Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är identifiering och åtgärd av hot (TDR)?

Lär dig hur du skyddar organisationens tillgångar genom att proaktivt identifiera och minimera cybersäkerhetsrisker med identifiering och åtgärd av hot.

Upptäck Microsoft XDR-lösningen

Definition av identifiering och åtgärd av hot (TDR)

Identifiering och åtgärd av hot är en cybersäkerhetsprocess för att identifiera cyberhot mot en organisations digitala tillgångar och vidta åtgärder för att minimera dem så snabbt som möjligt.

Hur fungerar identifiering och åtgärd av hot?

För att åtgärda cyberhot och andra säkerhetsproblem har många organisationer skapat ett center för säkerhetsfunktioner (SOC), som är en centraliserad funktion eller ett team som ansvarar för att förbättra organisationens cybersäkerhetsstatus och förhindra, identifiera och svara på hot. Förutom att övervaka och svara på pågående cyberattacker, utför ett SOC även proaktivt arbete för att identifiera nya cyberhot och sårbarheter i organisationen. De flesta SOC-team, som kan vara på plats eller outsourcade, arbetar dygnet runt, sju dagar i veckan.

SOC använder hotinformation och teknologi för att upptäcka ett försök till, lyckat eller pågående intrång. När en cyberhot har identifierats använder säkerhetsteamet verktyg för identifiering och åtgärd av hot för att eliminera eller åtgärda problemet.

Identifiering och åtgärd av hot omfattar vanligtvis följande steg:

  • Upptäckt. Säkerhetsverktyg som övervakar slutpunkter, identiteter, nätverk, appar och moln hjälper dig att upptäcka risker och potentiella överträdelser. Säkerhetspersonal använder också tekniker för cyberhotsjakt för att upptäcka sofistikerade cyberhot som kringgår identifiering.
  • Undersökning. När en risk har identifierats använder SOC AI och andra verktyg för att bekräfta att cyberhotet är verkligt, fastställer hur det inträffade och utvärdera vilka företagstillgångar som påverkas.
  • Inneslutning. För att stoppa spridningen av en cyberattack isolerar cybersäkerhetsteam och automatiserade verktyg infekterade enheter, identiteter och nätverk från resten av organisationens tillgångar.
  • Radering. Teams eliminerar rotorsaken till en säkerhetsincident med målet att avlägsna den dåliga aktören helt från miljön. De minskar också sårbarheter som kan utgöra en risk för en liknande cyberattack i organisationen.
  • Återställning. Efter att teamen är rimligt övertygade om att ett cyberhot eller en sårbarhet har tagits bort tar de alla isolerade system online igen.
  • Rapport. Beroende på incidentens allvarlighetsgrad kommer säkerhetsteamen att dokumentera och informera ledare, chefer och/eller styrelsen om vad som hände och hur det löstes.
  • Riskreducering. För att förhindra att liknande intrång inträffar igen och för att förbättra svaret i framtiden studerar teamen incidenten och identifierar ändringar som ska göras i miljön och processerna.

Vad är identifiering av hot?

Identifiering av cyberhot har blivit allt svårare i takt med att organisationer har utökat sitt molnavtryck, anslutit fler enheter till Internet och övergått till en hybridarbetsplats. Dåliga aktörer drar nytta av den här utökade ytan och fragmenteringen i säkerhetsverktyg med följande typer av taktiker:

  • Nätfiskekampanjer. Ett av de vanligaste sätten som dåliga aktörer infiltrerar ett företag på är att skicka e-postmeddelanden som lurar anställda att ladda ned skadlig kod eller ange sina autentiseringsuppgifter.
  • Skadlig kod. Många cyberangripare distribuerar programvara som är utformad för att skada datorer och system eller samla in känslig information.
  • Utpressningstrojan. En typ av skadlig kod, angripare med utpressningstrojaner håller kritiska system och data som gisslan och hotar att släppa privata data eller stjäla molnresurser för att utvinna bitcoin tills en lösensumma betalas. Nyligen har utpressningstrojaner som drivs av människor, där en grupp cyberangripare får åtkomst till en organisations hela nätverk, blivit ett växande problem för säkerhetsteam.
  • DDoS-attacker (distribuerad överbelastningsattack). Med hjälp av en serie robotar stör dåliga aktörer en webbplats eller tjänst genom att översvämma den med trafik.
  • Internt hot. Alla cyberhot kommer inte från utanför en organisation. Det finns också en risk att betrodda personer med åtkomst till känsliga data oavsiktligt eller skadligt kan skada organisationen.
  • Identitetsbaserade attacker. De flesta överträdelser omfattar komprometterade identiteter, vilket är när cyberangripare stjäl eller gissar användarautentiseringsuppgifter och använder dem för att få åtkomst till en organisations system och data.
  • Sakernas Internet-attacker (IoT). IoT-enheter är också sårbara för cyberattacker, särskilt äldre enheter som inte har de inbyggda säkerhetskontroller som moderna enheter gör.
  • Attacker mot försörjningskedjan. Ibland riktar sig en dålig aktör mot en organisation genom manipulering av programvara eller maskinvara som tillhandahålls av en tredjepartsleverantör.
  • Kodinmatning. Genom att utnyttja sårbarheter i hur källkoden hanterar externa data matar cyberbrottslingar in skadlig kod i ett program.

Identifiera olika hot
För att komma före ökande cybersäkerhetsattacker använder organisationer hotmodellering för att definiera säkerhetskrav, identifiera sårbarheter och risker och prioritera åtgärder. Med hjälp av hypotetiska scenarier försöker SOC komma in i cyberkriminellas sinne så att de kan förbättra organisationens förmåga att förhindra eller mildra säkerhetsincidenter. Ramverket MITRE ATT&CK® är en användbar modell för att förstå vanliga tekniker och taktiker för cyberattacker.

Ett flerskiktsskydd kräver verktyg som ger kontinuerlig övervakning i realtid av miljön och potentiella säkerhetsproblem. Lösningar måste också överlappa varandra, så att om en identifieringsmetod komprometteras identifierar en andra problemet och meddelar säkerhetsteamet. Lösningar för identifiering av cyberhot använder en mängd olika metoder för att identifiera hot, bland annat:

  • Signaturbaserad identifiering. Många säkerhetslösningar söker igenom programvara och trafik för att identifiera unika signaturer som är associerade med en viss typ av skadlig kod.
  • Beteendebaserad identifiering. För att fånga upp nya och framväxande cyberhot letar säkerhetslösningar också efter handlingar och beteenden som är vanliga vid cyberattacker.
  • Avvikelsebaserad identifiering. AI och analys hjälper team att förstå vanliga beteenden för användare, enheter och programvara så att de kan identifiera något ovanligt som kan tyda på en cyberhot.

Även om programvara är viktig spelar människor en lika viktig roll vid identifiering av cyberhot. Förutom att trigga och undersöka systemgenererade varningar, använder analytiker jakttekniker för cyberthot för att proaktivt söka efter indikationer på kompromiss, eller så letar de efter taktik, tekniker och procedurer som tyder på ett potentiellt hot. Dessa metoder hjälper SOC att snabbt upptäcka och stoppa sofistikerade, svåridentifierade attacker

Vad är åtgärd av hot?

Efter att ett trovärdigt cyberthot har identifierats inkluderar åtgärd av hot alla åtgärder som SOC vidtar för att begränsa och eliminera det, återhämta sig och minska chanserna att en liknande attack ska hända igen. Många företag utvecklar en plan för incidenthantering för att hjälpa dem under ett potentiellt intrång när det är viktigt att organisera och röra sig snabbt. En bra incidenthanteringsplan innehåller spelböcker med stegvis vägledning för specifika typer av hot, roller och ansvarsområden samt en kommunikationsplan.

Komponenter för identifiering och åtgärd av hot

Organisationer använder en mängd olika verktyg och processer för att effektivt identifiera och åtgärda hot.

  • Utökad identifiering och åtgärd

    XDR-produkter (Extended Detection and Response) hjälper SOC att förenkla hela livscykeln för skydd, identifiering och åtgärd. Dessa lösningar övervakar slutpunkter, molnappar, e-post och identiteter. Om en XDR-lösning identifierar ett cyberhot varnar den säkerhetsteamen och svarar automatiskt på vissa incidenter baserat på kriterier som SOC definierar.

  • Identifiering och hantering av identitetshot

    Eftersom dåliga aktörer ofta riktar in sig på anställda är det viktigt att införa verktyg och processer för att identifiera och svara på hot mot en organisations identiteter. Dessa lösningar använder vanligtvis analys av användar- och entitetsbeteende (UEBA) för att definiera grundläggande användarbeteende och upptäcka avvikelser som representerar ett potentiellt hot.

  • Säkerhetsinformation och händelsehantering (SIEM)

    Att få insyn i hela den digitala miljön är steg ett för att förstå hotlandskapet. De flesta SOC-team använder lösningar för säkerhetsinformation och händelsehanteringsäkerhetsinformation och händelsehantering (SIEM) som samlar in och korrelerar data mellan slutpunkter, moln, e-postmeddelanden, appar och identiteter. Dessa lösningar använder identifieringsregler och spelböcker för att visa potentiella cyberhot genom att korrelera loggar och aviseringar. Moderna SIEM:er använder också AI för att upptäcka cyberhot mer effektivt, och de införlivar externa hotinformationsflöden, så att de kan identifiera nya och framväxande cyberhot.

  • Hotinformation

    För att få en heltäckande vy över landskapet för cyberhot använder SOC verktyg som syntetiserar och analyserar data från en mängd olika källor, inklusive ändpunkter, e-post, molnappar och externa källor för hotintelligens. Insikter från dessa data hjälper säkerhetsteam att förbereda sig för en cyberattack, identifiera aktiva cyberhot, undersöka pågående säkerhetsincidenter och reagera effektivt.

  • Identifiering och åtgärd på slutpunkt

    Lösningar för identifiering och åtgärd på slutpunkt (EDR) är en tidigare version av XDR-lösningar som bara fokuserar på slutpunkter, till exempel datorer, servrar, mobila enheter, IoT. Precis som med XDR-lösningar genererar dessa lösningar en avisering när en potentiell attack upptäcks och svarar automatiskt för vissa välförstådda attacker. Eftersom EDR-lösningar bara fokuserar på slutpunkter migrerar de flesta organisationer till XDR-lösningar.

  • Hantering av säkerhetsrisker

    Hantering av säkerhetsriskerHantering av säkerhetsrisker är en kontinuerlig, proaktiv och ofta automatiserad process som övervakar datorsystem, nätverk och företagsprogram för säkerhetsbrister. Lösningar för hantering av säkerhetsrisker utvärderar sårbarheter för allvarlighetsgrad och risknivå och tillhandahåller rapportering som SOC använder för att åtgärda problem.

  • Säkerhetsorkestrering, automatisering och hantering

    Lösningar för Säkerhetsorkestrering, automatisering och hanteringsäkerhetsorkestrering, automatisering och hantering (SOAR) lösningar hjälper till att förenkla identifiering och svar av cyberhot genom att sammanföra interna och externa data och verktyg på en central plats. De automatiserar också svar på cyberhot baserat på en uppsättning fördefinierade regler.

  • Hanterad identifiering och åtgärd

    Alla organisationer har inte resurser för att effektivt skydda och åtgärda cyberhot. Hanterad identifiering och åtgärdHanterad identifiering och åtgärd hjälper dessa organisationer att utöka sina säkerhetsteam med de verktyg och personer som krävs för att jaga hot och svara på lämpligt sätt.

Viktiga fördelar med identifiering och åtgärd av hot

Det finns flera sätt som effektiv identifiering och åtgärd av hot kan hjälpa en organisation att förbättra sin motståndskraft och minimera effekten av överträdelser.

  • Tidig identifiering av hot

    Att stoppa cyberhot innan de blir en fullständig överträdelse är ett viktigt sätt att avsevärt minska effekten av en incident. Med moderna verktyg för identifiering och åtgärd av hot och ett dedikerat team ökar SOC:erna chansen att de kommer att upptäcka hot tidigt när de är lättare att hantera.

  • Regelefterlevnad

    Länder och regioner fortsätter att följa strikta sekretesslagar som kräver att organisationer har robusta datasäkerhetsåtgärder på plats och en detaljerad process för att hantera säkerhetsincidenter. Företag som inte följer dessa regler får höga böter. Ett program för identifiering och åtgärd av hot hjälper organisationer att uppfylla kraven i dessa lagar.

  • Minskad uppehållstid

    Typiskt är de mest skadliga cyberattackerna från incidenter där cyberangripare tillbringade mest tid oupptäckt i en digital miljö. Att minska den tid som spenderas oupptäckt är avgörande för att begränsa skadan. Identifiering och åtgärd av hot som hotjakt hjälper SOC:er att snabbt fånga upp dessa dåliga aktörer och begränsa deras påverkan.

  • Ökad synlighet

    Verktyg för identifiering och åtgärd av hot, som SIEM och XDR, hjälper till att ge säkerhetsåtgärdsteam större insyn i deras miljö så att de inte bara identifierar hot snabbt utan även upptäcker potentiella sårbarheter, till exempel inaktuell programvara, som måste åtgärdas.

  • Skydd av känsliga data

    För många organisationer är data en av deras viktigaste tillgångar. Rätt verktyg och procedurer för identifiering och åtgärd av hot hjälper säkerhetsteam att fånga upp dåliga aktörer innan de får åtkomst till känsliga data, vilket minskar sannolikheten för att den här informationen blir offentlig eller säljs på den mörka webben.

  • Proaktiv säkerhetsstatus

    Identifiering och åtgärd av hot belyser också nya hot och belyser hur dåliga aktörer kan få åtkomst till ett företags digitala miljö. Med den här informationen kan SOC:er stärka organisationen och förhindra framtida attacker.

  • Kostnadsbesparingar

    En lyckad cyberattack kan vara mycket dyr för en organisation när det gäller de faktiska pengar som spenderas på lösensummor, regelavgifter eller återställningsåtgärder. Det kan också leda till förlorad produktivitet och försäljning. Genom att identifiera hot snabbt och åtgärda i de tidiga faserna av en cyberattack kan organisationer minska kostnaderna för säkerhetsincidenter.

  • Rykteshantering

    Ett uppmärksammat dataintrång kan orsaka stor skada på ett företags eller en myndighets rykte. Människor tappar tron på institutioner som de inte tycker gör ett bra jobb med att skydda personlig information. Identifiering och åtgärd av hot kan hjälpa till att minska sannolikheten för en nyhetsvärdig incident och försäkra kunder, medborgare och andra intressenter om att personlig information skyddas.

Metodtips för identifiering och åtgärd av hot

Organisationer som är effektiva vid identifiering och åtgärd av hot använder metoder som hjälper team att samarbeta och förbättra sin strategi, vilket leder till färre och mindre kostsamma cyberattacker.

  • Genomför regelbunden utbildning

    Även om SOC-teamet har det största ansvaret för att skydda en organisation har alla i ett företag en roll att spela. En majoritet av säkerhetsincidenterna börjar med att en anställd faller för en nätfiskekampanj eller använder en icke-godkänd enhet. Regelbunden utbildning hjälper personalen att hålla sig uppdaterad om möjliga hot, så att de kan meddela säkerhetsteamet. Ett bra utbildningsprogram ser också till att säkerhetspersonal håller sig uppdaterade om de senaste verktygen, principerna och procedurerna för hothantering.

  • Utveckla en plan för incidenthantering

    En säkerhetsincident är vanligtvis en stressande händelse som kräver att människor rör sig snabbt för att inte bara åtgärda och återställa utan för att ge relevanta intressenter korrekta uppdateringar. En plan för incidenthantering tar bort en del av gissningsarbetet genom att definiera lämpliga steg för inneslutning, utrotning och återhämtning. Den ger också vägledning till personalhanering, företagskommunikation, public relations, jurister och högre ledare som behöver se till att anställda och andra intressenter vet vad som pågår och att organisationen följer relevanta regleringar.

  • Uppmuntra till starkt samarbete

    Att ligga steget före nya hot och samordna ett effektivt svar kräver bra samarbete och kommunikation mellan säkerhetsteamets medlemmar. Individer måste förstå hur andra i teamet utvärderar hot, jämför anteckningar och arbetar tillsammans med potentiella problem. Samarbete omfattar även andra avdelningar i företaget som kanske kan hjälpa till att identifiera hot eller hjälpa till med åtgärden.

  • Distribuera AI

    AI för cybersäkerhetAI för cybersäkerhet syntetiserar data från hela organisationen och levererar insikter som hjälper teamen att fokusera sin tid och snabbt hantera incidenter. Moderna SIEM- och XDR-lösningar använder AI för att korrelera enskilda aviseringar till incidenter, vilket hjälper organisationer att upptäcka cyberhot snabbare. Vissa lösningar, till exempel Microsoft Defender XDR, använder AI för att automatiskt störa pågående cyberattacker. Generativ AI i lösningar som Microsoft Security Copilot hjälper SOC-team att snabbt undersöka och reagera på incidenter.

Lösningar för identifiering och åtgärd av hot

Identifiering och åtgärd av hot är en viktig funktion som alla organisationer kan använda för att hjälpa dem att hitta och åtgärda cyberhot innan de orsakar skada. Microsoft Security erbjuder flera lösningar för skydd mot hot som hjälper säkerhetsteam att övervaka, identifiera och reagera på cyberhot. För organisationer med begränsade resurser erbjuder Microsoft Defender Experts hanterade tjänster för att komplettera befintlig personal och verktyg.

Mer information om Microsoft Security

Enhetlig plattform för säkerhetsåtgärder

Skydda hela din digitala egendom med en enhetlig identifierings-, undersöknings- och åtgärdsupplevelse.

Mer information

Microsoft Defender XDR

Påskynda din åtgärd med synlighet på incidentnivå och automatisk avbrytning av attacker.

Mer information

Microsoft Sentinel

Se och stoppa cyberhot i hela företaget med intelligent säkerhetsanalys.

Mer information

Microsoft Defender Experts for XDR

Få hjälp med att stoppa angripare och förhindra framtida angrepp med en hanterad XDR-tjänst.

Mer information

Microsoft Defender – hantering av säkerhetsrisker

Minska cyberhot med kontinuerliga sårbarhetsbedömningar, riskbaserad prioritering och åtgärdande.

Mer information

Microsoft Defender för företag

Skydda ditt små eller medelstora företag mot cyberattacker, till exempel skadlig kod och utpressningstrojaner.

Mer information

Vanliga frågor och svar

  • Avancerad identifiering av hot omfattar de tekniker och verktyg som säkerhetspersonal använder för att upptäcka avancerade beständiga hot, som är sofistikerade hot som är utformade för att förbli oupptäckta under en längre tid. Dessa hot är ofta allvarligare och kan omfatta spionage eller datastöld.

  • De primära metoderna för identifiering av hot är säkerhetslösningar, såsom SIEM eller XDR, som analyserar aktivitet över miljön för att upptäcka tecken på kompromettering eller beteenden som avviker från vad som är förväntat. Människor arbetar med dessa verktyg för att sortera och svara på potentiella hot. De använder också XDR och SIEM för att söka efter sofistikerade angripare som kan undvika upptäckt.

  • Identifiering av hot är en process för att upptäcka potentiella säkerhetsrisker, inklusive aktivitet som kan tyda på att en enhet, programvara, nätverk eller identitet har komprometterats. Incidenthantering omfattar de steg som säkerhetsteamet och automatiserade verktyg vidtar för att begränsa och eliminera en cyberhot.

  • Processen för identifiering och åtgärd av hot inkluderar:

    • Upptäckt. Säkerhetsverktyg som övervakar slutpunkter, identiteter, nätverk, appar och moln hjälper dig att upptäcka risker och potentiella överträdelser. Säkerhetspersonal använder också tekniker för cyberhotsjakt för att försöka upptäcka nya cyberhot.
    • Undersökning. När en risk har identifierats använder människor AI och andra verktyg för att bekräfta att cyberhotet är verkligt, fastställer hur det inträffade och utvärdera vilka företagstillgångar som påverkas.
    • Inneslutning. För att stoppa spridningen av en cyberattack isolerar cybersäkerhetsteam infekterade enheter, identiteter och nätverk från resten av organisationens tillgångar.
    • Radering. Team eliminerar rotorsaken till en säkerhetsincident med målet att avlägsna angriparen helt från miljön och minimera sårbarheter som kan utgöra en risk för en liknande cyberattack i organisationen.
    • Återställning. Efter att teamen är rimligt övertygade om att ett cyberhot eller en sårbarhet har tagits bort tar de alla isolerade system online igen.
    • Rapport. Beroende på incidentens allvarlighetsgrad kommer säkerhetsteamen att dokumentera och informera ledare, chefer och/eller styrelsen om vad som hände och hur det löstes.
    • Riskreducering. För att förhindra att liknande intrång inträffar igen och för att förbättra svaret i framtiden studerar teamen incidenten och identifierar ändringar som ska göras i miljön och processerna.

  • Identifiering och åtgärd av hot (TDR) är en process för att identifiera cybersäkerhetshot mot en organisation och vidta åtgärder för att minimera dessa hot innan de gör verklig skada. Identifiering och åtgärd på slutpunkt (EDR) är en kategori av programvaruprodukter som övervakar en organisations slutpunkter för potentiella cyberattacker, exponerar dessa cyberhot till säkerhetsteamet och svarar automatiskt på vissa typer av cyberattacker.

Följ Microsoft 365