This is the Trace Id: fae7842ea892aa475eadb20ac2ad2bdd
Prejsť na hlavný obsah Prečo zabezpečenie od spoločnosti Microsoft Kybernetická bezpečnosť využívajúca umelú inteligenciu Cloudové zabezpečenie Zabezpečenie a riadenie údajov Identita a prístup k sieti Ochrana osobných údajov a riadenie rizík Zabezpečenie pre AI Unified SecOps Nulová dôvera (Zero Trust) Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra ID agenta Microsoft Entra Externé ID Riadenie Microsoft Entra ID Ochrana Microsoft Entra ID Microsoft Entra Prístup na internet Microsoft Entra Súkromný prístup Microsoft Entra Správa povolení Microsoft Entra Overenie ID Microsoft Entra ID workloadov Microsoft Entra Doménové služby Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender pre koncové body Microsoft Defender pre Office 365 Microsoft Defender na ochranu identity Microsoft Defender for Cloud Apps Spravovanie miery rizika zabezpečenia od spoločnosti Microsoft Microsoft Defender Správa rizík Microsoft Defender Analýza hrozieb Balík služieb Microsoft Defender for Business Premium Microsoft Defender for Cloud Microsoft Defender Cloud Security Posture Management Microsoft Defender Správa externých možných miest útokov Rozšírené zabezpečenie v GitHube Microsoft Defender pre koncové body Microsoft Defender XDR Microsoft Defender for Business Základné možnosti služby Microsoft Intune Microsoft Defender for IoT Microsoft Defender Správa rizík Microsoft Intune Pokročilá analýza Microsoft Intune Správa oprávnení koncových bodov Microsoft Intune Správa podnikových aplikácií Microsoft Intune Pomoc na diaľku Microsoft Cloud PKI Microsoft Purview Dodržiavanie súladu pri komunikácii Microsoft Purview Správca dodržiavania súladu Správa životného cyklu údajov Microsoft Purview Microsoft Purview eDiscovery Microsoft Purview Audit Microsoft Priva Správa rizík ochrany osobných údajov Microsoft Priva Požiadavky vo vzťahu k právam dotknutých osôb Microsoft Purview Riadenie údajov Balík služieb Microsoft Purview for Business Premium Funkcie zabezpečenia údajov pomocou Microsoft Purview Ceny Služby Partneri Zvyšovanie povedomia o kybernetickej bezpečnosti Príbehy zákazníkov Základy zabezpečenia Skúšobné verzie produktov Ocenenia v rámci odvetvia Microsoft Security Insider Správa spoločnosti Microsoft o digitálnej obrane Security Response Center Blog o zabezpečení od spoločnosti Microsoft Podujatia spoločnosti Microsoft venované zabezpečeniu Microsoft Tech Community Dokumentácia Knižnica technického obsahu Školenia a certifikácie Program zabezpečenia súladu pre Microsoft Cloud Centrum dôveryhodnosti spoločnosti Microsoft Service Trust Portal Microsoft Iniciatíva Bezpečná budúcnosť Centrum podnikových riešení Kontaktovať odd. predaja Spustiť bezplatnú skúšobnú verziu Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Zmiešaná realita Microsoft HoloLens Microsoft Viva Kvantové výpočtové prostriedky Udržateľnosť Vzdelávanie Automobilový priemysel Finančné služby Vládne inštitúcie İş ortakları Výroba Maloobchod Vyhľadať partnera Staňte sa partnerom Sieť partnerov Microsoft Marketplace Marketplace Rewards Spoločnosti zaoberajúce sa vývojom softvéru Blog Microsoft Advertising Stredisko pre vývojárov Dokumentácia Udalosti Licencovanie Microsoft Learn Microsoft Research Zobraziť mapu stránky

Čo sú indikátory ohrozenia (IOC)?

Zistite, ako monitorovať, identifikovať, používať a reagovať na indikátory ohrozenia.

Objavte produkt Microsoft Defender Analýza hrozieb

Vysvetlenie indikátorov ohrozenia

Indikátor ohrozenia (IOC) je dôkazom toho, že niekto mohol narušiť sieť alebo koncový bod organizácie. Tieto forenzné údaje nielen naznačujú potenciálnu hrozbu, ale aj signalizujú, že útok, napríklad škodlivý softvér, ohrozenie prihlasovacích údajov alebo exfiltrácia údajov, už nastal. Odborníci v oblasti zabezpečenia vyhľadávajú IOC v denníkoch udalostí, riešeniach rozšírená detekcia a reakcia (XDR) rozšírenej detekcie a reakcie (XDR) a riešeniach Security Information and Event Management (SIEM). Počas útoku tím používa IOC na odstránenie hrozby a zmiernenie poškodenia. Po obnovení môžu IOC pomôcť organizácii lepšie pochopiť, čo sa stalo, aby tím zabezpečenia organizácie mohol zvýšiť zabezpečenie a znížiť riziko ďalšieho podobného incidentu. 

Príklady IOC

V zabezpečení IOC oddelenie IT monitoruje v prostredí nasledujúce znaky toho, že prebieha útok:

Anomálie sieťového prenosu

Vo väčšine organizácií existujú konzistentné vzory sieťových prenosov do a z digitálneho prostredia. Keď sa to zmení, napríklad ak organizáciu opúšťa podstatne viac údajov alebo ak aktivita pochádza z nezvyčajného miesta v sieti, môže to byť znakom útoku.

Nezvyčajné pokusy o prihlásenie

Pracovné návyky ľudí sú predvídateľné veľmi podobne ako sieťový prenos. Zvyčajne sa prihlasujú z rovnakých miest a približne v rovnakom čase počas týždňa. Odborníci na zabezpečenie môžu rozpoznať zneužité konto tak, že venujú pozornosť prihláseniam v nezvyčajných časoch dňa alebo z nezvyčajných geografických oblastí, napríklad z krajiny, v ktorej organizácia nemá kanceláriu. Dôležité je aj všimnúť si viacero neúspešných prihlásení z toho istého konta. Hoci ľudia pravidelne zabúdajú heslá alebo majú problémy s prihlásením, zvyčajne ich dokážu vyriešiť po niekoľkých pokusoch. Opakované neúspešné pokusy o prihlásenie môžu naznačovať, že niekto sa pokúša získať prístup k organizácii pomocou ukradnutého konta. 

Nezrovnalosti konta s oprávneniami

Mnohí útočníci, či už sú zvnútra alebo zvonku, sa zaujímajú o prístup k správcovským kontám a získanie citlivých údajov. Netypické správanie spojené s týmito kontami, ak sa niekto napríklad pokúsi o eskalovanie oprávnení, môže byť znakom narušenia.

Zmeny v systémových konfiguráciách

Škodlivý softvér je často naprogramovaný tak, aby vykonával zmeny v systémových konfiguráciách, ako je napríklad povolenie vzdialeného prístupu alebo zakázanie softvéru zabezpečenia. Monitorovaním týchto neočakávaných zmien konfigurácie môžu odborníci na zabezpečenia identifikovať narušenie ešte pred vznikom príliš veľkých škôd.

Neočakávané inštalácie alebo aktualizácie softvéru

Mnohé útoky sa začínajú inštaláciou softvéru, napríklad škodlivého softvéru alebo ransomwaru, ktorý je navrhnutý tak, aby súbory boli nedostupné alebo útočníci mali prístup k sieti. Monitorovaním neplánovaných inštalácií a aktualizácií softvéru môžu organizácie tieto IOC rýchlo zachytiť. 

Množstvo žiadostí o ten istý súbor

Viaceré žiadosti o jeden súbor môžu naznačovať, že útočník sa ho pokúša ukradnúť a vyskúšal k nemu získať prístup niekoľkými spôsobmi.

Nezvyčajné požiadavky DNS

Niektorí útočníci používajú metódu útoku, ktorá sa označuje ako riadenie a kontrola. Nainštalujú na server organizácie škodlivý softvér, ktorý vytvorí pripojenie k serveru, ktorý vlastnia. Potom zo svojho servera odosielajú do infikovaného počítača príkazy a pokúšajú sa ukradnúť údaje alebo narušiť operácie. Nezvyčajné požiadavky DNS (Domain Name Systems) pomáhajú IT zistiť tieto útoky.

Ako identifikovať IOC

Znaky digitálneho útoku sa zaznamenávajú do súborov denníka. Tímy v rámci kybernetickej bezpečnosti IOC pravidelne monitorujú podozrivú aktivitu digitálnych systémov. Moderné riešenia SIEM a XDR zjednodušujú tento proces pomocou algoritmov umelej inteligencie a strojového učenia, ktoré stanovujú základ toho, čo je v organizácii normálne, a potom upozorňujú tím na anomálie. Dôležité je zapojiť aj zamestnancov mimo oblasti zabezpečenia, ktorí môžu dostávať podozrivé e-maily alebo omylom stiahnuť infikovaný súbor. Dobré školiace programy v oblasti zabezpečenia pomáhajú pracovníkom zlepšovať sa v detekcii zneužitých e-mailov a ponúkajú im spôsoby, ako nahlásiť všetko, čo sa zdá byť nevhodné.

Prečo sú IOC dôležité

Monitorovanie IOC je kriticky dôležité na zníženie rizika pre zabezpečenie organizácie. Včasná detekcia IOC umožňuje tímom zabezpečenia rýchlo reagovať na útoky a riešiť ich, čím sa znižuje množstvo výpadkov a prerušení. Pravidelné monitorovanie poskytuje tímom aj lepší prehľad o rizikách organizácie, ktoré potom možno zmierniť.

Reakcie na indikátory ohrozenia

Keď tímy zabezpečenia identifikujú IOC, musia efektívne reagovať, aby sa zabezpečilo čo najmenšie poškodenie organizácie. Nasledujúce kroky pomáhajú organizáciám sústrediť sa a zastaviť hrozby čo najrýchlejšie:

Vytvorenie plánu odozvy na incidenty

Reagovanie na incident je stresujúce a citlivé na čas, pretože čím dlhšie zostanú útočníci neodhalení, tým pravdepodobnejšie dosiahnu svoje ciele. Mnohé organizácie vyvíjajú plán odozvy na incidenty, ktorý pomôže pri usmerňovaní tímov počas kritických fáz odozvy. Plán načrtáva, ako organizácia definuje incident, úlohy a zodpovednosti, kroky potrebné na vyriešenie incidentu a spôsob, akým by mal tím komunikovať so zamestnancami a externými zainteresovanými stranami. 

Izolovanie ohrozených systémov a zariadení

Keď organizácia identifikuje hrozbu, tím zabezpečenia rýchlo izoluje napadnuté aplikácie alebo systémy od zvyšných sietí. To pomáha zabrániť útočníkom v prístupe k iným častiam podniku.

Vykonanie forenznej analýzy

Forenzná analýza pomáha organizáciám odhaliť všetky aspekty narušenia vrátane zdroja, typu útoku a cieľov útočníka. Analýza sa vykonáva počas útoku na pochopenie rozsahu ohrozenia. Po obnovení organizácie po útoku ďalšia analýza pomôže tímu pochopiť možné riziká a ďalšie prehľady.

Eliminácia hrozby

Tím odstráni útočníka a všetok škodlivý softvér z ovplyvnených systémov a zdrojov, čo môže zahŕňať prepnutie systémov do režimu offline.

Implementácia vylepšení zabezpečenia a procesov

Po obnovení organizácie po incidente je dôležité vyhodnotiť, prečo k útoku došlo a či organizácia mohla urobiť niečo, aby mu zabránila. Môžu existovať jednoduché vylepšenia procesov a politík, ktoré v budúcnosti znížia riziko podobného útoku, alebo tím môže identifikovať riešenia s dlhším rozsahom na pridanie do plánu zabezpečenia.

Riešenia IOC

Väčšina narušení zabezpečenia zanechá v súboroch denníkov a systémoch forenznú stopu. Učenie sa identifikovať a monitorovať tieto IOC pomáha organizáciám rýchlo izolovať a eliminovať útočníkov. Mnohé tímy sa obracajú na riešenia SIEM, ako sú Microsoft Sentinel a Microsoft Defender XDR, ktoré využívajú umelú inteligenciu a automatizáciu na vynesenie IOC na povrch a ich koreláciu s inými udalosťami. Plán odozvy na incidenty umožňuje tímom predbehnúť útoky a rýchlo ich odstaviť. Pokiaľ ide o kybernetickú bezpečnosť, čím rýchlejšie spoločnosti porozumejú tomu, čo sa deje, tým pravdepodobnejšie zastavia útok ešte predtým, ako by ich niečo stál alebo poškodí ich dobré meno. Zabezpečenie IOC je kľúčom k pomoci organizáciám pri znižovaní rizika drahého narušenia.

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Microsoft Ochrana pred bezpečnostnými hrozbami

Identifikujte incidenty vo vašej organizácii a reagujte na ne pomocou najnovšej ochrany pred bezpečnostnými hrozbami.

Ďalšie informácie

Microsoft Sentinel

Odhaľte sofistikované hrozby a rázne na ne reagujte s výkonným cloudovým riešením SIEM.

Ďalšie informácie

Microsoft Defender XDR

Zastavte útoky v koncových bodoch, e-mailoch, identitách, aplikáciách a údajoch pomocou riešení XDR.

Ďalšie informácie

Komunita analýzy hrozieb

Získajte najnovšie aktualizácie z komunitného vydania služby Microsoft Defender Analýza hrozieb.

Ďalšie informácie

Najčastejšie otázky

  • Existuje niekoľko typov IOC. Medzi najbežnejšie patria tieto:

    • Anomálie sieťového prenosu
    • Nezvyčajné pokusy o prihlásenie
    • Nezrovnalosti konta s oprávneniami
    • Zmeny v systémových konfiguráciách
    • Neočakávané inštalácie alebo aktualizácie softvéru
    • Množstvo žiadostí o ten istý súbor
    • Nezvyčajné požiadavky DNS

  • Indikátor ohrozenia je digitálny dôkaz toho, že už došlo k útoku. Indikátor útoku je dôkazom pravdepodobného výskytu útoku. Napríklad kampaň na neoprávnené získavanie údajov je indikátorom útoku, pretože neexistuje žiadny dôkaz o tom, že útočník narušil zabezpečenie spoločnosti. Ak však niekto klikne na prepojenie na neoprávnené získavanie údajov a stiahne škodlivý softvér, inštalácia škodlivého softvéru je indikátorom ohrozenia.

  • Indikátory ohrozenia v e-mailoch zahŕňajú náhlu záplavu nevyžiadanej pošty, nezvyčajné prílohy alebo prepojenia, alebo neočakávaný e-mail od známej osoby. Ak napríklad zamestnanec odošle spolupracovníkom e-mail s nezvyčajnou prílohou, môže to znamenať, že jeho konto bolo zneužité.

  • Existuje viacero spôsobov identifikácie zneužitého systému. Zmena v sieťovom prenose z konkrétneho počítača môže byť indikátorom, že je zneužitý. Ak osoba, ktorá zvyčajne nepotrebuje systém, začne k nemu pravidelne získavať prístup, je to výstražný príznak. Zmeny v konfiguráciách v systéme alebo neočakávaná inštalácia softvéru môžu tiež znamenať, že je zneužitý. 

  • Tri príklady IOC:

    • Používateľské konto so sídlom v Severnej Amerike sa začne prihlasovať do podnikových zdrojov z Európy.
    • Tisíce žiadostí o prístup v rámci viacerých používateľských kont, čo naznačuje, že organizácia sa stala obeťou útoku hrubou silou.
    • Nové požiadavky DNS prichádzajúce od nového hostiteľa alebo z krajiny, v ktorej nesídlia zamestnanci ani zákazníci.

Sledujte zabezpečenie od spoločnosti Microsoft

Copilot pre organizácie Copilot na osobné použitie Microsoft 365 Aplikácie systému Windows 11 Profil konta Centrum sťahovania softvéru Vrátenie produktov Sledovanie objednávok Recyklácia Commercial Warranties Microsoft Education Zariadenia pre vzdelávanie Microsoft Teams pre vzdelávacie inštitúcie Microsoft 365 Education Office Education Vzdelávanie a rozvoj pedagógov Ponuky pre študentov a rodičov Azure pre študentov
Microsoft AI Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Vývojár Microsoftu Microsoft Learn Podpora pre aplikácie na trhu umelej inteligencie Technická komunita spoločnosti Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Zamestnanie Správy spoločnosti Ochrana osobných údajov v spoločnosti Microsoft Investori Udržateľnosť
Slovenčina (Slovensko)
Ikona nesúhlasu s možnosťami ochrany osobných údajov Vaše možnosti ochrany osobných údajov
Ochrana osobných údajov spotrebiteľa v zdravotníctve Kontaktovať Microsoft Ochrana osobných údajov Správa súborov cookie Podmienky používania Ochranné známky Informácie o reklamách EU Compliance DoCs