Trusselanalyse i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Trusselanalyse er vår løsning for trusselintelligens i produktet fra eksperter på Microsoft-sikkerhet. Den er utformet for å hjelpe sikkerhetsteam til å være så effektive som mulig, samtidig som de står overfor nye trusler, for eksempel:
- Aktive trusselaktører og deres kampanjer
- Populære og nye angrepsteknikker
- Kritiske sårbarheter
- Vanlige angrepsoverflater
- Utbredt skadelig programvare
Se denne korte videoen for å lære mer om hvordan trusselanalyse kan hjelpe deg med å spore de nyeste truslene og stoppe dem.
Du kan få tilgang til trusselanalyser enten fra øvre venstre side av navigasjonsfeltet til Microsoft Defender XDR, eller fra et dedikert instrumentbordkort som viser de største truslene mot organisasjonen din, både når det gjelder kjent innvirkning og eksponering.
Å få synlighet på aktive eller pågående kampanjer og vite hva du skal gjøre gjennom trusselanalyse, kan bidra til å utstyre sikkerhetsoperasjonsteamet med informerte beslutninger.
Med mer sofistikerte motstandere og nye trusler som dukker opp ofte og utbredt, er det avgjørende å kunne raskt:
- Identifisere og reagere på nye trusler
- Finn ut om du er under angrep
- Vurder virkningen av trusselen mot ressursene dine
- Se gjennom elastisiteten din mot eller eksponering for truslene
- Identifiser utbedrings-, gjenopprettings- eller forebyggingshandlingene du kan utføre for å stoppe eller inneholde truslene
Hver rapport gir en analyse av en sporet trussel og omfattende veiledning om hvordan man kan forsvare seg mot denne trusselen. Den inneholder også data fra nettverket, som angir om trusselen er aktiv og om du har gjeldende beskyttelse på plass.
Vis instrumentbordet for trusselanalyse
Instrumentbordet for trusselanalyse (security.microsoft.com/threatanalytics3) fremhever rapportene som er mest relevante for organisasjonen. Den oppsummerer truslene i følgende deler:
- De nyeste truslene – viser de sist publiserte eller oppdaterte trusselrapportene, sammen med antallet aktive og løste varsler.
- Trusler med høy innvirkning – viser truslene som har størst innvirkning på organisasjonen. Denne delen viser trusler med høyest antall aktive og løste varsler først.
- Høyeste eksponering – viser trusler som organisasjonen har høyest eksponering for. Eksponeringsnivået for en trussel beregnes ved hjelp av to deler med informasjon: hvor alvorlige sårbarheter som er knyttet til trusselen, og hvor mange enheter i organisasjonen som kan utnyttes av disse sårbarhetene.
Velg en trussel fra instrumentbordet for å vise rapporten for denne trusselen. Du kan også velge Søk-feltet for å taste inn et nøkkelord som er relatert til trusselanalyserapporten du vil lese.
Vis rapporter etter kategori
Du kan filtrere trusselrapportlisten og vise de mest relevante rapportene i henhold til en bestemt trusseltype eller etter rapporttype.
- Trusselkoder – hjelper deg med å vise de mest relevante rapportene i henhold til en bestemt trusselkategori. Ransomware-koden inneholder for eksempel alle rapporter relatert til løsepengevirus.
- Rapporttyper – hjelper deg med å vise de mest relevante rapportene i henhold til en bestemt rapporttype. Verktøy-& teknikker-koden inneholder for eksempel alle rapporter som dekker verktøy og teknikker.
De ulike kodene har tilsvarende filtre som hjelper deg med effektiv gjennomgang av trusselrapportlisten og filtrering av visningen basert på en bestemt trusselkode eller rapporttype. Hvis du for eksempel vil vise alle trusselrapporter relatert til kategori for løsepengevirus eller trusselrapporter som involverer sårbarheter.
Microsoft Threat Intelligence-teamet har lagt til trusselkoder for hver trusselrapport. Fire trusselkoder er for øyeblikket tilgjengelige:
- Løsepengevirus
- Phishing
- Sikkerhetsproblemet
- Aktivitetsgruppe
Trusselkoder presenteres øverst på siden for trusselanalyse. Det finnes tellere for antall tilgjengelige rapporter under hver kode.
Hvis du vil angi hvilke typer rapporter du vil ha i listen, velger du Filtre, velger fra listen og velger Bruk.
Hvis du har angitt mer enn ett filter, kan listen over rapporter om trusselanalyse også sorteres etter trusselkode ved å velge kolonnen for trusselkoder:
Vis en trusselanalyserapport
Hver trusselanalyserapport gir informasjon i flere deler:
- Oversikt
- Analytikerrapport
- Relaterte hendelser
- Påvirkede ressurser
- Forhindret e-postforsøk
- Begrensninger for eksponering &
Oversikt: Raskt forstå trusselen, vurdere dens innvirkning og gjennomgå forsvar
Oversikt-delen gir en forhåndsvisning av den detaljerte analytikerrapporten. Den inneholder også diagrammer som fremhever virkningen av trusselen mot organisasjonen, og eksponeringen din gjennom feilkonfigurerte og ikke-oppdaterte enheter.
Vurder innvirkning på organisasjonen
Hver rapport inneholder diagrammer som er utformet for å gi informasjon om organisasjonens innvirkning på en trussel:
- Relaterte hendelser – gir en oversikt over virkningen av den sporede trusselen mot organisasjonen med følgende data:
- Antall aktive varsler og antall aktive hendelser de er knyttet til
- Alvorsgrad for aktive hendelser
- Varsler over tid – viser antall relaterte aktive og løste varsler over tid. Antall løste varsler angir hvor raskt organisasjonen reagerer på varsler som er knyttet til en trussel. Ideelt sett bør diagrammet vise varsler som er løst i løpet av noen få dager.
- Påvirkede ressurser – viser antall distinkte enheter og e-postkontoer (postbokser) som for øyeblikket har minst ett aktivt varsel knyttet til den sporede trusselen. Varsler utløses for postbokser som mottok e-postmeldinger med trusler. Se gjennom policyer på organisasjons- og brukernivå for overstyringer som forårsaker levering av trussel-e-postmeldinger.
- Hindret e-postforsøk – viser antall e-postmeldinger fra de siste sju dagene som enten ble blokkert før levering eller levert til søppelpostmappen.
Se gjennom sikkerhetsbestandighet og holdning
Hver rapport inneholder diagrammer som gir en oversikt over hvor robust organisasjonen din er mot en gitt trussel:
- Status for sikker konfigurasjon – viser antall enheter med feilkonfigurerte sikkerhetsinnstillinger. Bruk de anbefalte sikkerhetsinnstillingene for å redusere trusselen. Enheter anses som sikre hvis de har brukt alle sporede innstillinger.
- Status for sikkerhetsoppdatering – viser antall sårbare enheter. Bruk sikkerhetsoppdateringer eller oppdateringer for å løse sikkerhetsproblemer som utnyttes av trusselen.
Analytikerrapport: Få ekspertinnsikt fra Microsofts sikkerhetsforskere
Les gjennom den detaljerte ekspertoppskrivingen i rapportdelen for analytiker . De fleste rapporter gir detaljerte beskrivelser av angrepskjeder, inkludert taktikk og teknikker tilordnet mitre att&CK rammeverk, uttømmende lister over anbefalinger, og kraftig trussel jakt veiledning.
Mer informasjon om analytikerrapporten
Relaterte hendelser: Vis og administrer relaterte hendelser
Fanen Relaterte hendelser inneholder listen over alle hendelser relatert til den sporede trusselen. Du kan tilordne hendelser eller behandle varsler som er knyttet til hver hendelse.
Påvirkede ressurser: Få en liste over berørte enheter og postbokser
Et aktivum vurderes som påvirket hvis det påvirkes av et aktivt, uløst varsel. Fanen Påvirkede aktiva viser følgende typer påvirkede ressurser:
- Berørte enheter – endepunkter som har uløste Microsoft Defender for endepunkt varsler. Disse varslene utløses vanligvis på observasjoner av kjente trusselindikatorer og aktiviteter.
- Berørte postbokser – postbokser som har mottatt e-postmeldinger som har utløst Microsoft Defender for Office 365 varsler. Selv om de fleste meldinger som utløser varsler vanligvis blokkeres, kan policyer på bruker- eller organisasjonsnivå overstyre filtre.
Forhindret e-postforsøk: Vise blokkerte eller søppelposttrusler
Microsoft Defender for Office 365 blokkerer vanligvis e-postmeldinger med kjente trusselindikatorer, inkludert skadelige koblinger eller vedlegg. I noen tilfeller vil proaktive filtreringsmekanismer som ser etter mistenkelig innhold, i stedet sende e-postmeldinger med trusler til søppelpostmappen. I begge tilfeller reduseres sjansene for at trusselen starter skadelig programvare på enheten.
Fanen Forhindrede e-postforsøk viser alle e-postmeldinger som enten har blitt blokkert før levering eller sendt til søppelpostmappen av Microsoft Defender for Office 365.
Eksponering og begrensninger: Se gjennom listen over begrensninger og statusen til enhetene dine
Se gjennom listen over spesifikke handlingsanbefalinger som kan hjelpe deg med å øke organisasjonens robusthet mot trusselen, i delen Eksponering & begrensninger. Listen over sporede begrensninger inkluderer:
- Sikkerhetsoppdateringer – distribusjon av støttede programvaresikkerhetsoppdateringer for sikkerhetsproblemer som finnes på innebygde enheter
- Støttede sikkerhetskonfigurasjoner
- Skybasert beskyttelse
- Potensielt uønsket programbeskyttelse (PUA)
- Sanntidsbeskyttelse
Begrensningsinformasjon i denne delen inneholder data fra Microsoft Defender Vulnerability Management, som også gir detaljert neddrillingsinformasjon fra ulike koblinger i rapporten.
Delen om eksponering & begrensninger i en trusselanalyserapport
Konfigurere e-postvarsler for rapportoppdateringer
Du kan konfigurere e-postvarsler som vil sende deg oppdateringer på rapporter om trusselanalyse. Hvis du vil opprette e-postvarsler, følger du fremgangsmåten for å få e-postvarsler for oppdateringer av trusselanalyse i Microsoft Defender XDR.
Flere rapportdetaljer og begrensninger
Obs!
Som en del av den enhetlige sikkerhetsopplevelsen er trusselanalyse nå tilgjengelig ikke bare for Microsoft Defender for endepunkt, men også for Microsoft Defender for Office 365 lisensinnehavere.
Hvis du ikke bruker sikkerhetsportalen for Microsoft 365 (Microsoft Defender XDR), kan du også se rapportdetaljene (uten Microsoft Defender for Office-data) i Microsoft Defender Sikkerhetssenter portalen ( Microsoft Defender for endepunkt).
Hvis du vil ha tilgang til rapporter for trusselanalyse, trenger du bestemte roller og tillatelser. Se egendefinerte roller i rollebasert tilgangskontroll for Microsoft Defender XDR for mer informasjon.
- Hvis du vil vise varsler, hendelser eller påvirkede aktivadata, må du ha tillatelse til å Microsoft Defender for Office eller Microsoft Defender for endepunkt varsler data, eller begge deler.
- Hvis du vil vise forhindrede e-postforsøk, må du ha tillatelse til å Microsoft Defender for Office-jaktdata.
- Hvis du vil vise begrensninger, må du ha tillatelser til Defender Vulnerability Management-data i Microsoft Defender for endepunkt.
Når du ser på data for trusselanalyse, må du huske følgende faktorer:
- Diagrammer gjenspeiler bare begrensninger som spores. Kontroller rapportoversikten for ytterligere begrensninger som ikke vises i diagrammene.
- Begrensninger garanterer ikke fullstendig robusthet. De oppgitte begrensningene gjenspeiler de best mulige handlingene som trengs for å forbedre robustheten.
- Enheter regnes som «utilgjengelige» hvis de ikke har overført data til tjenesten.
- Antivirusrelatert statistikk er basert på Microsoft Defender antivirusinnstillinger. Enheter med tredjeparts antivirusløsninger kan vises som «eksponert».
Relaterte artikler
- Proaktivt finne trusler med avansert jakt
- Forstå rapportdelen for analytikeren
- Vurdere og løse sikkerhetssvakheter og eksponeringer
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for