Microsoft, Microsoft Defender for Endpoint (MDE) kurumsal uç nokta güvenlik platformuna komut ve kontrol (C2) trafik algılama yetenekleri ekledi.
Şu anda genel önizlemede mevcut olan bu yeni MDE özelliği, güvenlik yöneticilerinin ağ katmanında saldırgan tarafından kontrol edilen sunucularla iletişim kurmaya çalışan kötü amaçlı yazılımları algılamasına olanak tanır.
C2 bağlantıları, giden bağlantının IP adresi, bağlantı noktası, ana bilgisayar adı ve diğer değerleri Microsoft Bulut’tan alınan verilerle eşleyerek Defender for Endpoint’in Ağ Koruması (NP) aracısı tarafından algılanır.
Bağlantı, Microsoft’un bulut destekli AI ve puanlama motorları tarafından kötü amaçlı olarak değerlendirilirse, MDE bağlantıyı otomatik olarak engeller ve kötü amaçlı yazılım ikili dosyalarını önceki bir temiz duruma geri döndürür.
Kötü amaçlı bağlantı algılandıktan sonra, Microsoft 365 Defender portalına bir “Ağ Koruması olası bir C2 bağlantısını engelledi” uyarısı eklenerek, SecOps ekip üyelerine önem düzeyi ve etkilenen varlıklar ve etkinlik zaman aralığı gibi ayrıntılar sağlanır.
Saldırı akışı ve tam zaman çizelgesi gibi daha fazla bilgi, aşağıdaki ekran görüntüsünde gösterildiği gibi C2 bağlantı uyarısını açtıktan sonra kullanılabilir.
MDE kıdemli program yöneticisi Oludele Ogunrinde, “SecOps ekiplerinin, tehlike altındaki alanları ve bilinen kötü niyetli IP’lere önceki bağlantıları doğru bir şekilde tanımlayabilen kesin uyarılara ihtiyacı var.” söz konusu.
“Microsoft Defender for Endpoint’teki yeni yeteneklerle SecOps ekipleri, ağ C2 saldırılarını saldırı zincirinde daha erken tespit edebilir, daha fazla saldırı yayılmasını hızla engelleyerek yayılmayı en aza indirebilir ve kötü amaçlı ikili dosyaları kolayca kaldırarak hafifletmek için gereken süreyi azaltabilir.”
Önkoşullar, etkin gerçek zamanlı koruma ve bulut tarafından sağlanan korumaya sahip Microsoft Defender Antivirus, etkin modda MDE, blok modunda ağ koruması ve 1.1.17300.4 veya sonraki bir motor sürümü yüklüdür.
Hem tüketici (Windows 10 sürüm 1709 veya üstü) hem de sunucu (Windows Server 1803, Windows Server 2019 veya üstü) platformlarıyla çalışır.
Yeni yetenek, genel önizlemeye zaten kaydolduysanız Ağ Korumasının (NP) etkinleştirildiği ortamlarda kademeli ve otomatik olarak uygulanacaktır.
Geçen ay, Microsoft ayrıca şunları söyledi: kurcalama koruması yakında varsayılan olarak açılacaktır Fidye yazılımı saldırılarına karşı daha iyi savunma için Microsoft Defender for Endpoint’te.