מעקב אחר איומים מתפתחים ומענה עליהן באמצעות ניתוח איומים

מאמר
08/17/2024

חל על:

חשוב

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

ניתוח איומים הוא פתרון הבינה האיומים במוצר שלנו של חוקרי האבטחה המומחים של Microsoft. הוא נועד לסייע לצוותי אבטחה להיות יעילים ככל האפשר תוך התמודדות עם איומים מתפתחים, כגון:

שחקני איומים פעילים וקמפיינים שלהם
טכניקות תקיפה פופולריות וחדשות
פגיעויות קריטיות
משטחי תקיפה נפוצים
תוכנות זדוניות שכיחות

באפשרותך לגשת לניתוח איומים מצדו הימני העליון של סרגל הניווט של פורטל Microsoft Defender, או מכרטיס לוח מחוונים ייעודי המציג את האיומים המובילים לארגון שלך, הן במונחים של השפעה ידועה והן במונחים של החשיפה שלך.

קבלת ניראות בקמפיינים פעילים או מתמשכת ולדעת מה לעשות באמצעות ניתוח איומים יכולה לעזור לצוות פעולות האבטחה שלך לקבל החלטות מושכלות.

עם יריבים מתוחכמים יותר ואיומים חדשים מתפתחים בתדירות גבוהה ונפוצה יותר, חיוני לאפשר את היכולת במהירות:

זיהוי איומים מתפתחים והתגובה שלהם
למד אם אתה נמצא כעת תחת מתקפה
הערכת ההשפעה של האיום על הנכסים שלך
סקור את ההגנה שלך מפני האיומים או חשיפתם לאיומים
זיהוי פעולות צמצום הסיכונים, השחזור או המניעה שניתן לבצע כדי להפסיק או להכיל את האיומים

כל דוח מספק ניתוח של איום מסומן והדרכה נרחבת לגבי אופן ההתגונן מפני איום זה. היא גם משלבת נתונים מהרשת שלך, המציינת אם האיום פעיל ואם יש לך הגנות ישימות.

תפקידים והרשאות נדרשים

הטבלה הבאה מתארת את התפקידים וההרשאות הנדרשים כדי לגשת לניתוח איומים. תפקידים המוגדרים בטבלה מפנים לתפקידים מותאמים אישית בפורטלים בודדים שאינם מחוברים לתפקידים כלליים ב- Microsoft Entra ID, גם אם הם בעלי שם דומה.

אחד מהתפקידים הבאים נדרש עבור XDR של Microsoft Defender	אחד מהתפקידים הבאים נדרש עבור Microsoft Defender for Endpoint	אחד מהתפקידים הבאים נדרש עבור Microsoft Defender עבור Office 365	אחד מהתפקידים הבאים נדרש עבור יישומי הענן של Microsoft Defender ו- Microsoft Defender עבור זהות	אחד מהתפקידים הבאים נדרש עבור Microsoft Defender for Cloud
ניתוח איומים	נתוני התראות ותקריות: הצגת נתונים - פעולות אבטחה צמצום סיכונים של ניהול פגיעויות Defender: הצגת נתונים - ניהול איומים ופגיעות	נתוני התראות ותקריות: נהל התראות בתצוגה בלבד ניהול התראות תצורת הארגון יומני ביקורת יומני ביקורת של תצוגה בלבד קורא האבטחה מנהל אבטחה נמענים של תצוגה בלבד ניסיונות דואר אלקטרוני שנמנעו: קורא האבטחה מנהל אבטחה נמענים של תצוגה בלבד	מנהל מערכת כללי מנהל אבטחה מנהל תאימות מתפעל אבטחה קורא האבטחה	מנהל מערכת כללי מנהל אבטחה

אחד מהתפקידים הבאים נדרש עבור XDR של Microsoft Defender

אחד מהתפקידים הבאים נדרש עבור Microsoft Defender for Endpoint

אחד מהתפקידים הבאים נדרש עבור Microsoft Defender עבור Office 365

אחד מהתפקידים הבאים נדרש עבור יישומי הענן של Microsoft Defender ו- Microsoft Defender עבור זהות

אחד מהתפקידים הבאים נדרש עבור Microsoft Defender for Cloud

ניתוח איומים

נתוני התראות ותקריות:

הצגת נתונים - פעולות אבטחה

צמצום סיכונים של ניהול פגיעויות Defender:

הצגת נתונים - ניהול איומים ופגיעות

נתוני התראות ותקריות:

נהל התראות בתצוגה בלבד
ניהול התראות
תצורת הארגון
יומני ביקורת
יומני ביקורת של תצוגה בלבד
קורא האבטחה
מנהל אבטחה
נמענים של תצוגה בלבד

ניסיונות דואר אלקטרוני שנמנעו:

קורא האבטחה
מנהל אבטחה
נמענים של תצוגה בלבד

מנהל מערכת כללי
מנהל אבטחה
מנהל תאימות
מתפעל אבטחה
קורא האבטחה

מנהל מערכת כללי
מנהל אבטחה

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

תהיה לך ניראות של כל דוחות ניתוח האיומים גם אם יש לך רק אחד מהתפקידים התואמים שלו המתוארים בטבלה הקודמת. עם זאת, אתה נדרש להחזיק בכל מוצר ותפקידים כדי לראות את האירועים, הנכסים, החשיפה והפעולות המומלצות של מוצר זה המשויכים לאיום.

למידע נוסף:

הצג את לוח המחוונים של ניתוח איומים

לוח המחוונים לניתוח איומים (security.microsoft.com/threatanalytics3) מסמן את הדוחות הרלוונטיים ביותר לארגון שלך. הוא מסכם את האיומים בסעיפים הבאים:

האיומים העדכניים ביותר - מפרט את דוחות האיומים העדכניים ביותר שפורסמו או עודכנו, יחד עם מספר ההתראות הפעילות והנפתרו.
איומים בעלי השפעה גבוהה - מפרט את האיומים שיש להם את ההשפעה הגבוהה ביותר על הארגון שלך. מקטע זה מפרט איומים עם המספר הגבוה ביותר של התראות פעילות והתראות שנפתרו תחילה.
איומי החשיפה הגבוהים ביותר - מציגים איומים שלארגון שלך יש את החשיפה הגבוהה ביותר. רמת החשיפה שלך לאיום מחושבת באמצעות שתי פיסות מידע: כמה חמורות הפגיעויות המשויכות לאיום, וכמה מכשירים בארגון שלך עשויים להינצל על-ידי פגיעויות אלה.

בחר איום מלוח המחוונים כדי להציג את הדוח עבור איום זה. באפשרותך גם לבחור את השדה חיפוש שיש למפתח במילת מפתח הקשורה לדוח ניתוח האיומים שברצונך לקרוא.

הצגת דוחות לפי קטגוריה

באפשרותך לסנן את רשימת דוחות האיומים ולהצג את הדוחות הרלוונטיים ביותר בהתאם לסוג איום ספציפי או לפי סוג דוח.

תגיות איומים – מסייעות לך להציג את הדוחות הרלוונטיים ביותר לפי קטגוריית איום ספציפית. לדוגמה, התג תוכנת כופר כולל את כל הדוחות הקשורים לתוכנות כופר.
סוגי דוחות – מסייעים לך להציג את הדוחות הרלוונטיים ביותר בהתאם לסוג דוח ספציפי. לדוגמה, התגית Tools & techniques כוללת את כל הדוחות שכוללים כלי שער וטכניקות.

לתגיות השונות יש מסננים מקבילים שמסייעים לך לסקור ביעילות את רשימת דוחות האיומים ולסנן את התצוגה בהתבסס על תג איומים או סוג דוח ספציפיים. לדוגמה, כדי להציג את כל דוחות האיומים הקשורים קטגוריה של תוכנת כופר, או דוחות איומים הכוללים פגיעויות.

