Fenyegetéselemzés a Microsoft Defender XDR-ben
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
A fenyegetéselemzés a Microsoft szakértői biztonsági kutatóinak terméken belüli fenyegetésfelderítési megoldása. Úgy tervezték, hogy segítse a biztonsági csapatokat abban, hogy a lehető leghatékonyabbak legyenek, miközben egyre több fenyegetéssel kell szembenéznie, például:
- Aktív veszélyforrás-szereplők és kampányaik
- Népszerű és új támadási technikák
- Kritikus biztonsági rések
- Gyakori támadási felületek
- Elterjedt kártevők
Ebből a rövid videóból megtudhatja, hogyan segíthet a fenyegetéselemzés a legújabb fenyegetések nyomon követésében és megállításában.
A fenyegetéselemzést elérheti Microsoft Defender XDR navigációs sávjának bal felső sarkából, vagy egy dedikált irányítópult-kártyáról, amely a szervezetet fenyegető leggyakoribb fenyegetéseket jeleníti meg mind az ismert hatás, mind a kitettség szempontjából.
Az aktív vagy folyamatban lévő kampányok láthatóságának és a fenyegetéselemzésen keresztüli teendők ismeretének birtokában tájékozott döntéseket hozhat a biztonsági üzemeltetési csapattal.
A kifinomultabb támadók és az új fenyegetések gyakran és elterjedten jelennek meg, ezért kritikus fontosságú, hogy gyorsan képes legyen:
- A felmerülő fenyegetések azonosítása és az azokra való reagálás
- Megtudhatja, hogy jelenleg támadás alatt áll-e
- Az eszközökre gyakorolt fenyegetés hatásának felmérése
- A fenyegetések elleni vagy az azokkal szembeni ellenálló képesség áttekintése
- Azonosítsa azokat a kockázatcsökkentési, helyreállítási vagy megelőzési műveleteket, amelyeket a fenyegetések leállításához vagy megfékezéséhez végezhet
Minden jelentés egy nyomon követett fenyegetés elemzését és átfogó útmutatást nyújt a fenyegetés elleni védekezéshez. Emellett a hálózatról származó adatokat is tartalmaz, amelyek jelzik, hogy a fenyegetés aktív-e, és hogy rendelkezik-e megfelelő védelemmel.
A fenyegetéselemzési irányítópult megtekintése
A fenyegetéselemzési irányítópult (security.microsoft.com/threatanalytics3) kiemeli a szervezet szempontjából legrelevánsabb jelentéseket. Az alábbi szakaszokban összefoglalja a fenyegetéseket:
- Legújabb fenyegetések – felsorolja a legutóbb közzétett vagy frissített fenyegetésjelentéseket, valamint az aktív és megoldott riasztások számát.
- Nagy hatású fenyegetések – azokat a fenyegetéseket sorolja fel, amelyek a legnagyobb hatással vannak a szervezetre. Ez a szakasz a legmagasabb számú aktív és megoldott riasztással rendelkező fenyegetéseket sorolja fel.
- Legmagasabb szintű kitettség – felsorolja azokat a fenyegetéseket, amelyeknek a szervezet a legmagasabb szintű kitettséggel rendelkezik. A fenyegetéseknek való kitettség szintjét két információ alapján számítjuk ki: milyen súlyosak a fenyegetéssel társított biztonsági rések, és hogy a szervezetében hány eszközt használhatnak ki ezek a biztonsági rések.
Válasszon ki egy fenyegetést az irányítópultról a fenyegetés jelentésének megtekintéséhez. Kiválaszthatja a Keresés mezőt is, amely az elolvasni kívánt fenyegetéselemzési jelentéshez kapcsolódó kulcsszóhoz tartozik.
Jelentések megtekintése kategória szerint
Szűrheti a fenyegetésjelentések listáját, és megtekintheti a legrelevánsabb jelentéseket egy adott fenyegetéstípus vagy jelentéstípus szerint.
- Fenyegetéscímkék – segítséget nyújtanak a legrelevánsabb jelentések megtekintésében egy adott fenyegetéskategória alapján. A Ransomware címke például tartalmazza a zsarolóprogramokkal kapcsolatos összes jelentést.
- Jelentéstípusok – segítséget nyújt a legrelevánsabb jelentések megtekintésében egy adott jelentéstípusnak megfelelően. Az Eszközök & technikák címke például az összes eszközt és technikát lefedő jelentést tartalmazza.
A különböző címkék egyenértékű szűrőkkel rendelkeznek, amelyek segítségével hatékonyan áttekintheti a fenyegetésjelentések listáját, és szűrheti a nézetet egy adott fenyegetéscímke vagy jelentéstípus alapján. Például a zsarolóprogramok kategóriájához kapcsolódó összes fenyegetésjelentés vagy a biztonsági réseket tartalmazó fenyegetésjelentések megtekintéséhez.
A Microsoft fenyegetésfelderítési csapata minden fenyegetésjelentéshez hozzáadott fenyegetéscímkéket. Jelenleg négy fenyegetéscímke érhető el:
- Zsarolóprogram
- Adathalászat
- Sebezhetőség
- Tevékenységcsoport
A fenyegetéscímkék a fenyegetéselemzési oldal tetején jelennek meg. Az egyes címkék alatt számlálók találhatók az elérhető jelentések számára vonatkozóan.
A listában használni kívánt jelentéstípusok beállításához válassza a Szűrők lehetőséget, válasszon a listából, majd válassza az Alkalmaz lehetőséget.
Ha egynél több szűrőt állított be, a fenyegetéselemzési jelentések listája fenyegetéscímke szerint is rendezhető a fenyegetéscímkék oszlop kiválasztásával:
Fenyegetéselemzési jelentés megtekintése
Minden fenyegetéselemzési jelentés több szakaszban tartalmaz információkat:
- Áttekintés
- Elemzői jelentés
- Kapcsolódó incidensek
- Érintett eszközök
- Letiltott e-mail-kísérletek
- Expozíciós & kockázatcsökkentések
Áttekintés: A fenyegetés gyors megismerése, hatásának felmérése és a védelem áttekintése
Az Áttekintés szakasz a részletes elemzői jelentés előnézetét tartalmazza. Emellett diagramokat is tartalmaz, amelyek kiemelik a szervezetet fenyegető fenyegetés hatását, valamint a helytelenül konfigurált és nem engedélyezett eszközökön keresztüli kitettséget.
A szervezetre gyakorolt hatás felmérése
Minden jelentés olyan diagramokat tartalmaz, amelyek a fenyegetések szervezeti hatásáról nyújtanak információkat:
- Kapcsolódó incidensek – áttekintést nyújt a nyomon követett fenyegetés szervezetre gyakorolt hatásáról a következő adatokkal:
- Az aktív riasztások száma és az aktív incidensek száma, amelyekhez társítva vannak
- Az aktív incidensek súlyossága
- Riasztások az idő függvényében – a kapcsolódó aktív és megoldott riasztások számát jeleníti meg az idő múlásával. A megoldott riasztások száma azt jelzi, hogy a szervezet milyen gyorsan reagál a fenyegetésekkel kapcsolatos riasztásokra. Ideális esetben a diagramon néhány napon belül feloldott riasztásoknak kell megjelennie.
- Érintett eszközök – azoknak a különböző eszközöknek és e-mail-fiókoknak (postaládáknak) a számát jeleníti meg, amelyeken jelenleg legalább egy aktív riasztás van társítva a nyomon követett fenyegetéshez. A riasztások olyan postaládák esetén aktiválódnak, amelyek fenyegetést jelentő e-maileket kaptak. Tekintse át a szervezeti és a felhasználói szintű szabályzatokat a fenyegetést jelentő e-mailek kézbesítését okozó felülbírálásokért.
- Letiltott e-mail-kísérletek – az elmúlt hét napban letiltott vagy a levélszemétmappába kézbesített e-mailek számát jeleníti meg.
Biztonsági rugalmasság és állapot áttekintése
Minden jelentés diagramokat tartalmaz, amelyek áttekintést nyújtanak arról, hogy a szervezet mennyire rugalmas egy adott fenyegetéssel szemben:
- Biztonságos konfiguráció állapota – a helytelenül konfigurált biztonsági beállításokkal rendelkező eszközök számát jeleníti meg. Alkalmazza a javasolt biztonsági beállításokat a fenyegetés mérsékléséhez. Az eszközök akkor minősülnek Biztonságosnak , ha az összes követett beállítást alkalmazták.
- Sebezhetőségi javítás állapota – a sebezhető eszközök számát mutatja. Biztonsági frissítések vagy javítások alkalmazása a fenyegetés által kihasznált biztonsági rések kezelésére.
Elemzői jelentés: Szakértői megállapítások a Microsoft biztonsági kutatóitól
Az Elemzői jelentés szakaszban olvassa el a részletes szakértői felírást. A legtöbb jelentés részletes leírást ad a támadási láncokról, beleértve a MITRE ATT&CK-keretrendszerre leképezett taktikákat és technikákat, a javaslatok teljes listáját és a hatékony veszélyforrás-keresési útmutatót.
További információ az elemzői jelentésről
Kapcsolódó incidensek: Kapcsolódó incidensek megtekintése és kezelése
A Kapcsolódó incidensek lap a nyomon követett fenyegetéshez kapcsolódó összes incidens listáját tartalmazza. Hozzárendelhet incidenseket, vagy kezelheti az egyes incidensekhez kapcsolódó riasztásokat.
Érintett eszközök: Az érintett eszközök és postaládák listájának lekérése
Egy objektum akkor minősül érintettnek, ha egy aktív, megoldatlan riasztás érinti. Az Érintett eszközök lap az alábbi típusú érintett eszközöket sorolja fel:
- Érintett eszközök – olyan végpontok, amelyek nem oldott Végponthoz készült Microsoft Defender riasztásokkal rendelkeznek. Ezek a riasztások általában az ismert fenyegetésjelzők és tevékenységek észlelésére aktiválódnak.
- Érintett postaládák – olyan postaládák, amelyek Office 365-höz készült Microsoft Defender riasztásokat aktiváló e-maileket kaptak. Bár a riasztásokat kiváltó üzenetek többsége általában le van tiltva, a felhasználói vagy szervezeti szintű szabályzatok felülbírálhatják a szűrőket.
Letiltott e-mail-kísérletek: Letiltott vagy levélszemétként küldött e-mailek megtekintése
Office 365-höz készült Microsoft Defender általában letiltja az ismert fenyegetésjelzőkkel rendelkező e-maileket, beleértve a kártékony hivatkozásokat vagy mellékleteket. Bizonyos esetekben a gyanús tartalmakat ellenőrző proaktív szűrési mechanizmusok ehelyett fenyegetésekkel kapcsolatos e-maileket küldenek a levélszemét mappába. Mindkét esetben csökken annak az esélye, hogy az eszközön kártevő kódot indítanak el.
A Letiltott e-mail-kísérletek lap felsorolja az összes olyan e-mailt, amelyet a kézbesítés előtt blokkolt, vagy Office 365-höz készült Microsoft Defender küldött a levélszemét mappába.
Kitettség és kockázatcsökkentések: A kockázatcsökkentések listájának és az eszközök állapotának áttekintése
Az Expozíciós & kockázatcsökkentések szakaszban tekintse át azoknak a konkrét végrehajtható javaslatoknak a listáját, amelyek segíthetnek a szervezet fenyegetésekkel szembeni ellenálló képességének növelésében. A nyomon követett kockázatcsökkentések listája a következőket tartalmazza:
- Biztonsági frissítések – a támogatott szoftverbiztonsági frissítések központi telepítése az előkészített eszközökön talált biztonsági résekhez
- Támogatott biztonsági konfigurációk
- Felhőben nyújtott védelem
- Potenciálisan nemkívánatos alkalmazások (PUA) elleni védelem
- Valós idejű védelem
Az ebben a szakaszban található kockázatcsökkentési információk Microsoft Defender biztonságirés-kezelés adatait tartalmazzák, amely részletes részletezési információkat is tartalmaz a jelentés különböző hivatkozásaiból.
Veszélyforrás-elemzési jelentés expozíciós & kockázatcsökkentési szakasza
E-mail-értesítések beállítása jelentésfrissítésekhez
Beállíthat olyan e-mail-értesítéseket, amelyek frissítéseket küldenek a fenyegetéselemzési jelentésekhez. E-mail-értesítések létrehozásához kövesse az e-mail-értesítések fogadása a fenyegetéselemzési frissítésekhez Microsoft Defender XDR.
A jelentés további részletei és korlátozásai
Megjegyzés:
Az egységes biztonsági élmény részeként a fenyegetéselemzés már nem csak Végponthoz készült Microsoft Defender, hanem Office 365-höz készült Microsoft Defender licenctulajdonosok számára is elérhető.
Ha nem a Microsoft 365 biztonsági portálját (Microsoft Defender XDR) használja, a jelentés részleteit (az Office-adatok Microsoft Defender nélkül) is megtekintheti a Microsoft Defender biztonsági központ portálon ( Végponthoz készült Microsoft Defender).
A fenyegetéselemzési jelentések eléréséhez bizonyos szerepkörökre és engedélyekre van szükség. További részletekért lásd: Egyéni szerepkörök szerepköralapú hozzáférés-vezérlésben Microsoft Defender XDR.
- A riasztások, incidensek vagy az érintett adategységek adatainak megtekintéséhez engedélyekkel kell rendelkeznie az Office- vagy Végponthoz készült Microsoft Defender-riasztások adatainak Microsoft Defender, vagy mindkettőhöz.
- A letiltott e-mail-kísérletek megtekintéséhez engedélyekkel kell rendelkeznie az Office veszélyforrás-keresési adatainak Microsoft Defender.
- A kockázatcsökkentések megtekintéséhez engedélyekkel kell rendelkeznie a Defender biztonságirés-kezelési adataihoz a Végponthoz készült Microsoft Defender.
A fenyegetéselemzési adatok áttekintésekor jegyezze meg a következő tényezőket:
- A diagramok csak a nyomon követett kockázatcsökkentéseket tükrözik. Ellenőrizze a jelentés áttekintésében, hogy nincsenek-e további, a diagramokon nem látható kockázatcsökkentések.
- A kockázatcsökkentések nem garantálják a teljes rugalmasságot. A rendelkezésre álló kockázatcsökkentések a rugalmasság javításához szükséges lehető legjobb intézkedéseket tükrözik.
- Az eszközök akkor minősülnek "nem elérhetőnek", ha nem továbbítottak adatokat a szolgáltatásnak.
- A víruskeresővel kapcsolatos statisztikák Microsoft Defender víruskereső beállításain alapulnak. A külső víruskereső megoldásokkal rendelkező eszközök "közzétettként" jelenhetnek meg.
Kapcsolódó cikkek
- Komplex veszélyforrás-kereséssel kapcsolatos fenyegetések proaktív keresése
- Az elemzői jelentés szakaszának ismertetése
- Biztonsági hiányosságok és kitettségek felmérése és megoldása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: