Analýza hrozeb v Microsoft Defender

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Analýza hrozeb je řešení analýzy hrozeb v produktu od odborných pracovníků Microsoftu v oblasti zabezpečení. Pomáhá týmům zabezpečení zůstat efektivní a současně čelit vznikajícím hrozbám, jako jsou:

  • Aktivní aktéři hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné možnosti útoku
  • Převládá malware

K analýze hrozeb můžete přistupovat z levé horní strany navigačního panelu Microsoft Defender portálu nebo z karty vyhrazeného řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska známého dopadu, tak z hlediska vašeho ohrožení.

Snímek obrazovky s cílovou stránkou analýzy hrozeb

Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovanými rozhodnutími.

S čím dál sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převážně, je důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli jste momentálně napadeni.
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti vůči hrozbám nebo jejich vystavení
  • Identifikujte akce pro zmírnění, obnovení nebo prevenci, které můžete provést k zastavení nebo omezení hrozeb.

Každá sestava obsahuje analýzu sledované hrozby a rozsáhlé pokyny, jak se této hrozbě bránit. Zahrnuje také data z vaší sítě, která označují, jestli je hrozba aktivní a jestli máte platnou ochranu.

Požadované role a oprávnění

Pokud chcete získat přístup k analýze hrozeb na portálu Defender, potřebujete licenci alespoň pro jeden produkt Microsoft Defender XDR. Další informace najdete v tématu požadavky Microsoft Defender XDR.

Poznámka

Licence Microsoft Defender for Endpoint P1 je výjimkou z tohoto předpokladu a neuděluje přístup k analýze hrozeb.

Microsoft Sentinel zákazníci SIEM mají přístup pouze k určitým oddílům nebo kartám analýzy hrozeb. Další informace

Pro přístup k analýze hrozeb se také vyžadují následující role a oprávnění:

  • Základy zabezpečení dat (čtení) – zobrazení sestavy analýzy hrozeb, souvisejících incidentů a výstrah a ovlivněných prostředků
  • Správa ohrožení zabezpečení (čtení) a Správa ohrožení zabezpečení (čtení) – zobrazení souvisejících dat o expozici a doporučených akcí

Ve výchozím nastavení se přístup ke službám dostupným na portálu Defender spravuje souhrnně pomocí Microsoft Entra globálních rolí. Pokud potřebujete větší flexibilitu a kontrolu nad přístupem ke konkrétním datům produktů a ještě nepoužíváte Microsoft Defender jednotné řízení přístupu na základě role (RBAC) pro centralizovanou správu oprávnění, doporučujeme pro každou službu vytvořit vlastní role. Další informace o vytváření vlastních rolí

Důležité

Máte přehled o všech sestavách analýzy hrozeb, i když máte jenom jeden z podporovaných produktů. Každý produkt a role ale potřebujete, abyste viděli konkrétní incidenty, prostředky, ohrožení a doporučené akce související s touto hrozbou.

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantní. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí seznam hrozeb, které mají největší dopad na vaši organizaci. V této části jsou jako první uvedeny hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Hrozby s nejvyšší expozicí – seznam hrozeb, kterým je vaše organizace vystavena nejvíce. Úroveň vystavení hrozbě se vypočítá na základě dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci může být těmito ohroženími zabezpečení zneužito.

Snímek obrazovky s řídicím panelem analýzy hrozeb

Výběrem hrozby na řídicím panelu zobrazíte sestavu pro tuto hrozbu. Můžete také vybrat pole Hledat , které se má zadat v klíčovém slově, které souvisí se sestavou analýzy hrozeb, kterou si chcete přečíst.

Zobrazení sestav podle kategorie

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle následujících možností:

  • Značky hrozeb – pomáhají vám zobrazit nejrelevantní sestavy podle konkrétní kategorie hrozeb. Značka Ransomware například obsahuje všechny sestavy související s ransomwarem.

    Tým Microsoft Threat Intelligence přidává do každé sestavy hrozeb značky hrozeb. V současné době jsou k dispozici následující značky hrozeb:

    • Ransomware
    • Útok phishing
    • Skupina aktivit
    • Zranitelnost

  • Kategorie – pomáhá zobrazit nejrelevantní sestavy podle konkrétního typu sestavy. Například kategorie Aktér zahrnuje všechny profily objektů ohrožení. Další informace o různých typech sestav analytiků

Tyto filtry vám pomůžou efektivně kontrolovat seznam sestav hrozeb. Můžete například zobrazit všechny sestavy hrozeb související s kategorií ransomware nebo sestavy hrozeb, které zahrnují ohrožení zabezpečení.

Kategorie se zobrazují v horní části stránky analýzy hrozeb. Čítače zobrazují počet dostupných sestav v každé kategorii.

Snímek obrazovky s typy sestav analýzy hrozeb

Pokud chcete na řídicí panel přidat typy filtrů sestav, vyberte Filtry, zvolte ze seznamu a vyberte Přidat.

Snímek obrazovky s možností Přidat filtry pro analýzu hrozeb

Pokud chcete nastavit požadované typy sestav v seznamu na základě dostupných filtrů, vyberte typ filtru (například Značky hrozeb), zvolte ze seznamu a vyberte Použít.

Snímek obrazovky se seznamem Filtry ve značkách hrozeb

Zobrazení sestavy analýzy hrozeb

Každá sestava analýzy hrozeb obsahuje informace v několika částech:

Přehled: Rychlé pochopení hrozby, posouzení jejího dopadu a kontrola obrany

V části Přehled najdete náhled podrobné analytické sestavy. Poskytuje také grafy, které zvýrazňují dopad hrozby na vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a neopravených zařízení.

Snímek obrazovky s částí přehledu sestavy analýzy hrozeb

Pochopení hrozby a její taktiky, technik a postupů

Každá sestava obsahuje následující podrobnosti o hrozbě, kdykoli je to možné nebo dostupné, a poskytuje rychlý přehled o hrozbě a o tom, jak může ovlivnit vaši organizaci:

  • Aliasy – seznam veřejně zveřejněných názvů, které jiní dodavatelé zabezpečení hrozbě poskytli.
  • Původ – ukazuje zemi nebo oblast, ze které hrozba pochází.
  • Související inteligence – obsahuje seznam dalších sestav analýzy hrozeb, které jsou relevantní nebo souvisejí s danou hrozbou.
  • Cíle – seznam zemí nebo oblastí a odvětví, na které hrozba cílí
  • Techniky útoku MITRE – uvádí pozorované taktiky, techniky a postupy (TTPs) hrozby podle architektury MITRE ATT&CK.

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled dopadu sledované hrozby na vaši organizaci s následujícími daty:
    • Počet aktivních výstrah a počet aktivních incidentů, ke kterým jsou přidruženy
    • Závažnost aktivních incidentů
  • Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by se v grafu měla zobrazovat upozornění vyřešená během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých prostředků, které aktuálně mají alespoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které přijímají e-maily s hrozbami. Projděte si zásady na úrovni organizace i uživatele, kde najdete přepsání, která způsobují doručování e-mailů s hrozbami.

Kontrola odolnosti a stavu zabezpečení

Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace proti dané hrozbě:

  • Doporučené akce – zobrazuje procento stavu akce nebo počet bodů, které jste dosáhli pro zlepšení stavu zabezpečení. Proveďte doporučené akce, které vám pomůžou hrozbu vyřešit. Můžete zobrazit rozpis bodů podle kategorie nebo stavu.
  • Vystavení koncovým bodům – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužít hrozbou.

Analytická zpráva: Získání odborných přehledů od výzkumníků microsoftu v oblasti zabezpečení

V části Analytická sestava si můžete přečíst podrobný zápis odborníků. Většina sestav poskytuje podrobné popisy útočných řetězců, včetně taktik a technik namapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního proaktivního vyhledávání hrozeb .

Další informace o sestavě analytiků

Karta Související incidenty poskytuje seznam všech incidentů souvisejících se sledované hrozbou. Můžete přiřazovat incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.

Snímek obrazovky se souvisejícími incidenty v sestavě analýzy hrozeb

Poznámka

Incidenty a výstrahy související s touto hrozbou pocházejí z Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender pro Office 365 Microsoft Defender for Cloud Apps a Microsoft Defender pro cloud.

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení, uživatelů, poštovních schránek, aplikací a cloudových prostředků

Karta Ovlivněné prostředky zobrazuje prostředky ovlivněné hrozbou v průběhu času. Zobrazí se:

  • Prostředky ovlivněné aktivními výstrahami
  • Prostředky ovlivněné vyřešenými výstrahami
  • Všechny prostředky nebo celkový počet prostředků ovlivněných aktivními a vyřešenými výstrahami

Prostředky jsou rozděleny do následujících kategorií:

  • Zařízení
  • Uživatelé
  • Poštovní schránky
  • Apps
  • Cloudové prostředky

Snímek obrazovky s částí ovlivněných prostředků sestavy analýzy hrozeb

Vystavení koncovým bodům: Informace o stavu nasazení aktualizací zabezpečení

V části Věnované ohrožení koncových bodů najdete úroveň ohrožení vaší organizace. Úroveň expozice se počítá na základě závažnosti ohrožení zabezpečení a chybných konfigurací, které hrozba zneužije, a počtu zařízení s těmito slabými místy.

Tato část obsahuje také stav nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení zjištěných na onboardovaných zařízeních. Zahrnuje data z Microsoft Defender Správa zranitelností, která také poskytuje podrobné informace o přechodu k podrobnostem z různých odkazů v sestavě.

Část Vystavení koncovým bodům sestavy analýzy hrozeb

Na kartě Doporučené akce si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje podporované konfigurace zabezpečení, například:

  • Cloudová ochrana
  • Ochrana před potenciálně nežádoucími aplikacemi (PUA)
  • Ochrana v reálném čase

Část Doporučené akce sestavy analýzy hrozeb zobrazující podrobnosti o ohrožení zabezpečení

Indikátory: Zobrazení konkrétní infrastruktury a důkazů za hrozbou (Preview)

Karta Indikátory obsahuje seznam všech indikátorů ohrožení zabezpečení (IOC) spojených s touto hrozbou. Výzkumníci Microsoftu aktualizují tyto vstupně-výstupní operace v reálném čase, když najdou nové důkazy související s hrozbou. Tyto informace pomáhají vašim analytikům soc (Security Operations Center) a analytikům analýzy hrozeb s nápravou a proaktivním proaktivním vyhledáváním. Seznam také uchovává IOC s vypršenou platností, takže můžete prozkoumat minulé hrozby a pochopit jejich dopad na vaše prostředí.

Snímek obrazovky s kartou Indikátory v sestavě analýzy hrozeb

Důležité

K informacím na kartě Indikátory mají přístup jenom ověření zákazníci. Pokud k tomuto údaji nemáte přístup, musíte ověřit svého tenanta. Další informace o získání přístupu k IOC

Mějte přehled o nejnovějších sestavách a analýze hrozeb.

Analýza hrozeb využívá a integruje různé funkce Microsoft Defender a Microsoft Security Copilot, aby vás a váš tým SOC aktualizoval vždy, když bude k dispozici nová sestava nebo nová analýza hrozeb relevantní pro vaše prostředí.

Nastavení agenta informací analýzy hrozeb

Nastavte agenta pro informační informace analýzy hrozeb, abyste získali včasné relevantní zprávy analýzy hrozeb s podrobnou technickou analýzou založenou na nejnovější aktivitě aktéra hrozeb a interním i externím ohrožení zabezpečení. Agent koreluje data o hrozbách Microsoftu a signály zákazníků, aby do informací o hrozbách během několika minut přidal kritický kontext, což týmům analytiků ušetří hodiny nebo dokonce dny strávené shromažďováním a korelací inteligentních informací.

Po nasazení se agent informačních informací analýzy hrozeb zobrazí jako banner v horní části stránky Analýza hrozeb.

Snímek obrazovky s bannerem Agenta informačního zpravodaje analýzy hrozeb v horní části stránky Analýza hrozeb

Další informace o informačním agentovi analýzy hrozeb

Nastavte vlastní pravidla detekce a propojte je se sestavou analýzy hrozeb. Pokud se tato pravidla aktivují a výstraha vygeneruje incident, sestava se zobrazí v daném incidentu a incident se zobrazí na kartě Související incidenty , stejně jako jakékoli jiné zjišťování definované Microsoftem.

Snímek obrazovky se stránkou nastavení vlastního zjišťování a zvýrazněnou možností Analýza hrozeb

Další informace o vytváření a správě vlastních pravidel zjišťování

Nastavení e-mailových oznámení pro aktualizace sestav

Nastavte e-mailová oznámení, která vám posílají aktualizace v sestavách analýzy hrozeb. Pokud chcete vytvořit e-mailová oznámení, postupujte podle pokynů v tématu Získání e-mailových oznámení pro aktualizace analýzy hrozeb v Microsoft Defender XDR.

Další podrobnosti sestavy a omezení

Při kontrole dat analýzy hrozeb vezměte v úvahu následující faktory:

  • Kontrolní seznam na kartě Doporučené akce zobrazuje jenom doporučení, která jsou sledována ve skóre zabezpečení Microsoftu. Další doporučené akce, které se nesledují ve skóre zabezpečení, najdete na kartě Sestava analytika .
  • Doporučené akce nezaručují úplnou odolnost a odrážejí pouze nejlepší možné akce potřebné k jejímu zlepšení.
  • Statistiky související s antivirovým programem vycházejí z nastavení Microsoft Defender Antivirové ochrany.
  • Sloupec Chybně nakonfigurovaná zařízení na hlavní stránce Analýza hrozeb zobrazuje počet zařízení ovlivněných hrozbou, pokud nejsou zapnuté související doporučené akce hrozby. Pokud ale výzkumní pracovníci Microsoftu nepropojují žádné doporučené akce, zobrazí se ve sloupci Chybně nakonfigurovaná zařízení stav Není k dispozici.
  • Sloupec Zranitelná zařízení na hlavní stránce Analýza hrozeb zobrazuje počet zařízení se softwarem, která jsou ohrožená některou z chyb zabezpečení spojených s touto hrozbou. Pokud ale výzkumní pracovníci Microsoftu nepropojují žádná ohrožení zabezpečení, zobrazí se ve sloupci Zranitelná zařízení stav Není k dispozici.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

  • Last updated on