שתף באמצעות

ניתוח איומים Microsoft Defender

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

'ניתוח איומים' הוא פתרון בינה מפני איומים במוצר של חוקרי אבטחה מומחים של Microsoft. היא עוזרת לצוותי אבטחה להישאר יעילים תוך התמודדות עם איומים מתפתחים, כגון:

  • שחקני איומים פעילים וקמפיינים שלהם
  • טכניקות תקיפה פופולריות וחדשות
  • פגיעויות קריטיות
  • משטחי תקיפה נפוצים
  • תוכנות זדוניות שכיחות

באפשרותך לגשת לניתוח איומים מצדו הימני העליון של סרגל הניווט של פורטל Microsoft Defender, או מכרטיס לוח מחוונים ייעודי המציג את האיומים המובילים לארגון שלך, הן במונחים של השפעה ידועה והן עבור החשיפה שלך.

צילום מסך של דף היעד של 'ניתוח איומים'

קבלת ניראות בקמפיינים פעילים או מתמשכת ולדעת מה לעשות באמצעות ניתוח איומים יכולה לעזור לצוות פעולות האבטחה שלך לקבל החלטות מושכלות.

עם יריבים מתוחכמים יותר ואיומים חדשים מתפתחים בתדירות גבוהה ונפוצה יותר, חיוני לאפשר את היכולת במהירות:

  • זיהוי איומים מתפתחים והתגובה שלהם
  • למד אם אתה נמצא כעת תחת מתקפה
  • הערכת ההשפעה של האיום על הנכסים שלך
  • סקור את ההגנה שלך מפני האיומים או חשיפתם לאיומים
  • זיהוי פעולות צמצום הסיכונים, השחזור או המניעה שניתן לבצע כדי להפסיק או להכיל את האיומים

כל דוח מספק ניתוח של איום מסומן והדרכה נרחבת לגבי אופן ההתגונן מפני איום זה. היא גם משלבת נתונים מהרשת שלך, המציינת אם האיום פעיל ואם יש לך הגנות ישימות.

תפקידים והרשאות נדרשים

כדי לגשת לניתוח איומים בפורטל Defender, דרוש לך רשיון עבור מוצר אחד Microsoft Defender XDR אחד לפחות. לקבלת מידע נוסף, ראה Microsoft Defender XDR המוקדמות.

הערה

רשיון Microsoft Defender עבור נקודת קצה P1 מהווה חריגה לדרישות מוקדמות אלה ואינו מעניק גישה לניתוח איומים.

Microsoft Sentinel של SIEM יש גישה למקטעים או כרטיסיות מסוימים לניתוח איומים בלבד. מידע נוסף

התפקידים וההרשאות הבאים נדרשים גם כדי לגשת לניתוח איומים:

  • יסודות נתוני האבטחה (נקראו) - כדי להציג דוח ניתוח איומים, אירועים והתראות קשורים ונכסים מושפעים
  • ניהול פגיעויות (קריאה) וניהולחשיפה (קריאה)- כדי לראות נתוני חשיפה קשורים ופעולות מומלצות

כברירת מחדל, הגישה לשירותים הזמינים בפורטל Defender מנוהלת באופן קולקטיבי באמצעות Microsoft Entra כלליים. אם אתה זקוק לגמישות רבה יותר ולשלוט בגישה לנתונים ספציפיים של מוצרים, ואתה עדיין לא משתמש בפקד הגישה המאוחד מבוסס התפקידים (RBAC) של Microsoft Defender לניהול הרשאות מרכזי, מומלץ ליצור תפקידים מותאמים אישית עבור כל שירות. קבל מידע נוסף על יצירת תפקידים מותאמים אישית

חשוב

יש לך ניראות לכל דוחות ניתוח האיומים גם אם יש לך רק אחד מהתוצרים הנתמכים. עם זאת, אתה זקוק לכל מוצר ותפקיד כדי לראות את האירועים, הנכסים, החשיפה והפעולות המומלצות של מוצר זה המשויכים לאיום.

הצג את לוח המחוונים של ניתוח איומים

לוח המחוונים לניתוח איומים (security.microsoft.com/threatanalytics3) מסמן את הדוחות הרלוונטיים ביותר לארגון שלך. הוא מסכם את האיומים בסעיפים הבאים:

  • האיומים העדכניים ביותר - מפרט את דוחות האיומים העדכניים ביותר שפורסמו או עודכנו, יחד עם מספר ההתראות הפעילות והנפתרו.
  • איומים בעלי השפעה גבוהה - מפרט את האיומים שיש להם את ההשפעה הגבוהה ביותר על הארגון שלך. מקטע זה מפרט איומים עם המספר הגבוה ביותר של התראות פעילות והתראות שנפתרו תחילה.
  • איומי החשיפה הגבוהים ביותר - מציגים איומים שלארגון שלך יש את החשיפה הגבוהה ביותר. רמת החשיפה שלך לאיום מחושבת באמצעות שתי פיסות מידע: כמה חמורות הפגיעויות המשויכות לאיום, וכמה מכשירים בארגון שלך עשויים להינצל על-ידי פגיעויות אלה.

