A fenyegetések nyomon követése és az azokra való reagálás fenyegetéselemzéssel
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
A kifinomultabb támadók és az új fenyegetések gyakran és elterjedten jelennek meg, ezért kritikus fontosságú, hogy gyorsan képes legyen:
- Az új fenyegetések hatásának felmérése
- A fenyegetések elleni vagy az azokkal szembeni ellenálló képesség áttekintése
- Azonosítsa azokat a műveleteket, amelyeket a fenyegetések leállításához vagy elszigeteléséhez hajthat végre
A fenyegetéselemzés a Microsoft szakértői biztonsági kutatóinak jelentései, amelyek a legfontosabb fenyegetéseket fedik le, beleértve a következőket:
- Aktív veszélyforrás-szereplők és kampányaik
- Népszerű és új támadási technikák
- Kritikus biztonsági rések
- Gyakori támadási felületek
- Elterjedt kártevők
Minden jelentés részletes elemzést nyújt a fenyegetésekről, és részletes útmutatást nyújt a fenyegetés elleni védekezéshez. Emellett a hálózatról származó adatokat is tartalmaz, amelyek jelzik, hogy a fenyegetés aktív-e, és hogy rendelkezik-e megfelelő védelemmel.
Ebből a rövid videóból megtudhatja, hogyan segíthet a fenyegetéselemzés a legújabb fenyegetések nyomon követésében és megállításában.
Szükséges szerepkörök és engedélyek
Az alábbi táblázat a Threat Analytics eléréséhez szükséges szerepköröket és engedélyeket ismerteti. Az alábbi táblázatban meghatározott szerepkörök az egyéni szerepkörökre vonatkoznak az egyes portálokon, és nem kapcsolódnak a globális szerepkörökhöz Microsoft Entra ID, még akkor sem, ha hasonló nevet adnak.
Az alábbi szerepkörök egyikére van szükség a Microsoft Defender XDR | A végponthoz készült Defenderhez az alábbi szerepkörök egyikére van szükség | Az alábbi szerepkörök egyikére van szükség a Office 365-höz készült Defender | A Felhőhöz készült Defender-alkalmazásokhoz az alábbi szerepkörök egyikére van szükség |
---|---|---|---|
Threat Analytics | Riasztások és incidensek adatai:
|
Riasztások és incidensek adatai:
|
Nem érhető el a Defender for Cloud Apps vagy az MDI-felhasználók számára |
A fenyegetéselemzési irányítópult megtekintése
A fenyegetéselemzési irányítópult nagyszerű kiindulópont a szervezet szempontjából legfontosabb jelentések eléréséhez. Az alábbi szakaszokban összefoglalja a fenyegetéseket:
- Legújabb fenyegetések: Listák a legutóbb közzétett fenyegetésjelentéseket, valamint az aktív és megoldott riasztásokat tartalmazó eszközök számát.
- Nagy hatású fenyegetések: Listák azokat a fenyegetéseket, amelyek a legnagyobb hatással voltak a szervezetre. Ez a szakasz az aktív riasztásokkal rendelkező eszközök száma alapján rangsorolja a fenyegetéseket.
- Fenyegetés összefoglalása: A nyomon követett fenyegetések általános hatását mutatja az aktív és megoldott riasztásokkal rendelkező fenyegetések számának megjelenítésével.
Válasszon ki egy fenyegetést az irányítópultról a fenyegetés jelentésének megtekintéséhez.
Fenyegetéselemzési jelentés megtekintése
Minden fenyegetéselemzési jelentés három szakaszban nyújt információt: Áttekintés, Elemzői jelentés és Kockázatcsökkentések.
Áttekintés: A fenyegetés gyors megismerése, hatásának felmérése és a védelem áttekintése
Az Áttekintés szakasz a részletes elemzői jelentés előnézetét tartalmazza. Emellett diagramokat is tartalmaz, amelyek kiemelik a szervezetet fenyegető fenyegetés hatását, valamint a helytelenül konfigurált és nem engedélyezett eszközökön keresztüli kitettségét.
egy fenyegetéselemzési jelentés áttekintési szakaszában
A szervezetre gyakorolt hatás felmérése
Minden jelentés olyan diagramokat tartalmaz, amelyek a fenyegetések szervezeti hatásáról nyújtanak információkat:
- Riasztásokkal rendelkező eszközök: A fenyegetés által érintett különböző eszközök aktuális számát jeleníti meg. Az eszközök akkor vannak aktívként kategorizálva, ha a fenyegetéshez legalább egy riasztás társítva van, és a Feloldva , ha az eszközön lévő fenyegetéshez társított összes riasztást megoldották.
- Riasztásokkal rendelkező eszközök az idő függvényében: Az aktív és a feloldott riasztásokkal rendelkező különböző eszközök számát jeleníti meg az idő függvényében. A megoldott riasztások száma azt jelzi, hogy a szervezet milyen gyorsan reagál a fenyegetésekkel kapcsolatos riasztásokra. Ideális esetben a diagramon néhány napon belül feloldott riasztásoknak kell megjelennie.
Biztonsági rugalmasság és állapot áttekintése
Minden jelentés diagramokat tartalmaz, amelyek áttekintést nyújtanak arról, hogy a szervezet mennyire rugalmas egy adott fenyegetéssel szemben:
- Biztonsági konfiguráció állapota: Azoknak az eszközöknek a számát jeleníti meg, amelyek az ajánlott biztonsági beállításokat alkalmazták, amelyek segíthetnek a fenyegetés elhárításában. Az eszközök akkor minősülnek Biztonságosnak , ha az összes követett beállítást alkalmazták.
- Biztonságirés-javítás állapota: Megjeleníti azoknak az eszközöknek a számát, amelyek biztonsági frissítéseket vagy javításokat alkalmaztak a fenyegetés által kihasznált biztonsági rések kezelésére.
Elemzői jelentés: Szakértői megállapítások a Microsoft biztonsági kutatóitól
Nyissa meg az Elemzői jelentés szakaszt , és olvassa el a részletes szakértői felírást. A legtöbb jelentés részletes leírást ad a támadási láncokról, beleértve a MITRE ATT&CK-keretrendszerre leképezett taktikákat és technikákat, a javaslatok teljes listáját és a hatékony veszélyforrás-keresési útmutatót.
További információ az elemzői jelentésről
Kockázatcsökkentések: A kockázatcsökkentések listájának és az eszközök állapotának áttekintése
A Kockázatcsökkentés szakaszban tekintse át azoknak a konkrét végrehajtható javaslatoknak a listáját, amelyek segíthetnek a szervezet fenyegetésekkel szembeni rugalmasságának növelésében. A nyomon követett kockázatcsökkentések listája a következőket tartalmazza:
- Biztonsági frissítések: Biztonsági frissítések vagy biztonsági rések javításai
- Microsoft Defender víruskereső beállításai
- Biztonságiintelligencia-verzió
- Felhőben nyújtott védelem
- Potenciálisan nemkívánatos alkalmazások (PUA) elleni védelem
- Valós idejű védelem
Az ebben a szakaszban található kockázatcsökkentési információk Microsoft Defender biztonságirés-kezelés adatait tartalmazzák, amely részletes részletezési információkat is tartalmaz a jelentés különböző hivatkozásaiból.
Fenyegetéselemzési jelentés Kockázatcsökkentések szakasza
A jelentés további részletei és korlátozásai
A jelentések használatakor tartsa szem előtt a következőket:
- Az adatok hatóköre a szerepköralapú hozzáférés-vezérlés (RBAC) hatókörén alapul. Az elérhető csoportokban lévő eszközök állapotát láthatja.
- A diagramok csak a nyomon követett kockázatcsökkentéseket tükrözik. Ellenőrizze a jelentés áttekintésében, hogy vannak-e olyan további kockázatcsökkentések, amelyek nem jelennek meg a diagramokon.
- A kockázatcsökkentések nem garantálják a teljes rugalmasságot. A rendelkezésre álló kockázatcsökkentések a rugalmasság javításához szükséges lehető legjobb intézkedéseket tükrözik.
- Az eszközök akkor minősülnek "nem elérhetőnek", ha nem továbbítottak adatokat a szolgáltatásnak.
- A víruskeresővel kapcsolatos statisztikák Microsoft Defender víruskereső beállításain alapulnak. A külső víruskereső megoldásokkal rendelkező eszközök "közzétettként" jelenhetnek meg.
Kapcsolódó témakörök
- Komplex veszélyforrás-kereséssel kapcsolatos fenyegetések proaktív keresése
- Az elemzői jelentés szakaszának ismertetése
- Biztonsági hiányosságok és kitettségek felmérése és megoldása
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: