Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Koskee seuraavia:
- Microsoft Defender XDR
Jokainen uhka-analytiikkaraportti sisältää dynaamisia osia ja kattavan kirjallisen osan nimeltä analyytikkoraportti. Jos haluat käyttää tätä osiota, avaa raportti jäljitetystä uhasta ja valitse Analyytikkoraportti-välilehti .
Uhka-analytiikkaraportin analyytikkoraporttiosa
Tutustu erilaisiin analyytikkoraporttityyppeihin
Uhka-analytiikkaraportti voidaan luokitella johonkin seuraavista luokista:
- Activity – antaa tietoja tietystä hyökkäyskampanjasta, joka liittyy usein uhkanäyttelijään. Tässä raportissa kerrotaan, miten hyökkäys tapahtui, miksi siitä kannattaa välittää ja miten Microsoft suojaa asiakkaitaan siltä. Toimintaraportti voi sisältää myös tietoja, kuten tapahtumien aikajanan, hyökkäysketjut sekä toiminnot ja menetelmät.
- Toimija – antaa tietoja tietystä Microsoftin jäljittämästä uhkatoimijasta merkittävien kyberhyökkäysten takana. Tässä raportissa käsitellään uhkatoimijan motiiveja, teollisuutta ja/tai maantieteellisiä tavoitteita sekä niiden taktiikoita, tekniikoita ja menettelytapoja. Toimijaraportti voi sisältää myös tietoja uhkanäyttelijän hyökkäysinfrastruktuurista, haittaohjelmasta (mukautetuista tai avoin lähdekoodi) ja heidän käyttämistään toiminnoista sekä merkittävistä tapahtumista tai kampanjoista, joihin he kuuluivat.
- Ydinuhka – tekee useista profiiliraporteista yhteenvedon kertomukseksi, joka antaa laajemman kuvan uhasta, joka käyttää tai liittyy näihin raportteihin. Esimerkiksi uhkatoimijat käyttävät eri tekniikoita paikallisten tunnistetietojen varastamiseen, ja paikallisten tunnistetietojen varkauden uhkakatsaus saattaa linkittää tekniikkaraportteihin raakavoimista hyökkäyksistä, Kerberos-hyökkäyksistä tai tietojen varastamisesta. Microsoft Threat Intelligence käyttää antureitaan asiakasympäristöihin vaikuttavissa huippuuhissa arvioidakseen, mikä uhka saattaa ansaita tämän raporttityypin.
- Technique – antaa tietoja tietystä uhkien toimijoiden käyttämästä tekniikasta – esimerkiksi PowerShellin haitallisesta käytöstä tai tunnistetietojen keräämisestä yrityssähköpostin kompromississa (BEC) – ja siitä, miten Microsoft suojaa asiakkaitaan havaitsemalla tekniikkaan liittyviä toimintoja.
- Tool – tarjoaa tietoja tietystä mukautetusta tai avoimen lähdekoodin työkalusta, joka liittyy usein uhkatoimintoon. Tässä raportissa käsitellään työkalun ominaisuuksia, tavoitteita, joita sitä käyttävä uhkatoimija saattaa yrittää saavuttaa, ja sitä, miten Microsoft suojaa asiakkaitaan tunnistamalla siihen liittyvää toimintaa.
- Vulnerability – antaa tietoja tietystä CVE (Common Vulnerabilities and Exposures) -tunnuksesta tai tuotteeseen vaikuttavista samankaltaisten CVE:iden ryhmästä. Haavoittuvuusraportissa käsitellään yleensä huomattavia haavoittuvuuksia, kuten uhkatoimijoiden käyttämiä haavoittuvuuksia ja merkittäviä hyökkäyskampanjoita. Se kattaa vähintään yhden seuraavista tietotyypeistä: haavoittuvuuden tyyppi, palveluihin vaikuttavat palvelut, nollapäiväinen tai luonnossa tapahtuva hyödyntäminen, vakavuuspisteet ja mahdolliset vaikutukset sekä Microsoftin kattavuus.
Skannaa analyytikkoraportti
Analyytikkoraportin jokainen osa sisältää toiminnallisia tietoja. Raportit vaihtelevat, mutta useimmat raportit sisältävät seuraavassa taulukossa kuvatut osiot.
| Raporttiosa | Kuvaus |
|---|---|
| Tiivistelmä | Tilannevedos uhasta, johon saattaa sisältyä, milloin se nähtiin ensimmäisen kerran, sen motivaatiot, merkittävät tapahtumat, tärkeimmät tavoitteet ja erilliset työkalut ja tekniikat. Näiden tietojen avulla voit arvioida, miten voit priorisoida uhan toimialan, maantieteellisen sijainnin ja verkon kontekstissa. |
| Yleiskatsaus | Tekninen analyysi uhasta, joka raporttityypistä riippuen saattaa sisältää hyökkäyksen tiedot ja sen, miten hyökkääjät voivat käyttää uutta tekniikkaa tai hyökkäyspintaa. Tässä osiossa on myös eri otsikoita ja muita aliosioita, jotka antavat raporttityypistä riippuen enemmän kontekstia ja yksityiskohtia. Esimerkiksi haavoittuvuusprofiilissa on erillinen osio, jossa luetellaan vaikutustekniikat, kun taas toimijaprofiili voi sisältää työkaluja ja TTP-jaattribuutio-osioita . |
| Tunnistamis- ja metsästyskyselyt | Microsoftin suojausratkaisujen tarjoamat erityiset ja yleiset tunnistuksia , jotka voivat pintaan liittyviä toimintoja tai uhkiin liittyviä komponentteja. Tässä osiossa on myös metsästyskyselyitä mahdollisen uhkatoiminnan ennakoivaan tunnistamiseen. Useimmat kyselyt täydentävät tunnistusta, erityisesti sellaisten mahdollisesti haitallisten komponenttien tai käyttäytymisen paikantamiseen, joita ei voitu dynaamisesti arvioida haitallisiksi. |
| MITRE ATT&havaitut CK-tekniikat | Miten havaitut tekniikat kartoittavat MITRE ATT&CK-hyökkäyskehystä |
| Suosituksia | Toteutettavissa olevat vaiheet, jotka voivat pysäyttää tai auttaa vähentämään uhan vaikutusta. Tässä osiossa on myös lievennyksiä, joita ei seurata dynaamisesti osana uhka-analytiikkaraporttia. |
| Lisätietoja | Microsoft ja kolmannen osapuolen julkaisut, joihin analyytikot viittaavat raportin laatimisen aikana. Uhka-analytiikan sisältö perustuu Microsoftin tutkijoiden vahvistamiin tietoihin. Yleisesti saatavilla olevat tiedot, kolmannen osapuolen lähteet tunnistetaan selvästi sellaisiksi. |
| Muutosloki | Raportin julkaisuaika ja siihen tehtyjen merkittävien muutosten ajankohta. |
Ymmärrät, miten kukin uhka voidaan havaita
Analyytikkoraportti tarjoaa myös tietoja eri Microsoft-ratkaisuista, jotka voivat auttaa tunnistamaan uhan. Se listaa soveltuvin osin tähän uhkaan liittyvät tunnistuksia kustakin seuraavissa osioissa luetelluista tuotteista. Näiden uhkakohtaisten tunnistusten hälytykset näkyvät Uhka-analytiikka-sivun hälytysten tilakorteissa.
Joissakin analyytikkoraporteissa mainitaan myös hälytyksiä, jotka on suunniteltu yleisesti merkitsemään epäilyttävää käyttäytymistä ja joita ei ehkä liitetä jäljitettyyn uhkaan. Tällaisissa tapauksissa raportissa todetaan selvästi, että hälytys voidaan käynnistää liittymättömällä uhkatoiminnalla ja että sitä ei valvota Uhka-analytiikka-sivun tilakorteissa.
Microsoft Defenderin virustentorjunta
Virustentorjuntaohjelman tunnistuksia on käytettävissä laitteissa, joissa on käytössä Microsoft Defender Virustentorjunta Windowsissa. Nämä tunnistimet linkittävät haittaohjelmatietosanakuvaukset Microsoftin suojaustiedustelu, kun niitä on saatavilla.
Microsoft Defender for Endpoint
Päätepisteiden tunnistus- ja vastausilmoitukset annetaan laitteille, jotka on otettu käyttöön Microsoft Defender for Endpoint. Nämä hälytykset perustuvat Defenderin päätepistetunnistimen keräämiin suojaussignaaleihin ja muihin päätepistetoimintoihin, kuten virustentorjuntaan, verkon suojaukseen ja peukaloinnin suojaukseen, jotka toimivat tehokkaina signaalilähteinä.
Microsoft Defender for Office 365
Analyytikkoraportit sisältävät myös Defenderin tunnistuksia ja lievennyksiä Office 365 varten. Defender for Office 365 integroituu saumattomasti Microsoft 365 -tilauksiin ja suojaa uhkilta sähköpostissa, linkeissä (URL-osoitteissa), liitetiedostoissa ja yhteistyötyökaluissa.
Microsoft Defender for Identity
Defender for Identity on pilvipohjainen suojausratkaisu, joka auttaa suojaamaan käyttäjätietojen valvonnan koko organisaatiossasi. Se käyttää sekä paikallinen Active Directory että pilvipalvelun käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps tarjoaa täyden suojauksen SaaS-sovelluksille. Sen avulla voit valvoa ja suojata pilvisovelluksesi tietoja käyttämällä pilvipalvelun suojauksen välittäjän (CASB) perustoimintoja, SaaS Security Posture Management (SSPM) -ominaisuuksia, edistynyttä uhkien suojausta ja sovellusten suojausta.
Microsoft Defender for Cloud
Defender for Cloud on pilvinatiivi sovelluksen suojausympäristö (CNAPP), joka koostuu suojaustoimenpiteistä ja käytännöistä, jotka on suunniteltu suojaamaan pilvipohjaisia sovelluksia erilaisilta uhilta ja haavoittuvuuksilta.
Löydä hienovaraisia uhka-artefakteja kehittyneen metsästyksen avulla
Vaikka tunnistamisten avulla voit tunnistaa ja pysäyttää jäljitetty uhka automaattisesti, monet hyökkäystoimet jättävät hienovaraisia jälkiä, jotka edellyttävät enemmän tarkastusta. Joissakin hyökkäysaktiviteeteissa ilmenee käyttäytymistä, joka voi olla myös normaalia, joten niiden tunnistaminen dynaamisesti voi aiheuttaa toiminnallista kohinaa tai jopa vääriä positiivisia. Metsästyskyselyiden avulla voit ennakoivasti paikantaa nämä mahdollisesti haitalliset komponentit tai käyttäytymisen.
Microsoft Defender XDR kehittyneet metsästyskyselyt
Kehittynyt metsästys tarjoaa Kusto Query Languageen perustuvan kyselyliittymän, joka yksinkertaistaa uhkatoiminnan hienovaraisten indikaattorien löytämistä. Sen avulla voit myös tuoda esiin tilannekohtaisia tietoja ja tarkistaa, liittyvätkö ilmaisimet uhkaan.
Microsoftin analyytikot tarkistavat kehittyneet metsästyskyselyt analyytikkoraporteissa, ja voit suorittaa ne kehittyneessä metsästyskyselyeditorissa. Kyselyjen avulla voit myös luoda mukautettuja tunnistussääntöjä , jotka käynnistävät hälytyksiä tuleville vastaavuuksille.
Microsoft Sentinel kyselyt
Analyytikkoraportit voivat sisältää myös Microsoft Sentinel asiakkaille sovellettavia metsästyskyselyitä.
Microsoft Sentinel on tehokkaita metsästyshaku- ja kyselytyökaluja, joilla voit etsiä tietoturvauhkia organisaatiosi tietolähteistä. Jotta voit etsiä ennakoivasti uusia poikkeamia, joita suojaussovellukset tai edes ajoitetut analytiikkasäännöt eivät tunnista, Sentinel metsästyskyselyt opastavat sinua kysymään oikeat kysymykset, jotta löydät ongelmia tiedoista, joita sinulla jo on verkossasi.
Käytä muita lievennyksiä
Uhka-analytiikka seuraa dynaamisesti tiettyjen tietoturvapäivitysten ja suojattujen määritysten tilaa. Tämäntyyppiset tiedot ovat käytettävissä kaavioina ja taulukoina Päätepisteiden altistumiset - ja Suositellut toiminnot -välilehdissä. Nämä suositukset ovat toistettavissa ja koskevat tätä uhkaa ja saattavat koskea myös muita uhkia.
Näiden seurattujen suositusten lisäksi analyytikkoraportissa voidaan käsitellä myös lievennyksiä, joita ei valvota dynaamisesti, koska ne koskevat vain raportissa käsiteltävää uhkaa tai tilannetta. Seuraavassa on joitakin esimerkkejä tärkeistä lievennyksistä, joita ei seurata dynaamisesti:
- Estä sähköpostiviestit, joissa on .lnk liitetiedostoja tai muita epäilyttäviä tiedostotyyppejä
- Paikallisen järjestelmänvalvojan salasanojen satunnaistaminen
- Loppukäyttäjien kouluttaminen tietojenkalastelusähköpostista ja muista uhkavektoreista
- Tiettyjen hyökkäyspinnan pienentämissääntöjen ottaminen käyttöön
Vaikka voitkin käyttää Päätepisteiden altistumiset - ja Suositellut toiminnot -välilehtiä suojausasennon arvioimiseksi uhalta, näiden suositusten avulla voit myös parantaa suojausasentojasi. Lue huolellisesti kaikki analyytikkoraportin lievennysohjeet ja sovella niitä aina, kun se on mahdollista.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Uhka-analytiikan yleiskatsaus
- Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
- Mukautetut tunnistussäännöt
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.