Jaa


Microsoft Defender XDR analyytikkoraportin ymmärtäminen uhka-analytiikassa

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Jokainen uhka-analytiikkaraportti sisältää dynaamisia osia ja kattavan kirjallisen osan nimeltä analyytikkoraportti. Jos haluat käyttää tätä osiota, avaa raportti jäljitetystä uhasta ja valitse Analyytikkoraportti-välilehti .

Uhka-analytiikkaraportin analyytikkoraporttiosa

Uhka-analytiikkaraportin analyytikkoraporttiosa

Tutustu erilaisiin analyytikkoraporttityyppeihin

Uhka-analytiikkaraportti voidaan luokitella johonkin seuraavista raporttityypeistä:

  • Toimintaprofiili – antaa tietoja tietystä hyökkäyskampanjasta, joka liittyy usein uhkatoimijaan. Tässä raportissa kerrotaan, miten hyökkäys tapahtui, miksi siitä pitäisi välittää ja miten Microsoft suojaa asiakkaitaan siltä. Toimintaprofiili voi sisältää myös tietoja, kuten tapahtumien aikajanan, hyökkäysketjut sekä toiminnot ja menetelmät.
  • Toimijaprofiili – antaa tietoja tietystä Microsoftin jäljittämästä uhkatoimijasta merkittävien kyberhyökkäysten takana. Tässä raportissa käsitellään toimijan motivaatioita, teollisuutta ja/tai maantieteellisiä tavoitteita sekä niiden taktiikoita, tekniikoita ja menettelytapoja. Toimijaprofiili voi sisältää myös tietoja toimijan hyökkäysinfrastruktuurista, haittaohjelmasta (mukautetuista tai avoin lähdekoodi) ja heidän käyttämistään toiminnoista sekä merkittävistä tapahtumista tai kampanjoista, joihin he kuuluivat.
  • Tekniikkaprofiili – antaa tietoja tietystä uhkien toimijoiden käyttämästä tekniikasta – esimerkiksi PowerShellin haitallisesta käytöstä tai tunnistetietojen keräämisestä yrityssähköpostin kompromississa (BEC) – ja siitä, miten Microsoft suojaa asiakkaitaan havaitsemalla tekniikkaan liittyviä toimintoja.
  • Uhkien yleiskatsaus – tekee yhteenvedon useista profiiliraporteista kertomukseksi, joka antaa laajemman kuvan uhasta, joka käyttää tai liittyy näihin raportteihin. Uhkatoimijat käyttävät eri tekniikoita esimerkiksi paikallisten tunnistetietojen varastamiseen, ja paikallisten tunnistetietojen varkauden uhkien yleiskatsaus saattaa linkittää raakavoimien hyökkäysten, Kerberos-hyökkäysten tai tietoja varastavien haittaohjelmien tekniikkaprofiileihin. Microsoft Threat Intelligence käyttää antureitaan asiakasympäristöihin vaikuttavissa huippuuhissa arvioidakseen, mikä uhka saattaa ansaita tämän raporttityypin.
  • Työkaluprofiili – antaa tietoja tietystä mukautetusta tai avoimen lähdekoodin työkalusta, joka liittyy usein uhkatoimintoon. Tässä raportissa käsitellään työkalun ominaisuuksia, tavoitteita, joita sitä käyttävä uhkatoimija saattaa yrittää saavuttaa, ja sitä, miten Microsoft suojaa asiakkaitaan tunnistamalla siihen liittyvää toimintaa.
  • Haavoittuvuusprofiili – antaa tietoja tietystä CVE (Common Vulnerabilities and Exposures) -tunnuksesta tai tuotteeseen vaikuttavista samankaltaisten CVE:iden ryhmästä. Haavoittuvuusprofiilissa käsitellään yleensä huomattavia heikkouksia, kuten uhkatoimijoiden käyttämiä haavoittuvuuksia ja merkittäviä hyökkäyskampanjoita. Se kattaa vähintään yhden seuraavista tietotyypeistä: haavoittuvuuden tyyppi, palveluihin vaikuttavat palvelut, nollapäiväinen tai luonnossa tapahtuva hyödyntäminen, vakavuuspisteet ja mahdolliset vaikutukset sekä Microsoftin kattavuus.

Skannaa analyytikkoraportti

Analyytikkoraportin jokainen osa on suunniteltu tarjoamaan toiminnallisia tietoja. Raportit vaihtelevat, mutta useimmat raportit sisältävät seuraavassa taulukossa kuvatut osiot.

Raporttiosa Kuvaus
Tiivistelmä Tilannevedos uhasta, johon saattaa sisältyä, milloin se nähtiin ensimmäisen kerran, sen motivaatiot, merkittävät tapahtumat, tärkeimmät tavoitteet ja erilliset työkalut ja tekniikat. Näiden tietojen avulla voit arvioida tarkemmin, miten voit priorisoida uhan toimialan, maantieteellisen sijainnin ja verkon kontekstissa.
Yleiskatsaus Tekninen analyysi uhasta, joka raporttityypistä riippuen saattaa sisältää hyökkäyksen tiedot ja sen, miten hyökkääjät voivat käyttää uutta tekniikkaa tai hyökkäyspintaa.

Tässä osiossa on myös eri otsikoita ja muita aliosioita, jotka antavat raporttityypistä riippuen enemmän kontekstia ja yksityiskohtia. Esimerkiksi haavoittuvuusprofiilissa on erillinen osio, jossa luetellaan vaikutustekniikat, kun taas toimijaprofiili voi sisältää työkaluja ja TTP-jaattribuutio-osioita .
Tunnistamis- ja metsästyskyselyt Microsoftin suojausratkaisujen tarjoamat erityiset ja yleiset tunnistuksia , jotka voivat pintaan liittyviä toimintoja tai uhkiin liittyviä komponentteja.

Tässä osiossa on myös metsästyskyselyitä mahdollisen uhkatoiminnan ennakoivaan tunnistamiseen. Useimmat kyselyt tarjotaan täydentämään tunnistusta, erityisesti sellaisten mahdollisesti haitallisten komponenttien tai käyttäytymisen paikantamiseen, joita ei voitu dynaamisesti arvioida haitallisiksi.
MITRE ATT&havaitut CK-tekniikat Miten havaitut tekniikat kartoittavat MITRE ATT&CK-hyökkäyskehystä
Suosituksia Toteutettavissa olevat vaiheet, jotka voivat pysäyttää tai auttaa vähentämään uhan vaikutusta. Tässä osiossa on myös lievennyksiä, joita ei seurata dynaamisesti osana uhka-analytiikkaraporttia.
Lisätietoja Microsoft ja kolmannen osapuolen julkaisut, joihin analyytikot viittaavat raportin laatimisen aikana. Uhka-analytiikan sisältö perustuu Microsoftin tutkijoiden vahvistamiin tietoihin. Yleisesti saatavilla olevat tiedot, kolmannen osapuolen lähteet tunnistetaan selvästi sellaisiksi.
Muutosloki Raportin julkaisuaika ja siihen tehtyjen merkittävien muutosten ajankohta.

Ymmärrät, miten kukin uhka voidaan havaita

Analyytikkoraportti tarjoaa myös tietoja eri Microsoft-ratkaisuista, jotka voivat auttaa tunnistamaan uhan. Se listaa soveltuvin osin tähän uhkaan liittyvät tunnistuksia kustakin seuraavissa osioissa luetelluista tuotteista. Näiden uhkakohtaisten tunnistusten hälytykset näkyvät Uhka-analytiikka-sivun hälytysten tilakorteissa.

Joissakin analyytikkoraporteissa mainitaan myös hälytyksiä, jotka on suunniteltu yleisesti merkitsemään epäilyttävää käyttäytymistä ja joita ei ehkä liitetä jäljitettyyn uhkaan. Tällaisissa tapauksissa raportissa ilmoitetaan selvästi, että hälytyksen voi käynnistää liittymätön uhkatoiminta ja että sitä ei valvota Uhka-analytiikka-sivun tilakorteissa.

Microsoft Defenderin virustentorjunta

Virustentorjuntaohjelman tunnistuksia on käytettävissä laitteissa, joissa on käytössä Microsoft Defender Virustentorjunta Windowsissa. Nämä tunnistuksia linkitetään niiden haittaohjelmatietosanakuvaukset Microsoftin suojaustiedustelu, kun niitä on saatavilla.

Microsoft Defender for Endpoint

Päätepisteiden tunnistus- ja vastausilmoitukset annetaan laitteille, jotka on otettu käyttöön Microsoft Defender for Endpoint. Nämä hälytykset perustuvat Defenderin päätepistetunnistimen keräämiin suojaussignaaleihin ja muihin päätepistetoimintoihin, kuten virustentorjuntaan, verkon suojaukseen ja peukaloinnin suojaukseen, jotka toimivat tehokkaina signaalilähteinä.

Microsoft Defender for Office 365

Myös Defender for Office 365 tunnistamiset ja lievennykset sisältyvät analyytikkoraportteihin. Defender for Office 365 on saumaton integrointi Microsoft 365 -tilauksiin, jotka suojaavat sähköpostin, linkkien (URL-osoitteiden), liitetiedostojen ja yhteistyötyökalujen uhkilta.

Microsoft Defender for Identity

Defender for Identity on pilvipohjainen suojausratkaisu, joka auttaa suojaamaan käyttäjätietojen valvonnan koko organisaatiossasi. Se käyttää sekä paikallinen Active Directory että pilvipalvelun käyttäjätietojen signaaleja, joiden avulla voit paremmin tunnistaa, tunnistaa ja tutkia organisaatioosi suunnattuja kehittyneitä uhkia.

Microsoft Defender for Cloud Apps

Defender for Cloud Apps tarjoaa SaaS-sovelluksille täyden suojauksen, joka auttaa valvomaan ja suojaamaan pilvipalvelusovelluksesi tietoja, käyttämällä perustavanlaatuista pilvipalvelujen käytön suojauksen välittäjän (CASB) toimintoa, SaaS Security Posture Management (SSPM) -ominaisuuksia, edistynyttä uhkien suojausta ja sovellusten suojausta.

Microsoft Defender for Cloud

Defender for Cloud on pilvinatiivi sovelluksen suojausympäristö (CNAPP), joka koostuu suojaustoimenpiteistä ja käytännöistä, jotka on suunniteltu suojaamaan pilvipohjaisia sovelluksia erilaisilta uhilta ja haavoittuvuuksilta.

Löydä hienovaraisia uhka-artefakteja kehittyneen metsästyksen avulla

Vaikka tunnistamisten avulla voit tunnistaa ja pysäyttää jäljitetty uhka automaattisesti, monet hyökkäystoimet jättävät hienovaraisia jälkiä, jotka edellyttävät enemmän tarkastusta. Joissakin hyökkäysaktiviteeteissa ilmenee käyttäytymistä, joka voi olla myös normaalia, joten niiden tunnistaminen dynaamisesti voi aiheuttaa toiminnallista kohinaa tai jopa vääriä positiivisia. Metsästyskyselyiden avulla voit ennakoivasti paikantaa nämä mahdollisesti haitalliset komponentit tai käyttäytymisen.

Microsoft Defender XDR kehittyneet metsästyskyselyt

Kehittynyt metsästys tarjoaa Kusto Query Languageen perustuvan kyselyliittymän, joka yksinkertaistaa uhkatoiminnan hienovaraisten indikaattorien löytämistä. Sen avulla voit myös tuoda esiin tilannekohtaisia tietoja ja tarkistaa, liittyvätkö ilmaisimet uhkaan.

Microsoftin analyytikot ovat tarkistaneet analyytikkoraporttien kehittyneet metsästyskyselyt, ja ne ovat valmiita suoritettavaksi kehittyneessä metsästyskyselyeditorissa. Kyselyjen avulla voit myös luoda mukautettuja tunnistussääntöjä , jotka käynnistävät hälytyksiä tuleville vastaavuuksille.

Microsoft Sentinel kyselyt

Analyytikkoraportit voivat sisältää myös Microsoft Sentinel asiakkaille sovellettavia metsästyskyselyitä.

Microsoft Sentinel on tehokkaita metsästyshaku- ja kyselytyökaluja, joilla voit etsiä tietoturvauhkia organisaatiosi tietolähteistä. Jotta voit etsiä ennakoivasti uusia poikkeamia, joita suojaussovellukset tai edes ajoitetut analytiikkasäännöt eivät tunnista, Sentinel metsästyskyselyt opastavat sinua kysymään oikeat kysymykset, jotta löydät ongelmia tiedoista, joita sinulla jo on verkossasi.

Käytä muita lievennyksiä

Uhka-analytiikka seuraa dynaamisesti tiettyjen tietoturvapäivitysten ja suojattujen määritysten tilaa. Tämäntyyppiset tiedot ovat käytettävissä kaavioina ja taulukoina Päätepisteet-altistuksissa ja Suositellut toiminnot -välilehdissä, ja ne ovat toistettavissa olevia suosituksia, jotka koskevat tätä uhkaa ja saattavat koskea myös muita uhkia.

Näiden seurattujen suositusten lisäksi analyytikkoraportissa voidaan keskustella myös lievennyksistä, joita ei valvota dynaamisesti, koska ne koskevat vain raportissa käsiteltävää uhkaa tai tilannetta. Seuraavassa on joitakin esimerkkejä tärkeistä lievennyksistä, joita ei seurata dynaamisesti:

  • Estä sähköpostiviestit, joissa on .lnk liitetiedostoja tai muita epäilyttäviä tiedostotyyppejä
  • Paikallisen järjestelmänvalvojan salasanojen satunnaistaminen
  • Loppukäyttäjien kouluttaminen tietojenkalastelusähköpostista ja muista uhkavektoreista
  • Tiettyjen hyökkäyspinnan pienentämissääntöjen ottaminen käyttöön

Vaikka voitkin käyttää Päätepisteet-altistuksia ja Suositellut toiminnot -välilehtiä arvioidaksesi suojausasenteesi uhkaa vastaan, näiden suositusten avulla voit ryhtyä muihin toimiin suojausasenteesi parantamiseksi. Lue huolellisesti kaikki analyytikkoraportin lievennysohjeet ja sovella niitä aina, kun se on mahdollista.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.