צילום מסך של לוח המחוונים של ניתוח האיומים,

בחר איום מלוח המחוונים כדי להציג את הדוח עבור איום זה. באפשרותך גם לבחור את השדה חיפוש שיש למפתח במילת מפתח הקשורה לדוח ניתוח האיומים שברצונך לקרוא.

הצגת דוחות לפי קטגוריה

באפשרותך לסנן את רשימת דוחות האיומים ולהצג את הדוחות הרלוונטיים ביותר בהתאם לאפשרויות הבאות:

  • תגיות איומים – מסייעות לך להציג את הדוחות הרלוונטיים ביותר לפי קטגוריית איום ספציפית. לדוגמה, התג תוכנת כופר כולל את כל הדוחות הקשורים לתוכנות כופר.

    צוות בינת האיומים של Microsoft מוסיף תגיות איומים לכל דוח איום. תגיות האיומים הבאות זמינות כעת:

    • תוכנת כופר
    • דיוג
    • קבוצת פעילות
    • פגיעות

  • קטגוריה – מסייעת לך להציג את הדוחות הרלוונטיים ביותר בהתאם לסוג דוח ספציפי. לדוגמה, הקטגוריה ' מעורר' כוללת את כל הפרופילים של מעוררי איומים. קבל מידע נוסף על סוגי הדיווח השונים של אנליסטים

מסננים אלה מסייעים לך לסקור ביעילות את רשימת דוחות האיומים. לדוגמה, באפשרותך להציג את כל דוחות האיומים הקשורים קטגוריה של תוכנת כופר, או דוחות איומים הכוללים פגיעויות.

קטגוריות מוצגות בחלק העליון של דף ניתוח האיומים. מונים מציגים את מספר הדוחות הזמינים תחת כל קטגוריה.

צילום מסך של סוגי הדוח 'ניתוח איומים'.

כדי להוסיף סוגי מסנני דוחות בלוח המחוונים, בחר מסננים, בחר מהרשימה ובחר הוסף.

צילום מסך של האפשרות 'הוספת מסננים' לניתוח איומים.

כדי להגדיר את סוגי הדוחות הרצויים ברשימה בהתבסס על המסננים הזמינים, בחר סוג מסנן (לדוגמה, תגי איום), בחר מהרשימה ובחר החל.

צילום מסך של הרשימה 'מסננים' בתגיות איום.

הצגת דוח ניתוח איומים

כל דוח ניתוח איומים מספק מידע בכמה מקטעים:

מבט כולל: הבנת האיום במהירות, הערכת ההשפעה שלו וסקירה של ההגנות

המקטע Overview מספק תצוגה מקדימה של דוח האנליסטים המפורט. בנוסף, הוא מספק תרשימים המדגישים את השפעת האיום על הארגון שלך ואת החשיפה שלך באמצעות התקנים לא מוגדרים כהלכה ולא תואמים.

צילום מסך של מקטע המבט הכולל של דוח ניתוח איומים.

הבנת האיום והטקטיקה, הטכניקות וההליכים שלו

כל דוח כולל את הפרטים הבאים לגבי איום, בכל פעם שהוא ישים או זמין, ומספק לך מבט מהיר על האיום ועל האופן שבו הוא עשוי להשפיע על הארגון שלך:

  • כינויים - מפרט את השמות שנחשפו לציבור על-ידי ספקי אבטחה אחרים על האיום
  • מקור – מציג את המדינה או האזור שממנו הגיע האיום
  • בינה קשורה - מפרט דוחות ניתוח איומים אחרים הרלוונטיים או הקשורים לאיום
  • יעדים - מפרט את המדינות או האזורים והתעשיות הייעדיים על-ידי האיום
  • טכניקות התקפה של MITRE - מפרטת טקטיקות, טכניקות ונהלים שנצפתו על ידי האיום (TTPs) בהתאם למסגרת MITRE ATT&CK

הערכת ההשפעה על הארגון שלך

כל דוח כולל תרשימים המיועדים לספק מידע אודות ההשפעה הארגונית של איום:

  • אירועים קשורים - מספק מבט כולל על ההשפעה של האיום המסומן על הארגון שלך עם הנתונים הבאים:
    • מספר ההתראות הפעילות ומספר האירועים הפעילים שאיתם הן משויכת
    • חומרת אירועים פעילים
  • התראות לאורך זמן - מציג את מספר ההתראות הקשורות ' פעילות ' ו'נפתרה ' לאורך זמן. מספר ההתראות שנפתרו מציין באיזו מהירות הארגון שלך מגיב להתראות המשויכות לאיום. מומלץ להציג התראות שנפתרו בתוך כמה ימים.
  • נכסים מושפעים - מציג את מספר הנכסים הייחודיים שיש להם כעת לפחות התראה פעילה אחת המשויכת לאיום המסומן. התראות מופעלות עבור תיבות דואר המקבלות הודעות דואר אלקטרוני של איומים. סקור הן מדיניות ארגונית והן מדיניות ברמת המשתמש לקבלת עקיפות הגורמות לאספקת הודעות דואר אלקטרוני של איומים.

סקור את תנוחות האבטחה ואת התנוחות

כל דוח כולל תרשימים המספקים מבט כולל על האופן שבו הארגון שלך גמיש מפני איום נתון:

  • פעולות מומלצות - מציג את אחוז מצב הפעולה, או את מספר הנקודות שהשגת כדי לשפר את תציבת האבטחה שלך. בצע את הפעולות המומלצות כדי לעזור לטפל באיומים. באפשרותך להציג את התפלגות הנקודות לפי קטגוריה או מצב.
  • חשיפה של נקודות קצה - מציגה את מספר המכשירים הפגיעים. החל עדכוני אבטחה או תיקונים כדי לטפל בפגיעות שהאיום מנצל.

דוח אנליסט: קבל תובנות ממומחים של חוקרי האבטחה של Microsoft

במקטע דוח אנליסט , באפשרותך לקרוא את המומחה המפורט לכתיבה. רוב הדוחות מספקים תיאורים מפורטים של רשתות תקיפה, כולל טקטיקות וטכניקות הממופות למסגרת MITRE ATT&CK, רשימות מקיפות של המלצות והדרכה רבת עוצמה לציד איומים.

מידע נוסף על דוח האנליסטים

הכרטיסיה אירועים קשורים מספקת את הרשימה של כל האירועים הקשורים לאיום המסומן. באפשרותך להקצות אירועים או לנהל התראות המקושרות לכל מקרה.

צילום מסך של מקטע האירועים הקשורים של דוח ניתוח איומים.

הערה

אירועים והתראות המשויכים לאיום מגיעים מ- Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור זהות, Microsoft Defender עבור Office 365, יישומי ענן של Microsoft Defender, ו- Microsoft Defender עבור ענן.

נכסים מושפעים: קבל רשימה של מכשירים, משתמשים, תיבות דואר, אפליקציות ומשאבי ענן מושפעים

הכרטיסיה נכסים מושפעים מציגה את הנכסים המושפעים מהאיום לאורך זמן. הוא מציג:

  • נכסים המושפעים מהתראות פעילות
  • נכסים המושפעים מהתראות שנפתרו
  • כל הנכסים, או המספר הכולל של הנכסים המושפעים מהתראות פעילות והתראות שנפתרו

הנכסים מחולקים לקטגוריות הבאות:

  • התקנים
  • משתמשים
  • תיבות דואר
  • יישומים
  • משאבי ענן

צילום מסך של מקטע הנכסים המושפע של דוח ניתוח איומים.

חשיפה של נקודות קצה: עדכן את מצב הפריסה של עדכוני אבטחה

מקטע חשיפת נקודות הקצה מספק את רמת החשיפה של הארגון שלך לאיום. רמת החשיפה מחושבת בהתבסס על החומרה של הפגיעויות והגדרות שגויות שהאיומים מנצלים ואת מספר המכשירים עם חולשות אלה.

סעיף זה מספק גם את מצב הפריסה של עדכוני אבטחה נתמכים של תוכנה עבור פגיעויות שנמצאו במכשירים מחוברים. היא משלבת נתונים ניהול פגיעויות של Microsoft Defender, המספקת גם מידע מפורט אודות הסתעפות מקישורים שונים בדוח.

מקטע חשיפת נקודות הקצה של דוח ניתוח איומים

בכרטיסיה פעולות מומלצות , סקור את רשימת ההמלצות הספציפיות שניתן לפעול על פיהן, כדי לסייע לך לשפר את ההגנה הארגונית שלך כנגד האיום. רשימת צמצום הסיכונים המסומן כוללת תצורות אבטחה נתמכות, כגון:

  • הגנה מבוססת ענן
  • הגנה מפני יישומים שעלולים להיות בלתי רצויים (PUA)
  • הגנה בזמן אמת

המקטע 'פעולות מומלצות' של דוח ניתוח איומים המציג פרטי פגיעות

מחוונים: הצג תשתית וראיות ספציפיות מאחורי האיום (תצוגה מקדימה)

הכרטיסיה מחוונים מספקת רשימה של כל מחווני הסכנה (IOCs) המשויכים לאיום. חוקרי Microsoft מעדכנים את ה- IOCs האלה בזמן אמת כשהם מגלים ראיות חדשות הקשורות לאיום. מידע זה מסייע למרכז פעולות האבטחה (SOC) ולאנליסטים של מודיעין איומים באמצעות תיקון והיזום של ציד. הרשימה גם שומרת על רכיבי IOC שפג תוקפם, כך שתוכל לחקור איומים מהעבר ולהבין את השפעתם בסביבה שלך.

צילום מסך של הכרטיסיה 'מחוונים' בדוח ניתוח איומים.

חשוב

רק לקוחות מאומתים יכולים לגשת למידע בכרטיסיה מחוונים . אם אין לך גישה למידע זה, עליך לאמת את הדייר שלך. קבל מידע נוסף על קבלת גישה ל- IOCs

הישאר מעודכן עם הדוחות העדכניים ביותר ובינת איומים

ניתוח איומים ממנף ומשלב תכונות שונות של Microsoft Defender ו- Microsoft Security Copilot כדי לוודא שאתה וצוות SOC שלך מתעדכנים בכל פעם שדוח חדש או פיסת בינה חדשה של איומים הרלוונטית לסביבה שלך הופכת לזמינה.

הגדרת סוכן תדרוך בינת האיומים

הגדר את סוכן תדרוך בינת האיומים כדי לקבל דוחות בינת איומים רלוונטיים בזמן בעזרת ניתוח טכני מפורט בהתבסס על הפעילות העדכנית ביותר של מעוררי איומים ועל חשיפה לפגיעות פנימית ולחשיפה חיצונית. הסוכן מתאם נתוני איומים של Microsoft ואת אותות הלקוחות כדי להוסיף הקשר קריטי למידע על איומים בתוך דקות ספורות, וחיסכון בשעות של צוותי אנליסטים או אפילו ימים שהוקדשו לאיסוף בינה ולתיאום.

לאחר הפריסה, סוכן תדרוך בינת האיומים מופיע ככרזה בחלק העליון של הדף 'ניתוח איומים'.

צילום מסך של הכרזה 'סוכן תדרוך בינת איומים' בראש הדף 'ניתוח איומים'.

קבל מידע נוסף על סוכן תדרוך בינת האיומים

הגדר כללי זיהוי מותאמים אישית וקשר אותם לדוחות ניתוח איומים. אם כללים אלה מופעלים והתראה יוצרת מקרה, הדוח מופיע באירוע זה והתקרית מופיעה תחת הכרטיסיה אירועים קשורים, בדיוק כמו כל זיהוי אחר המוגדר על-ידי Microsoft.

צילום מסך של דף הגדרת זיהוי מותאם אישית עם האפשרות 'ניתוח איומים' מסומנת.

קבל מידע נוסף על יצירה וניהול של כללי זיהוי מותאמים אישית

הגדרת הודעות דואר אלקטרוני עבור עדכוני דוח

הגדר הודעות דואר אלקטרוני שישלחו לך עדכונים בדוחות ניתוח איומים. כדי ליצור הודעות דואר אלקטרוני, בצע את השלבים המפורטים בנושא קבלת הודעות דואר אלקטרוני עבור עדכוני ניתוח איומים ב- Microsoft Defender XDR.

פרטים ומגבלות אחרים של דוח

בעת סקירת נתוני ניתוח האיומים, שקול את הגורמים הבאים:

  • רשימת הפעולות לביצוע בכרטיסיה פעולות מומלצות מציגה רק המלצות הנמצאות במעקב ב- Microsoft Secure Score. בדוק בכרטיסיה 'דוח אנליסט ' לקבלת פעולות מומלצות נוספות שאינן מסומנות תחת 'ניקוד מאובטח'.
  • הפעולות המומלצות אינן מבטיחות הגנה מלאה ומשקפות רק את הפעולות הטובות ביותר האפשריות הדרושות כדי לשפר אותן.
  • סטטיסטיקה הקשורה לאי-וירוס מבוססת על Microsoft Defender אנטי-וירוס.
  • העמודה 'מכשירים שתצורתם שגויה' בדף 'ניתוח איומים' הראשית מציגה את מספר המכשירים המושפעים מאייום כאשר הפעולות המומלצות הקשורות לאיום אינן מופעלות. עם זאת, אם חוקרי Microsoft אינם מקשרת פעולות מומלצות, העמודה מכשירים שתצורתם תצורתם שגויה מציגה את המצב לא זמין.
  • העמודה 'מכשירים פגיעים ' בדף 'ניתוח איומים' הראשית מציגה את מספר המכשירים שבהם פועלת תוכנה החשוףים לפגיעויות המקושרות לאיום. עם זאת, אם חוקרי Microsoft אינם מקשפים פגיעויות כלשהן, העמודה מכשירים פגיעים מציגה את המצב לא זמין.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

  • Last updated on