Hoe de Deception-functie van Microsoft Defender vroege cyberdreigingen detecteert

Microsoft Defender for Endpoint bevat een krachtige Deception-functie, ontworpen om vroege dreigingsdetectie en responscapaciteiten te verbeteren. Dit artikel bespreekt wat de Deception-functie is, de vereisten, hoe deze te configureren, en hoe resultaten effectief te monitoren.

Wat is de Deception-functie?

De Deception-functie in Microsoft Defender for Endpoint creëert een kunstmatig aanvalsoppervlak binnen uw netwerk. Het maakt gebruik van decoys (nepmiddelen zoals gebruikersaccounts of hosts) en lures (digitale lokmiddelen zoals valse referenties of bestandspaden) om aanvallers te misleiden en hun tactieken te onthullen. Wanneer aanvallers met deze decoys of lures interacteren, worden waarschuwingen met hoge betrouwbaarheid gegenereerd, waarmee beveiligingsteams dreigingen vroeg in de aanvalsketen kunnen detecteren en neutraliseren. Deze functie is vooral effectief bij het identificeren van menselijk gestuurde laterale bewegingen tijdens verkennings- en referentiestelenfasen, en biedt waardevolle inzichten in het gedrag van aanvallers, wat bijdraagt aan een verbeterde beveiligingshouding.

Voordelen van de Deception-functie

De Deception-functie biedt verschillende voordelen:

  • Vroege Detectie: Identificeert dreigingen in vroege stadia zoals verkenning en referentiestelen.
  • Betrouwbare Waarschuwingen: Genereert nauwkeurige waarschuwingen die het aantal valse positieven verminderen.
  • Naadloze Integratie: Werkt met bestaande endpoint-agents zonder extra sensorimplementatie.
  • Verbeterde Beveiligingshouding: Levert diepgaand inzicht in aanvallersgedrag, waardoor proactieve verdediging mogelijk wordt.

Vereisten voor het activeren van de Deception-functie

Voordat u de Deception-functie inschakelt, moet uw omgeving aan de volgende vereisten voldoen:

  • U moet een van de volgende rollen hebben om deception-mogelijkheden te configureren:
    • Global administrator
    • Security administrator
  • Microsoft Defender for Endpoint moet de primaire Endpoint Detection and Response (EDR)-oplossing zijn.
  • Apparaten moeten worden gekoppeld of hybride worden gekoppeld aan Microsoft Entra ID (voorheen Azure AD).
  • PowerShell moet ingeschakeld zijn op apparaten.
  • Geautomatiseerd onderzoek en respons moeten zijn geconfigureerd en ingeschakeld.
  • Ondersteunde besturingssystemen zijn Windows 10 RS5 of later.

Deze functie is inbegrepen in abonnementen zoals Microsoft 365 E5, Microsoft Security E5 of Microsoft Defender for Endpoint Plan 2. Zonder een van deze licenties ziet u mogelijk de Deception-activatieknop niet in uw instellingenmenu.

Lure-typen en overwegingen

De Deception-functie biedt twee soorten lures:

  • Basislures: Geplante documenten, snelkoppelingen en dergelijke die weinig tot geen interactie hebben met de klantomgeving.
  • Geavanceerde lures: Geplante inhoud zoals opgeslagen referenties die reageren of interageren met de klantomgeving. Bijvoorbeeld, aanvallers kunnen interacteren met decoy-referenties die werden geïnjecteerd in reacties op Active Directory-query’s.

Voor een snelle implementatie kunt u zowel Basis- als Geavanceerde lures gebruiken zonder aangepaste lures te maken. Beide typen lures zijn bijna volledig geautomatiseerd, terwijl ze toch aanpasbaar zijn voor uw organisatie.

Voor een snelle implementatie moet u het volgende voorbereiden:

  • Bepaal of u de lures op al uw clientapparaten (werkstations) of alleen op specifieke apparaten met specifieke tags wilt implementeren.
  • Bepaal hoeveel nepgebruikersaccounts u wilt maken, inclusief gebruikersnamen. De structuur van gebruikersnamen moet overeenkomen met de naamgevingsstructuur van uw organisatie.
  • Bepaal hoeveel nepvirtuele machines u wilt maken. De naamgevingsstructuur van deze machines moet aansluiten bij uw organisatie. U kunt overwegen enkele niet-domeincomputers toe te voegen en statische IP-adressen toe te wijzen aan deze lure-machines.

Met aangepaste lures kunt u extra bestanden (behalve .dll en .exe) van maximaal 10 MB in de door u gekozen paden (zoals C:\Temp) plaatsen. U kunt ook lures als verborgen bestanden instellen, wat niet mogelijk is met automatisch gegenereerde lures.

Hoe configureert u de Deception-functie?

Het inschakelen en configureren van de Deception-functie is eenvoudig. Volg deze stappen:

1. Toegang tot de Microsoft 365 Defender Portal.

2. Deception-mogelijkheden inschakelen:

  • Ga naar Instellingen > Endpoints > Algemeen > Geavanceerde Functies.
  • Zet de schakelaar voor Deception capabilities op “Aan”.

3. Regels instellen voor Decoys en Lures:

  • Gebruik ingebouwde machine learning-aanbevelingen of maak handmatig decoys en lures die zijn afgestemd op uw omgeving.
  • Implementeer deze middelen automatisch met PowerShell-scripts naar apparaten in uw netwerk.

4. Waarschuwingen simuleren (optioneel):

Test de configuratie door waarschuwingen te simuleren, zoals inlogpogingen met misleidende gebruikersaccounts, om te verifiëren dat waarschuwingen correct worden gegenereerd.

Resultaten Monitoren

Het monitoren van de resultaten van de Deception-functie is cruciaal om de effectiviteit te maximaliseren:

1. Waarschuwingen bekijken in de Defender XDR Portal:

Waarschuwingen op basis van deception-detectie bevatten het woord deceptive in de titel, zoals:

  • Sign-in attempt with a deceptive user account
  • Connection attempt to a deceptive host

Alle waarschuwingen die worden gegenereerd door interacties met decoys of lures, worden automatisch gecorreleerd in incidenten binnen de Microsoft Defender XDR Portal.

2. Aanvalspatronen analyseren

Gebruik de waarschuwingsgegevens om te begrijpen hoe aanvallers zich door uw netwerk bewegen en met misleidende middelen omgaan. Deze informatie kan bredere beveiligingsmaatregelen informeren en verdedigingen tegen toekomstige dreigingen verbeteren.

3. Geautomatiseerde Dreigingsonderbreking

Het systeem kan gedetecteerde dreigingen automatisch verstoren door gecompromitteerde apparaten of accounts te isoleren, waardoor handmatige interventie wordt verminderd.

Conclusie

De Deception-functie van Microsoft Defender for Endpoint is een baanbrekende oplossing voor proactieve dreigingsdetectie. Door strategisch decoys te plaatsen en interacties te monitoren, kan uw organisatie verborgen dreigingen onthullen en snel reageren. Met de juiste configuratie en monitoring stelt Deception beveiligingsteams in staat om een stap voor te blijven op aanvallers.

Neem contact met ons op bij Paradigm Security om meer te leren over het inschakelen van Deception en andere geavanceerde functies in Microsoft Defender for Endpoint. Laten we samen uw digitale omgeving beveiligen!