Security

Microsoft Defender HVA Protection Blocks Critical Attacks

3 мин. чтения

Кратко

Microsoftала, как Microsoft Defenderует-awareness для обнаружения и остановки атак на контроллерыенов, веб-серверы и инфраструктуру идентификации. Сочетая контекст Security Management, дифференцированные детектирования и автомат disruption, Defender повышать уровень защиты активов Tier-0 и снижать масштаб последствий сложныхновений.

Нужна помощь с Security?Поговорить с экспертом

Введение

Ц активы (HVA), такие как контроллеры доменов, системы идентификации и критически важные для бизнеса серверы, остаются приоритетными целями в современных атаках. Послед рекомендации Microsoft показывают, как Microsoft Defender добавляет защиту с учетом типа актива, чтобы команды безопасности могли лучше выявлять рискованнуюность системах, которые наиболее важны.

Что нового в Microsoft Defender HVA protection

Microsoft объяснила, как Defender усиливает защит критической инфраструктуры, используя контекст из Microsoft Security Exposure Management. Вместо одинакового подхода всем endpoint-устройствам Defender корректирует обнаружение и предотвращение на основе роли и чувствительности каждого актива.

Ключевые возможности, которые были выделены:

Авическое определение HVA в on-premises, hybrid и cloud-средах

  • Классификация активов и построение exposure graph для устройств, identities, cloudресурсов и внешних поверхностей атаки
  • **Role-aware anomaly detection которая изучает нормальное поведение критических систем
  • Endpoint-защита, настроенная для актив Tier-0, где небольшие сигналы могут указывать на серьезный компромисс
  • Автомат attack disruption для сдерживания активных угроз до их распространения

Реальный сценарий атаки

Microsoft поделилась реальной цепочкой атаки которая началась с internet-facing сервера, затем перемещалась по среде lateral movement и в конечном итоге достигла контроллера домена. Злоумышленник использовал relay-техники и привилегированный доступ для попытки извлечения базы данных Active Directory DS.DIT с помощью ntdsutil.exe.

На стандартном сервере некоторые из наблюдаемых действий могли бы выглядеть как административные. Но поскольку Defender распознал целевой узел как контроллер домена, онценил поведение как высокорисковое. По данным Microsoft, Defender заблокировал команду и запустил automated attack disruption, включая отключение скомпромированной учетной записи Domain.

Почему это важно для IT- и security-команд

Это обновление подтверждает важныйческий принцип безопасности: не все активы должны защищаться одинаково. Контроллеры доменов, certificate authorities, Exchange, SharePoint и identity infrastructure имеют значительно более высокий уровень влияния в случае компрометации.

Для администраторов преимущество заключается в улучшении качества сигналов. Defender может приоритизировать предупреждения и решения по предотвращению, используя бизнес- и security-роль актива, что помогает снизить число false negatives на критических системах.

Рекомендуемые следующие шаги

Командам безопасности следует проверить, что наиболее критичные активы правильно идентифицированы и защищены с помощью Microsoft Defender и Security Exposure Management.

Рекомендуемые действия:

  • Убедитесь, что контроллеры доменов и системы идентификации помечены или распознаны как критические активы
  • Просмотрите attack paths и данные об exposure для инфраструктуры Tier-0
  • Проверьте административные инструменты и скрипты, запускаемые на критических серверах
  • Подтвердите, что функции automated attack disruption включены там, где они поддерживаются
  • Пересмотрите мониторинг internet-facing серверов, которые могут стать точкой первоначального доступа

Организациям, использующим Microsoft Defender, следует рассматривать HVA-aware protection как ключевую часть стратегии защиты identity- и infrastructure-среды, особенно на фоне того, что злоумышленники продолжают нацеливаться на системы с наибольшим операционным влиянием.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft Defenderhigh-value assetsSecurity Exposure Managementdomain controllersattack disruption

Похожие статьи

Security

{{Безопасность идентификации в Microsoft Entra: RSAC 2026}}

{{Microsoft позиционирует безопасность идентификации как единую плоскость управления, объединяющую инфраструктуру идентификации, решения по доступу и защиту от угроз в реальном времени. На RSAC 2026 компания представила новые возможности Microsoft Entra и Defender, включая панель мониторинга безопасности идентификации, унифицированную оценку риска идентичностей и адаптивное устранение рисков, чтобы помочь организациям сократить фрагментацию и быстрее реагировать на атаки, основанные на идентичностях.}}

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.