הבנת דוח האנליסטים בניתוח איומים Microsoft Defender XDR
חל על:
- Microsoft Defender XDR
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
כל דוח ניתוח איומים כולל מקטעים דינאמיים ומקטע כתוב מקיף שנקרא דוח האנליסטים. כדי לגשת למקטע זה, פתח את הדוח אודות האיום המסומן ובחר את הכרטיסיה דוח אנליסט .
מקטע דוח אנליסט של דוח ניתוח איומים
ידע את סוגי הדיווחים השונים של האנליסטים
ניתן לסווג דוח ניתוח איומים תחת אחד מסוגי הדוח הבאים:
- פרופיל פעילות – מספק מידע על קמפיין תקיפה ספציפי המשויך לעתים קרובות למעומעום איום. דוח זה דן באופן שבו אירעה מתקפה, מדוע חשוב לך לעשות זאת וכיצד Microsoft מגנה על לקוחותיה מפניה. פרופיל פעילות עשוי לכלול גם פרטים כגון ציר זמן של אירועים, רשתות תקיפה, אופני פעולה ומתודולוגיות.
- פרופיל מעורר – מספק מידע על שחקן איומים ספציפי שעקב אחר Microsoft מאחורי מתקפות סייבר חשובות. דוח זה דן במניעים של השחקן, בתעשייה ו/או במטרות הגיאוגרפיות ובטקטיקה, בטכניקות ובהליכים שלו (TTPs). פרופיל מעורר עשוי לכלול גם מידע על תשתית ההתקפה של המעוגל, תוכנות זדוניות (מותאמות אישית או קוד פתוח) ומנצלות אותו, ובאירועים או מסעות פרסום חשובים שהם היו חלק בהם.
- פרופיל טכניקה – מספק מידע על טכניקה ספציפית המשמשת שחקני איומים - לדוגמה, שימוש זדוני ב- PowerShell או בקציר אישורים בסיכון לדואר אלקטרוני עסקי (BEC) - וכיצד Microsoft מגנה על לקוחותיה על-ידי זיהוי פעילות המשויכת לטכניקה.
- מבט כולל על איומים – סיכום דוחות פרופיל מרובים למלל נלווה שמצייר תמונה רחבה יותר של איום המשתמש בדוחות אלה או קשור לדוחות אלה. לדוגמה, שחקני איומים משתמשים בטכניקות שונות כדי לגנוב אישורים מקומיים, וסקירה של איום על גניבת אישורים מקומית עשויה לקשר לפרופילי טכניקה בתקפות בריון-כוח, מתקפות Kerberos או תוכנות זדוניות לגניבת מידע. Microsoft Threat Intelligence משתמש בחיישנים שלהם על האיומים המובילים המשפיעים על סביבות של לקוחות כדי להעריך איזה איום עשוי להשפיע על סוג דוח זה.
- פרופיל כלי – מספק מידע אודות כלי מותאם אישית או קוד פתוח ספציפי המשויך לעתים קרובות למעומעון איום. דוח זה דן ביכולות של הכלי, ביעדים ששחקן האיום משתמש בו עשוי לנסות להשיג וכיצד Microsoft מגנה על לקוחותיה על-ידי זיהוי פעילות המשויכת לו.
- פרופיל פגיעות – מספק מידע על פגיעויות נפוצות ספציפיות ומזהה חשיפות (CVE) או קבוצה של CVEs דומים המשפיעים על מוצר. פרופיל פגיעות דן בדרך כלל בפגיעות ראויה לציון, כגון אלה שנמצאות בשימוש על-ידי שחקני איומים וקמפיינים ראויים לציון לתקיפה. המידע מכסה אחד או יותר מסוגי המידע הבאים: סוג פגיעות, שירותים מושפעים, ניצול של יום אפס או ניצול פראי, ניקוד חומרה והשפעה פוטנציאלית והכיסוי של Microsoft.
סרוק את דוח האנליסטים
כל סעיף בדוח האנליסטים נועד לספק מידע המאפשר פעולה. בעוד שדוחות משתנים, רוב הדוחות כוללים את המקטעים המתוארים בטבלה הבאה.
מקטע דוח | תיאור |
---|---|
סיכום ניהולי | תמונה של האיום, שעשויה לכלול את המראה הראשון שלו, המניעים שלו, אירועים עיקריים, יעדים עיקריים וכלים וטכניקות שונים. באפשרותך להשתמש במידע זה כדי להעריך עוד יותר כיצד לתעדף את האיום בהקשר של התעשייה, המיקום הגיאוגרפי והרשת שלך. |
סקירה כללית | ניתוח טכני לגבי האיום, אשר, בהתאם לסוג הדוח, עשוי לכלול את פרטי התקיפה ואת האופן שבו תוקפים עשויים להשתמש בטכניקה חדשה או במשטח תקיפה חדש. מקטע זה כולל גם כותרות שונות וסעיףי משנה נוספים, בהתאם לסוג הדוח, כדי לספק הקשר ופרטים נוספים. לדוגמה, פרופיל פגיעות כולל סעיף נפרד המפרט טכנולוגיות מושפעות , בעוד שפרופיל מעורר עשוי לכלול מקטעים של כלים ו- TTPsוייחוס . |
שאילתות זיהוי/ציד | זיהויים ספציפיים וגנריים המסופקים על-ידי פתרונות האבטחה של Microsoft, שעלולים להציג פעילות או רכיבים המשויכים לאיום. סעיף זה מספק גם שאילתות ציד לזיהוי יזום של פעילות איומים אפשריים. רוב השאילתות מסופקות כדי להשלים זיהויים, במיוחד לאיתור רכיבים או אופני פעולה שעלולים להיות זדוניים שלא ניתן להעריך באופן דינאמי להיות זדוניים. |
טכניקות MITRE ATT&CK שנצפתו | כיצד טכניקות שנצפתו ממפות למסגרת ההתקפה של MITRE ATT&CK |
המלצות והמלצות | שלבים המאפשרים פעולה שעלולים לעצור את האיום או לעזור להפחית את השפעתו. סעיף זה כולל גם צמצום סיכונים שאינם מסומנים באופן דינאמי כחלק מדוח ניתוח האיומים. |
הפניות | פרסומים של Microsoft ושל ספקים חיצוניים שנזכרו על-ידי אנליסטים במהלך יצירת הדוח. תוכן ניתוח איומים מבוסס על נתונים שאומתו על-ידי חוקרי Microsoft. מידע ממקורות חיצוניים הזמינים לציבור מזוהים בצורה ברורה. |
יומן רישום שינויים | מועד פרסום הדוח ומתי בוצעו שינויים משמעותיים בדוח. |
להבין כיצד ניתן לזהות כל איום
דוח האנליסטים מספק גם מידע מפתרונות שונים של Microsoft, אשר יכולים לסייע בזיהוי האיום. הוא מפרט זיהויים ספציפיים לאיום זה מכל אחד ממוצרים המפורטים בסעיפים הבאים, בהתאם לצורך. התראות מזיהויים ספציפיים לאיומים אלה מופיעות בכרטיסי מצב ההתראה של הדף 'ניתוח איומים'.
דוחות אנליסטים מסוימים גם מציינים התראות שנועדו לסמן באופן כללי התנהגות חשודה וייתכן שלא ישויכו לאיום המסומן. במקרים כאלה, הדוח ימציין בבירור שניתן להפעיל את ההתראה על-ידי פעילות איומים לא קשורים ושאינן מנטרות אותו בכרטיסי המצב המסופקים בדף 'ניתוח איומים'.
האנטי-וירוס של Microsoft Defender
זיהויי אנטי-וירוס זמינים במכשירים Microsoft Defender אנטי-וירוס מופעל ב- Windows. זיהויים אלה מקושרים לתיאורים המתאימים של אנציקלופדיית התוכנות הזדוניות שלהם בינת אבטחה של Microsoft, כאשר הם זמינים.
Microsoft Defender עבור נקודת קצה
התראות זיהוי ותגובה של נקודות קצה (EDR) מוגדלות כדי שהמכשירים המחוברים Microsoft Defender עבור נקודת קצה. התראות אלה מבוססות על אותות אבטחה שנאספו על-ידי חיישן נקודת הקצה של Defender for ויכולות אחרות של נקודות קצה - כגון אנטי-וירוס, הגנת רשת, הגנה מפני טיפול שלא כדין – המשמשים כמקורות אותות רבי-עוצמה.
Microsoft Defender עבור Office 365
זיהויים והפחתת סיכונים Defender עבור Office 365 נכללים גם בדוחות אנליסטים. Defender עבור Office 365 הוא שילוב חלק עם מנויי Microsoft 365 המגנות מפני איומים בדואר אלקטרוני, בקישורים (URL), בקבצים מצורפים וכלי שיתוף פעולה.
Microsoft Defender עבור זהות
Defender for Identity הוא פתרון אבטחה מבוסס ענן שמסייע לאבטח את ניטור הזהויות ברחבי הארגון. הוא משתמש באותות הן Active Directory מקומי והן מהזהויות בענן כדי לעזור לך לזהות, לזהות ולחקור איומים מתקדמים המופנה אל הארגון שלך.
Microsoft Defender עבור יישומי ענן
יישומי ענן של Defender מספק הגנה מלאה עבור אפליקציות SaaS, שעוזרות לך לנטר את נתוני אפליקציית הענן שלך ולהגן עליהן, באמצעות פונקציונליות בסיסית של מתווך אבטחה לגישה לענן (CASB), תכונות של ניהול אבטחת SaaS (SSPM), הגנה מתקדמת מפני איומים והגנת אפליקציה לאפליקציה.
Microsoft Defender עבור ענן
Defender for Cloud הוא פלטפורמת הגנת יישומים מקורית בענן (CNAPP) מורכב משיטות עבודה ואמצעים לאבטחה שנועדו להגן על אפליקציות מבוססות ענן מפני איומים ופגיעות שונים.
מצא ממצאי איומים עדינים באמצעות ציד מתקדם
למרות שהזיהויים מאפשרים לך לזהות ולהעצור את האיום המסומן באופן אוטומטי, פעילויות תקיפה רבות משאירות עקבות עדינים הדורשים בדיקה נוספת. פעילויות תקיפה מסוימות מציגות אופני פעולה שעלולים גם הם להיות רגילים, כך שזיהוי דינאמי של הפעילויות עלול לגרום לרעש תפעולי או אפילו לתוצאה חיובית מוטעית. שאילתות ציד מאפשרות לך לאתר באופן יזום רכיבים או אופני פעולה שעלולים להיות זדוניים אלה.
Microsoft Defender XDR שאילתות ציד מתקדמות
ציד מתקדם מספק ממשק שאילתה המבוסס על שפת שאילתת Kusto שמפשטת את איתור המחוונים העדינים של פעילות איומים. הוא גם מאפשר לך להציג מידע הקשרי ולברר אם המחוונים מחוברים לאיום.
שאילתות ציד מתקדמות בדוחות האנליסטים אומתו על-ידי אנליסטים של Microsoft, והן מוכנות לפעול בעורך שאילתות הציד המתקדם. באפשרותך גם להשתמש בשאילתות כדי ליצור כללי זיהוי מותאמים אישית המפעילים התראות עבור התאמות עתידיות.
Microsoft Sentinel שאילתות
דוחות אנליסטים עשויים לכלול גם שאילתות ציד ישימות Microsoft Sentinel לקוחות.
Microsoft Sentinel כלי חיפוש והשאילתה רבי-עוצמה לחיפוש אחר איומי אבטחה במקורות הנתונים של הארגון שלך. כדי לעזור לך לחפש באופן יזום חריגות חדשות שלא זוהו על-ידי אפליקציות האבטחה שלך או אפילו על-ידי כללי הניתוח המתוזמנת שלך, שאילתות ציד Sentinel מדריך אותך לשאול את השאלות ההן כדי למצוא בעיות בנתונים שכבר יש לך ברשת.
החל צמצום סיכונים נוסף
ניתוח איומים עוקב באופן דינאמי אחר המצב של עדכוני אבטחה מסוימיםותצורות מאובטחות. סוגי מידע אלה זמינים כתרשימים וטבלאות בכרטיסיות חשיפות נקודות קצה ובכרטיסיות פעולות מומלצות, והן המלצות ניתנות להפעלה חוזרת החלות על איום זה ועשויות לחול גם על איומים אחרים.
בנוסף להמלצות מסומנות אלה, דוח האנליסטים עשוי גם לדון בצמצום סיכונים שאינם נמצאים בפיקוח דינאמי מכיוון שהם ספציפיים רק לאיום או למצב הנדונה בדוח. להלן כמה דוגמאות לסיכונים חשובים שלא מתבצע מעקב דינאמי אחריהם:
- חסימת הודעות דואר אלקטרוני .lnk קבצים מצורפים או סוגי קבצים חשודים אחרים
- אקראי סיסמאות של מנהלי מערכת מקומיים
- מורים למשתמשי קצה אודות דואר אלקטרוני של דיוג ווקטורים אחרים של איומים
- הפעלת כללים ספציפיים להקטנת פני השטח של ההתקפה
על אף שניתן להשתמש בהודעות החשיפה של נקודות הקצה ובכרטיסיות הפעולות המומלצות כדי להעריך את תציבת האבטחה שלך מפני איום, המלצות אלה מאפשרות לך לבצע שלבים אחרים לשיפור תציבת האבטחה שלך. קרא בעיון את כל ההנחיות להפחתת הסיכון בדוח האנליסטים ובצע אותן כאשר הדבר אפשרי.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.