צוות בינת האיומים של Microsoft מוסיף תגיות איומים לכל דוח איום. תגיות האיומים הבאות זמינות כעת:

תוכנת כופר
סחיטה
דיוג
ידיים על המקלדת
קבוצת פעילות
פגיעות
קמפיין התקפה
כלי או טכניקה

תגיות איומים מוצגות בחלק העליון של דף ניתוח האיומים. קיימים מונים עבור מספר הדוחות הזמינים תחת כל תגית.

כדי להגדיר את סוגי הדוחות הרצויים ברשימה, בחר מסננים, בחר מהרשימה ובחר החל.

אם תגדיר יותר ממסנן אחד, ניתן גם למיין את רשימת הדוחות לניתוח איומים לפי תגית איום על-ידי בחירת העמודה תגי איום:

הצגת דוח ניתוח איומים

כל דוח ניתוח איומים מספק מידע בכמה מקטעים:

סקירה כללית
דוח אנליסט
אירועים קשורים
נכסים מושפעים
חשיפה של נקודות קצה
פעולות מומלצות

מבט כולל: הבנת האיום במהירות, הערכת ההשפעה שלו וסקירה של ההגנות

המקטע Overview מספק תצוגה מקדימה של דוח האנליסטים המפורט. בנוסף, הוא מספק תרשימים המדגישים את השפעת האיום על הארגון שלך ואת החשיפה שלך באמצעות התקנים לא מוגדרים כהלכה ולא תואמים.

איומים' של דוח ניתוח איומים

הערכת ההשפעה על הארגון שלך

כל דוח כולל תרשימים המיועדים לספק מידע אודות ההשפעה הארגונית של איום:

אירועים קשורים - מספק מבט כולל על ההשפעה של האיום המסומן על הארגון שלך עם הנתונים הבאים:
- מספר ההתראות הפעילות ומספר האירועים הפעילים שאיתם הן משויכת
- חומרת אירועים פעילים
התראות לאורך זמן - מציג את מספר ההתראות הקשורות ' פעילות ' ו'נפתרה ' לאורך זמן. מספר ההתראות שנפתרו מציין באיזו מהירות הארגון שלך מגיב להתראות המשויכות לאיום. רצוי שהתרשים אמור להציג התראות שנפתרו בתוך כמה ימים.
נכסים מושפעים - מציג את מספר הנכסים הייחודיים שיש להם כעת לפחות התראה פעילה אחת המשויכת לאיום המסומן. התראות מופעלות עבור תיבות דואר שקיבלו הודעות דואר אלקטרוני של איומים. סקור הן מדיניות ארגונית והן מדיניות ברמת המשתמש לקבלת עקיפות הגורמות לאספקת הודעות דואר אלקטרוני של איומים.

סקור את תנוחות האבטחה ואת התנוחות

כל דוח כולל תרשימים המספקים מבט כולל על האופן שבו הארגון שלך גמיש מפני איום נתון:

פעולות מומלצות - מציג את אחוז מצב הפעולה, או את מספר הנקודות שהשגת כדי לשפר את תציבת האבטחה שלך. בצע את הפעולות המומלצות כדי לעזור לטפל באיומים. באפשרותך להציג את התפלגות הנקודות לפי קטגוריה או מצב.
חשיפה של נקודות קצה - מציגה את מספר המכשירים הפגיעים. החל עדכוני אבטחה או תיקונים כדי לטפל בפגיעות שהאיום מנצל.

דוח אנליסט: קבל תובנות ממומחים של חוקרי האבטחה של Microsoft

במקטע אנליסט דוח , קרא את המומחה המפורט לכתיבה. רוב הדוחות מספקים תיאורים מפורטים של רשתות תקיפה, כולל טקטיקות וטכניקות הממופות למסגרת MITRE ATT&CK, רשימות מקיפות של המלצות והדרכה רבת עוצמה לציד איומים.

