[ad_1]
大多数恶意软件需要做的一件事是向其命令和控制 (C2) 服务器寻求进一步的指示。 通过在交换任何信息之前捕获此流量,微软希望阻止许多攻击。
该公司最近在其 Microsoft Defender for Endpoint (MDE) 安全平台中添加了一项新功能,可在建立恶意连接时通知管理员。 它能够终止该连接并记录详细信息以供进一步评估。
据报道 哔哩哔哩电脑, 新功能目前处于公共预览阶段。
早期检测
启用新功能后,Defender for Endpoint 的网络保护 (NP) 代理将映射所有出站连接的 IP 地址、端口、主机名和其他数据,以及来自 Microsoft 云的数据。 如果它发现公司的人工智能评分引擎认为是恶意的连接,该工具将阻止它,并将恶意软件二进制文件回滚以防止进一步的损害。
然后它将添加一个日志,说明“网络保护阻止了潜在的 C2 连接”,SecOps 团队稍后可以对其进行评估。
MDE 高级项目经理 Oludele Ogunrinde 表示:“SecOps 团队需要能够准确定义受攻击区域以及与已知恶意 IP 的先前连接的精确警报。”
“借助 Microsoft Defender for Endpoint 中的新功能,SecOps 团队可以在攻击链的早期检测到网络 C2 攻击,通过快速阻止任何进一步的攻击传播来最大限度地减少传播,并通过轻松删除恶意二进制文件来减少缓解所需的时间。”
要使用新功能,用户需要激活具有实时保护和云交付保护的 Microsoft Defender 防病毒软件。此外,他们需要主动模式的 MDE、阻止模式的网络保护和引擎版本 1.1.17300.4。
预览推出完成后,新功能将在 Windows 10 1709 及更高版本、Windows Server 1803 和 Windows Server 2019 上可用。
通过 BleepingComputer (在新标签中打开)
[ad_2]
Source link
