Delen via

Bedreigingsanalyse in Microsoft Defender

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Bedreigingsanalyse is een oplossing voor bedreigingsinformatie in het product van deskundige Beveiligingsonderzoekers van Microsoft. Het helpt beveiligingsteams efficiënt te blijven terwijl ze te maken krijgen met nieuwe bedreigingen, zoals:

  • Actieve bedreigingsactoren en hun campagnes
  • Populaire en nieuwe aanvalstechnieken
  • Kritieke beveiligingsproblemen
  • Veelvoorkomende kwetsbaarheid voor aanvallen
  • Bekende malware

U hebt toegang tot bedreigingsanalyses vanaf de linkerbovenhoek van de navigatiebalk van Microsoft Defender portal of vanaf een speciale dashboardkaart waarop de belangrijkste bedreigingen voor uw organisatie worden weergegeven, zowel wat betreft de bekende impact als uw blootstelling.

Schermopname van de landingspagina van bedreigingsanalyse

Als u inzicht krijgt in actieve of lopende campagnes en weet wat u moet doen via bedreigingsanalyse, kunt u uw beveiligingsteam voorzien van weloverwogen beslissingen.

Met geavanceerdere aanvallers en nieuwe bedreigingen die vaak en vaak voorkomen, is het essentieel om snel het volgende te kunnen doen:

  • Nieuwe bedreigingen identificeren en erop reageren
  • Meer informatie over of u momenteel wordt aangevallen
  • De impact van de bedreiging op uw assets beoordelen
  • Controleer uw tolerantie tegen of blootstelling aan de bedreigingen
  • Identificeer de risicobeperkings-, herstel- of preventieacties die u kunt ondernemen om de bedreigingen te stoppen of te beperken

Elk rapport biedt een analyse van een bijgehouden bedreiging en uitgebreide richtlijnen voor het beschermen tegen die bedreiging. Het bevat ook gegevens van uw netwerk, waarmee wordt aangegeven of de bedreiging actief is en of u over toepasselijke beveiligingen beschikt.

Vereiste rollen en machtigingen

Voor toegang tot Bedreigingsanalyse in de Defender-portal hebt u een licentie nodig voor ten minste één Microsoft Defender XDR product. Zie vereisten voor Microsoft Defender XDR voor meer informatie.

Opmerking

De Microsoft Defender voor Eindpunt P1-licentie vormt een uitzondering op deze vereiste en verleent geen toegang tot bedreigingsanalyse.

Microsoft Sentinel SIEM-klanten alleen toegang hebben tot bepaalde secties of tabbladen voor bedreigingsanalyse. Meer informatie

De volgende rollen en machtigingen zijn ook vereist voor toegang tot bedreigingsanalyse:

  • Basisbeginselen van beveiligingsgegevens (lezen): om bedreigingsanalyserapport, gerelateerde incidenten en waarschuwingen en beïnvloede assets weer te geven
  • Beheer van beveiligingsproblemen (lezen) en Blootstellingsbeheer (lezen): om gerelateerde blootstellingsgegevens en aanbevolen acties te bekijken

De toegang tot services die beschikbaar zijn in de Defender-portal wordt standaard gezamenlijk beheerd met behulp van Microsoft Entra globale rollen. Als u meer flexibiliteit en controle over toegang tot specifieke productgegevens nodig hebt en nog geen gebruik maakt van het Microsoft Defender XDR Unified role-based access control (RBAC) voor gecentraliseerd machtigingenbeheer, raden we u aan aangepaste rollen voor elke service te maken. Meer informatie over het maken van aangepaste rollen

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

U hebt inzicht in alle rapporten over bedreigingsanalyse, zelfs als u slechts een van de ondersteunde producten hebt. U hebt echter elk product en elke rol nodig om de specifieke incidenten, assets, blootstelling en aanbevolen acties van dat product in verband met de bedreiging te zien.

Het dashboard voor bedreigingsanalyse weergeven

Het dashboard bedreigingsanalyse (security.microsoft.com/threatanalytics3) markeert de rapporten die het meest relevant zijn voor uw organisatie. In de volgende secties worden de bedreigingen samengevat:

  • Meest recente bedreigingen: geeft een overzicht van de meest recent gepubliceerde of bijgewerkte bedreigingsrapporten, samen met het aantal actieve en opgeloste waarschuwingen.
  • Bedreigingen met een grote impact: geeft een overzicht van de bedreigingen die de grootste impact hebben op uw organisatie. In deze sectie worden bedreigingen met het hoogste aantal actieve en opgeloste waarschuwingen eerst vermeld.
  • Bedreigingen met de hoogste blootstelling: geeft een overzicht van bedreigingen waaraan uw organisatie het meest wordt blootgesteld. Uw blootstellingsniveau aan een bedreiging wordt berekend met behulp van twee soorten informatie: hoe ernstig de beveiligingsproblemen zijn die aan de bedreiging zijn gekoppeld en hoeveel apparaten in uw organisatie door deze beveiligingsproblemen kunnen worden misbruikt.

Schermopname van het dashboard bedreigingsanalyse,

Selecteer een bedreiging in het dashboard om het rapport voor die bedreiging weer te geven. U kunt ook het veld Zoeken selecteren om een trefwoord in te toetsen dat is gerelateerd aan het bedreigingsanalyserapport dat u wilt lezen.

Rapporten per categorie weergeven

U kunt de lijst met bedreigingsrapporten filteren en de meest relevante rapporten weergeven op basis van de volgende opties:

  • Bedreigingstags: helpen u bij het weergeven van de meest relevante rapporten op basis van een specifieke bedreigingscategorie. De tag Ransomware bevat bijvoorbeeld alle rapporten met betrekking tot ransomware.

    Het Microsoft Threat Intelligence-team voegt bedreigingstags toe aan elk bedreigingsrapport. De volgende bedreigingstags zijn momenteel beschikbaar:

    • Ransomware
    • Phishing
    • Activiteitsgroep
    • beveiligingsprobleem

  • Categorie: helpt u bij het weergeven van de meest relevante rapporten op basis van een specifiek rapporttype. De categorie Actor bevat bijvoorbeeld alle bedreigingsacteurprofielen. Meer informatie over de verschillende typen analistenrapport

Deze filters helpen u bij het efficiënt controleren van de lijst met bedreigingsrapport. U kunt bijvoorbeeld alle bedreigingsrapporten bekijken die betrekking hebben op de categorie ransomware of bedreigingsrapporten die betrekking hebben op beveiligingsproblemen.

Categorieën worden boven aan de pagina bedreigingsanalyse weergegeven. Tellers geven het aantal beschikbare rapporten onder elke categorie weer.

Schermopname van de typen bedreigingsanalyserapport.

Als u rapportfiltertypen wilt toevoegen in uw dashboard, selecteert u Filters, kiest u in de lijst en selecteert u Toevoegen.

Schermopname van de optie Filters toevoegen voor bedreigingsanalyse.

Als u de typen rapporten wilt instellen die u in de lijst wilt opnemen op basis van de beschikbare filters, selecteert u een filtertype (bijvoorbeeld Bedreigingstags), kiest u in de lijst en selecteert u Toepassen.

Schermopname van de lijst Filters in Bedreigingstags.

Een rapport over bedreigingsanalyse weergeven

Elk rapport over bedreigingsanalyse bevat informatie in verschillende secties:

Overzicht: Snel inzicht in de bedreiging, de impact ervan beoordelen en verdedigingen beoordelen

De sectie Overzicht biedt een voorbeeld van het gedetailleerde analistenrapport. Het biedt ook grafieken die de impact van de bedreiging voor uw organisatie en uw blootstelling via onjuist geconfigureerde en niet-gepatchte apparaten markeren.

Schermopname van de overzichtssectie van een rapport over bedreigingsanalyse.

Inzicht in de bedreiging en de tactieken, technieken en procedures

Elk rapport bevat de volgende details over een bedreiging, indien van toepassing of beschikbaar, zodat u snel kunt zien wat de bedreiging is en hoe deze van invloed kan zijn op uw organisatie:

  • Aliassen: geeft een lijst weer van de openbaar gemaakte namen die door andere beveiligingsleveranciers aan de bedreiging zijn gegeven
  • Oorsprong: toont het land of de regio waaruit de bedreiging afkomstig is
  • Gerelateerde informatie: geeft een lijst met andere rapporten voor bedreigingsanalyse die relevant zijn of gerelateerd zijn aan de bedreiging
  • Doelen: een lijst met landen of regio's en branches waarop de bedreiging van toepassing is
  • MITRE-aanvalstechnieken: geeft een overzicht van de waargenomen tactieken, technieken en procedures (TTLP's) van de bedreiging volgens het MITRE ATT-&CK-framework

Impact op uw organisatie beoordelen

Elk rapport bevat grafieken die zijn ontworpen om informatie te bieden over de organisatorische impact van een bedreiging:

  • Gerelateerde incidenten: biedt een overzicht van de impact van de bijgehouden bedreiging voor uw organisatie met de volgende gegevens:
    • Aantal actieve waarschuwingen en het aantal actieve incidenten waarmee ze zijn gekoppeld
    • Ernst van actieve incidenten
  • Waarschuwingen in de loop van de tijd: geeft het aantal gerelateerde actieve en opgeloste waarschuwingen in de loop van de tijd weer. Het aantal opgeloste waarschuwingen geeft aan hoe snel uw organisatie reageert op waarschuwingen die zijn gekoppeld aan een bedreiging. In het ideale geval worden in de grafiek waarschuwingen weergegeven die binnen enkele dagen zijn opgelost.
  • Beïnvloede assets: geeft het aantal afzonderlijke assets weer waarvoor momenteel ten minste één actieve waarschuwing is gekoppeld aan de bijgehouden bedreiging. Waarschuwingen worden geactiveerd voor postvakken die bedreigingsmails ontvangen. Controleer beleid op organisatie- en gebruikersniveau op onderdrukkingen die de levering van bedreigingsmails veroorzaken.

Beveiligingstolerantie en -houding controleren

Elk rapport bevat grafieken die een overzicht geven van hoe tolerant uw organisatie is tegen een bepaalde bedreiging:

  • Aanbevolen acties: toont het actiestatuspercentage of het aantal punten dat u hebt bereikt om uw beveiligingspostuur te verbeteren. Voer de aanbevolen acties uit om de bedreiging te verhelpen. U kunt de uitsplitsing van punten per categorie of status bekijken.
  • Blootstelling van eindpunten: toont het aantal kwetsbare apparaten. Beveiligingsupdates of patches toepassen om beveiligingsproblemen te verhelpen die door de bedreiging worden misbruikt.

Analistenrapport: Krijg deskundig inzicht van Microsoft-beveiligingsonderzoekers

In de sectie Analistenrapport kunt u de gedetailleerde deskundige beschrijving lezen. De meeste rapporten bevatten gedetailleerde beschrijvingen van aanvalsketens, waaronder tactieken en technieken die zijn toegewezen aan het MITRE ATT&CK-framework, uitgebreide lijsten met aanbevelingen en krachtige richtlijnen voor het opsporen van bedreigingen .

Meer informatie over het analistenrapport

Het tabblad Gerelateerde incidenten bevat een lijst met alle incidenten met betrekking tot de bijgehouden bedreiging. U kunt incidenten toewijzen of waarschuwingen beheren die aan elk incident zijn gekoppeld.

Schermopname van de sectie gerelateerde incidenten van een rapport over bedreigingsanalyse.

Opmerking

Incidenten en waarschuwingen die aan de bedreiging zijn gekoppeld, zijn afkomstig van Microsoft Defender voor Eindpunt, Microsoft Defender for Identity Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender voor cloud.

Betrokken assets: een lijst met betrokken apparaten, gebruikers, postvakken, apps en cloudresources ophalen

Op het tabblad Beïnvloede assets ziet u de assets die in de loop van de tijd door de bedreiging zijn beïnvloed. Het volgende wordt weergegeven:

  • Assets die worden beïnvloed door actieve waarschuwingen
  • Assets die worden beïnvloed door opgeloste waarschuwingen
  • Alle assets of het totale aantal assets dat wordt beïnvloed door actieve en opgeloste waarschuwingen

Assets worden onderverdeeld in de volgende categorieën:

  • Apparaten
  • Gebruikers
  • Postvakken
  • Apps
  • Cloudresources

Schermopname van de sectie met betrokken assets van een rapport over bedreigingsanalyse.

Blootstelling aan eindpunten: de implementatiestatus van beveiligingsupdates kennen

De sectie Blootstelling van eindpunten bevat het niveau van blootstelling van uw organisatie aan de bedreiging. Het blootstellingsniveau wordt berekend op basis van de ernst van de beveiligingsproblemen en onjuiste configuraties die door de bedreiging worden misbruikt, en het aantal apparaten met deze zwakke punten.

Deze sectie bevat ook de implementatiestatus van ondersteunde softwarebeveiligingsupdates voor beveiligingsproblemen die zijn gevonden op onboarded apparaten. Het bevat gegevens van Microsoft Defender Vulnerability Management, die ook gedetailleerde inzoominformatie biedt via verschillende koppelingen in het rapport.

De sectie Blootstelling van eindpunten van een rapport voor bedreigingsanalyse

Bekijk op het tabblad Aanbevolen acties de lijst met specifieke bruikbare aanbevelingen waarmee u de tolerantie van uw organisatie tegen de bedreiging kunt vergroten. De lijst met bijgehouden risicobeperkingen bevat ondersteunde beveiligingsconfiguraties, zoals:

  • Cloudbeveiliging
  • Mogelijk ongewenste toepassingsbeveiliging (PUA)
  • Realtime-beveiliging

De sectie Aanbevolen acties van een rapport over bedreigingsanalyse met details van beveiligingsproblemen

Indicatoren: specifieke infrastructuur en bewijs achter de bedreiging weergeven (preview)

Het tabblad Indicatoren bevat een lijst met alle indicatoren van inbreuk (IOC's) die zijn gekoppeld aan de bedreiging. Microsoft-onderzoekers werken deze IOC's in realtime bij wanneer ze nieuw bewijs vinden met betrekking tot de bedreiging. Deze informatie helpt uw Security Operations Center (SOC) en bedreigingsinformatieanalisten met herstel en proactieve opsporing. In de lijst blijven ook verlopen IOC's behouden, zodat u eerdere bedreigingen kunt onderzoeken en de impact ervan in uw omgeving kunt begrijpen.

Schermopname van het tabblad Indicatoren in een rapport over bedreigingsanalyse.

Belangrijk

Alleen geverifieerde klanten hebben toegang tot de informatie op het tabblad Indicatoren . Als u geen toegang hebt tot deze informatie, moet u uw tenant verifiëren. Meer informatie over toegang krijgen tot IOC's

Blijf op de hoogte met de nieuwste rapporten en bedreigingsinformatie

Bedreigingsanalyse maakt gebruik van en integreert verschillende Microsoft Defender en Microsoft Security Copilot functies om u en uw SOC-team op de hoogte te houden wanneer er een nieuw rapport of nieuw stukje bedreigingsinformatie beschikbaar komt dat relevant is voor uw omgeving.

De bedreigingsinformatiebriefingsagent instellen

Stel de Threat Intelligence Briefing Agent in om tijdige, relevante bedreigingsinformatierapporten te verkrijgen met gedetailleerde technische analyse op basis van de meest recente activiteit van bedreigingsacteur en zowel interne als externe blootstelling aan beveiligingsproblemen. De agent correleert microsoft-bedreigingsgegevens en klantsignalen om binnen enkele minuten kritieke context toe te voegen aan bedreigingsinformatie, waardoor analistenteams uren of zelfs dagen besparen die zijn besteed aan het verzamelen en correleren van informatie.

Zodra de bedreigingsinformatie-agent is geïmplementeerd, wordt deze weergegeven als een banner boven aan de pagina Bedreigingsanalyse.

Schermopname van de banner Threat Intelligence Briefing Agent boven op de pagina Bedreigingsanalyse.

Meer informatie over de Threat Intelligence Briefing Agent

Aangepaste detectieregels instellen en deze koppelen aan rapporten voor bedreigingsanalyse. Als deze regels worden geactiveerd en een waarschuwing een incident genereert, wordt het rapport weergegeven in dat incident en wordt het incident weergegeven op het tabblad Gerelateerde incidenten , net als elke andere door Microsoft gedefinieerde detectie.

Schermopname van de instellingspagina voor aangepaste detectie met de optie Bedreigingsanalyse gemarkeerd.

Meer informatie over het maken en beheren van aangepaste detectieregels

E-mailmeldingen instellen voor rapportupdates

E-mailmeldingen instellen waarmee u updates voor bedreigingsanalyserapporten ontvangt. Als u e-mailmeldingen wilt maken, volgt u de stappen in e-mailmeldingen ophalen voor updates voor bedreigingsanalyse in Microsoft Defender XDR.

Andere rapportdetails en beperkingen

Wanneer u de bedreigingsanalysegegevens bekijkt, moet u rekening houden met de volgende factoren:

  • In de controlelijst op het tabblad Aanbevolen acties worden alleen aanbevelingen weergegeven die zijn bijgehouden in Microsoft Secure Score. Controleer het tabblad Analistenrapport op meer aanbevolen acties die niet worden bijgehouden in Beveiligingsscore.
  • De aanbevolen acties garanderen geen volledige tolerantie en weerspiegelen alleen de best mogelijke acties die nodig zijn om deze te verbeteren.
  • Antivirusgerelateerde statistieken zijn gebaseerd op Microsoft Defender Antivirus-instellingen.
  • In de kolom Onjuist geconfigureerde apparaten op de hoofdpagina Bedreigingsanalyse ziet u het aantal apparaten dat wordt beïnvloed door een bedreiging wanneer de gerelateerde aanbevolen acties van de bedreiging niet zijn ingeschakeld. Als Microsoft-onderzoekers echter geen aanbevolen acties koppelen, wordt in de kolom Onjuist geconfigureerde apparaten de status Niet beschikbaar weergegeven.
  • In de kolom Kwetsbare apparaten op de hoofdpagina bedreigingsanalyse wordt het aantal apparaten met software weergegeven dat kwetsbaar is voor een van de beveiligingsproblemen die aan de bedreiging zijn gekoppeld. Als Microsoft-onderzoekers echter geen beveiligingsproblemen koppelen, wordt in de kolom Kwetsbare apparaten de status Niet beschikbaar weergegeven.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on