Uhka-analytiikka Microsoft Defender XDR:ssä
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Uhka-analytiikka on microsoftin asiantuntuisten tietoturvatutkijoiden tuotekohtainen uhkatietoratkaisu. Se on suunniteltu auttamaan suojaustiimejä olemaan mahdollisimman tehokkaita uusien uhkien, kuten:
- Aktiiviset uhkatoimijat ja niiden kampanjat
- Suositut ja uudet hyökkäystekniikat
- Kriittiset haavoittuvuudet
- Yleiset hyökkäyspinnat
- Laajalle levinnyt haittaohjelma
Voit käyttää uhka-analytiikkaa joko Microsoft Defender -portaalin siirtymispalkin vasemmasta yläkulmasta tai erillisestä koontinäyttökortista, joka näyttää organisaatiosi parhaat uhat sekä tunnetun vaikutuksen että altistumisen suhteen.
Näkyvyyden saaminen aktiivisista tai jatkuvista kampanjoista ja tieto siitä, mitä tehdä uhka-analytiikan avulla, voi auttaa varustamaan tietoturvatiimisi tietoon perustuvilla päätöksillä.
Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:
- Uusien uhkien tunnistaminen ja niihin reagoiminen
- Lue, jos olet hyökkäyksen kohteena
- Arvioi resurssiesi uhan vaikutusta
- Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
- Tunnista lievennys-, palautus- tai estotoimet, joilla voit pysäyttää tai sisältää uhkia
Jokainen raportti tarjoaa analyysin seuratusta uhasta ja laajoja ohjeita siitä, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.
Pakolliset roolit ja käyttöoikeudet
Seuraavassa taulukossa esitetään Threat Analyticsin käyttämiseen tarvittavat roolit ja käyttöoikeudet. Taulukossa määritetyt roolit viittaavat mukautettuihin rooleihin yksittäisissä portaaleissa, eikä niitä ole yhdistetty Microsoft Entra -tunnuksen yleisiin rooleihin, vaikka ne olisi nimetty samalla tavalla.
Jokin seuraavista rooleista vaaditaan Microsoft Defender XDR:lle | Microsoft Defender for Endpoint edellyttää jotakin seuraavista rooleista | Microsoft Defender for Office 365:lle vaaditaan jokin seuraavista rooleista | Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity vaativat jonkin seuraavista rooleista. | Microsoft Defender for Cloud edellyttää yhtä seuraavista rooleista |
---|---|---|---|---|
Uhka-analytiikka | Ilmoitusten ja tapausten tiedot:
|
Ilmoitusten ja tapausten tiedot:
|
|
|
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Näet kaikki uhka-analytiikkaraportit, vaikka sinulla olisi vain yksi edellisessä taulukossa kuvatuista tuotteista ja niitä vastaavista rooleista. Sinulla on kuitenkin oltava jokainen tuote ja rooli, jotta näet kyseisen tuotteen erityiset tapaukset, resurssit, altistumisen ja uhkiin liittyvät suositellut toimet.
Lisätietoja:
- Microsoft Defender XDR:n roolipohjaisen käytön hallinnan mukautetut roolit
- Microsoft Defender XDR Unified -roolipohjaisen käytön hallinta (RBAC)
Uhka-analytiikan koontinäytön tarkasteleminen
Uhka-analytiikan koontinäyttö (security.microsoft.com/threatanalytics3) korostaa raportit, jotka ovat olennaisimpia organisaatiollesi. Se tekee yhteenvedon uhkista seuraavissa osioissa:
- Uusimmat uhat – luetteloi viimeksi julkaistut tai päivitetyt uhkaraportit sekä aktiivisten ja ratkaistujen hälytysten määrän.
- Suurivaikutusuhkissa luetellaan uhat, joilla on suurin vaikutus organisaatioosi. Tässä osiossa luetellaan ensin uhat, joissa on eniten aktiivisia ja ratkaistuja ilmoituksia.
- Suurimman altistumisen uhat – luettelee uhat, joille organisaatiosi altistuu eniten. Altistumistasosi uhalle lasketaan käyttämällä kahta tietoa: kuinka vakavia uhkaan liittyvät haavoittuvuudet ovat ja kuinka montaa organisaatiosi laitetta nämä haavoittuvuudet voivat hyödyntää.
Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia. Voit myös valita hakukentän avainsanassa, joka liittyy uhka-analytiikkaraporttiin, jonka haluat lukea.
Näytä raportit luokan mukaan
Voit suodattaa uhkaraporttiluettelon ja tarkastella tärkeimpiä raportteja tietyn uhkatyypin tai raporttityypin mukaan.
- Uhkatunnisteet – auttavat tarkastelemaan tärkeimpiä raportteja tietyn uhkaluokan mukaan. Esimerkiksi Ransomware-tunniste sisältää kaikki kiristyshaittaohjelmaan liittyvät raportit.
- Raporttityypit – auttavat sinua tarkastelemaan tärkeimpiä raportteja tietyn raporttityypin mukaan. Esimerkiksi Työkalut & tekniikat - tunniste sisältää kaikki raportit, jotka kattavat työkalut ja tekniikat.
Eri tunnisteilla on vastaavat suodattimet, jotka auttavat sinua tarkistamaan tehokkaasti uhkaraporttiluettelon ja suodattamaan näkymän tietyn uhkatunnisteen tai raporttityypin perusteella. Voit esimerkiksi tarkastella kaikkia uhkaraportteja, jotka liittyvät kiristyshaittaohjelmaluokkaan, tai uhkaraportteja, joihin liittyy haavoittuvuuksia.
Microsoft Threat Intelligence -tiimi lisää uhkatunnisteita jokaiseen uhkaraporttiin. Seuraavat uhkatunnisteet ovat tällä hetkellä käytettävissä:
- Kiristysohjelma
- Kiristys
- Tietojenkalastelu
- Näppäimistöä kämmennäppäimistöllä
- Toimintoryhmä
- Haavoittuvuus
- Hyökkäyskampanja
- Työkalu tai tekniikka
Uhkatunnisteet esitetään uhka-analytiikkasivun yläosassa. Käytettävissä olevien raporttien määrälle kullekin tunnisteelle on laskureita.
Jos haluat määrittää luetteloon haluamasi raporttityypit, valitse Suodattimet, valitse luettelosta ja valitse Käytä.
Jos määrität useamman kuin yhden suodattimen, uhka-analytiikkaraporttien luettelo voidaan lajitella myös uhkatunnisteen mukaan valitsemalla uhkatunnistesarake:
Uhka-analytiikkaraportin tarkasteleminen
Kukin uhka-analytiikkaraportti sisältää tietoja useissa osissa:
- Yleiskatsaus
- Analyytikkoraportti
- Liittyvät tapaukset
- Kohderesurssit, joihin vaikutus vaikuttaa
- Päätepisteiden altistuminen
- Suositellut toiminnot
Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset
Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistumistasi väärin määritettyjen ja määrittämättömien laitteiden kautta.
Arvioi vaikutus organisaatioosi
Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:
-
Liittyvät tapaukset – antaa yleiskatsauksen seuratun uhan vaikutuksesta organisaatioosi seuraavilla tiedoilla:
- Aktiivisten hälytysten määrä ja niihin liittyvien aktiivisten tapausten määrä
- Aktiivisten tapausten vakavuus
- Ilmoitukset ajan kuluessa – näyttää liittyvien aktiivisten ja ratkaistujen ilmoitusten määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.
- Vaikutus resursseista – näyttää niiden erillisten resurssien määrän, joilla on tällä hetkellä vähintään yksi aktiivinen hälytys, joka liittyy jäljitettyyn uhkaan. Ilmoituksia käynnistetään postilaatikoissa, jotka ovat vastaanottaneet uhkasähköposteja. Tarkista sekä organisaatio- että käyttäjätason käytännöt ohituksille, jotka aiheuttavat uhkasähköpostien toimittamisen.
Tarkista suojauksen häiriönsietokyky ja -asento
Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:
- Suositellut toiminnot – näyttää toiminnon tilaprosentin tai niiden pisteiden määrän, jotka olet saavuttanut suojaustilan parantamiseksi. Suorita suositellut toimet uhan torjumiseksi. Voit tarkastella pisteiden erittelyä luokan tai tilan mukaan.
- Päätepisteiden altistuminen – näyttää haavoittuvassa asemassa olevien laitteiden määrän. Ota tietoturvapäivitykset tai korjaustiedostot käyttöön uhan hyödyntämien haavoittuvuuksien korjaamiseksi.
Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta
Lue Analyytikkoraportti-osiossa yksityiskohtainen asiantuntijakirjoitus. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .
Lisätietoja analyytikkoraportista
Aiheeseen liittyvät tapaukset: Liittyvien tapausten tarkasteleminen ja hallinta
Liittyvät tapaukset -välilehti tarjoaa luettelon kaikista jäljitettyyn uhkaan liittyvistä tapauksista. Voit määrittää tapauksia tai hallita kuhunkin tapaukseen liittyviä hälytyksiä.
Huomautus
Uhkaan liittyvät tapaukset ja hälytykset ovat peräisin Defender for Endpointista, Defender for Identitystä, Defender for Office 365:stä, Defender for Cloud Appsista ja Defender for Cloudista.
Vaikutus resursseihin: Hanki luettelo vaikutuksen avistavista laitteista, käyttäjistä, postilaatikoista, sovelluksista ja pilvipalveluresursseista
Vaikutus resursseista -välilehdessä näytetään resurssit, joihin uhka vaikuttaa ajan mittaan. Se näkyy:
- Aktiiviset hälytykset vaikuttavat resursseihin
- Ratkaistut hälytykset vaikuttavat resursseihin
- Kaikki resurssit tai niiden resurssien kokonaismäärä, joihin aktiiviset ja ratkaistut hälytykset vaikuttavat
Resurssit on jaettu seuraaviin luokkiin:
- Laitteet
- Käyttäjät
- Postilaatikot
- Sovellukset
- Pilviresurssit
Päätepisteiden altistuminen: Tutustu tietoturvapäivitysten käyttöönoton tilaan
Päätepisteiden altistuminen -osio tarjoaa organisaatiosi altistumistason uhalle, joka lasketaan kyseisen uhan hyödyntämien haavoittuvuuksien ja virheellisten määritysten vakavuuden sekä niiden laitteiden määrän perusteella, joilla on nämä heikkoudet.
Tässä osiossa on myös käyttöön otettujen laitteiden heikkouksien tuettujen ohjelmistosuojauspäivitysten käyttöönottotila. Se sisältää Tietoja Microsoft Defenderin haavoittuvuuden hallinnasta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.
Suositellut toiminnot: tarkista luettelo lievennyksistä ja laitteiden tilasta
Tarkista Suositellut toiminnot -välilehdessä luettelo tietyistä toiminnallisistä suosituksista, joiden avulla voit parantaa organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää tuetut suojausmääritykset, kuten:
- Pilvipalveluun toimitettu suojaus
- Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
- Reaaliaikainen suojaus
Sähköposti-ilmoitusten määrittäminen raporttipäivityksille
Voit määrittää sähköposti-ilmoituksia, jotka lähettävät sinulle päivityksiä uhka-analytiikkaraportteihin. Voit luoda sähköposti-ilmoituksia noudattamalla ohjeita kohdassa Uhka-analytiikkapäivitysten sähköposti-ilmoitusten saaminen Microsoft Defender XDR:ssä.
Muita raportin tietoja ja rajoituksia
Kun tarkastelet uhka-analytiikkatietoja, muista seuraavat tekijät:
- Suositellut toiminnot -välilehden tarkistusluettelo näyttää vain Microsoftin suojatuissa pisteissä seuratut suositukset. Tarkista Analyytikkoraportti-välilehdestä lisää suositeltuja toimintoja, joita ei seurata suojatuissa pisteissä.
- Suositellut toimet eivät takaa täydellistä resilienssiä ja heijastavat vain parhaita mahdollisia toimia, joita tarvitaan sen parantamiseksi.
- Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defenderin virustentorjunta-asetuksiin.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
- Tietoa analyytikkoraportin osasta
- Suojauspuutteiden ja -paljastusten arvioiminen ja ratkaiseminen
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.