Uusien uhkien seuraaminen ja niihin vastaaminen uhka-analytiikan avulla
Koskee seuraavia:
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:
- Uusien uhkien vaikutuksen arvioiminen
- Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
- Tunnista toiminnot, joilla voit pysäyttää tai sisältää uhkia
Uhka-analytiikka on Microsoftin tietoturvatutkijoiden raportteja, jotka kattavat tärkeimmät uhat, kuten seuraavat:
- Aktiiviset uhkatoimijat ja niiden kampanjat
- Suositut ja uudet hyökkäystekniikat
- Kriittiset haavoittuvuudet
- Yleiset hyökkäyspinnat
- Laajalle levinnyt haittaohjelma
Jokainen raportti tarjoaa yksityiskohtaisen analyysin uhasta ja laajat ohjeet siihen, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.
Katso tästä lyhyestä videosta lisätietoja siitä, miten uhka-analytiikka voi auttaa seuraamaan uusimpia uhkia ja pysäyttämään ne.
Pakolliset roolit ja käyttöoikeudet
Seuraavassa taulukossa esitetään Threat Analyticsin käyttämiseen tarvittavat roolit ja käyttöoikeudet. Alla olevassa taulukossa määritetyt roolit viittaavat mukautettuihin rooleihin yksittäisissä portaaleissa, eikä niitä ole yhdistetty yleisiin rooleihin Microsoft Entra ID, vaikka ne olisi nimetty samalla tavalla.
Microsoft Defender XDR vaaditaan jokin seuraavista rooleista | Defender for Endpoint edellyttää jotakin seuraavista rooleista | Defender for Office 365 vaaditaan jokin seuraavista rooleista | Yksi seuraavista rooleista vaaditaan Defender for Cloud Appsille |
---|---|---|---|
Uhkien analysointi | Ilmoitusten ja tapausten tiedot:
|
Ilmoitusten ja tapausten tiedot:
|
Ei käytettävissä Defender for Cloud Appsille tai MDI-käyttäjille |
Uhka-analytiikan koontinäytön tarkasteleminen
Uhka-analytiikan koontinäyttö on hyvä hyppypiste, kun siirryt organisaatiollesi parhaiten merkityksellisiin raportteihin. Se tekee yhteenvedon uhkista seuraavissa osioissa:
- Uusimmat uhat: Lists viimeksi julkaistut uhkaraportit sekä niiden laitteiden määrän, joissa on aktiivisia ja ratkaistuja hälytyksiä.
- Suuren vaikutuksen uhat: Lists uhkia, joilla on ollut suurin vaikutus organisaatioon. Tässä osiossa uhat asetetaan niiden laitteiden määrän mukaan, joissa on aktiivisia ilmoituksia.
- Uhkien yhteenveto: Näyttää jäljitettyjen uhkien kokonaisvaikutuksen näyttämällä aktiivisten ja ratkaistujen hälytysten uhkien määrän.
Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia.
Uhka-analytiikkaraportin tarkasteleminen
Kukin uhka-analytiikkaraportti tarjoaa tietoja kolmessa osiossa: Yleiskatsaus, Analyytikkoraportti ja Lievennykset.
Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset
Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistustasi väärin määritettyjen ja merkitsemättömien laitteiden kautta.
Uhka-analytiikkaraportin Yleiskatsaus-osa
Arvioi vaikutus organisaatioosi
Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:
- Laitteet, joissa on ilmoituksia: Näyttää nykyisen määrän erillisiä laitteita, joihin uhka on vaikuttanut. Laite luokitellaan aktiiviseksi , jos kyseiseen uhkaan liittyy vähintään yksi hälytys, ja Ratkaistaan , jos kaikki uhkaan liittyvät hälytykset laitteessa on ratkaistu.
- Laitteet, joissa on ilmoituksia ajan kuluessa: Näyttää aktiivisten ja ratkaistujen ilmoitusten sisältävien eri laitteiden määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.
Tarkista suojauksen häiriönsietokyky ja -asento
Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:
- Suojausmääritysten tila: Näyttää niiden laitteiden määrän, jotka ovat käyttäneet suositeltuja suojausasetuksia, jotka voivat auttaa lieventämään uhkaa. Laitteita pidetään suojattuina , jos ne ovat ottaneet käyttöön kaikki seuratut asetukset.
- Haavoittuvuuden korjaustila: Näyttää niiden laitteiden määrän, jotka ovat ottaneet käyttöön tietoturvapäivityksiä tai korjaustiedostoja, jotka korjaavat uhan hyödyntämiä haavoittuvuuksia.
Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta
Siirry Analyytikon raportti -osioon, jossa voit lukea yksityiskohtaisen asiantuntijakirjoituksen. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .
Lisätietoja analyytikkoraportista
Lievennykset: tarkista luettelo lievennyksistä ja laitteiden tilasta
Tarkista Lievennykset-osiossa luettelo tietyistä toiminnallisistä suosituksista, joiden avulla voit parantaa organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää seuraavat:
- Tietoturvapäivitykset: tietoturvapäivitysten tai korjaustiedostojen käyttöönotto haavoittuvuuksille
- Microsoft Defender virustentorjunta-asetukset
- Suojaustietojen versio
- Pilvipalveluun toimitettu suojaus
- Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
- Reaaliaikainen suojaus
Tämän osion lievennystiedot sisältävät tietoja Microsoft Defenderin haavoittuvuuksien hallinta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.
Uhka-analytiikkaraportin lievennysosa
Raportin lisätiedot ja rajoitukset
Kun käytät raportteja, pidä mielessä seuraavat asiat:
- Tiedot suodatetaan roolipohjaisen käytön hallinnan (RBAC) laajuuden mukaan. Näet niiden laitteiden tilan ryhmissä, joita voit käyttää.
- Kaaviot heijastavat vain lievennyksiä, joita seurataan. Tarkista raportin yleiskatsauksesta muita lievennyksiä, joita ei näytetä kaavioissa.
- Lievennykset eivät takaa täydellistä häiriönsietokykyä. Annetut lievennykset heijastavat parhaita mahdollisia toimia, joita tarvitaan suojauksen parantamiseksi.
- Laitteet lasketaan "ei käytettävissä", jos ne eivät ole siirtäneet tietoja palveluun.
- Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defender virustentorjunta-asetuksiin. Laitteet, joissa on kolmannen osapuolen virustentorjuntaratkaisuja, voivat näkyä "alttiina".
Aiheeseen liittyvät artikkelit
- Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
- Tietoa analyytikkoraportin osasta
- Suojauspuutteiden ja -paljastusten arvioiminen ja ratkaiseminen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle