Analytikerrapporten i trusselanalyse
Gjelder for:
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Hver trusselanalyserapport inneholder dynamiske inndelinger og en omfattende skriftlig inndeling kalt analytikerrapporten. Hvis du vil ha tilgang til denne delen, åpner du rapporten om den sporede trusselen og velger rapportfanen Analytiker .
Rapportinndeling for analytiker i en trusselanalyserapport
Skanne analytikerrapporten
Hver del av analytikerrapporten er utformet for å gi praktisk informasjon. Selv om rapportene varierer, inkluderer de fleste rapporter inndelingene som er beskrevet i tabellen nedenfor.
| Rapportinndeling | Beskrivelse |
|---|---|
| Sammendrag av leder | Oversikt over trusselen, inkludert når den først ble sett, dens motivasjoner, bemerkelsesverdige hendelser, store mål og distinkte verktøy og teknikker. Du kan bruke denne informasjonen til ytterligere å vurdere hvordan du prioriterer trusselen i forbindelse med bransjen, geografisk plassering og nettverk. |
| Analyse | Teknisk informasjon om truslene, inkludert detaljer om et angrep og hvordan angripere kan bruke en ny teknikk eller angrepsoverflate |
| MITRE ATT&CK teknikker observert | Hvordan observerte teknikker kartlegges til MITRE ATT&CK-angrepsrammeverk |
| Begrensninger | Anbefalinger som kan stoppe eller bidra til å redusere virkningen av trusselen. Denne delen inneholder også begrensninger som ikke spores dynamisk som en del av rapporten om trusselanalyse. |
| Oppdagelsesdetaljer | Spesifikke og generiske gjenkjenninger levert av Microsofts sikkerhetsløsninger som kan vise aktivitet eller komponenter som er knyttet til trusselen. |
| Avansert jakt | Avanserte jaktspørringer for proaktivt identifisering av mulig trusselaktivitet. De fleste spørringer gis til tilleggsgjenkjenninger, spesielt for å finne potensielt skadelige komponenter eller virkemåter som ikke kunne vurderes dynamisk for å være skadelig. |
| Referanser | Microsoft og tredjepartspublikasjoner referert av analytikere under opprettelsen av rapporten. Innhold i trusselanalyse er basert på data som er validert av Microsoft-forskere. Informasjon fra offentlig tilgjengelige tredjepartskilder identifiseres tydelig som sådan. |
| Endringslogg | Tidspunktet da rapporten ble publisert og når det ble gjort betydelige endringer i rapporten. |
Bruk ytterligere begrensninger
Trusselanalyse sporer statusen for sikkerhetsoppdateringer og sikre konfigurasjoner dynamisk. Disse typene informasjon er tilgjengelige som diagrammer og tabeller i endepunkteksponeringer og anbefalte handlinger-fanene .
I tillegg til disse sporede begrensningene diskuterer analytikerrapporten også begrensninger som ikke overvåkes dynamisk. Her er noen eksempler på viktige begrensninger som ikke spores dynamisk:
- Blokkere e-postmeldinger med .lnk vedlegg eller andre mistenkelige filtyper
- Randomiser passord for lokal administrator
- Lære sluttbrukere om phishing-e-post og andre trusselvektorer
- Slå på spesifikke regler for reduksjon av angrepsoverflate
Selv om du kan bruke endepunktenes eksponeringer og anbefalte handlinger-faner for å vurdere din sikkerhetsstilling mot en trussel, lar disse anbefalingene deg ta ytterligere skritt mot å forbedre sikkerhetsstillingen din. Les nøye gjennom alle begrensningsveiledningene i analytikerrapporten, og bruk dem når det er mulig.
Forstå hvordan hver trussel kan oppdages
Analytikerrapporten gir også gjenkjenninger fra Microsoft Defender Antivirus- og endepunktgjenkjennings- og svarfunksjoner (EDR).
Antivirusregistreringer
Disse gjenkjenningene er tilgjengelige på enheter der Microsoft Defender Antivirus i Windows er aktivert. Når disse gjenkjenningene oppstår på enheter som er koblet til Microsoft Defender for endepunkt, utløser de også varsler som lyser opp diagrammene i rapporten.
Obs!
Analytikerrapporten viser også generiske oppdagelser som kan identifisere et bredt spekter av trusler, i tillegg til komponenter eller virkemåter som er spesifikke for den sporede trusselen. Disse generiske gjenkjenningene gjenspeiler ikke i diagrammene.
Gjenkjennings- og svarvarsler for endepunkt (EDR)
EDR-varsler utløses for enheter som er koblet til Microsoft Defender for endepunkt. Disse varslene er generelt avhengige av sikkerhetssignaler som samles inn av Microsoft Defender for Endpoint-sensoren og andre endepunktfunksjoner (for eksempel antivirus, nettverksbeskyttelse, manipuleringsbeskyttelse) som fungerer som kraftige signalkilder.
I likhet med listen over antivirusregistreringer, er noen EDR-varsler utformet for å flagge mistenkelig oppførsel som kanskje ikke er knyttet til den sporede trusselen. I slike tilfeller vil rapporten tydelig identifisere varselet som «generisk», og at det ikke påvirker noen av diagrammene i rapporten.
Finn subtile trusselartefakter ved hjelp av avansert jakt
Selv om oppdagelser lar deg identifisere og stoppe den sporede trusselen automatisk, etterlater mange angrepsaktiviteter subtile spor som krever ytterligere inspeksjon. Noen angrepsaktiviteter viser virkemåter som også kan være normale, så å oppdage dem dynamisk kan resultere i driftsstøy eller til og med falske positiver.
Avansert jakt gir et spørringsgrensesnitt basert på Kusto-spørringsspråk som forenkler lokalisering av subtile indikatorer for trusselaktivitet. Den lar deg også vise kontekstuell informasjon og bekrefte om indikatorer er koblet til en trussel.
Avanserte jaktspørringer i analytikerrapportene er gjennomgått av Microsoft-analytikere og er klare til å kjøre i redigeringsprogrammet for avansert jaktspørring. Du kan også bruke spørringene til å opprette egendefinerte gjenkjenningsregler som utløser varsler for fremtidige treff.
Beslektede emner
- Oversikt over trusselanalyse
- Proaktivt finne trusler med avansert jakt
- Egendefinerte gjenkjenningsregler
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.