This is the Trace Id: 8aa854ed39d235366566d4a408e63daf
Ugrás a tartalomtörzsre Miért érdemes a Microsoft Biztonságot használni? AI-alapú kiberbiztonság Felhőbiztonság Adatbiztonság és cégirányítás Identitás és hálózati hozzáférés Adatvédelem és kockázatkezelés Biztonságos AI Egyesített biztonsági műveletek Teljes felügyelet Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra ügynökazonosító Microsoft Entra Külső ID Microsoft Entra ID-kezelés Microsoft Entra ID-védelem Microsoft Entra internet-hozzáférés Microsoft Entra privát hozzáférés Microsoft Entra Engedélykezelés Microsoft Entra Ellenőrzött azonosító Microsoft Entra Számítási feladat ID Microsoft Entra tartományi szolgáltatások Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Végponthoz készült Microsoft Defender Office 365-höz készült Microsoft Defender Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Biztonság – kitettségkezelés Microsoft Defender biztonságirés-kezelés Microsoft Defender Intelligens veszélyforrás-felderítés Microsoft Defender-csomag a Vállalati prémium verzióhoz Felhőhöz készült Microsoft Defender Microsoft Defender felhőbiztonsági állapot kezelése Microsoft Defender külső támadásifelület-kezelő Azure Firewall Azure Web App Firewall Azure DDoS Protection GitHub speciális biztonság Végponthoz készült Microsoft Defender Microsoft Defender XDR Microsoft Defender Vállalati verzió A Microsoft Intune alapvető képességei Microsoft Defender for IoT Microsoft Defender biztonságirés-kezelés Microsoft Intune Bővített analitika Microsoft Intune Végponti jogosultságkezelés Microsoft Intune Vállalati alkalmazáskezelés A Microsoft Intune távoli súgója Microsoft Cloud PKI Microsoft Purview Kommunikációmegfelelőség Microsoft Purview Megfelelőségkezelő Microsoft Purview Adatélettartam-kezelés Microsoft Purview Feltárás Microsoft Purview Auditálás Microsoft Priva Kockázatkezelés Microsoft Priva érintettjogi kérelmek Microsoft Purview Adatgazdálkodás Microsoft Purview-csomag a Vállalati prémium verzióhoz A Microsoft Purview adatbiztonsági képességei Árképzés Szolgáltatások Partnerek Kiberbiztonsági tudatosság Ügyfeleink sikertörténetei A biztonsággal kapcsolatos alapismeretek Termék-próbaverziók Iparági elismerés Microsoft Security Insider A Microsoft digitális védelmi jelentése Biztonsági reagálási központ A Microsoft Biztonság blogja A Microsoft biztonsággal kapcsolatos eseményei Microsoft Tech Community Dokumentáció Technikai tartalomtár Képzés és tanúsítványok Megfelelőségi program a Microsoft Cloudhoz Microsoft Adatvédelmi központ Szolgáltatásmegbízhatósági portál Microsoft Biztonságos Jövő Kezdeményezés Üzleti megoldások központja Kapcsolatfelvétel az értékesítéssel Ingyenes próbaidőszak megkezdése Microsoft-biztonság Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Vegyes valóság Microsoft HoloLens Microsoft Viva Kvantumszámítógép Fenntarthatóság Oktatás Autóipar Pénzügyi szolgáltatások Kormányzat Egészségügy Gyártóipar Kiskereskedelem Partner keresése Legyen a partnerünk! Partner Network Microsoft Marketplace Marketplace Rewards Szoftverfejlesztő vállalatok Blog Microsoft Advertising Fejlesztői központ Dokumentáció Események Licencelés Microsoft Learn Microsoft Research Oldaltérkép megtekintése

Mik azok a fertőzöttségi mutatók (IOC-k)?

Ismerje meg, hogyan figyelheti, azonosíthatja és használhatja a fertőzöttségi mutatókat, és hogyan válaszolhat rájuk.

Ismerje meg a Microsoft Defender Intelligens veszélyforrás-felderítést

A fertőzöttségi mutatók ismertetése

A fertőzöttségi mutató (IOC) annak a bizonyítéka, hogy valaki feltörte egy szervezet hálózatát vagy egy végpontját. Ezek a bűnügyi adatok nem csak egy potenciális fenyegetést jeleznek; azt jelzik, hogy egy támadás már megtörtént (például kártevő szoftver, feltört hitelesítő adatok vagy adatszivárgás révén). A biztonsági szakemberek az IOC-ket az eseménynaplókban, a Kiterjesztett észlelés és válasz (XDR) kiterjesztett észlelési és reagálási (XDR) megoldásokban és a Biztonsági információk és események kezelése (SIEM) biztonsági információk és események kezelése (SIEM) megoldásokban keresik. A támadás során a csapat az IOC-ket használja a fenyegetés megszüntetésére és a károk mérséklésére. A helyreállítás után az IOC-k segítenek megérteni, hogy mi történt, így a szervezet biztonsági csapata megerősítheti a biztonságot, és csökkentheti egy újabb hasonló incidens kockázatát. 

Példák IOC-kre

Az IOC-biztonsági rendszerben az informatikusok a következő támadásra utaló jeleket figyelik a környezetben:

A hálózati forgalom rendellenességei

A legtöbb szervezetnél a digitális környezetbe bejövő és onnan kimenő hálózati forgalomnak következetes mintázatai vannak. Ha ebben változás áll be, például ha jelentősen több adat hagyja el a szervezetet, vagy ha a hálózat egy szokatlan helyéről érkezik tevékenység, az támadásra utaló jel lehet.

Szokatlan bejelentkezési kísérletek

A hálózati forgalomhoz hasonlóan az emberek munkaszokásai is kiszámíthatóak. Jellemzően ugyanarról a helyről és nagyjából ugyanabban az időpontban jelentkeznek be a hét folyamán. A biztonsági szakemberek úgy ismerhetik fel, hogy egy fiókot feltörtek, ha felfigyelnek arra, hogy a bejelentkezések szokatlan napszakokban vagy szokatlan földrajzi helyekről történnek, például egy olyan országból, ahol a szervezetnek nincs irodája. Fontos arra is figyelni, ha egy adott fiókból többször is sikertelen bejelentkezés történik. Bár a felhasználók időnként elfelejtik a jelszavukat, vagy problémát tapasztalnak a bejelentkezés során, néhány próbálkozás után általában sikerül megoldaniuk a problémát. Az ismételt sikertelen bejelentkezési kísérletek azt jelezhetik, hogy valaki lopott fiókkal próbál hozzáférni a szervezeti rendszerhez. 

Emelt jogosultsági szintű fiókok rendellenességei

Sok támadó, legyen az bennfentes vagy kívülálló, a rendszergazdai fiókokhoz szeretne hozzáférni, hogy bizalmas adatokat szerezhessen meg. Az ilyen fiókokhoz kapcsolódó rendellenes viselkedés, például ha valaki megpróbálja kiterjeszteni a jogosultságait, biztonsági incidensre utaló jel lehet.

Rendszer-konfigurációk módosításai

A kártevő szoftvereket gyakran arra programozzák, hogy megváltoztassák a rendszer konfigurációját, például hogy engedélyezzék a távoli hozzáférést vagy letiltsák a biztonsági szoftvereket. Az ilyen váratlan konfigurációs módosítások nyomon követésével a biztonsági szakemberek még azelőtt felismerhetik a biztonsági incidenseket, mielőtt túl nagy kár keletkezne.

Váratlan szoftvertelepítések vagy -frissítések

Sok támadás szoftverek, például kártevők vagy zsarolóprogramok telepítésével kezdődik, amelyek célja, hogy elérhetetlenné tegyék a fájlokat, vagy hogy hozzáférést biztosítsanak a támadóknak a hálózathoz. A nem tervezett szoftvertelepítések és szoftverfrissítések nyomon követésével a szervezetek gyorsan észlelhetik ezeket az IOC-ket. 

Ugyanarra a fájlra irányuló nagy számú kérelem

Ha ugyanazon fájlra irányulóan többször is érkezik kérés, az azt jelezheti, hogy egy rosszindulatú szereplő próbálja ellopni a fájlt, és többféle módszerrel próbálkozott már a hozzáférés érdekében.

Szokatlan DNS-kérések

Egyes rosszindulatú szereplők az irányítás és vezérlés néven is ismert támadási módszert használják. Olyan kártevő szoftvert telepítenek a szervezet kiszolgálójára, amely kapcsolatot hoz létre a saját tulajdonukban lévő kiszolgálóval. Ezután a saját kiszolgálójukról parancsokat küldenek a fertőzött gépre, hogy megpróbáljanak adatokat lopni vagy megzavarni a működést. A szokatlan DNS-kérések feltárása segíthet az informatikai rendszergazdáknak észlelni ezeket a támadásokat.

Az IOC-k azonosítása

A digitális támadás jeleit a naplófájlok rögzítik. Az IOC-kiberbiztonság részeként a csapatok rendszeresen figyelik a digitális rendszereket a gyanús tevékenységeket keresve. A modern SIEM- és XDR-megoldások megkönnyítik ezt a folyamatot az AI és a gépi tanulási algoritmusok révén, amelyek meghatározzák, hogy mik a normális működés alapértékei a szervezetben, majd figyelmeztetik a csapatot a rendellenességekre. Ugyancsak fontos, hogy a biztonsági területen kívüli munkatársakat is bevonjuk, akik gyanús e-maileket kaphatnak, vagy véletlenül letölthetnek egy fertőzött fájlt. A megfelelő biztonsági képzési programok segítenek a dolgozóknak abban, hogy jobban felismerjék a fertőzött e-maileket, és lehetőséget biztosítanak számukra, hogy jelentsék, ha valami rendellenesnek tűnik.

Miért fontosak az IOC-k?

Az IOC-k figyelése kritikus fontosságú a szervezet biztonsági kockázatának csökkentéséhez. Az IOC-k korai észlelése lehetővé teszi a biztonsági csapatok számára, hogy gyorsan reagáljanak a támadásokra és elhárítsák azokat, csökkentve ezzel a leállások és üzemzavarok mennyiségét. Rendszeres figyeléssel a csapatok pontosabb betekintést is kaphatnak a szervezeti sebezhetőségekbe, amelyeket aztán mérsékelni tudnak.

Reagálás a fertőzöttségi mutatókra

Amint a biztonsági csapatok azonosítják az IOC-t, a reagálásnak hatékonynak kell lennie, hogy a szervezetet a lehető legkisebb kár érje. A következő lépések segítenek a szervezeteknek a figyelem összpontosításában és a fenyegetések mielőbbi elhárításában:

Incidenselhárítási terv készítése

Az incidensre való reagálás feszült és időigényes feladat, mivel minél tovább maradnak észrevétlenek a támadók, annál valószínűbb, hogy elérik a céljukat. Számos szervezet készítIncidenselhárítás incidenselhárítási tervet, amely segít a csapatoknak a reagálás kritikus fázisában. A terv ismerteti, hogy a szervezet hogyan definiálja az incidenst, a szerepeket és felelősségi köröket, az incidens megoldásához szükséges lépéseket, valamint azt, hogy a csapatnak hogyan kell kommunikálnia az alkalmazottakkal és a külső érdekelt felekkel. 

Feltört rendszerek és eszközök elkülönítése

Miután a szervezet azonosított egy fenyegetést, a biztonsági csapat gyorsan elkülöníti a többi hálózattól azokat az alkalmazásokat vagy rendszereket, amelyek támadás alatt állnak. Ez segít megakadályozni, hogy a támadók a vállalkozás más adataihoz is hozzáférjenek.

Kriminalisztikai elemzés végrehajtása

A kriminalisztikai elemzés segít a szervezeteknek feltárni a biztonsági incidensek minden aspektusát, beleértve a támadás forrását, típusát és a támadó céljait. Az elemzés a támadás során történik, hogy felmérjék a biztonsági sérülés mértékét. Miután a szervezet helyreállt a támadás után, további elemzések segítik a csapatot a lehetséges biztonsági rések és az egyéb betekintő adatok megértésében.

A fenyegetés megszüntetése

A csapat eltávolítja a támadót és az esetleges kártevőket az érintett rendszerekről és erőforrásokról, ami a rendszerek offline állapotba helyezésével járhat.

Biztonsági és folyamatfejlesztések végrehajtása

Miután a szervezet helyreállt az incidens után, fontos kiértékelni, hogy miért történt a támadás, és hogy van-e valami, amit a szervezet megtehetett volna, hogy megakadályozza azt. Lehetnek olyan egyszerű folyamat- és szabályzatfejlesztések, amelyek a jövőben csökkentik a hasonló támadások kockázatát, vagy a csapat meghatározhat olyan hosszabb távú megoldásokat is, amelyeket fel kell venni a biztonsági fejlesztési ütemtervbe.

IOC-megoldások

A legtöbb biztonsági incidens nyomot hagy a naplófájlokban és rendszerekben. Ha megtanulják azonosítani és nyomon követni ezeket az IOC-ket, a szervezetek gyorsan elszigetelhetik és kiiktathatják a támadókat. Sok csapat alkalmaz SIEM-megoldásokat, például a Microsoft Sentinelt és a Microsoft Defender XDR-t, amelyek mesterséges intelligenciát és automatizálást használnak az IOC-k feltárásához és ahhoz, hogy azokat más eseményekkel összefüggésbe hozzák. Az incidenselhárítási terv lehetővé teszi a csapatok számára, hogy elejét vegyék a támadásoknak és gyorsan leállítsák azokat. Ami a kiberbiztonságot illeti, minél gyorsabban megértik a vállalatok, mi történik, annál valószínűbb, hogy képesek leállítani a támadást, még mielőtt az pénzbe kerülne nekik vagy a hírnevüknek okozna károkat. Az IOC-biztonság kulcsfontosságú ahhoz, hogy a szervezetek csökkenteni tudják a költséges biztonsági incidensek kockázatát.

További információ a Microsoft Biztonságról

Microsoft veszélyforrások elleni védelem

A veszélyforrások elleni legmodernebb védelemmel azonosíthatja és kezelheti az incidenseket a szervezetében.

További információ

Microsoft Sentinel

A felhőalapú, hatékony SIEM-megoldással feltárhatja a kifinomult fenyegetéseket is, és hatékonyan reagálhat rájuk.

További információ

Microsoft Defender XDR

Az XDR-megoldásokkal leállíthatja a különböző végpontokon, e-mailekben, identitásokban, alkalmazásokban és adatokban előforduló támadásokat.

További információ

Az intelligens veszélyforrás-felderítés közössége

Ismerje meg a Microsoft Defender Intelligens veszélyforrás-felderítés közösségi kiadásának legújabb frissítéseit.

További információ

Gyakori kérdések

  • Az IOC-knek számos típusa létezik. A leggyakoribbak a következők:

    • A hálózati forgalom rendellenességei
    • Szokatlan bejelentkezési kísérletek
    • Emelt jogosultsági szintű fiókok rendellenességei
    • Rendszer-konfigurációk módosításai
    • Váratlan szoftvertelepítések vagy -frissítések
    • Ugyanarra a fájlra irányuló nagy számú kérelem
    • Szokatlan DNS-kérések

  • A fertőzöttségi mutató digitális bizonyíték arra, hogy már megtörtént egy támadás. A támadásra utaló jelek arra utalnak, hogy a támadás megtörténte valószínű. Az adathalász kampányok például támadásra utaló jel, mert nincs bizonyíték arra, hogy a támadó feltörte a vállalati rendszert. Ha azonban valaki adathalászati hivatkozásra kattint, majd kártevőt tölt le, a kártevő telepítése fertőzöttségi mutató.

  • Az e-mailekben a fertőzöttségi mutatók közé tartozik a levélszemét hirtelen megjelenő áradata, a furcsa mellékletek vagy hivatkozások, illetve egy ismert személytől érkező meglepetésszerű e-mailek. Ha például egy alkalmazott furcsa csatolmányt tartalmazó e-mailt küld egy munkatársának, az azt jelezheti, hogy a fiókját feltörték.

  • A feltört rendszer azonosításának több módja is van. Egy adott számítógép hálózati forgalmának változása azt jelezheti, hogy a számítógépet feltörték. Figyelmeztető jel lehet, ha egy olyan személy, akinek általában nincs szüksége egy rendszerre, elkezd rendszeresen hozzáférni ahhoz. A rendszer konfigurációinak változása vagy egy váratlan szoftvertelepítés szintén arra utalhat, hogy a rendszert feltörték. 

  • Három IOC-példa:

    • Egy Észak-Amerikában található felhasználói fiók Európából kezd bejelentkezni a vállalati erőforrásokba.
    • Több ezer hozzáférési kérelem több felhasználói fiókon keresztül, ami arra utal, hogy a szervezetet találgatásos támadás érte.
    • Új DNS-kérések, amelyek új gazdagépről vagy olyan országból érkeznek, ahol az alkalmazottak és az ügyfelek nem rendelkeznek lakóhellyel.

A Microsoft Biztonság követése

Copilot szervezeteknek Copilot személyes használatra Microsoft 365 Fedezze fel a Microsoft termékeit Windows 11-alkalmazások Fiókprofil Letöltőközpont Microsoft Store-támogatás Visszaküldés Rendeléskövetés Újrahasznosítás Commercial Warranties Microsoft Education Oktatási eszközök Microsoft Teams oktatáshoz Microsoft 365 Education Office oktatási verzió Oktatóképzés és -fejlesztés Ajánlatok diákoknak és szülőknek Azure diákoknak
Microsoft AI Microsoft-biztonság Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teamshez készült Microsoft-fejlesztő Microsoft Learn AI piactéri alkalmazások támogatása Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Karrier A Microsoft bemutatása Vállalati hírek Adatvédelem a Microsoftnál Befektetők Korrupció- és Vesztegetésellenes Elkötelezettségünk Fenntarthatóság
Magyar (Magyarország)
Adatvédelmi beállítások elutasítása ikon Adatvédelemmel kapcsolatos választási lehetőségek
Fogyasztói állapot adatainak védelme Kapcsolatfelvétel a Microsofttal Adatvédelem Cookie-k kezelése Használati feltételek Védjegyek A hirdetéseinkről EU Compliance DoCs