisation inte har ett kontor. Det är också viktigt att notera flera misslyckade inloggningar från samma konto. Även om användare med jämna mellanrum glömmer sina lösenord eller har problem med att logga in kan de vanligtvis lösa det efter några försök. Upprepade misslyckade inloggningsförsök kan tyda på att någon försöker komma åt organisationen med ett stulet konto.

Oegentligheter kopplade till konton med hög behörighet

Många angripare, oavsett om de är folk på insidan eller angripare utifrån, är intresserade av att komma åt administrativa konton och hämta känsliga data. Ett ovanligt beteende kopplat till de här kontona, till exempel att någon försöker utöka sina behörigheter, kan vara ett tecken på en överträdelse.

Ändringar i systemkonfigurationer

Skadlig kod är ofta programmerad för att göra ändringar i systemkonfigurationer, till exempel att aktivera fjärråtkomst eller inaktivera säkerhetsprogramvara. Genom att övervaka sådana oväntade konfigurationsändringar kan säkerhetspersonal identifiera ett intrång innan för mycket skada har skett.

Oväntade programinstallationer eller uppdateringar

Många attacker börjar med installation av programvara, till exempel skadlig kod eller utpressningstrojaner, som är utformade för att göra filer otillgängliga eller för att ge angripare åtkomst till nätverket. Genom att hålla koll på oplanerade programinstallationer och uppdateringar kan organisationer snabbt fånga upp de här angreppsindikatorerna.

Flera begäranden om samma fil

Flera begäranden om en enskild fil kan tyda på att en skadlig aktör försöker stjäla den och har försökt att komma åt den på flera sätt.

Ovanliga begäranden om domännamnssystem

Vissa skadliga aktörer använder en attackmetod som kallas ledning och kontroll (C2). De installerar skadlig kod på en organisations server som skapar en anslutning till en server som de äger. De skickar sedan kommandon från servern till den infekterade datorn för att försöka stjäla data eller störa åtgärder. Ovanliga DNS-begäranden (Domain Name Systems) hjälper it-avdelningen att identifiera sådana attacker.

Så här identifierar du angreppsindikatorer

Tecknen på en digital attack registreras i loggfilerna. Som en del av IOC:s cybersäkerhet övervakar team regelbundet digitala system för misstänkt aktivitet. Moderna SIEM- och XDR-lösningar förenklar den här processen med AI- och maskininlärningsalgoritmer som upprättar en baslinje för vad som är normalt i organisationen och sedan varnar teamet om avvikelser. Det är också viktigt att engagera anställda utanför säkerheten, som kan få misstänkta e-postmeddelanden eller av misstag ladda ned en infekterad fil. Bra säkerhetsutbildningsprogram hjälper medarbetarna att bli bättre på att identifiera intrång i e-post och tillhandahåller sätt för dem att rapportera allt som verkar konstigt.

Varför angreppsindikatorer är viktiga

Övervakning av angreppsindikatorer är avgörande för att minska en organisations säkerhetsrisk. Tidig identifiering av IOC:er gör det möjligt för säkerhetsteam att svara på och lösa attacker snabbt, vilket minskar mängden stilleståndstid och avbrott. Regelbunden övervakning ger också teamen större insikt i organisationens sårbarheter, som sedan kan åtgärdas.

Svara på angreppsindikatorer

När säkerhetsteamen har identifierat en angreppsindikator måste de reagera effektivt för att säkerställa så lite skada som möjligt för organisationen. Följande steg hjälper organisationer att hålla fokus och stoppa hot så snabbt som möjligt:

Upprätta en plan för incidenthantering

Att svara på en incident är stressande och tidskänsligt eftersom ju längre angripare förblir oupptäckta, desto mer sannolikt är det att de uppnår sina mål. Många organisationer utvecklar ensvar på incident: Vad är svar på incident? incidenthantering planera för att hjälpa team under de kritiska faserna i ett svar. Planen beskriver hur organisationen definierar en incident, roller och ansvarsområden, de steg som krävs för att lösa en incident och hur teamet ska kommunicera med anställda och externa intressenter.

Isolera drabbade system och enheter

När en organisation har identifierat ett hot isolerar säkerhetsteamet snabbt angripna program eller system från resten av nätverken. Det är ett sätt att hindra angriparna från att komma åt andra delar av verksamheten.

Utföra forensisk analys

Den tekniska analysen hjälper organisationer att upptäcka alla aspekter av ett intrång, inklusive källan, typen av attack och angriparens mål. Analysen görs under attacken för att förstå omfattningen av kompromissen. När organisationen har återställts från attacken hjälper ytterligare analys teamet att förstå möjliga sårbarheter och andra insikter.

Eliminera hotet

Teamet tar bort angriparen och eventuell skadlig kod från berörda system och resurser, vilket kan innebära att ta system offline.

Implementera säkerhets- och processförbättringar

När organisationen har återställts från incidenten är det viktigt att utvärdera varför attacken inträffade och om det finns något som organisationen kan ha gjort för att förhindra det. Det kan finnas enkla process- och principförbättringar som minskar risken för liknande angrepp i framtiden, eller också kan teamet identifiera lösningar med längre räckvidd som ska läggas till i en säkerhetsöversikt.



IoC-lösningar

De flesta säkerhetsöverträdelser lämnar ett forensiskt spår i loggfiler och system. Att lära sig att identifiera och övervaka dessa IOCs hjälper organisationer att snabbt isolera och eliminera angripare. Många team vänder sig till SIEM-lösningar som Microsoft Sentinel och Microsoft Defender XDR, som använder AI och automatisering för att visa IOCs och korrelera dem med andra händelser. Med en incidenthanteringsplan kan teamen komma före attacker och snabbt stänga av dem. Ju snabbare företag som förstår vad som händer, desto mer sannolikt är det att de stoppar en attack innan det kostar dem pengar eller skadar deras rykte. Säkerhet via angreppsindikatorer är nyckeln till att hjälpa organisationer att minska risken för kostsamma överträdelser.
Resurser

Mer information om Microsoft Security

  1.
En man och en kvinna sitter vid ett bord. Kvinna skriver på en bok och man ser en bärbar dator.

Microsoft skydd mot hot

Identifiera och svara på incidenter i din organisation med det senaste inom hotskydd.
Mer information
En person sitter vid ett skrivbord och använder en bärbar dator.

Microsoft Sentinel

Samordna säkerhetsdata och sammanhang för att stärka agentbaserat försvar med en SIEM och AI-baserad plattform.
Mer information
En kvinna tittar på sin mobiltelefon.

Microsoft Defender XDR

Stoppa attacker mellan slutpunkter, e-post, identiteter, program och data med XDR-lösningar.
Mer information
En grupp med tre personer på ett ljust kontor, leende och engagerade när de tittar på en bärbar dator som hålls av en person.

Community för hotinformation

Få de senaste uppdateringarna från communityutgåvan av Microsoft Defender Hotinformation.
Mer information
Tillbaka till avsnittet Relaterade produkter
Vanliga frågor och svar

Vanliga frågor och svar

  • Det finns flera typer av angreppsindikatorer. Några av de vanligaste är:
    • Avvikelser i nätverkstrafik
    • Ovanliga inloggningsförsök
    • Oregelbundna privilegierade konton
    • Ändringar i systemkonfigurationer
    • Oväntade programinstallationer eller uppdateringar
    • Flera begäranden för samma fil
    • Ovanliga begäranden om domännamnssystem
  • En angreppsindikator är ett digitalt bevis på att en attack redan har inträffat. En indikator på en attack är ett bevis på att en attack sannolikt kommer att inträffa. En nätfiskekampanj är till exempel en indikator på angrepp eftersom det inte finns några bevis för att angriparen har brutit mot företaget. Men om någon klickar på en nätfiskelänk och laddar ned skadlig kod är installationen av den skadliga koden en angreppsindikator.
  • Angreppsindikatorer i e-post kan vara en plötslig stor mängd skräppost, konstiga bifogade filer eller länkar eller ett oväntat mejl från en känd person. Om en anställd till exempel skickar ett mejl till en medarbetare med en konstig bifogad fil kan det tyda på att den anställdas konto är utsatt för intrång.
  • Det finns flera sätt att identifiera ett system som drabbats av intrång. En ändring i nätverkstrafiken från en viss dator kan vara en indikator på att den har komprometterats. Om en person som vanligtvis inte behöver ett system börjar komma åt det regelbundet är det en röd flagga. Ändringar i systemets konfigurationer eller en oväntad programvaruinstallation kan också tyda på att ett intrång har skett i systemet.
  • Tre exempel på angreppsindikatorer:
    • Ett användarkonto som är baserat i Nordamerika börjar logga in på företagsresurser från Europa.
    • Tusentals åtkomstbegäranden för flera användarkonton, vilket indikerar att organisationen har drabbats av en råstyrkeattack.
    • Nya begäranden för domännamnssystem kommer från en ny värd eller ett land där anställda och kunder inte finns.

Följ Microsoft Security

Surface Pro Surface Laptop Copilot för organisationer Copilot för användning privat Microsoft 365 Utforska produkter från Microsoft Windows 11-appar Kontoprofil Download Center Microsoft Store-support Returer Orderspårning Återvinning Kommersiella garantier Microsoft Education Enheter för utbildning Microsoft Teams för utbildning Microsoft 365 Education Office Education Utbildning och utveckling för lärare Erbjudanden för elever och föräldrar Azure för studenter
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Små företag Microsoft Developer Microsoft Learn Stöd för AI-marknadsappar Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Programvaruföretag Visual Studio Karriärmöjligheter Om Microsoft Företagsnyheter Sekretess på Microsoft Investerare
Svenska (Sverige) Sekretess för konsumenthälsa Kontakta Microsoft Integritet Hantera cookies Juridiskt meddelande Varumärken Om våra annonser EU Compliance DoCs