Trace Id is missing
Gå til hovedindholdet
Microsoft Security

Hvad er registrering af og respons på trusler (TDR)?

Få mere at vide om, hvordan du beskytter din organisations aktiver ved proaktivt at identificere og afhjælpe risici i forbindelse med cybersikkerhed med registrering af og respons på.

Find Microsoft XDR-løsningen

Definition af registrering af og respons på trusler (TDR)

Registrering af og respons på trusler er en cybersikkerhedsproces til at identificere cybertrusler mod en organisations digitale aktiver og træffe foranstaltninger for at afhjælpe dem så hurtigt som muligt.

Hvordan virker registrering af og respons på trusler (TDR)?

For at løse cybertrusler og andre sikkerhedsproblemer opretter mange organisationer et SOC (Security Operations Center), som er en centraliseret funktion eller et team, der er ansvarlig for at forbedre en organisations cybersikkerhedstilstand og forhindre, registrere og reagere på trusler. Ud over at overvåge og reagere på igangværende cyberangreb arbejder en SOC også proaktivt på at identificere kommende cybertrusler og sikkerhedsrisici i organisationen. De fleste SOC-teams, der kan være på stedet eller udliciteret, arbejder døgnet rundt, syv dage om ugen.

SOC bruger trusselsintelligens og teknologi til at afdække et forsøgt, vellykket eller igangværende brud. Når der er identificeret en cybertrusler, bruger sikkerhedsteamet værktøjet til registrering af og respons på trusler til at fjerne eller afhjælpe problemet.

Registrering af og respons på trusler omfatter typisk følgende faser:

  • Registrering. Sikkerhedsværktøjer, der overvåger slutpunkter, identiteter, netværk, apps og cloudmiljøer, hjælper med at løse risici og potentielle brud. Sikkerhedsmedarbejdere bruger også teknikker til jagt på cybertrusler til at afdække avancerede cybertrusler, der undgår registrering.
  • Undersøgelse. Når en risiko er identificeret, bruger SOC AI og andre værktøjer til at bekræfte, at cybertruslen er reel, fastslå, hvordan det skete, og vurdere, hvilke virksomhedsaktiver der påvirkes.
  • Indeslutning. For at stoppe spredningen af en cyberangreb isolerer cybersikkerhedsteams og automatiserede værktøjer inficerede enheder, identiteter og netværk fra resten af organisationens aktiver.
  • Udryddelse. Teams fjerner rodårsagen til en sikkerhedshændelse med det formål at fjerne den skadelige aktør helt fra miljøet. De afhjælper også sikkerhedsrisici, der kan bringe organisationen i fare for en lignende cyberangreb.
  • Genoprettelse. Når teams er rimeligt sikre på, at en cybertrussel eller sårbarhed er blevet fjernet, bringer de alle isolerede systemer online igen.
  • Rapport. Afhængigt af hændelsens alvorsgrad dokumenterer sikkerhedsteams og briefledere, ledere og/eller bestyrelsen, hvad der skete, og hvordan det blev løst.
  • Risikoafhjælpning. Teams undersøger hændelsen og identificerer ændringer, der skal foretages i miljøet og processerne, for at forhindre et lignende brud i at ske igen og forbedre responsen i fremtiden.

Hvad er trusselsregistrering?

Det er blevet sværere og sværere at identificere cybertrusler, efterhånden som organisationer har udvidet deres cloudfodaftryk, forbundet flere enheder til internettet og overgået til en hybridarbejdsplads. Skadelige aktører udnytter dette udvidede overfladeområde og fragmenteringen af sikkerhedsværktøjer med følgende typer taktikker:

  • Phishingkampagner. En af de mest almindelige måder, hvorpå skadelige aktører infiltrerer en virksomhed, er ved at sende mails, der narrer medarbejdere til at downloade skadelig kode eller angive deres legitimationsoplysninger.
  • Malware. Mange cyberangreb udruller software, der er udviklet til at beskadige computere og systemer eller indsamle følsomme oplysninger.
  • Ransomware. En type malware, hvor ransomware-hackere holder kritiske systemer og data i venteposition og risikerer at frigive private data eller stjæle cloudressourcer for at mine bitcoin, indtil der betales en løsesum. For nylig er menneskestyret ransomware, hvor en gruppe cyberangreb får adgang til hele organisationens netværk, blevet et voksende problem for sikkerhedsteams.
  • Distributed Denial-of-Service-angreb (DDoS). Ved hjælp af en række robotter forstyrrer skadelige aktører et websted eller en tjeneste ved at overfylde det med trafik.
  • Insidertrussel. Ikke alle cybertrusler kommer fra uden for en organisation. Der er også risiko for, at betroede personer med adgang til følsomme data utilsigtet eller ondsindet kan skade organisationen.
  • Identitetsbaserede angreb. De fleste brud involverer kompromitterede identiteter, hvilket er, når cyberangribere stjæler eller gætter brugerlegitimationsoplysninger og bruger dem til at få adgang til en organisations systemer og data.
  • Tingenes internet (IoT). IoT-enheder er også sårbare over for cyberangreb, især ældre enheder, der ikke har de indbyggede sikkerhedskontroller, som moderne enheder gør.
  • Angreb på forsyningskæden. Nogle gange er en skadelig aktør rettet mod en organisation ved at manipulere med software eller hardware, der leveres af en tredjepartsleverandør.
  • Kodeinjektion. Ved at udnytte sikkerhedsrisici i den måde, kildekode håndterer eksterne data på, indsætter cyberkriminelle skadelig kode i et program.

Opdage trusler
For at komme foran stigende cybersikkerhedsangreb bruger organisationer trusselsmodellering til at definere sikkerhedskrav, identificere sårbarheder og risici og prioritere afhjælpning. Ved hjælp af hypotetiske scenarier forsøger SOC at komme i tanke om cyberkriminelle, så de kan forbedre organisationens evne til at forhindre eller afhjælpe sikkerhedshændelser. MITRE ATT&CK®-strukturen er en nyttig model til at forstå almindelige cyberangrebsteknikker og -taktikker.

Et forsvar med flere lag kræver værktøjer, der sikrer løbende overvågning af miljøet i realtid og giver mulighed for at løse potentielle sikkerhedsproblemer. Løsninger skal også overlappe, så hvis en registreringsmetode kompromitteres, vil en anden registrere problemet og give sikkerhedsteamet besked. Løsninger til registrering af cybertrusler bruger en række forskellige metoder til at identificere trusler, herunder:

  • Signaturbaseret registrering. Mange sikkerhedsløsninger scanner software og trafik for at identificere entydige signaturer, der er knyttet til en bestemt type malware.
  • Adfærdsbaseret registrering. For at hjælpe med at fange nye og kommende cybertrusler søger sikkerhedsløsninger også efter handlinger og adfærd, der er almindelige i cyberangreb.
  • Uregelmæssighedsbaseret registrering. Kunstig intelligens og analyse hjælper teams med at forstå den typiske funktionsmåde for brugere, enheder og software, så de kan identificere noget usædvanligt, der kan indikere en cybertrusler.

Selvom software er kritisk, spiller folk en lige så vigtig rolle i registrering af cybertrusler. Ud over at prioritere og undersøge systemgenererede advarsler bruger analytikere jagtteknikker til cybertrusler til proaktivt at søge efter indikationer på kompromittering, eller de leder efter taktikker, teknikker og procedurer, der foreslår en potentiel trussel. Disse tilgange hjælper SOC med hurtigt at afdække og stoppe avancerede angreb, der er svære at registrere

Hvad er respons på trusler?

Når en troværdig cybertrussel er blevet identificeret, omfatter respons på trusler alle handlinger, som SOC tager for at indeslutte og fjerne den, genoprette og reducere risikoen for, at et lignende angreb vil ske igen. Mange virksomheder udvikler en plan for respons på hændelser for at hjælpe dem under et potentielt sikkerhedsbrud, når de organiseres, og det er afgørende at reagere hurtigt. En god plan for svar på hændelser omfatter strategiplaner med trinvis vejledning til bestemte typer trusler, roller og ansvarsområder samt en kommunikationsplan.

Komponenter til registrering af og respons på trusler

Organisationer bruger en række værktøjer og processer til effektivt at registrere og reagere på trusler.

  • Udvidet registrering og svar

    XDR-produkter (udvidet registrering og svar) hjælper SOC'er med at forenkle hele livscyklussen for forebyggelse, registrering og reaktion på cybertruslen. Disse løsninger overvåger slutpunkter, cloudapps, mail og identiteter. Hvis en XDR-løsning registrerer en cybertrusler, advarer den sikkerhedsteams og reagerer automatisk på bestemte hændelser baseret på kriterier, som SOC definerer.

  • Registrering af og reaktion på identitetstrusler

    Da skadelige aktører ofte er rettet mod medarbejdere, er det vigtigt at indsætte værktøjer og processer til at identificere og reagere på trusler mod en organisations identiteter. Disse løsninger bruger typisk UEBA (analyse af bruger- og enhedsadfærd) til at definere grundlæggende brugeradfærd og afdække afvigelser, der repræsenterer en potentiel trussel.

  • Security Information and Event Management

    At få indsigt i hele det digitale miljø er trin 1 for at forstå trusselslandskabet. De fleste SOC-teams bruger SIEM-løsninger (Security Information and Event Management), der samler og korrelerer data på tværs af slutpunkter, cloudmiljøer, mails, apps og identiteter. Disse løsninger bruger registreringsregler og strategiplaner til at vise potentielle cybertrusler ved at korrelere logge og beskeder. Moderne SIEM'er bruger også kunstig intelligens til at afdække cybertrusler mere effektivt, og de inkorporerer eksterne trusselsintelligensfeeds, så de kan identificere nye og kommende cybertrusler.

  • Oplysninger om trusler

    For at få et omfattende overblik over cybertruslen bruger SOC'er værktøjer, der samler og analyserer data fra en række kilder, herunder slutpunkter, mail, cloudapps og eksterne kilder til trusselsefterretning. Indsigt fra disse data hjælper sikkerhedsteams med at forberede sig på et cyberangreb, registrere aktive cybertrusler, undersøge igangværende sikkerhedshændelser og reagere effektivt.

  • Slutpunktsregistrering og -svar

    EDR-løsninger (slutpunktsregistrering og -svar) er en tidligere version af XDR-løsninger, der kun fokuserer på slutpunkter, f.eks. computere, servere, mobilenheder og IoT. Som XDR-løsninger genererer disse løsninger en besked, når der registreres et potentielt angreb, og for visse velforståede angreb reagerer de automatisk. Da EDR-løsninger kun fokuserer på slutpunkter, migrerer de fleste organisationer til XDR-løsninger.

  • Håndtering af sikkerhedsrisici

    Håndtering af sikkerhedsrisici er en kontinuerlig, proaktiv og ofte automatiseret proces, der overvåger dine computersystemer, netværk og virksomhedsprogrammer for sikkerhedssvagheder. Løsninger til administration af sikkerhedsrisici vurderer sårbarheder i forhold til alvorsgrad og risikoniveau og giver rapportering om, at SOC bruger til at afhjælpe problemer.

  • Sikkerhedsorkestrering, -automatisering og -respons

    Sikkerhedsorkestrering, -automatisering og -responsSOAR-løsninger (Security Orchestration, Automation og Response) hjælper med at forenkle registrering af og respons på cybertrusler ved at samle interne og eksterne data og værktøjer på ét centralt sted. De automatiserer også respons på cybertrusler baseret på et sæt foruddefinerede regler.

  • Administreret registrering og respons

    Ikke alle organisationer har ressourcerne til effektivt at registrere og reagere på cybertrusler. Administreret registrering og responsAdministreret registrering og svar-tjenester hjælper disse organisationer med at forbedre deres sikkerhedsteams med de værktøjer og personer, der er nødvendige for at lede efter trusler og reagere korrekt.

De vigtigste fordele ved registrering af og respons på trusler

Der er flere måder, hvorpå effektiv registrering af og respons på trusler kan hjælpe en organisation med at forbedre sin robusthed og minimere virkningen af brud.

  • Tidlig trusselsregistrering

    Det er vigtigt at stoppe cybertrusler, før de bliver et fuldt sikkerhedsbrud, for at reducere virkningen af en hændelse markant. Med moderne værktøjer til registrering af og respons på trusler og et dedikeret team øger SOC'er sandsynligheden for, at de opdager trusler tidligt, når de er nemmere at håndtere.

  • Lovgivningsmæssig overholdelse

    Lande og områder fortsætter med at bestå strenge love om beskyttelse af personlige oplysninger, der kræver, at organisationer har robuste datasikkerhedsforanstaltninger på plads og en detaljeret proces til at reagere på sikkerhedshændelser. Virksomheder, der ikke overholder disse regler, bliver pålagt store bøder. Et program til registrering af og respons på trusler hjælper organisationer med at opfylde kravene i denne lovgivning.

  • Reduceret opholdstid

    Typisk er de mest skadelige cyberangreb fra hændelser, hvor cyberangriberne har brugt mest tid ubemærket i et digitalt miljø. Det er afgørende at reducere den tid, der er brugt ubemærket, eller opholdstid, for at begrænse skaderne. Processer til registrering af og svar på trusler såsom trusselsjagt hjælper SOC'er med hurtigt at fange disse skadelige aktører og begrænse deres indvirkning.

  • Forbedret synlighed

    Værktøjer til registrering af og respons på trusler, såsom SIEM og XDR, hjælper med at give sikkerhedsteams større synlighed over deres miljø, så de ikke kun hurtigt kan identificere trusler, men også afdække potentielle sikkerhedsrisici, såsom forældet software, der skal håndteres.

  • Beskyttelse af følsomme data

    For mange organisationer er data et af deres vigtigste aktiver. De rette værktøjer og procedurer til registrering af og respons på trusler hjælper sikkerhedsteams med at fange skadelige aktører, før de får adgang til følsomme data, hvilket reducerer sandsynligheden for, at disse oplysninger bliver offentlige eller sælges på det mørke net.

  • Proaktivt sikkerhedsniveau

    Registrering af og respons på trusler oplyser også nye trusler og kaster lys over, hvordan skadelige aktører kan få adgang til en virksomheds digitale miljø. Med disse oplysninger kan SOC'er styrke organisationen og forhindre fremtidige angreb.

  • Omkostningsbesparelser

    En vellykket cyberangreb kan være meget dyr for en organisation med hensyn til de faktiske penge, der er brugt på løsesum, lovmæssige gebyrer eller genoprettelsesindsats. Det kan også medføre mistet produktivitet og salg. Ved hurtigt at registrere trusler og reagere i de tidlige faser af et cyberangreb kan organisationer reducere omkostningerne til sikkerhedshændelser.

  • Administration af omdømme

    Et databrud med høj profil kan gøre en masse skade på en virksomheds eller myndigheds omdømme. Folk mister troen på institutioner, som de ikke mener gør et godt stykke arbejde med at beskytte personlige oplysninger. Trusselsregistrering og -svar kan hjælpe med at reducere sandsynligheden for en nyhedsbeslægtet hændelse og hjælpe kunder, borgere og andre interessenter med at beskytte personlige oplysninger.

Bedste praksis til registrering af og respons på trusler

Organisationer, der er effektive til registrering af og respons på trusler, engagerer sig i fremgangsmåder, der hjælper teams med at arbejde sammen og forbedre deres tilgang, hvilket fører til færre og mindre dyre cyberangreb.

  • Afhold løbende kurser

    Selvom SOC-teamet bærer det største ansvar for at sikre en organisation, har alle i en virksomhed en rolle at spille. Størstedelen af sikkerhedshændelser starter med, at en medarbejder falder for en phishingkampagne eller bruger en ikke-godkendt enhed. Regelmæssig træning hjælper medarbejderne med at holde sig ajour med mulige trusler, så de kan give sikkerhedsteamet besked. Et godt træningsprogram sikrer også, at sikkerhedsmedarbejdere holder sig ajour med de nyeste værktøjer, politikker og procedurer for svar på trusler.

  • Opret en plan for svar på hændelser

    En sikkerhedshændelse er typisk en stressende hændelse, der kræver, at folk bevæger sig hurtigt for ikke kun at håndtere og genoprette, men for at levere nøjagtige opdateringer til relevante interessenter. En plan for svar på hændelser fjerner nogle af gætværkene ved at definere de relevante opbevarings-, udryddelses- og genoprettelsestrin. Den indeholder også vejledning til personaleafdelingen, virksomhedskommunikation, pr-relationer, rådgivere og ledere, der har brug for at sikre, at medarbejdere og andre interessenter ved, hvad der foregår, og at organisationen overholder relevante bestemmelser.

  • Skab et stærkt samarbejde

    Det kræver godt samarbejde og kommunikation mellem medlemmer af sikkerhedsteamet at være på forkant med nye trusler og koordinere et effektivt svar. Enkeltpersoner har brug for at forstå, hvordan andre i teamet evaluerer trusler, sammenligner noter og arbejder sammen om potentielle problemer. Samarbejde omfatter også andre afdelinger i virksomheden, der kan hjælpe med at registrere trusler eller hjælpe med at reagere.

  • Udrul AI

    Kunstig intelligens til cybersikkerhedAI til cybersikkerhed synkroniserer data fra hele organisationen og leverer indsigt, der hjælper teams med at fokusere deres tid og håndtere hændelser hurtigt. Moderne SIEM- og XDR-løsninger bruger kunstig intelligens til at sammenholde individuelle underretninger i hændelser, hvilket hjælper organisationer med at registrere cybertrusler hurtigere. Nogle løsninger, såsom Microsoft Defender XDR, bruger AI til automatisk at afbryde igangværende cyberangreb. Generativ AI i løsninger, såsom Microsoft Security Copilot, hjælper SOC-teams med hurtigt at undersøge og reagere på hændelser.

Løsninger til registrering af og respons på trusler

Registrering af og respons på trusler er en vigtig funktion, som alle organisationer kan bruge til at hjælpe dem med at finde og håndtere cybertrusler, før de forårsager skade. Microsoft Security tilbyder flere løsninger til trusselsbeskyttelse for at hjælpe sikkerhedsteams med at overvåge, registrere og reagere på cybertrusler. For organisationer med begrænsede ressourcer leverer Microsoft Defender-eksperter administrerede tjenester for at forbedre eksisterende medarbejdere og værktøjer.

Få mere at vide om Microsoft Security

Samlet platform til sikkerhedshandlinger

Beskyt hele din digitale ejendom med en samlet registrerings-, undersøgelses- og svaroplevelse.

Få mere at vide

Microsoft Defender XDR

Sæt skub i dit svar med synlighed på hændelsesniveau og automatisk afbrydelse af angreb.

Få mere at vide

Microsoft Sentinel

Find og stop cybertrusler på tværs af hele virksomheden med intelligent sikkerhedsanalyse.

Få mere at vide

Microsoft Defender-eksperter til XDR

Få hjælp til at stoppe hackere og forhindre fremtidige angreb med en administreret XDR-tjeneste.

Få mere at vide

Administration af håndtering af sikkerhedsrisici til Microsoft Defender

Reducer cybertrusler med løbende vurdering af sårbarheder, risikobaserede prioriteringer og afhjælpning.

Få mere at vide

Microsoft Defender til virksomheder

Beskyt din lille eller mellemstore virksomhed mod cyberangreb, såsom malware og ransomware.

Få mere at vide

Ofte stillede spørgsmål

  • Avanceret trusselsregistrering omfatter de teknikker og værktøjer, som sikkerhedsmedarbejdere bruger til at afdække avancerede vedvarende trusler, som er avancerede trusler, der er designet til at forblive uopdagede i længere tid. Disse trusler er ofte mere alvorlige og kan omfatte spionage eller datatyveri.

  • De primære metoder til trusselsregistrering er sikkerhedsløsninger, såsom SIEM eller XDR, der analyserer aktivitet på tværs af miljøet for at finde indikationer på kompromis eller adfærd, der afviger fra det forventede. Folk arbejder med disse værktøjer for at prioritere og reagere på potentielle trusler. De bruger også XDR og SIEM til at lede efter avancerede hackere, der kan omgå registrering.

  • Trusselsregistrering er den proces, der afdækker potentielle sikkerhedsrisici, herunder aktivitet, der kan indikere, at en enhed, software, et netværk eller en identitet er blevet kompromitteret. Svar på hændelser omfatter de trin, som sikkerhedsteamet og automatiserede værktøjer udfører for at indeholde og fjerne en cybertrussel.

  • Processen til registrering af og respons på trusler omfatter:

    • Registrering. Sikkerhedsværktøjer, der overvåger slutpunkter, identiteter, netværk, apps og cloudmiljøer, hjælper med at løse risici og potentielle brud. Sikkerhedsmedarbejdere bruger også teknikker til jagt på cybertrusler til at forsøge at afdække nye cybertrusler.
    • Undersøgelse. Når en risiko er identificeret, bruger folk AI og andre værktøjer til at bekræfte, at cybertruslen er reel, fastslå, hvordan det skete, og vurdere, hvilke virksomhedsaktiver der påvirkes.
    • Indeslutning. For at stoppe spredningen af en cyberangreb isolerer cybersikkerhedsteams inficerede enheder, identiteter og netværk fra resten af organisationens aktiver.
    • Udryddelse. Teams fjerner rodårsagen til en sikkerhedshændelse med det formål at fjerne modstanden helt fra miljøet og afhjælpe sårbarheder, der kan bringe organisationen i fare for en lignende cyberangreb.
    • Genoprettelse. Når teams er rimeligt sikre på, at en cybertrussel eller sårbarhed er blevet fjernet, bringer de alle isolerede systemer online igen.
    • Rapport. Afhængigt af hændelsens alvorsgrad dokumenterer sikkerhedsteams og briefledere, ledere og/eller bestyrelsen, hvad der skete, og hvordan det blev løst.
    • Risikoafhjælpning. Teams undersøger hændelsen og identificerer ændringer, der skal foretages i miljøet og processerne, for at forhindre et lignende brud i at ske igen og forbedre responsen i fremtiden.

  • TDR står for registrering af og respons på trusler, som er en proces med at identificere cybersikkerhedstrusler mod en organisation og træffe foranstaltninger til at afhjælpe disse trusler, før de gør reel skade. EDR står for slutpunktsregistrering og -svar, som er en kategori af softwareprodukter, der overvåger en organisations slutpunkter for potentielle cyberangreb, videresender disse cybertrusler til sikkerhedsteamet og automatisk reagerer på visse typer cyberangreb.

Følg Microsoft 365