Megosztás a következőn keresztül:

Fenyegetéselemzés a Microsoft Defender XDR-ben

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

A fenyegetéselemzés a Microsoft szakértői biztonsági kutatóinak terméken belüli fenyegetésfelderítési megoldása. Úgy tervezték, hogy segítse a biztonsági csapatokat abban, hogy a lehető leghatékonyabbak legyenek, miközben egyre több fenyegetéssel kell szembenéznie, például:

  • Aktív veszélyforrás-szereplők és kampányaik
  • Népszerű és új támadási technikák
  • Kritikus biztonsági rések
  • Gyakori támadási felületek
  • Elterjedt kártevők

Ebből a rövid videóból megtudhatja, hogyan segíthet a fenyegetéselemzés a legújabb fenyegetések nyomon követésében és megállításában.

A fenyegetéselemzést elérheti Microsoft Defender XDR navigációs sávjának bal felső sarkából, vagy egy dedikált irányítópult-kártyáról, amely a szervezetet fenyegető leggyakoribb fenyegetéseket jeleníti meg mind az ismert hatás, mind a kitettség szempontjából.

Képernyőkép a fenyegetéselemzés kezdőlapjáról

Az aktív vagy folyamatban lévő kampányok láthatóságának és a fenyegetéselemzésen keresztüli teendők ismeretének birtokában tájékozott döntéseket hozhat a biztonsági üzemeltetési csapattal.

A kifinomultabb támadók és az új fenyegetések gyakran és elterjedten jelennek meg, ezért kritikus fontosságú, hogy gyorsan képes legyen:

  • A felmerülő fenyegetések azonosítása és az azokra való reagálás
  • Megtudhatja, hogy jelenleg támadás alatt áll-e
  • Az eszközökre gyakorolt fenyegetés hatásának felmérése
  • A fenyegetések elleni vagy az azokkal szembeni ellenálló képesség áttekintése
  • Azonosítsa azokat a kockázatcsökkentési, helyreállítási vagy megelőzési műveleteket, amelyeket a fenyegetések leállításához vagy megfékezéséhez végezhet

Minden jelentés egy nyomon követett fenyegetés elemzését és átfogó útmutatást nyújt a fenyegetés elleni védekezéshez. Emellett a hálózatról származó adatokat is tartalmaz, amelyek jelzik, hogy a fenyegetés aktív-e, és hogy rendelkezik-e megfelelő védelemmel.

A fenyegetéselemzési irányítópult megtekintése

A fenyegetéselemzési irányítópult (security.microsoft.com/threatanalytics3) kiemeli a szervezet szempontjából legrelevánsabb jelentéseket. Az alábbi szakaszokban összefoglalja a fenyegetéseket:

  • Legújabb fenyegetések – felsorolja a legutóbb közzétett vagy frissített fenyegetésjelentéseket, valamint az aktív és megoldott riasztások számát.
  • Nagy hatású fenyegetések – azokat a fenyegetéseket sorolja fel, amelyek a legnagyobb hatással vannak a szervezetre. Ez a szakasz a legmagasabb számú aktív és megoldott riasztással rendelkező fenyegetéseket sorolja fel.
  • Legmagasabb szintű kitettség – felsorolja azokat a fenyegetéseket, amelyeknek a szervezet a legmagasabb szintű kitettséggel rendelkezik. A fenyegetéseknek való kitettség szintjét két információ alapján számítjuk ki: milyen súlyosak a fenyegetéssel társított biztonsági rések, és hogy a szervezetében hány eszközt használhatnak ki ezek a biztonsági rések.

Képernyőkép a fenyegetéselemzési irányítópultról,

Válasszon ki egy fenyegetést az irányítópultról a fenyegetés jelentésének megtekintéséhez. Kiválaszthatja a Keresés mezőt is, amely az elolvasni kívánt fenyegetéselemzési jelentéshez kapcsolódó kulcsszóhoz tartozik.

