This is the Trace Id: bc0eaf5adacf0083e10801adf5b600d1
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az a fenyegetésészlelés és -kezelés (TDR)?

Megtudhatja, hogyan védheti meg a szervezet eszközeit a kiberbiztonsági kockázatok proaktív azonosításával és elhárításával a fenyegetésészlelés és -kezelés segítségével.

A Microsoft XDR-megoldás megismerése

A fenyegetésészlelés és -kezelés (TDR) definíciója

A fenyegetésészlelés és -kezelés egykiberbiztonságkiberbiztonsági folyamat, amely azonosítja a kiberfenyegetéseket a szervezet digitális eszközein, és lépéseket tesz azok lehető leggyorsabb mérséklésére.

Hogyan működik a fenyegetésészlelés és -kezelés?

A kiberfenyegetések és egyéb biztonsági problémák megoldása érdekében számos szervezet állít be biztonsági üzemeltetési központot (SOC), amely egy központosított funkció vagy csapat, amely a szervezet kiberbiztonsági helyzetének javításáért, valamint a fenyegetések megelőzéséért, észleléséért és elhárításáért felelős. A folyamatos kibertámadásokkibertámadásokfigyelése és azok kezelése mellett az SOC proaktívan dolgozik a kibertámadások és a szervezeti biztonsági rések azonosításán is. A legtöbb helyszíni vagy kiszervezett SOC-csapat a hét minden napján, éjjel-nappal működik.

Az SOC intelligens veszélyforrás-felderítéssel és a technológia segítségével deríti fel a megkísérelt, sikeres vagy folyamatban lévő biztonsági incidenseket. A kiberfenyegetés azonosítása után a biztonsági csapat fenyegetésészlelési és -kezelési eszközöket fog használni a probléma megszüntetéséhez vagy mérsékléséhez.

A fenyegetésészlelés és -kezelés általában a következő fázisokat foglalja magában:

  • Észlelés. A végpontokat, identitásokat, hálózatokat, alkalmazásokat és felhőket figyelő biztonsági eszközök segítenek a kockázatok és a lehetséges biztonsági incidensek feltárásában. A biztonsági szakemberek kiberveszélyforrás-keresési technikákat is alkalmaznak az észlelést elkerülő, kifinomult kiberfenyegetések feltárására.
  • Vizsgálat. A kockázat azonosítása után a SOC mesterséges intelligencia és más eszközök segítségével megerősíti, hogy a kiberfenyegetés valós, meghatározza, hogyan történt, és felméri, hogy milyen vállalati eszközök érintettek.
  • Elkülönítés. A kibertámadások terjedésének megállítása érdekében a kiberbiztonsági csapatok és az automatizált eszközök elkülönítik a fertőzött eszközöket, identitásokat és hálózatokat a szervezet többi eszközétől.
  • Megszüntetés. A csapatok kiküszöbölik a biztonsági incidensek kiváltó okát azzal a céllal, hogy teljesen kizárják a rosszindulatú szereplőt a környezetből. Emellett olyan biztonsági réseket is felszámolnak, amelyek a szervezetet hasonló kibertámadás kockázatának tehetik ki.
  • Helyreállítás. Miután a csapatok kellőképpen megbizonyosodtak arról, hogy a kiberfenyegetést vagy biztonsági rést megszüntették, az izolált rendszereket újra online állapotba hozzák.
  • Jelentés. Az incidens súlyosságától függően a biztonsági csapatok dokumentációt készítenek, és tájékoztatják a vezetőket, a vezetőséget és/vagy az igazgatótanácsot a történtekről és a megoldás módjáról.
  • Kockázatcsökkentés. Annak érdekében, hogy megelőzzék a hasonló biztonsági incidensek megismétlődését, és a jövőben hatékonyabbá tegyék a reagálást, a csapatok tanulmányozzák az incidenst, és meghatározzák a környezetet és a folyamatokat érintő módosításokat.

Mi az a fenyegetésészlelés?

A kiberfenyegetések azonosítása egyre nehezebbé válik, mivel a szervezetek kiterjesztették felhőalapú jelenlétüket, több eszközt csatlakoztattak az internethez, és áttértek a hibrid munkahelyekre. A rosszindulatú szereplők a következő taktikákkal használják ki ezt a megnövekedett támadási felületet és a biztonsági eszközök megosztottságát:

  • Adathalász kampányokAdathalász kampányok. Az egyik leggyakoribb módja annak, hogy a rosszindulatú szereplők behatoljanak egy vállalatba, olyan e-mailek küldése, amelyekkel ráveszik az alkalmazottakat, hogy rosszindulatú kódot töltsenek le vagy adják meg a hitelesítő adataikat.
  • KártevőkKártevők. Sok kiberbűnöző helyez üzembe olyan szoftvert, amelynek célja a számítógépek és rendszerek megrongálása vagy bizalmas információk gyűjtése.
  • ZsarolóvírusokZsarolóvírusok. A kártevő szoftverek egy típusát, a zsarolóprogramot használó támadók túszul ejtik a kritikus rendszereket és adatokat, azzal fenyegetőzve, hogy személyes adatokat adnak ki, vagy felhőalapú erőforrásokat lopnak el, hogy bitcoint bányásszanak, amíg a váltságdíjat ki nem fizetik. Az utóbbi időben az ember által üzemeltetett zsarolóprogramok, amelyek során kiberbűnözők egy csoportja hozzáférést szerez egy szervezet teljes hálózatához, egyre nagyobb problémát jelentenek a biztonsági csapatok számára.
  • Elosztott szolgáltatásmegtagadással járó (DDoS-) támadások. A rosszindulatú szereplők botok sorozatát használva megzavarnak egy webhelyet vagy szolgáltatást azáltal, hogy elárasztják azt forgalommal.
  • Belső veszélyforrás. Nem minden kiberfenyegetés származik a szervezeten kívülről. Fennáll annak a kockázata is, hogy a bizalmas adatokhoz hozzáféréssel rendelkező, megbízható személyek véletlenül vagy rosszindulatúan kárt okoznak a szervezetnek.
  • Identitásalapú támadások. A legtöbb biztonsági incidens feltört identitásokat foglal magában, vagyis amikor a kiberbűnözők ellopják vagy kitalálják a felhasználói hitelesítő adatokat, és ezek használatával férnek hozzá a szervezet rendszereihez és adataihoz.
  • Eszközök internetes hálózatának (IoT) támadása. Az IoT-eszközök ki vannak téve a kibertámadásoknak, különösen az örökölt eszközöknek, amelyek nem rendelkeznek a modern eszközök beépített biztonsági vezérlőkkel.
  • Ellátásilánc-támadások. Előfordulhat, hogy egy rosszindulatú szereplő egy külső gyártótól származó szoftver vagy hardver illetéktelen módosításával támadja meg a szervezetet.
  • Kódbeszúrás. A kiberbűnözők a forráskód külső adatok kezelésében rejlő biztonsági réseit kihasználva rosszindulatú kódot juttatnak az alkalmazásba.

Veszélyforrások észlelése
A növekvő számú kiberbiztonsági támadás megelőzése érdekében a szervezetek fenyegetésmodellezéssel határozzák meg a biztonsági követelményeket, azonosítják a biztonsági réseket és kockázatokat, valamint rangsorolják a problémák szervizelését. Az SOC hipotetikus forgatókönyvek segítségével próbál belelátni a kiberbűnözők fejébe, hogy javítani tudja a szervezet azon képességét, hogy megelőzze vagy mérsékelje a biztonsági incidensek előfordulását. A MITRE ATT&CK® keretrendszer hasznos modell a gyakori kibertámadási technikák és taktikák megértéséhez.

A többrétegű védelemhez olyan eszközökre van szükség, amelyek folyamatos, valós idejű monitorozást biztosítanak a környezetben, és felszínre hozzák a potenciális biztonsági problémákat. A megoldásoknak át kell fedniük egymást, hogy ha az egyik észlelési módszer sérül, egy másik is észlelje a problémát, és értesítse a biztonsági csapatot. A kiberfenyegetés-észlelési megoldások különböző módszereket használnak a fenyegetések azonosítására, többek között az alábbiakat:

  • Aláírásalapú észlelés. Számos biztonsági megoldás ellenőrzi a szoftvereket és a forgalmat, hogy azonosítsa az adott típusú kártevőkhöz társított egyedi aláírásokat.
  • Viselkedésalapú észlelés. Az új és újonnan felmerülő kibertámadások kiszűrése érdekében a biztonsági megoldások olyan műveleteket és viselkedést is keresnek, amelyek gyakoriak a kibertámadásokban.
  • Anomálián alapuló észlelés. Az AI és az elemzések segítenek a csapatoknak megérteni a felhasználók, az eszközök és a szoftverek tipikus viselkedését, hogy azonosítani tudják a kiberfenyegetésre utaló szokatlan jelenségeket.

Bár a szoftver kritikus fontosságú, az emberek ugyanilyen fontos szerepet játszanak a kibertámadások észlelésében. A rendszer által generált riasztások osztályozása és kivizsgálása mellett az elemzők veszélyforrás-keresési technikákat alkalmaznak, hogy proaktívan kutassák a veszélyre utaló jeleket, vagy olyan taktikákat, technikákat és eljárásokat keresnek, amelyek potenciális fenyegetésre utalnak. Ezek a megközelítések segítenek az SOC-nak a kifinomult, nehezen felderíthető támadások gyors feltárásában és leállításában

Mi a fenyegetésre adott válasz?

A valós kiberfenyegetés azonosítása után a fenyegetésre történő reagálás magában foglal minden olyan műveletet, amelyet az SOC a fenyegetés elkülönítése és megszüntetése, a helyreállítás, valamint a további hasonló támadások valószínűségének csökkentése érdekében hajt végre. Számos vállalat készít egy incidenselhárítási tervet, hogy segítse őket egy esetleges biztonsági incidens során, amikor a szervezettség és a gyors cselekvés kritikus fontosságú. A jó incidenskezelési terv tartalmazza a konkrét fenyegetéstípusokra, a szerepkörökre és felelősségi körökre vonatkozó lépésről-lépésre történő útmutatást nyújtó forgatókönyveket, valamint a kommunikációs tervet.

A fenyegetésészlelés és -kezelés összetevői

A szervezetek különféle eszközöket és folyamatokat használnak a fenyegetések hatékony észleléséhez és elhárításához.

Kiterjesztett észlelés és válasz

A Kiterjesztett észlelési és válaszadási (XDR) termékek segítségével az SOC-k egyszerűsíthetik a kiberfenyegetésre vonatkozó teljes megelőzési, észlelési és válaszadási életciklust. Ezek a megoldások a végpontokat, a felhőalapú alkalmazásokat, az e-maileket és az identitásokat figyelik. Ha egy XDR-megoldás kibertámadást észlel, riasztást küld a biztonsági csapatoknak, és automatikusan válaszol bizonyos incidensekre az SOC által meghatározott feltételek alapján.

Az identitásokat fenyegető veszélyek észlelése és kezelése

Mivel a rosszindulatú szereplők gyakran az alkalmazottakat veszik célba, fontos, hogy a szervezet identitását fenyegető veszélyek azonosítására és az azokra történő reagáláshoz eszközöket és folyamatokat vezessenek be. Ezek a megoldások általában felhasználói és entitásviselkedési elemzéseket (UEBA) használnak az alapvető felhasználói viselkedés meghatározásához, és feltárják a potenciális fenyegetést jelentő anomáliákat.

Biztonsági információk és események kezelése

A teljes digitális környezet átlátszóságának megteremtése az első lépés a fenyegetések világának megértéséhez. A legtöbb SOC-csapat biztonsági információk és események kezelésebiztonsági információkat és eseményeket kezelő (SIEM) megoldásokat használ, amelyek összesítik és korrelálják a végpontok, felhők, e-mailek, alkalmazások és identitások adatait. Ezek a megoldások észlelési szabályokat és forgatókönyveket használnak a lehetséges kiberfenyegetések felszínre hozásához a naplók és riasztások korrelációjával. A modern SIEM-ek a kiberfenyegetések hatékonyabb feltárásához mesterséges intelligenciát is használnak, és külső fenyegetésfelderítési hírcsatornákat is integrálnak, így képesek azonosítani az új és újonnan megjelenő kiberfenyegetéseket.

Intelligens veszélyforrás-felderítés

A kiberfenyegetések átfogó áttekintéséhez az SOC-k olyan eszközöket használnak, amelyek különböző forrásokból származó adatokat szintetizálnak és elemeznek, beleértve a végpontokat, az e-maileket, a felhőalkalmazásokat és a külső fenyegetésfelderítési forrásokat. Az adatokból származó információk segítenek a biztonsági csapatoknak felkészülni a kibertámadásokra, észlelni az aktív kiberfenyegetéseket, kivizsgálni a folyamatban lévő biztonsági incidenseket, és hatékonyan reagálni.

Végponti észlelés és reagálás

A Végponti észlelési és reagálási (EDR) megoldások az XDR-megoldások egy korábbi verziója, amely kizárólag a végpontokra, például számítógépekre, kiszolgálókra, mobileszközökre és IoT-ra összpontosít. Az XDR-megoldásokhoz hasonlóan ezek a megoldások is riasztást generálnak, amikor egy lehetséges támadást észlelnek, és egyes jól ismert támadások esetén automatikusan reagálnak. Mivel az EDR-megoldások csak a végpontokra összpontosítanak, a legtöbb szervezet XDR-megoldásokra migrál.

Biztonságirés-kezelés

A Biztonságirés-kezelésBiztonságirés-kezelés egy folyamatos, proaktív és gyakran automatizált folyamat, amely figyeli a számítógépes rendszereket, hálózatokat és vállalati alkalmazásokat a biztonsági rések feltárása érdekében. A biztonságirés-kezelési megoldások kiértékelik a biztonsági rések súlyosságát és kockázati szintjét, és jelentéseket készítenek, amelyeket az SOC a problémák szervizeléséhez használ.

Biztonsági vezénylés, automatizálás és helyreállítás

Biztonsági vezénylés, automatizálás és helyreállításBiztonsági vezénylési, automatizálási és helyreállítási (SOAR) megoldások megkönnyítik a kibertámadások észlelését és elhárítását azáltal, hogy a belső és külső adatokat és eszközöket egyetlen központi helyen egyesítik. Emellett előre meghatározott szabályok alapján automatizálják a kiberfenyegetésekre adott válaszokat.

Felügyelt észlelés és reagálás

Nem minden szervezet rendelkezik a kiberfenyegetések hatékony észleléséhez és az azokra való reagáláshoz szükséges erőforrásokkal. A Felügyelt észlelés és reagálásFelügyelt észlelési és reagálási szolgáltatások segítségével ezek a szervezetek a fenyegetések kereséséhez és a megfelelő reagáláshoz szükséges eszközökkel és személyekkel bővítik a biztonsági csapatokat.

A fenyegetésészlelés és -kezelés legfontosabb előnyei

A hatékony fenyegetésészlelés és elhárítás számos módon segíthet a szervezetnek a rugalmasság javításában és a biztonsági incidensek hatásának minimalizálásában.

Korai veszélyforrás-észlelés

A kiberfenyegetések elhárítása, mielőtt azok teljes biztonsági incidenssé válnának, fontos módja annak, hogy drámaian csökkenjen az incidens hatása. A modern fenyegetésészlelési és -kezelési eszközökkel és egy erre a célra létrehozott csapattal az SOC-k növelik annak esélyét, hogy a fenyegetéseket korán felfedezzék, amikor még könnyebben kezelhetők.

Jogszabályi megfelelőség

Az országok és régiók továbbra is szigorú adatvédelmi törvényeket fogadnak el, amelyek megkövetelik, hogy a szervezetek megbízható adatbiztonsági intézkedésekkel és a biztonsági incidensekre történő reagálásra vonatkozó részletes folyamatokkal rendelkezzenek. Azok a vállalatok, amelyek nem tartják be ezeket a szabályokat, súlyos bírságokra számíthatnak. A veszélyforrás-észlelési és kezelési program segít a szervezeteknek megfelelni a jogszabályok követelményeinek.

Csökkentett tartózkodási idő

A legkártékonyabb kibertámadások jellemzően olyan incidensekből származnak, amelyek során a kibertámadás elkövetői a leghosszabb ideig tartózkodtak észrevétlenül a digitális környezetben. Az észrevétlenül eltöltött idő, vagyis a tartózkodási idő csökkentése kritikus fontosságú a kár korlátozása érdekében. Az olyan fenyegetésészlelési és reagálási folyamatok, mint a veszélyforrás-keresés, segítenek az SOC-knek gyorsan elfogni ezeket a rosszindulatú szereplőket, és korlátozni a hatásukat.

Javított láthatóság

A fenyegetések észlelésére és elhárítására szolgáló eszközök, mint például a SIEM és az XDR, segítenek abban, hogy a biztonsági műveleti csapatok nagyobb rálátást kapjanak a környezetükre, így nemcsak a fenyegetéseket azonosíthatják gyorsabban, hanem a potenciális biztonsági réseket, például az elavult szoftvereket is feltárhatják, amelyeket kezelniük kell.

Bizalmas adatok védelme

Sok szervezet számára az adatok jelentik az egyik legfontosabb eszközt. A megfelelő fenyegetésészlelési és reagálási eszközök és eljárások segítségével a biztonsági csapatok még azelőtt tetten érhetik a rosszindulatú szereplőket, mielőtt azok hozzáférnének a bizalmas adatokhoz, csökkentve annak valószínűségét, hogy ezek az információk nyilvánosságra kerülnek vagy a sötét weben eladják őket.

Proaktív biztonsági állapot

A fenyegetésészlelés és -reagálás az újonnan megjelenő fenyegetésekre is rávilágít, és feltárja, hogy a rosszindulatú szereplők hogyan férhetnek hozzá a vállalat digitális környezetéhez. Ezekkel az információkkal az SOC-k megerősíthetik a szervezetet, és megelőzhetik a jövőbeli támadásokat.

Költségmegtakarítás

Egy sikeres kibertámadás nagyon költséges lehet egy szervezet számára a váltságdíjakra, a hatósági díjakra vagy a helyreállítási munkálatokra fordított tényleges kiadások tekintetében. Emellett a termelékenység és az értékesítés csökkenéséhez is vezethet. A fenyegetések gyors észlelésével és a kibertámadás korai szakaszában történő reagálással a szervezetek csökkenthetik a biztonsági incidensek költségeit.

Hírnévkezelés

Egy nagy feltűnést keltő adatvédelmi incidens hatalmas károkat okozhat egy vállalat vagy kormányzat hírnevének. Az emberek elveszítik a bizalmukat azokban az intézményekben, amelyekről úgy gondolják, hogy nem gondoskodnak megfelelően a személyes adatok védelméről. A fenyegetésészlelés és -reagálás segíthet csökkenteni a hírértékű incidensek valószínűségét, és megnyugtathatja az ügyfeleket, a lakosságot és más érdekelt feleket, hogy a személyes adatok védelme biztosított.

Fenyegetésészlelés és -kezelés – ajánlott eljárások

A fenyegetésészlelést és -kezelést hatékonyan végző szervezetek olyan eljárásokat alkalmaznak, amelyek segítik a csapatok együttműködését és a megközelítésük javítását, ami csökkenti a kibertámadások számát és mérsékli azok költségeit.

Rendszeres képzés

Bár az SOC-csapat viseli a legnagyobb felelősséget a szervezet biztonságáért, a vállalaton belül mindenkinek megvan a maga szerepe. A biztonsági incidensek többsége azzal kezdődik, hogy egy alkalmazott belesétál egy adathalász kampányba, vagy nem engedélyezett eszközt használ. A rendszeres képzések segítik az alkalmazottakat abban, hogy észleljék a lehetséges veszélyeket, és így értesíthessék a biztonsági csapatot. Egy jó képzési program azt is biztosítja, hogy a biztonsági szakemberek naprakészek maradjanak a legújabb eszközökkel, szabályzatokkal és fenyegetéselhárítási eljárásokkal kapcsolatban.

Incidenskezelési terv kialakítása

Egy biztonsági incidens általában stresszes esemény, amely megköveteli, hogy az érintettek gyorsan cselekedjenek, hogy ne csak kezeljék és helyreállítsák a hibákat, hanem pontos frissítéseket is biztosítsanak az érdekelt feleknek. Az incidenselhárítási terv a megfelelő elkülönítési, ártalmatlanítási és helyreállítási lépések meghatározásával kiküszöböli a feltételezések egy részét. Útmutatást nyújt a humánerőforrás, a vállalati kommunikáció, a külső partnerek, a jogászok és a felsővezetők számára is, akiknek biztosítaniuk kell, hogy az alkalmazottak és más érdekelt felek tudják, mi történik, és hogy a szervezet megfelel a vonatkozó előírásoknak.

A szoros együttműködés elősegítése

A felmerülő fenyegetések megelőzése és a hatékony válaszlépések koordinálása jó együttműködést és kommunikációt igényel a biztonsági csapat tagjai között. Az egyéneknek meg kell érteniük, hogy a csapat többi tagja hogyan értékeli a fenyegetéseket, össze kell hasonlítaniuk a jegyzeteiket, és együtt kell dolgozniuk a lehetséges problémákon. Az együttműködés kiterjed a vállalat más részlegeire is, amelyek segíthetnek a fenyegetések észlelésében vagy a válaszadásban.

AI üzembe helyezése

A AI a kiberbiztonsághoz kiberbiztonságot szolgáló AI  szintetizálja a szervezet egészéből származó adatokat, és olyan betekintést nyújt, amely segítségével a csapatok összpontosíthatják idejüket, és gyorsan kezelhetik az incidenseket. A modern SIEM és XDR megoldások a mesterséges intelligenciát használják az egyes riasztások incidensekké történő korrelálásához, így segítve a szervezeteket a kiberfenyegetések gyorsabb észlelésében. Egyes megoldások, mint például a Microsoft Defender XDR, mesterséges intelligenciát használnak a folyamatban lévő kibertámadások automatikus megszakítására. Az olyan megoldásokban, mint a Microsoft Biztonsági Copilot, a generatív AI segít az SOC-csapatoknak az incidensek gyors kivizsgálásában és megválaszolásában.

Fenyegetésészlelési és -kezelési megoldások

A fenyegetésészlelés és -kezelés kritikus fontosságú funkció, amellyel minden szervezet segíthet feltárni és kezelni a kiberfenyegetéseket, mielőtt kárt okoznának. A Microsoft Biztonság számos fenyegetésvédelmi megoldást kínál a biztonsági csapatok számára a kibertámadások figyeléséhez, észleléséhez és az azokra való reagáláshoz. A korlátozott erőforrásokkal rendelkező szervezetek számára a Microsoft Defender szakértői felügyelt szolgáltatásokat nyújtanak a meglévő személyzet és eszközök bővítéséhez.

További információ a Microsoft Biztonságról

Egyesített biztonsági műveleti platform

Egységes észlelési, vizsgálati és reagálási felülettel védekezhet a teljes digitális eszközközpontban.

További információ

Microsoft Defender XDR

Gyorsítsa fel a válaszadást az incidensszintű láthatósággal és a támadások automatikus megszakításával.

További információ

Microsoft Sentinel

Az intelligens biztonsági elemzéssel a teljes vállalatra kiterjedően észlelheti és megállíthatja a kiberveszélyforrásokat.

További információ

Microsoft Defender XDR-szakértők

Egy felügyelt XDR-szolgáltatással segítséget kaphat a támadók leállításához és a jövőbeli biztonsági sérülés megelőzéséhez.

További információ

Microsoft Defender biztonságirés-kezelés

Csökkentse a kiberfenyegetéseket folyamatos biztonságirés-értékeléssel, kockázatalapú rangsorolással és szervizeléssel.

További információ

Microsoft Defender Vállalati verzió

Megvédheti kis- vagy közepes méretű vállalatát a kibertámadásoktól, például a kártevő szoftverektől és a zsarolóprogramoktól.

További információ

Gyakori kérdések

  • A komplex veszélyforrások észlelése magában foglalja azokat a technikákat és eszközöket, amelyeket a biztonsági szakemberek a speciális, állandósult fenyegetések felderítésére használnak, vagyis olyan kifinomult fenyegetések, amiket úgy terveztek, hogy hosszabb ideig észrevétlenek maradjanak. Ezek a fenyegetések gyakran komolyabbak, és magukban foglalhatják a kémkedést vagy az adatlopást.

  • A fenyegetésészlelés elsődleges metódusai olyan biztonsági megoldások, mint például az SIEM vagy az XDR, amelyek elemzik a környezetben zajló tevékenységeket, hogy felderítsék a fenyegetettségre utaló jeleket vagy az elvárttól eltérő viselkedést. A szakemberek ezekkel az eszközökkel dolgoznak a potenciális fenyegetések osztályozása és az azokra való reagálás érdekében. Az XDR és a SIEM segítségével olyan kifinomult támadókra is vadásznak, akik esetleg elkerülhetik az észlelést.

  • A fenyegetésészlelés a lehetséges biztonsági kockázatok feltárásának folyamata, beleértve azokat a tevékenységeket is, amelyek egy eszköz, szoftver, hálózat vagy identitás sérülésére utalhatnak. Az incidenselhárítás tartalmazza azokat a lépéseket, amelyeket a biztonsági csapat és az automatizált eszközök tesznek a kiberfenyegetés megfékezése és megszüntetése érdekében.

  • A fenyegetésészlelési és -kezelési folyamat a következőket foglalja magában:

    • Észlelés. A végpontokat, identitásokat, hálózatokat, alkalmazásokat és felhőket figyelő biztonsági eszközök segítenek a kockázatok és a lehetséges biztonsági incidensek feltárásában. A biztonsági szakemberek emellettkiberveszélyforrás-kereséskiberveszélyforrás-keresési technikákat is használnak az újonnan megjelenő kiberfenyegetések felderítésére.
    • Vizsgálat. A kockázat azonosítása után a szakemberek mesterséges intelligencia és más eszközök segítségével megerősítik, hogy a kiberfenyegetés valós, meghatározzák, hogyan történt, és felmérik, hogy milyen vállalati eszközök érintettek.
    • Elkülönítés. A kibertámadások terjedésének megállítása érdekében a kiberbiztonsági csapatok elkülönítik a fertőzött eszközöket, identitásokat és hálózatokat a szervezet többi eszközétől.
    • Megszüntetés. A csapatok megszüntetik a biztonsági incidens kiváltó okát azzal a céllal, hogy a támadót teljesen kizárják a környezetből, és mérsékeljék az olyan biztonsági réseket, amelyek a szervezetet hasonló kibertámadás kockázatának tehetik ki.
    • Helyreállítás. Miután a csapatok kellőképpen megbizonyosodtak arról, hogy a kiberfenyegetést vagy biztonsági rést megszüntették, az izolált rendszereket újra online állapotba hozzák.
    • Jelentés. Az incidens súlyosságától függően a biztonsági csapatok dokumentációt készítenek, és tájékoztatják a vezetőket, a vezetőséget és/vagy az igazgatótanácsot a történtekről és a megoldás módjáról.
    • Kockázatcsökkentés. Annak érdekében, hogy megelőzzék a hasonló biztonsági incidensek megismétlődését, és a jövőben hatékonyabbá tegyék a reagálást, a csapatok tanulmányozzák az incidenst, és meghatározzák a környezetet és a folyamatokat érintő módosításokat.

  • A TDR a fenyegetések észlelésének és kezelésének rövidítése, amely a szervezetet érintő kiberbiztonsági fenyegetések azonosítását és a fenyegetések mérséklését célzó lépések végrehajtását jelenti, mielőtt azok valódi károkat okoznának. Az EDR a Végponti észlelés és reagálás rövidítése, amely a szoftvertermékek olyan kategóriája, ami figyeli a szervezet végpontjait a lehetséges kibertámadások szempontjából, felszínre hozva ezeket a kiberfenyegetéseket a biztonsági csapat számára, és automatikusan reagál bizonyos típusú kibertámadásokra.

A Microsoft 365 követése