This is the Trace Id: 9953e4514715ce6135a5875b0acf20b5
Přeskočit na hlavní obsah Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobrazit všechny produkty Kybernetická bezpečnost využívající AI Zabezpečení cloudu Zabezpečení dat a zásady správného řízení Identita a přístup k síti Ochrana osobních údajů a řízení rizik Zabezpečení pro AI Malé a střední firmy Sjednocené operace zabezpečení Nulová důvěra (Zero Trust) Ceny Služby Partneři Proč zabezpečení od Microsoftu? Zvyšování povědomí o kybernetické bezpečnosti Příběhy zákazníků Security 101 Zkušební verze produktů Uznání v oboru Microsoft Security Insider Zpráva Microsoft Digital Defense Report Security Response Center Blog o zabezpečení od Microsoftu Akce Microsoftu zaměřené na zabezpečení Microsoft Tech Community Dokumentace Knihovna technického obsahu Výuka a certifikace Program dodržování předpisů pro Microsoft Cloud Centrum zabezpečení Microsoftu Service Trust Portal Microsoft Iniciativa za bezpečnou budoucnost Centrum podnikových řešení Kontaktovat obchodní oddělení Začít používat bezplatnou zkušební verzi Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Hybridní realita Microsoft HoloLens Microsoft Viva Kvantové výpočetní prostředky Udržitelnost Vzdělávání Automobilový průmysl Finanční služby Státní správa Zdravotní péče Výroba Maloobchod Najít partnera Staňte se partnerem Partnerská síť Microsoft Marketplace Společnosti vyvíjející software Blog Microsoft Advertising Středisko pro vývojáře Dokumentace Události Licencování Microsoft Learn Microsoft Research Zobrazit mapu stránek

Co jsou indikátory ohrožení (IOC)?

Naučte se monitorovat, identifikovat a používat indikátory ohrožení a reagovat na ně.

Objevte Analýzu hrozeb v programu Microsoft Defender

Vysvětlení indikátorů ohrožení

Indikátory ohrožení (IOC) jsou důkazem toho, že někdo mohl narušit síť nebo koncový bod organizace. Tato forenzní data nesignalizují pouze potenciální hrozbu, ale i to, že k útoku, jako je napadení malwarem, zneužití přihlašovacích údajů nebo exfiltrace dat, již došlo. Odborníci na zabezpečení hledají indikátory ohrožení v protokolech událostí, v řešeních pro rozšířenou detekci a reakci (XDR) a v řešeních pro správu akcí a informací o zabezpečení (SIEM). Během útoku tým používá indikátory ohrožení k eliminaci hrozby a zmírnění škod. Po zotavení pomáhají indikátory ohrožení organizaci lépe pochopit, co se stalo, aby mohl bezpečnostní tým organizace posílit zabezpečení a snížit riziko dalšího podobného incidentu. 

Příklady indikátorů ohrožení

V rámci zabezpečení pomocí indikátorů ohrožení monitoruje IT oddělení prostředí a hledá v něm následující signály, které by mohly naznačovat, že probíhá útok:

Anomálie síťového provozu

Ve většině organizací existují konzistentní vzorce vstupního a výstupního síťového provozu v digitálním prostředí. Pokud dojde ke změně v porovnání s těmito vzorci provozu, například pokud z organizace odchází výrazně více dat nebo pokud se objeví aktivita z neobvyklého místa v síti, může se jednat o příznak útoku.

Neobvyklé pokusy o přihlášení

Stejně jako síťový provoz jsou předvídatelné i pracovní návyky uživatelů. Obvykle se přihlašují ze stejných míst a zhruba ve stejnou dobu v průběhu týdne. Odborníci na zabezpečení mohou odhalit napadený účet tak, že budou věnovat pozornost přihlášením v neobvyklou denní dobu nebo z neobvyklých zeměpisných oblastí, například ze země či oblasti, kde organizace nemá svou pobočku. Je také důležité si všímat vícenásobných neúspěšných přihlášení ze stejného účtu. Přestože uživatelé často zapomínají hesla nebo mívají potíže s přihlášením, většinou se jim podaří problém po několika pokusech vyřešit. Opakované neúspěšné pokusy o přihlášení mohou naznačovat, že se někdo snaží získat přístup do organizace pomocí odcizeného účtu. 

Nesrovnalosti privilegovaného účtu

Mnoho útočníků, ať už z řad interních, nebo externích uživatelů, usiluje o přístup k účtům pro správu a získání citlivých dat. Neobvyklé chování spojené s těmito účty, například pokusy o zvýšení úrovně oprávnění, může být známkou narušení zabezpečení.

