Analýza hrozeb v Microsoft 365 Defender

  • Článek

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotovat Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Analýza hrozeb je naše řešení analýzy hrozeb v rámci produktu od odborných výzkumníků microsoftu v oblasti zabezpečení. Je navržená tak, aby pomáhala bezpečnostním týmům co nejefektivněji čelit vznikajícím hrozbám, jako jsou:

  • Aktivní aktéři hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné možnosti útoku
  • Převládá malware

V tomto krátkém videu se dozvíte více o tom, jak vám analýza hrozeb může pomoct sledovat nejnovější hrozby a zastavit je.

K analýze hrozeb můžete přistupovat buď z levé horní strany navigačního panelu portálu zabezpečení Microsoftu 365, nebo z vyhrazené karty řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska dopadu, tak z hlediska ohrožení.

Cílová stránka analýzy hrozeb

Hrozby s vysokým dopadem mají největší potenciál způsobit škodu, zatímco hrozby s vysokou expozicí jsou ty, kterým jsou vaše prostředky nejvíce ohroženy. Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovanými rozhodnutími.

Kde získat přístup k analýzám hrozeb

S čím dál sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převážně, je důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli jste momentálně napadeni.
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti vůči hrozbám nebo jejich vystavení
  • Identifikujte akce pro zmírnění, obnovení nebo prevenci, které můžete provést k zastavení nebo omezení hrozeb.

Každá sestava obsahuje analýzu sledované hrozby a rozsáhlé pokyny, jak se této hrozbě bránit. Zahrnuje také data z vaší sítě, která označují, jestli je hrozba aktivní a jestli máte platnou ochranu.

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantní. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí seznam hrozeb, které mají největší dopad na vaši organizaci. V této části jsou jako první uvedeny hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Nejvyšší expozice – jako první se zobrazí seznam hrozeb s nejvyšší úrovní expozice. úroveň expozice hrozby se vypočítá na základě dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci může být těmito ohroženími zabezpečení zneužito.

Výběrem hrozby na řídicím panelu zobrazíte sestavu této hrozby.

Řídicí panel analýzy hrozeb

Řídicí panel analýzy hrozeb Můžete také vybrat pole Hledat, které se má zadat v klíčovém slově, které souvisí se sestavou analýzy hrozeb, kterou si chcete přečíst.

Zobrazení sestavy analýzy hrozeb

Každá sestava analýzy hrozeb obsahuje informace v několika částech:

Přehled: Rychlé pochopení hrozby, posouzení jejího dopadu a kontrola obrany

V části Přehled najdete náhled podrobné analytické sestavy. Poskytuje také grafy, které zvýrazňují dopad hrozby na vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a neopravených zařízení.

Část přehledu sestavy analýzy hrozeb

Část Přehled sestavy analýzy hrozeb

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled dopadu sledované hrozby na vaši organizaci s následujícími daty:
    • Počet aktivních výstrah a počet aktivních incidentů, ke kterým jsou přidruženy
    • Závažnost aktivních incidentů
  • Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat výstrahy vyřešené během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých zařízení a e-mailových účtů (poštovních schránek), které mají aktuálně alespoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Projděte si zásady na úrovni organizace i uživatele a vyhledejte přepsání, která způsobují doručování e-mailů s hrozbami.
  • Zabránění pokusům o e-mail – zobrazuje počet e-mailů z posledních sedmi dnů, které byly před doručením zablokované nebo doručené do složky nevyžádaná pošta.

Kontrola odolnosti a stavu zabezpečení

Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace proti dané hrozbě:

  • Stav zabezpečené konfigurace – zobrazuje počet zařízení s chybně nakonfigurovaným nastavením zabezpečení. Použijte doporučená nastavení zabezpečení, která vám pomůžou zmírnit hrozbu. Zařízení se považují za zabezpečená , pokud použila všechna sledované nastavení.
  • Stav oprav ohrožení zabezpečení – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužít hrozbou.

Zobrazení sestav pro jednotlivé značky hrozeb

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle konkrétní značky hrozby (kategorie) nebo typu sestavy.

  • Značky hrozeb – pomáhají vám zobrazit nejrelevantní sestavy podle konkrétní kategorie hrozeb. Například všechny sestavy související s ransomwarem.
  • Typy sestav – pomáhají zobrazit nejrelevantní sestavy podle konkrétního typu sestavy. Například všechny sestavy, které se týkají nástrojů a technik.
  • Filtry – pomáhají efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Můžete si například projít všechny sestavy hrozeb související s kategorií ransomwaru nebo sestavy hrozeb, které se týkají ohrožení zabezpečení.
Jak to funguje?

Tým Microsoft Threat Intelligence přidal do každé sestavy hrozeb značky hrozeb:

  • K dispozici jsou teď čtyři značky hrozeb:

    • Ransomware
    • Útok phishing
    • Zranitelnost
    • Skupina aktivit

  • Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. Existují čítače počtu dostupných sestav pod každou značkou.

    Značky hrozeb

  • Seznam lze také seřadit podle značek hrozeb:

    Část Značky hrozeb

  • Filtry jsou dostupné pro jednotlivé značky hrozby a typ sestavy:

    Stránka Filtry

Analytická zpráva: Získání odborných přehledů od výzkumníků microsoftu v oblasti zabezpečení

V části Analytická zpráva si přečtěte podrobný zápis odborníků. Většina sestav poskytuje podrobné popisy útočných řetězců, včetně taktik a technik namapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního vyhledávání hrozeb .

Další informace o sestavě analytiků

Karta Související incidenty poskytuje seznam všech incidentů souvisejících se sledované hrozbou. Můžete přiřazovat incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.

Část související incidenty sestavy analýzy hrozeb

Část Související incidenty v sestavě analýzy hrozeb

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení a poštovních schránek

Prostředek se považuje za ovlivněný, pokud je ovlivněn aktivním nevyřešeným upozorněním. Na kartě Ovlivněné prostředky jsou uvedené následující typy ovlivněných prostředků:

  • Ovlivněná zařízení – koncové body s nevyřešenými výstrahami Microsoft Defender for Endpoint. Tato upozornění se obvykle aktivují při pozorování známých indikátorů hrozeb a aktivit.
  • Ovlivněné poštovní schránky – poštovní schránky, které obdržely e-mailové zprávy, které aktivovaly Microsoft Defender pro Office 365 upozornění. I když je většina zpráv, které aktivují upozornění, obvykle blokovaná, zásady na úrovni uživatele nebo organizace můžou přepsat filtry.

Část ovlivněných prostředků sestavy analýzy hrozeb

Část Ovlivněné prostředky v sestavě analýzy hrozeb

Zabránění pokusům o e-mail: Zobrazení blokovaných nebo nevyžádaných e-mailů s hrozbami

Microsoft Defender pro Office 365 obvykle blokuje e-maily se známými indikátory hrozeb, včetně škodlivých odkazů nebo příloh. V některých případech budou mechanismy proaktivního filtrování, které kontrolují podezřelý obsah, místo toho odesílat e-maily s hrozbami do složky nevyžádaná pošta. V obou případech se snižuje pravděpodobnost, že hrozba spustí na zařízení kód malwaru.

Karta Zabránění pokusům o e-mail obsahuje seznam všech e-mailů, které byly před doručením zablokovány nebo odeslány do složky nevyžádané pošty Microsoft Defender pro Office 365.

Část zabránění pokusům o e-mail v sestavě analýzy hrozeb

Oddíl Zabránění pokusům o e-mail v sestavě analýzy hrozeb

Ohrožení a zmírnění rizik: Projděte si seznam zmírnění rizik a stavu vašich zařízení.

V části Omezení rizik ohrožení & si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje:

  • Aktualizace zabezpečení – nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení zjištěných na onboardovaných zařízeních
  • Podporované konfigurace zabezpečení
    • Cloudová ochrana
    • Ochrana před potenciálně nežádoucími aplikacemi (PUA)
    • Ochrana v reálném čase

Informace o zmírnění rizik v této části zahrnují data z Microsoft Defender Správa zranitelností, která také poskytuje podrobné informace o přechodu k podrobnostem z různých odkazů v sestavě.

Část zmírnění rizik sestavy analýzy hrozeb zobrazující podrobnosti o zabezpečené konfiguraci

Část zmírnění rizik v sestavě analýzy hrozeb zobrazující podrobnosti o ohrožení zabezpečení

Část Zmírnění ohrožení & v sestavě analýzy hrozeb

Nastavení e-mailových oznámení pro aktualizace sestav

Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace sestav analýzy hrozeb.

Pokud chcete nastavit e-mailová oznámení pro sestavy analýzy hrozeb, proveďte následující kroky:

  1. Na bočním panelu Microsoft 365 Defender vyberte Nastavení. V seznamu nastavení vyberte Microsoft 365 Defender.

Snímek obrazovky se zvýrazněnými červenými zvýrazněnými možnostmi Nastavení a Microsoft 365 Defender

  1. Zvolte Email oznámení>Analýza hrozeb a vyberte tlačítko + Vytvořit pravidlo oznámení. Zobrazí se vysouvací panel.

Snímek obrazovky se červeně zvýrazněnou možností + Vytvořit pravidlo oznámení

  1. Postupujte podle kroků uvedených v informačním rámečku. Nejprve pojmenujte nové pravidlo. Pole popis je volitelné, ale název je povinný. Pravidlo můžete zapnout nebo vypnout pomocí zaškrtávacího políčka pod polem popis.

Poznámka

Pole pro název a popis nového pravidla oznámení přijímají pouze anglická písmena a číslice. Nepřijímají mezery, pomlčky, podtržítka ani žádnou jinou interpunkci.

Snímek obrazovky s názvy, vyplněnými všemi poli a zaškrtnutým polím Zapnout pravidlo

  1. Zvolte, o jakých typech sestav chcete dostávat oznámení. Můžete si vybrat, jestli chcete aktualizovat všechny nově publikované nebo aktualizované sestavy, nebo jenom ty sestavy, které mají určitou značku nebo typ.

Snímek obrazovky s oznámením s vybranými značkami ransomware a otevřenou rozevírací nabídkou typů

  1. Přidejte aspoň jednoho příjemce, který bude dostávat e-maily s oznámením. Na této obrazovce můžete také zkontrolovat, jak budou oznámení přijímány, a to odesláním testovacího e-mailu.

Snímek obrazovky s příjemci V seznamu jsou 3 příjemci a byl odeslán testovací e-mail, jak je označeno zelenou značkou zaškrtnutí.

  1. Zkontrolujte nové pravidlo. Pokud chcete něco změnit, vyberte tlačítko Upravit na konci každého dílčího oddílu. Po dokončení kontroly vyberte tlačítko Vytvořit pravidlo .

Snímek obrazovky s revizí Tlačítko pro úpravy je zvýrazněné červeně.

  1. Blahopřejeme! Nové pravidlo bylo úspěšně vytvořeno. Kliknutím na tlačítko Hotovo proces dokončete a zavřete vysouvací panel.

Snímek obrazovky s vytvořeným pravidlem Úspěšně vytvořené pravidlo zobrazí zelené značky zaškrtnutí podél bočního panelu a velkou zelenou zaškrtnutí v hlavní oblasti obrazovky.

  1. Nové pravidlo se teď zobrazí v seznamu e-mailových oznámení analýzy hrozeb.

Snímek obrazovky se seznamem pravidel e-mailových oznámení na obrazovce Nastavení

Další podrobnosti sestavy a omezení

Poznámka

V rámci jednotného prostředí zabezpečení je teď analýza hrozeb dostupná nejen pro Microsoft Defender for Endpoint, ale také pro Microsoft Defender pro Office 365 držitele licencí.

Pokud nepoužíváte portál zabezpečení Microsoft 365 (Microsoft 365 Defender), můžete také zobrazit podrobnosti sestavy (bez Microsoft Defender pro data Office) na portálu Centrum zabezpečení v programu Microsoft Defender ( Microsoft Defender for Endpoint).

Pro přístup k sestavám analýzy hrozeb potřebujete určité role a oprávnění. Podrobnosti o Microsoft 365 Defender najdete v tématu Vlastní role v řízení přístupu na základě role.

  • Pokud chcete zobrazit výstrahy, incidenty nebo data ovlivněných prostředků, musíte mít oprávnění k Microsoft Defender pro Office nebo Microsoft Defender for Endpoint dat výstrah, případně obojí.
  • Pokud chcete zobrazit neúspěšné pokusy o e-mail, musíte mít oprávnění k Microsoft Defender pro data office proaktivního vyhledávání.
  • Pokud chcete zobrazit zmírnění rizik, musíte mít oprávnění k datům správy ohrožení zabezpečení programu Defender v Microsoft Defender for Endpoint.

Při pohledu na data analýzy hrozeb mějte na paměti následující faktory:

  • Grafy odrážejí pouze zmírnění rizik, která jsou sledována. V přehledu sestav najdete další zmírnění rizik, která se v grafech nezobrazují.
  • Zmírnění rizik nezaručuje úplnou odolnost. Poskytnutá zmírnění rizik odrážejí nejlepší možná opatření potřebná ke zlepšení odolnosti.
  • Zařízení se počítají jako nedostupná, pokud do služby nepřenesla data.
  • Statistiky související s antivirovým programem vycházejí z nastavení Microsoft Defender Antivirové ochrany. Zařízení s antivirovými řešeními třetích stran se můžou zobrazovat jako "vystavená".