Jelentések megtekintése kategória szerint

Szűrheti a fenyegetésjelentések listáját, és megtekintheti a legrelevánsabb jelentéseket egy adott fenyegetéstípus vagy jelentéstípus szerint.

  • Fenyegetéscímkék – segítséget nyújtanak a legrelevánsabb jelentések megtekintésében egy adott fenyegetéskategória alapján. A Ransomware címke például tartalmazza a zsarolóprogramokkal kapcsolatos összes jelentést.
  • Jelentéstípusok – segítséget nyújt a legrelevánsabb jelentések megtekintésében egy adott jelentéstípusnak megfelelően. Az Eszközök & technikák címke például az összes eszközt és technikát lefedő jelentést tartalmazza.

A különböző címkék egyenértékű szűrőkkel rendelkeznek, amelyek segítségével hatékonyan áttekintheti a fenyegetésjelentések listáját, és szűrheti a nézetet egy adott fenyegetéscímke vagy jelentéstípus alapján. Például a zsarolóprogramok kategóriájához kapcsolódó összes fenyegetésjelentés vagy a biztonsági réseket tartalmazó fenyegetésjelentések megtekintéséhez.

A Microsoft fenyegetésfelderítési csapata minden fenyegetésjelentéshez hozzáadott fenyegetéscímkéket. Jelenleg négy fenyegetéscímke érhető el:

  • Zsarolóprogram
  • Adathalászat
  • Sebezhetőség
  • Tevékenységcsoport

A fenyegetéscímkék a fenyegetéselemzési oldal tetején jelennek meg. Az egyes címkék alatt számlálók találhatók az elérhető jelentések számára vonatkozóan.

Képernyőkép a fenyegetéselemzési jelentés címkéiről.

A listában használni kívánt jelentéstípusok beállításához válassza a Szűrők lehetőséget, válasszon a listából, majd válassza az Alkalmaz lehetőséget.

Képernyőkép a Szűrők listáról.

Ha egynél több szűrőt állított be, a fenyegetéselemzési jelentések listája fenyegetéscímke szerint is rendezhető a fenyegetéscímkék oszlop kiválasztásával:

Képernyőkép a fenyegetéscímkék oszlopáról.

Fenyegetéselemzési jelentés megtekintése

Minden fenyegetéselemzési jelentés több szakaszban tartalmaz információkat:

Áttekintés: A fenyegetés gyors megismerése, hatásának felmérése és a védelem áttekintése

Az Áttekintés szakasz a részletes elemzői jelentés előnézetét tartalmazza. Emellett diagramokat is tartalmaz, amelyek kiemelik a szervezetet fenyegető fenyegetés hatását, valamint a helytelenül konfigurált és nem engedélyezett eszközökön keresztüli kitettséget.

Képernyőkép egy fenyegetéselemzési jelentés áttekintési szakaszáról.

A szervezetre gyakorolt hatás felmérése

Minden jelentés olyan diagramokat tartalmaz, amelyek a fenyegetések szervezeti hatásáról nyújtanak információkat:

  • Kapcsolódó incidensek – áttekintést nyújt a nyomon követett fenyegetés szervezetre gyakorolt hatásáról a következő adatokkal:
    • Az aktív riasztások száma és az aktív incidensek száma, amelyekhez társítva vannak
    • Az aktív incidensek súlyossága
  • Riasztások az idő függvényében – a kapcsolódó aktív és megoldott riasztások számát jeleníti meg az idő múlásával. A megoldott riasztások száma azt jelzi, hogy a szervezet milyen gyorsan reagál a fenyegetésekkel kapcsolatos riasztásokra. Ideális esetben a diagramon néhány napon belül feloldott riasztásoknak kell megjelennie.
  • Érintett eszközök – azoknak a különböző eszközöknek és e-mail-fiókoknak (postaládáknak) a számát jeleníti meg, amelyeken jelenleg legalább egy aktív riasztás van társítva a nyomon követett fenyegetéshez. A riasztások olyan postaládák esetén aktiválódnak, amelyek fenyegetést jelentő e-maileket kaptak. Tekintse át a szervezeti és a felhasználói szintű szabályzatokat a fenyegetést jelentő e-mailek kézbesítését okozó felülbírálásokért.
  • Letiltott e-mail-kísérletek – az elmúlt hét napban letiltott vagy a levélszemétmappába kézbesített e-mailek számát jeleníti meg.

Biztonsági rugalmasság és állapot áttekintése

Minden jelentés diagramokat tartalmaz, amelyek áttekintést nyújtanak arról, hogy a szervezet mennyire rugalmas egy adott fenyegetéssel szemben:

  • Biztonságos konfiguráció állapota – a helytelenül konfigurált biztonsági beállításokkal rendelkező eszközök számát jeleníti meg. Alkalmazza a javasolt biztonsági beállításokat a fenyegetés mérsékléséhez. Az eszközök akkor minősülnek Biztonságosnak , ha az összes követett beállítást alkalmazták.
  • Sebezhetőségi javítás állapota – a sebezhető eszközök számát mutatja. Biztonsági frissítések vagy javítások alkalmazása a fenyegetés által kihasznált biztonsági rések kezelésére.

Elemzői jelentés: Szakértői megállapítások a Microsoft biztonsági kutatóitól

Az Elemzői jelentés szakaszban olvassa el a részletes szakértői felírást. A legtöbb jelentés részletes leírást ad a támadási láncokról, beleértve a MITRE ATT&CK-keretrendszerre leképezett taktikákat és technikákat, a javaslatok teljes listáját és a hatékony veszélyforrás-keresési útmutatót.

További információ az elemzői jelentésről

A Kapcsolódó incidensek lap a nyomon követett fenyegetéshez kapcsolódó összes incidens listáját tartalmazza. Hozzárendelhet incidenseket, vagy kezelheti az egyes incidensekhez kapcsolódó riasztásokat.

Képernyőkép egy fenyegetéselemzési jelentés kapcsolódó incidensek szakaszáról.

Érintett eszközök: Az érintett eszközök és postaládák listájának lekérése

Egy objektum akkor minősül érintettnek, ha egy aktív, megoldatlan riasztás érinti. Az Érintett eszközök lap az alábbi típusú érintett eszközöket sorolja fel:

  • Érintett eszközök – olyan végpontok, amelyek nem oldott Végponthoz készült Microsoft Defender riasztásokkal rendelkeznek. Ezek a riasztások általában az ismert fenyegetésjelzők és tevékenységek észlelésére aktiválódnak.
  • Érintett postaládák – olyan postaládák, amelyek Office 365-höz készült Microsoft Defender riasztásokat aktiváló e-maileket kaptak. Bár a riasztásokat kiváltó üzenetek többsége általában le van tiltva, a felhasználói vagy szervezeti szintű szabályzatok felülbírálhatják a szűrőket.

Képernyőkép egy fenyegetéselemzési jelentés érintett eszközök szakaszáról.

Letiltott e-mail-kísérletek: Letiltott vagy levélszemétként küldött e-mailek megtekintése

Office 365-höz készült Microsoft Defender általában letiltja az ismert fenyegetésjelzőkkel rendelkező e-maileket, beleértve a kártékony hivatkozásokat vagy mellékleteket. Bizonyos esetekben a gyanús tartalmakat ellenőrző proaktív szűrési mechanizmusok ehelyett fenyegetésekkel kapcsolatos e-maileket küldenek a levélszemét mappába. Mindkét esetben csökken annak az esélye, hogy az eszközön kártevő kódot indítanak el.

A Letiltott e-mail-kísérletek lap felsorolja az összes olyan e-mailt, amelyet a kézbesítés előtt blokkolt, vagy Office 365-höz készült Microsoft Defender küldött a levélszemét mappába.

Képernyőkép egy fenyegetéselemzési jelentés letiltott e-mail-kísérletek szakaszáról.

Kitettség és kockázatcsökkentések: A kockázatcsökkentések listájának és az eszközök állapotának áttekintése

Az Expozíciós & kockázatcsökkentések szakaszban tekintse át azoknak a konkrét végrehajtható javaslatoknak a listáját, amelyek segíthetnek a szervezet fenyegetésekkel szembeni ellenálló képességének növelésében. A nyomon követett kockázatcsökkentések listája a következőket tartalmazza:

  • Biztonsági frissítések – a támogatott szoftverbiztonsági frissítések központi telepítése az előkészített eszközökön talált biztonsági résekhez
  • Támogatott biztonsági konfigurációk
    • Felhőben nyújtott védelem
    • Potenciálisan nemkívánatos alkalmazások (PUA) elleni védelem
    • Valós idejű védelem

Az ebben a szakaszban található kockázatcsökkentési információk Microsoft Defender biztonságirés-kezelés adatait tartalmazzák, amely részletes részletezési információkat is tartalmaz a jelentés különböző hivatkozásaiból.

A fenyegetéselemzési jelentés Kockázatcsökkentések szakasza a biztonságos konfiguráció részleteivel

A fenyegetéselemzési jelentés Kockázatcsökkentések szakasza a biztonsági rések részleteivel

Veszélyforrás-elemzési jelentés expozíciós & kockázatcsökkentési szakasza

E-mail-értesítések beállítása jelentésfrissítésekhez

Beállíthat olyan e-mail-értesítéseket, amelyek frissítéseket küldenek a fenyegetéselemzési jelentésekhez. E-mail-értesítések létrehozásához kövesse az e-mail-értesítések fogadása a fenyegetéselemzési frissítésekhez Microsoft Defender XDR.

A jelentés további részletei és korlátozásai

Megjegyzés:

Az egységes biztonsági élmény részeként a fenyegetéselemzés már nem csak Végponthoz készült Microsoft Defender, hanem Office 365-höz készült Microsoft Defender licenctulajdonosok számára is elérhető.

Ha nem a Microsoft 365 biztonsági portálját (Microsoft Defender XDR) használja, a jelentés részleteit (az Office-adatok Microsoft Defender nélkül) is megtekintheti a Microsoft Defender biztonsági központ portálon ( Végponthoz készült Microsoft Defender).

A fenyegetéselemzési jelentések eléréséhez bizonyos szerepkörökre és engedélyekre van szükség. További részletekért lásd: Egyéni szerepkörök szerepköralapú hozzáférés-vezérlésben Microsoft Defender XDR.

  • A riasztások, incidensek vagy az érintett adategységek adatainak megtekintéséhez engedélyekkel kell rendelkeznie az Office- vagy Végponthoz készült Microsoft Defender-riasztások adatainak Microsoft Defender, vagy mindkettőhöz.
  • A letiltott e-mail-kísérletek megtekintéséhez engedélyekkel kell rendelkeznie az Office veszélyforrás-keresési adatainak Microsoft Defender.
  • A kockázatcsökkentések megtekintéséhez engedélyekkel kell rendelkeznie a Defender biztonságirés-kezelési adataihoz a Végponthoz készült Microsoft Defender.

A fenyegetéselemzési adatok áttekintésekor jegyezze meg a következő tényezőket:

  • A diagramok csak a nyomon követett kockázatcsökkentéseket tükrözik. Ellenőrizze a jelentés áttekintésében, hogy nincsenek-e további, a diagramokon nem látható kockázatcsökkentések.
  • A kockázatcsökkentések nem garantálják a teljes rugalmasságot. A rendelkezésre álló kockázatcsökkentések a rugalmasság javításához szükséges lehető legjobb intézkedéseket tükrözik.
  • Az eszközök akkor minősülnek "nem elérhetőnek", ha nem továbbítottak adatokat a szolgáltatásnak.
  • A víruskeresővel kapcsolatos statisztikák Microsoft Defender víruskereső beállításain alapulnak. A külső víruskereső megoldásokkal rendelkező eszközök "közzétettként" jelenhetnek meg.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.