共用方式為

Microsoft Defender 中的威脅分析

適用於:

  • Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

威脅分析是 Microsoft 資安專家團隊的產品內威脅情報解決方案。 它幫助資安團隊在面對新興威脅時保持效率,例如:

  • 作用中威脅行為者及其活動
  • 熱門和新的攻擊技術
  • 嚴重的弱點
  • 常見的攻擊面
  • 常見的惡意程式碼

你可以從 Microsoft Defender 入口網站左上角的導覽欄存取威脅分析,或從專門的儀表板顯示組織面臨的主要威脅,無論是已知影響還是暴露程度。

威脅分析登陸頁的截圖

取得作用中或進行中活動的深入解析,以及透過威脅分析了解可採取的動作,都可協助您的安全性作業小組做出明智的決策。

隨著更複雜的對手和新興威脅的頻繁與普遍出現,能夠快速應對變得非常重要:

  • 識別並應對新興威脅
  • 了解你是否正遭受攻擊
  • 評估威脅對資產的影響
  • 檢視你對威脅的韌性或暴露情況
  • 找出你可以採取的緩解、復原或預防措施,以阻止或遏止威脅

每份報告都提供追蹤威脅的分析,並提供詳細的防禦指引。 它還包含來自你網路的資料,顯示威脅是否活躍,以及你是否具備適用的防護措施。

必要角色和權限

要在 Defender 入口網站存取威脅分析,您需要至少取得一個 Microsoft Defender 全面偵測回應產品的授權。 欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應前置條件

注意事項

適用於端點的 Microsoft Defender P1 授權是此前提的例外,並不授予威脅分析權限。

Microsoft Sentinel SIEM 客戶僅能存取特定的威脅分析區塊或分頁。 深入了解

存取威脅分析也需具備以下角色與權限:

  • 安全資料基礎 (閱讀) ——以查看威脅分析報告、相關事件與警示,以及受影響資產
  • 漏洞管理 (閱讀) ,而暴露管理則 (閱讀) ——以查看相關的暴露資料及建議行動

預設情況下,Defender 入口網站中可用的服務存取會透過 Microsoft Entra 全球角色共同管理。 如果你需要對特定產品資料的存取權限有更高的彈性與控制,且尚未使用 Microsoft Defender 全面偵測回應 Unified Unified Role-based Access Control (RBAC) 進行集中權限管理,我們建議為每個服務建立自訂角色。 了解更多關於創建自訂角色的方法

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

即使你只有其中一款支援產品,也能看到所有威脅分析報告。 然而,你需要每個產品和角色都能看到該產品的具體事件、資產、暴露情況,以及與威脅相關的建議行動。

檢視威脅分析儀表板

威脅分析儀表板 (security.microsoft.com/threatanalytics3) 會突顯對你組織最相關的報告。 它會將威脅摘要到下列區段中:

  • 最新威脅——列出最近發布或更新的威脅報告,以及活躍及已解決的警報數量。
  • 高影響力威脅——列出對你組織影響最大的威脅。 此區段首先會列出作用中和已解決警示數目最多的威脅。
  • 最高暴露威脅——列出貴組織暴露最多的威脅。 你對威脅的暴露程度是根據兩項資訊計算:與威脅相關的漏洞有多嚴重,以及組織中有多少裝置可能被這些漏洞利用。

威脅分析儀表板的截圖,

從儀表板選取威脅,以檢視該威脅的報告。 您也可以選擇 搜尋 欄位,輸入與您想閱讀的威脅分析報告相關的關鍵字。

依類別查看報告

您可以根據以下選項篩選威脅報告清單並查看最相關的報告:

  • 威脅標籤——協助您根據特定威脅類別查看最相關的報告。 例如, 勒索軟體 標籤包含所有與勒索軟體相關的報告。

    Microsoft 威脅情報團隊會在每份威脅報告中加入威脅標籤。 目前可用的威脅標籤如下:

    • 勒索軟體
    • 網路釣魚
    • 活動群組
    • 弱點

  • 分類——協助你根據特定報告類型查看最相關的報告。 例如, Actor 類別包含所有威脅 Actor 的輪廓。 了解更多關於不同分析師報告類型的資訊

這些篩選器協助你有效檢視威脅報告清單。 例如,您可以查看所有與勒索軟體類別相關的威脅報告,或是涉及漏洞的威脅報告。

分類會顯示在威脅分析頁面的頂端。 計數器顯示每個類別下可用的報告數量。

威脅分析報告類型的截圖。

要在儀表板新增報表篩選器類型,請選擇 「篩選」,從列表中選擇,然後選擇 「新增」。

威脅分析新增過濾器選項的截圖。

要根據可用篩選條件設定清單中想要的報告類型,請選擇一個篩選類型 (例如「 威脅標籤) 」,從列表中選擇,然後選擇 「套用」。

威脅標籤中篩選器列表的截圖。

檢視威脅分析報告

每份威脅分析報告包含多個部分:

概述:快速了解威脅,評估其影響,並檢視防禦措施

概述部分提供詳細分析師報告的預覽。 它還提供圖表,突顯威脅對組織的影響,以及你因錯誤設定和未修補裝置而暴露的情況。

威脅分析報告總覽部分的截圖。

了解威脅及其戰術、技術與程序

每份報告都包含以下關於威脅的詳細資訊(視適用或可取得),讓您快速了解威脅內容及其可能對組織的影響:

  • 別名——列出其他安全廠商公開給威脅的名稱
  • 起源——顯示威脅來源的國家或地區
  • 相關情報——列出與該威脅相關或相關的其他威脅分析報告
  • 目標——列出受威脅鎖定的國家、地區及產業
  • MITRE 攻擊技術——列出根據 MITRE ATT&CK 框架,) TTP (觀察到的策略、技術與程序

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表:

  • 相關事件——提供追蹤威脅對您組織影響的概覽,並提供以下資料:
    • 活躍警報的數量以及它們所關聯的活躍事件數量
    • 活躍事件的嚴重程度
  • 警報隨時間變化——顯示相關活躍警報與已解決警報的數量隨時間變化。 已解決的警示數量顯示你的組織對與威脅相關的警示反應速度。 理想狀況下,圖表應該能顯示警示在幾天內解決。
  • 受影響資產——顯示目前至少有一個活躍警報與追蹤威脅相關的獨立資產數量。 收到威脅郵件的信箱會觸發警報。 檢視組織層級和使用者層級的政策,找出導致威脅郵件送達的覆蓋。

檢視安全韌性與態勢

每份報告都包含圖表,概述您的組織對特定威脅的韌性:

  • 建議行動——顯示行動 狀態 百分比,或你已達成的點數以提升安全狀態。 執行建議的行動來協助應對威脅。 您可以查看依 類別狀態分類的積分分布。
  • 端點暴露——顯示易受攻擊裝置的數量。 施加安全更新或修補程式,以修正被威脅利用的漏洞。

分析師報告:獲取 Microsoft 資安研究人員的專家見解

分析師報告 區,你可以閱讀詳細的專家文章。 大多數報告都詳細描述攻擊鏈,包括映射到 MITRE ATT&CK 框架的戰術與技術、詳盡的建議清單,以及強大的 威脅狩獵 指引。

了解更多關於分析師報告的資訊

關聯事件索引標籤提供所有與追蹤威脅相關的事件清單。 您可以指派事件或管理連結到每個事件的警示。

威脅分析報告之相關事件區段的螢幕擷取畫面。

注意事項

與此威脅相關的事件與警示來自 適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、Microsoft Defender for Office 365,Microsoft Defender for Cloud Apps 和 Microsoft Defender for Cloud。

受影響資產:取得受影響的裝置、使用者、信箱、應用程式及雲端資源清單

受影響資產標籤顯示受威脅影響的資產隨時間推移。 它顯示:

  • 受主動警報影響的資產
  • 受已解決警報影響的資產
  • 所有資產,或受活躍及已解決警報影響的資產總數

資產分為以下幾類:

  • 裝置
  • 使用者
  • 信箱
  • 應用程式
  • 雲端資源

威脅分析報告之受影響資產區段的螢幕擷取畫面。

端點暴露:了解安全更新的部署狀態

點暴露 區塊提供貴組織對威脅的 暴露等級 。 暴露等級是根據威脅所利用的漏洞與錯誤配置的嚴重程度,以及具備這些弱點的裝置數量來計算的。

本節亦提供已部署裝置漏洞的支援軟體安全更新部署狀態。 它整合了 Microsoft Defender 弱點管理的數據,該系統也從報告中多個連結提供詳細的深入分析資訊。

威脅分析報告中的端點暴露部分

「建議行動 」標籤中,檢視可協助你提升組織對抗威脅韌性的具體可行建議清單。 追蹤的緩解措施清單包含支援的安全配置,例如:

  • 雲端提供的保護
  • 潛在的垃圾應用程式 (PUA) 保護
  • 即時保護

威脅分析報告中建議行動區塊,顯示漏洞細節

指標:檢視威脅背後的具體基礎設施與證據 (預覽)

指標 標籤列出 所有與威脅相關的入侵指標 () IOCs。 Microsoft 研究人員會即時更新這些 IOC,以反映與威脅相關的新證據。 這些資訊有助於您的安全作業中心 (SOC) 與威脅情報分析師進行修復與主動搜尋。 清單中還保留過期的 IOC,讓你能調查過去的威脅並了解它們對環境的影響。

威脅分析報告中指標標籤的截圖。

重要事項

只有經過驗證的客戶才能在 指標 標籤中存取相關資訊。如果你無法取得這些資訊,你需要驗證你的房客身份。 了解更多關於取得IOC的資訊

隨時掌握最新報告與威脅情報

威脅分析利用並整合多種 Microsoft Defender 與 Microsoft Security Copilot 功能,讓您和 SOC 團隊在有新報告或與環境相關的威脅情報出現時,隨時掌握最新資訊。

設立威脅情報簡報代理

設置威脅情報簡報代理,以取得及時且相關的威脅情報報告,並根據最新的威脅行為者活動及內部與外部漏洞暴露,進行詳細的技術分析。 該代理將 Microsoft 威脅資料與客戶訊號關聯起來,在數分鐘內為威脅資訊增添關鍵脈絡,節省分析師團隊在情報蒐集與關聯上花費數小時甚至數天的時間。

部署後,威脅情報簡報代理會以橫幅形式出現在威脅分析頁面頂端。

威脅分析頁面頂端威脅情報簡報代理橫幅的截圖。

了解更多關於威脅情報簡報代理的資訊

建立 自訂偵測規則 ,並將其連結到威脅分析報告。 如果這些規則被觸發並產生警報,該報告會顯示在該事件中,事件會顯示在 相關事件 標籤下,就像其他 Microsoft 定義的偵測方式一樣。

自訂偵測設定頁面的截圖,並標示出威脅分析選項。

了解更多關於建立與管理自訂偵測規則的方法

設定報告更新的電子郵件通知

設定電子郵件通知,發送威脅分析報告的最新資訊。 要建立電子郵件通知,請依照 Microsoft Defender 全面偵測回應中「獲取威脅分析更新電子郵件通知」中的步驟操作。

其他報告細節與限制

在檢視威脅分析數據時,請考慮以下因素:

  • 建議 行動 標籤中的檢查清單只顯示 Microsoft 安全分數追蹤的建議。 請查看分析師 報告 標籤,了解更多未被 Secure Score 追蹤的建議行動。
  • 建議的行動並不保證完全的韌性,僅反映改善韌性所需的最佳行動。
  • 防毒相關統計數據基於 Microsoft Defender 防毒軟體設定。
  • 主威脅分析頁面中的「 裝置配置錯誤 」欄位會顯示當威脅相關建議行動未開啟時,受到威脅影響的裝置數量。 然而,如果 Microsoft 研究人員沒有連結任何建議的行動, 裝置配置錯誤 欄位就會顯示 「不可用」。
  • 主威脅分析頁面中的 「易受攻擊裝置 」欄位顯示執行軟體且易受與威脅相關漏洞侵害的裝置數量。 然而,如果 Microsoft 研究人員沒有連結任何漏洞,漏洞 裝置 欄位會顯示「 不可用」。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on