This is the Trace Id: 35d00d3aa6f603d4c20f24122fb9e1b4
Pāriet uz galveno saturu
Microsoft drošība

Kas ir apdraudējumu noteikšana un reaģēšana (TDR)?

Uzziniet, kā aizsargāt jūsu organizācijas aktīvus, proaktīvi identificējot un mazinot kiberdrošības riskus ar apdraudējumu noteikšanu un reaģēšanu.

Atklājiet Microsoft XDR risinājumu

Apdraudējumu noteikšanas un reaģēšanas (TDR) definīcija

Apdraudējumu noteikšana un reaģēšana ir kiberdrošības process, kas paredzēts kiberapdraudējumu organizācijas digitālajiem aktīviem noteikšanai un darbību veikšanai, lai mazinātu šo apdraudējumu tik ātri, cik iespējams.

Kā darbojas apdraudējumu noteikšana un reaģēšana (TDR)?

Lai apkarotu kiberapdraudējumus un risinātu citus drošības jautājumus, daudzas organizācijas veidodrošības pasākumu centrus (SOC), kas ir centralizēta funkcija vai darba grupa, kas ir atbildīga par organizācijas kiberdrošības stāvokļa uzlabošanu un apdraudējumu novēršanu, noteikšanu un reaģēšanu uz tiem. Papildus aktīvu kiberuzbrukumu uzraudzībai un reaģēšanai uz tiem, SOC proaktīvi strādā pie potenciālo kiberapdraudējumu un organizācijas ievainojamību noteikšanas. Lielākā daļa SOC komandu, kas var atrasties klātienē vai strādāt ārpakalpojuma veidā, strādā visu diennakti septiņas dienas nedēļā.

SOC izmanto apdraudējumu informāciju un tehnoloģijas, lai atklātu drošības pārkāpumu mēģinājumus, sekmīgus un notiekošos drošības pārkāpumus. Pēc kiberapdraudējuma atklāšanas drošības komanda izmanto kiberapdraudējumu atklāšanas un reaģēšanas rīkus, lai novērstu vai mazinātu šo problēmu.

Kiberapdraudējumu noteikšana un reaģēšana uz tiem parasti iedalās šādos posmos:

  • Atklāšana. Drošības rīki, kas uzrauga galapunktus, identitātes, tīklus, programmas un mākoņus palīdz atklāt riskus un potenciālos drošības pārkāpumus. Drošības eksperti izmanto arī kiberapdraudējumu medību metodes, lai atklātu sarežģītus kiberapdraudējumus, kas izvairās no atklāšanas.
  • Izmeklēšana. Pēc riska atklāšanas SOC izmanto mākslīgo intelektu un citus rīkus, lai pārliecinātos, ka kiberapdraudējums ir īsts, noteiktu, kā tas ir noticis, un izvērtētu, kuri uzņēmuma aktīvi tika skarti.
  • Ierobežošana. Lai apturētu kiberuzbrukuma izplatību, kiberdrošības komandas un automatizētie rīki izolē inficētās ierīces, identitātes un tīklus no pārējiem organizācijas aktīviem.
  • Iznīcināšana. Komandas novērš drošības incidenta galveno iemeslu ar mērķi pilnībā izslēgt uzbrucēju no vides. Tāpat viņi novērš ievainojamības, kas var pakļaut organizāciju līdzīgu kiberuzbrukumu riskiem.
  • Atkopšana. Pēc tam, kad komandas ir pietiekami pārliecinātas, ka kiberapdraudējums vai ievainojamība ir novērsta, izolētā sistēma tiek atgriezta tiešsaistē.
  • Ziņošana. Atkarībā no incidenta nopietnības pakāpes drošības komandas dokumentēs un informēs vadītājus, izpilddirektorus un/vai valdi par notikušo un to, kā incidents tika novērsts.
  • Risku mazināšana. Lai nepieļautu līdzīgu drošības pārkāpumu atkārtošanos un uzlabotu reaģēšanu nākotnē, komandas izpēta incidentu un nosaka pārmaiņas, kas ir jāveicas vidē un procesos.

Kas ir apdraudējumu noteikšana?

Kiberapdraudējumu noteikšana kļūst aizvien sarežģītāka, jo organizācijas ir paplašinājušas savu darbību mākonī, pieslēgušas internetam vairāk ierīču un pārgājušas uz hibrīdās darba vietas modeli. Uzbrucēji var izmantot šo paplašināto tehnoloģiju klāstu un drošības rīku fragmentāciju, izmantojot šāda veida taktikas:

  • Pikšķerēšanas kampaņas. Viens no biežākajiem veidiem, kā uzbrucēji iefiltrējas uzņēmumā, ir e-pasta ziņojumu izsūtīšana, lai ar viltu liktu darbiniekiem lejupielādēt ļauprātīgu kodu vai sniegtu savus akreditācijas datus.
  • Ļaunprogrammatūra. Daudzos kiberuzbrukumos tiek izmantota programmatūra, kuras mērķis ir bojāt datorus un sistēmas vai ievākt sensitīvu informāciju.
  • Izspiedējprogrammatūra. Izspiedējprogrammatūra ir ļaunprogrammatūras veids, kas sagrābj ķīlā kritiski svarīgas sistēmas un datus, draudot ar privātu datu publicēšanu vai mākoņa resursu zagšanu Bitcoin ieguvei līdz brīdim, kad tiks samaksāta izpirkuma maksa. Pēdējā laikā cilvēku vadīta izspiedējprogrammatūra, kas nodrošina kiberuzbrucēju grupai piekļuvi visam organizācijas tīklam, ir kļuvusi par aizvien augošu problēmu kibedrošības komandām.
  • Izkliedētā pakalpojuma atteikuma (DDoS) uzbrukumi. Izmantojot botu klāstu, uzbrucēji traucē vietnes vai pakalpojuma darbību, pārslogojot to ar datu plūsmu.
  • Iekšējie draudi. Ne visi kiberapdraudējumi rodas ārpus organizācijas. Pastāv risks, ka uzticami cilvēki ar piekļuvi sensitīviem datiem var neapzināti vai apzināti nodarīt zaudējumus organizācijai.
  • Identitātē balstīti uzbrukumi. Lielākā daļa drošības pārkāpumu ietver apdraudētas identitātes, kuru akreditācijas datus kiberuzbrucēji nozog vai uzmin un izmanto, lai piekļūtu organizācijas sistēmām un datiem.
  • Lietu interneta (IoT) uzbrukumi. Lietu interneta ierīces arī ir ievainojamas pret kiberuzbrukumiem, it īpaši novecojušas ierīces, kurām nav iebūvētu drošības risinājumu kā modernās ierīcēs.
  • Piegādes ķēžu uzbrukumi. Reizēm uzbrucēji uzbrūk organizācijai, veicot ļaunprātīgas darbības ar programmatūru vai aparatūru, ko piegādā trešās puses pakalpojumu sniedzējs.
  • Koda ievade. Izmantojot ievainojamības veidā, kā avota kods apstrādā ārējos datus, kibernoziedznieki ievada ļaunprātīgu kodu programmā.

Kiberapdraudējumu atklāšana
Lai būu soli priekšā aizvien pieaugošajiem kiberuzbrukumiem, organizācijas izmanto draudu modelēšanu, lai definētu drošības prasības, identificētu ievainojamības un riskus, kā arī noteiktu novēršanas līdzekļu prioritāti. Izmantojot hipotētiskus scenārijus, SCO mēģina iekļūt kibernoziedznieku prātā, lai uzlabotu organizācijas spēju novērst vai mazināt drošības incidentus. MITRE ATT&CK® struktūra ir lietderīgs modelis biežāk sastopamo kiberuzbrukumu metožu un taktiku izprašanai.

Vairāku līmeņu aizsardzībai ir nepieciešami rīki, kas nodrošina nepārtrauktu vides uzraudzību reāllaikā un atklāj potenciālas drošības problēmas. Risinājumiem ir arī jāpārklājas, lai, ja viena atklāšanas metode ir apdraudēta, tad otra atklātu problēmu un informētu drošības komandu. Kiberapdraudējumu atklāšanas risinājumi izmanto dažādas metodes, lai identificētu apdraudējumus, tostarp:

  • Ciparparakstā balstīta atklāšana. Daudzi drošības risinājumi var skenēt programmatūru un datu plūsmu, lai identificētu unikālus ciparparakstus, kas ir saistīti ar konkrētu ļaunprogrammatūras veidu.
  • Uzvedībā balstīta atklāšana. Lai palīdzētu atklāt jaunus un potenciāls kiberapdraudējumus, drošības risinājumi meklē darbības un uzvedības, kas ir raksturīgas kiberuzbrukumiem.
  • Anomālijās balstīta atklāšana. Mākslīgais intelekts un analītika palīdz komandām izprast lietotāju, ierīču un programmatūras tipisko uzvedību, kā rezultātā neparastas darbības var liecināt par kiberapdraudējumu.

Programmatūra ir kritiski svarīga, bet arī cilvēkiem ir tikpat nozīmīga loma kiberapdraudējumu atklāšanā. Papildus sistēmas ģenerēto brīdinājumu pārbaudei un izmeklēšanai, analītiķi izmanto kiberapdraudējumu medīšanas metodes, lai proaktīvi meklētu apdraudējumu pazīmes, vai meklē taktikas, tehnikas un procedūras, kas liecina par potenciālo apdraudējumu. Šīs pieejas palīdz SOC ātri atklāt un paturēt sarežģītus un grūti atklājamus uzbrukumus

Kas ir reaģēšana uz apdraudējumu?

Pēc ticama kiberapdraudējuma atklāšanas, reaģēšana uz apdraudējumu ietver jebkādas SOC veiktās darbības, lai ierobežotu un novērstu apdraudējumu, atkoptu sistēmu un mazinātu iespēju, ka līdzīgs uzbrukums atkārtosies. Daudzi uzņēmumi izstrādā reaģēšanas uz incidentu plānu, kas palīdzēs tām rīkoties potenciālā drošības pārkāpuma laikā, kad laba organizācija un ātra rīcība ir kritiski svarīga. Labs reaģēšanas uz incidentiem plāns ietver detalizētas pamācības konkrētiem apdraudējumu veidiem, lomām un atbildībām, kā arī komunikāciju plānu.

Apdraudējumu atklāšanas un reaģēšanas elementi

Organizācijas izmanto dažādus rīkus un procesus, lai atklātu un reaģētu uz apdraudējumiem.

Paplašinātā atklāšana un reaģēšana

Paplašinātās atklāšanas un reaģēšanas (XDR) produkti palīdz SOC vienkāršot profilakses, atklāšanas un reaģēšanas uz kiberapdraudējumiem dzīves ciklu. Šie risinājumi uzrauga galapunktus, mākoņprogrammas, e-pastus un identitātes. Ja XDR risinājums atklāj kiberapdraudējumu, tas brīdina drošības komandu un automātiski reaģē uz noteiktiem incidentiem saskaņā ar SOC definētajiem incidentiem.

Identitātes apdraudējumu noteikšana un reaģēšana

Ņemot vērā, ka uzbrucēji bieži par mērķi izvēlas darbiniekus, ir svarīgi ieviest rīkus un procesus, lai identificētu un reaģētu uz organizācijas identitāšu apdraudējumiem. Šie risinājumi parasti izmanto lietotāju un elementu uzvedības analīzi (UEBA), lai definētu lietotāju uzvedības bāzes datus un atklātu anomālijas, kas liecina par potenciālo apdraudējumu.

Drošības informācija un notikumu pārvaldība

Visas digitālās vides redzamība ir pirmais solis apdraudējumu klāsta izprašanā. Lielākā daļa SOC komandu izmanto drošības informācijas un notikumu pārvaldības (SIEM) risinājumus, kas apkopo un korelē datus starp galapunktiem, mākoņiem, e-pastiem, programmām un identitātēm. Šie risinājumi izmanto atklāšanas kārtulas un vadlīnijas, lai atklātu potenciālos kiberapdraudējumus, veicot žurnālu un brīdinājumu korelāciju. Modernie SIEM risinājumi izmanto mākslīgo intelektu, lai atklātu kiberdraudus efektīvāk, kā arī izmanto ārējās apdraudējumu informācijas plūsmas, lai atklātu jaunus un potenciālos kiberapdraudējumus.

Draudu informācija

Lai iegūtu visaptverošu pārskatu par kiberapdraudējumu klāstu, SOC izmanto rīkus, kas sintizē un analizē datus no dažādiem avotiem, tostarp galapunktiem, e-pastiem, mākoņprogrammām un ārējiem apdraudējumu informācijas avotiem. Ieskati no šiem datiem palīdz drošības komandām sagatavoties kiberuzbrukumiem, atklāt aktīvus kiberapdraudējumus, izmeklēt notiekošus drošības incidentus un efektīvi reaģēt.

Galapunktu atklāšana un reaģēšana

Galapunktu atklāšanas un reaģēšanas (EDR) risinājumi ir agrāka XDR risinājumu versija, kas koncentrējas tikai uz galapunktiem, piemēram, datoriem, serveriem, mobilajām ierīcēm un lietu interneta ierīcēm. Līdzīgi XDR risinājumiem, kad tiek atklās potenciālais uzbrukums, šie risinājumi ģenerē brīdinājumu un reaģē automātiski uz atsevišķiem, labi izprastiem uzbrukumiem. Ņemot vērā, ka EDR risinājumi koncentrējas tikai uz galapunktiem, lielākā daļa organizāciju pāriet uz XDR risinājumiem.

Ievainojamības pārvaldība

Ievainojamības pārvaldībair nepārtraukts, proaktīvs un bieži vien automatizēts process, kas pārrauga datorsistēmas, tīklus un uzņēmuma programmas, lai noteiktu to drošības ievainojamības. Ievainojamības pārvaldības risinājumi novērtē ievainojamības pakāpi un riska līmeni, un sniedz informāciju, ko SOC izmanto, lai novērstu problēmas.

Drošības orķestrācija, automatizācija un reaģēšana

Drošības orķestrācijas, automatizācijas un reaģēšanas (SOAR) risinājumi palīdz vienkāršot kiberapdraudējumu atklāšanu un reaģēšanu, apvienojot iekšējos un ārējos datus un rīkus vienā centralizētā pakalpojumā. Tāpat tie automatizē reaģēšanu uz kiberapdraudējumiem saskaņā ar iepriekš noteiktu kārtulu kopu.

Pārvaldītā atklāšana un reaģēšana

Ne visām organizācijām ir resursi, lai efektīvi atklātu un reaģētu uz kiberapdraudējumiem. Pārvaldītās atklāšanas un reaģēšanas pakalpojumi palīdz šim organizācijām pastiprināt savas drošības komandas ar rīkiem un cilvēkiem, kas ir nepieciešami, lai medītu apdraudējumus un atbilstoši reaģētu uz tiem.

Apdraudējumu atklāšanas un reaģēšanas galvenās priekšrocības

Ir vairākas iespējas, kā efektīva apdraudējumu atklāšana un reaģēšana var palīdzēt organizācijai uzlabot tās noturību un mazināt drošības pārkāpumu ietekmi.

Agrā apdraudējumu noteikšana

Kiberapdraudējumu apturēšana pirms tie kļūst par pilna mēroga drošības pārkāpumiem ir svarīgs veids, lai būtiski samazinātu incidenta ietekmi. Modernie draudu atklāšanas un reaģēšanas rīki un specializēta komanda, SOC palielina iespējas atklāt apdraudējumus agri, kad tos ir vienkāršāk novērst.

Normatīvā atbilstība

Valstis un reģioni turpina ieviest striktas konfidencialitātes politikas, kas pieprasa organizācijām ieviest robustus datu drošības pasākumus un detalizētus procesus reaģēšanai uz drošības incidentiem. Uzņēmumiem, kas neievēro šos noteikumus, tiek piemēroti lieli naudassodi. Apdraudējumu atklāšanas un reaģēšanas programmas palīdz organizācijām izpildīt šo tiesību aktu prasības.

Samazināts slēpšanās laiks

Parasti kiberuzbrukumi, kas izraisa lielākos zaudējumus rodas incidentos, kuros kiberuzbrucēji lielāko daļu laika pavadīja neatklāti digitālajā vidē. Samazinot slēpšanās lauku ir būtiski svarīgi, lai ierobežotu zaudējumus. Apdraudējumu atklāšanas un reaģēšanas procesi, piemēram, apdraudējumu medības, palīdz SOC ātri noķert uzbrucējus un samazināt to radīto ietekmi.

Uzlabota redzamība

Draudu atklāšanas un reaģēšanas rīki, piemēram, SIEM un XDR, palīdz drošības komandām gūt lielāku redzamību pār savām vidēm, kas dod iespēju ne tikai ātri identificēt apdraudējumus, bet arī atklāt potenciālās ievainojamības, piemēram, novecojusi programmatūra, kas ir jārisina.

Sensitīvo datu aizsardzība

Daudzām organizācijām dati ir to vērtīgākais aktīvs. Pareizie draudu atklāšanas un reaģēšanas rīki un procedūras palīdz drošības komandām apturēt uzbrucējus pirms tie piekļūst sensitīviem datiem, samazinot iespēju, ka šī informācija tiks publiski atklāta vai pārdota tumšajā tīmeklī.

Proaktīvs drošības stāvoklis

Draudu atklāšana un reaģēšana izgaismo potenciālos apdraudējumus un parāda, kā uzbrucēji var piekļūt uzņēmuma digitālajai videi. Ar šīs informācijas palīdzību SOC var pastiprināt organizācijas aizsardzību un novērst uzbrukumus nākotnē.

Mazākas izmaksas

Sekmīgs kiberuzbrukums organizācijai var izmaksāt ļoti dārgi it īpaši izpirkumu, normatīvo soda naudu vai atkopšanas pasākumu apmaksai iztērētās naudas ziņā. Tāpat tas var novest pie produktivitātes un pārdošanas apjomu samazinājuma. Atklājot kiberapdraudējumus ātri un reaģējot uz kiberuzbrukumiem to sākumposmos, organizācijas var samazināt drošības incidentu radītās izmaksas.

Reputācijas pārvaldība

Augsta profila datu drošības pārkāpums var nodarīt lielus zaudējumus uzņēmuma vai valsts reputācijai. Cilvēki zaudē ticību organizācijām, kas, viņuprāt, nespēj pietiekami labi aizsargāt personas datus. Kiberapdraudējumu atklašana un reaģēšana var palīdzēt samazināt incidenta, kas var nonākt ziņās, iespējamību un pārliecināt klientus, pilsoņus un citas ieinteresētās puses par to, ka personas dati tiek aizsargāti atbilstošā veidā.

Apdraudējumu atklāšanas un reaģēšanas labā prakse

Organizācijas, kas spēj efektīvi atklāt apdraudējumus un reaģēt uz tiem savā praksē palīdz komandām strādāt kopā un uzlabo savu pieeju, kā rezultātā kiberuzbrukumu ir mazāk un to izmaksas ir zemākas.

Regulāru apmācību veikšana

Kaut arī SOC komandām ir lielākā atbildība par organizācijas drošību, šī uzdevuma īstenošanai loma ir ikvienam uzņēmuma darbiniekam. Lielākā daļa drošības incidentu sākas ar darbinieku, kas uzķeras uz pikšķerēšanas kampaņu vai izmanto neapstiprinātu ierīci. Regulāras apmācības palīdzēs darbiniekiem būt modriem pret iespējamajiem draudiem, lai viņi spētu informēt drošības komandu. Labas apmācību programmas garantē to, ka drošības speciālisti ir informēti par jaunākajiem rīkiem, politikām un procedūrām reaģēšanai uz apdraudējumiem.

Atbildes uz incidentu plāna izveide

Drošības incidents ir satraucošs incidents, kas pieprasa ātru rīcību no cilvēkiem ne tikai, lai novērstu un atkoptu zaudējumus, bet arī sniegtu precīzu informāciju iesaistītajām pusēm. Plāns reaģēšanai uz incidentu novērš neskaidrību, definējot atbilstošas izolēšanas, iznīcināšanas un atkopšanas darbības. Tāpat tā sniedz vadlīnijas cilvēkresursiem, korporatīvās komunikācijas komandai, sabiedrisko attiecību nodaļai, advokātiem un vecākajiem vadītājiem, kam jāparūpējas par to, lai darbinieki un citas iesaistītās puses zinātu, kas notiek un ka organizācija atbilst normatīvajām prasībām.

Spēcīgākas sadarbības veicināšana

Lai būtu soli priekšā potenciālajiem apdraudējumiem un atbilstoši koordinētu reaģēšanu, ir nepieciešama laba sadarbība un saziņa starp drošības komandas dalībniekiem. Cilvēkiem ir jāsaprot, kā citi komandas dalībnieki vērtē apdraudējumus, salīdzina informāciju un strādā kopā pie potenciālo problēmu novēršanas. Sadarbībai ir jāiekļauj arī citas uzņēmuma nodaļas, kas var palīdzēt atklāt apdraudējumus vai reaģēt uz tiem.

Mākslīgā intelekta izmantošana

AI kiberdrošībai sintezē datus no visas organizācijas, sniedzot ieskatus, kas palīdz komandām koncentrēt savu laiku un ātri reaģēt uz incidentiem. Modernie SIEM un XDR risinājumi izmanto AI, lai korelētu atsevišķus brīdinājumus par incidentiem, palīdzot organizācijām ātrāk atklāt kiberapdraudējumus. Daži risinājumi, piemēram, Microsoft Defender XDR izmanto AI, lai automātiski traucētu procesā esošus kiberuzbrukumus. Ģeneratīvā mākslīgā intelekta risinājumi, piemēram, Microsoft drošības Copilot, palīdz SOC komandām ātri izmeklēt un reaģēt uz incidentiem.

Apdraudējumu atklāšanas un reaģēšanas risinājumi

Apdraudējumu atklāšana un reaģēšana ir kritiski svarīga funkcija, ko izmanto visas organizācijas, lai spētu atrast un novērst kiberapdraudējumus pirms tie rada zaudējumus. Microsoft drošība piedāvā vairākus aizsardzības pret apdraudējumiem risinājumus, kas palīdzēs drošības komandām uzraudzīt, atklāt un reaģēt uz kiberapdraudējumiem. Organizācijām ar ierobežotiem resursiem Microsoft Defender eksperti sniedz pārvaldītus pakalpojumus, lai uzlabotu esošos rīkus un atbalstītu darbiniekus.

Papildinformācija par Microsoft drošību

Vienota drošības pasākumu platforma

Aizsargājiet visu savu digitālo īpašumu, izmantojot vienotu atklāšanas, izmeklēšanas un reaģēšanas līdzekli.

Papildinformācija

Microsoft Defender XDR

Paātriniet savu reaģēšanu ar incidentu līmeņa redzamību un automātisko uzbrukumu traucēšanu.

Papildinformācija

Microsoft Sentinel

Izmantojot intelektiskas drošības analīzi, skatiet un apturiet kiberapdraudējumus visā savā uzņēmumā.

Papildinformācija

Microsoft Defender XDR eksperti

Saņemiet palīdzību uzbrucēju apturēšanai un nākotnes apdraudējumu novēršanai ar pārvaldīto XDR pakalpojumu.

Papildinformācija

Microsoft Defender ievainojamības pārvaldība

Samaziniet kiberapdraudējumus ar nepārtrauktu ievainojamības novērtēšanu, uz risku balstītu prioritāšu noteikšanu un koriģēšanu.

Papildinformācija

Microsoft Defender uzņēmumiem

Aizsargājiet savu mazo vai vidējo uzņēmumu no kiberuzbrukumiem, piemēram, ļaunprogrammatūras un izspiedējprogrammatūras.

Papildinformācija

Bieži uzdotie jautājumi

  • Uzlabotā apdraudējumu atklāšana ietver metodes un rīkus, kurus drošības speciālisti izmanto, lai atklātu pastāvīgus apdraudējumus, kas ir sarežģīti apdraudējumi, kas veidot tā, lai ilgstoši paliktu nepamanīti. Šie apdraudējumi bieži vien ir nopietnāki un var ietvert špionāžu vai datu zādzību.

  • Apdraudējumu noteikšanas primārās metodes ir drošības risinājumi, piemēram, SIEM vai XDR, kas analīzē aktivitāti visā vidē, lai atklātu pazīmes, kas liecina par draudiem, vai uzvedību, kas atšķiras no gaidāmās. Cilvēki izmanto šos rīkus, lai pārbaudītu un reaģētu uz potenciālo apdraudējumu. Tāpat viņi izmanto XDR un SIEM, lai medītu prasmīgus uzbrucējus, kas var izvairīties no atklāšanas.

  • Apdraudējuma atklāšana ir process ir potenciālo drošības risku atklāšanas process, tai skaitā darbības, kas var liecināt par to, ka ierīce, programmatūra, tīkls vai identitāte ir apdraudēta. Reaģēšana uz incidentiem ietver darbības, ko veic drošības komanda un automatizētie rīki, lai ierobežotu un novērstu kiberapdraudējumu.

  • Apdraudējumu atklāšanas un reaģēšanas process ietver:

    • Atklāšana. Drošības rīki, kas uzrauga galapunktus, identitātes, tīklus, programmas un mākoņus palīdz atklāt riskus un potenciālos drošības pārkāpumus. Drošības eksperti izmanto arī kiberapdraudējumu medību metodes, lai atklātu potenciālos kiberapdraudējumus.
    • Izmeklēšana. Pēc riska atklāšanas cilvēki izmanto mākslīgo intelektu un citus rīkus, lai pārliecinātos, ka kiberapdraudējums ir īsts, noteiktu, kā tas ir noticis, un izvērtētu, kuri uzņēmuma aktīvi tika skarti.
    • Ierobežošana. Lai apturētu kiberuzbrukuma izplatību, kiberdrošības komandas izolē inficētās ierīces, identitātes un tīklus no pārējiem organizācijas aktīviem.
    • Iznīcināšana. Komandas novērš galveno drošības incidenta iemeslu ar mērķi pilnībā izslēgt uzbrucēju no vides un mazinātu ievainojamības, kas pakļauj organizāciju līzīgu kiberuzbrukumu riskiem.
    • Atkopšana. Pēc tam, kad komandas ir pietiekami pārliecinātas, ka kiberapdraudējums vai ievainojamība ir novērsta, izolētā sistēma tiek atgriezta tiešsaistē.
    • Ziņošana. Atkarībā no incidenta nopietnības pakāpes drošības komandas dokumentēs un informēs vadītājus, izpilddirektorus un/vai valdi par notikušo un to, kā incidents tika novērsts.
    • Risku mazināšana. Lai nepieļautu līdzīgu drošības pārkāpumu atkārtošanos un uzlabotu reaģēšanu nākotnē, komandas izpēta incidentu un nosaka pārmaiņas, kas ir jāveicas vidē un procesos.

  • TDR apzīmē draudu atklāšanu un reaģēšanu, kas ir organizācijas kiberapdraudējumu atklāšanas process un darbību veikšanu šo apdraudējumu mazināšanai pirms tie nodarīs jūtamus zaudējumus. EDR apzīmē galapunktu atklāšanu un reaģēšanu, kas ir programmatūras produktu kategorija, kas uzrauga organizācijas galapunktus un to potenciālo kiberuzbrukumu riskus, atklāj šos kiberuzbrukumus drošības komandai un automātiski reaģē uz noteiktu veidu kiberuzbrukumiem.

Sekot produktam Microsoft 365