This is the Trace Id: 32e7d838a96d7a5ce29654f4048c59c7
ข้ามไปที่เนื้อหาหลัก Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel ดูผลิตภัณฑ์ทั้งหมด การรักษาความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนโดย AI การรักษาความปลอดภัยของระบบคลาวด์ ความปลอดภัยและการกำกับดูแลข้อมูล การเข้าถึงข้อมูลประจำตัวและเครือข่าย ความเป็นส่วนตัวและการจัดการความเสี่ยง ความปลอดภัยสำหรับ AI ธุรกิจขนาดเล็กและขนาดกลาง SecOps แบบรวม Zero Trust การกำหนดราคา บริการ คู่ค้า ทำไมต้องใช้ Microsoft Security การตระหนักรู้การรักษาความปลอดภัยทางไซเบอร์ เรื่องราวของลูกค้า ความปลอดภัย 101 รุ่นทดลองใช้ของผลิตภัณฑ์ การรับรองจากอุตสาหกรรม Microsoft Security Insider รายงานการป้องกันดิจิทัลของ Microsoft Security Response Center บล็อก Microsoft Security กิจกรรม Microsoft Security Microsoft Tech Community คู่มือ ไลบรารีเนื้อหาด้านเทคนิค การฝึกอบรมและใบรับรอง โครงการปฏิบัติตามข้อบังคับสำหรับ Microsoft Cloud ศูนย์ความเชื่อถือของ Microsoft Service Trust Portal Microsoft Secure Future Initiative ฮับโซลูชันทางธุรกิจ ติดต่อฝ่ายขาย เริ่มใช้รุ่นทดลองใช้ฟรี Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space ความเป็นจริงผสม Microsoft HoloLens Microsoft Viva การคำนวณควอนตัม การศึกษา ยานยนต์ บริการทางการเงิน ภาครัฐ การบริการสุขภาพ การผลิต การค้าปลีก ค้นหาคู่ค้า เป็นคู่ค้า เครือข่ายคู่ค้า Microsoft Marketplace บริษัทซอฟต์แวร์ต่างๆ บล็อก Microsoft Advertising ศูนย์นักพัฒนา คู่มือ กิจกรรม การอนุญาตให้ใช้สิทธิ์ Microsoft Learn Microsoft Research ดูแผนผังเว็บไซต์
ต่อไปนี้คือข้อความแสดงแทนที่ร้องขอ โดยไม่กล่าวถึงใบหน้าที่เบลอ: **ข้อความแสดงแทน:** คนกำลังถือแท็บเล็ตอยู่ในห้องเซิร์ฟเวอร์ โดยกำลังดูแดชบอร์ดที่มีแผนภูมิและเมตริกระบบแสดงอยู่บนหน้าจอ

ตัวบ่งชี้ช่องโหว่ (IOC) คืออะไร

เรียนรู้วิธีการตรวจสอบ ระบุ ใช้ และตอบสนองต่อตัวบ่งชี้ช่องโหว่
ค้นพบ Microsoft Defender Threat Intelligence

คำอธิบายเกี่ยวกับตัวบ่งชี้ช่องโหว่

ตัวบ่งชี้ช่องโหว่ (IOC) เป็นหลักฐานว่าอาจมีคนละเมิดเครือข่ายหรือปลายทางขององค์กร ข้อมูลทางนิติวิทยาศาสตร์นี้ไม่เพียงระบุถึงภัยคุกคามที่อาจเกิดขึ้น แต่ยังส่งสัญญาณว่ามีการโจมตี เช่น มัลแวร์ ข้อมูลประจำตัวที่มีช่องโหว่ หรือการลักลอบถ่ายโอนข้อมูลเกิดขึ้นแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยค้นหา IOC บนบันทึกเหตุการณ์ โซลูชันการตรวจหาและการตอบสนองแบบขยาย (XDR) และโซลูชัน Security Information and Event Management (SIEM) ระหว่างการโจมตี ทีมจะใช้ IOC เพื่อกำจัดภัยคุกคามและบรรเทาความเสียหาย หลังจากการกู้คืน IOC จะช่วยให้องค์กรเข้าใจสิ่งที่เกิดขึ้นได้ดียิ่งขึ้น ดังนั้นทีมรักษาความปลอดภัยขององค์กรจึงสามารถเสริมสร้างความปลอดภัยและลดความเสี่ยงของเหตุการณ์อื่นที่คล้ายคลึงกัน

ตัวอย่างของ IOC

ในการรักษาความปลอดภัยของ IOC ฝ่ายไอทีจะตรวจสอบสภาพแวดล้อมเพื่อหาเบาะแสต่อไปนี้ว่ากำลังมีการโจมตี:

สิ่งผิดปกติสำหรับปริมาณการใช้งาน

ในองค์กรส่วนใหญ่ มีรูปแบบที่สอดคล้องกันสำหรับปริมาณการใช้งานที่เข้าและออกจากสภาพแวดล้อมดิจิทัล เมื่อมีการเปลี่ยนแปลง เช่น หากมีข้อมูลจำนวนมากออกจากองค์กร หรือมีกิจกรรมที่มาจากตำแหน่งที่ผิดปกติในเครือข่าย อาจเป็นสัญญาณของการโจมตี

การพยายามลงชื่อเข้าใช้ที่ผิดปกติ

นิสัยการทำงานของผู้คนสามารถคาดเดาได้เช่นเดียวกับปริมาณการใช้งาน โดยทั่วไปแล้ว พวกเขาจะลงชื่อเข้าใช้จากตำแหน่งที่ตั้งเดียวกันและในเวลาเดียวกันระหว่างสัปดาห์ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถตรวจหาบัญชีที่มีช่องโหว่โดยให้ความสนใจกับการลงชื่อเข้าใช้ในเวลาแปลกๆ ของวันหรือจากตำแหน่งทางภูมิศาสตร์ที่ผิดปกติ เช่น ประเทศที่องค์กรไม่มีสำนักงาน สิ่งสำคัญคือต้องจดบันทึกการลงชื่อเข้าใช้ที่ล้มเหลวหลายครั้งจากบัญชีเดียวกัน แม้ว่าผู้คนจะลืมรหัสผ่านเป็นระยะๆ หรือประสบปัญหาในการลงชื่อเข้าใช้ แต่พวกเขาก็มักจะสามารถแก้ไขได้หลังจากพยายามไม่กี่ครั้ง การพยายามลงชื่อเข้าใช้ที่ล้มเหลวซ้ำๆ อาจบ่งชี้ว่ามีบางคนพยายามเข้าถึงองค์กรโดยใช้บัญชีที่ถูกขโมย

ความผิดปกติของบัญชีสิทธิ์

ผู้โจมตีจำนวนมาก ไม่ว่าจะเป็นบุคคลภายในหรือบุคคลภายนอก สนใจที่จะเข้าถึงบัญชีผู้ดูแลระบบและรับข้อมูลที่ละเอียดอ่อน พฤติกรรมที่ผิดปกติที่เกี่ยวข้องกับบัญชีเหล่านี้ เช่น มีคนพยายามเลื่อนระดับสิทธิ์ อาจเป็นสัญญาณของการละเมิด

การเปลี่ยนแปลงการกำหนดค่าระบบ

มัลแวร์มักจะถูกตั้งโปรแกรมให้ทำการเปลี่ยนแปลงการกำหนดค่าระบบ เช่น การเปิดใช้งานการเข้าถึงระยะไกลหรือการปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย ด้วยการตรวจสอบการเปลี่ยนแปลงการกำหนดค่าที่ไม่คาดคิดเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถระบุการละเมิดก่อนที่จะเกิดความเสียหายมากเกินไป

การติดตั้งหรือการอัปเดตซอฟต์แวร์ที่ไม่คาดคิด

การโจมตีจำนวนมากเริ่มต้นด้วยการติดตั้งซอฟต์แวร์ เช่น มัลแวร์หรือแรนซัมแวร์ ซึ่งออกแบบมาเพื่อทำให้ไม่สามารถเข้าถึงไฟล์ได้ หรือเพื่อให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้ ด้วยการตรวจสอบการติดตั้งและการอัปเดตซอฟต์แวร์ที่ไม่ได้วางแผนไว้ องค์กรต่างๆ จึงสามารถตรวจจับ IOC เหล่านี้ได้อย่างรวดเร็ว

คำขอจำนวนมากสำหรับไฟล์เดียวกัน

คำขอหลายรายการสำหรับไฟล์เดียวอาจบ่งชี้ว่ามีผู้ไม่หวังดีพยายามขโมยไฟล์นั้น และได้ลองใช้วิธีต่างๆ ในการเข้าถึงไฟล์นั้น

คำขอ Domain Name System ที่ผิดปกติ

ผู้ไม่หวังดีบางรายใช้วิธีการโจมตีที่เรียกว่าคำสั่งและการควบคุม พวกเขาจะติดตั้งมัลแวร์บนเซิร์ฟเวอร์ขององค์กรที่สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ที่พวกเขาเป็นเจ้าของ จากนั้น พวกเขาจะส่งคำสั่งจากเซิร์ฟเวอร์ของตนไปยังเครื่องที่ติดมัลแวร์เพื่อพยายามขโมยข้อมูลหรือรบกวนการดำเนินการ คำขอ Domain Name System (DNS) ที่ผิดปกติช่วยให้ฝ่ายไอทีตรวจพบการโจมตีเหล่านี้

วิธีการระบุ IOC

สัญญาณของการโจมตีแบบดิจิทัลจะบันทึกไว้ในไฟล์บันทึก ในฐานะส่วนหนึ่งของการรักษาความปลอดภัยทางไซเบอร์ของ IOC ทีมจะตรวจสอบระบบดิจิทัลเป็นประจำเพื่อค้นหากิจกรรมที่น่าสงสัย โซลูชัน SIEM และ XDR ที่ทันสมัยช่วยลดความซับซ้อนของกระบวนการนี้ด้วย AI และอัลกอริทึมการเรียนรู้ของเครื่องที่สร้างเกณฑ์พื้นฐานสำหรับสิ่งที่เป็นปกติในองค์กร แล้วแจ้งเตือนทีมเกี่ยวกับสิ่งผิดปกติ สิ่งสำคัญคือต้องมีส่วนร่วมกับพนักงานที่อยู่นอกระบบรักษาความปลอดภัยซึ่งอาจได้รับอีเมลที่น่าสงสัยหรือดาวน์โหลดไฟล์ที่ติดมัลแวร์โดยไม่ตั้งใจ โปรแกรมการฝึกอบรมด้านความปลอดภัยที่ดีจะช่วยให้พนักงานสามารถตรวจหาอีเมลที่มีช่องโหว่ได้ดียิ่งขึ้น และช่วยให้พวกเขารายงานสิ่งที่ดูเหมือนไม่เหมาะสมได้

เหตุใด IOC จึงมีความสำคัญ

การตรวจสอบ IOC เป็นสิ่งสำคัญในการลดความเสี่ยงด้านความปลอดภัยขององค์กร การตรวจพบ IOC ล่วงหน้าช่วยให้ทีมรักษาความปลอดภัยสามารถตอบสนองและแก้ไขปัญหาการโจมตีได้อย่างรวดเร็ว ซึ่งช่วยลดระยะเวลาหยุดทำงานและการหยุดชะงัก การตรวจสอบเป็นประจำยังช่วยให้ทีมมีข้อมูลเชิงลึกมากขึ้นเกี่ยวกับช่องโหว่ขององค์กร ซึ่งสามารถบรรเทาลงได้

การตอบสนองต่อตัวบ่งชี้ช่องโหว่

เมื่อทีมรักษาความปลอดภัยระบุ IOC แล้ว พวกเขาจะต้องตอบสนองอย่างมีประสิทธิภาพเพื่อให้แน่ใจว่าองค์กรจะได้รับความเสียหายน้อยที่สุดเท่าที่เป็นไปได้ ขั้นตอนต่อไปนี้ช่วยให้องค์กรสามารถโฟกัสและยับยั้งภัยคุกคามได้โดยเร็วที่สุดเท่าที่เป็นไปได้:

สร้างแผนการตอบสนองต่อเหตุการณ์

การตอบสนองต่อเหตุการณ์นั้นเป็นเรื่องที่ตึงเครียดและเร่งด่วน เนื่องจากยิ่งตรวจหาผู้โจมตีนานเท่าไร พวกเขาก็จะมีโอกาสบรรลุเป้าหมายมากขึ้นเท่านั้น หลายองค์กรพัฒนาแผนการตอบสนองต่อเหตุการณ์เพื่อช่วยแนะนำทีมในช่วงสำคัญของการตอบสนอง แผนสรุปวิธีที่องค์กรกำหนดเหตุการณ์ บทบาทและความรับผิดชอบ ขั้นตอนที่จำเป็นในการแก้ไขเหตุการณ์ และวิธีที่ทีมควรสื่อสารกับพนักงานและผู้เกี่ยวข้องภายนอก

แยกระบบและอุปกรณ์ที่มีช่องโหว่

เมื่อองค์กรตรวจพบภัยคุกคาม ทีมรักษาความปลอดภัยจะแยกแอปพลิเคชันหรือระบบที่ถูกโจมตีออกจากเครือข่ายส่วนที่เหลืออย่างรวดเร็ว ซึ่งช่วยป้องกันไม่ให้ผู้โจมตีเข้าถึงส่วนอื่นๆ ของธุรกิจได้

ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์

การวิเคราะห์ทางนิติวิทยาศาสตร์ช่วยให้องค์กรเปิดเผยทุกแง่มุมของการละเมิด รวมถึงแหล่งที่มา ชนิดการโจมตี และเป้าหมายของผู้โจมตี การวิเคราะห์จะดำเนินการระหว่างการโจมตีเพื่อทำความเข้าใจขอบเขตของช่องโหว่ เมื่อองค์กรกู้คืนจากการโจมตีแล้ว การวิเคราะห์เพิ่มเติมจะช่วยให้ทีมเข้าใจช่องโหว่ที่เป็นไปได้และข้อมูลเชิงลึกอื่นๆ

กำจัดภัยคุกคาม

ทีมจะกำจัดผู้โจมตีและมัลแวร์ออกจากระบบและทรัพยากรที่ได้รับผลกระทบ ซึ่งอาจเกี่ยวข้องกับการทำให้ระบบออฟไลน์

ใช้การปรับปรุงความปลอดภัยและกระบวนการ

เมื่อองค์กรกู้คืนจากเหตุการณ์ดังกล่าวแล้ว สิ่งสำคัญคือต้องประเมินว่าเหตุใดการโจมตีจึงเกิดขึ้น และมีอะไรที่องค์กรสามารถทำได้เพื่อป้องกันการโจมตีดังกล่าวหรือไม่ อาจมีการปรับปรุงกระบวนการและนโยบายง่ายๆ ที่จะลดความเสี่ยงของการโจมตีที่คล้ายกันในอนาคต หรือทีมงานอาจระบุโซลูชันระยะยาวเพื่อเพิ่มในแผนการทำงานด้านความปลอดภัย



โซลูชัน IOC

การละเมิดความปลอดภัยส่วนใหญ่จะทิ้งร่องรอยทางนิติวิทยาศาสตร์ไว้ในไฟล์บันทึกและระบบ การเรียนรู้เพื่อระบุและตรวจสอบ IOC เหล่านี้จะช่วยให้องค์กรแยกและกำจัดผู้โจมตีได้อย่างรวดเร็ว หลายทีมเปลี่ยนไปใช้โซลูชัน SIEM เช่น Microsoft Sentinel และ Microsoft Defender XDR ซึ่งใช้ AI และระบบอัตโนมัติเพื่อแสดง IOC และเชื่อมโยงกับเหตุการณ์อื่นๆ แผนการตอบสนองต่อเหตุการณ์ช่วยให้ทีมสามารถนำหน้าการโจมตีและยับยั้งได้อย่างรวดเร็ว เมื่อพูดถึงการรักษาความปลอดภัยทางไซเบอร์ ยิ่งบริษัทเข้าใจสิ่งที่เกิดขึ้นได้เร็วเท่าไร พวกเขาก็จะมีโอกาสหยุดการโจมตีก่อนที่จะต้องเสียเงินหรือทำลายชื่อเสียงมากขึ้นเท่านั้น ความปลอดภัยของ IOC เป็นกุญแจสำคัญที่ช่วยให้องค์กรลดความเสี่ยงของการละเมิดที่มีค่าใช้จ่ายสูงได้
แหล่งข้อมูล

เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security

  1.
ผู้ชายกับผู้หญิงนั่งอยู่ที่โต๊ะ โดยผู้หญิงกำลังเขียนหนังสือและมีแล็ปท็อปวางอยู่

การป้องกันภัยคุกคามของ Microsoft

ระบุและตอบสนองต่อเหตุการณ์ทั่วทั้งองค์กรของคุณด้วยการป้องกันภัยคุกคามที่อัปเดตล่าสุด
เรียนรู้เพิ่มเติม
คนนั่งอยู่ที่โต๊ะทำงานและใช้แล็ปท็อป

Microsoft Sentinel

ผสานรวมข้อมูลการรักษาความปลอดภัยและบริบทเข้าด้วยกัน เพื่อขับเคลื่อนระบบป้องกันแบบเอเจนต์ด้วยแพลตฟอร์ม SIEM & มุ่งเน้น AI
เรียนรู้เพิ่มเติม
ผู้หญิงกําลังดูโทรศัพท์มือถือของตนเอง

Microsoft Defender XDR

หยุดการโจมตีปลายทาง อีเมล ข้อมูลประจำตัว แอปพลิเคชัน และข้อมูลด้วยโซลูชัน XDR
เรียนรู้เพิ่มเติม
กลุ่มคนสามคนในสำนักงานที่สว่างไสว ยิ้มแย้มและมีส่วนร่วมขณะมองแล็ปท็อปที่คนหนึ่งถืออยู่

ชุมชนข่าวกรองเกี่ยวกับภัยคุกคาม

รับการอัปเดตล่าสุดจาก Microsoft Defender Threat Intelligence รุ่นชุมชน
เรียนรู้เพิ่มเติม
กลับไปที่ส่วนผลิตภัณฑ์ที่เกี่ยวข้อง
คำถามที่ถามบ่อย

คำถามที่ถามบ่อย

  • IOC มีอยู่หลายชนิด ชนิดที่พบบ่อยที่สุดคือ:
    • สิ่งผิดปกติสำหรับปริมาณการใช้งาน
    • การพยายามลงชื่อเข้าใช้ที่ผิดปกติ
    • ความผิดปกติของบัญชีสิทธิ์
    • การเปลี่ยนแปลงการกำหนดค่าระบบ
    • การติดตั้งหรือการอัปเดตซอฟต์แวร์ที่ไม่คาดคิด
    • คำขอจำนวนมากสำหรับไฟล์เดียวกัน
    • คำขอ Domain Name System ที่ผิดปกติ
  • ตัวบ่งชี้ช่องโหว่คือหลักฐานดิจิทัลที่แสดงว่ามีการโจมตีเกิดขึ้นแล้ว ตัวบ่งชี้การโจมตีคือหลักฐานที่แสดงว่ามีแนวโน้มที่จะเกิดการโจมตีขึ้น ตัวอย่างเช่น แคมเปญฟิชชิ่งเป็นตัวบ่งชี้การโจมตีเนื่องจากไม่มีหลักฐานว่าผู้โจมตีได้ละเมิดบริษัท อย่างไรก็ตาม หากมีคนคลิกลิงก์ฟิชชิ่งและดาวน์โหลดมัลแวร์ การติดตั้งมัลแวร์ดังกล่าวถือเป็นตัวบ่งชี้ช่องโหว่
  • ตัวบ่งชี้ช่องโหว่ในอีเมล ได้แก่ การได้รับสแปมจำนวนมากอย่างกะทันหัน ไฟล์แนบหรือลิงก์น่าสงสัย หรืออีเมลที่ไม่คาดคิดจากบุคคลที่รู้จัก ตัวอย่างเช่น หากพนักงานส่งอีเมลถึงเพื่อนร่วมงานพร้อมไฟล์แนบน่าสงสัย ก็อาจบ่งบอกว่าบัญชีของพวกเขามีช่องโหว่
  • มีหลายวิธีในการระบุระบบที่มีช่องโหว่ การเปลี่ยนแปลงปริมาณการใช้งานจากคอมพิวเตอร์เครื่องใดเครื่องหนึ่งอาจเป็นตัวบ่งชี้ว่ามีช่องโหว่ หากบุคคลที่โดยทั่วไปแล้วไม่จำเป็นต้องใช้ระบบเริ่มเข้าถึงระบบเป็นประจำ นั่นถือเป็นสัญญาณอันตราย การเปลี่ยนแปลงการกำหนดค่าบนระบบหรือการติดตั้งซอฟต์แวร์ที่ไม่คาดคิดอาจบ่งชี้ว่ามีช่องโหว่
  • ตัวอย่าง IOC สามตัวอย่างคือ:
    • บัญชีผู้ใช้ที่อยู่ในอเมริกาเหนือเริ่มลงชื่อเข้าใช้ทรัพยากรของบริษัทจากยุโรป
    • คำขอเข้าถึงหลายพันคำขอจากบัญชีผู้ใช้หลายบัญชี บ่งชี้ว่าองค์กรตกเป็นเหยื่อของการโจมตีแบบ Brute-Force
    • คำขอ Domain Name System ใหม่มาจากโฮสต์ใหม่หรือประเทศที่ไม่มีพนักงานหรือลูกค้าอาศัยอยู่

ติดตาม Microsoft Security

Surface Pro Surface Laptop Copilot สำหรับองค์กร Copilot สำหรับใช้ส่วนตัว Microsoft 365 สำรวจผลิตภัณฑ์ Microsoft แอป Windows 11 โพรไฟล์บัญชีผู้ใช้ ศูนย์ดาวน์โหลด คืนสินค้า ติดตามการสั่งซื้อ Microsoft Education อุปกรณ์สำหรับการศึกษา Microsoft Teams สำหรับการศึกษา Microsoft 365 Education Office Education การฝึกอบรมและการพัฒนานักการศึกษา ข้อตกลงสำหรับนักศึกษาและผู้ปกครอง Azure สำหรับนักศึกษา
Microsoft AI การรักษาความปลอดภัยของ Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams นักพัฒนาของ Microsoft Microsoft Learn รองรับแอปตลาด AI Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform บริษัทซอฟต์แวร์ต่างๆ Visual Studio ตำแหน่งงาน ข่าวบริษัท สิทธิ์ส่วนบุคคลที่ Microsoft นักลงทุน
ไทย (ไทย) ความเป็นส่วนตัวด้านสุขภาพของผู้บริโภค ติดต่อ Microsoft ความเป็นส่วนตัว จัดการคุกกี้ ข้อตกลงการใช้งาน เครื่องหมายการค้า เกี่ยวกับโฆษณาของเรา