Analytická sestava v analýze hrozeb
Platí pro:
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Každá sestava analýzy hrozeb obsahuje dynamické oddíly a komplexní písemnou část označovanou jako analytická sestava. K této části se dostanete tak, že otevřete sestavu o sledované hrozbě a vyberete kartu Sestava analytika .
Část sestavy analytiků sestavy analýzy hrozeb
Kontrola sestavy analytika
Každá část sestavy analytika je navržená tak, aby poskytovala užitečné informace. I když se sestavy liší, většina sestav obsahuje oddíly popsané v následující tabulce.
| Oddíl sestavy | Popis |
|---|---|
| Shrnutí | Přehled hrozby, včetně jejího prvního výskytu, její motivace, významných událostí, hlavních cílů a jedinečných nástrojů a technik Tyto informace můžete použít k dalšímu posouzení, jak určit prioritu hrozby v kontextu vašeho odvětví, zeměpisné polohy a sítě. |
| Analýza | Technické informace o hrozbách, včetně podrobností o útoku a způsobu, jakým útočníci můžou využít novou techniku nebo prostor pro útoky |
| Pozorované techniky MITRE ATT&CK | Jak se pozorované techniky mapuje na architekturu útoku MITRE ATT&CK |
| Zmírnění rizik | Doporučení, která můžou zastavit nebo snížit dopad hrozby Tato část obsahuje také zmírnění rizik, která nejsou dynamicky sledována v rámci sestavy analýzy hrozeb. |
| Podrobnosti o detekci | Konkrétní a obecná detekce poskytovaná řešeními zabezpečení od Microsoftu, která můžou odhalit aktivitu nebo komponenty spojené s touto hrozbou. |
| Pokročilé rozšířené proaktivní vyhledávání | Rozšířené dotazy proaktivního vyhledávání pro aktivní identifikaci možných aktivit hrozeb Většina dotazů slouží k doplnění detekce, zejména pro vyhledání potenciálně škodlivých součástí nebo chování, které nebylo možné dynamicky vyhodnotit jako škodlivé. |
| Odkazy | Publikace microsoftu a třetích stran, na které při vytváření sestavy odkazují analytici. Obsah analýzy hrozeb je založený na datech ověřených výzkumníky Microsoftu. Jako takové jsou jasně označeny informace z veřejně dostupných zdrojů třetích stran. |
| Změnit protokol | Čas publikování sestavy a čas, kdy byly v sestavě provedeny významné změny. |
Použití dalších zmírnění rizik
Analýza hrozeb dynamicky sleduje stav aktualizací zabezpečení a zabezpečených konfigurací. Tyto informace jsou k dispozici jako grafy a tabulky na kartě Zmírnění rizik .
Kromě těchto sledovaných zmírnění rizik se zpráva analytika věnuje také zmírnění rizik, která nejsou dynamicky monitorována. Tady je několik příkladů důležitých zmírnění rizik, která nejsou dynamicky sledována:
- Blokování e-mailů s .lnk přílohami nebo jinými podezřelými typy souborů
- Náhodné určení hesel místních správců
- Informování koncových uživatelů o phishingových e-mailech a dalších vektorech hrozeb
- Zapnutí konkrétních pravidel omezení potenciální oblasti útoku
I když můžete použít kartu Zmírnění rizik k posouzení stavu zabezpečení proti hrozbě, tato doporučení vám umožní podniknout další kroky ke zlepšení stavu zabezpečení. Pečlivě si přečtěte všechny pokyny ke zmírnění rizik v analytické zprávě a použijte je, kdykoli je to možné.
Vysvětlení toho, jak je možné detekovat jednotlivé hrozby
Analytická sestava také poskytuje detekce z Microsoft Defender antivirové ochrany a možností detekce a odezvy koncových bodů (EDR).
Detekce antivirové ochrany
Tyto detekce jsou k dispozici na zařízeních se zapnutou antivirovou sadou Microsoft Defender ve Windows. Pokud k těmto detekcí dochází na zařízeních, která byla nasazena do Microsoft Defender for Endpoint, aktivují se také upozornění, která rozsvítí grafy v sestavě.
Poznámka
Sestava analytika obsahuje také seznam obecných detekcí , které můžou kromě komponent nebo chování specifických pro sledované hrozby identifikovat širokou škálu hrozeb. Tyto obecné detekce se v grafech neprojevují.
Výstrahy detekce a odezvy koncových bodů (EDR)
Upozornění EDR se aktivují pro zařízení nasazená do Microsoft Defender for Endpoint. Tyto výstrahy obecně spoléhají na signály zabezpečení shromažďované senzorem Microsoft Defender for Endpoint a dalšími funkcemi koncových bodů (jako je antivirový program, ochrana sítě nebo ochrana před falšováním), které slouží jako výkonné zdroje signálu.
Podobně jako seznam antivirových detekcí jsou i některé výstrahy EDR navržené tak, aby obecně označovaly podezřelé chování, které nemusí být přidružené ke sledované hrozbě. V takových případech sestava jasně identifikuje výstrahu jako obecnou a nemá vliv na žádný graf v sestavě.
Vyhledání drobných artefaktů hrozeb pomocí rozšířeného proaktivního vyhledávání
I když detekce umožňují automaticky identifikovat a zastavit sledované hrozby, mnoho aktivit útoků zanechává drobné stopy, které vyžadují další kontrolu. Některé aktivity útoku vykazují chování, které může být také normální, takže jejich dynamická detekce může vést k provoznímu šumu nebo dokonce falešně pozitivním výsledkům.
Rozšířené proaktivní vyhledávání poskytuje rozhraní dotazů založené na dotazovací jazyk Kusto, které zjednodušuje vyhledání drobných indikátorů aktivity hrozeb. Umožňuje také zobrazit kontextové informace a ověřit, jestli jsou indikátory připojené k hrozbě.
Pokročilé dotazy proaktivního vyhledávání v analytických sestavách prověřili analytici Microsoftu a jsou připravené ke spuštění v editoru pokročilých dotazů proaktivního vyhledávání. Pomocí dotazů můžete také vytvořit vlastní pravidla detekce , která aktivují upozornění na budoucí shody.
Související témata
- Přehled analýzy hrozeb
- Proaktivní hledání hrozeb pomocí pokročilého proaktivního vyhledávání
- Vlastní pravidla detekce
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro