Vysvětlení analytické sestavy v analýze hrozeb v Microsoft Defender XDR
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Každá sestava analýzy hrozeb obsahuje dynamické oddíly a komplexní písemnou část označovanou jako analytická sestava. K této části se dostanete tak, že otevřete sestavu o sledované hrozbě a vyberete kartu Sestava analytika .
Část sestavy analytiků sestavy analýzy hrozeb
Kontrola sestavy analytika
Každá část sestavy analytika je navržená tak, aby poskytovala užitečné informace. I když se sestavy liší, většina sestav obsahuje oddíly popsané v následující tabulce.
| Oddíl sestavy | Popis |
|---|---|
| Shrnutí | Přehled hrozby, včetně jejího prvního výskytu, její motivace, významných událostí, hlavních cílů a jedinečných nástrojů a technik Tyto informace můžete použít k dalšímu posouzení, jak určit prioritu hrozby v kontextu vašeho odvětví, zeměpisné polohy a sítě. |
| Analýza | Technické informace o hrozbách, včetně podrobností o útoku a způsobu, jakým útočníci můžou využít novou techniku nebo prostor pro útoky |
| Pozorované techniky MITRE ATT&CK | Jak se pozorované techniky mapuje na architekturu útoku MITRE ATT&CK |
| Zmírnění rizik | Doporučení, která můžou zastavit nebo snížit dopad hrozby Tato část obsahuje také zmírnění rizik, která nejsou dynamicky sledována v rámci sestavy analýzy hrozeb. |
| Podrobnosti o detekci | Konkrétní a obecná detekce poskytovaná řešeními zabezpečení od Microsoftu, která můžou odhalit aktivitu nebo komponenty spojené s touto hrozbou. |
| Pokročilé rozšířené proaktivní vyhledávání | Rozšířené dotazy proaktivního vyhledávání pro aktivní identifikaci možných aktivit hrozeb Většina dotazů slouží k doplnění detekce, zejména pro vyhledání potenciálně škodlivých součástí nebo chování, které nebylo možné dynamicky vyhodnotit jako škodlivé. |
| Odkazy | Publikace microsoftu a třetích stran, na které při vytváření sestavy odkazují analytici. Obsah analýzy hrozeb je založený na datech ověřených výzkumníky Microsoftu. Jako takové jsou jasně označeny informace z veřejně dostupných zdrojů třetích stran. |
| Změnit protokol | Čas publikování sestavy a čas, kdy byly v sestavě provedeny významné změny. |
Použití dalších zmírnění rizik
Analýza hrozeb dynamicky sleduje stav aktualizací zabezpečení a zabezpečených konfigurací. Tyto informace jsou k dispozici jako grafy a tabulky na kartě Ohrožení & zmírnění rizik.
Kromě těchto sledovaných zmírnění rizik se zpráva analytika věnuje také zmírnění rizik, která nejsou dynamicky monitorována. Tady je několik příkladů důležitých zmírnění rizik, která nejsou dynamicky sledována:
- Blokování e-mailů s .lnk přílohami nebo jinými podezřelými typy souborů
- Náhodné určení hesel místních správců
- Informování koncových uživatelů o phishingových e-mailech a dalších vektorech hrozeb
- Zapnutí konkrétních pravidel omezení potenciální oblasti útoku
I když můžete použít kartu Ohrožení & zmírnění rizik k posouzení stavu zabezpečení vůči hrozbě, tato doporučení vám umožní podniknout další kroky ke zlepšení stavu zabezpečení. Pečlivě si přečtěte všechny pokyny ke zmírnění rizik v analytické zprávě a použijte je, kdykoli je to možné.
Vysvětlení toho, jak je možné detekovat jednotlivé hrozby
Analytická sestava také poskytuje detekce z Microsoft Defender antivirové ochrany a možností detekce a odezvy koncových bodů (EDR).
Detekce antivirové ochrany
Tyto detekce jsou k dispozici na zařízeních se zapnutou antivirovou sadou Microsoft Defender ve Windows. Pokud k těmto detekcí dochází na zařízeních, která byla nasazena do Microsoft Defender for Endpoint, aktivují se také upozornění, která rozsvítí grafy v sestavě.
Poznámka
Sestava analytika obsahuje také seznam obecných detekcí , které můžou kromě komponent nebo chování specifických pro sledované hrozby identifikovat širokou škálu hrozeb. Tyto obecné detekce se v grafech neprojevují.
Výstrahy detekce a odezvy koncových bodů (EDR)
Upozornění EDR se aktivují pro zařízení nasazená do Microsoft Defender for Endpoint. Tyto výstrahy obecně spoléhají na signály zabezpečení shromažďované senzorem Microsoft Defender for Endpoint a další funkce koncových bodů, jako je antivirový program, ochrana sítě nebo ochrana před falšováním, které slouží jako výkonné zdroje signálů.
Podobně jako seznam antivirových detekcí jsou i některé výstrahy EDR navržené tak, aby obecně označovaly podezřelé chování, které nemusí být přidružené ke sledované hrozbě. V takových případech sestava jasně identifikuje výstrahu jako obecnou a nemá vliv na žádný graf v sestavě.
detekce a zmírnění rizik souvisejících s Email
Email detekce a zmírnění rizik z Microsoft Defender pro Office 365 jsou kromě dat koncových bodů, která už jsou k dispozici z Microsoft Defender for Endpoint, součástí analytických sestav.
Informace o zabránění pokusům o e-mail poskytují přehled o tom, jestli byla vaše organizace cílem hrozby, kterou řeší zpráva analytika, i když byl útok před doručením nebo doručením do složky nevyžádaná pošta ve skutečnosti zablokovaný.
Vyhledání drobných artefaktů hrozeb pomocí rozšířeného proaktivního vyhledávání
I když detekce umožňují automaticky identifikovat a zastavit sledované hrozby, mnoho aktivit útoků zanechává drobné stopy, které vyžadují další kontrolu. Některé aktivity útoku vykazují chování, které může být také normální, takže jejich dynamická detekce může vést k provoznímu šumu nebo dokonce falešně pozitivním výsledkům.
Rozšířené proaktivní vyhledávání poskytuje rozhraní dotazů založené na dotazovací jazyk Kusto, které zjednodušuje vyhledání drobných indikátorů aktivity hrozeb. Umožňuje také zobrazit kontextové informace a ověřit, jestli jsou indikátory připojené k hrozbě.
Pokročilé dotazy proaktivního vyhledávání v analytických sestavách prověřili analytici Microsoftu a jsou připravené ke spuštění v editoru pokročilých dotazů proaktivního vyhledávání. Pomocí dotazů můžete také vytvořit vlastní pravidla detekce , která aktivují upozornění na budoucí shody.
Poznámka
Analýza hrozeb je k dispozici také v Microsoft Defender for Endpoint. Nemá ale integraci dat mezi Microsoft Defender pro Office 365 a Microsoft Defender for Endpoint.
Související témata
- Přehled analýzy hrozeb
- Proaktivní hledání hrozeb pomocí pokročilého proaktivního vyhledávání
- Vlastní pravidla detekce
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro