Analýza hrozeb

  • 3 min

Analýza hrozeb je řešení analýzy hrozeb od odborných odborníků z oblasti zabezpečení Microsoftu. Je navržená tak, aby pomohla bezpečnostním týmům, aby byly co nejefektivnější a současně čelí vznikajícím hrozbám, například:

  • Aktivní aktéři hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné prostory útoku
  • Převalentní malware

V tomto krátkém videu se dozvíte více o tom, jak vám analýzy hrozeb můžou pomoct sledovat nejnovější hrozby a zastavit je.

K analýzám hrozeb můžete přistupovat buď z levé horní strany navigačního panelu portálu Zabezpečení Microsoftu 365, nebo z karty vyhrazeného řídicího panelu, která zobrazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska dopadu, tak z hlediska expozice.

Screenshot of the Threat analytics dashboard.

Hrozby s vysokým dopadem mají největší potenciál způsobit škodu, zatímco hrozby s vysokou expozicí představují hrozby, na které jsou vaše prostředky nejvíce zranitelné. Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, může pomoct vašemu provoznímu týmu zabezpečení zajistit informovaná rozhodnutí.

S mnohem sofistikovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a často, je velmi důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli právě neútočíte
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti proti hrozbám nebo jejich vystavení
  • Identifikujte akce pro zmírnění rizik, obnovení nebo prevenci, které můžete provést k zastavení nebo zahrnutí hrozeb.

Každá sestava poskytuje analýzu sledované hrozby a rozsáhlé pokyny k ochraně před danou hrozbou. Zahrnuje také data z vaší sítě, která indikují, jestli je hrozba aktivní a jestli máte platnou ochranu.

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb zvýrazní sestavy, které jsou pro vaši organizaci nejrelevavantnější. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – uvádí seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí hrozby, které mají nejvyšší dopad na vaši organizaci. Tato část uvádí hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Nejvyšší expozice – uvádí hrozby s nejvyšší úrovní expozice jako první. Úroveň expozice hrozby se vypočítá pomocí dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci by mohlo být těmito ohroženími zabezpečení zneužito.

Výběrem hrozby z řídicího panelu se zobrazí sestava pro tuto hrozbu.

Zobrazení sestavy analýzy hrozeb Každá sestava analýzy hrozeb poskytuje informace v několika částech:

  • Přehled
  • Analytická sestava
  • Související incidenty
  • Ovlivněné prostředky
  • Zabránění pokusům o e-mail
  • Expozice a zmírnění rizik

Přehled: Rychle pochopit hrozbu, posoudit její dopad a zkontrolovat obranu

Část Přehled poskytuje náhled podrobné sestavy analytika. Poskytuje také grafy, které zvýrazňují dopad hrozby pro vaši organizaci a ohrožení prostřednictvím chybně nakonfigurovaných a nepatchovaných zařízení.

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled dopadu sledované hrozby pro vaši organizaci s počtem aktivních výstrah a počtem aktivních incidentů, ke kterým jsou přidružené, a závažnosti aktivních incidentů.
  • Výstrahy v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat výstrahy vyřešené během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých zařízení a e-mailových účtů (poštovních schránek), které aktuálně mají aspoň jednu aktivní výstrahu přidruženou ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Zkontrolujte zásady na úrovni organizace i uživatele, kde najdete přepsání, která způsobují doručování e-mailů s hrozbami.
  • Zabránili jste pokusům o odeslání e-mailu – zobrazuje počet e-mailů z posledních sedmi dnů, které byly před doručením nebo doručeny do složky nevyžádané pošty.

Kontrola odolnosti zabezpečení a stavu

Každá sestava obsahuje grafy, které poskytují přehled toho, jak je vaše organizace odolná proti dané hrozbě:

  • Stav zabezpečené konfigurace – zobrazuje počet zařízení s chybně nakonfigurovaným nastavením zabezpečení. Pokud chcete hrozbu zmírnit, použijte doporučená nastavení zabezpečení. Zařízení se považují za zabezpečená, pokud použila všechna sledované nastavení.
  • Stav oprav ohrožení zabezpečení – zobrazuje počet ohrožených zařízení. Aktualizace zabezpečení nebo opravy použijte k řešení ohrožení zabezpečení zneužitých hrozbou.

Zobrazení sestav na značky hrozeb

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantní sestavy podle konkrétní značky hrozeb (kategorie) nebo typu sestavy.

  • Značky hrozeb – pomáhají vám při prohlížení nejrelevavantnějších sestav v závislosti na konkrétní kategorii hrozeb. Například všechny sestavy související s ransomwarem.
  • Typy sestav – pomáhají vám při prohlížení nejrelevavantnějších sestav podle konkrétního typu sestavy. Například všechny sestavy, které pokrývají nástroje a techniky.
  • Filtry – pomáhají efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Zkontrolujte například všechny sestavy hrozeb související s kategorií ransomwaru nebo sestavy hrozeb, které pokrývají ohrožení zabezpečení.

Jak to funguje?

Tým Microsoft Threat Intelligence přidal do každé sestavy hrozeb značky hrozeb:

K dispozici jsou čtyři značky hrozeb:

  • ransomare,
  • Phishing
  • Ohrožení zabezpečení
  • Skupina aktivit

Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. Počet dostupných sestav pod každou značkou má čítače.

Zpráva analytika: Získání expertního přehledu od odborníků na zabezpečení Microsoftu

V části Sestava analytika si pročtěte podrobný zápis odborníka. Většina sestav poskytuje podrobné popisy řetězů útoků, včetně taktik a technik mapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny proaktivního vyhledávání hrozeb.

Karta Související incidenty obsahuje seznam všech incidentů souvisejících se sledovanými hrozbami. Můžete přiřadit incidenty nebo spravovat výstrahy propojené s každým incidentem.

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení a poštovních schránek

Prostředek se považuje za ovlivněný, pokud je ovlivněn aktivní nevyřešenou výstrahou. Na kartě Ovlivněné prostředky jsou uvedeny následující typy ovlivněných prostředků:

  • Ovlivněná zařízení – koncové body, které mají nevyřešené výstrahy v programu Microsoft Defender for Endpoint Tato upozornění se obvykle aktivují při pozorování známých indikátorů hrozeb a aktivit.

  • Ovlivněné poštovní schránky – poštovní schránky, které obdržely e-mailové zprávy, které aktivovaly Microsoft Defender pro Office 365 výstrahy. Většina zpráv, které aktivují výstrahy, jsou obvykle blokované, ale zásady na úrovni uživatele nebo organizace můžou přepsat filtry.

Zabránění pokusům o e-mail: Zobrazení blokovaných nebo nevyžádaných e-mailů s hrozbami

Microsoft Defender pro Office 365 obvykle blokuje e-maily se známými indikátory hrozeb, včetně škodlivých odkazů nebo příloh. V některých případech budou proaktivní mechanismy filtrování, které kontrolují podezřelý obsah, místo toho odesílat e-maily s hrozbami do složky nevyžádaná pošta. V obou případech se sníží pravděpodobnost spuštění malwarového kódu na zařízení pro hrozbu.

Karta Zabránit pokusům o e-mail obsahuje seznam všech e-mailů, které byly před doručením nebo odeslány do složky nevyžádané pošty Microsoft Defender pro Office 365.

Vystavení a zmírnění rizik: Zkontrolujte seznam zmírnění rizik a stav zařízení.

V části Expozice a zmírnění rizik si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje:

  • Aktualizace zabezpečení – nasazení podporovaných aktualizací zabezpečení softwaru pro chyby zabezpečení nalezené na onboardovaných zařízeních
  • Podporované konfigurace zabezpečení
    • Ochrana doručená do cloudu
    • Potenciálně nežádoucí ochrana aplikace (PUA)
    • Ochrana v reálném čase

Informace o zmírnění rizik v této části zahrnují data z hrozeb a správa ohrožení zabezpečení, která také poskytují podrobné informace o podrobnostech z různých odkazů v sestavě.

Nastavení e-mailových oznámení pro aktualizace sestav

Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace v sestavách analýzy hrozeb.

Pokud chcete nastavit e-mailová oznámení pro sestavy analýzy hrozeb, proveďte následující kroky:

  1. Na bočním panelu XDR v programu Microsoft Defender vyberte Nastavení. V seznamu nastavení vyberte XDR v programu Microsoft Defender.

  2. Zvolte Analýzu hrozeb e-mailových oznámení > a vyberte tlačítko + Vytvořit pravidlo oznámení. Zobrazí se informační nabídka.

  3. Postupujte podle kroků uvedených v informačním rámečku. Nejdřív pojmenujte nové pravidlo. Pole popisu je volitelné, ale název je povinný. Pravidlo můžete zapnout nebo vypnout pomocí zaškrtávacího políčka pod polem popisu.

    Poznámka:

    Pole pro název a popis nového pravidla oznámení přijímají pouze anglická písmena a číslice. Nepřijímají mezery, pomlčky, podtržítka ani žádnou jinou interpunkci.

  4. Vyberte, o jakém typu sestav chcete dostávat oznámení. Můžete si vybrat, jestli chcete aktualizovat všechny nově publikované nebo aktualizované sestavy, nebo jenom ty sestavy, které mají určitou značku nebo typ.

  5. Přidejte aspoň jednoho příjemce pro příjem e-mailů s oznámením. Na této obrazovce můžete také zkontrolovat, jak budou oznámení přijata, odesláním testovacího e-mailu.

  1. Zkontrolujte nové pravidlo. Pokud byste chtěli něco změnit, vyberte tlačítko Upravit na konci každé dílčí části. Po dokončení kontroly vyberte tlačítko Vytvořit pravidlo.

Vaše nové pravidlo bylo úspěšně vytvořeno. Výběrem tlačítka Hotovo dokončete proces a zavřete informační panel. Nové pravidlo se teď zobrazí v seznamu e-mailových oznámení analýzy hrozeb.