Configurare la funzionalità di inganno in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Nota
La funzionalità di inganno integrata in Microsoft Defender XDR copre tutti i client Windows caricati in Microsoft Defender per endpoint. Informazioni su come eseguire l'onboarding dei client in Defender per endpoint in Onboard to Microsoft Defender per endpoint.
Microsoft Defender XDR ha una tecnologia di inganno integrata per proteggere l'ambiente da attacchi ad alto impatto che usano il movimento laterale gestito dall'uomo. Questo articolo descrive come configurare la funzionalità di inganno in Microsoft Defender XDR.
Attivare la capacità di inganno
La funzionalità di inganno è disattivata per impostazione predefinita. Per attivarlo, seguire questa procedura:
- Selezionare Impostazioni>endpoint.
- In Generale selezionare Funzionalità avanzate.
- Cercare le funzionalità di Inganno e attivare o disattivare l'interruttore.
Una regola predefinita viene creata e attivata automaticamente quando la funzionalità di inganno è abilitata. La regola predefinita, che è possibile modificare di conseguenza, genera automaticamente account e host di esca integrati in esche e li distribuisce a tutti i dispositivi di destinazione dell'organizzazione. Anche se l'ambito della funzionalità di inganno è impostato su tutti i dispositivi dell'organizzazione, le esche vengono piantate solo nei dispositivi client Windows.
Create e modificare le regole di inganno
Nota
Microsoft Defender XDR attualmente supporta la creazione di fino a dieci (10) regole di inganno.
Per creare una regola di inganno, seguire questa procedura:
- Passare a Impostazioni>endpoint. In Regole selezionare Regole inganno.
- Selezionare Aggiungi regola di inganno.
- Nel riquadro di creazione della regola aggiungere un nome, una descrizione e selezionare i tipi di esca da creare. È possibile selezionare i tipi di esca Basic e Advanced .
- Identificare i dispositivi in cui si intende piantare le esche nella sezione ambito. È possibile scegliere di piantare esche in tutti i dispositivi client Windows o nei client con tag specifici. La funzionalità di inganno attualmente copre i client Windows.
- La funzionalità di inganno richiede quindi alcuni minuti per generare automaticamente account e host di esca. Si noti che la funzionalità di inganno genera account di decodifica che simulano il nome dell'entità utente (UPN) in Active Directory.
- È possibile esaminare, modificare o eliminare esche generate automaticamente. In questa sezione è anche possibile aggiungere account e host di esca personalizzati. Per evitare rilevamenti falsi positivi, assicurarsi che gli host/indirizzi IP aggiunti non vengano usati dall'organizzazione.
- È possibile modificare un nome account esca, un nome host e l'indirizzo IP in cui vengono piantate le esche nella sezione esche. Quando si aggiungono indirizzi IP, è consigliabile usare un INDIRIZZO IP sandbox, se presente nell'organizzazione. Evitare di usare indirizzi di uso comune, ad esempio 127.0.0.1, 10.0.0.1 e simili.
Attenzione
Per evitare avvisi falsi positivi, è consigliabile creare account utente e nomi host univoci durante la creazione e la modifica di account e host decodificati. Assicurarsi che gli account utente e gli host creati siano univoci per ogni regola di inganno e che questi account e host non esistano nella directory dell'organizzazione.
- Identificare se si usano esche generate automaticamente o personalizzate nella sezione esche. Selezionare Aggiungi nuova esca in Usa esche personalizzate solo per caricare l'esca personalizzata. Le esche personalizzate possono essere di qualsiasi tipo di file (ad eccezione dei file .DLL e .EXE) e sono limitate a 10 MB ciascuna. Quando si creano e caricano esche personalizzate, è consigliabile che le esche contengano o menzionino gli host falsi o gli account utente falsi generati nei passaggi precedenti per garantire che le esche siano interessanti per gli utenti malintenzionati.
- Specificare un nome di esca e un percorso in cui verrà piantata l'esca. È quindi possibile selezionare di piantare l'esca su tutti i dispositivi coperti nella sezione ambito e se si vuole che l'esca venga piantata come file nascosto. Se queste caselle vengono lasciate deselezionate, la funzionalità di inganno pianta automaticamente le esche in dispositivi casuali all'interno dell'ambito.
- Esaminare i dettagli della regola creata nella sezione di riepilogo. È possibile modificare i dettagli della regola selezionando Modifica nella sezione da modificare. Selezionare Salva dopo la revisione.
- La nuova regola viene visualizzata nel riquadro Regole inganno dopo la creazione completata. Il completamento della creazione della regola richiede circa 12-24 ore. Controllare lo stato per monitorare lo stato di creazione della regola.
- Per controllare i dettagli delle regole attive, inclusi i dettagli dei dispositivi coperti e delle esche e delle esche piantate, selezionare Esporta nel riquadro regole.
Per modificare una regola di inganno, seguire questa procedura:
- Selezionare la regola da modificare nel riquadro Regole di inganno.
- Selezionare Modifica nel riquadro dei dettagli della regola.
- Per disattivare la regola, selezionare Disattiva nel riquadro di modifica.
- Per eliminare una regola di inganno, selezionare Elimina nel riquadro di modifica.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.