Spore og svare på nye trusler gjennom trusselanalyse
Gjelder for:
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Med mer sofistikerte motstandere og nye trusler som dukker opp ofte og utbredt, er det avgjørende å kunne raskt:
- Vurdere virkningen av nye trusler
- Se gjennom elastisiteten din mot eller eksponering for truslene
- Identifiser handlingene du kan utføre for å stoppe eller inneholde truslene
Trusselanalyse er et sett med rapporter fra eksperter fra Microsofts sikkerhetsforskere som dekker de mest relevante truslene, inkludert:
- Aktive trusselaktører og deres kampanjer
- Populære og nye angrepsteknikker
- Kritiske sårbarheter
- Vanlige angrepsoverflater
- Utbredt skadelig programvare
Hver rapport gir en detaljert analyse av en trussel og omfattende veiledning om hvordan man kan forsvare seg mot denne trusselen. Den inneholder også data fra nettverket, som angir om trusselen er aktiv og om du har gjeldende beskyttelse på plass.
Se denne korte videoen for å lære mer om hvordan trusselanalyse kan hjelpe deg med å spore de nyeste truslene og stoppe dem.
Obligatoriske roller og tillatelser
Tabellen nedenfor beskriver rollene og tillatelsene som kreves for å få tilgang til Trusselanalyse. Roller som er definert i tabellen nedenfor, refererer til egendefinerte roller i individuelle portaler og er ikke koblet til globale roller i Microsoft Entra ID, selv om de har samme navn.
Én av følgende roller kreves for Microsoft Defender XDR | Én av følgende roller kreves for Defender for endepunkt | Én av følgende roller kreves for Defender for Office 365 | Én av følgende roller kreves for Defender for Cloud Apps |
---|---|---|---|
Trusselanalyse | Varsler og hendelsesdata:
|
Varsler og hendelsesdata:
|
Ikke tilgjengelig for Defender for Skyapper eller MDI-brukere |
Vis instrumentbordet for trusselanalyse
Instrumentbordet for trusselanalyse er et godt utgangspunkt for å komme til rapportene som er mest relevante for organisasjonen. Den oppsummerer truslene i følgende deler:
- Siste trusler: Lister de sist publiserte trusselrapportene, sammen med antall enheter med aktive og løste varsler.
- Trusler med høy innvirkning: Lister truslene som har hatt størst innvirkning på organisasjonen. Denne delen rangerer trusler etter antall enheter som har aktive varsler.
- Trusselsammendrag: Viser den generelle virkningen av sporede trusler ved å vise antall trusler med aktive og løste varsler.
Velg en trussel fra instrumentbordet for å vise rapporten for denne trusselen.
Vis en trusselanalyserapport
Hver rapport for trusselanalyse gir informasjon i tre deler: Oversikt, analytikerrapport og begrensninger.
Oversikt: Raskt forstå trusselen, vurdere dens innvirkning og gjennomgå forsvar
Oversikt-delen gir en forhåndsvisning av den detaljerte analytikerrapporten. Den inneholder også diagrammer som fremhever virkningen av trusselen mot organisasjonen og eksponeringen din gjennom feilkonfigurerte og ikke-oppdaterte enheter.
en oversiktsdel for trusselanalyse i en trusselanalyserapport
Vurdere innvirkningen på organisasjonen
Hver rapport inneholder diagrammer som er utformet for å gi informasjon om organisasjonens innvirkning på en trussel:
- Enheter med varsler: Viser gjeldende antall distinkte enheter som har blitt påvirket av trusselen. En enhet kategoriseres som Aktiv hvis det er minst ett varsel knyttet til denne trusselen og løst hvis alle varsler som er knyttet til trusselen på enheten, er løst.
- Enheter med varsler over tid: Viser antall distinkte enheter med aktive og løste varsler over tid. Antall løste varsler angir hvor raskt organisasjonen reagerer på varsler som er knyttet til en trussel. Ideelt sett bør diagrammet vise varsler som er løst i løpet av noen få dager.
Se gjennom sikkerhetsbestandighet og holdning
Hver rapport inneholder diagrammer som gir en oversikt over hvor robust organisasjonen din er mot en gitt trussel:
- Status for sikkerhetskonfigurasjon: Viser antall enheter som har brukt de anbefalte sikkerhetsinnstillingene som kan bidra til å redusere trusselen. Enheter anses som sikre hvis de har brukt alle sporede innstillinger.
- Status for sikkerhetsoppdatering: Viser antall enheter som har brukt sikkerhetsoppdateringer eller oppdateringer som løser sårbarheter som utnyttes av trusselen.
Analytikerrapport: Få ekspertinnsikt fra Microsofts sikkerhetsforskere
Gå til rapportinndelingen analytiker for å lese gjennom den detaljerte ekspertoppskrivingen. De fleste rapporter gir detaljerte beskrivelser av angrepskjeder, inkludert taktikk og teknikker tilordnet mitre att&CK rammeverk, uttømmende lister over anbefalinger, og kraftig trussel jakt veiledning.
Mer informasjon om analytikerrapporten
Begrensninger: Se gjennom listen over begrensninger og statusen til enhetene dine
Se gjennom listen over spesifikke handlingsanbefalinger i Begrensninger-delen som kan hjelpe deg med å øke organisasjonens robusthet mot trusselen. Listen over sporede begrensninger inkluderer:
- Sikkerhetsoppdateringer: Distribusjon av sikkerhetsoppdateringer eller oppdateringer for sikkerhetsproblemer
- Microsoft Defender Antivirusinnstillinger
- Versjon av sikkerhetsintelligens
- Skybasert beskyttelse
- Potensielt uønsket programbeskyttelse (PUA)
- Sanntidsbeskyttelse
Begrensningsinformasjon i denne delen inneholder data fra Microsoft Defender Vulnerability Management, som også gir detaljert neddrillingsinformasjon fra ulike koblinger i rapporten.
Begrensninger-delen i en trusselanalyserapport
Flere rapportdetaljer og begrensninger
Når du bruker rapportene, må du huske på følgende:
- Data er begrenset basert på ditt rollebaserte tilgangskontrollområde (RBAC). Du vil se statusen for enheter i grupper som du har tilgang til.
- Diagrammer gjenspeiler bare begrensninger som spores. Kontroller rapportoversikten for ytterligere begrensninger som ikke vises i diagrammene.
- Begrensninger garanterer ikke fullstendig robusthet. De oppgitte begrensningene gjenspeiler de best mulige handlingene som trengs for å forbedre robustheten.
- Enheter regnes som «utilgjengelige» hvis de ikke har overført data til tjenesten.
- Antivirusrelatert statistikk er basert på Microsoft Defender antivirusinnstillinger. Enheter med tredjeparts antivirusløsninger kan vises som «eksponert».
Beslektede emner
- Proaktivt finne trusler med avansert jakt
- Forstå rapportdelen for analytikeren
- Vurdere og løse sikkerhetssvakheter og eksponeringer
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for