This is the Trace Id: 9868f8f11de929ac05656b970132b589
Salt la conținutul principal De ce Microsoft Security Securitate cibernetică pe platformă de inteligență artificială Securitate în cloud Securitatea și guvernarea datelor Identitate și acces la rețea Confidențialitate și gestionarea riscurilor Securitate pentru inteligența artificială Operațiuni de securitate unificate Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) ID Agent Microsoft Entra ID extern Microsoft Entra Guvernare Microsoft Entra ID Protecție Microsoft Entra ID Acces la internet Microsoft Entra Acces privat Microsoft Entra Gestionarea permisiunilor Microsoft Entra ID verificat Microsoft Entra ID sarcină de lucru Microsoft Entra Servicii de domeniu Microsoft Entra Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender pentru punct final Microsoft Defender pentru Office 365 Microsoft Defender pentru identitate Microsoft Defender for Cloud Apps Gestionarea expunerii securității Microsoft Gestiunea vulnerabilităților Microsoft Defender Inteligența contra amenințărilor Microsoft Defender Suita Microsoft Defender pentru Business Premium Microsoft Defender for Cloud Managementul posturii de securitate în cloud Microsoft Defender Gestionarea suprafeței de atac externe Microsoft Defender Securitate avansată GitHub Microsoft Defender pentru punct final Microsoft Defender XDR Microsoft Defender pentru companii Capacitățile de bază Microsoft Intune Microsoft Defender pentru IoT Gestiunea vulnerabilităților Microsoft Defender Analiză avansată Microsoft Intune Administrarea privilegiilor punctelor finale Microsoft Intune Managementul aplicațiilor pentru întreprindere Microsoft Intune Ajutor la distanță Microsoft Intune PKI în cloud Microsoft Conformitate comunicare Microsoft Purview Manager de conformitate Microsoft Purview Gestionarea ciclului de viață al datelor Microsoft Purview Microsoft Purview eDiscovery Audit Microsoft Purview Gestionarea riscurilor Microsoft Priva Solicitările drepturilor subiecților Microsoft Priva Guvernare date Microsoft Purview Suita Microsoft Purview pentru Business Premium Capacități Microsoft Purview pentru securitatea datelor Prețuri Servicii Parteneri Conștientizarea securității cibernetice Relatările clienților Introducere în securitate Versiuni de încercare ale produselor Recunoaștere la nivelul sectorului de activitate Microsoft Security Insider Raportul Apărarea digitală Microsoft Security Response Center Blogul Microsoft Security Evenimente Microsoft Security Microsoft Tech Community Documentație Bibliotecă de conținut tehnic Instruire și certificări Programul de conformitate pentru Microsoft Cloud Centru de autorizare Microsoft Service Trust Portal Microsoft Inițiativa pentru un viitor sigur Hub de soluții de afaceri Contactați echipa de vânzări Începeți versiunea de încercare gratuită Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Inteligență artificială Microsoft Azure Space Realitate mixtă Microsoft HoloLens Microsoft Viva Calcul cuantic Sustenabilitate Instituții de învățământ Auto Servicii financiare Administrație publică Instituții medicale Producție Comerț cu amănuntul Găsiți un partener Deveniți partener Programul de parteneriat Microsoft Marketplace Marketplace Rewards Companii de dezvoltare software Blog Microsoft Advertising Centru pentru dezvoltatori Documentație Evenimente Licențiere Microsoft Learn Cercetare Microsoft Vizualizare hartă site

Ce sunt indicatorii de compromitere (IOC)?

Aflați cum să monitorizați, să identificați, să utilizați și să răspundeți la indicatorii de compromitere.

Descoperiți Inteligența contra amenințărilor Microsoft Defender

Indicatorii de compromitere, explicați

Indicatorii de compromitere (IOC) sunt dovada că este posibil ca cineva să fi pătruns în rețeaua sau în punctul final al unei organizații. Aceste date judiciare nu indică doar o amenințare potențială, ci semnalează că a avut loc deja un atac, cum ar fi malware, acreditări compromise sau furt de date. Specialiștii în securitate caută indicatori de compromitere în jurnalele de evenimente, soluții de detectare și răspuns extinse Microsoft Defender (XDR) și soluții de management al evenimentelor și informațiilor de securitate (SIEM). În timpul unui atac, echipa utilizează indicatori de compromitere pentru a elimina amenințarea și a atenua daunele. După recuperare, indicatorii de compromitere ajută o organizație să înțeleagă mai bine ce s-a întâmplat, astfel încât echipa de securitate a organizației să poată consolida securitatea și să reducă riscul unui alt incident similar. 

Exemple de indicatori de compromitere

În securitatea indicatorilor de compromitere, IT-ul monitorizează mediul pentru următoarele indicii că un atac este în curs:

Anomalii ale traficului de rețea

În majoritatea organizațiilor, există modele consistente pentru traficul de rețea care intră și iese din mediul digital. Atunci când se modifică acest lucru, de exemplu, dacă o cantitate considerabilă de date părăsește organizația sau dacă există activitate care provine dintr-o locație neobișnuită din rețea, poate fi un indiciu de atac.

Încercări de conectare neobișnuite

La fel ca traficul de rețea, obiceiurile de lucru ale utilizatorilor sunt previzibile. Aceștia se conectează în general din aceleași locații și la aproximativ aceleași ore în timpul săptămânii. Specialiștii în securitate pot detecta un cont compromis, acordând atenție conectărilor la ore ciudate în timpul zilei sau din zone geografice neobișnuite, precum o țară în care o organizație nu are sediu. De asemenea, este important să se ia act de conectări nereușite multiple din același cont. Deși utilizatorii își uită periodic parolele sau întâmpină probleme la conectare, de obicei pot rezolva acest lucru după câteva încercări. Încercările repetate de conectare nereușite pot indica faptul că cineva încearcă să acceseze organizația utilizând un cont furat. 

Nereguli ale conturilor privilegiate

Mulți atacatori, indiferent dacă sunt utilizatori interni sau externi, sunt interesați să acceseze conturi administrative și să obțină date confidențiale. Comportamentul atipic asociat cu aceste conturi, cum ar fi o persoană care încearcă să își mărească privilegiile, poate fi semnul unei încălcări.

Modificări ale configurațiilor sistemelor

Malware-ul este programat adeseori să efectueze modificări la configurațiile sistemelor, cum ar fi activarea accesului de la distanță sau dezactivarea software-ului de securitate. Prin monitorizarea acestor modificări neașteptate de configurație, specialiștii în securitate pot identifica o breșă înainte să se producă prea multe pagube.

Instalări sau actualizări de software neașteptate

Multe atacuri încep cu instalarea de software, cum ar fi malware sau ransomware, care este proiectat să facă fișierele inaccesibile sau să le ofere atacatorilor acces la rețea. Prin monitorizarea instalărilor și actualizărilor de software neplanificate, organizațiile pot captura rapid acești indicatori de compromitere. 

Numeroase solicitări ale aceluiași fișier

Mai multe solicitări pentru un singur fișier pot indica faptul că un actor rău intenționat încearcă să-l fure și a încercat mai multe metode de accesare a acestuia.

Solicitări neobișnuite de sisteme de nume de domeniu

Unii actori rău intenționați utilizează o metodă de atac numită comandă și control. Aceștia instalează malware pe serverul unei organizații, care creează o conexiune la un server pe care îl dețin. Apoi trimit comenzi de pe server către computerul infectat, pentru a încerca să fure date sau să perturbe funcționarea. Solicitările neobișnuite de sisteme de nume de domeniu (DNS) ajută echipa de IT-ul să detecteze aceste atacuri.

Cum se identifică identificatorii de compromitere

Indiciile unui atac digital sunt înregistrate în fișierele jurnal. Ca parte a securității cibernetice IOC, echipele monitorizează periodic sistemele digitale, pentru a descoperi activități suspecte. Soluțiile moderne SIEM și XDR simplifică acest proces cu inteligența artificială și algoritmi de învățare programată, care stabilesc baza pentru ceea ce este normal în organizație, apoi alertează echipa în legătură cu anomaliile. De asemenea, este important să implicați angajați din afara echipei de securitate, care pot primi mesaje de e-mail suspecte sau pot descărca accidental un fișier infectat. Programele bune de instruire în domeniul securității ajută lucrătorii să devină mai buni la detectarea mesajelor de e-mail compromise și le oferă modalități de a raporta orice lucru care nu pare în regulă.

De ce sunt importanții indicatorii de compromitere

Monitorizarea indicatorilor de compromitere este esențială pentru a reduce riscul de securitate al unei organizații. Detectarea timpurie a indicatorilor de compromitere permite echipelor de securitate să răspundă și să rezolve rapid atacurile, reducând timpul de nefuncționare și perturbările. Monitorizarea periodică oferă echipelor, de asemenea, o perspectivă mai clară asupra vulnerabilităților organizaționale, care pot fi apoi atenuate.

Abordarea indicatorilor de compromitere

După ce identifică un indicator de compromitere, echipele de securitate trebuie să răspundă eficient pentru a asigura că organizația suferă cât mai puține daune posibil. Următorii pași ajută organizațiile să rămână concentrate și să oprească amenințările cât mai rapid posibil:

Stabilirea unui plan de răspuns la incidente

Răspunsul la un incident este stresant și urgent, deoarece cu cât mai mult timp rămân nedetectați atacatorii, cu cât mai mult cresc șansele ca aceștia să își atingă obiectivele. Multe organizații dezvoltă un plan de răspuns la incidente, pentru a ghida echipele în timpul fazelor critice ale unui răspuns. Planul prezintă modul în care organizația definește un incident, rolurile și responsabilitățile, pașii necesari pentru a rezolva un incident și modul în care echipa ar trebui să comunice angajaților și participanților direct interesați externi. 

Izolarea sistemelor și a dispozitivelor compromise

După ce o organizație a identificat o amenințare, echipa de securitate izolează rapid aplicațiile sau sistemele atacate de celelalte rețele. Acest lucru îi împiedică pe atacatori să acceseze alte părți ale firmei.

Efectuarea analizei judiciare

Analiza judiciară ajută organizațiile să descopere toate aspectele unei breșe, inclusiv sursa, tipul atacului și obiectivele atacatorului. Analiza se realizează în timpul atacului, pentru a înțelege gradul de compromitere. După ce organizația și-a revenit după atac, analiza suplimentară ajută echipa să înțeleagă vulnerabilitățile posibile și alte detalii.

Eliminarea amenințărilor

Echipa elimină atacatorul și orice malware din sistemele și resursele afectate, ceea ce poate implica punerea sistemelor offline.

Implementarea de îmbunătățiri ale securității și proceselor

După ce organizația și-a revenit după incident, este important să evaluați de ce s-a produs atacul și dacă există ceva ce ar fi putut face organizația pentru a împiedica acest lucru. Pot exista îmbunătățiri simple ale proceselor și politicilor care vor reduce riscul unui atac similar în viitor sau echipa poate identifica soluții cu rază mai mare de acțiune de adăugat la o foaie de parcurs în domeniul securității.

Soluții pentru indicatorii de compromitere

Majoritatea breșelor de securitate lasă o urmă judiciară în fișierele jurnal și în sisteme. Învățarea identificării și monitorizării acestor indicatori de compromitere ajută organizațiile să izoleze și să elimine rapid atacatorii. Multe echipe apelează la soluții SIEM, precum Microsoft Sentinel și Microsoft Defender XDR, care utilizează inteligența artificială și automatizarea pentru a scoate la iveală indicatorii de compromitere și a-i corela cu alte evenimente. Un plan de răspuns la incidente permite echipelor să avanseze atacurile și să le oprească rapid. Când vine vorba de securitatea cibernetică, cu cât companiile înțeleg mai rapid ce se întâmplă, cu cât este mai probabil să oprească un atac înainte să le coste bani sau să le prejudicieze imaginea. Securitatea IOC este esențială pentru a ajuta organizațiile să își reducă riscul de breșe costisitoare.

Aflați mai multe despre Microsoft Security

Protecția Microsoft împotriva amenințărilor

Identificați și răspundeți la incidentele din întreaga organizație cu cea mai recentă protecție împotriva amenințărilor.

Aflați mai multe

Microsoft Sentinel

Descoperiți amenințări sofisticate și reacționați decisiv cu o soluție SIEM puternică, bazată pe cloud.

Aflați mai multe

Microsoft Defender XDR

Opriți atacurile asupra punctelor finale, a e-mailului, a identităților, a aplicațiilor și a datelor, cu soluțiile XDR.

Aflați mai multe

Comunitatea de inteligență contra amenințărilor

Aflați mai multe despre ediția Comunitatea pentru Inteligența contra amenințărilor Microsoft Defender.

Aflați mai multe

Întrebări frecvente

  • Există mai multe tipuri de indicatori de compromitere. Printre cei ai frecvenți se numără:

    • Anomalii ale traficului de rețea
    • Încercări de conectare neobișnuite
    • Nereguli ale conturilor privilegiate
    • Modificări ale configurațiilor sistemelor
    • Instalări sau actualizări de software neașteptate
    • Numeroase solicitări ale aceluiași fișier
    • Solicitări neobișnuite de sisteme de nume de domeniu

  • Un indicator de compromitere este dovada digitală că a avut loc deja un atac. Un indicator al unui atac este o dovadă că este posibil să se producă un atac. De exemplu, o campanie de phishing este un indicator de atac, deoarece nu există nicio dovadă că atacatorul a provocat o breșă în companie. Totuși, dacă cineva face clic pe un link de phishing și descarcă malware, instalarea malware-ului este un indicator de compromitere.

  • Indicatorii de compromitere din e-mail includ un val brusc de spam, atașări sau linkuri ciudate sau un e-mail neașteptat de la o persoană cunoscută. De exemplu, dacă un angajat trimite unui coleg un e-mail cu o atașare ciudată, acesta poate indica faptul că i-a fost compromis contul.

  • Există mai multe modalități de a identifica un sistem compromis. O modificare a traficului de rețea de la un anumit computer poate fi un indicator că aceasta a fost compromisă. Dacă o persoană care în mod normal nu are nevoie de un sistem, începe să îl acceseze periodic, acesta este un semnal de alarmă. Modificările configurațiilor din sistem sau o instalare neașteptată de software pot indica, de asemenea, că acesta a fost compromis. 

  • Iată trei exemple de indicatori de compromitere:

    • Un cont de utilizator bazat în America de Nord începe să se conecteze la resursele firmei din Europa.
    • Mii de solicitări de acces în mai multe conturi de utilizator, indicând faptul că organizația este victima unui atac prin forță brută.
    • Solicitări noi de sisteme de nume de domeniu provin de la o gazdă nouă sau dintr-o țară în care angajații și clienții nu își au domiciliul.

Urmăriți Microsoft Security

Copilot pentru organizații Copilot pentru uz personal Microsoft 365 Aplicații Windows 11 Profil de cont Centrul de descărcare Retururi Urmărire comandă Reciclare Garanții comerciale Microsoft Education Dispozitive pentru educație Microsoft Teams pentru educație Microsoft 365 Education Office Education Instruirea și dezvoltarea educatorilor Promoții pentru studenți și părinți Azure pentru studenți
Inteligență artificială Microsoft Securitate Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Dezvoltator Microsoft Documentație Microsoft Learn Comunitatea tehnică Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Cariere Confidențialitatea în cadrul companiei Microsoft Angajamentul Microsoft privind prevenirea corupției și mitei Investitori Sustenabilitate
Română (România)
Pictograma Renunțare la opțiunile de confidențialitate Opțiunile dumneavoastră de confidențialitate
Confidențialitatea pentru sănătatea consumatorilor Contactați Microsoft Confidențialitate Gestionare cookie-uri Condiţii de utilizare Mărci comerciale Despre reclamele noastre EU Compliance DoCs Raportare de reglementare