Microsoft 已将命令和控制 (C2) 流量检测功能添加到其 Microsoft Defender for Endpoint (MDE) 企业端点安全平台。
这个新的 MDE 功能目前在公共预览版中可用,它将允许安全管理员检测恶意软件试图在网络层与攻击者控制的服务器进行通信。
Defender for Endpoint 的网络保护 (NP) 代理通过将出站连接的 IP 地址、端口、主机名和其他值与 Microsoft 云中的数据映射来检测 C2 连接。
如果连接被 Microsoft 的云驱动 AI 和评分引擎评估为恶意连接,MDE 将自动阻止连接并将恶意软件二进制文件回滚到以前的干净状态。
检测到恶意连接后,“网络保护阻止了潜在的 C2 连接”警报将添加到 Microsoft 365 Defender 门户,为 SecOps 团队成员提供详细信息,包括严重性级别和受影响的资产以及活动时间跨度。
打开 C2 连接警报后,可以获得更多信息,例如攻击流程和完整时间线,如下面的屏幕截图所示。
“SecOps 团队需要能够准确定义入侵区域以及与已知恶意 IP 的先前连接的精确警报,”MDE 高级项目经理 Oludele Ogunrinde 说。
“借助 Microsoft Defender for Endpoint 中的新功能,SecOps 团队可以在攻击链的早期检测到网络 C2 攻击,通过快速阻止任何进一步的攻击传播来最大限度地减少传播,并通过轻松删除恶意二进制文件来减少缓解所需的时间。”
先决条件包括具有主动实时保护和云交付保护的 Microsoft Defender 防病毒、主动模式下的 MDE、块模式下的网络保护以及安装的引擎版本 1.1.17300.4 或更高版本。
它适用于消费者(Windows 10 版本 1709 或更高版本)和服务器(Windows Server 1803、Windows Server 2019 或更高版本)平台。
如果您已注册公共预览版,新功能将逐渐自动应用于启用网络保护 (NP) 的环境中。
上个月,微软还表示 ,为了更好地防御勒索软件攻击,Microsoft Defender for Endpoint将很快默认开启篡改保护。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft Defender添加命令和控制流量检测
