Forstå analytikerrapporten i trusselsanalyse i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Hver rapport til trusselsanalyse indeholder dynamiske afsnit og et omfattende skrevet afsnit kaldet analytikerrapporten. Hvis du vil have adgang til dette afsnit, skal du åbne rapporten om den sporede trussel og vælge fanen Analytikerrapport .
Sektionen Analytikerrapport i en rapport med trusselsanalyse
Scan analytikerrapporten
Hvert afsnit i analytikerrapporten er designet til at levere handlingsrettede oplysninger. Selvom rapporter varierer, indeholder de fleste rapporter de afsnit, der er beskrevet i følgende tabel.
| Rapportsektion | Beskrivelse |
|---|---|
| Resumé | Oversigt over truslen, herunder hvornår den først blev set, dens motivationer, bemærkelsesværdige begivenheder, store mål og forskellige værktøjer og teknikker. Du kan bruge disse oplysninger til yderligere at vurdere, hvordan du prioriterer truslen i forhold til din branche, din geografiske placering og dit netværk. |
| Analyse | Tekniske oplysninger om truslerne, herunder oplysninger om et angreb, og hvordan angribere kan bruge en ny teknik eller angrebsoverflade |
| MITRE ATT-&observerede CK-teknikker | Hvordan observerede teknikker knyttes til MITRE ATT&CK-angrebsstrukturen |
| Afhjælpninger | Anbefalinger, der kan stoppe eller hjælpe med at reducere effekten af truslen. Dette afsnit indeholder også afhjælpninger, der ikke spores dynamisk som en del af rapporten til trusselsanalyse. |
| Oplysninger om registrering | Specifikke og generiske registreringer, der leveres af Microsofts sikkerhedsløsninger, som kan vise aktivitet eller komponenter, der er knyttet til truslen. |
| Avanceret jagt | Avancerede jagtforespørgsler til proaktivt at identificere mulig trusselsaktivitet. De fleste forespørgsler leveres for at supplere registreringer, især for at finde potentielt skadelige komponenter eller funktionsmåder, der ikke dynamisk kan vurderes som skadelige. |
| Referencer | Microsoft- og tredjepartspublikationer, som analytikere refererer til under oprettelsen af rapporten. Trusselsanalyseindhold er baseret på data, der er valideret af Microsoft-forskere. Oplysninger fra offentligt tilgængelige tredjepartskilder identificeres klart som sådanne. |
| Ændringslog | Det tidspunkt, hvor rapporten blev publiceret, og hvor der blev foretaget betydelige ændringer af rapporten. |
Anvend yderligere afhjælpninger
Trusselsanalyser sporer dynamisk status for sikkerhedsopdateringer og sikre konfigurationer. Disse oplysninger er tilgængelige som diagrammer og tabeller under fanen Eksponering & afhjælpninger .
Ud over disse sporede afhjælpninger diskuterer analytikerrapporten også afhjælpninger, der ikke overvåges dynamisk. Her er nogle eksempler på vigtige afhjælpninger, der ikke spores dynamisk:
- Bloker mails med .lnk vedhæftede filer eller andre mistænkelige filtyper
- Randomiser adgangskoder til lokale administratorer
- Oplær slutbrugere i phishing-mail og andre trusselsvektorer
- Aktivér specifikke regler for reduktion af angrebsoverfladen
Selvom du kan bruge fanen Eksponering & afhjælpninger til at vurdere din sikkerhedsholdning mod en trussel, kan du med disse anbefalinger tage yderligere skridt til at forbedre din sikkerhedsholdning. Læs omhyggeligt alle afhjælpningsvejledningerne i analytikerrapporten, og anvend dem, når det er muligt.
Forstå, hvordan hver trussel kan registreres
Analytikerrapporten indeholder også registreringer fra Microsoft Defender Antivirus- og EDR-funktioner (Endpoint Detection and Response).
Antivirusregistreringer
Disse registreringer er tilgængelige på enheder, hvor Microsoft Defender Antivirus er slået til i Windows. Når disse registreringer forekommer på enheder, der er blevet onboardet til Microsoft Defender for Endpoint, udløser de også beskeder, der lyser diagrammerne i rapporten.
Bemærk!
Analytikerrapporten viser også generiske registreringer , der kan identificere en lang række trusler ud over komponenter eller funktionsmåder, der er specifikke for den sporede trussel. Disse generiske registreringer afspejles ikke i diagrammerne.
EDR-beskeder (Endpoint Detection and Response)
Der sendes EDR-beskeder for enheder, der er onboardet i Microsoft Defender for Endpoint. Disse beskeder er generelt afhængige af sikkerhedssignaler, der indsamles af Microsoft Defender for Endpoint-sensoren og andre slutpunktsfunktioner – f.eks. antivirus, netværksbeskyttelse, manipulationsbeskyttelse – der fungerer som effektive signalkilder.
På samme måde som listen over antivirusregistreringer er nogle EDR-beskeder designet til at markere mistænkelig adfærd, der muligvis ikke er knyttet til den sporede trussel. I sådanne tilfælde identificerer rapporten klart beskeden som "generisk", og at den ikke påvirker nogen af diagrammerne i rapporten.
Mailrelaterede registreringer og afhjælpninger
Mailrelaterede registreringer og afhjælpninger fra Microsoft Defender for Office 365 er inkluderet i analytikerrapporter ud over de slutpunktsdata, der allerede er tilgængelige fra Microsoft Defender for Endpoint.
Oplysninger om forhindrede mailforsøg giver dig indsigt i, om din organisation var et mål for den trussel, der blev tacklet i analytikerrapporten, selvom angrebet er blevet effektivt blokeret, før det blev leveret eller leveret til mappen med uønsket mail.
Find subtile trusselsartefakter ved hjælp af avanceret jagt
Selvom registreringer giver dig mulighed for at identificere og stoppe den sporede trussel automatisk, efterlader mange angrebsaktiviteter diskrete sporinger, der kræver yderligere inspektion. Nogle angrebsaktiviteter udviser adfærd, der også kan være normale, så detektering af dem dynamisk kan resultere i driftsstøj eller endda falske positiver.
Avanceret jagt giver en forespørgselsgrænseflade, der er baseret på Kusto Query Language, som forenkler lokalisering af diskrete indikatorer for trusselsaktivitet. Det giver dig også mulighed for at vise kontekstafhængige oplysninger og kontrollere, om indikatorer er forbundet til en trussel.
Avancerede jagtforespørgsler i analytikerrapporterne er blevet undersøgt af Microsoft-analytikere og er klar til at køre i editoren til avanceret jagtforespørgsel. Du kan også bruge forespørgslerne til at oprette brugerdefinerede registreringsregler , der udløser beskeder om fremtidige matches.
Bemærk!
Trusselsanalyse er også tilgængelig i Microsoft Defender for Endpoint. Den har dog ikke dataintegrationen mellem Microsoft Defender for Office 365 og Microsoft Defender for Endpoint.
Relaterede emner
- Oversigt over Trusselsanalyse
- Find proaktivt trusler med avanceret jagt
- Regler for brugerdefineret registrering
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om