This is the Trace Id: 26b96f9af4cfbc60ec108ca8bb4aae24
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
两位专业人士一起站在办公大厅里,拿着平板电脑讨论工作。

什么是威胁检测和响应 (TDR)?

了解如何通过威胁检测和响应来主动识别和缓解网络安全风险,从而保护组织的资产。

威胁检测和响应 (TDR) 的定义

威胁检测和响应是一个网络安全流程,用于识别针对组织数字资产的网络威胁,并采取措施来尽快缓解这些威胁。

威胁检测和响应的工作原理

为了解决网络威胁和其他安全问题,许多组织建立了安全运营中心 (SOC),这是一个集中的职能部门或团队,负责改善组织的网络安全状况,以及防范、检测和响应威胁。除了监视和响应正在进行的网络攻击外,SOC 还会主动行动来识别新出现的网络威胁和组织漏洞。大多数 SOC 团队(可以是现场团队,也可以是外包团队)每周 7 天全天候工作。

SOC 运用威胁情报和技术来发现企图、成功或正在进行的入侵。确定网络威胁后,安全团队将使用威胁检测和响应工具来消除或缓解该问题。

威胁检测和响应通常包括以下阶段:
 
  • 检测。有安全工具监视终结点、标识、网络、应用和云,帮助发现风险和潜在漏洞。安全专业人员还使用网络威胁搜寻技术来发现逃避检测的复杂网络威胁。
  • 调查。确定风险后,SOC 将使用 AI 和其他工具来确认网络威胁的真实性、确定其发生情况,并评估哪些公司资产受到了影响。
  • 遏制。为了阻止网络攻击的蔓延,网络安全团队和自动化工具将受感染的设备、标识和网络与组织的其余资产隔离开来。
  • 根除。团队消除安全事件的根本原因,目标是将恶意操作者从环境中完全逐出。他们还缓解可能使组织面临类似网络攻击风险的漏洞。
  • 恢复。在团队有理由确信网络威胁或漏洞已被移除后,他们会将所有隔离的系统重新联机。
  • 报告。 根据事件的严重程度,安全团队将记录发生的事件和解决方式并向领导、高管和/或董事会汇报。
  • 风险缓解。 为了防止类似入侵再次发生并改进将来的响应,团队会研究事件并确定要对环境和流程进行的更改。

什么是威胁检测?

随着组织扩大其云使用、将更多设备连接到 Internet,并过渡到混合工作场所,识别网络威胁的难度日益提高。恶意行动者可采用以下类型的战术,利用这种扩大的攻击面和安全工具中的碎片化状态:
 
  • 网络钓鱼活动。恶意行动者渗透公司的最常见方式之一是通过发送电子邮件来诱骗员工下载恶意代码或提供其凭据。
  • 恶意软件。许多网络攻击者部署了旨在破坏计算机和系统或收集敏感信息的软件。
  • 勒索软件。勒索软件是一种恶意软件,攻击者以关键系统和数据为筹码,威胁公布私人数据或窃取云资源来挖掘比特币,直到成功勒索到赎金。最近,人为操作的勒索软件是指一群网络攻击者获取对组织整个网络的访问权限,它已经成为安全团队面临的一个日益严重的问题。
  • 分布式拒绝服务 (DDoS) 攻击。恶意行动者会利用一系列机器人向网站或服务发送大量流量,导致其不堪重负。
  • 内部威胁。并非所有网络威胁都来自组织外部。还有一种风险是,受到信任、有权访问敏感数据的人员可能会无意中或恶意地损害组织。
  • 基于标识的攻击。大多数漏洞涉及标识泄露,即网络攻击者窃取或猜测用户凭证,并利用它们来获取对组织系统和数据的访问权限。
  • 物联网 (IoT) 攻击。IoT 设备也容易受到网络攻击,尤其是没有现代设备内置安全控制的传统设备。
  • 供应链攻击。有时,恶意操作者通过篡改第三方供应商提供的软件或硬件来攻击组织。
  • 代码注入。通过利用源代码处理外部数据的方式中的漏洞,网络犯罪分子将恶意代码注入到应用程序中。
检测威胁
为了应对日益增长的网络安全攻击,组织使用威胁建模来定义安全要求、识别漏洞和风险,并确定修正的优先级。通过假设的场景,SOC 试图了解网络罪犯分子的思想,这样他们就可以提高组织预防或缓解安全事件的能力。MITRE ATT&CK® 框架是了解常见网络攻击技术和战术的有用模型。

多层防御需要提供持续实时监视环境和发现潜在安全问题的工具。解决方案还必须重叠,这样如果一个检测方法被破坏,第二个检测方法将检测到问题并通知安全团队。网络威胁检测解决方案使用各种方法来识别威胁,这些方法包括:
 
  • 基于签名的检测。许多安全解决方案会扫描软件和流量,以识别与特定类型的恶意软件相关联的唯一签名。
  • 基于行为的检测。为了帮助捕捉新型及新兴网络威胁,安全解决方案还会查找网络攻击中常见的操作和行为。
  • 基于异常的检测。 AI 和分析可帮助团队了解用户、设备和软件的典型行为,以便其可以识别可能指示存在网络威胁的异常情况。
尽管软件至关重要,但用户在网络威胁检测中发挥着同等重要的作用。除了会审和调查系统生成的警报外,分析师还使用网络威胁搜寻技术主动搜索泄露迹象,或者寻找暗示潜在威胁的策略、技术和流程。这些方法可帮助 SOC 快速发现和遏制复杂、难以检测的攻击

什么是威胁响应?

识别出可信的网络威胁后,威胁响应会纳入 SOC 采取的任何操作来遏制和消除威胁、从攻击中恢复,并降低再次发生类似攻击的可能性。许多公司都制定了事件响应计划,在快速组织和行动至关重要的时候帮助指导他们应对潜在的漏洞。出色的事件响应计划包括剧本,其中提供适用于特定类型的威胁、角色和责任,以及沟通计划的分步指导。

TDR 的组成部分、优势和最佳做法

组织利用各种工具和流程来检测和响应威胁。有效的威胁检测和响应可提高复原能力、最大程度地减少入侵,并促进有助于团队协作和降低网络攻击频率和成本的做法。

扩展检测和响应

扩展检测和响应 (XDR) 产品可帮助 SOC 在整个生命周期中更轻松地预防、检测和响应网络威胁。这些解决方案会监视终结点、云应用、电子邮件和标识。如果 XDR 解决方案检测到网络威胁,它将根据 SOC 定义的条件向安全团队发出警报并自动响应某些事件。

标识威胁检测和响应

由于恶意行动者的攻击对象通常是员工,因此务必要设置工具和流程来识别和响应对组织标识的威胁。这些解决方案通常使用用户和实体行为分析 (UEBA) 来定义基线用户行为并发现表示潜在威胁的异常情况。

安全信息和事件管理

了解整个数字环境是了解威胁形势的第一步。大多数 SOC 团队使用安全信息和事件管理 (SIEM) 解决方案来聚合和关联终结点、云、电子邮件、应用和标识中的数据。这些解决方案使用检测规则和 playbook,通过关联日志和警报来发现潜在的网络威胁。新式 SIEM 还使用 AI 更有效地发现网络威胁,并整合外部威胁情报源,以便识别新型及新兴网络威胁。

威胁情报

为了全面了解网络威胁形势,SOC 使用工具来整合和分析来自各种来源的数据,包括终结点、电子邮件、云应用和外部威胁情报源。从这些数据中获得的见解可帮助安全团队为网络攻击做好准备、检测活跃的网络威胁、调查正在发生的安全事件,并有效地做出响应。

终结点检测和响应

终结点检测和响应 (EDR) 解决方案是 XDR 解决方案的早期版本,只关注终结点,例如计算机、服务器、移动设备和 IoT。与 XDR 解决方案一样,当发现潜在的攻击时,这些解决方案会生成警报,并自动响应某些众所周知的攻击。由于 EDR 解决方案只关注终结点,因此大多数组织都在向 XDR 解决方案迁移。

漏洞管理

漏洞管理是一个持续、主动且通常自动化的过程,可监视计算机系统、网络和企业应用程序的安全弱点。漏洞管理解决方案评估漏洞的严重性和风险级别,并提供 SOC 用于修正问题的报告。

安全编排、自动化和响应

安全编排、自动化和响应 (SOAR) 解决方案通过将内部和外部数据和工具整合到一个集中位置来帮助简化网络威胁检测和响应。它们还根据一组预定义规则自动执行网络威胁响应。

托管检测和响应

并非所有组织都具备有效检测和响应网络威胁的资源。 托管检测和响应服务可帮助这些组织为他们的安全团队提供必要的工具和人员,以搜寻威胁并做出适当的响应。
返回标签页

威胁检测和响应解决方案

威胁检测和响应是一项关键功能,所有组织都可以使用它来帮助他们在网络威胁造成损害之前查找和解决这些威胁。Microsoft Security 提供了多种威胁防护解决方案,可帮助安全团队监视、检测和响应网络威胁。对于资源有限的组织,Microsoft Defender 专家提供托管服务来增强现有人员和工具。
常见问题解答

常见问题解答

  • 高级威胁检测包括安全专业人员用于发现高级持久威胁的技术和工具,这些威胁非常复杂,专为长期潜伏而不被发现而设计。这些威胁通常更为严重,并且可能包括情报窃取或数据盗窃。
  • 威胁检测的主要方法是 SIEM 或 XDR 等安全解决方案,它们可分析整个环境中的活动,以发现入侵或行为偏离预期的迹象。人们使用这些工具对潜在威胁进行会审和响应。他们还使用 XDR 和 SIEM 来搜寻可能逃避检测的老练攻击者。
  • 威胁检测是发现潜在安全风险的过程,包括可能指示设备、软件、网络或标识已被盗用的活动。事件响应包括安全团队和自动化工具为遏制和消除网络威胁而采取的行动。
  • 威胁检测和响应过程包括:
     
    • 检测。有安全工具监视终结点、标识、网络、应用和云,帮助发现风险和潜在漏洞。安全专业人员还使用网络威胁搜寻技术来试着发现新出现的网络威胁。
    • 调查。确定风险后,人们将使用 AI 和其他工具来确认网络威胁的真实性、确定其发生方式,并评估哪些公司资产受到了影响。
    • 遏制。 为了阻止网络攻击的蔓延,网络安全团队会将被感染设备、标识和网络与组织的其余资产隔离开来。
    • 根除。团队将消除安全事件的根本原因,目标是将攻击者从环境中完全逐出,并缓解可能导致组织面临类似网络攻击风险的漏洞。
    • 恢复。 在团队有理由确信网络威胁或漏洞已被移除后,他们会将所有隔离的系统重新联机。
    • 报告。根据事件的严重程度,安全团队将记录并向领导、主管和/或董事会汇报发生了什么以及如何解决问题。
    • 风险缓解。为了防止类似入侵再次发生并改进将来的响应,团队会研究事件并确定要对环境和流程进行的更改。
  • TDR 是指威胁检测和响应,它是识别组织网络安全威胁,并在这些威胁造成实际损害之前采取措施来缓解它们的过程。EDR 是指终结点检测和响应,这是一类软件产品,用于监视组织终结点是否存在潜在的网络攻击、将这些网络威胁呈现给安全团队,并自动响应某些类型的网络攻击。

关注 Microsoft 安全