שתף באמצעות

ניתוח איומים Microsoft Defender XDR

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

ניתוח איומים הוא פתרון הבינה האיומים במוצר שלנו של חוקרי האבטחה המומחים של Microsoft. הוא נועד לסייע לצוותי אבטחה להיות יעילים ככל האפשר תוך התמודדות עם איומים מתפתחים, כגון:

  • שחקני איומים פעילים וקמפיינים שלהם
  • טכניקות תקיפה פופולריות וחדשות
  • פגיעויות קריטיות
  • משטחי תקיפה נפוצים
  • תוכנות זדוניות שכיחות

צפה בסרטון וידאו קצר זה כדי לקבל מידע נוסף על האופן שבו ניתוח איומים יכול לעזור לך לעקוב אחר האיומים העדכניים ביותר ולעצור אותם.

באפשרותך לגשת לניתוח איומים מצדו הימני העליון של סרגל הניווט של Microsoft Defender XDR, או מכרטיס לוח מחוונים ייעודי המציג את האיומים המובילים לארגון שלך, הן במונחים של השפעה ידועה והן במונחים של החשיפה שלך.

צילום מסך של דף היעד של 'ניתוח איומים'

קבלת ניראות בקמפיינים פעילים או מתמשכת ולדעת מה לעשות באמצעות ניתוח איומים יכולה לעזור לצוות פעולות האבטחה שלך לקבל החלטות מושכלות.

עם יריבים מתוחכמים יותר ואיומים חדשים מתפתחים בתדירות גבוהה ונפוצה יותר, חיוני לאפשר את היכולת במהירות:

  • זיהוי איומים מתפתחים והתגובה שלהם
  • למד אם אתה נמצא כעת תחת מתקפה
  • הערכת ההשפעה של האיום על הנכסים שלך
  • סקור את ההגנה שלך מפני האיומים או חשיפתם לאיומים
  • זיהוי פעולות צמצום הסיכונים, השחזור או המניעה שניתן לבצע כדי להפסיק או להכיל את האיומים

כל דוח מספק ניתוח של איום מסומן והדרכה נרחבת לגבי אופן ההתגונן מפני איום זה. היא גם משלבת נתונים מהרשת שלך, המציינת אם האיום פעיל ואם יש לך הגנות ישימות.

הצג את לוח המחוונים של ניתוח איומים

לוח המחוונים לניתוח איומים (security.microsoft.com/threatanalytics3) מסמן את הדוחות הרלוונטיים ביותר לארגון שלך. הוא מסכם את האיומים בסעיפים הבאים:

  • האיומים העדכניים ביותר - מפרט את דוחות האיומים העדכניים ביותר שפורסמו או עודכנו, יחד עם מספר ההתראות הפעילות והנפתרו.
  • איומים בעלי השפעה גבוהה - מפרט את האיומים שיש להם את ההשפעה הגבוהה ביותר על הארגון שלך. מקטע זה מפרט איומים עם המספר הגבוה ביותר של התראות פעילות והתראות שנפתרו תחילה.
  • החשיפה הגבוהה ביותר - מפרטת איומים שבהם הארגון שלך חש בחשיפה הגבוהה ביותר. רמת החשיפה שלך לאיום מחושבת באמצעות שתי פיסות מידע: כמה חמורות הפגיעויות המשויכות לאיום, וכמה מכשירים בארגון שלך עשויים להינצל על-ידי פגיעויות אלה.

צילום מסך של לוח המחוונים של ניתוח האיומים,

בחר איום מלוח המחוונים כדי להציג את הדוח עבור איום זה. באפשרותך גם לבחור חיפוש הראשי שיש למפתח במילת מפתח הקשורה לדוח ניתוח האיומים שברצונך לקרוא.

הצגת דוחות לפי קטגוריה

באפשרותך לסנן את רשימת דוחות האיומים ולהצג את הדוחות הרלוונטיים ביותר בהתאם לסוג איום ספציפי או לפי סוג דוח.

  • תגיות איומים – מסייעות לך להציג את הדוחות הרלוונטיים ביותר לפי קטגוריית איום ספציפית. לדוגמה, התג תוכנת כופר כולל את כל הדוחות הקשורים לתוכנות כופר.
  • סוגי דוחות – מסייעים לך להציג את הדוחות הרלוונטיים ביותר בהתאם לסוג דוח ספציפי. לדוגמה, התגית Tools & techniques כוללת את כל הדוחות שכוללים כלי שער וטכניקות.

לתגיות השונות יש מסננים מקבילים שמסייעים לך לסקור ביעילות את רשימת דוחות האיומים ולסנן את התצוגה בהתבסס על תג איומים או סוג דוח ספציפיים. לדוגמה, כדי להציג את כל דוחות האיומים הקשורים קטגוריה של תוכנת כופר, או דוחות איומים הכוללים פגיעויות.

צוות בינת האיומים של Microsoft הוסיף תגיות איום לכל דוח איום. ארבעה תגי איום זמינים כעת:

  • תוכנת כופר
  • דיוג
  • פגיעות
  • קבוצת פעילות

תגיות איומים מוצגות בחלק העליון של דף ניתוח האיומים. קיימים מונים עבור מספר הדוחות הזמינים תחת כל תגית.

צילום מסך של תגיות הדוח Threat Analytics.

כדי להגדיר את סוגי הדוחות הרצויים ברשימה, בחר מסננים, בחר מהרשימה ובחר החל.

צילום מסך של רשימת המסננים.

אם הגדרת יותר ממסנן אחד, ניתן גם למיין את רשימת הדוחות לניתוח איומים לפי תגית איום על-ידי בחירת העמודה תגי איום:

צילום מסך של עמודת תגיות האיום.

הצגת דוח ניתוח איומים

כל דוח ניתוח איומים מספק מידע בכמה מקטעים:

מבט כולל: הבנת האיום במהירות, הערכת ההשפעה שלו וסקירה של ההגנות

המקטע Overview מספק תצוגה מקדימה של דוח האנליסטים המפורט. בנוסף, הוא מספק תרשימים המדגישים את השפעת האיום על הארגון שלך ואת החשיפה שלך באמצעות התקנים לא מוגדרים כהלכה ולא תואמים.

צילום מסך של מקטע המבט הכולל של דוח ניתוח איומים.

הערכת ההשפעה על הארגון שלך

כל דוח כולל תרשימים המיועדים לספק מידע אודות ההשפעה הארגונית של איום:

  • אירועים קשורים - מספק מבט כולל על ההשפעה של האיום המסומן על הארגון שלך עם הנתונים הבאים:
    • מספר ההתראות הפעילות ומספר האירועים הפעילים שאיתם הן משויכת
    • חומרת אירועים פעילים
  • התראות לאורך זמן - מציג את מספר ההתראות הקשורות ' פעילות ' ו'נפתרה ' לאורך זמן. מספר ההתראות שנפתרו מציין באיזו מהירות הארגון שלך מגיב להתראות המשויכות לאיום. רצוי שהתרשים אמור להציג התראות שנפתרו בתוך כמה ימים.
  • נכסים מושפעים - מציג את מספר המכשירים וחשבונות הדואר האלקטרוני הייחודיים (תיבות דואר) שיש להם כעת לפחות התראה פעילה אחת המשויכת לאיום המסומן. התראות מופעלות עבור תיבות דואר שקיבלו הודעות דואר אלקטרוני של איומים. סקור הן מדיניות ארגונית והן מדיניות ברמת המשתמש לקבלת עקיפות הגורמות לאספקת הודעות דואר אלקטרוני של איומים.
  • ניסיונות דואר אלקטרוני שנמנעו - מציג את מספר הודעות הדואר האלקטרוני משבעה הימים האחרונים שהיו חסומים לפני המסירה או נמסרו לתיקיית דואר הזבל.

סקור את תנוחות האבטחה ואת התנוחות

כל דוח כולל תרשימים המספקים מבט כולל על האופן שבו הארגון שלך גמיש מפני איום נתון:

  • מצב תצורה מאובטח - מציג את מספר המכשירים עם הגדרות אבטחה שתצורתן שגויה. החל את הגדרות האבטחה המומלצות כדי לצמצם את האיום. מכשירים נחשבים לבטוחים אם הם הוחלו את כל ההגדרות המסומנת.
  • מצב תיקון פגיעות - מציג את מספר המכשירים הפגיעים. החל עדכוני אבטחה או תיקונים כדי לטפל בפגיעות שהאיום מנצל.

דוח אנליסט: קבל תובנות ממומחים של חוקרי האבטחה של Microsoft

במקטע אנליסט דוח , קרא את המומחה המפורט לכתיבה. רוב הדוחות מספקים תיאורים מפורטים של רשתות תקיפה, כולל טקטיקות וטכניקות הממופות למסגרת MITRE ATT&CK, רשימות מקיפות של המלצות והדרכה רבת עוצמה לציד איומים.

מידע נוסף על דוח האנליסטים

הכרטיסיה אירועים קשורים מספקת את הרשימה של כל האירועים הקשורים לאיום המסומן. באפשרותך להקצות אירועים או לנהל התראות המקושרות לכל מקרה.

צילום מסך של מקטע האירועים הקשורים של דוח ניתוח איומים.

נכסים מושפעים: קבל רשימה של התקנים ותיבות דואר מושפעים

נכס מושפע אם הוא מושפע מהתראה פעילה, שלא זוהתה. הכרטיסיה נכסים מושפעים מפרטת את הסוגים הבאים של נכסים מושפעים:

  • מכשירים מושפעים - נקודות קצה שלא זוהו Microsoft Defender עבור נקודת קצה התראות. התראות אלה מופעלות בדרך כלל על התגלויות של מחווני איומים ופעילויות ידועים.
  • תיבות דואר מושפעות – תיבות דואר שקיבלו הודעות דואר אלקטרוני Microsoft Defender עבור Office 365 התראות. בעוד שרוב ההודעות המפעילות התראות חסומות בדרך כלל, מדיניות ברמת המשתמש או הארגון יכולה לעקוף מסננים.

צילום מסך של מקטע הנכסים המושפע של דוח ניתוח איומים.

ניסיונות דואר אלקטרוני שנמנעו: הצגת הודעות דואר אלקטרוני חסומות או הודעות דואר זבל

Microsoft Defender עבור Office 365 חוסם בדרך כלל הודעות דואר אלקטרוני עם מחווני איומים ידועים, כולל קישורים זדוניים או קבצים מצורפים. במקרים מסוימים, מנגנוני סינון פעילים שמבדקים תוכן חשוד ישלחו במקום זאת הודעות דואר אלקטרוני של איומים לתיקיית דואר הזבל. בכל מקרה, הסיכויים להפעלת קוד תוכנה זדונית איומים במכשיר מופחתים.

הכרטיסיה ניסיונות דואר אלקטרוני שנמנעו מפרטת את כל הודעות הדואר האלקטרוני שנחסמו לפני המסירה או שנשלחו לתיקיית דואר הזבל על-ידי Microsoft Defender עבור Office 365.

צילום מסך של המקטע 'ניסיונות דואר אלקטרוני שנמנעו' של דוח ניתוח איומים.

חשיפה והפחתת סיכונים: סקירת רשימת צמצום סיכונים ומצב המכשירים שלך

בסעיף חשיפה & צמצום סיכונים, עיין ברשימת ההמלצות הספציפיות שניתן לפעול על פיהן, כדי לעזור לך להגביר את ההגנה הארגונית שלך כנגד האיום. רשימת צמצום הסיכונים המסומן כוללת:

  • עדכוני אבטחה - פריסה של עדכוני אבטחה נתמכים של תוכנה עבור פגיעויות שנמצאו במכשירים מחוברים
  • תצורות אבטחה נתמכות
    • הגנה מבוססת ענן
    • הגנה מפני יישומים שעלולים להיות בלתי רצויים (PUA)
    • הגנה בזמן אמת

מידע צמצום סיכונים בסעיף זה משלב נתונים ניהול פגיעויות של Microsoft Defender, אשר גם מספק מידע מפורט אודות הסתעפות מקישורים שונים בדוח.

המקטע 'צמצום סיכונים' של דוח ניתוח איומים המציג פרטי תצורה מאובטחים

המקטע 'צמצום סיכונים' של דוח ניתוח איומים המציג פרטי פגיעות

חשיפה & צמצום סיכונים בדוח ניתוח איומים

הגדרת הודעות דואר אלקטרוני עבור עדכוני דוח

באפשרותך להגדיר הודעות דואר אלקטרוני שישלחו לך עדכונים בדוחות ניתוח איומים. כדי ליצור הודעות דואר אלקטרוני, בצע את השלבים המפורטים בנושא קבלת הודעות דואר אלקטרוני עבור עדכוני ניתוח איומים ב- Microsoft Defender XDR.

פרטים ומגבלות נוספים של הדוח

הערה

כחלק מחווית האבטחה המאוחדת, התכונה 'ניתוח איומים' זמינה כעת לא רק עבור Microsoft Defender עבור נקודת קצה, אלא גם עבור Microsoft Defender עבור Office 365 בעלי הרשיון.

אם אינך משתמש בפורטל האבטחה של Microsoft 365 (Microsoft Defender XDR), באפשרותך גם לראות את פרטי הדוח (ללא Microsoft Defender עבור נתוני Office) בפורטל מרכז האבטחה של Microsoft Defender ( Microsoft Defender עבור נקודת קצה).

כדי לגשת לדוחות ניתוח איומים, דרושים לך תפקידים והרשאות מסוימים. ראה תפקידים מותאמים אישית בפקד גישה מבוסס תפקידים לקבלת Microsoft Defender XDR לקבלת פרטים.

  • כדי להציג התראות, אירועים או נתוני נכסים מושפעים, דרושות לך הרשאות כדי Microsoft Defender עבור Office או Microsoft Defender עבור נקודת קצה התראות, או את שניהם.
  • כדי להציג ניסיונות דואר אלקטרוני שנמנעו, דרושות לך הרשאות Microsoft Defender נתוני ציד של Office.
  • כדי להציג צמצום סיכונים, דרושות לך הרשאות לנתונים של Defender Vulnerability Management ב- Microsoft Defender עבור נקודת קצה.

בעת התסתכלות על נתוני ניתוח האיומים, זכור את הגורמים הבאים:

  • תרשימים משקפים רק צמצום סיכונים הנמצאים במעקב. עיין במבט כולל על הדוח לקבלת צמצום סיכונים נוסף שאינו מוצג בתרשימים.
  • צמצום סיכונים אינו מבטיח הגנה מלאה. צמצום הסיכונים שסופק משקף את הפעולות הטובות ביותר האפשריות הדרושות כדי לשפר את התאימות.
  • מכשירים נספרים כ"לא זמינים" אם הם לא שידרו נתונים לשירות.
  • סטטיסטיקה הקשורה לאי-וירוס מבוססת על Microsoft Defender אנטי-וירוס. מכשירים עם פתרונות אנטי-וירוס של ספקים חיצוניים יכולים להופיע כ"חשופים".

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.