Microsoft Defender XDR analyytikkoraportin ymmärtäminen uhka-analytiikassa
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Jokainen uhka-analytiikkaraportti sisältää dynaamisia osia ja kattavan kirjallisen osan nimeltä analyytikkoraportti. Jos haluat käyttää tätä osiota, avaa raportti jäljitetystä uhasta ja valitse Analyytikkoraportti-välilehti .
Uhka-analytiikkaraportin analyytikkoraporttiosa
Skannaa analyytikkoraportti
Analyytikkoraportin jokainen osa on suunniteltu tarjoamaan toiminnallisia tietoja. Raportit vaihtelevat, mutta useimmat raportit sisältävät seuraavassa taulukossa kuvatut osiot.
Raporttiosa | Kuvaus |
---|---|
Tiivistelmä | Yleiskatsaus uhasta, mukaan lukien milloin se nähtiin ensimmäisen kerran, sen motivaatiot, merkittävät tapahtumat, tärkeimmät tavoitteet ja erilliset työkalut ja tekniikat. Näiden tietojen avulla voit arvioida tarkemmin, miten voit priorisoida uhan toimialan, maantieteellisen sijainnin ja verkon kontekstissa. |
Analyysi | Teknisiä tietoja uhkista, mukaan lukien hyökkäyksen tiedot ja se, miten hyökkääjät voivat käyttää uutta tekniikkaa tai hyökkäyspintaa |
MITRE ATT&havaitut CK-tekniikat | Miten havaitut tekniikat kartoittavat MITRE ATT&CK-hyökkäyskehystä |
Lievennykset | Suositukset, jotka voivat pysäyttää tai auttaa vähentämään uhan vaikutusta. Tässä osiossa on myös lievennyksiä, joita ei seurata dynaamisesti osana uhka-analytiikkaraporttia. |
Tunnistuksen tiedot | Microsoftin suojausratkaisujen tarjoamat erityiset ja yleiset tunnistuksia, jotka voivat pintaan liittyviä toimintoja tai uhkiin liittyviä komponentteja. |
Tarkennettu etsintä | Kehittyneet metsästyskyselyt mahdollisen uhkatoiminnan ennakoivaan tunnistamiseen. Useimmat kyselyt tarjotaan täydentämään tunnistusta, erityisesti sellaisten mahdollisesti haitallisten komponenttien tai käyttäytymisen paikantamiseen, joita ei voitu dynaamisesti arvioida haitallisiksi. |
Lisätietoja | Microsoft ja kolmannen osapuolen julkaisut, joihin analyytikot viittaavat raportin laatimisen aikana. Uhka-analytiikan sisältö perustuu Microsoftin tutkijoiden vahvistamiin tietoihin. Yleisesti saatavilla olevat tiedot, kolmannen osapuolen lähteet tunnistetaan selvästi sellaisiksi. |
Muutosloki | Raportin julkaisuaika ja siihen tehtyjen merkittävien muutosten ajankohta. |
Käytä muita lievennyksiä
Uhka-analytiikka seuraa dynaamisesti tietoturvapäivitysten ja suojattujen määritysten tilaa. Nämä tiedot ovat käytettävissä kaavioina ja taulukoinaAlttius & lieventämiset -välilehdellä.
Näiden lievennysten lisäksi analyytikkoraportissa käsitellään myös lievennyksiä, joita ei valvota dynaamisesti. Seuraavassa on joitakin esimerkkejä tärkeistä lievennyksistä, joita ei seurata dynaamisesti:
- Estä sähköpostiviestit, joissa on .lnk liitetiedostoja tai muita epäilyttäviä tiedostotyyppejä
- Paikallisen järjestelmänvalvojan salasanojen satunnaistaminen
- Loppukäyttäjien kouluttaminen tietojenkalastelusähköpostista ja muista uhkavektoreista
- Tiettyjen hyökkäyspinnan pienentämissääntöjen ottaminen käyttöön
Vaikka voit käyttää Altistuminen & lieventämiset -välilehteä arvioidaksesi suojausasentojasi uhalta, näiden suositusten avulla voit ryhtyä lisätoimiin suojausasenteesi parantamiseksi. Lue huolellisesti kaikki analyytikkoraportin lievennysohjeet ja sovella niitä aina, kun se on mahdollista.
Ymmärrät, miten kukin uhka voidaan havaita
Analyytikkoraportti tarjoaa myös tunnistuksia virustentorjuntaohjelman Microsoft Defender sekä EDR(endpoint detection and response) -ominaisuuksista.
Virustentorjunnan tunnistuksia
Nämä tunnistukset ovat käytettävissä laitteissa, joissa on käytössä Microsoft Defender Virustentorjunta Windowsissa. Kun nämä tunnistuksia suoritetaan laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpoint, ne myös käynnistävät hälytyksiä, jotka valaisevat raportin kaavioita.
Huomautus
Analyytikkoraportissa luetellaan myös yleisiä tunnistuksia , jotka voivat tunnistaa laajan valikoiman uhkia seuratun uhan komponenttien tai käyttäytymisen lisäksi. Nämä yleiset tunnisteet eivät näy kaavioissa.
Päätepisteen tunnistuksen ja vastauksen (EDR) ilmoitukset
EDR-hälytykset annetaan laitteille, jotka on otettu käyttöön Microsoft Defender for Endpoint. Näissä ilmoituksista käytetään yleensä Microsoft Defender for Endpoint tunnistimen keräämiä suojaussignaaleja ja muita päätepistetoimintoja, kuten virustentorjuntaa, verkkosuojausta ja peukalointisuojausta, jotka toimivat tehokkaina signaalilähteinä.
Kuten virustentorjunnan tunnistusluettelo, jotkin EDR-hälytykset on suunniteltu merkitsemään yleisesti epäilyttävä toiminta, jota ei ehkä liity jäljitettyyn uhkaan. Tällaisissa tapauksissa raportti tunnistaa ilmoituksen selvästi "yleiseksi" ja että se ei vaikuta mihinkään raportin kaavioihin.
Sähköpostiin liittyvät tunnistuksia ja lievennyksiä
Microsoft Defender for Office 365 sähköpostiin liittyvät tunnistamiset ja lievennykset sisältyvät analyytikkoraportteihin Microsoft Defender for Endpoint jo käytettävissä olevien päätepistetietojen lisäksi.
Estetyt sähköpostiyrityksen tiedot antavat merkityksellisiä tietoja siitä, oliko organisaatiosi analyytikkoraportissa käsiteltävän uhan kohde, vaikka hyökkäys on tehokkaasti estetty ennen toimitusta tai toimitettu roskapostikansioon.
Löydä hienovaraisia uhka-artefakteja kehittyneen metsästyksen avulla
Vaikka tunnistamisten avulla voit tunnistaa ja pysäyttää seuratun uhan automaattisesti, monet hyökkäystoimet jättävät hienovaraisia jälkiä, jotka edellyttävät lisätarkastusta. Joissakin hyökkäysaktiviteeteissa ilmenee käyttäytymistä, joka voi olla myös normaalia, joten niiden tunnistaminen dynaamisesti voi aiheuttaa toiminnallista kohinaa tai jopa vääriä positiivisia.
Kehittynyt metsästys tarjoaa Kusto Query Languageen perustuvan kyselyliittymän, joka yksinkertaistaa uhkatoiminnan hienovaraisten indikaattorien löytämistä. Sen avulla voit myös tuoda esiin tilannekohtaisia tietoja ja tarkistaa, liittyvätkö ilmaisimet uhkaan.
Microsoftin analyytikot ovat tarkistaneet analyytikkoraporttien kehittyneet metsästyskyselyt, ja ne ovat valmiita suoritettavaksi kehittyneessä metsästyskyselyeditorissa. Kyselyjen avulla voit myös luoda mukautettuja tunnistussääntöjä , jotka käynnistävät hälytyksiä tuleville vastaavuuksille.
Huomautus
Uhka-analytiikka on käytettävissä myös Microsoft Defender for Endpoint. Se ei kuitenkaan sisällä tietojen integrointia Microsoft Defender for Office 365 ja Microsoft Defender for Endpoint välillä.
Aiheeseen liittyvät artikkelit
- Uhka-analytiikan yleiskatsaus
- Etsi ennakoivasti uhkia kehittyneellä metsästyksellä
- Mukautetut tunnistussäännöt
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle