Uhka-analytiikka Microsoft Defender XDR

Koskee seuraavia:

• Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Uhka-analytiikka on microsoftin asiantuntuisten tietoturvatutkijoiden tuotekohtainen uhkatietoratkaisu. Se on suunniteltu auttamaan suojaustiimejä olemaan mahdollisimman tehokkaita uusien uhkien, kuten:

• Aktiiviset uhkatoimijat ja niiden kampanjat
• Suositut ja uudet hyökkäystekniikat
• Kriittiset haavoittuvuudet
• Yleiset hyökkäyspinnat
• Laajalle levinnyt haittaohjelma

Katso tästä lyhyestä videosta lisätietoja siitä, miten uhka-analytiikka voi auttaa seuraamaan uusimpia uhkia ja pysäyttämään ne.

Voit käyttää uhka-analytiikkaa joko Microsoft Defender XDR siirtymispalkin vasemmasta yläkulmasta tai erillisestä koontinäyttökortista, joka näyttää organisaatiosi parhaat uhat sekä tunnetun vaikutuksen että altistumisen suhteen.

Näkyvyyden saaminen aktiivisista tai jatkuvista kampanjoista ja tieto siitä, mitä tehdä uhka-analytiikan avulla, voi auttaa varustamaan tietoturvatiimisi tietoon perustuvilla päätöksillä.

Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:

• Uusien uhkien tunnistaminen ja niihin reagoiminen
• Lue, jos olet hyökkäyksen kohteena
• Arvioi resurssiesi uhan vaikutusta
• Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
• Tunnista lievennys-, palautus- tai estotoimet, joilla voit pysäyttää tai sisältää uhkia

Jokainen raportti tarjoaa analyysin seuratusta uhasta ja laajoja ohjeita siitä, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.

Uhka-analytiikan koontinäytön tarkasteleminen

Uhka-analytiikan koontinäyttö (security.microsoft.com/threatanalytics3) korostaa raportit, jotka ovat olennaisimpia organisaatiollesi. Se tekee yhteenvedon uhkista seuraavissa osioissa:

• Uusimmat uhat – luetteloi viimeksi julkaistut tai päivitetyt uhkaraportit sekä aktiivisten ja ratkaistujen hälytysten määrän.
• Suurivaikutusuhkissa luetellaan uhat, joilla on suurin vaikutus organisaatioosi. Tässä osiossa luetellaan ensin uhat, joissa on eniten aktiivisia ja ratkaistuja ilmoituksia.
• Suurin altistuminen – luettelee uhat, joille organisaatiosi altistuu eniten. Altistumistasosi uhalle lasketaan käyttämällä kahta tietoa: kuinka vakavia uhkaan liittyvät haavoittuvuudet ovat ja kuinka montaa organisaatiosi laitetta nämä haavoittuvuudet voivat hyödyntää.

Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia. Voit myös valita Haku kentän avainsanassa, joka liittyy luettavaan uhka-analytiikkaraporttiin.

Näytä raportit luokan mukaan

Voit suodattaa uhkaraporttiluettelon ja tarkastella tärkeimpiä raportteja tietyn uhkatyypin tai raporttityypin mukaan.

• Uhkatunnisteet – auttavat tarkastelemaan tärkeimpiä raportteja tietyn uhkaluokan mukaan. Esimerkiksi Ransomware-tunniste sisältää kaikki kiristyshaittaohjelmaan liittyvät raportit.
• Raporttityypit – auttavat sinua tarkastelemaan tärkeimpiä raportteja tietyn raporttityypin mukaan. Esimerkiksi Työkalut & tekniikat - tunniste sisältää kaikki raportit, jotka kattavat työkalut ja tekniikat.

Eri tunnisteilla on vastaavat suodattimet, jotka auttavat sinua tarkistamaan tehokkaasti uhkaraporttiluettelon ja suodattamaan näkymän tietyn uhkatunnisteen tai raporttityypin perusteella. Voit esimerkiksi tarkastella kaikkia uhkaraportteja, jotka liittyvät kiristyshaittaohjelmaluokkaan, tai uhkaraportteja, joihin liittyy haavoittuvuuksia.

Microsoft Threat Intelligence -tiimi on lisännyt uhkatunnisteita jokaiseen uhkaraporttiin. Neljä uhkatunnistetta on tällä hetkellä käytettävissä:

• Kiristysohjelma
• Tietojenkalastelu
• Haavoittuvuus
• Toimintoryhmä

Uhkatunnisteet esitetään uhka-analytiikkasivun yläosassa. Käytettävissä olevien raporttien määrälle kullekin tunnisteelle on laskureita.

Jos haluat määrittää luetteloon haluamasi raporttityypit, valitse Suodattimet, valitse luettelosta ja valitse Käytä.

Jos olet määrittänyt useamman kuin yhden suodattimen, uhka-analytiikkaraporttien luettelo voidaan lajitella myös uhkatunnisteen mukaan valitsemalla uhkatunnistesarake:

Uhka-analytiikkaraportin tarkasteleminen

Kukin uhka-analytiikkaraportti sisältää tietoja useissa osissa:

• Yleiskatsaus
• Analyytikkoraportti
• Liittyvät tapaukset
• Kohderesurssit, joihin vaikutus vaikuttaa
• Estyneet sähköpostiyritykset
• Altistumisen & lievennykset

Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset

Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistumistasi väärin määritettyjen ja määrittämättömien laitteiden kautta.

Arvioi vaikutus organisaatioosi

Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:

• Liittyvät tapaukset – antaa yleiskatsauksen seuratun uhan vaikutuksesta organisaatioosi seuraavilla tiedoilla:
  • Aktiivisten hälytysten määrä ja niihin liittyvien aktiivisten tapausten määrä
  • Aktiivisten tapausten vakavuus
• Ilmoitukset ajan kuluessa – näyttää liittyvien aktiivisten ja ratkaistujen ilmoitusten määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.
• Vaikutus resursseihin – näyttää niiden erillisten laitteiden ja sähköpostitilien (postilaatikoiden) määrän, joilla on tällä hetkellä vähintään yksi aktiivinen hälytys, joka liittyy jäljitettyyn uhkaan. Ilmoituksia käynnistetään postilaatikoissa, jotka ovat vastaanottaneet uhkasähköposteja. Tarkista sekä organisaatio- että käyttäjätason käytännöt ohituksille, jotka aiheuttavat uhkasähköpostien toimittamisen.
• Estetyt sähköpostiyritykset – näyttää niiden sähköpostiviestien määrän viimeisten seitsemän päivän ajalta, jotka oli joko estetty ennen toimitusta tai toimitettu roskapostikansioon.

Tarkista suojauksen häiriönsietokyky ja -asento

Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:

• Suojatun määrityksen tila – näyttää niiden laitteiden määrän, joissa on väärin määritetyt suojausasetukset. Käytä suositeltuja suojausasetuksia uhan lieventämiseksi. Laitteita pidetään suojattuina , jos ne ovat ottaneet käyttöön kaikki seuratut asetukset.
• Haavoittuvuuden korjaustila – näyttää haavoittuvassa asemassa olevien laitteiden määrän. Ota tietoturvapäivitykset tai korjaustiedostot käyttöön uhan hyödyntämien haavoittuvuuksien korjaamiseksi.

Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta

Lue Analyytikkoraportti-osiossa yksityiskohtainen asiantuntijakirjoitus. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .

Lisätietoja analyytikkoraportista

Aiheeseen liittyvät tapaukset: Liittyvien tapausten tarkasteleminen ja hallinta

Liittyvät tapaukset -välilehti tarjoaa luettelon kaikista jäljitettyyn uhkaan liittyvistä tapauksista. Voit määrittää tapauksia tai hallita kuhunkin tapaukseen liittyviä hälytyksiä.

Vaikutus resursseihin: Hanki luettelo laitteista ja postilaatikoista, joihin vaikutus vaikuttaa

Jos aktiivinen, ratkaisematon hälytys vaikuttaa resurssiin, siihen vaikuttaa. Vaikutus resursseista -välilehdessä luetellaan seuraavantyyppiset kohteet, joihin vaikutus vaikuttaa:

• Vaikutuksen alaisina olevat laitteet – päätepisteet, joiden Microsoft Defender for Endpoint ilmoituksia ei ole ratkaistu. Nämä hälytykset käynnistyvät yleensä havaittujen tunnettujen uhkaindikaattorien ja -toimien vuoksi.
• Postilaatikot, joihin tämä vaikuttaa – postilaatikot, jotka ovat vastaanottaneet Microsoft Defender for Office 365 ilmoituksia käynnistäneet sähköpostiviestit. Vaikka useimmat ilmoitukset käynnistävät viestit on yleensä estetty, käyttäjä- tai organisaatiotason käytännöt voivat ohittaa suodattimia.

Estetyt sähköpostiyritykset: näytä estetyt tai roskapostit

Microsoft Defender for Office 365 yleensä estää sähköpostit, joissa on tunnettuja uhkaindikaattoreita, mukaan lukien haitallisia linkkejä tai liitteitä. Joissakin tapauksissa ennakoivat suodatusmekanismit, jotka tarkistavat epäilyttävän sisällön, lähettävät sen sijaan uhkasähköposteja roskapostikansioon. Kummassakin tapauksessa haittaohjelmakoodin käynnistysmahdollisuudet laitteessa vähenevät.

Estetyt sähköpostiyritykset -välilehdessä luetellaan kaikki sähköpostiviestit, jotka Microsoft Defender for Office 365 ovat joko estäneet ennen toimitusta tai lähettäneet roskapostikansioon.

Altistuminen ja lievennykset: Tarkista luettelo lievennyksistä ja laitteiden tilasta

Tarkista Altistuminen & lieventämiset -osiossa luettelo erityisistä toiminnallisistä suosituksista, jotka voivat auttaa sinua parantamaan organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää seuraavat:

• Tietoturvapäivitykset – käyttöönotetut ohjelmistojen tietoturvapäivitykset, jotka koskevat käyttöönoton yhteydessä olevista laitteista löytyneet haavoittuvuudet
• Tuetut suojausmääritykset
  • Pilvipalveluun toimitettu suojaus
  • Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
  • Reaaliaikainen suojaus

Tämän osion lievennystiedot sisältävät tietoja Microsoft Defenderin haavoittuvuuksien hallinta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.

Uhka-analytiikkaraportin altistumisen & lieventämisosa

Sähköposti-ilmoitusten määrittäminen raporttipäivityksille

Voit määrittää sähköposti-ilmoituksia, jotka lähettävät sinulle päivityksiä uhka-analytiikkaraportteihin. Voit luoda sähköposti-ilmoituksia noudattamalla ohjeita kohdassa Uhka-analytiikkapäivitysten sähköposti-ilmoitusten saaminen Microsoft Defender XDR.

Raportin lisätiedot ja rajoitukset

Huomautus

Osana yhtenäistä suojauskokemusta uhka-analytiikka on nyt saatavilla paitsi Microsoft Defender for Endpoint myös Microsoft Defender for Office 365 lisenssin haltijoille.

Jos käytössäsi ei ole Microsoft 365 -suojausportaalia (Microsoft Defender XDR), näet myös raportin tiedot (ilman Office-tietojen Microsoft Defender) Microsoft Defender Security Center portaalissa ( Microsoft Defender for Endpoint).

Jotta voit käyttää uhka-analytiikkaraportteja, tarvitset tietyt roolit ja käyttöoikeudet. Katso lisätietoja artikkelista Roolipohjaisen käytön mukautettujen roolien hallinta Microsoft Defender XDR.

• Jos haluat tarkastella ilmoitusten, tapausten tai vaikutusresurssien tietoja, sinulla on oltava oikeus Microsoft Defender Office- tai Microsoft Defender for Endpoint-ilmoitusten tietoja tai molempia.
• Jos haluat tarkastella estettyjä sähköpostiyrityksiä, sinulla on oltava oikeudet Microsoft Defender Officen metsästystietoja varten.
• Jotta voit tarkastella lievennyksiä, sinulla on oltava defenderin haavoittuvuuden hallintatietojen käyttöoikeudet Microsoft Defender for Endpoint.

Kun tarkastelet uhka-analytiikkatietoja, muista seuraavat tekijät:

• Kaaviot heijastavat vain lievennyksiä, joita seurataan. Tarkista raportin yleiskatsauksesta muita lievennyksiä, joita ei näytetä kaavioissa.
• Lievennykset eivät takaa täydellistä häiriönsietokykyä. Annetut lievennykset heijastavat parhaita mahdollisia toimia, joita tarvitaan suojauksen parantamiseksi.
• Laitteet lasketaan "ei käytettävissä", jos ne eivät ole siirtäneet tietoja palveluun.
• Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defender virustentorjunta-asetuksiin. Laitteet, joissa on kolmannen osapuolen virustentorjuntaratkaisuja, voivat näkyä "alttiina".

Aiheeseen liittyviä artikkeleita

• Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
• Tietoa analyytikkoraportin osasta
• Suojauspuutteiden ja -paljastusten arvioiminen ja ratkaiseminen

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.