Az elemzői jelentés megismerése a Microsoft Defender XDR fenyegetéselemzésében
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Minden fenyegetéselemzési jelentés tartalmaz dinamikus szakaszokat és egy átfogó, írásbeli szakaszt, amelyet elemzői jelentésnek nevezünk. A szakasz eléréséhez nyissa meg a nyomon követett fenyegetésről szóló jelentést, és válassza az Elemző jelentés lapot.
Fenyegetéselemzési jelentés Elemzői jelentés szakasza
Az elemzői jelentés vizsgálata
Az elemzői jelentés egyes szakaszai úgy lettek kialakítva, hogy gyakorlatban hasznosítható információkat nyújtsanak. Bár a jelentések eltérőek, a jelentések többsége az alábbi táblázatban ismertetett szakaszokat tartalmazza.
| Jelentés szakasz | Leírás |
|---|---|
| Összefoglaló | A fenyegetés áttekintése, beleértve az első észleléseket, a motivációkat, a jelentős eseményeket, a főbb célokat, valamint a különböző eszközöket és technikákat. Ezekkel az információkkal tovább értékelheti, hogyan rangsorolhatja a fenyegetést az iparág, a földrajzi hely és a hálózat kontextusában. |
| Elemzés | Technikai információk a fenyegetésekről, beleértve a támadás részleteit, valamint azt, hogy a támadók hogyan használhatnak új technikát vagy támadási felületet |
| MITRE ATT&megfigyelt CK-technikák | A megfigyelt technikák leképezése a MITRE ATT&CK támadási keretrendszerére |
| Enyhítése | Javaslatok, amelyek megállíthatják vagy csökkenthetik a fenyegetés hatását. Ez a szakasz olyan kockázatcsökkentéseket is tartalmaz, amelyeket a fenyegetéselemzési jelentés részeként nem követnek nyomon dinamikusan. |
| Észlelés részletei | A Microsoft biztonsági megoldásai által biztosított specifikus és általános észlelések, amelyek képesek a fenyegetéssel kapcsolatos tevékenységek vagy összetevők felszínre hozásához. |
| Speciális veszélyforrás-keresés | Speciális veszélyforrás-keresési lekérdezések a lehetséges veszélyforrás-tevékenységek proaktív azonosításához. A legtöbb lekérdezés az észlelések kiegészítésére szolgál, különösen a potenciálisan rosszindulatú összetevők vagy viselkedések megkeresésére, amelyek nem értékelhetők dinamikusan rosszindulatúnak. |
| Hivatkozások | Az elemzők által a jelentés létrehozása során hivatkozott Microsoft- és külső kiadványok. A fenyegetéselemzési tartalmak a Microsoft kutatói által ellenőrzött adatokon alapulnak. A nyilvánosan elérhető, külső forrásokból származó információk egyértelműen ilyenek. |
| Módosítási napló | A jelentés közzétételének időpontja és a jelentés jelentős módosításainak időpontja. |
További kockázatcsökkentések alkalmazása
A fenyegetéselemzés dinamikusan nyomon követi a biztonsági frissítések és a biztonságos konfigurációk állapotát. Ezek az információk diagramokként és táblázatokként érhetők el az Expozíciós & kockázatcsökkentések lapon.
A nyomon követett kockázatcsökkentések mellett az elemzői jelentés a dinamikusan nem figyelt kockázatcsökkentéseket is tárgyalja. Íme néhány példa a dinamikusan nyomon nem követett fontos kockázatcsökkentésekre:
- E-mailek letiltása .lnk mellékletekkel vagy más gyanús fájltípusokkal
- Helyi rendszergazdai jelszavak véletlenszerűsítése
- A végfelhasználók képzése az adathalász e-mailekről és más veszélyforrás-vektorokról
- Adott támadásifelület-csökkentési szabályok bekapcsolása
Bár az Expozíciós & kockázatcsökkentések lapon felmérheti a biztonsági állapotot egy fenyegetéssel szemben, ezek a javaslatok további lépéseket tesznek a biztonsági helyzet javítása érdekében. Gondosan olvassa el az elemzői jelentésben található összes kockázatcsökkentési útmutatót, és alkalmazza őket, amikor csak lehetséges.
