適用於:
- Microsoft Defender XDR
每份 威脅分析報告 包含動態部分及一個完整的書面部分,稱為 分析師報告。 要進入此區,請開啟有關追蹤威脅的報告,並選擇 「分析師」報告 標籤。
威脅分析報告中的分析師報告部分
了解不同的分析師報告類型
威脅分析報告可分為以下類別之一:
- 活動 – 提供通常與威脅行為者相關的特定攻擊行動資訊。 本報告討論攻擊如何發生、為何你應該關注它,以及 Microsoft 如何保護其客戶免受攻擊。 活動報告也可能包含事件時間軸、攻擊鏈、行為與方法論等細節。
- 行動者(Actor) – 提供特定 Microsoft 追蹤的威脅行為者資訊,該行為者涉及著名網路攻擊背後的行動者。 本報告討論威脅行為者的動機、產業及/或地理目標,以及他們在TTP) (的戰術、技術與程序。 行動者報告也可能包含威脅行為者的攻擊基礎設施、惡意軟體 (自訂或開放原始碼) 、利用漏洞,以及他們參與的重大事件或行動。
- 核心威脅 ——將多個個人檔案報告總結成敘事,描繪出使用或相關威脅的更廣泛圖像。 例如,威脅行為者會使用不同技術竊取本地憑證,而關於本地憑證竊取的威脅概述,可能會連結到暴力破解攻擊、Kerberos 攻擊或資訊竊取惡意軟體的技術報告。 Microsoft 威脅情報利用其對影響客戶環境的主要威脅的感測器,評估哪種威脅可能值得此類報告。
- 技術 – 提供威脅行為者所使用的特定技術資訊,例如惡意使用 PowerShell 或在 BEC) (商業電子郵件入侵中蒐集憑證,並說明 Microsoft 如何透過偵測與該技術相關的活動來保護客戶。
- 工具 – 提供特定自訂或開源工具的資訊,該工具通常與威脅行為者相關聯。 本報告討論了該工具的功能、使用該工具的威脅行為者可能試圖達成的目標,以及 Microsoft 如何透過偵測與其相關的活動來保護客戶。
- 漏洞 – 提供有關特定常見漏洞及暴露 (CVE) ID 或一組類似 CVE 的資訊,影響產品。 漏洞報告通常會討論值得注意的漏洞,例如被威脅行為者利用的漏洞及知名攻擊行動。 它涵蓋一種或多種以下資訊類型:漏洞類型、受影響服務、零時或現場利用、嚴重度分數與潛在影響,以及 Microsoft 的覆蓋範圍。
掃描分析師報告
分析師報告的每個部分都提供可行的資訊。 雖然報告內容各異,但大多數報告包含下表所述的章節。
| 報告部門 | 描述 |
|---|---|
| 執行摘要 | 威脅的快照,可能包括首次被發現的時間、動機、重要事件、主要目標,以及獨特的工具與技術。 利用這些資訊評估如何根據您的產業、地理位置及網絡來優先排序威脅。 |
| 概觀 | 針對威脅的技術分析,視報告類型而定,可能包含攻擊細節,以及攻擊者可能如何使用新技術或攻擊面。 本節依報告類型設有不同標題及進一步小節,以提供更多背景與細節。 例如,漏洞剖析有一個獨立區塊列出 受影響技術,而演員剖析則可能包含 工具、TTPs 及 歸因 區塊。 |
| 偵測/狩獵查詢 | Microsoft 安全解決方案提供的特定及通用 偵測 ,能揭露與威脅相關的活動或元件。 本節亦提供主動識別潛在威脅活動的 搜尋查詢 。 大多數查詢是輔助偵測,特別是用來定位無法動態評估為惡意的潛在惡意元件或行為。 |
| 觀察到的MITRE ATT&CK 技術 | 觀察到的技術如何對應 MITRE ATT&CK 攻擊框架 |
| 建議 | 可行的步驟,能阻止或幫助減輕威脅的影響。 本節亦包含未動態追蹤於威脅分析報告中的緩解措施。 |
| 參考 | 分析師在撰寫報告時引用了 Microsoft 及第三方出版物。 威脅分析內容基於 Microsoft 研究人員驗證的數據。 來自公開、第三方來源的資訊會明確標示。 |
| 變更記錄 | 報告發布的時間及對報告進行重大修改的時間。 |
了解每種威脅如何被偵測
分析師報告同時提供來自多個 Microsoft 解決方案的資訊,有助於偵測威脅。 它列出了以下各節中各產品中針對此威脅的特定偵測,視情況而定。 這些針對特定威脅偵測的警示會顯示在威脅分析頁面的警示狀態卡中。
部分分析師報告也提到,這些警示設計用來泛指可疑行為,可能與追蹤威脅無關。 在這種情況下,報告明確指出警示可能由無關的威脅活動觸發,且不會在威脅分析頁面提供的狀態卡中監控。
Microsoft Defender 防毒軟體
在 Windows 中開啟 Microsoft Defender 防毒軟體的裝置上,可偵測防毒軟體。 這些偵測會連結到Microsoft 安全情報中相應的惡意軟體百科全書描述(如有)。
適用於端點的 Microsoft Defender
對已適用於端點的 Microsoft Defender的裝置 (端點偵測與回應 EDR) 警示。 這些警示依賴Defender for Endpoint感測器及其他端點功能(如防毒、網路保護、防篡改防護)所收集的安全訊號,這些功能作為強大的訊號來源。
適用於 Office 365 的 Microsoft Defender
分析師報告中也包含 Defender for Office 365 的偵測與緩解措施。 Defender for Office 365 無縫整合進 Microsoft 365 訂閱,並防範電子郵件、連結 (網址) 、檔案附件及協作工具中的威脅。
適用於身分識別的 Microsoft Defender
Defender for Identity 是一款雲端安全解決方案,協助你在整個組織中保障身份監控的安全。 它結合來自內部部署的 Active Directory 與雲端身份訊號,協助您更好地識別、偵測及調查針對組織的進階威脅。
Microsoft Defender for Cloud Apps
Defender for Cloud Apps 為 SaaS 應用提供全面保護。 它透過基本的雲端存取安全代理 (CASB) 功能、SaaS 安全態勢管理 (SSPM) 功能、進階威脅防護及應用程式間保護,協助你監控並保護你的雲端應用程式資料。
適用於雲端的 Microsoft Defender
Defender for Cloud 是一款雲端原生應用程式保護平台 (CNAPP) 由多項安全措施與實務組成,旨在保護雲端應用程式免受各種威脅與漏洞。
利用先進狩獵技術尋找微妙的威脅神器
雖然偵測能讓你自動識別並阻止追蹤的威脅,但許多攻擊活動會留下細微的痕跡,需要更深入的檢查。 部分攻擊活動展現出正常行為,因此動態偵測可能導致操作雜訊甚至誤報。 搜尋查詢能讓你主動定位這些潛在的惡意元件或行為。
Microsoft Defender 全面偵測回應進階搜尋查詢
進階狩獵提供基於 Kusto 查詢語言的查詢介面,簡化尋找威脅活動的微妙指標。 它也能讓你呈現上下文資訊,並驗證指標是否與威脅有關。
Microsoft 分析師會審核分析師報告中的進階狩獵查詢,你也可以在 進階狩獵查詢編輯器中執行。 你也可以利用這些查詢來建立 自訂的偵測規則 ,觸發未來配對的警示。
Microsoft Sentinel 查詢
分析師報告也可能包含針對 Microsoft Sentinel 客戶的相關搜尋查詢。
Microsoft Sentinel 擁有強大的搜尋與查詢工具,能在組織資料來源中搜尋安全威脅。 為了幫助你主動發現安全應用程式甚至排程分析規則都偵測不到的新異常,Sentinel hunting queries 會引導你提出正確的問題,找出你網路上現有資料中的問題。
施加額外的緩解措施
威脅分析能動態追蹤特定 安全更新 與 安全設定的狀態。 這類資訊以圖表和表格形式,可在 端點暴露 與 建議行動 分頁中取得。 這些建議是可重複的,適用於此威脅,也可能適用於其他威脅。
除了這些追蹤建議外,分析師報告也可能討論那些因專屬於報告中所討論威脅或情況而不會動態監控的緩解措施。 以下是一些未動態追蹤的重要緩解措施範例:
- 封鎖帶有 .lnk 附件或其他可疑檔案類型的電子郵件
- 隨機化本地管理員密碼
- 教育終端用戶有關釣魚郵件及其他威脅途徑的資訊
- 開啟特定的 攻擊面減少規則
雖然你可以使用 端點暴露 與 建議行動 標籤來評估對威脅的安全態勢,但這些建議也讓你能採取其他措施來提升資安態勢。 仔細閱讀分析師報告中的所有緩解指引,並盡可能加以應用。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。