Az elemzői jelentés a fenyegetéselemzésben
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Minden fenyegetéselemzési jelentés tartalmaz dinamikus szakaszokat és egy átfogó, írásbeli szakaszt, amelyet elemzői jelentésnek nevezünk. A szakasz eléréséhez nyissa meg a nyomon követett fenyegetésről szóló jelentést, és válassza az Elemző jelentés lapot.
Fenyegetéselemzési jelentés Elemzői jelentés szakasza
Az elemzői jelentés vizsgálata
Az elemzői jelentés egyes szakaszai úgy lettek kialakítva, hogy gyakorlatban hasznosítható információkat nyújtsanak. Bár a jelentések eltérőek, a jelentések többsége az alábbi táblázatban ismertetett szakaszokat tartalmazza.
| Jelentés szakasz | Leírás |
|---|---|
| Összefoglaló | A fenyegetés áttekintése, beleértve az első észleléseket, a motivációkat, a jelentős eseményeket, a főbb célokat, valamint a különböző eszközöket és technikákat. Ezekkel az információkkal tovább értékelheti, hogyan rangsorolhatja a fenyegetést az iparág, a földrajzi hely és a hálózat kontextusában. |
| Elemzés | Technikai információk a fenyegetésekről, beleértve a támadás részleteit, valamint azt, hogy a támadók hogyan használhatnak új technikát vagy támadási felületet |
| MITRE ATT&megfigyelt CK-technikák | A megfigyelt technikák leképezése a MITRE ATT&CK támadási keretrendszerére |
| Enyhítése | Javaslatok, amelyek megállíthatják vagy csökkenthetik a fenyegetés hatását. Ez a szakasz olyan kockázatcsökkentéseket is tartalmaz, amelyeket a fenyegetéselemzési jelentés részeként nem követnek nyomon dinamikusan. |
| Észlelés részletei | A Microsoft biztonsági megoldásai által biztosított specifikus és általános észlelések, amelyek képesek a fenyegetéssel kapcsolatos tevékenységek vagy összetevők felszínre hozásához. |
| Speciális veszélyforrás-keresés | Speciális veszélyforrás-keresési lekérdezések a lehetséges veszélyforrás-tevékenységek proaktív azonosításához. A legtöbb lekérdezés az észlelések kiegészítésére szolgál, különösen a potenciálisan rosszindulatú összetevők vagy viselkedések megkeresésére, amelyek nem értékelhetők dinamikusan rosszindulatúnak. |
| Hivatkozások | Az elemzők által a jelentés létrehozása során hivatkozott Microsoft- és külső kiadványok. A fenyegetéselemzési tartalmak a Microsoft kutatói által ellenőrzött adatokon alapulnak. A nyilvánosan elérhető, külső forrásokból származó információk egyértelműen ilyenek. |
| Módosítási napló | A jelentés közzétételének időpontja és a jelentés jelentős módosításainak időpontja. |
További kockázatcsökkentések alkalmazása
A fenyegetéselemzés dinamikusan nyomon követi a biztonsági frissítések és a biztonságos konfigurációk állapotát. Ezek az információk diagramokként és táblázatokként érhetők el a Kockázatcsökkentések lapon.
A nyomon követett kockázatcsökkentések mellett az elemzői jelentés a dinamikusan nem figyelt kockázatcsökkentéseket is tárgyalja. Íme néhány példa a dinamikusan nyomon nem követett fontos kockázatcsökkentésekre:
- E-mailek letiltása .lnk mellékletekkel vagy más gyanús fájltípusokkal
- Helyi rendszergazdai jelszavak véletlenszerűsítése
- A végfelhasználók képzése az adathalász e-mailekről és más veszélyforrás-vektorokról
- Adott támadásifelület-csökkentési szabályok bekapcsolása
Bár a Kockázatcsökkentések lapon felmérheti a biztonsági állapotot egy fenyegetéssel szemben, ezek a javaslatok további lépéseket tesznek a biztonsági helyzet javításához. Gondosan olvassa el az elemzői jelentésben található összes kockázatcsökkentési útmutatót, és alkalmazza őket, amikor csak lehetséges.
Az egyes fenyegetések észlelésének ismertetése
Az elemzői jelentés az Microsoft Defender víruskereső és végpontészlelési és -válasz (EDR) képességeiből származó észleléseket is biztosítja.
Víruskereső észlelései
Ezek az észlelések olyan eszközökön érhetők el, amelyeken be van kapcsolva az Microsoft Defender víruskereső a Windowsban. Ha ezek az észlelések olyan eszközökön történnek, amelyeket Végponthoz készült Microsoft Defender előkészítettek, riasztásokat is aktiválnak, amelyek felvilágosítják a jelentésben szereplő diagramokat.
Megjegyzés:
Az elemzői jelentés általános észleléseket is felsorol, amelyek a nyomon követett fenyegetéshez tartozó összetevőkön és viselkedéseken kívül számos fenyegetést képesek azonosítani. Ezek az általános észlelések nem jelennek meg a diagramokon.
Végpontészlelés és -válasz (EDR) riasztásai
A rendszer EDR-riasztásokat hoz létre a Végponthoz készült Microsoft Defender előkészített eszközökhöz. Ezek a riasztások általában az Végponthoz készült Microsoft Defender érzékelő által gyűjtött biztonsági jelekre és más végponti képességekre (például víruskereső, hálózatvédelem, illetéktelen módosítás elleni védelem) támaszkodnak, amelyek hatékony jelforrásokként szolgálnak.
A víruskereső-észlelések listájához hasonlóan egyes EDR-riasztások is úgy vannak kialakítva, hogy általánosan megjelöljenek olyan gyanús viselkedést, amely esetleg nincs társítva a nyomon követett fenyegetéssel. Ilyen esetekben a jelentés egyértelműen "általánosként" azonosítja a riasztást, és nem befolyásolja a jelentés egyik diagramját sem.
Finom veszélyforrás-összetevők keresése speciális veszélyforrás-kereséssel
Bár az észlelések lehetővé teszik a nyomon követett fenyegetés automatikus azonosítását és leállítását, számos támadási tevékenység apró nyomokat hagy, amelyek további vizsgálatot igényelnek. Egyes támadási tevékenységek viselkedése szintén normális lehet, ezért a dinamikus észlelés működési zajt vagy akár vakriasztást is eredményezhet.
A speciális veszélyforrás-keresés egy Kusto lekérdezésnyelv alapuló lekérdezési felületet biztosít, amely leegyszerűsíti a veszélyforrás-tevékenységek finom mutatóinak keresését. Emellett lehetővé teszi a környezetfüggő információk felszínre hozására és annak ellenőrzésére, hogy a jelzők kapcsolódnak-e egy fenyegetéshez.
Az elemzői jelentésekben található speciális veszélyforrás-keresési lekérdezéseket a Microsoft elemzői ellenőrizték, és készen állnak a speciális veszélyforrás-keresési lekérdezésszerkesztőben való futtatásra. A lekérdezésekkel egyéni észlelési szabályokat is létrehozhat, amelyek riasztásokat aktiválnak a jövőbeli egyezésekhez.
Kapcsolódó témakörök
- Veszélyforrás-statisztika áttekintése
- Komplex veszélyforrás-kereséssel kapcsolatos fenyegetések proaktív keresése
- Egyéni észlelési szabályok
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: