This is the Trace Id: 3343e3cf5df73704c4faa95b92bce376
Перейти до основного Переваги Захисного комплексу Microsoft Кібербезпека на основі ШІ Безпека в хмарі Безпеки й система керування даними Доступ до ідентичностей і мережі Захист конфіденційності та керування ризиками Захист для ШІ Уніфіковані операції системи безпеки Нульова довіра Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Ідентифікатор Microsoft Entra (колишня назва – Azure Active Directory) Ідентифікатор агента Microsoft Entra Зовнішній ID Microsoft Entra Керування ідентифікатором Microsoft Entra Захист ідентифікатора Microsoft Entra Інтернет-доступ через Microsoft Entra Приватний доступ через Microsoft Entra Керування дозволами Microsoft Entra Підтверджувані ID Microsoft Entra ID робочих навантажень Microsoft Entra Доменні служби Microsoft Entra Сховище ключів Azure Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender для кінцевих точок Microsoft Defender для Office 365 Microsoft Defender для захисту ідентичності Microsoft Defender for Cloud Apps Керування вразливістю за допомогою Захисного комплексу Microsoft Керування уразливостями у Microsoft Defender Аналіз загроз Microsoft Defender Пакет Microsoft Defender для передплати Business преміум Microsoft Defender for Cloud Керування захищеністю хмари в Microsoft Defender Керування векторами зовнішніх атак у Microsoft Defender Розширені засоби захисту в GitHub Microsoft Defender для кінцевих точок Microsoft Defender XDR Microsoft Defender для бізнесу Основні можливості Microsoft Intune Microsoft Defender для Інтернету речей Керування уразливостями у Microsoft Defender Розширена аналітика Microsoft Intune Керування привілеями комп’ютерів у Microsoft Intune Керування корпоративними програмами в Microsoft Intune Віддалена допомога Microsoft Intune Microsoft Cloud PKI Відповідність спілкування у Microsoft Purview Диспетчер відповідності для Microsoft Purview керування життєвим циклом даних на Microsoft Purview Засіб витребування електронної інформації в Microsoft Purview Аудит для Microsoft Purview Система керування ризиками Microsoft Priva Система запитів про права суб’єктів даних Microsoft Priva Керування даними Microsoft Purview Пакет Microsoft Purview для передплати Business преміум Можливості захисту даних у Microsoft Purview Ціни Послуги Партнери Поінформованість про кібербезпеку Історії клієнтів Основи безпеки Ознайомлювальні версії продуктів Визнання в галузі Microsoft Security Insider Звіт про цифровий захист (Digital Defense Report) від корпорації Майкрософт Центр реагування на кіберзагрози Блоґ про Захисний комплекс Microsoft Заходи, присвячена Захисному комплексу Microsoft Спільнота технічних спеціалістів Microsoft Документація Бібліотека технічного вмісту Навчання та сертифікація Програма забезпечення відповідності вимогам для Microsoft Cloud Центр безпеки та конфіденційності Microsoft Портал надійності Microsoft Ініціатива щодо безпечного майбутнього Центр рішень для бізнесу Зв’язатися з відділом збуту Почати безкоштовне ознайомлення Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Гібридна реальність Microsoft HoloLens Microsoft Viva Квантові обчислення Сталий розвиток Освіта Автомобілі Фінансові послуги Державні установи Охорона здоров’я Виробництво Торгівля Знайти партнера Стати партнером Мережа партнерів Microsoft Marketplace Marketplace Rewards Компанії з розробки програмного забезпечення Блоґ Microsoft Advertising Центр розробників Документація Заходи Ліцензування Microsoft Learn Дослідження Microsoft Переглянути карту сайту

Що таке відстеження кіберзагроз?

Відстеження кіберзагроз – це процес завчасного пошуку невідомих або невиявлених загроз у мережі, кінцевих точках і даних організації.

Принцип роботи відстеження кіберзагроз

Відстеження кіберзагроз використовує відстежувачів, щоб завчасно знаходити потенційні загрози та атаки в системі або мережі. Це дає змогу отримувати гнучкі та ефективні методи реагування на кібератаки під керуванням людини, які стають все складнішими. У той час як традиційні методи кібербезпеки виявляють порушення безпеки постфактум, відстеження кіберзагроз працює на основі припущення, що порушення сталося, і може ідентифікувати, адаптуватися та реагувати на потенційні загрози одразу після їх виявлення.

Досвідчені зловмисники можуть зламати системи безпеки організації та залишатися після цього непоміченими протягом тривалого проміжку часу — днів, тижнів або навіть довше. Додавання пошуку кіберзагроз до наявного профілю інструментів безпеки, таких як протидія загрозам у кінцевих точках (EDR) і керування захистом інформації (SIEM), може допомогти вам запобігати та усувати атаки, які в іншому випадку могли б залишитися непоміченими автоматизованими інструментами безпеки.

Автоматизоване відстеження загроз

Відстежувачі загроз можуть автоматизувати певні аспекти процесу за допомогою машинного навчання, автоматизації та ШІ. Використання таких рішень, як SIEM і EDR, може допомогти відстежувачам оптимізувати процедури відстеження за допомогою моніторингу, виявлення потенційних загроз і реагування на них. Відстежувачі загроз можуть створювати та автоматизувати різні плани дій для реагування на різні загрози, що зменшує навантаження на ІТ-команди в разі виникнення подібних атак.

Інструменти та методи відстеження кіберзагроз

Відстежувачі загроз мають багато інструментів, зокрема такі рішення, SIEM і XDR, призначені для спільної роботи.

  • SIEM: SIEM є рішенням, яке збирає дані з багатьох джерел за допомогою аналізу в реальному часі і може надати відстежувачам загроз підказки про потенційні загрози.
  • Розширене виявлення й реагування (XDR): Відстежувачі можуть використовувати XDR, що забезпечує аналіз загроз і автоматизоване переривання атак, щоб покращити видимість загроз.
  • EDR: EDR, який відстежує пристрої користувачів, також являє собою потужний інструмент, який надає відстежувачам уявлення про потенційні загрози в усіх кінцевих точках організації.

Три типи відстеження кіберзагроз

Відстеження кіберзагроз зазвичай приймає одну з трьох форм, що наведені нижче.

Структуроване: Під час структурованого відстеження загроз фахівці шукають підозрілу тактику, методи та процедури (ТМП), які вказують на потенційні загрози. Замість того, щоб працювати з даними або системою та шукати зловмисників, відстежувач загроз розробляє гіпотезу про метод яким міг скористатися зловмисник, та методично працює над виявленням симптомів цієї атаки. Оскільки структуроване відстеження – це більш проактивний підхід, ІТ-фахівці, які використовують цю тактику, часто можуть швидко перехопити або зупинити зловмисників.

Неструктуроване: Під час неструктурованого відстеження фахівці шукаютьіндикатор порушення (IoC) і здійснюють пошук із цієї початкової точки. Оскільки відстежувач загроз може повертатися назад і шукати в історичних даних закономірності та підказки, неструктуровані відстеження іноді можуть ідентифікувати раніше невиявлені загрози, які можуть все ще становити загрозу для організації.

Ситуативне: Ситуативне відстеження загроз визначає пріоритети певних ресурсів або даних у межах цифрової екосистеми. Якщо організація вважає, що певні співробітники чи ресурси стикаються з найбільшим ризиком, вона може скерувати відстежувачів кіберзагроз зосередити зусилля або запобігати чи руйнувати атаки, спрямовані проти цих уразливих користувачів, наборів даних або кінцевих точок.

Етапи та впровадження відстеження загроз

Відстежувачі кіберзагроз в процесі дослідження кібератак і усування їх наслідків часто використовують наступні прості кроки.

  1. Створення теорії або гіпотези про потенційну загрозу. Відстеження загроз може починатися з визначення поширених TМП, якими користуються зловмисники.
  2. Проведення досліджень. Відстежувачі досліджують дані, системи та дії організації (рішення SIEM може стати у пригоді на цьому етапі) та збирати й обробляти відповідну інформацію.
  3. Визначення тригера. Результати досліджень та інші засоби безпеки можуть допомогти відстежувачам загроз визначити відправну точку для свого розслідування.
  4. Дослідження загрози. Відстежувачі загроз використовують дослідження та засоби безпеки, щоб визначити, чи є загроза зловмисною.
  5. Реагування та усунення. Відстежувачі загроз вживають заходів для усунення загрози.

Типи загроз, які може виявити відстеження

Відстеження кіберзагроз дає змогу виявляти різноманітні загрози, зокрема:

  • Зловмисні програми та віруси: Зловмисні програми перешкоджають використанню звичайних пристроїв, отримуючи несанкціонований доступ до пристроїв кінцевих точок. Фішингові атаки, шпигунське програмне забезпечення, рекламне програмне забезпечення, троянські програми, хробаки та зловмисні програми з вимогою викупу – все це приклади зловмисних програм. Віруси є однією з найпоширеніших форм зловмисних програм. Вони призначені для того, щоб заважати нормальній роботі пристрою, записуючи, пошкоджуючи або видаляючи дані на ньому, перш ніж поширитися на інші пристрої в мережі.
  • Внутрішні загрози: Внутрішні загрози походять від осіб, які мають авторизований доступ до мережі організації. Через наявність наміру заподіяти шкоду, ненавмисну чи недбалу поведінку ці користувачі використовують неналежним чином або завдають шкоди мережам, даним, системам або об’єктам організації.
  • Постійні серйозні загрози: Досвідчені зловмисники, які можуть зламати мережу організації та залишатися непоміченими протягом певного періоду часу, представляють собою постійну серйозну загрозу. Такі зловмисники зазвичай добре підготовлені та мають у своєму розпорядженні значні ресурси.
    Атаки з використанням соціотехніки: Кіберзлочинці можуть вдаватися до маніпуляцій та обману, щоб змусити співробітників організації надати їм доступ або конфіденційну інформацію. До поширених типів атак з використанням соціотехніки належать фішинг, цькування та програми, що лякають користувачів.

 

Практичні поради з відстеження кіберзагроз

Впроваджуючи протокол відстеження кіберзагроз у своїй організації, пам’ятайте про наведені нижче практичні поради.

  • Надайте відстежувачам загроз повну видимість всієї організації. Відстеження загроз працює найкраще, коли фахівці бачать усю картину.
  • Підтримуйте додаткові засоби безпеки, такі як SIEM, XDR і EDR. Відстежувачі кіберзагроз використовують автоматизацію та дані, надані цими інструментами, щоб швидше виявляти загрози та отримувати більше контексту для прискорення вирішення проблем.
  • Стежте за новинами про останні нові загрози й тактики зловмисників. Зловмисники та їхня тактика постійно вдосконалюються. Переконайтеся, що ваші відстежувачі загроз мають найновіші ресурси, що відповідають останнім тенденціям.
  • Навчать працівників виявляти підозрілу поведінку та повідомляти про неї. Зменште ймовірність виникнення внутрішніх загроз за допомогою інформування своїх користувачів.
  • Упровадьте керування вразливостями, щоб зменшити загальний рівень ризику для своєї організації.

Важливість відстеження загроз для організацій

Оскільки зловмисники стають дедалі більш вправними у своїх методах атак, організаціям дуже важливо вкладати кошти в активне відстеження кіберзагроз. Відстеження кіберзагроз закриває прогалини в безпеці, доповнюючи більш пасивні форми захисту від загроз, що дає змогу організаціям усувати загрози, які в іншому випадку залишилися б непоміченими. Посилення загроз, за якими стоять досвідчені зловмисники, означає, що організації повинні зміцнювати свій захист, щоб зберегти довіру до своєї здатності обробляти конфіденційні дані та зменшити витрати, пов’язані з порушеннями безпеки.

Такі продукти, як Microsoft Sentinel, можуть допомогти у випередженні загроз, збираючи, зберігаючи та отримуючи доступ до історичних даних у хмарному масштабі, оптимізуючи розслідування та автоматизуючи стандартні завдання. Ці рішення можуть надати відстежувачам кіберзагроз потужні інструменти для захисту вашої організації.

Дізнайтеся більше про Захисний комплекс Microsoft

Microsoft Sentinel

Виявляйте й усувайте загрози на всіх рівнях організації за допомогою розумного аналізу безпеки.

Дізнатися більше

Відсіювання загроз у Microsoft Defender

Отримайте проактивне відстеження загроз, що не обмежується лише кінцевими точками.

Дізнатися більше

Аналіз загроз Microsoft Defender

Захистіть свою організацію від кіберзлочинців і сучасних загроз, як-от зловмисних програм із вимогою викупу.

Дізнатися більше

SIEM і XDR

Виявляйте, розслідуйте загрози та реагуйте на них в усьому цифровому комплексі.

Дізнатися більше

Запитання й відповіді

  • Приклад відстеження кіберзагроз – це відстеження на основі гіпотез, коли відстежувач загроз визначає ймовірну тактику, методи та процедури, які міг би використати зловмисник, а потім шукає свідоцтва їх застосування у мережі організації.

  • Виявлення загроз – це активний, часто автоматизований підхід до кібербезпеки, а відстеження загроз – це проактивний неавтоматизований підхід.

  • центр безпеки – це централізована функція або команда, яка перебуває на місці або залучається за потреби, що відповідає за покращення стану кібербезпеки в організації та запобігання, виявлення та реагування на загрози. Відстеження кіберзагроз – це одна з тактик центрів безпеки, яка використовується для виявлення та усунення загроз.

  • Засоби відстеження кіберзагроз – це програмні ресурси, доступні для ІТ-команд і відстежувачів загроз, які допомагають виявляти та усувати загрози. Прикладами інструментів відстеження загроз є такі засоби, як антивіруси і брандмауери, програмне забезпечення EDR, інструменти SIEM і аналітика даних.

  • Основна мета відстеження кіберзагроз – завчасно виявляти та усувати складні загрози та атаки перш ніж вони завдадуть шкоди організації.

  • Аналіз кіберзагроз – це програмне забезпечення для захисту інформації та даних, часто автоматичного в рамках протоколів безпеки для кращого захисту від кібератак. Відстеження загроз передбачає прийняття інформації, зібраної за результатами аналізу загроз, і використання її для використання у гіпотезах і діях із пошуку та усунення загроз.

Підпишіться на новини про Захисний комплекс Microsoft

Copilot для організацій Copilot для особистого використання Microsoft 365 Ознайомтеся з продуктами Microsoft Програми для Windows 11 Профіль облікового запису Центр завантажень Повернення Відстеження замовлення Microsoft для освіти Пристрої для освіти Microsoft Teams для освіти Microsoft 365 Education Office Education Підвищення кваліфікації викладачів Спеціальні пропозиції для студентів і батьків Azure для студентів
ШІ від Microsoft Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Розробник Microsoft Microsoft Learn Підтримка ШІ-програм на Marketplace Технічна спільнота Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Вакансії Конфіденційність у Microsoft Інвестори Сталий розвиток
Українська (Україна)
Піктограма відмови в параметрах конфіденційності Вибрані параметри конфіденційності
Конфіденційність інформації про здоров’я споживачів Звернутися до корпорації Microsoft Конфіденційність Керування файлами cookie Умови використання Товарні знаки Відомості про рекламу