Az egyes fenyegetések észlelésének ismertetése
Az elemzői jelentés az Microsoft Defender víruskereső és végpontészlelési és -válasz (EDR) képességeiből származó észleléseket is biztosítja.
Víruskereső észlelései
Ezek az észlelések olyan eszközökön érhetők el, amelyeken be van kapcsolva az Microsoft Defender víruskereső a Windowsban. Ha ezek az észlelések olyan eszközökön történnek, amelyeket Végponthoz készült Microsoft Defender előkészítettek, riasztásokat is aktiválnak, amelyek felvilágosítják a jelentésben szereplő diagramokat.
Megjegyzés:
Az elemzői jelentés általános észleléseket is felsorol, amelyek a nyomon követett fenyegetéshez tartozó összetevőkön és viselkedéseken kívül számos fenyegetést képesek azonosítani. Ezek az általános észlelések nem jelennek meg a diagramokon.
Végpontészlelés és -válasz (EDR) riasztásai
A rendszer EDR-riasztásokat hoz létre a Végponthoz készült Microsoft Defender előkészített eszközökhöz. Ezek a riasztások általában az Végponthoz készült Microsoft Defender érzékelő által gyűjtött biztonsági jelekre és más végponti képességekre támaszkodnak – például víruskereső, hálózati védelem, illetéktelen módosítás elleni védelem – amelyek hatékony jelforrásként szolgálnak.
A víruskereső-észlelések listájához hasonlóan egyes EDR-riasztások is úgy vannak kialakítva, hogy általánosan megjelöljenek olyan gyanús viselkedést, amely esetleg nincs társítva a nyomon követett fenyegetéssel. Ilyen esetekben a jelentés egyértelműen "általánosként" azonosítja a riasztást, és nem befolyásolja a jelentés egyik diagramját sem.
Email kapcsolódó észlelések és kockázatcsökkentések
az Office 365-höz készült Microsoft Defender Email kapcsolódó észleléseit és kockázatcsökkentéseit az elemzői jelentések tartalmazzák a Végponthoz készült Microsoft Defender-ból már elérhető végpontadatokon kívül.
A letiltott e-mail-kísérletekkel kapcsolatos információk betekintést nyújtanak abba, hogy a szervezet az elemzői jelentésben észlelt fenyegetés célpontja volt-e, még akkor is, ha a támadást hatékonyan blokkolták a kézbesítés vagy a levélszemét mappába való kézbesítés előtt.
Finom veszélyforrás-összetevők keresése speciális veszélyforrás-kereséssel
Bár az észlelések lehetővé teszik a nyomon követett fenyegetés automatikus azonosítását és leállítását, számos támadási tevékenység apró nyomokat hagy, amelyek további vizsgálatot igényelnek. Egyes támadási tevékenységek viselkedése szintén normális lehet, ezért a dinamikus észlelés működési zajt vagy akár vakriasztást is eredményezhet.
A speciális veszélyforrás-keresés egy Kusto lekérdezésnyelv alapuló lekérdezési felületet biztosít, amely leegyszerűsíti a veszélyforrás-tevékenységek finom mutatóinak keresését. Emellett lehetővé teszi a környezetfüggő információk felszínre hozására és annak ellenőrzésére, hogy a jelzők kapcsolódnak-e egy fenyegetéshez.
Az elemzői jelentésekben található speciális veszélyforrás-keresési lekérdezéseket a Microsoft elemzői ellenőrizték, és készen állnak a speciális veszélyforrás-keresési lekérdezésszerkesztőben való futtatásra. A lekérdezésekkel egyéni észlelési szabályokat is létrehozhat, amelyek riasztásokat aktiválnak a jövőbeli egyezésekhez.
Megjegyzés:
A fenyegetéselemzés a Végponthoz készült Microsoft Defender is elérhető. Azonban nem rendelkezik adatintegrációval a Office 365-höz készült Microsoft Defender és a Végponthoz készült Microsoft Defender között.
Kapcsolódó témakörök
- Veszélyforrás-statisztika áttekintése
- Komplex veszélyforrás-kereséssel kapcsolatos fenyegetések proaktív keresése
- Egyéni észlelési szabályok
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: