Cos’è Deception in Defender per gli Endpoint?
Deception è una funzionalità incorporata in Microsoft Defender XDR. Le tecnologie di deception (inganno) creano una superficie artificiale di attacco informatico all’interno della rete composta da credenziali/host falsi e decoys (esche) che sembrano risorse di alto valore. L’obiettivo finale è ingannare gli aggressori spingendoli a utilizzare le risorse sensibili.
L’utilizzo di queste risorse fake porterà a rilevamenti nel portale Defender XDR. Vi saranno, quindi, segnalazioni già dalle prime fasi dell’attacco, durante i tentativi di furto e scoperta delle credenziali. Comunemente gli aggressori utilizzano LSASS (Local Security Authority Subsystem Service) e dump della cache DNS locale per trovare host e credenziali interessanti.
Gli elementi essenziali sono i Decoys ovvero dispositivi e account falsi che sembrano appartenere alla rete e i Lures, contenuti falsi su dispositivi o account specifici e vengono usati per attirare un utente malintenzionato.
Il contenuto può essere un documento, un file di configurazione, credenziali memorizzate nella cache o qualsiasi altro con cui un utente malintenzionato può leggere, rubare o interagire. I Lures imitano importanti informazioni aziendali, impostazioni o credenziali.
Esistono due tipologie distinte di Lures:
– di base: documenti, file di collegamento e simili che non hanno alcuna interazione o minima con l’ambiente del cliente.
– avanzati: contenuti come credenziali memorizzate nella cache e intercettazioni che rispondono o interagiscono con l’ambiente del cliente. Ad esempio, gli utenti malintenzionati potrebbero interagire con le credenziali di decodifica inserite nelle risposte alle query di Active Directory, che possono essere usate per accedere.
Quando un’esca è individuata (per esempio dall’attaccante) un Incident (taggato come Deception) viene creato in Defender XDR.
Prerequisiti
Attualmente, la funzionalità è supportata solo per gli endpoint Windows. Gli altri requisiti essenziali, che permettono a Defender di utilizzare le esche, sono i seguenti:
– Defender XDR deve essere la soluzione EDR principale
– Automated investigation and response devono essere configurati e abilitati
– I dispositivi devono essere joined o hybrid joined in Microsoft Entra ID
– PowerShell deve essere abilitato
– Deception è supportato a partire da Windows 10 RS5
In termini di licensing è necessaria una di queste sottoscrizioni:
– Microsoft 365 E5
– Microsoft Security E5
– Microsoft Defender for Endpoint Plan 2
Come abilitare Deception
La funzionalità è disabilitata di default, va quindi attivata:
– Selezionare Settings > Endpoints
– Alla voce General, selezionare Advanced features
– Impostare Deception su On
Quando è attivata la funzionalità viene automaticamente abilitata una regola predefinita su tutti i dispositivi client Windows.
Le regole possono essere configurate tramite Settings > Endpoints > Deception. Per impostazione predefinita viene generata la regola con il nome “Default Rule“.
E’ importante tenere conto che ogni modifica può richiedere alcune ore per essere propagata.
Maggiori informazioni su Microsoft Learn