Změny konfigurací systémů

Malware je často naprogramován tak, aby prováděl změny v konfiguracích systémů, například povolil vzdálený přístup nebo vypnul zabezpečovací software. Monitorováním těchto neočekávaných změn konfigurace mohou odborníci na zabezpečení odhalit narušení dříve, než dojde k příliš velkým škodám.

Neočekávané instalace nebo aktualizace softwaru

Mnoho útoků začíná instalací softwaru, například malwaru nebo ransomwaru, jehož cílem je znepřístupnit soubory nebo umožnit útočníkům přístup do sítě. Monitorováním neplánovaných instalací a aktualizací softwaru mohou organizace tyto indikátory ohrožení rychle zachytit. 

Mnoho žádostí o stejný soubor

Opakované žádosti o jeden soubor mohou naznačovat, že se ho uživatel se zlými úmysly pokouší odcizit a vyzkoušel několik způsobů, jak ho získat.

Neobvyklé žádosti DNS

Někteří uživatelé se zlými úmysly používají metodu útoku Command and Control. Na server organizace nainstalují malware, který vytvoří připojení k serveru, který vlastní. Ze svého serveru pak odesílají příkazy do infikovaného počítače a snaží se zcizit data nebo narušit provoz. Neobvyklé žádosti DNS (Domain Name System) pomáhají IT oddělení tyto útoky odhalit.

Jak identifikovat indikátory ohrožení

Příznaky digitálních útoků se zaznamenávají do souborů protokolu. V rámci zajišťování kybernetické bezpečnosti pomocí indikátorů ohrožení týmy pravidelně monitorují podezřelé aktivity v digitálních systémech. Moderní řešení SIEM a XDR tento proces zjednodušují pomocí algoritmů umělé inteligence a strojového učení, které stanoví základní úroveň toho, co je v organizaci normální, a následně upozorňují tým na anomálie. Důležité je také zapojit zaměstnance, kteří nemají přímo na starosti zabezpečení a kteří mohou obdržet podezřelé e-maily nebo si omylem stáhnout infikovaný soubor. Vhodné programy školení v oblasti zabezpečení pomáhají pracovníkům lépe odhalovat nebezpečné e-maily a nabízejí jim způsoby, jak nahlásit cokoli, co se jim nezdá být v pořádku.

Proč jsou indikátory ohrožení důležité

Monitorování indikátorů ohrožení má zásadní význam pro snížení bezpečnostního rizika organizace. Včasná detekce indikátorů ohrožení umožňuje bezpečnostním týmům rychle reagovat na případné útoky a řešit je, čímž se snižuje množství výpadků a narušení provozu. Pravidelné monitorování také poskytuje týmům lepší přehled o ohroženích zabezpečení organizace, jejichž dopady lze následně zmírnit.

Reagování na indikátory ohrožení

Jakmile bezpečnostní týmy identifikují indikátor ohrožení, musí na něj účinně reagovat, aby organizaci způsobily co nejmenší škody. Díky následujícím krokům se organizace dokážou maximálně soustředit a co nejrychleji zastavovat hrozby:

Vytvoření plánu reakce na incidenty

Reakce na incident je stresující a časově náročná, protože čím déle zůstávají útočníci neodhaleni, tím je pravděpodobnější, že dosáhnou svého cíle. Řada organizací si vytváří plán reakce na incidenty, který týmům pomáhá v kritických fázích reakce. Plán popisuje, jak organizace definuje incident, role a odpovědnosti, kroky potřebné k vyřešení incidentu a to, jak by měl tým komunikovat se zaměstnanci a externími zainteresovanými stranami. 

Izolování napadených systémů a zařízení

Jakmile organizace identifikuje hrozbu, bezpečnostní tým rychle izoluje napadené aplikace nebo systémy od ostatních sítí. To pomáhá zabránit útočníkům v přístupu do dalších částí firmy.

Provádění forenzní analýzy

Forenzní analýza pomáhá organizacím odhalit všechny aspekty narušení, včetně zdroje, typu útoku a cílů útočníka. Analýza se provádí v průběhu útoku, aby se zjistil rozsah napadení. Jakmile se organizace z útoku zotaví, další analýza pomůže týmu pochopit možné ohrožení zabezpečení a získat další přehledy.

Eliminování hrozby

Tým odstraní útočníka a případný malware z postižených systémů a prostředků, což může zahrnovat vyřazení systémů z provozu.

Implementace vylepšení zabezpečení a procesů

Jakmile se organizace z incidentu zotaví, je důležité vyhodnotit, proč k útoku došlo a zda mu organizace nemohla nějak předejít. Může jít o jednoduchá vylepšení procesů a zásad, která sníží riziko podobného útoku v budoucnu, případně může tým identifikovat dlouhodobější řešení, která se doplní do plánu zabezpečení.

Řešení IOC

Většina narušení zabezpečení zanechává forenzní stopy v souborech protokolů a systémech. Naučit se identifikovat a monitorovat tyto indikátory ohrožení pomáhá organizacím rychle izolovat a eliminovat útočníky. Mnoho týmů volí řešení SIEM, například Microsoft Sentinel a Microsoft Defender XDR, která využívají umělou inteligenci a automatizaci k odhalování indikátorů ohrožení a jejich korelaci s dalšími událostmi. Plán reakce na incidenty umožňuje týmům předvídat útoky a rychle je zastavit. Z hlediska kybernetické bezpečnosti platí, že čím rychleji společnosti pochopí, co se děje, tím větší je pravděpodobnost, že útok zastaví dříve, než jim způsobí finanční ztráty nebo poškodí pověst. Zabezpečení pomocí indikátorů ohrožení je klíčem k tomu, aby organizace snížily riziko nákladného narušení zabezpečení.

Další informace o zabezpečení od Microsoftu

Microsoft Threat Protection

Identifikujte incidenty ve vaší organizaci a reagujte na ně pomocí nejnovější ochrany před hrozbami.

Další informace

Microsoft Sentinel

Odhalujte sofistikované hrozby a reagujte na ně rázně pomocí výkonného cloudového řešení SIEM.

Další informace

Microsoft Defender XDR

Zastavujte útoky napříč koncovými body, e-maily, identitami, aplikacemi a daty pomocí řešení XDR.

Další informace

Komunita analýzy hrozeb

Získejte nejnovější aktualizace z Analýzy hrozeb v programu Microsoft Defender v edici Community Edition.

Další informace

Časté otázky

  • Existuje několik typů indikátorů ohrožení. Mezi nejběžnější patří:

    • Anomálie síťového provozu
    • Neobvyklé pokusy o přihlášení
    • Nesrovnalosti privilegovaného účtu
    • Změny konfigurací systému
    • Neočekávané instalace nebo aktualizace softwaru
    • Mnoho žádostí o stejný soubor
    • Neobvyklé žádosti DNS

  • Indikátor ohrožení je digitálním důkazem o tom, že už došlo k útoku. Indikátor útoku je důkazem, že k útoku pravděpodobně dojde. Indikátorem útoku je například phishingová kampaň, protože neexistuje žádný důkaz, že se útočníkovi podařilo do společnosti proniknout. Pokud však někdo klikne na phishingový odkaz a stáhne si malware, je jeho instalace indikátorem ohrožení.

  • Mezi indikátory ohrožení v e-mailu patří náhlý příval spamu, podivné přílohy nebo odkazy nebo nečekaný e-mail od známé osoby. Pokud například zaměstnanec pošle kolegovi e-mail s podezřelou přílohou, může to znamenat, že jeho účet byl napaden.

  • Ohrožený systém lze poznat různými způsoby. Změna síťového provozu z určitého počítače může být indikátorem jeho napadení. Pokud k systému začne pravidelně přistupovat osoba, která ho obvykle nepotřebuje, je to varovný signál. To, že byl systém napaden, mohou naznačovat také změny konfigurace systému nebo neočekávaná instalace softwaru. 

  • Tři příklady indikátorů ohrožení:

    • Uživatelský účet ze Severní Ameriky se začne přihlašovat k prostředkům společnosti z Evropy.
    • Tisíce žádostí o přístup k několika uživatelským účtům, což naznačuje, že se organizace stala obětí útoku hrubou silou.
    • Nové žádosti DNS pocházející z nového hostitele nebo ze země/oblasti, kde nemají sídlo ani bydliště zaměstnanci a zákazníci.

Sledujte zabezpečení od Microsoftu

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot pro organizace Copilot pro osobní používání Microsoft 365 Prohlédnout produkty Microsoft Profil účtu Centrum stahování Podpora pro Microsoft Store Vrácení Sledování objednávky Recyklace Commercial Warranties Microsoft Education Zařízení pro vzdělávání Microsoft Teams pro vzdělávání Microsoft 365 Education Office Education Vzdělávání a rozvoj pedagogů Akce pro studenty a rodiče Azure pro studenty
Microsofts kunstige intelligens Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft pro vývojáře Microsoft Learn Podpora aplikací s umělou inteligenci v obchodě Marketplace Odborná komunita Microsoft Microsoft Marketplace Microsoft Power Platform Společnosti vyvíjející software Visual Studio Kariéra Novinky u společnosti Microsoft a ochrana osobních údajů Investoři
Čeština (Česko)
Ikona nesouhlasu s volbami ochrany osobních údajů Vaše volby ochrany osobních údajů
Ochrana osobních údajů spotřebitele ve zdravotnictví Kontaktovat Microsoft Ochrana osobních údajů Spravovat soubory cookie Podmínky používání Ochranné známky O našich reklamách EU Compliance DoCs