Forstå analytikerrapporten i trusselanalyse i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Hver trusselanalyserapport inneholder dynamiske inndelinger og en omfattende skriftlig inndeling kalt analytikerrapporten. Hvis du vil ha tilgang til denne delen, åpner du rapporten om den sporede trusselen og velger rapportfanen Analytiker .
Rapportinndeling for analytiker i en trusselanalyserapport
Kjenn de ulike rapporttypene for analytikere
En rapport for trusselanalyse kan klassifiseres under én av følgende rapporttyper:
- Aktivitetsprofil – gir informasjon om en bestemt angrepskampanje som ofte er knyttet til en trusselaktør. Denne rapporten beskriver hvordan et angrep skjedde, hvorfor bør du bry deg om det, og hvordan Microsoft beskytter kundene sine mot det. En aktivitetsprofil kan også inneholde detaljer som tidslinje for hendelser, angrepskjeder og virkemåter og metoder.
- Skuespillerprofil – gir informasjon om en bestemt Microsoft-sporet trusselskuespiller bak viktige cyberangrep. Denne rapporten tar for seg skuespillerens motivasjon, bransje og/eller geografiske mål, og deres taktikk, teknikker og prosedyrer (TTPs). En skuespillerprofil kan også inneholde informasjon om skuespillerens angrepsinfrastruktur, skadelig programvare (egendefinert eller åpen kilde) og utnyttelser de brukte, og bemerkelsesverdige hendelser eller kampanjer som de var en del av.
- Teknikkprofil – gir informasjon om en bestemt teknikk som brukes av trusselaktører – for eksempel ondsinnet bruk av PowerShell eller innhøsting av legitimasjon i forretnings-e-postkompromisse (BEC) – og hvordan Microsoft beskytter kundene sine ved å oppdage aktivitet knyttet til teknikken.
- Trusseloversikt – Oppsummerer flere profilrapporter i en fortelling som maler et bredere bilde av en trussel som bruker eller er relatert til disse rapportene. Trusselaktører bruker for eksempel ulike teknikker for å stjele lokal legitimasjon, og en trusseloversikt over lokalt legitimasjonstyveri kan koble til teknikkprofiler på angrep med rå kraft, Kerberos-angrep eller informasjonsstjelende skadelig programvare. Microsoft Threat Intelligence bruker sensorene sine på de største truslene som påvirker kundemiljøer for å vurdere hvilken trussel som kan fortjene denne rapporttypen.
- Verktøyprofil – gir informasjon om et bestemt egendefinert eller åpen kildekode-verktøy som ofte er knyttet til en trusselaktør. Denne rapporten beskriver verktøyets funksjoner, målene trusselaktøren bruker, kan være å prøve å oppnå, og hvordan Microsoft beskytter kundene sine ved å oppdage aktivitet knyttet til det.
- Sikkerhetsproblemprofil – gir informasjon om en bestemt CVE-ID (Common Vulnerabilities and Exposures) eller en gruppe med lignende CVE-er som påvirker et produkt. En sårbarhetsprofil diskuterer vanligvis bemerkelsesverdige sårbarheter, for eksempel de som brukes av trusselaktører og bemerkelsesverdige angrepskampanjer. Den dekker én eller flere av følgende typer informasjon: type sårbarhet, berørte tjenester, null-dag eller in-the-wild utnyttelse, alvorlighetsgrad score og potensiell innvirkning, og Microsofts dekning.
Skanne analytikerrapporten
Hver del av analytikerrapporten er utformet for å gi praktisk informasjon. Selv om rapportene varierer, inkluderer de fleste rapporter inndelingene som er beskrevet i tabellen nedenfor.
| Rapportinndeling | Beskrivelse |
|---|---|
| Sammendrag av leder | Øyeblikksbilde av trusselen, som kan omfatte når den først ble sett, dens motivasjoner, bemerkelsesverdige hendelser, store mål og distinkte verktøy og teknikker. Du kan bruke denne informasjonen til ytterligere å vurdere hvordan du prioriterer trusselen i forbindelse med bransjen, geografisk plassering og nettverk. |
| Oversikt | Teknisk analyse om trusselen, som, avhengig av rapporttypen, kan inkludere detaljer om et angrep og hvordan angripere kan bruke en ny teknikk eller angrepsoverflate. Denne delen har også ulike overskrifter og ytterligere underdeler, avhengig av rapporttypen, for å gi mer kontekst og detaljer. En sårbarhetsprofil har for eksempel en egen inndeling som viser påvirkede teknologier, mens en aktørprofil kan omfatte inndelinger for verktøy og TTP-er og attributter . |
| Oppdagelses-/jaktspørringer | Spesifikke og generiske gjenkjenninger levert av Microsofts sikkerhetsløsninger som kan vise aktivitet eller komponenter som er knyttet til trusselen. Denne delen inneholder også jaktspørringer for proaktivt identifisering av mulig trusselaktivitet. De fleste spørringer gis til tilleggsgjenkjenninger, spesielt for å finne potensielt skadelige komponenter eller virkemåter som ikke kunne vurderes dynamisk for å være skadelig. |
| MITRE ATT&CK teknikker observert | Hvordan observerte teknikker kartlegges til MITRE ATT&CK-angrepsrammeverk |
| Anbefalinger | Handlingstrinn som kan stoppe eller bidra til å redusere virkningen av trusselen. Denne delen inneholder også begrensninger som ikke spores dynamisk som en del av rapporten om trusselanalyse. |
| Referanser | Microsoft og tredjepartspublikasjoner referert av analytikere under opprettelsen av rapporten. Innhold i trusselanalyse er basert på data som er validert av Microsoft-forskere. Informasjon fra offentlig tilgjengelige tredjepartskilder identifiseres tydelig som sådan. |
| Endringslogg | Tidspunktet da rapporten ble publisert og når det ble gjort betydelige endringer i rapporten. |
Forstå hvordan hver trussel kan oppdages
Analytikerrapporten gir også informasjon fra ulike Microsoft-løsninger som kan bidra til å oppdage trusselen. Den viser gjenkjenninger som er spesifikke for denne trusselen fra hvert av produktene som er oppført i de følgende avsnittene, etter behov. Varsler fra disse trusselspesifikke gjenkjenningene vises i varslingsstatuskortene på siden trusselanalyse.
Noen analytikerrapporter nevner også varsler som er utformet for å flagge mistenkelig atferd generelt, og som kanskje ikke er knyttet til den sporede trusselen. I slike tilfeller vil rapporten tydelig angi at varselet kan utløses av ikke-relatert trusselaktivitet, og at det ikke overvåkes i statuskortene som er angitt på trusselanalysesiden.
Microsoft Defender Antivirus
Antivirusregistreringer er tilgjengelige på enheter med Microsoft Defender Antivirus i Windows aktivert. Disse gjenkjenningene er knyttet til deres respektive beskrivelser av skadelig programvare i Microsoft Sikkerhetsintelligens, når de er tilgjengelige.
Microsoft Defender for endepunkt
Gjenkjennings- og svarvarsler for endepunkt (EDR) utløses for enheter som er innebygd i Microsoft Defender for endepunkt. Disse varslene er avhengige av sikkerhetssignaler som samles inn av Defender for Endpoint-sensoren og andre endepunktfunksjoner, for eksempel antivirus, nettverksbeskyttelse, manipuleringsbeskyttelse, som fungerer som kraftige signalkilder.
Microsoft Defender for Office 365
Oppdagelser og begrensninger fra Defender for Office 365 er også inkludert i analytikerrapporter. Defender for Office 365 er en sømløs integrering av Microsoft 365-abonnementer som beskytter mot trusler i e-post, koblinger (nettadresser), filvedlegg og samarbeidsverktøy.
Microsoft Defender for identitet
Defender for Identity er en skybasert sikkerhetsløsning som bidrar til å sikre identitetsovervåkingen på tvers av organisasjonen. Den bruker signaler fra både lokal Active Directory og skyidentiteter for å hjelpe deg med å identifisere, oppdage og undersøke avanserte trusler rettet mot organisasjonen.
Microsoft Defender for skyapper
Defender for Cloud Apps gir full beskyttelse for SaaS-programmer, slik at du kan overvåke og beskytte skyappdataene dine ved hjelp av grunnleggende skytilgangssikkerhetsmeglerfunksjonalitet (CASB), SSPM-funksjoner (SaaS Security Posture Management), avansert trusselbeskyttelse og app-til-app-beskyttelse.
Microsoft Defender for skyen
Defender for Cloud er en skybasert programbeskyttelsesplattform (CNAPP) som består av sikkerhetstiltak og praksiser som er utformet for å beskytte skybaserte programmer mot ulike trusler og sårbarheter.
Finn subtile trusselartefakter ved hjelp av avansert jakt
Selv om oppdagelser lar deg identifisere og stoppe den sporede trusselen automatisk, etterlater mange angrepsaktiviteter subtile spor som krever mer inspeksjon. Noen angrepsaktiviteter viser virkemåter som også kan være normale, så å oppdage dem dynamisk kan resultere i driftsstøy eller til og med falske positiver. Med jaktspørringer kan du proaktivt finne disse potensielt skadelige komponentene eller virkemåtene.
Microsoft Defender XDR avanserte jaktspørringer
Avansert jakt gir et spørringsgrensesnitt basert på Kusto-spørringsspråk som forenkler lokalisering av subtile indikatorer for trusselaktivitet. Den lar deg også vise kontekstuell informasjon og bekrefte om indikatorer er koblet til en trussel.
Avanserte jaktspørringer i analytikerrapportene er gjennomgått av Microsoft-analytikere og er klare til å kjøre i redigeringsprogrammet for avansert jaktspørring. Du kan også bruke spørringene til å opprette egendefinerte gjenkjenningsregler som utløser varsler for fremtidige treff.
Microsoft Sentinel spørringer
Analytikerrapporter kan også inkludere aktuelle jaktspørringer for Microsoft Sentinel kunder.
Microsoft Sentinel har kraftige søke- og spørringsverktøy for å lete etter sikkerhetstrusler på tvers av organisasjonens datakilder. For å hjelpe deg med å se proaktivt etter nye avvik som ikke oppdages av sikkerhetsappene dine, eller til og med av de planlagte analysereglene, kan Sentinel jaktspørringer hjelpe deg med å stille de riktige spørsmålene for å finne problemer i dataene du allerede har på nettverket.
Bruk ytterligere begrensninger
Trusselanalyse sporer statusen til visse sikkerhetsoppdateringer og sikre konfigurasjoner dynamisk. Disse typene informasjon er tilgjengelige som diagrammer og tabeller i endepunkteksponeringer og anbefalte handlinger-fanene , og er repeterbare anbefalinger som gjelder for denne trusselen, og kan også gjelde for andre trusler.
I tillegg til disse sporede anbefalingene kan analytikerrapporten også diskutere begrensninger som ikke overvåkes dynamisk fordi de er spesifikke for bare trusselen eller situasjonen som diskuteres i rapporten. Her er noen eksempler på viktige begrensninger som ikke spores dynamisk:
- Blokkere e-postmeldinger med .lnk vedlegg eller andre mistenkelige filtyper
- Randomiser passord for lokal administrator
- Lære sluttbrukere om phishing-e-post og andre trusselvektorer
- Slå på spesifikke regler for reduksjon av angrepsoverflate
Mens du kan bruke endepunktene eksponeringer og anbefalte handlinger faner for å vurdere din sikkerhet holdning mot en trussel, disse anbefalingene lar deg ta andre skritt mot å forbedre din sikkerhet holdning. Les nøye gjennom alle begrensningsveiledningene i analytikerrapporten, og bruk dem når det er mulig.
Se også
- Oversikt over trusselanalyse
- Proaktivt finne trusler med avansert jakt
- Egendefinerte gjenkjenningsregler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.