מידע נוסף על דוח האנליסטים

הכרטיסיה אירועים קשורים מספקת את הרשימה של כל האירועים הקשורים לאיום המסומן. באפשרותך להקצות אירועים או לנהל התראות המקושרות לכל מקרה.

הערה

אירועים והתראות המשויכים לאיום מקורם ב- Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps ו- Defender for Cloud.

נכסים מושפעים: קבל רשימה של מכשירים, משתמשים, תיבות דואר, אפליקציות ומשאבי ענן מושפעים

הכרטיסיה נכסים מושפעים מציגה את הנכסים המושפעים מהאיום לאורך זמן. הוא מציג:

נכסים המושפעים מהתראות פעילות
נכסים המושפעים מהתראות שנפתרו
כל הנכסים, או המספר הכולל של הנכסים המושפעים מהתראות פעילות והתראות שנפתרו

הנכסים מחולקים לקטגוריות הבאות:

התקנים
משתמשים
תיבות דואר
יישומים
משאבי ענן

חשיפה של נקודות קצה: עדכן את מצב הפריסה של עדכוני אבטחה

סעיף חשיפת נקודות הקצה מספק לארגון שלך את רמת החשיפה לאיום, המחושב בהתבסס על חומרת הפגיעויות והתצורות המנוצלות לרעה על-ידי האיום המוערך, ומספר המכשירים עם חולשות אלה.

סעיף זה מספק גם את מצב הפריסה של עדכוני אבטחה נתמכים של תוכנה עבור פגיעויות שנמצאו במכשירים מחוברים. הוא משלב נתונים מ'ניהול פגיעויות של Microsoft Defender', המספק גם מידע מפורט בנושא הסתעפות מקישורים שונים בדוח.

פעולות מומלצות: סקירת רשימת צמצום סיכונים ומצב המכשירים שלך

בכרטיסיה פעולות מומלצות , סקור את רשימת ההמלצות הספציפיות שניתן לפעול על פיהן, כדי לסייע לך לשפר את ההגנה הארגונית שלך כנגד האיום. רשימת צמצום הסיכונים המסומן כוללת תצורות אבטחה נתמכות, כגון:

הגנה מבוססת ענן
הגנה מפני יישומים שעלולים להיות בלתי רצויים (PUA)
הגנה בזמן אמת

הגדרת הודעות דואר אלקטרוני עבור עדכוני דוח

באפשרותך להגדיר הודעות דואר אלקטרוני שישלחו לך עדכונים בדוחות ניתוח איומים. כדי ליצור הודעות דואר אלקטרוני, בצע את השלבים המפורטים בנושא קבלת הודעות דואר אלקטרוני עבור עדכוני ניתוח איומים ב- Microsoft Defender XDR.

פרטים ומגבלות אחרים של דוח

בעת התסתכלות על נתוני ניתוח האיומים, זכור את הגורמים הבאים:

רשימת הפעולות לביצוע בכרטיסיה פעולות מומלצות מציגה רק המלצות הנמצאות במעקב ב- Microsoft Secure Score. בדוק בכרטיסיה 'דוח אנליסט ' לקבלת פעולות מומלצות נוספות שאינן מסומנות תחת 'ניקוד מאובטח'.
הפעולות המומלצות אינן מבטיחות הגנה מלאה ומשקפות רק את הפעולות הטובות ביותר האפשריות הדרושות כדי לשפר אותן.
סטטיסטיקה הקשורה לאאנטי-וירוס מבוססת על הגדרות האנטי-וירוס של Microsoft Defender.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.

שתף באמצעות

מעקב אחר איומים מתפתחים ומענה עליהן באמצעות ניתוח איומים

תפקידים והרשאות נדרשים