Analýza hrozeb v Microsoft Defender XDR

  • Článek

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Analýza hrozeb je naše řešení analýzy hrozeb v rámci produktu od odborných výzkumníků microsoftu v oblasti zabezpečení. Je navržená tak, aby pomáhala bezpečnostním týmům co nejefektivněji čelit vznikajícím hrozbám, jako jsou:

  • Aktivní aktéři hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné možnosti útoku
  • Převládá malware

V tomto krátkém videu se dozvíte více o tom, jak vám analýza hrozeb může pomoct sledovat nejnovější hrozby a zastavit je.

K analýze hrozeb můžete přistupovat buď z levé horní strany navigačního panelu Microsoft Defender XDR, nebo z vyhrazené karty řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska známého dopadu, tak z hlediska vašeho vystavení.

Snímek obrazovky s cílovou stránkou analýzy hrozeb

Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovanými rozhodnutími.

S čím dál sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převážně, je důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli jste momentálně napadeni.
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti vůči hrozbám nebo jejich vystavení
  • Identifikujte akce pro zmírnění, obnovení nebo prevenci, které můžete provést k zastavení nebo omezení hrozeb.

Každá sestava obsahuje analýzu sledované hrozby a rozsáhlé pokyny, jak se této hrozbě bránit. Zahrnuje také data z vaší sítě, která označují, jestli je hrozba aktivní a jestli máte platnou ochranu.

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantní. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí seznam hrozeb, které mají největší dopad na vaši organizaci. V této části jsou jako první uvedeny hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Nejvyšší expozice – seznam hrozeb, kterým je vaše organizace vystavena nejvíce. Úroveň vystavení hrozbě se vypočítá na základě dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci může být těmito ohroženími zabezpečení zneužito.

Snímek obrazovky s řídicím panelem analýzy hrozeb

Výběrem hrozby na řídicím panelu zobrazíte sestavu pro tuto hrozbu. Můžete také vybrat pole Search, které chcete zadat v klíčovém slově, které souvisí se sestavou analýzy hrozeb, kterou si chcete přečíst.

Zobrazení sestav podle kategorie

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle konkrétního typu hrozby nebo podle typu sestavy.

  • Značky hrozeb – pomáhají vám zobrazit nejrelevantní sestavy podle konkrétní kategorie hrozeb. Značka Ransomware například obsahuje všechny sestavy související s ransomwarem.
  • Typy sestav – pomáhají zobrazit nejrelevantní sestavy podle konkrétního typu sestavy. Například značka Tools & techniques (Nástroje & techniky ) obsahuje všechny sestavy, které pokrývají nástroje a techniky.

Různé značky mají ekvivalentní filtry, které vám pomůžou efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Můžete například zobrazit všechny sestavy hrozeb souvisejících s kategorií ransomwaru nebo sestavy hrozeb, které zahrnují ohrožení zabezpečení.

Tým Microsoft Threat Intelligence přidal do každé sestavy hrozeb značky hrozeb. V současné době jsou k dispozici čtyři značky hrozeb:

  • Ransomware
  • Útok phishing
  • Zranitelnost
  • Skupina aktivit

Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. Existují čítače počtu dostupných sestav pod každou značkou.

Snímek obrazovky se značkami sestavy analýzy hrozeb

Pokud chcete nastavit typy sestav, které chcete v seznamu, vyberte Filtry, zvolte ze seznamu a vyberte Použít.

Snímek obrazovky se seznamem Filtry

Pokud jste nastavili více než jeden filtr, můžete seznam sestav analýzy hrozeb také seřadit podle značky hrozeb tak, že vyberete sloupec značky hrozeb:

Snímek obrazovky se sloupcem značek hrozeb

Zobrazení sestavy analýzy hrozeb

Každá sestava analýzy hrozeb obsahuje informace v několika částech:

Přehled: Rychlé pochopení hrozby, posouzení jejího dopadu a kontrola obrany

V části Přehled najdete náhled podrobné analytické sestavy. Poskytuje také grafy, které zvýrazňují dopad hrozby na vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a neopravených zařízení.

Snímek obrazovky s částí přehledu sestavy analýzy hrozeb

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled dopadu sledované hrozby na vaši organizaci s následujícími daty:
    • Počet aktivních výstrah a počet aktivních incidentů, ke kterým jsou přidruženy
    • Závažnost aktivních incidentů
  • Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat výstrahy vyřešené během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých zařízení a e-mailových účtů (poštovních schránek), které mají aktuálně alespoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Projděte si zásady na úrovni organizace i uživatele, kde najdete přepsání, která způsobují doručování e-mailů s hrozbami.
  • Zabránění pokusům o e-mail – zobrazuje počet e-mailů z posledních sedmi dnů, které byly před doručením zablokované nebo doručené do složky nevyžádaná pošta.

Kontrola odolnosti a stavu zabezpečení

Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace proti dané hrozbě:

  • Stav zabezpečené konfigurace – zobrazuje počet zařízení s chybně nakonfigurovaným nastavením zabezpečení. Použijte doporučená nastavení zabezpečení, která vám pomůžou zmírnit hrozbu. Zařízení se považují za zabezpečená , pokud použila všechna sledované nastavení.
  • Stav oprav ohrožení zabezpečení – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužít hrozbou.

Analytická zpráva: Získání odborných přehledů od výzkumníků microsoftu v oblasti zabezpečení

V části Analytická zpráva si přečtěte podrobný zápis odborníků. Většina sestav poskytuje podrobné popisy útočných řetězců, včetně taktik a technik namapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního proaktivního vyhledávání hrozeb .

Další informace o sestavě analytiků

Karta Související incidenty poskytuje seznam všech incidentů souvisejících se sledované hrozbou. Můžete přiřazovat incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.

Snímek obrazovky se souvisejícími incidenty v sestavě analýzy hrozeb

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení a poštovních schránek

Prostředek se považuje za ovlivněný, pokud je ovlivněn aktivním nevyřešeným upozorněním. Na kartě Ovlivněné prostředky jsou uvedené následující typy ovlivněných prostředků:

  • Ovlivněná zařízení – koncové body s nevyřešenými výstrahami Microsoft Defender for Endpoint. Tato upozornění se obvykle aktivují při pozorování známých indikátorů hrozeb a aktivit.
  • Ovlivněné poštovní schránky – poštovní schránky, které obdržely e-mailové zprávy, které aktivovaly Microsoft Defender pro Office 365 upozornění. I když je většina zpráv, které aktivují upozornění, obvykle blokovaná, zásady na úrovni uživatele nebo organizace můžou přepsat filtry.

Snímek obrazovky s částí ovlivněných prostředků sestavy analýzy hrozeb

Zabránění pokusům o e-mail: Zobrazení blokovaných nebo nevyžádaných e-mailů s hrozbami

Microsoft Defender pro Office 365 obvykle blokuje e-maily se známými indikátory hrozeb, včetně škodlivých odkazů nebo příloh. V některých případech budou mechanismy proaktivního filtrování, které kontrolují podezřelý obsah, místo toho odesílat e-maily s hrozbami do složky nevyžádaná pošta. V obou případech se snižuje pravděpodobnost, že hrozba spustí na zařízení kód malwaru.

Karta Zabránění pokusům o e-mail obsahuje seznam všech e-mailů, které byly před doručením zablokovány nebo odeslány do složky nevyžádané pošty Microsoft Defender pro Office 365.

Snímek obrazovky s částí zabránění pokusům o e-mail v sestavě analýzy hrozeb

Ohrožení a zmírnění rizik: Projděte si seznam zmírnění rizik a stavu vašich zařízení.

V části Ohrožení & zmírnění rizik si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje:

  • Aktualizace zabezpečení – nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení zjištěných na onboardovaných zařízeních
  • Podporované konfigurace zabezpečení
    • Cloudová ochrana
    • Ochrana před potenciálně nežádoucími aplikacemi (PUA)
    • Ochrana v reálném čase

Informace o zmírnění rizik v této části zahrnují data z Microsoft Defender Správa zranitelností, která také poskytuje podrobné informace o přechodu k podrobnostem z různých odkazů v sestavě.

Část zmírnění rizik sestavy analýzy hrozeb zobrazující podrobnosti o zabezpečené konfiguraci

Část zmírnění rizik sestavy analýzy hrozeb s podrobnostmi o ohrožení zabezpečení

Část o & zmírnění rizik sestavy analýzy hrozeb

Nastavení e-mailových oznámení pro aktualizace sestav

Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace sestav analýzy hrozeb. Pokud chcete vytvořit e-mailová oznámení, postupujte podle pokynů v tématu Získání e-mailových oznámení pro aktualizace analýzy hrozeb v Microsoft Defender XDR.

Další podrobnosti sestavy a omezení

Poznámka

V rámci jednotného prostředí zabezpečení je teď analýza hrozeb dostupná nejen pro Microsoft Defender for Endpoint, ale také pro Microsoft Defender pro Office 365 držitele licencí.

Pokud nepoužíváte portál zabezpečení Microsoft 365 (Microsoft Defender XDR), můžete také zobrazit podrobnosti sestavy (bez Microsoft Defender pro data Office) na portálu Centrum zabezpečení v programu Microsoft Defender ( Microsoft Defender for Endpoint).

Pro přístup k sestavám analýzy hrozeb potřebujete určité role a oprávnění. Podrobnosti najdete v tématu Vlastní role v řízení přístupu na základě role pro Microsoft Defender XDR.

  • Pokud chcete zobrazit výstrahy, incidenty nebo data ovlivněných prostředků, musíte mít oprávnění k Microsoft Defender pro Office nebo Microsoft Defender for Endpoint dat výstrah, případně obojí.
  • Pokud chcete zobrazit neúspěšné pokusy o e-mail, musíte mít oprávnění k Microsoft Defender pro data office proaktivního vyhledávání.
  • Pokud chcete zobrazit zmírnění rizik, musíte mít oprávnění k datům správy ohrožení zabezpečení programu Defender v Microsoft Defender for Endpoint.

Při pohledu na data analýzy hrozeb mějte na paměti následující faktory:

  • Grafy odrážejí pouze zmírnění rizik, která jsou sledována. V přehledu sestav najdete další zmírnění rizik, která se v grafech nezobrazují.
  • Zmírnění rizik nezaručuje úplnou odolnost. Poskytnutá zmírnění rizik odrážejí nejlepší možná opatření potřebná ke zlepšení odolnosti.
  • Zařízení se počítají jako nedostupná, pokud do služby nepřenesla data.
  • Statistiky související s antivirovým programem vycházejí z nastavení Microsoft Defender Antivirové ochrany. Zařízení s antivirovými řešeními třetích stran se můžou zobrazovat jako "vystavená".

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.