Uusien uhkien seuraaminen ja niihin vastaaminen uhka-analytiikan avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:

• Uusien uhkien vaikutuksen arvioiminen
• Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
• Tunnista toiminnot, joilla voit pysäyttää tai sisältää uhkia

Uhka-analytiikka on Microsoftin tietoturvatutkijoiden raportteja, jotka kattavat tärkeimmät uhat, kuten seuraavat:

• Aktiiviset uhkatoimijat ja niiden kampanjat
• Suositut ja uudet hyökkäystekniikat
• Kriittiset haavoittuvuudet
• Yleiset hyökkäyspinnat
• Laajalle levinnyt haittaohjelma

Jokainen raportti tarjoaa yksityiskohtaisen analyysin uhasta ja laajat ohjeet siihen, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.

Katso tästä lyhyestä videosta lisätietoja siitä, miten uhka-analytiikka voi auttaa seuraamaan uusimpia uhkia ja pysäyttämään ne.

Pakolliset roolit ja käyttöoikeudet

Seuraavassa taulukossa esitetään Threat Analyticsin käyttämiseen tarvittavat roolit ja käyttöoikeudet. Alla olevassa taulukossa määritetyt roolit viittaavat mukautettuihin rooleihin yksittäisissä portaaleissa, eikä niitä ole yhdistetty yleisiin rooleihin Microsoft Entra ID, vaikka ne olisi nimetty samalla tavalla.

Microsoft Defender XDR vaaditaan jokin seuraavista rooleista	Defender for Endpoint edellyttää jotakin seuraavista rooleista	Defender for Office 365 vaaditaan jokin seuraavista rooleista	Yksi seuraavista rooleista vaaditaan Defender for Cloud Appsille
Uhkien analysointi	Ilmoitusten ja tapausten tiedot: Tietojen suojaustoimintojen tarkasteleminen Defenderin haavoittuvuuden hallinnan lievennykset: Tietojen tarkasteleminen – uhkien ja haavoittuvuuden hallinta	Ilmoitusten ja tapausten tiedot: Vain tarkastelu -ilmoitusten hallinta Hallitse ilmoituksia Organisaation määritys Valvontalokit Vain tarkastelu -valvontalokit Suojaustietojen lukija Suojauksen järjestelmänvalvoja Vain tarkastelu -vastaanottajat Estyneet sähköpostiyritykset: Suojaustietojen lukija Suojauksen järjestelmänvalvoja Vain tarkastelu -vastaanottajat	Ei käytettävissä Defender for Cloud Appsille tai MDI-käyttäjille

Uhka-analytiikan koontinäytön tarkasteleminen

Uhka-analytiikan koontinäyttö on hyvä hyppypiste, kun siirryt organisaatiollesi parhaiten merkityksellisiin raportteihin. Se tekee yhteenvedon uhkista seuraavissa osioissa:

• Uusimmat uhat: Lists viimeksi julkaistut uhkaraportit sekä niiden laitteiden määrän, joissa on aktiivisia ja ratkaistuja hälytyksiä.
• Suuren vaikutuksen uhat: Lists uhkia, joilla on ollut suurin vaikutus organisaatioon. Tässä osiossa uhat asetetaan niiden laitteiden määrän mukaan, joissa on aktiivisia ilmoituksia.
• Uhkien yhteenveto: Näyttää jäljitettyjen uhkien kokonaisvaikutuksen näyttämällä aktiivisten ja ratkaistujen hälytysten uhkien määrän.

Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia.

Uhka-analytiikkaraportin tarkasteleminen

Kukin uhka-analytiikkaraportti tarjoaa tietoja kolmessa osiossa: Yleiskatsaus, Analyytikkoraportti ja Lievennykset.

Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset

Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistustasi väärin määritettyjen ja merkitsemättömien laitteiden kautta.

Uhka-analytiikkaraportin Yleiskatsaus-osa

Arvioi vaikutus organisaatioosi

Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:

• Laitteet, joissa on ilmoituksia: Näyttää nykyisen määrän erillisiä laitteita, joihin uhka on vaikuttanut. Laite luokitellaan aktiiviseksi , jos kyseiseen uhkaan liittyy vähintään yksi hälytys, ja Ratkaistaan , jos kaikki uhkaan liittyvät hälytykset laitteessa on ratkaistu.
• Laitteet, joissa on ilmoituksia ajan kuluessa: Näyttää aktiivisten ja ratkaistujen ilmoitusten sisältävien eri laitteiden määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.

Tarkista suojauksen häiriönsietokyky ja -asento

Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:

• Suojausmääritysten tila: Näyttää niiden laitteiden määrän, jotka ovat käyttäneet suositeltuja suojausasetuksia, jotka voivat auttaa lieventämään uhkaa. Laitteita pidetään suojattuina , jos ne ovat ottaneet käyttöön kaikki seuratut asetukset.
• Haavoittuvuuden korjaustila: Näyttää niiden laitteiden määrän, jotka ovat ottaneet käyttöön tietoturvapäivityksiä tai korjaustiedostoja, jotka korjaavat uhan hyödyntämiä haavoittuvuuksia.

Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta

Siirry Analyytikon raportti -osioon, jossa voit lukea yksityiskohtaisen asiantuntijakirjoituksen. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .

Lisätietoja analyytikkoraportista

Lievennykset: tarkista luettelo lievennyksistä ja laitteiden tilasta

Tarkista Lievennykset-osiossa luettelo tietyistä toiminnallisistä suosituksista, joiden avulla voit parantaa organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää seuraavat:

• Tietoturvapäivitykset: tietoturvapäivitysten tai korjaustiedostojen käyttöönotto haavoittuvuuksille
• Microsoft Defender virustentorjunta-asetukset
  • Suojaustietojen versio
  • Pilvipalveluun toimitettu suojaus
  • Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
  • Reaaliaikainen suojaus

Tämän osion lievennystiedot sisältävät tietoja Microsoft Defenderin haavoittuvuuksien hallinta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.

Uhka-analytiikkaraportin lievennysosa

Raportin lisätiedot ja rajoitukset

Kun käytät raportteja, pidä mielessä seuraavat asiat:

• Tiedot suodatetaan roolipohjaisen käytön hallinnan (RBAC) laajuuden mukaan. Näet niiden laitteiden tilan ryhmissä, joita voit käyttää.
• Kaaviot heijastavat vain lievennyksiä, joita seurataan. Tarkista raportin yleiskatsauksesta muita lievennyksiä, joita ei näytetä kaavioissa.
• Lievennykset eivät takaa täydellistä häiriönsietokykyä. Annetut lievennykset heijastavat parhaita mahdollisia toimia, joita tarvitaan suojauksen parantamiseksi.
• Laitteet lasketaan "ei käytettävissä", jos ne eivät ole siirtäneet tietoja palveluun.
• Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defender virustentorjunta-asetuksiin. Laitteet, joissa on kolmannen osapuolen virustentorjuntaratkaisuja, voivat näkyä "alttiina".

Aiheeseen liittyvät artikkelit

• Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
• Tietoa analyytikkoraportin osasta
• Suojauspuutteiden ja -paljastusten arvioiminen ja ratkaiseminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.