ניתוח איומים Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
ניתוח איומים הוא פתרון הבינה האיומים במוצר שלנו של חוקרי האבטחה המומחים של Microsoft. הוא נועד לסייע לצוותי אבטחה להיות יעילים ככל האפשר תוך התמודדות עם איומים מתפתחים, כגון:
- שחקני איומים פעילים וקמפיינים שלהם
- טכניקות תקיפה פופולריות וחדשות
- פגיעויות קריטיות
- משטחי תקיפה נפוצים
- תוכנות זדוניות שכיחות
באפשרותך לגשת לניתוח איומים מצדו הימני העליון של סרגל הניווט של פורטל Microsoft Defender, או מכרטיס לוח מחוונים ייעודי המציג את האיומים המובילים לארגון שלך, הן במונחים של השפעה ידועה והן במונחים של החשיפה שלך.
קבלת ניראות בקמפיינים פעילים או מתמשכת ולדעת מה לעשות באמצעות ניתוח איומים יכולה לעזור לצוות פעולות האבטחה שלך לקבל החלטות מושכלות.
עם יריבים מתוחכמים יותר ואיומים חדשים מתפתחים בתדירות גבוהה ונפוצה יותר, חיוני לאפשר את היכולת במהירות:
- זיהוי איומים מתפתחים והתגובה שלהם
- למד אם אתה נמצא כעת תחת מתקפה
- הערכת ההשפעה של האיום על הנכסים שלך
- סקור את ההגנה שלך מפני האיומים או חשיפתם לאיומים
- זיהוי פעולות צמצום הסיכונים, השחזור או המניעה שניתן לבצע כדי להפסיק או להכיל את האיומים
כל דוח מספק ניתוח של איום מסומן והדרכה נרחבת לגבי אופן ההתגונן מפני איום זה. היא גם משלבת נתונים מהרשת שלך, המציינת אם האיום פעיל ואם יש לך הגנות ישימות.
התפקידים וההרשאות הבאים נדרשים כדי לגשת לניתוח איומים בפורטל Defender:
- יסודות נתוני האבטחה (נקראו) - כדי להציג דוח ניתוח איומים, אירועים והתראות קשורים ונכסים מושפעים
- ניהול פגיעויות (קריאה) ותוצאותמאובטחות (נקראו) - כדי לראות נתוני חשיפה קשורים ופעולות מומלצות
כברירת מחדל, הגישה לשירותים הזמינים בפורטל Defender מנוהלת במשותף באמצעות Microsoft Entra כלליים. אם אתה זקוק לגמישות רבה יותר ולשלוט בגישה לנתונים ספציפיים של מוצרים, ועדיין אינך משתמש בפקד הגישה מבוסס התפקידים המאוחד (RBAC) של Microsoft Defender XDR לניהול הרשאות מרכזי, מומלץ ליצור תפקידים מותאמים אישית עבור כל שירות. קבל מידע נוסף על יצירת תפקידים מותאמים אישית
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
תהיה לך ניראות של כל דוחות ניתוח האיומים גם אם יש לך רק אחד המוצרים הנתמכים. עם זאת, אתה נדרש להחזיק בכל מוצר ותפקיד כדי לראות את האירועים, הנכסים, החשיפה והפעולות המומלצות של מוצר זה המשויכים לאיום.
לוח המחוונים לניתוח איומים (security.microsoft.com/threatanalytics3) מסמן את הדוחות הרלוונטיים ביותר לארגון שלך. הוא מסכם את האיומים בסעיפים הבאים:
- האיומים העדכניים ביותר - מפרט את דוחות האיומים העדכניים ביותר שפורסמו או עודכנו, יחד עם מספר ההתראות הפעילות והנפתרו.
- איומים בעלי השפעה גבוהה - מפרט את האיומים שיש להם את ההשפעה הגבוהה ביותר על הארגון שלך. מקטע זה מפרט איומים עם המספר הגבוה ביותר של התראות פעילות והתראות שנפתרו תחילה.
- איומי החשיפה הגבוהים ביותר - מציגים איומים שלארגון שלך יש את החשיפה הגבוהה ביותר. רמת החשיפה שלך לאיום מחושבת באמצעות שתי פיסות מידע: כמה חמורות הפגיעויות המשויכות לאיום, וכמה מכשירים בארגון שלך עשויים להינצל על-ידי פגיעויות אלה.
בחר איום מלוח המחוונים כדי להציג את הדוח עבור איום זה. באפשרותך גם לבחור את השדה חיפוש שיש למפתח במילת מפתח הקשורה לדוח ניתוח האיומים שברצונך לקרוא.
באפשרותך לסנן את רשימת דוחות האיומים ולהצג את הדוחות הרלוונטיים ביותר בהתאם לסוג איום ספציפי או לפי סוג דוח.
- תגיות איומים – מסייעות לך להציג את הדוחות הרלוונטיים ביותר לפי קטגוריית איום ספציפית. לדוגמה, התג תוכנת כופר כולל את כל הדוחות הקשורים לתוכנות כופר.
- סוגי דוחות – מסייעים לך להציג את הדוחות הרלוונטיים ביותר בהתאם לסוג דוח ספציפי. לדוגמה, התגית Tools & techniques כוללת את כל הדוחות שכוללים כלי שער וטכניקות.
לתגיות השונות יש מסננים מקבילים שמסייעים לך לסקור ביעילות את רשימת דוחות האיומים ולסנן את התצוגה בהתבסס על תג איומים או סוג דוח ספציפיים. לדוגמה, כדי להציג את כל דוחות האיומים הקשורים קטגוריה של תוכנת כופר, או דוחות איומים הכוללים פגיעויות.
צוות בינת האיומים של Microsoft מוסיף תגיות איומים לכל דוח איום. תגיות האיומים הבאות זמינות כעת:
- תוכנת כופר
- סחיטה
- דיוג
- ידיים על המקלדת
- קבוצת פעילות
- פגיעות
- קמפיין התקפה
- כלי או טכניקה
תגיות איומים מוצגות בחלק העליון של דף ניתוח האיומים. קיימים מונים עבור מספר הדוחות הזמינים תחת כל תגית.
כדי להגדיר את סוגי הדוחות הרצויים ברשימה, בחר מסננים, בחר מהרשימה ובחר החל.
אם תגדיר יותר ממסנן אחד, ניתן גם למיין את רשימת הדוחות לניתוח איומים לפי תגית איום על-ידי בחירת העמודה תגי איום:
כל דוח ניתוח איומים מספק מידע בכמה מקטעים:
המקטע Overview מספק תצוגה מקדימה של דוח האנליסטים המפורט. בנוסף, הוא מספק תרשימים המדגישים את השפעת האיום על הארגון שלך ואת החשיפה שלך באמצעות התקנים לא מוגדרים כהלכה ולא תואמים.
כל דוח כולל תרשימים המיועדים לספק מידע אודות ההשפעה הארגונית של איום:
-
אירועים קשורים - מספק מבט כולל על ההשפעה של האיום המסומן על הארגון שלך עם הנתונים הבאים:
- מספר ההתראות הפעילות ומספר האירועים הפעילים שאיתם הן משויכת
- חומרת אירועים פעילים
- התראות לאורך זמן - מציג את מספר ההתראות הקשורות ' פעילות ' ו'נפתרה ' לאורך זמן. מספר ההתראות שנפתרו מציין באיזו מהירות הארגון שלך מגיב להתראות המשויכות לאיום. רצוי שהתרשים אמור להציג התראות שנפתרו בתוך כמה ימים.
- נכסים מושפעים - מציג את מספר הנכסים הייחודיים שיש להם כעת לפחות התראה פעילה אחת המשויכת לאיום המסומן. התראות מופעלות עבור תיבות דואר שקיבלו הודעות דואר אלקטרוני של איומים. סקור הן מדיניות ארגונית והן מדיניות ברמת המשתמש לקבלת עקיפות הגורמות לאספקת הודעות דואר אלקטרוני של איומים.
כל דוח כולל תרשימים המספקים מבט כולל על האופן שבו הארגון שלך גמיש מפני איום נתון:
- פעולות מומלצות - מציג את אחוז מצב הפעולה, או את מספר הנקודות שהשגת כדי לשפר את תציבת האבטחה שלך. בצע את הפעולות המומלצות כדי לעזור לטפל באיומים. באפשרותך להציג את התפלגות הנקודות לפי קטגוריה או מצב.
- חשיפה של נקודות קצה - מציגה את מספר המכשירים הפגיעים. החל עדכוני אבטחה או תיקונים כדי לטפל בפגיעות שהאיום מנצל.
במקטע אנליסט דוח , קרא את המומחה המפורט לכתיבה. רוב הדוחות מספקים תיאורים מפורטים של רשתות תקיפה, כולל טקטיקות וטכניקות הממופות למסגרת MITRE ATT&CK, רשימות מקיפות של המלצות והדרכה רבת עוצמה לציד איומים.
הכרטיסיה אירועים קשורים מספקת את הרשימה של כל האירועים הקשורים לאיום המסומן. באפשרותך להקצות אירועים או לנהל התראות המקושרות לכל מקרה.
הערה
אירועים והתראות המשויכים לאיום מקורם ב- Defender for Endpoint, Defender for Identity, Defender עבור Office 365, יישומי ענן של Defender ו- Defender for Cloud.
הכרטיסיה נכסים מושפעים מציגה את הנכסים המושפעים מהאיום לאורך זמן. הוא מציג:
- נכסים המושפעים מהתראות פעילות
- נכסים המושפעים מהתראות שנפתרו
- כל הנכסים, או המספר הכולל של הנכסים המושפעים מהתראות פעילות והתראות שנפתרו
הנכסים מחולקים לקטגוריות הבאות:
- התקנים
- משתמשים
- תיבות דואר
- יישומים
- משאבי ענן
סעיף חשיפת נקודות הקצה מספק לארגון שלך את רמת החשיפה לאיום, המחושב בהתבסס על חומרת הפגיעויות והתצורות המנוצלות לרעה על-ידי האיום המוערך, ומספר המכשירים עם חולשות אלה.
סעיף זה מספק גם את מצב הפריסה של עדכוני אבטחה נתמכים של תוכנה עבור פגיעויות שנמצאו במכשירים מחוברים. היא משלבת נתונים ניהול פגיעויות של Microsoft Defender, המספקת גם מידע מפורט אודות הסתעפות מקישורים שונים בדוח.
בכרטיסיה פעולות מומלצות , סקור את רשימת ההמלצות הספציפיות שניתן לפעול על פיהן, כדי לסייע לך לשפר את ההגנה הארגונית שלך כנגד האיום. רשימת צמצום הסיכונים המסומן כוללת תצורות אבטחה נתמכות, כגון:
- הגנה מבוססת ענן
- הגנה מפני יישומים שעלולים להיות בלתי רצויים (PUA)
- הגנה בזמן אמת
באפשרותך להגדיר הודעות דואר אלקטרוני שישלחו לך עדכונים בדוחות ניתוח איומים. כדי ליצור הודעות דואר אלקטרוני, בצע את השלבים המפורטים בנושא קבלת הודעות דואר אלקטרוני עבור עדכוני ניתוח איומים ב- Microsoft Defender XDR.
בעת התסתכלות על נתוני ניתוח האיומים, זכור את הגורמים הבאים:
- רשימת הפעולות לביצוע בכרטיסיה פעולות מומלצות מציגה רק המלצות הנמצאות במעקב ב- Microsoft Secure Score. בדוק בכרטיסיה 'דוח אנליסט ' לקבלת פעולות מומלצות נוספות שאינן מסומנות תחת 'ניקוד מאובטח'.
- הפעולות המומלצות אינן מבטיחות הגנה מלאה ומשקפות רק את הפעולות הטובות ביותר האפשריות הדרושות כדי לשפר אותן.
- סטטיסטיקה הקשורה לאי-וירוס מבוססת על Microsoft Defender אנטי-וירוס.
- העמודה 'מכשירים שתצורתם שגויה' בדף 'ניתוח איומים' הראשית מציגה את מספר המכשירים המושפעים מאייום כאשר הפעולות המומלצות הקשורות לאיום אינן מופעלות. עם זאת, אם חוקרי Microsoft אינם מקשרת פעולות מומלצות, העמודה מכשירים שתצורתם תצורתם שגויה מציגה את המצב לא זמין.
- העמודה 'מכשירים פגיעים ' בדף 'ניתוח איומים' הראשית מציגה את מספר המכשירים שבהם פועלת תוכנה החשוףים לפגיעויות המקושרות לאיום. עם זאת, אם חוקרי Microsoft אינם מקשפים פגיעויות כלשהן, העמודה מכשירים פגיעים מציגה את המצב לא זמין.
- חיפוש יזום של איומים באמצעות ציד מתקדם
- הבנת סעיף דוח האנליסטים
- הערכה ופתרון של נקודות חולשה וחשיפה לאבטחה
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.