Analýza hrozeb v Microsoft Defender XDR
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Analýza hrozeb je naše řešení analýzy hrozeb v rámci produktu od odborných výzkumníků microsoftu v oblasti zabezpečení. Je navržená tak, aby pomáhala bezpečnostním týmům co nejefektivněji čelit vznikajícím hrozbám, jako jsou:
- Aktivní aktéři hrozeb a jejich kampaně
- Oblíbené a nové techniky útoku
- Kritická ohrožení zabezpečení
- Běžné možnosti útoku
- Převládá malware
K analýze hrozeb můžete přistupovat buď z levé horní strany navigačního panelu Microsoft Defender portálu, nebo z vyhrazené karty řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska známého dopadu, tak z hlediska vašeho ohrožení.
Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovanými rozhodnutími.
S čím dál sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převážně, je důležité, abyste mohli rychle:
- Identifikace nově vznikajících hrozeb a reakce na ně
- Zjistěte, jestli jste momentálně napadeni.
- Posouzení dopadu hrozby na vaše prostředky
- Kontrola odolnosti vůči hrozbám nebo jejich vystavení
- Identifikujte akce pro zmírnění, obnovení nebo prevenci, které můžete provést k zastavení nebo omezení hrozeb.
Každá sestava obsahuje analýzu sledované hrozby a rozsáhlé pokyny, jak se této hrozbě bránit. Zahrnuje také data z vaší sítě, která označují, jestli je hrozba aktivní a jestli máte platnou ochranu.
Pro přístup k analýze hrozeb na portálu Defender se vyžadují následující role a oprávnění:
- Základy zabezpečení dat (čtení) – zobrazení sestavy analýzy hrozeb, souvisejících incidentů a výstrah a ovlivněných prostředků
- Správa ohrožení zabezpečení (čtení) a skóre zabezpečení (čtení) – zobrazení souvisejících dat o ohrožení zabezpečení a doporučených akcí
Ve výchozím nastavení se přístup ke službám dostupným na portálu Defender spravuje souhrnně pomocí Microsoft Entra globálních rolí. Pokud potřebujete větší flexibilitu a kontrolu nad přístupem ke konkrétním datům produktů a ještě nepoužíváte Microsoft Defender XDR sjednocené řízení přístupu na základě role (RBAC) pro centralizovanou správu oprávnění, doporučujeme pro každou službu vytvořit vlastní role. Další informace o vytváření vlastních rolí
Důležité
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Budete mít přehled o všech sestavách analýzy hrozeb, i když máte jenom jeden z podporovaných produktů. Musíte ale mít každý produkt a roli, abyste viděli konkrétní incidenty, prostředky, ohrožení a doporučené akce související s touto hrozbou.
Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantní. Shrnuje hrozby v následujících částech:
- Nejnovější hrozby – seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
- Hrozby s vysokým dopadem – uvádí seznam hrozeb, které mají největší dopad na vaši organizaci. V této části jsou jako první uvedeny hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
- Hrozby s nejvyšší expozicí – seznam hrozeb, kterým je vaše organizace vystavena nejvíce. Úroveň vystavení hrozbě se vypočítá na základě dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci může být těmito ohroženími zabezpečení zneužito.
Výběrem hrozby na řídicím panelu zobrazíte sestavu pro tuto hrozbu. Můžete také vybrat pole Hledat , které se má zadat v klíčovém slově, které souvisí se sestavou analýzy hrozeb, kterou si chcete přečíst.
Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle konkrétního typu hrozby nebo podle typu sestavy.
- Značky hrozeb – pomáhají vám zobrazit nejrelevantní sestavy podle konkrétní kategorie hrozeb. Značka Ransomware například obsahuje všechny sestavy související s ransomwarem.
- Typy sestav – pomáhají zobrazit nejrelevantní sestavy podle konkrétního typu sestavy. Například značka Tools & techniques (Nástroje & techniky ) obsahuje všechny sestavy, které pokrývají nástroje a techniky.
Různé značky mají ekvivalentní filtry, které vám pomůžou efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Můžete například zobrazit všechny sestavy hrozeb souvisejících s kategorií ransomwaru nebo sestavy hrozeb, které zahrnují ohrožení zabezpečení.
Tým Microsoft Threat Intelligence přidává do každé sestavy hrozeb značky hrozeb. V současné době jsou k dispozici následující značky hrozeb:
- Ransomware
- Vydírání
- Útok phishing
- Hands on keyboard
- Skupina aktivit
- Zranitelnost
- Útočná kampaň
- Nástroj nebo technika
Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. Existují čítače počtu dostupných sestav pod každou značkou.
Pokud chcete nastavit typy sestav, které chcete v seznamu, vyberte Filtry, zvolte ze seznamu a vyberte Použít.
Pokud nastavíte více než jeden filtr, můžete seznam sestav analýzy hrozeb také seřadit podle značky hrozeb tak, že vyberete sloupec značky hrozeb:
Každá sestava analýzy hrozeb obsahuje informace v několika částech:
- Přehled
- Analytická sestava
- Související incidenty
- Ovlivněné prostředky
- Vystavení koncovým bodům
- Doporučené akce
V části Přehled najdete náhled podrobné analytické sestavy. Poskytuje také grafy, které zvýrazňují dopad hrozby na vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a neopravených zařízení.
Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:
-
Související incidenty – poskytuje přehled dopadu sledované hrozby na vaši organizaci s následujícími daty:
- Počet aktivních výstrah a počet aktivních incidentů, ke kterým jsou přidruženy
- Závažnost aktivních incidentů
- Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat výstrahy vyřešené během několika dnů.
- Ovlivněné prostředky – zobrazuje počet různých prostředků, které aktuálně mají alespoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Projděte si zásady na úrovni organizace i uživatele, kde najdete přepsání, která způsobují doručování e-mailů s hrozbami.
Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace proti dané hrozbě:
- Doporučené akce – zobrazuje procento stavu akce nebo počet bodů, které jste dosáhli pro zlepšení stavu zabezpečení. Proveďte doporučené akce, které vám pomůžou hrozbu vyřešit. Můžete zobrazit rozpis bodů podle kategorie nebo stavu.
- Vystavení koncovým bodům – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužít hrozbou.
V části Analytická zpráva si přečtěte podrobný zápis odborníků. Většina sestav poskytuje podrobné popisy útočných řetězců, včetně taktik a technik namapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního proaktivního vyhledávání hrozeb .
Další informace o sestavě analytiků
Karta Související incidenty poskytuje seznam všech incidentů souvisejících se sledované hrozbou. Můžete přiřazovat incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.
Poznámka
Incidenty a výstrahy spojené s hrozbou pocházejí z defenderu for Endpoint, Defenderu for Identity, Defender pro Office 365, Defender for Cloud Apps a Defenderu for Cloud.
Ovlivněné prostředky: Získání seznamu ovlivněných zařízení, uživatelů, poštovních schránek, aplikací a cloudových prostředků
Karta Ovlivněné prostředky zobrazuje prostředky ovlivněné hrozbou v průběhu času. Zobrazí se:
- Prostředky ovlivněné aktivními výstrahami
- Prostředky ovlivněné vyřešenými výstrahami
- Všechny prostředky nebo celkový počet prostředků ovlivněných aktivními a vyřešenými výstrahami
Prostředky jsou rozděleny do následujících kategorií:
- Zařízení
- Uživatelé
- Poštovní schránky
- Apps
- Cloudové prostředky
Část Vystavení koncovým bodům poskytuje úroveň ohrožení hrozby vaší organizace, která se počítá na základě závažnosti ohrožení zabezpečení a chybných konfigurací zneužít uvedených hrozeb a počtu zařízení s těmito slabými místy.
Tato část obsahuje také stav nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení zjištěných na onboardovaných zařízeních. Zahrnuje data z Microsoft Defender Správa zranitelností, která také poskytuje podrobné informace o přechodu k podrobnostem z různých odkazů v sestavě.
Na kartě Doporučené akce si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje podporované konfigurace zabezpečení, například:
- Cloudová ochrana
- Ochrana před potenciálně nežádoucími aplikacemi (PUA)
- Ochrana v reálném čase
Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace sestav analýzy hrozeb. Pokud chcete vytvořit e-mailová oznámení, postupujte podle pokynů v tématu Získání e-mailových oznámení pro aktualizace analýzy hrozeb v Microsoft Defender XDR.
Při pohledu na data analýzy hrozeb mějte na paměti následující faktory:
- Kontrolní seznam na kartě Doporučené akce zobrazuje jenom doporučení, která jsou sledována ve skóre zabezpečení Microsoftu. Další doporučené akce, které se nesledují ve skóre zabezpečení, najdete na kartě Sestava analytika .
- Doporučené akce nezaručují úplnou odolnost a odrážejí pouze nejlepší možné akce potřebné k jejímu zlepšení.
- Statistiky související s antivirovým programem vycházejí z nastavení Microsoft Defender Antivirové ochrany.
- Sloupec Chybně nakonfigurovaná zařízení na hlavní stránce Analýza hrozeb zobrazuje počet zařízení ovlivněných hrozbou, pokud nejsou zapnuté související doporučené akce hrozby. Pokud ale výzkumní pracovníci Microsoftu nepropojují žádné doporučené akce, zobrazí se ve sloupci Chybně nakonfigurovaná zařízení stav Není k dispozici.
- Sloupec Zranitelná zařízení na hlavní stránce Analýza hrozeb zobrazuje počet zařízení se softwarem, která jsou ohrožená některou z chyb zabezpečení spojených s touto hrozbou. Pokud ale výzkumní pracovníci Microsoftu nepropojují žádná ohrožení zabezpečení, zobrazí se ve sloupci Zranitelná zařízení stav Není k dispozici.
- Proaktivní hledání hrozeb pomocí pokročilého proaktivního vyhledávání
- Vysvětlení části sestavy analytika
- Posouzení a řešení slabých stránek a ohrožení zabezpečení
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.