Jaa


Uhka-analytiikka Microsoft Defender XDR:ssä

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Uhka-analytiikka on microsoftin asiantuntuisten tietoturvatutkijoiden tuotekohtainen uhkatietoratkaisu. Se on suunniteltu auttamaan suojaustiimejä olemaan mahdollisimman tehokkaita uusien uhkien, kuten:

  • Aktiiviset uhkatoimijat ja niiden kampanjat
  • Suositut ja uudet hyökkäystekniikat
  • Kriittiset haavoittuvuudet
  • Yleiset hyökkäyspinnat
  • Laajalle levinnyt haittaohjelma

Voit käyttää uhka-analytiikkaa joko Microsoft Defender -portaalin siirtymispalkin vasemmasta yläkulmasta tai erillisestä koontinäyttökortista, joka näyttää organisaatiosi parhaat uhat sekä tunnetun vaikutuksen että altistumisen suhteen.

Näyttökuva uhka-analytiikan aloitussivusta

Näkyvyyden saaminen aktiivisista tai jatkuvista kampanjoista ja tieto siitä, mitä tehdä uhka-analytiikan avulla, voi auttaa varustamaan tietoturvatiimisi tietoon perustuvilla päätöksillä.

Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:

  • Uusien uhkien tunnistaminen ja niihin reagoiminen
  • Lue, jos olet hyökkäyksen kohteena
  • Arvioi resurssiesi uhan vaikutusta
  • Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
  • Tunnista lievennys-, palautus- tai estotoimet, joilla voit pysäyttää tai sisältää uhkia

Jokainen raportti tarjoaa analyysin seuratusta uhasta ja laajoja ohjeita siitä, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.

Pakolliset roolit ja käyttöoikeudet

Seuraavassa taulukossa esitetään Threat Analyticsin käyttämiseen tarvittavat roolit ja käyttöoikeudet. Taulukossa määritetyt roolit viittaavat mukautettuihin rooleihin yksittäisissä portaaleissa, eikä niitä ole yhdistetty Microsoft Entra -tunnuksen yleisiin rooleihin, vaikka ne olisi nimetty samalla tavalla.

Jokin seuraavista rooleista vaaditaan Microsoft Defender XDR:lle Microsoft Defender for Endpoint edellyttää jotakin seuraavista rooleista Microsoft Defender for Office 365:lle vaaditaan jokin seuraavista rooleista Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity vaativat jonkin seuraavista rooleista. Microsoft Defender for Cloud edellyttää yhtä seuraavista rooleista
Uhka-analytiikka Ilmoitusten ja tapausten tiedot:
  • Tietojen suojaustoimintojen tarkasteleminen
Defenderin haavoittuvuuden hallinnan lievennykset:
  • Tietojen tarkasteleminen – uhkien ja haavoittuvuuden hallinta
Ilmoitusten ja tapausten tiedot:
  • Vain tarkastelu -ilmoitusten hallinta
  • Hallitse ilmoituksia
  • Organisaation määritys
  • Valvontalokit
  • Vain tarkastelu -valvontalokit
  • Suojaustietojen lukija
  • Suojauksen järjestelmänvalvoja
  • Vain tarkastelu -vastaanottajat
Estyneet sähköpostiyritykset:
  • Suojaustietojen lukija
  • Suojauksen järjestelmänvalvoja
  • Vain tarkastelu -vastaanottajat
  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja
  • Vaatimustenmukaisuuden järjestelmänvalvoja
  • Suojausoperaattori
  • Suojaustietojen lukija
  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Näet kaikki uhka-analytiikkaraportit, vaikka sinulla olisi vain yksi edellisessä taulukossa kuvatuista tuotteista ja niitä vastaavista rooleista. Sinulla on kuitenkin oltava jokainen tuote ja rooli, jotta näet kyseisen tuotteen erityiset tapaukset, resurssit, altistumisen ja uhkiin liittyvät suositellut toimet.

Lisätietoja:

Uhka-analytiikan koontinäytön tarkasteleminen

Uhka-analytiikan koontinäyttö (security.microsoft.com/threatanalytics3) korostaa raportit, jotka ovat olennaisimpia organisaatiollesi. Se tekee yhteenvedon uhkista seuraavissa osioissa:

  • Uusimmat uhat – luetteloi viimeksi julkaistut tai päivitetyt uhkaraportit sekä aktiivisten ja ratkaistujen hälytysten määrän.
  • Suurivaikutusuhkissa luetellaan uhat, joilla on suurin vaikutus organisaatioosi. Tässä osiossa luetellaan ensin uhat, joissa on eniten aktiivisia ja ratkaistuja ilmoituksia.
  • Suurimman altistumisen uhat – luettelee uhat, joille organisaatiosi altistuu eniten. Altistumistasosi uhalle lasketaan käyttämällä kahta tietoa: kuinka vakavia uhkaan liittyvät haavoittuvuudet ovat ja kuinka montaa organisaatiosi laitetta nämä haavoittuvuudet voivat hyödyntää.

Näyttökuva uhka-analytiikan koontinäytöstä,

Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia. Voit myös valita hakukentän avainsanassa, joka liittyy uhka-analytiikkaraporttiin, jonka haluat lukea.

Näytä raportit luokan mukaan

Voit suodattaa uhkaraporttiluettelon ja tarkastella tärkeimpiä raportteja tietyn uhkatyypin tai raporttityypin mukaan.

  • Uhkatunnisteet – auttavat tarkastelemaan tärkeimpiä raportteja tietyn uhkaluokan mukaan. Esimerkiksi Ransomware-tunniste sisältää kaikki kiristyshaittaohjelmaan liittyvät raportit.
  • Raporttityypit – auttavat sinua tarkastelemaan tärkeimpiä raportteja tietyn raporttityypin mukaan. Esimerkiksi Työkalut & tekniikat - tunniste sisältää kaikki raportit, jotka kattavat työkalut ja tekniikat.

Eri tunnisteilla on vastaavat suodattimet, jotka auttavat sinua tarkistamaan tehokkaasti uhkaraporttiluettelon ja suodattamaan näkymän tietyn uhkatunnisteen tai raporttityypin perusteella. Voit esimerkiksi tarkastella kaikkia uhkaraportteja, jotka liittyvät kiristyshaittaohjelmaluokkaan, tai uhkaraportteja, joihin liittyy haavoittuvuuksia.

Microsoft Threat Intelligence -tiimi lisää uhkatunnisteita jokaiseen uhkaraporttiin. Seuraavat uhkatunnisteet ovat tällä hetkellä käytettävissä:

  • Kiristysohjelma
  • Kiristys
  • Tietojenkalastelu
  • Näppäimistöä kämmennäppäimistöllä
  • Toimintoryhmä
  • Haavoittuvuus
  • Hyökkäyskampanja
  • Työkalu tai tekniikka

Uhkatunnisteet esitetään uhka-analytiikkasivun yläosassa. Käytettävissä olevien raporttien määrälle kullekin tunnisteelle on laskureita.

Näyttökuva uhka-analytiikan raporttitunnisteista.

Jos haluat määrittää luetteloon haluamasi raporttityypit, valitse Suodattimet, valitse luettelosta ja valitse Käytä.

Näyttökuva Suodattimet-luettelosta.

Jos määrität useamman kuin yhden suodattimen, uhka-analytiikkaraporttien luettelo voidaan lajitella myös uhkatunnisteen mukaan valitsemalla uhkatunnistesarake:

Näyttökuva uhkatunnisteiden sarakkeesta.

Uhka-analytiikkaraportin tarkasteleminen

Kukin uhka-analytiikkaraportti sisältää tietoja useissa osissa:

Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset

Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistumistasi väärin määritettyjen ja määrittämättömien laitteiden kautta.

Näyttökuva uhka-analytiikkaraportin yleiskatsausosiosta.

Arvioi vaikutus organisaatioosi

Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:

  • Liittyvät tapaukset – antaa yleiskatsauksen seuratun uhan vaikutuksesta organisaatioosi seuraavilla tiedoilla:
    • Aktiivisten hälytysten määrä ja niihin liittyvien aktiivisten tapausten määrä
    • Aktiivisten tapausten vakavuus
  • Ilmoitukset ajan kuluessa – näyttää liittyvien aktiivisten ja ratkaistujen ilmoitusten määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.
  • Vaikutus resursseista – näyttää niiden erillisten resurssien määrän, joilla on tällä hetkellä vähintään yksi aktiivinen hälytys, joka liittyy jäljitettyyn uhkaan. Ilmoituksia käynnistetään postilaatikoissa, jotka ovat vastaanottaneet uhkasähköposteja. Tarkista sekä organisaatio- että käyttäjätason käytännöt ohituksille, jotka aiheuttavat uhkasähköpostien toimittamisen.

Tarkista suojauksen häiriönsietokyky ja -asento

Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:

  • Suositellut toiminnot – näyttää toiminnon tilaprosentin tai niiden pisteiden määrän, jotka olet saavuttanut suojaustilan parantamiseksi. Suorita suositellut toimet uhan torjumiseksi. Voit tarkastella pisteiden erittelyä luokan tai tilan mukaan.
  • Päätepisteiden altistuminen – näyttää haavoittuvassa asemassa olevien laitteiden määrän. Ota tietoturvapäivitykset tai korjaustiedostot käyttöön uhan hyödyntämien haavoittuvuuksien korjaamiseksi.

Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta

Lue Analyytikkoraportti-osiossa yksityiskohtainen asiantuntijakirjoitus. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .

Lisätietoja analyytikkoraportista

Liittyvät tapaukset -välilehti tarjoaa luettelon kaikista jäljitettyyn uhkaan liittyvistä tapauksista. Voit määrittää tapauksia tai hallita kuhunkin tapaukseen liittyviä hälytyksiä.

Näyttökuva uhka-analytiikkaraportin asiaan liittyvien tapausten osiosta.

Huomautus

Uhkaan liittyvät tapaukset ja hälytykset ovat peräisin Defender for Endpointista, Defender for Identitystä, Defender for Office 365:stä, Defender for Cloud Appsista ja Defender for Cloudista.

Vaikutus resursseihin: Hanki luettelo vaikutuksen avistavista laitteista, käyttäjistä, postilaatikoista, sovelluksista ja pilvipalveluresursseista

Vaikutus resursseista -välilehdessä näytetään resurssit, joihin uhka vaikuttaa ajan mittaan. Se näkyy:

  • Aktiiviset hälytykset vaikuttavat resursseihin
  • Ratkaistut hälytykset vaikuttavat resursseihin
  • Kaikki resurssit tai niiden resurssien kokonaismäärä, joihin aktiiviset ja ratkaistut hälytykset vaikuttavat

Resurssit on jaettu seuraaviin luokkiin:

  • Laitteet
  • Käyttäjät
  • Postilaatikot
  • Sovellukset
  • Pilviresurssit

Näyttökuva uhka-analytiikkaraportin vaikutusresurssiosiosta.

Päätepisteiden altistuminen: Tutustu tietoturvapäivitysten käyttöönoton tilaan

Päätepisteiden altistuminen -osio tarjoaa organisaatiosi altistumistason uhalle, joka lasketaan kyseisen uhan hyödyntämien haavoittuvuuksien ja virheellisten määritysten vakavuuden sekä niiden laitteiden määrän perusteella, joilla on nämä heikkoudet.

Tässä osiossa on myös käyttöön otettujen laitteiden heikkouksien tuettujen ohjelmistosuojauspäivitysten käyttöönottotila. Se sisältää Tietoja Microsoft Defenderin haavoittuvuuden hallinnasta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.

Uhka-analytiikkaraportin Päätepisteiden altistuminen -osa

Tarkista Suositellut toiminnot -välilehdessä luettelo tietyistä toiminnallisistä suosituksista, joiden avulla voit parantaa organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää tuetut suojausmääritykset, kuten:

  • Pilvipalveluun toimitettu suojaus
  • Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
  • Reaaliaikainen suojaus

Uhka-analytiikkaraportin Suositellut toiminnot -osa, joka näyttää haavoittuvuuden tiedot

Sähköposti-ilmoitusten määrittäminen raporttipäivityksille

Voit määrittää sähköposti-ilmoituksia, jotka lähettävät sinulle päivityksiä uhka-analytiikkaraportteihin. Voit luoda sähköposti-ilmoituksia noudattamalla ohjeita kohdassa Uhka-analytiikkapäivitysten sähköposti-ilmoitusten saaminen Microsoft Defender XDR:ssä.

Muita raportin tietoja ja rajoituksia

Kun tarkastelet uhka-analytiikkatietoja, muista seuraavat tekijät:

  • Suositellut toiminnot -välilehden tarkistusluettelo näyttää vain Microsoftin suojatuissa pisteissä seuratut suositukset. Tarkista Analyytikkoraportti-välilehdestä lisää suositeltuja toimintoja, joita ei seurata suojatuissa pisteissä.
  • Suositellut toimet eivät takaa täydellistä resilienssiä ja heijastavat vain parhaita mahdollisia toimia, joita tarvitaan sen parantamiseksi.
  • Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defenderin virustentorjunta-asetuksiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.