דוח האנליסטים בניתוח איומים
חל על:
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
כל דוח ניתוח איומים כולל מקטעים דינאמיים ומקטע כתוב מקיף שנקרא דוח האנליסטים. כדי לגשת למקטע זה, פתח את הדוח אודות האיום המסומן ובחר את הכרטיסיה דוח אנליסט .
מקטע דוח אנליסט של דוח ניתוח איומים
סרוק את דוח האנליסטים
כל סעיף בדוח האנליסטים נועד לספק מידע המאפשר פעולה. בעוד שדוחות משתנים, רוב הדוחות כוללים את המקטעים המתוארים בטבלה הבאה.
| מקטע דוח | תיאור |
|---|---|
| סיכום ניהולי | מבט כולל על האיום, כולל כאשר הוא נראה לראשונה, המניעים שלו, אירועים עיקריים, יעדים עיקריים וכלים וטכניקות שונים. באפשרותך להשתמש במידע זה כדי להעריך עוד יותר כיצד לתעדף את האיום בהקשר של התעשייה, המיקום הגיאוגרפי והרשת שלך. |
| ניתוח | מידע טכני על האיומים, כולל פרטי תקיפה ואופן השימוש בתוקפים בטכניקה חדשה או במשטח תקיפה חדש |
| טכניקות MITRE ATT&CK שנצפתו | כיצד טכניקות שנצפתו ממפות למסגרת ההתקפה של MITRE ATT&CK |
| צמצום סיכונים | המלצות שעשויות לעצור או לעזור להפחית את השפעת האיום. סעיף זה כולל גם צמצום סיכונים שאינם מסומנים באופן דינאמי כחלק מדוח ניתוח האיומים. |
| פרטי זיהוי | זיהויים ספציפיים וגנריים המסופקים על-ידי פתרונות האבטחה של Microsoft, שעלולים להציג פעילות או רכיבים המשויכים לאיום. |
| ציד מתקדם | שאילתות ציד מתקדמות לזיהוי יזום של פעילות איומים אפשריים. רוב השאילתות מסופקות כדי להשלים זיהויים, במיוחד לאיתור רכיבים או אופני פעולה שעלולים להיות זדוניים שלא ניתן להעריך באופן דינאמי להיות זדוניים. |
| הפניות | פרסומים של Microsoft ושל ספקים חיצוניים שנזכרו על-ידי אנליסטים במהלך יצירת הדוח. תוכן ניתוח איומים מבוסס על נתונים שאומתו על-ידי חוקרי Microsoft. מידע ממקורות חיצוניים הזמינים לציבור מזוהים בצורה ברורה. |
| יומן רישום שינויים | מועד פרסום הדוח ומתי בוצעו שינויים משמעותיים בדוח. |
החל צמצום סיכונים נוסף
ניתוח איומים עוקב באופן דינאמי אחר המצב של עדכוני אבטחה ותצורות מאובטחות. מידע זה זמין כתרשימים וטבלאות בכרטיסיה צמצום סיכונים.
בנוסף לסיכונים במעקב אלה, דוח האנליסטים דן גם בצמצום סיכונים שאינם נמצאים בפיקוח דינאמי. להלן כמה דוגמאות לסיכונים חשובים שלא מתבצע מעקב דינאמי אחריהם:
- חסימת הודעות דואר אלקטרוני .lnk קבצים מצורפים או סוגי קבצים חשודים אחרים
- אקראי סיסמאות של מנהלי מערכת מקומיים
- מורים למשתמשי קצה אודות דואר אלקטרוני של דיוג ווקטורים אחרים של איומים
- הפעלת כללים ספציפיים להקטנת פני השטח של ההתקפה
למרות שבאפשרותך להשתמש בכרטיסיה צמצום סיכונים כדי להעריך את תציבת האבטחה שלך מפני איום, המלצות אלה מאפשרות לך לבצע צעדים נוספים לשיפור תציבת האבטחה שלך. קרא בעיון את כל ההנחיות להפחתת הסיכון בדוח האנליסטים ובצע אותן כאשר הדבר אפשרי.
להבין כיצד ניתן לזהות כל איום
דוח האנליסטים מספק גם את הזיהויים של Microsoft Defender אנטי-וירוס וזיהוי נקודות קצה ויכולות תגובה (EDR).
זיהוי אנטי-וירוס
זיהויים אלה זמינים במכשירים נבחרים Microsoft Defender האנטי-וירוס ב- Windows מופעל. כאשר זיהויים אלה מתרחשים במכשירים שצירוף המכשירים שלהם Microsoft Defender עבור נקודת קצה, הם גם מפעילים התראות שמבליטות את התרשימים בדוח.
הערה
דוח האנליסטים מפרט גם זיהויים כלליים העשויים לזהות מגוון רחב של איומים, בנוסף לרכיבים או לאו אופני פעולה ספציפיים לאיום המסומן. זיהויים כלליים אלה אינם משקפים בתרשימים.
התראות על זיהוי נקודות קצה ותגובות (EDR)
התראות EDR מועלה עבור מכשירים המחוברים Microsoft Defender עבור נקודת קצה. התראות אלה מבוססות בדרך כלל על אותות אבטחה שנאספו על-ידי חיישן Microsoft Defender עבור נקודת קצה ויכולות אחרות של נקודות קצה (כגון אנטי-וירוס, הגנת רשת, הגנה מפני טיפול שלא כדין) המשמשים כמקורות אותות רבי-עוצמה.
כמו רשימת זיהויי האנטי-וירוס, התראות EDR מסוימות מיועדות לסמן באופן כללי אופן פעולה חשוד שייתכן שאינו משויך לאיום המסומן. במקרים כאלה, הדוח זיהה בבירור את ההתראה כ"כללית" שאינה משפיעה על אף אחד מהתרשימים בדוח.
מצא ממצאי איומים עדינים באמצעות ציד מתקדם
למרות שהזיהויים מאפשרים לך לזהות ולהעצור את האיום המסומן באופן אוטומטי, פעילויות תקיפה רבות משאירות עקבות עדינים הדורשים בדיקה נוספת. פעילויות תקיפה מסוימות מציגות אופני פעולה שעלולים גם הם להיות רגילים, כך שזיהוי דינאמי של הפעילויות עלול לגרום לרעש תפעולי או אפילו לתוצאה חיובית מוטעית.
ציד מתקדם מספק ממשק שאילתה המבוסס על שפת שאילתת Kusto שמפשטת את איתור המחוונים העדינים של פעילות איומים. הוא גם מאפשר לך להציג מידע הקשרי ולברר אם המחוונים מחוברים לאיום.
שאילתות ציד מתקדמות בדוחות האנליסטים אומתו על-ידי אנליסטים של Microsoft, והן מוכנות לפעול בעורך שאילתות הציד המתקדם. באפשרותך גם להשתמש בשאילתות כדי ליצור כללי זיהוי מותאמים אישית המפעילים התראות עבור התאמות עתידיות.
נושאים קשורים
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור