Sdílet prostřednictvím

Analýza hrozeb v Microsoft Defenderu XDR

  • Článek

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Analýza hrozeb je naše řešení analýzy hrozeb v rámci produktu od odborných výzkumníků microsoftu v oblasti zabezpečení. Je navržená tak, aby pomáhala bezpečnostním týmům co nejefektivněji čelit vznikajícím hrozbám, jako jsou:

  • Aktivní aktéři hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné možnosti útoku
  • Převládá malware

K analýze hrozeb můžete přistupovat buď z levé horní strany navigačního panelu portálu Microsoft Defender, nebo z vyhrazené karty řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska známého dopadu, tak z hlediska vašeho vystavení.

Snímek obrazovky s cílovou stránkou analýzy hrozeb

Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovanými rozhodnutími.

S čím dál sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převážně, je důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli jste momentálně napadeni.
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti vůči hrozbám nebo jejich vystavení
  • Identifikujte akce pro zmírnění, obnovení nebo prevenci, které můžete provést k zastavení nebo omezení hrozeb.

Každá sestava obsahuje analýzu sledované hrozby a rozsáhlé pokyny, jak se této hrozbě bránit. Zahrnuje také data z vaší sítě, která označují, jestli je hrozba aktivní a jestli máte platnou ochranu.

Požadované role a oprávnění

Následující tabulka popisuje role a oprávnění vyžadovaná pro přístup k analýze hrozeb. Role definované v tabulce odkazují na vlastní role na jednotlivých portálech a nejsou propojené s globálními rolemi v Microsoft Entra ID, i když mají podobný název.

Pro Microsoft Defender XDR se vyžaduje jedna z následujících rolí. Microsoft Defender for Endpoint vyžaduje jednu z následujících rolí. Microsoft Defender pro Office 365 vyžaduje jednu z následujících rolí. Pro Microsoft Defender for Cloud Apps a Microsoft Defender for Identity se vyžaduje jedna z následujících rolí. Microsoft Defender for Cloud vyžaduje jednu z následujících rolí.
Analýza hrozeb Data výstrah a incidentů:
  • Zobrazení dat – operace zabezpečení
Zmírnění rizik správy ohrožení zabezpečení programu Defender:
  • Zobrazení dat – Správa hrozeb a ohrožení zabezpečení
 Data výstrah a incidentů:
  • Správa výstrah jen pro zobrazení
  • Správa upozornění
  • Konfigurace organizace
  • Protokoly auditu
  • Zobrazit pouze protokoly auditu
  • Čtenář zabezpečení
  • Správce zabezpečení
  • Příjemci jen pro zobrazení
Zabránění pokusům o e-mail:
  • Čtenář zabezpečení
  • Správce zabezpečení
  • Příjemci jen pro zobrazení
  • Globální správce
  • Správce zabezpečení
  • Správce dodržování předpisů
  • Operátor zabezpečení
  • Čtenář zabezpečení
  • Globální správce
  • Správce zabezpečení

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Budete mít přehled o všech sestavách analýzy hrozeb, i když máte jenom jeden z produktů a jeho odpovídající role popsané v předchozí tabulce. Musíte ale mít každý produkt a role, abyste viděli konkrétní incidenty, prostředky, ohrožení a doporučené akce související s touto hrozbou.

Další informace:

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantní. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí seznam hrozeb, které mají největší dopad na vaši organizaci. V této části jsou jako první uvedeny hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Hrozby s nejvyšší expozicí – seznam hrozeb, kterým je vaše organizace vystavena nejvíce. Úroveň vystavení hrozbě se vypočítá na základě dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci může být těmito ohroženími zabezpečení zneužito.

Snímek obrazovky s řídicím panelem analýzy hrozeb

Výběrem hrozby na řídicím panelu zobrazíte sestavu pro tuto hrozbu. Můžete také vybrat pole Hledat , které se má zadat v klíčovém slově, které souvisí se sestavou analýzy hrozeb, kterou si chcete přečíst.

Zobrazení sestav podle kategorie

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle konkrétního typu hrozby nebo podle typu sestavy.

  • Značky hrozeb – pomáhají vám zobrazit nejrelevantní sestavy podle konkrétní kategorie hrozeb. Značka Ransomware například obsahuje všechny sestavy související s ransomwarem.
  • Typy sestav – pomáhají zobrazit nejrelevantní sestavy podle konkrétního typu sestavy. Například značka Tools & techniques (Nástroje & techniky ) obsahuje všechny sestavy, které pokrývají nástroje a techniky.

Různé značky mají ekvivalentní filtry, které vám pomůžou efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Můžete například zobrazit všechny sestavy hrozeb souvisejících s kategorií ransomwaru nebo sestavy hrozeb, které zahrnují ohrožení zabezpečení.

Tým Microsoft Threat Intelligence přidává do každé sestavy hrozeb značky hrozeb. V současné době jsou k dispozici následující značky hrozeb:

  • Ransomware
  • Vydírání
  • Útok phishing
  • Hands on keyboard
  • Skupina aktivit
  • Zranitelnost
  • Útočná kampaň
  • Nástroj nebo technika

Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. Existují čítače počtu dostupných sestav pod každou značkou.

Snímek obrazovky se značkami sestavy analýzy hrozeb

Pokud chcete nastavit typy sestav, které chcete v seznamu, vyberte Filtry, zvolte ze seznamu a vyberte Použít.

Snímek obrazovky se seznamem Filtry

Pokud nastavíte více než jeden filtr, můžete seznam sestav analýzy hrozeb také seřadit podle značky hrozeb tak, že vyberete sloupec značky hrozeb:

Snímek obrazovky se sloupcem značek hrozeb

Zobrazení sestavy analýzy hrozeb

Každá sestava analýzy hrozeb obsahuje informace v několika částech:

Přehled: Rychlé pochopení hrozby, posouzení jejího dopadu a kontrola obrany

V části Přehled najdete náhled podrobné analytické sestavy. Poskytuje také grafy, které zvýrazňují dopad hrozby na vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a neopravených zařízení.

Snímek obrazovky s částí přehledu sestavy analýzy hrozeb

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled dopadu sledované hrozby na vaši organizaci s následujícími daty:
    • Počet aktivních výstrah a počet aktivních incidentů, ke kterým jsou přidruženy
    • Závažnost aktivních incidentů
  • Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat výstrahy vyřešené během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých prostředků, které aktuálně mají alespoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Projděte si zásady na úrovni organizace i uživatele, kde najdete přepsání, která způsobují doručování e-mailů s hrozbami.

Kontrola odolnosti a stavu zabezpečení

Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace proti dané hrozbě:

  • Doporučené akce – zobrazuje procento stavu akce nebo počet bodů, které jste dosáhli pro zlepšení stavu zabezpečení. Proveďte doporučené akce, které vám pomůžou hrozbu vyřešit. Můžete zobrazit rozpis bodů podle kategorie nebo stavu.
  • Vystavení koncovým bodům – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužít hrozbou.

Analytická zpráva: Získání odborných přehledů od výzkumníků microsoftu v oblasti zabezpečení

V části Analytická zpráva si přečtěte podrobný zápis odborníků. Většina sestav poskytuje podrobné popisy útočných řetězců, včetně taktik a technik namapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního proaktivního vyhledávání hrozeb .

Další informace o sestavě analytiků

Karta Související incidenty poskytuje seznam všech incidentů souvisejících se sledované hrozbou. Můžete přiřazovat incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.

Snímek obrazovky se souvisejícími incidenty v sestavě analýzy hrozeb

Poznámka

Incidenty a výstrahy spojené s touto hrozbou pocházejí z defenderu for Endpoint, Defenderu for Identity, Defenderu pro Office 365, Defenderu for Cloud Apps a Defenderu for Cloud.

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení, uživatelů, poštovních schránek, aplikací a cloudových prostředků

Karta Ovlivněné prostředky zobrazuje prostředky ovlivněné hrozbou v průběhu času. Zobrazí se:

  • Prostředky ovlivněné aktivními výstrahami
  • Prostředky ovlivněné vyřešenými výstrahami
  • Všechny prostředky nebo celkový počet prostředků ovlivněných aktivními a vyřešenými výstrahami

Prostředky jsou rozděleny do následujících kategorií:

  • Zařízení
  • Uživatelé
  • Poštovní schránky
  • Apps
  • Cloudové prostředky

Snímek obrazovky s částí ovlivněných prostředků sestavy analýzy hrozeb

Vystavení koncovým bodům: Informace o stavu nasazení aktualizací zabezpečení

Část Vystavení koncovým bodům poskytuje úroveň ohrožení hrozby vaší organizace, která se počítá na základě závažnosti ohrožení zabezpečení a chybných konfigurací zneužít uvedených hrozeb a počtu zařízení s těmito slabými místy.

Tato část obsahuje také stav nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení zjištěných na onboardovaných zařízeních. Zahrnuje data ze správy ohrožení zabezpečení v programu Microsoft Defender, která také poskytuje podrobné informace k podrobnostem z různých odkazů v sestavě.

Část Vystavení koncovým bodům sestavy analýzy hrozeb

Na kartě Doporučené akce si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje podporované konfigurace zabezpečení, například:

  • Cloudová ochrana
  • Ochrana před potenciálně nežádoucími aplikacemi (PUA)
  • Ochrana v reálném čase

Část Doporučené akce sestavy analýzy hrozeb zobrazující podrobnosti o ohrožení zabezpečení

Nastavení e-mailových oznámení pro aktualizace sestav

Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace sestav analýzy hrozeb. Pokud chcete vytvořit e-mailová oznámení, postupujte podle pokynů v tématu Získání e-mailových oznámení pro aktualizace analýzy hrozeb v Microsoft Defenderu XDR.

Další podrobnosti sestavy a omezení

Při pohledu na data analýzy hrozeb mějte na paměti následující faktory:

  • Kontrolní seznam na kartě Doporučené akce zobrazuje jenom doporučení, která jsou sledována ve skóre zabezpečení Microsoftu. Další doporučené akce, které se nesledují ve skóre zabezpečení, najdete na kartě Sestava analytika .
  • Doporučené akce nezaručují úplnou odolnost a odrážejí pouze nejlepší možné akce potřebné k jejímu zlepšení.
  • Statistiky související s antivirovým programem vycházejí z nastavení Antivirové ochrany v programu Microsoft Defender.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.