Udostępnij przez

Analiza zagrożeń w Microsoft Defender

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Analiza zagrożeń to rozwiązanie do analizy zagrożeń w produkcie od ekspertów badaczy zabezpieczeń firmy Microsoft. Pomaga zespołom ds. zabezpieczeń zachować wydajność w obliczu pojawiających się zagrożeń, takich jak:

  • Aktywni aktorzy zagrożeń i ich kampanie
  • Popularne i nowe techniki ataków
  • Krytyczne luki w zabezpieczeniach
  • Typowe powierzchnie ataków
  • Powszechnie stosowane złośliwe oprogramowanie

Dostęp do analizy zagrożeń można uzyskać z lewej górnej strony paska nawigacyjnego portalu Microsoft Defender lub z dedykowanej karty pulpitu nawigacyjnego, która pokazuje najważniejsze zagrożenia dla organizacji, zarówno pod względem znanego wpływu, jak i ekspozycji.

Zrzut ekranu przedstawiający stronę docelową analizy zagrożeń

Uzyskanie wglądu w aktywne lub trwające kampanie i wiedza o tym, co robić za pośrednictwem analizy zagrożeń, może pomóc w wyposażeniu zespołu ds. operacji zabezpieczeń w świadome decyzje.

Z bardziej zaawansowanych przeciwników i nowych zagrożeń pojawiających się często i powszechnie, ważne jest, aby móc szybko:

  • Identyfikowanie pojawiających się zagrożeń i reagowanie na nie
  • Dowiedz się, czy jesteś obecnie atakowany
  • Ocena wpływu zagrożenia na zasoby
  • Przejrzyj odporność na zagrożenia lub narażenie na nie
  • Identyfikowanie działań zaradczych, odzyskiwania lub zapobiegania, które można podjąć w celu zatrzymania lub ograniczenia zagrożeń

Każdy raport zawiera analizę śledzonych zagrożeń i obszerne wskazówki dotyczące sposobu obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazujące, czy zagrożenie jest aktywne i czy masz odpowiednie zabezpieczenia.

Wymagane role i uprawnienia

Aby uzyskać dostęp do analizy zagrożeń w portalu usługi Defender, potrzebujesz licencji na co najmniej jeden produkt Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR wymagania wstępne.

Uwaga

Licencja Ochrona punktu końcowego w usłudze Microsoft Defender P1 jest wyjątkiem od tego wymagania wstępnego i nie udziela dostępu do analizy zagrożeń.

Microsoft Sentinel klienci SIEM mają dostęp tylko do niektórych sekcji lub kart analizy zagrożeń. Dowiedz się więcej

Aby uzyskać dostęp do analizy zagrożeń, wymagane są również następujące role i uprawnienia:

  • Podstawy danych zabezpieczeń (odczyt) — aby wyświetlić raport analizy zagrożeń, powiązane zdarzenia i alerty oraz zasoby, których dotyczy problem
  • Zarządzanie lukami w zabezpieczeniach (odczyt) i zarządzanie narażeniem (odczyt) — aby wyświetlić powiązane dane dotyczące narażenia i zalecane akcje

Domyślnie dostęp do usług dostępnych w portalu usługi Defender jest zarządzany zbiorczo przy użyciu Microsoft Entra ról globalnych. Jeśli potrzebujesz większej elastyczności i kontroli nad dostępem do określonych danych produktu i nie używasz jeszcze Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC) do scentralizowanego zarządzania uprawnieniami, zalecamy utworzenie ról niestandardowych dla każdej usługi. Dowiedz się więcej o tworzeniu ról niestandardowych

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Masz wgląd we wszystkie raporty analizy zagrożeń, nawet jeśli masz tylko jeden z obsługiwanych produktów. Potrzebujesz jednak każdego produktu i roli, aby zobaczyć konkretne zdarzenia, zasoby, ekspozycję i zalecane działania związane z zagrożeniem.

Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń

Pulpit nawigacyjny analizy zagrożeń (security.microsoft.com/threatanalytics3) wyróżnia raporty, które są najbardziej istotne dla Twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:

  • Najnowsze zagrożenia — zawiera listę ostatnio opublikowanych lub zaktualizowanych raportów o zagrożeniach wraz z liczbą aktywnych i rozwiązanych alertów.
  • Zagrożenia o dużym wpływie — zawiera listę zagrożeń, które mają największy wpływ na organizację. W tej sekcji wymieniono zagrożenia z największą liczbą aktywnych i rozwiązanych alertów.
  • Największe zagrożenia związane z narażeniem — zawiera listę zagrożeń, na które twoja organizacja ma największe narażenie. Poziom narażenia na zagrożenie jest obliczany przy użyciu dwóch informacji: tego, jak poważne są luki w zabezpieczeniach związane z zagrożeniem i ile urządzeń w organizacji może zostać wykorzystanych przez te luki w zabezpieczeniach.

Zrzut ekranu przedstawiający pulpit nawigacyjny analizy zagrożeń,

Wybierz zagrożenie na pulpicie nawigacyjnym, aby wyświetlić raport dla tego zagrożenia. Możesz również wybrać pole Wyszukiwania do klucza w słowie kluczowym powiązanym z raportem analizy zagrożeń, który chcesz przeczytać.

Wyświetlanie raportów według kategorii

Możesz filtrować listę raportów zagrożeń i wyświetlać najbardziej odpowiednie raporty zgodnie z następującymi opcjami:

  • Tagi zagrożeń — ułatwiają wyświetlanie najbardziej odpowiednich raportów według określonej kategorii zagrożeń. Na przykład tag Ransomware zawiera wszystkie raporty związane z oprogramowaniem wymuszającym okup.

    Zespół analizy zagrożeń firmy Microsoft dodaje tagi zagrożeń do każdego raportu o zagrożeniach. Obecnie dostępne są następujące tagi zagrożeń:

    • Oprogramowanie wymuszające okup
    • Wyłudzanie informacji
    • Grupa działań
    • Luka w zabezpieczeniach

  • Kategoria — ułatwia wyświetlanie najbardziej odpowiednich raportów zgodnie z określonym typem raportu. Na przykład kategoria Aktor zawiera wszystkie profile aktora zagrożeń. Dowiedz się więcej o różnych typach raportów analityków

Filtry te ułatwiają wydajne przeglądanie listy raportów o zagrożeniach. Możesz na przykład wyświetlić wszystkie raporty o zagrożeniach związane z kategorią oprogramowania wymuszającego okup lub raporty o zagrożeniach, które obejmują luki w zabezpieczeniach.

Kategorie są prezentowane w górnej części strony analizy zagrożeń. Liczniki pokazują liczbę dostępnych raportów w każdej kategorii.

Zrzut ekranu przedstawiający typy raportów analizy zagrożeń.

Aby dodać typy filtrów raportów na pulpicie nawigacyjnym, wybierz pozycję Filtry, wybierz z listy i wybierz pozycję Dodaj.

Zrzut ekranu przedstawiający opcję Dodaj filtry analizy zagrożeń.

Aby ustawić typy raportów na liście na podstawie dostępnych filtrów, wybierz typ filtru (na przykład tagi zagrożeń), wybierz z listy i wybierz pozycję Zastosuj.

Zrzut ekranu przedstawiający listę Filtry w tagach zagrożeń.

Wyświetlanie raportu analizy zagrożeń

Każdy raport analizy zagrożeń zawiera informacje w kilku sekcjach:

Omówienie: szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd zabezpieczeń

Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które wyróżniają wpływ zagrożenia dla organizacji oraz narażenie na nieskonfigurowane i nieprzypisane urządzenia.

Zrzut ekranu przedstawiający sekcję przeglądu raportu analizy zagrożeń.

Informacje o zagrożeniu i jego taktykach, technikach i procedurach

Każdy raport zawiera następujące szczegóły dotyczące zagrożenia, gdy ma to zastosowanie lub jest dostępne, zapewniając szybki wgląd w to, czym jest zagrożenie i jak może mieć wpływ na organizację:

  • Aliasy — wyświetla publicznie ujawnione nazwy nadane przez innych dostawców zabezpieczeń zagrożeniu
  • Źródło — pokazuje kraj lub region, z którego pochodzi zagrożenie
  • Analiza pokrewna — zawiera listę innych raportów analizy zagrożeń, które są istotne lub powiązane z zagrożeniem
  • Cele — zawiera listę krajów lub regionów i branż objętych zagrożeniem
  • Techniki ataków MITRE — zawiera listę obserwowanych taktyk, technik i procedur zagrożenia zgodnie z strukturą mitre att&CK

Ocena wpływu na organizację

Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o organizacyjnym wpływie zagrożenia:

  • Powiązane zdarzenia — zawiera omówienie wpływu śledzonego zagrożenia na organizację przy użyciu następujących danych:
    • Liczba aktywnych alertów i liczba aktywnych zdarzeń, z którymi są skojarzone
    • Ważność aktywnych zdarzeń
  • Alerty w czasie — pokazuje liczbę powiązanych aktywnych i rozwiązanych alertów w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty związane z zagrożeniem. Najlepiej, aby na wykresie były wyświetlane alerty rozwiązane w ciągu kilku dni.
  • Zasoby, których dotyczy problem — pokazuje liczbę odrębnych zasobów, które mają obecnie co najmniej jeden aktywny alert skojarzony ze śledzonym zagrożeniem. Alerty są wyzwalane dla skrzynek pocztowych, które odbierają wiadomości e-mail z zagrożeniami. Przejrzyj zasady na poziomie organizacji i użytkownika, aby uzyskać przesłonięcia, które powodują dostarczanie wiadomości e-mail z zagrożeniami.

Przegląd odporności i stanu zabezpieczeń

Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:

  • Zalecane akcje — pokazuje procent stanu akcji lub liczbę punktów osiągniętych w celu poprawy stanu zabezpieczeń. Wykonaj zalecane akcje, aby rozwiązać problem zagrożenia. Możesz wyświetlić podział punktów według kategorii lub stanu.
  • Narażenie punktów końcowych — pokazuje liczbę urządzeń narażonych na zagrożenia. Stosowanie aktualizacji lub poprawek zabezpieczeń w celu rozwiązania problemów z lukami w zabezpieczeniach wykorzystywanymi przez zagrożenie.

Raport analityków: uzyskiwanie szczegółowych informacji ekspertów od badaczy zabezpieczeń firmy Microsoft

W sekcji Raport analityka możesz zapoznać się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktyki i techniki mapowane na strukturę mitre att&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń .

Dowiedz się więcej o raporcie analityka

Karta Powiązane zdarzenia zawiera listę wszystkich zdarzeń związanych ze śledzonym zagrożeniem. Możesz przypisywać zdarzenia lub zarządzać alertami powiązanymi z każdym zdarzeniem.

Zrzut ekranu przedstawiający sekcję powiązanych zdarzeń raportu analizy zagrożeń.

Uwaga

Zdarzenia i alerty związane z zagrożeniem pochodzą z Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender dla Office 365, Microsoft Defender for Cloud Apps i Microsoft Defender dla chmury.

Zasoby, których dotyczy problem: uzyskiwanie listy urządzeń, użytkowników, skrzynek pocztowych, aplikacji i zasobów w chmurze

Karta Zasoby, których dotyczy problem, pokazuje zasoby, których dotyczy zagrożenie w czasie. Wyświetla on:

  • Zasoby, których dotyczą aktywne alerty
  • Zasoby, których dotyczą rozwiązane alerty
  • Wszystkie zasoby lub łączna liczba zasobów, których dotyczą aktywne i rozwiązane alerty

Zasoby są podzielone na następujące kategorie:

  • Urządzeń
  • Użytkownicy
  • Skrzynek pocztowych
  • Aplikacje
  • Zasoby w chmurze

Zrzut ekranu przedstawiający sekcję elementów zawartości, których dotyczy problem, raportu analizy zagrożeń.

Narażenie punktów końcowych: informacje o stanie wdrożenia aktualizacji zabezpieczeń

Sekcja Narażenie punktów końcowych zawiera poziom narażenia organizacji na zagrożenie. Poziom narażenia jest obliczany na podstawie ważności luk w zabezpieczeniach i błędnych konfiguracji wykorzystywanych przez zagrożenie oraz liczby urządzeń z tymi słabościami.

Ta sekcja zawiera również stan wdrożenia obsługiwanych aktualizacji zabezpieczeń oprogramowania dla luk w zabezpieczeniach znalezionych na dołączonych urządzeniach. Zawiera ona dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, które zawierają również szczegółowe informacje szczegółowe z różnych linków w raporcie.

Sekcja ekspozycji punktów końcowych raportu analizy zagrożeń

Na karcie Zalecane akcje przejrzyj listę konkretnych zaleceń z możliwością działania, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje obsługiwane konfiguracje zabezpieczeń, takie jak:

  • Ochrona dostarczana przez chmurę
  • Ochrona potencjalnie niechcianej aplikacji (PUA)
  • Ochrona w czasie rzeczywistym

Sekcja Zalecane akcje raportu analizy zagrożeń przedstawiająca szczegóły luk w zabezpieczeniach

Wskaźniki: Wyświetlanie konkretnej infrastruktury i dowodów stojących za zagrożeniem (wersja zapoznawcza)

Karta Wskaźniki zawiera listę wszystkich wskaźników naruszenia zabezpieczeń (IOC) skojarzonych z zagrożeniem. Badacze firmy Microsoft aktualizują te IOCs w czasie rzeczywistym, ponieważ znajdują nowe dowody związane z zagrożeniem. Te informacje ułatwiają centrum operacji zabezpieczeń (SOC) i analitykom analizy zagrożeń korygowanie i proaktywne wyszukiwanie zagrożeń. Lista zachowuje również wygasłe IOCs, dzięki czemu można zbadać wcześniejsze zagrożenia i zrozumieć ich wpływ w środowisku.

Zrzut ekranu przedstawiający kartę Wskaźniki w raporcie analizy zagrożeń.

Ważna

Tylko zweryfikowane klienci mogą uzyskać dostęp do informacji na karcie Wskaźniki . Jeśli nie masz dostępu do tych informacji, musisz zweryfikować dzierżawę. Dowiedz się więcej o uzyskiwaniu dostępu do IOCs

Bądź na bieżąco z najnowszymi raportami i analizą zagrożeń

Analiza zagrożeń wykorzystuje i integruje różne funkcje Microsoft Defender i Microsoft Security Copilot, aby zapewnić aktualizowanie ciebie i zespołu SOC za każdym razem, gdy nowy raport lub nowy element analizy zagrożeń odpowiedni dla twojego środowiska stanie się dostępny.

Konfigurowanie agenta briefingu analizy zagrożeń

Skonfiguruj agenta briefingu analizy zagrożeń, aby uzyskać aktualne, odpowiednie raporty analizy zagrożeń ze szczegółową analizą techniczną opartą na najnowszych działaniach aktora zagrożeń oraz wewnętrznej i zewnętrznej ekspozycji na luki w zabezpieczeniach. Agent skoreluje dane o zagrożeniach firmy Microsoft i sygnały klientów, aby dodać kontekst krytyczny do informacji o zagrożeniach w ciągu kilku minut, oszczędzając zespołom analityków godziny, a nawet dni spędzone na zbieraniu danych wywiadowczych i korelacji.

Po wdrożeniu agent briefingu analizy zagrożeń jest wyświetlany jako baner w górnej części strony Analiza zagrożeń.

Zrzut ekranu przedstawiający baner Agent briefingu analizy zagrożeń na górze strony Analiza zagrożeń.

Dowiedz się więcej o agencie briefingu analizy zagrożeń

Skonfiguruj niestandardowe reguły wykrywania i połącz je z raportami analizy zagrożeń. Jeśli te reguły zostaną wyzwolone, a alert wygeneruje zdarzenie, raport zostanie wyświetlony w tym zdarzeniu, a zdarzenie pojawi się na karcie Powiązane zdarzenia , podobnie jak w przypadku każdego innego wykrywania zdefiniowanego przez firmę Microsoft.

Zrzut ekranu przedstawiający stronę konfiguracji wykrywania niestandardowego z wyróżnioną opcją Analiza zagrożeń.

Dowiedz się więcej na temat tworzenia niestandardowych reguł wykrywania i zarządzania nimi

Konfigurowanie powiadomień e-mail dotyczących aktualizacji raportów

Konfigurowanie powiadomień e-mail, które wysyłają aktualizacje raportów analizy zagrożeń. Aby utworzyć powiadomienia e-mail, wykonaj kroki opisane w temacie Pobieranie powiadomień e-mail dotyczących aktualizacji analizy zagrożeń w Microsoft Defender XDR.

Inne szczegóły i ograniczenia raportu

Podczas przeglądania danych analizy zagrożeń należy wziąć pod uwagę następujące czynniki:

  • Lista kontrolna na karcie Zalecane akcje wyświetla tylko zalecenia śledzone w usłudze Microsoft Secure Score. Sprawdź kartę Raport analityka , aby uzyskać więcej zalecanych akcji, które nie są śledzone w obszarze Wskaźnik bezpieczeństwa.
  • Zalecane akcje nie gwarantują pełnej odporności i odzwierciedlają tylko najlepsze możliwe akcje potrzebne do jej poprawy.
  • Statystyki związane z programem antywirusowym są oparte na ustawieniach programu antywirusowego Microsoft Defender.
  • Kolumna Błędnie skonfigurowane urządzenia na głównej stronie Analiza zagrożeń pokazuje liczbę urządzeń, których dotyczy zagrożenie, gdy zalecane akcje związane z zagrożeniem nie są włączone. Jeśli jednak badacze firmy Microsoft nie połączą żadnych zalecanych akcji, w kolumnie Błędnie skonfigurowane urządzenia zostanie wyświetlony stan Niedostępny.
  • Kolumna Urządzenia narażone na zagrożenia na głównej stronie Analiza zagrożeń pokazuje liczbę urządzeń z uruchomionym oprogramowaniem, które są narażone na jakiekolwiek luki w zabezpieczeniach związane z zagrożeniem. Jeśli jednak badacze firmy Microsoft nie połączą żadnych luk w zabezpieczeniach, kolumna Urządzenia wrażliwe będzie wyświetlać stan Niedostępny.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

  • Last updated on