Menganalisis analitik ancaman

  • 3 menit

Analisis ancaman adalah solusi inteligensi ancaman dari peneliti keamanan Microsoft yang ahli. Analisis ancaman ini dirancang untuk membantu tim keamanan menjadi seefisien mungkin saat menghadapi ancaman yang muncul, seperti:

  • Aktor ancaman aktif dan kampanye mereka
  • Teknik serangan populer dan baru
  • Kerentanan yang paling penting
  • Permukaan yang umum diserang
  • Perangkat lunak jahat yang umum

Tonton video singkat ini untuk mempelajari selengkapnya tentang bagaimana analisis ancaman dapat membantu Anda melacak ancaman terbaru dan menghentikannya.

Anda dapat mengakses analitik ancaman dari sisi kiri atas bilah navigasi portal keamanan Microsoft 365, atau dari kartu dasbor khusus yang menunjukkan ancaman teratas organisasi Anda, baik dari segi dampak, maupun dalam hal keterpaparan.

Screenshot of the Threat analytics dashboard.

Ancaman berdampak tinggi memiliki potensi terbesar menyebabkan kerugian, sedangkan ancaman paparan tinggi adalah ancaman yang paling rentan terhadap aset Anda. Mendapatkan visibilitas pada kampanye aktif atau yang sedang berlangsung dan mengetahui apa yang harus dilakukan melalui analisis ancaman dapat membantu melengkapi tim operasi keamanan Anda dengan keputusan yang tepat.

Dengan penyerang yang lebih canggih dan ancaman baru yang sering muncul dan umum, sangat penting untuk dapat dengan cepat:

  • Mengidentifikasi dan bereaksi terhadap ancaman yang muncul
  • Pelajari apakah Anda sedang diserang
  • Menilai dampak ancaman terhadap aset Anda
  • Meninjau ketahanan atau eksposur Anda terhadap ancaman
  • Mengidentifikasi tindakan mitigasi, pemulihan, atau pencegahan yang dapat Anda ambil untuk menghentikan atau menahan ancaman

Setiap laporan memberikan analisis ancaman yang terlacak dan panduan ekstensif tentang cara mempertahankan diri dari ancaman tersebut. Laporan ini juga menggabungkan data dari jaringan Anda, menunjukkan apakah ancaman aktif, dan apakah Anda memiliki perlindungan yang berlaku.

Melihat dasbor analitik ancaman

Dasbor analitik ancaman menyoroti laporan yang paling relevan dengan organisasi Anda. Dasbor ini meringkas ancaman di bagian berikut:

  • Ancaman terbaru—mencantumkan laporan ancaman terbaru yang diterbitkan atau diperbarui, bersama dengan jumlah peringatan aktif dan peringatan teratasi.
  • Ancaman berdampak tinggi—mencantumkan ancaman yang memiliki dampak tertinggi bagi organisasi Anda. Bagian ini mencantumkan ancaman dengan jumlah tertinggi dari peringatan aktif dan teratasi terlebih dahulu.
  • Eksposur tertinggi—mencantumkan ancaman dengan tingkat eksposur tertinggi terlebih dahulu. tingkat paparan ancaman dihitung menggunakan dua informasi: seberapa parah kerentanan yang terkait dengan ancaman tersebut, dan berapa banyak perangkat di organisasi Anda yang dapat dieksploitasi oleh kerentanan tersebut.

Memilih ancaman dari dasbor akan menampilkan laporan untuk ancaman tersebut.

Melihat laporan analitik ancaman. Setiap laporan analitik ancaman memberikan informasi dalam beberapa bagian:

  • Gambaran Umum
  • Laporan analis
  • Insiden terkait
  • Aset yang terkena dampak
  • Upaya email yang dicegah
  • Paparan & mitigasi

Ringkasan: Memahami ancaman dengan cepat, menilai dampaknya, dan meninjau pertahanannya

Bagian Ringkasan menyediakan pratinjau laporan analis terperinci. Bagian ini juga menyediakan bagan yang menyoroti dampak ancaman terhadap organisasi Anda, dan paparan Anda melalui perangkat yang tidak dikonfigurasi dengan benar dan belum di-patch.

Menilai dampak pada organisasi Anda

Setiap laporan menyertakan bagan yang dirancang untuk memberikan informasi tentang dampak organisasi dari ancaman:

  • Insiden terkait—memberikan ringkasan tentang dampak ancaman terlacak terhadap organisasi Anda dengan jumlah peringatan aktif dan jumlah insiden aktif yang terkait dengannya dan tingkat keparahan insiden aktif
  • Peringatan dari waktu ke waktu—menunjukkan jumlah peringatan Aktif dan Teratasi terkait dari waktu ke waktu. Jumlah pemberitahuan yang terselesaikan menunjukkan seberapa cepat organisasi Anda merespons peringatan yang terkait dengan ancaman. Idealnya, bagan harus menampilkan pemberitahuan yang diselesaikan dalam beberapa hari.
  • Aset yang terkena dampak—menunjukkan jumlah perangkat dan akun email berbeda (kotak surat) yang saat ini memiliki setidaknya satu peringatan aktif yang terkait dengan ancaman yang dilacak. Peringatan dipicu untuk kotak surat yang menerima email ancaman. Tinjau kebijakan tingkat organisasi dan pengguna untuk penggantian yang menyebabkan pengiriman email ancaman.
  • Upaya email yang dicegah—menunjukkan jumlah email dari tujuh hari terakhir yang diblokir sebelum dikirim atau dikirim ke folder email sampah.

Meninjau ketahanan dan kondisi keamanan

Setiap laporan menyertakan bagan yang memberikan ringkasan tentang seberapa tahan organisasi Anda terhadap ancaman tertentu:

  • Status konfigurasi aman—menunjukkan jumlah perangkat dengan pengaturan keamanan yang tidak dikonfigurasi dengan benar. Terapkan pengaturan keamanan yang disarankan untuk membantu mengurangi ancaman. Perangkat dianggap Aman jika telah menerapkan semua pengaturan yang dilacak.
  • Status patch kerentanan—menunjukkan jumlah perangkat yang rentan. Terapkan pembaruan atau patch keamanan untuk mengatasi kerentanan yang dieksploitasi oleh ancaman.

Melihat laporan per tag ancaman

Anda dapat memfilter daftar laporan ancaman dan melihat laporan yang paling relevan berdasarkan tag (kategori) ancaman tertentu atau jenis laporan.

  • Tag ancaman—membantu Anda melihat laporan yang paling relevan berdasarkan kategori ancaman tertentu. Misalnya, semua laporan yang terkait dengan ransomware.
  • Jenis laporan—membantu Anda melihat laporan yang paling relevan berdasarkan jenis laporan tertentu. Misalnya, semua laporan yang mencakup alat dan teknik.
  • Filter—membantu Anda meninjau daftar laporan ancaman secara efisien dan memfilter tampilan berdasarkan tag ancaman atau jenis laporan tertentu. Misalnya, meninjau semua laporan ancaman yang terkait dengan kategori ransomware, atau laporan ancaman yang mencakup kerentanan.

Bagaimana cara kerjanya?

Tim Inteligensi Ancaman Microsoft telah menambahkan tag ancaman ke setiap laporan ancaman:

Empat tag ancaman sekarang tersedia:

  • Ransomware
  • Pengelabuan
  • Kerentanan
  • Grup aktivitas

Tag ancaman disajikan di bagian atas halaman analitik ancaman. Penghitung jumlah laporan tersedia di bawah setiap tag.

Laporan analis: Mendapatkan wawasan ahli dari peneliti keamanan Microsoft

Di bagian laporan Analis, baca detail artikel ahli. Sebagian besar laporan memberikan deskripsi terperinci tentang rantai serangan, termasuk taktik dan teknik yang dipetakan ke kerangka kerja MITRE ATT&CK, daftar rekomendasi lengkap, dan panduan perburuan ancaman yang kuat.

Tab Insiden terkait menyediakan daftar semua insiden yang terkait dengan ancaman yang dilacak. Anda dapat menetapkan insiden atau mengelola peringatan yang ditautkan ke setiap insiden.

Aset yang terkena dampak: Mendapatkan daftar perangkat dan kotak surat yang terkena dampak

Aset dianggap terpengaruh jika terpengaruh oleh peringatan aktif yang belum teratasi. Tab Aset yang terkena dampak mencantumkan jenis aset yang terkena dampak berikut:

  • Perangkat yang terkena dampak—titik akhir yang memiliki peringatan Pertahanan Microsoft untuk Titik Akhir yang belum teratasi. Peringatan ini biasanya akan aktif ketika melihat indikator dan aktivitas ancaman yang diketahui.

  • Kotak surat yang terpengaruh—kotak surat yang telah menerima pesan email yang telah memicu peringatan Microsoft Defender untuk Office 365. Meskipun sebagian besar pesan yang memicu peringatan biasanya diblokir, kebijakan tingkat pengguna atau organisasi dapat menggantikan filter.

Upaya email yang dicegah: Menampilkan email ancaman yang diblokir atau dibuang

Microsoft Defender untuk Office 365 biasanya memblokir email dengan indikator ancaman yang diketahui, termasuk tautan atau lampiran berbahaya. Dalam beberapa kasus, mekanisme pemfilteran proaktif yang memeriksa konten mencurigakan malah akan mengirim email ancaman ke folder email sampah. Dalam kedua kasus tersebut, kemungkinan ancaman meluncurkan kode malware pada perangkat akan berkurang.

Tab upaya email yang dicegah mencantumkan semua email yang telah diblokir sebelum dikirim atau dikirim ke folder email sampah oleh Microsoft Defender untuk Office 365.

Paparan dan mitigasi: Meninjau daftar mitigasi dan status perangkat Anda

Di bagian Paparan & mitigasi, tinjau daftar rekomendasi tertentu yang dapat ditindaklanjuti yang dapat membantu Anda meningkatkan ketahanan organisasi terhadap ancaman. Daftar mitigasi terlacak meliputi:

  • Pembaruan keamanan—penyebaran pembaruan keamanan perangkat lunak yang didukung untuk kerentanan yang ditemukan pada perangkat terpasang
  • Konfigurasi keamanan yang didukung
    • Perlindungan yang diberikan cloud
    • Perlindungan aplikasi (PUA) yang kemungkinan tidak diinginkan
    • Perlindungan real time

Informasi mitigasi di bagian ini menggabungkan data dari Pengelolaan Ancaman dan Kerentanan, yang juga menyediakan informasi penelusuran terperinci dari berbagai tautan dalam laporan.

Menyiapkan pemberitahuan email untuk pembaruan laporan

Anda dapat menyiapkan pemberitahuan email yang akan mengirimi Anda pembaruan tentang laporan analisis ancaman.

Untuk menyiapkan pemberitahuan email laporan analitik ancaman, lakukan langkah-langkah berikut:

  1. Pilih Pengaturan di bilah samping Microsoft Defender XDR. Pilih Microsoft Defender XDR dari daftar pengaturan.

  2. Pilih Pemberitahuan email > Analitik ancaman, lalu pilih tombol, + Buat aturan pemberitahuan. Flyout akan muncul.

  3. Ikuti langkah-langkah yang tercantum dalam flyout. Pertama, beri nama aturan baru Anda. Bidang deskripsi bersifat opsional, tetapi nama diperlukan. Anda dapat mengaktifkan atau menonaktifkan aturan menggunakan kotak centang di bawah bidang deskripsi.

    Catatan

    Bidang nama dan deskripsi untuk aturan pemberitahuan baru hanya menerima huruf dan angka dalam bahasa Inggris. Bidang ini tidak menerima spasi, tanda hubung, garis bawah, atau tanda baca lainnya.

  4. Pilih jenis laporan yang ingin Anda dapatkan pemberitahuannya. Anda dapat memilih antara diperbarui tentang semua laporan yang baru diterbitkan atau diperbarui, atau hanya laporan yang memiliki tag atau jenis tertentu.

  5. Tambahkan setidaknya satu penerima untuk menerima email pemberitahuan. Anda juga dapat menggunakan layar ini untuk memeriksa bagaimana pemberitahuan akan diterima, dengan mengirimkan email percobaan.

  1. Meninjau aturan baru Anda. Jika ada yang ingin Anda ubah, pilih tombol Edit di akhir setiap subbagian. Setelah peninjauan Anda selesai, pilih tombol Buat aturan.

Aturan baru Anda telah berhasil dibuat. Pilih tombol Selesai untuk menyelesaikan proses dan menutup flyout. Aturan baru Anda sekarang akan muncul di daftar pemberitahuan email analitik Ancaman.