Del via

Trusselanalyse i Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Trusselanalyse er vår løsning for trusselintelligens i produktet fra eksperter på Microsoft-sikkerhet. Den er utformet for å hjelpe sikkerhetsteam til å være så effektive som mulig, samtidig som de står overfor nye trusler, for eksempel:

  • Aktive trusselaktører og deres kampanjer
  • Populære og nye angrepsteknikker
  • Kritiske sårbarheter
  • Vanlige angrepsoverflater
  • Utbredt skadelig programvare

Se denne korte videoen for å lære mer om hvordan trusselanalyse kan hjelpe deg med å spore de nyeste truslene og stoppe dem.

Du kan få tilgang til trusselanalyser enten fra øvre venstre side av navigasjonsfeltet til Microsoft Defender XDR, eller fra et dedikert instrumentbordkort som viser de største truslene mot organisasjonen din, både når det gjelder kjent innvirkning og eksponering.

Skjermbilde av målsiden for trusselanalyse

Å få synlighet på aktive eller pågående kampanjer og vite hva du skal gjøre gjennom trusselanalyse, kan bidra til å utstyre sikkerhetsoperasjonsteamet med informerte beslutninger.

Med mer sofistikerte motstandere og nye trusler som dukker opp ofte og utbredt, er det avgjørende å kunne raskt:

  • Identifisere og reagere på nye trusler
  • Finn ut om du er under angrep
  • Vurder virkningen av trusselen mot ressursene dine
  • Se gjennom elastisiteten din mot eller eksponering for truslene
  • Identifiser utbedrings-, gjenopprettings- eller forebyggingshandlingene du kan utføre for å stoppe eller inneholde truslene

Hver rapport gir en analyse av en sporet trussel og omfattende veiledning om hvordan man kan forsvare seg mot denne trusselen. Den inneholder også data fra nettverket, som angir om trusselen er aktiv og om du har gjeldende beskyttelse på plass.

Vis instrumentbordet for trusselanalyse

Instrumentbordet for trusselanalyse (security.microsoft.com/threatanalytics3) fremhever rapportene som er mest relevante for organisasjonen. Den oppsummerer truslene i følgende deler:

  • De nyeste truslene – viser de sist publiserte eller oppdaterte trusselrapportene, sammen med antallet aktive og løste varsler.
  • Trusler med høy innvirkning – viser truslene som har størst innvirkning på organisasjonen. Denne delen viser trusler med høyest antall aktive og løste varsler først.
  • Høyeste eksponering – viser trusler som organisasjonen har høyest eksponering for. Eksponeringsnivået for en trussel beregnes ved hjelp av to deler med informasjon: hvor alvorlige sårbarheter som er knyttet til trusselen, og hvor mange enheter i organisasjonen som kan utnyttes av disse sårbarhetene.

Skjermbilde av instrumentbordet for trusselanalyse,

Velg en trussel fra instrumentbordet for å vise rapporten for denne trusselen. Du kan også velge Søk-feltet for å taste inn et nøkkelord som er relatert til trusselanalyserapporten du vil lese.

Vis rapporter etter kategori

Du kan filtrere trusselrapportlisten og vise de mest relevante rapportene i henhold til en bestemt trusseltype eller etter rapporttype.

  • Trusselkoder – hjelper deg med å vise de mest relevante rapportene i henhold til en bestemt trusselkategori. Ransomware-koden inneholder for eksempel alle rapporter relatert til løsepengevirus.
  • Rapporttyper – hjelper deg med å vise de mest relevante rapportene i henhold til en bestemt rapporttype. Verktøy-& teknikker-koden inneholder for eksempel alle rapporter som dekker verktøy og teknikker.

De ulike kodene har tilsvarende filtre som hjelper deg med effektiv gjennomgang av trusselrapportlisten og filtrering av visningen basert på en bestemt trusselkode eller rapporttype. Hvis du for eksempel vil vise alle trusselrapporter relatert til kategori for løsepengevirus eller trusselrapporter som involverer sårbarheter.

Microsoft Threat Intelligence-teamet har lagt til trusselkoder for hver trusselrapport. Fire trusselkoder er for øyeblikket tilgjengelige:

  • Løsepengevirus
  • Phishing
  • Sikkerhetsproblemet
  • Aktivitetsgruppe

Trusselkoder presenteres øverst på siden for trusselanalyse. Det finnes tellere for antall tilgjengelige rapporter under hver kode.

Skjermbilde av rapportkodene for trusselanalyse.

Hvis du vil angi hvilke typer rapporter du vil ha i listen, velger du Filtre, velger fra listen og velger Bruk.

Skjermbilde av Filter-listen.

Hvis du har angitt mer enn ett filter, kan listen over rapporter om trusselanalyse også sorteres etter trusselkode ved å velge kolonnen for trusselkoder:

Skjermbilde av kolonnen trusselkoder.

Vis en trusselanalyserapport

Hver trusselanalyserapport gir informasjon i flere deler:

Oversikt: Raskt forstå trusselen, vurdere dens innvirkning og gjennomgå forsvar

Oversikt-delen gir en forhåndsvisning av den detaljerte analytikerrapporten. Den inneholder også diagrammer som fremhever virkningen av trusselen mot organisasjonen, og eksponeringen din gjennom feilkonfigurerte og ikke-oppdaterte enheter.

Skjermbilde av oversiktsdelen i en trusselanalyserapport.

Vurder innvirkning på organisasjonen

Hver rapport inneholder diagrammer som er utformet for å gi informasjon om organisasjonens innvirkning på en trussel:

  • Relaterte hendelser – gir en oversikt over virkningen av den sporede trusselen mot organisasjonen med følgende data:
    • Antall aktive varsler og antall aktive hendelser de er knyttet til
    • Alvorsgrad for aktive hendelser
  • Varsler over tid – viser antall relaterte aktive og løste varsler over tid. Antall løste varsler angir hvor raskt organisasjonen reagerer på varsler som er knyttet til en trussel. Ideelt sett bør diagrammet vise varsler som er løst i løpet av noen få dager.
  • Påvirkede ressurser – viser antall distinkte enheter og e-postkontoer (postbokser) som for øyeblikket har minst ett aktivt varsel knyttet til den sporede trusselen. Varsler utløses for postbokser som mottok e-postmeldinger med trusler. Se gjennom policyer på organisasjons- og brukernivå for overstyringer som forårsaker levering av trussel-e-postmeldinger.
  • Hindret e-postforsøk – viser antall e-postmeldinger fra de siste sju dagene som enten ble blokkert før levering eller levert til søppelpostmappen.

Se gjennom sikkerhetsbestandighet og holdning

Hver rapport inneholder diagrammer som gir en oversikt over hvor robust organisasjonen din er mot en gitt trussel:

  • Status for sikker konfigurasjon – viser antall enheter med feilkonfigurerte sikkerhetsinnstillinger. Bruk de anbefalte sikkerhetsinnstillingene for å redusere trusselen. Enheter anses som sikre hvis de har brukt alle sporede innstillinger.
  • Status for sikkerhetsoppdatering – viser antall sårbare enheter. Bruk sikkerhetsoppdateringer eller oppdateringer for å løse sikkerhetsproblemer som utnyttes av trusselen.

Analytikerrapport: Få ekspertinnsikt fra Microsofts sikkerhetsforskere

Les gjennom den detaljerte ekspertoppskrivingen i rapportdelen for analytiker . De fleste rapporter gir detaljerte beskrivelser av angrepskjeder, inkludert taktikk og teknikker tilordnet mitre att&CK rammeverk, uttømmende lister over anbefalinger, og kraftig trussel jakt veiledning.

Mer informasjon om analytikerrapporten

Fanen Relaterte hendelser inneholder listen over alle hendelser relatert til den sporede trusselen. Du kan tilordne hendelser eller behandle varsler som er knyttet til hver hendelse.

Skjermbilde av delen om relaterte hendelser i en trusselanalyserapport.

Påvirkede ressurser: Få en liste over berørte enheter og postbokser

Et aktivum vurderes som påvirket hvis det påvirkes av et aktivt, uløst varsel. Fanen Påvirkede aktiva viser følgende typer påvirkede ressurser:

  • Berørte enheter – endepunkter som har uløste Microsoft Defender for endepunkt varsler. Disse varslene utløses vanligvis på observasjoner av kjente trusselindikatorer og aktiviteter.
  • Berørte postbokser – postbokser som har mottatt e-postmeldinger som har utløst Microsoft Defender for Office 365 varsler. Selv om de fleste meldinger som utløser varsler vanligvis blokkeres, kan policyer på bruker- eller organisasjonsnivå overstyre filtre.

Skjermbilde av delen påvirkede aktiva i en trusselanalyserapport.

Forhindret e-postforsøk: Vise blokkerte eller søppelposttrusler

Microsoft Defender for Office 365 blokkerer vanligvis e-postmeldinger med kjente trusselindikatorer, inkludert skadelige koblinger eller vedlegg. I noen tilfeller vil proaktive filtreringsmekanismer som ser etter mistenkelig innhold, i stedet sende e-postmeldinger med trusler til søppelpostmappen. I begge tilfeller reduseres sjansene for at trusselen starter skadelig programvare på enheten.

Fanen Forhindrede e-postforsøk viser alle e-postmeldinger som enten har blitt blokkert før levering eller sendt til søppelpostmappen av Microsoft Defender for Office 365.

Skjermbilde av inndelingen forhindrede e-postforsøk i en trusselanalyserapport.

Eksponering og begrensninger: Se gjennom listen over begrensninger og statusen til enhetene dine

Se gjennom listen over spesifikke handlingsanbefalinger som kan hjelpe deg med å øke organisasjonens robusthet mot trusselen, i delen Eksponering & begrensninger. Listen over sporede begrensninger inkluderer:

  • Sikkerhetsoppdateringer – distribusjon av støttede programvaresikkerhetsoppdateringer for sikkerhetsproblemer som finnes på innebygde enheter
  • Støttede sikkerhetskonfigurasjoner
    • Skybasert beskyttelse
    • Potensielt uønsket programbeskyttelse (PUA)
    • Sanntidsbeskyttelse

Begrensningsinformasjon i denne delen inneholder data fra Microsoft Defender Vulnerability Management, som også gir detaljert neddrillingsinformasjon fra ulike koblinger i rapporten.

Begrensningsdelen i en trusselanalyserapport som viser detaljer om sikker konfigurasjon

Begrensningsdelen i en trusselanalyserapport som viser detaljer om sikkerhetsproblemer

Delen om eksponering & begrensninger i en trusselanalyserapport

Konfigurere e-postvarsler for rapportoppdateringer

Du kan konfigurere e-postvarsler som vil sende deg oppdateringer på rapporter om trusselanalyse. Hvis du vil opprette e-postvarsler, følger du fremgangsmåten for å få e-postvarsler for oppdateringer av trusselanalyse i Microsoft Defender XDR.

Flere rapportdetaljer og begrensninger

Obs!

Som en del av den enhetlige sikkerhetsopplevelsen er trusselanalyse nå tilgjengelig ikke bare for Microsoft Defender for endepunkt, men også for Microsoft Defender for Office 365 lisensinnehavere.

Hvis du ikke bruker sikkerhetsportalen for Microsoft 365 (Microsoft Defender XDR), kan du også se rapportdetaljene (uten Microsoft Defender for Office-data) i Microsoft Defender Sikkerhetssenter portalen ( Microsoft Defender for endepunkt).

Hvis du vil ha tilgang til rapporter for trusselanalyse, trenger du bestemte roller og tillatelser. Se egendefinerte roller i rollebasert tilgangskontroll for Microsoft Defender XDR for mer informasjon.

  • Hvis du vil vise varsler, hendelser eller påvirkede aktivadata, må du ha tillatelse til å Microsoft Defender for Office eller Microsoft Defender for endepunkt varsler data, eller begge deler.
  • Hvis du vil vise forhindrede e-postforsøk, må du ha tillatelse til å Microsoft Defender for Office-jaktdata.
  • Hvis du vil vise begrensninger, må du ha tillatelser til Defender Vulnerability Management-data i Microsoft Defender for endepunkt.

Når du ser på data for trusselanalyse, må du huske følgende faktorer:

  • Diagrammer gjenspeiler bare begrensninger som spores. Kontroller rapportoversikten for ytterligere begrensninger som ikke vises i diagrammene.
  • Begrensninger garanterer ikke fullstendig robusthet. De oppgitte begrensningene gjenspeiler de best mulige handlingene som trengs for å forbedre robustheten.
  • Enheter regnes som «utilgjengelige» hvis de ikke har overført data til tjenesten.
  • Antivirusrelatert statistikk er basert på Microsoft Defender antivirusinnstillinger. Enheter med tredjeparts antivirusløsninger kan vises som «eksponert».

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.