Security

{{Microsoft Defender HVA zaštita blokira napade}}

3 min čitanja

Sažetak

{{Microsoft je objavio kako Microsoft Defender koristi svest o high-value asset resursima da otkrije i zaustavi napade usmerene na domain controllers, web servere i identity infrastrukturu. Kombinovanjem konteksta iz Security Exposure Management, diferenciranih detekcija i automatizovanog ometanja napada, Defender može da podigne nivo zaštite za Tier-0 resurse i smanji domet sofisticiranih upada.}}

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

{{## Uvod High-value assets (HVA) kao što su domain controllers, identity sistemi i poslovno kritični serveri ostaju primarne mete u savremenim napadima. Najnovije Microsoft smernice pokazuju kako Microsoft Defender dodaje zaštitu zasnovanu na svesti o resursima, kako bi security timovi mogli bolje da otkriju rizične aktivnosti na sistemima koji su najvažniji.

Šta je novo u Microsoft Defender HVA zaštiti

Microsoft je objasnio kako Defender jača zaštitu kritične infrastrukture korišćenjem konteksta iz Microsoft Security Exposure Management. Umesto da tretira sve endpoint uređaje isto, Defender prilagođava detekciju i prevenciju na osnovu uloge i osetljivosti svakog resursa.

Istaknute ključne mogućnosti uključuju:

  • Automatsku identifikaciju HVA resursa u on-premises, hybrid i cloud okruženjima
  • Klasifikaciju resursa i mapiranje izloženosti za uređaje, identitete, cloud resurse i spoljne attack surface oblasti
  • Detekciju anomalija zasnovanu na ulozi resursa koja uči normalno ponašanje kritičnih sistema
  • Endpoint zaštite podešene za Tier-0 resurse gde mali signali mogu ukazivati na veliki kompromis
  • Automatsko ometanje napada radi zadržavanja aktivnih pretnji pre nego što se prošire

Scenario napada iz prakse

Microsoft je podelio stvarni lanac napada koji je započeo na serveru izloženom internetu, lateralno se kretao kroz okruženje i na kraju stigao do domain controller servera. Napadač je koristio relay tehnike i privilegovani pristup da pokuša izdvajanje NTDS.DIT Active Directory baze pomoću ntdsutil.exe.

Na standardnom serveru, neke od uočenih radnji mogle bi delovati kao administrativne. Ali pošto je Defender prepoznao cilj kao domain controller, takvo ponašanje je tretirao kao visokorizično. Prema Microsoft-u, Defender je blokirao komandu i pokrenuo automatizovano ometanje, uključujući onemogućavanje kompromitovanog Domain Admin naloga.

Zašto je ovo važno za IT i security timove

Ovo ažuriranje dodatno potvrđuje praktičan bezbednosni princip: ne treba svaki resurs štititi na isti način. Domain controllers, certificate authorities, Exchange, SharePoint i identity infrastruktura imaju znatno veći uticaj ako budu kompromitovani.

Za administratore, prednost je bolji kvalitet signala. Defender može da daje prioritet alertovima i odlukama o prevenciji koristeći poslovnu i bezbednosnu ulogu resursa, što pomaže da se smanji broj propuštenih detekcija na kritičnim sistemima.

Preporučeni sledeći koraci

Security timovi bi trebalo da provere da li su njihovi najkritičniji resursi pravilno identifikovani i obuhvaćeni kroz Microsoft Defender i Security Exposure Management.

Preporučene aktivnosti:

  • Proverite da li su domain controllers i identity sistemi označeni ili prepoznati kao kritični resursi
  • Pregledajte attack path putanje i podatke o izloženosti za Tier-0 infrastrukturu
  • Istražite administrativne alate i skripte koje se izvršavaju na kritičnim serverima
  • Potvrdite da su funkcije automatskog ometanja napada omogućene tamo gde su podržane
  • Ponovo procenite nadzor servera izloženih internetu koji mogu postati početne tačke pristupa

Organizacije koje koriste Microsoft Defender treba da tretiraju HVA-aware zaštitu kao ključni deo svoje strategije odbrane identiteta i infrastrukture, posebno dok napadači nastavljaju da ciljaju sisteme sa najvećim operativnim uticajem.}}

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft Defenderhigh-value assetsSecurity Exposure Managementdomain controllersattack disruption

Povezani članci

Security

{{Bezbednost identiteta u Microsoft Entra: RSAC 2026}}

Microsoft pozicionira bezbednost identiteta kao objedinjenu kontrolnu ravan koja u realnom vremenu kombinuje infrastrukturu identiteta, odluke o pristupu i zaštitu od pretnji. Na RSAC 2026, kompanija je najavila nove mogućnosti za Microsoft Entra i Defender, uključujući kontrolnu tablu za bezbednost identiteta, objedinjeno ocenjivanje rizika identiteta i adaptivnu sanaciju rizika kako bi organizacijama pomogla da smanje fragmentaciju i brže odgovore na napade zasnovane na identitetu.

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.