Spore og svare på nye trusler gjennom trusselanalyse

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Med mer sofistikerte motstandere og nye trusler som dukker opp ofte og utbredt, er det avgjørende å kunne raskt:

• Vurdere virkningen av nye trusler
• Se gjennom elastisiteten din mot eller eksponering for truslene
• Identifiser handlingene du kan utføre for å stoppe eller inneholde truslene

Trusselanalyse er et sett med rapporter fra eksperter fra Microsofts sikkerhetsforskere som dekker de mest relevante truslene, inkludert:

• Aktive trusselaktører og deres kampanjer
• Populære og nye angrepsteknikker
• Kritiske sårbarheter
• Vanlige angrepsoverflater
• Utbredt skadelig programvare

Hver rapport gir en detaljert analyse av en trussel og omfattende veiledning om hvordan man kan forsvare seg mot denne trusselen. Den inneholder også data fra nettverket, som angir om trusselen er aktiv og om du har gjeldende beskyttelse på plass.

Se denne korte videoen for å lære mer om hvordan trusselanalyse kan hjelpe deg med å spore de nyeste truslene og stoppe dem.

Obligatoriske roller og tillatelser

Tabellen nedenfor beskriver rollene og tillatelsene som kreves for å få tilgang til Trusselanalyse. Roller som er definert i tabellen nedenfor, refererer til egendefinerte roller i individuelle portaler og er ikke koblet til globale roller i Microsoft Entra ID, selv om de har samme navn.

Én av følgende roller kreves for Microsoft Defender XDR	Én av følgende roller kreves for Defender for endepunkt	Én av følgende roller kreves for Defender for Office 365	Én av følgende roller kreves for Defender for Cloud Apps
Trusselanalyse	Varsler og hendelsesdata: Vis data- sikkerhetsoperasjoner Begrensninger for Defender Vulnerability Management: Vis data – behandling av trusler og sårbarheter	Varsler og hendelsesdata: Behandle varsler med bare visning Behandle varsler Organisasjonskonfigurasjon Overvåkingslogger Vis bare overvåkingslogger Sikkerhetsleser Sikkerhetsadministrator Bare vise mottakere Forhindret e-postforsøk: Sikkerhetsleser Sikkerhetsadministrator Bare vise mottakere	Ikke tilgjengelig for Defender for Skyapper eller MDI-brukere

Vis instrumentbordet for trusselanalyse

Instrumentbordet for trusselanalyse er et godt utgangspunkt for å komme til rapportene som er mest relevante for organisasjonen. Den oppsummerer truslene i følgende deler:

• Siste trusler: Lister de sist publiserte trusselrapportene, sammen med antall enheter med aktive og løste varsler.
• Trusler med høy innvirkning: Lister truslene som har hatt størst innvirkning på organisasjonen. Denne delen rangerer trusler etter antall enheter som har aktive varsler.
• Trusselsammendrag: Viser den generelle virkningen av sporede trusler ved å vise antall trusler med aktive og løste varsler.

Velg en trussel fra instrumentbordet for å vise rapporten for denne trusselen.

Vis en trusselanalyserapport

Hver rapport for trusselanalyse gir informasjon i tre deler: Oversikt, analytikerrapport og begrensninger.

Oversikt: Raskt forstå trusselen, vurdere dens innvirkning og gjennomgå forsvar

Oversikt-delen gir en forhåndsvisning av den detaljerte analytikerrapporten. Den inneholder også diagrammer som fremhever virkningen av trusselen mot organisasjonen og eksponeringen din gjennom feilkonfigurerte og ikke-oppdaterte enheter.

en oversiktsdel for trusselanalyse i en trusselanalyserapport

Vurdere innvirkningen på organisasjonen

Hver rapport inneholder diagrammer som er utformet for å gi informasjon om organisasjonens innvirkning på en trussel:

• Enheter med varsler: Viser gjeldende antall distinkte enheter som har blitt påvirket av trusselen. En enhet kategoriseres som Aktiv hvis det er minst ett varsel knyttet til denne trusselen og løst hvis alle varsler som er knyttet til trusselen på enheten, er løst.
• Enheter med varsler over tid: Viser antall distinkte enheter med aktive og løste varsler over tid. Antall løste varsler angir hvor raskt organisasjonen reagerer på varsler som er knyttet til en trussel. Ideelt sett bør diagrammet vise varsler som er løst i løpet av noen få dager.

Se gjennom sikkerhetsbestandighet og holdning

Hver rapport inneholder diagrammer som gir en oversikt over hvor robust organisasjonen din er mot en gitt trussel:

• Status for sikkerhetskonfigurasjon: Viser antall enheter som har brukt de anbefalte sikkerhetsinnstillingene som kan bidra til å redusere trusselen. Enheter anses som sikre hvis de har brukt alle sporede innstillinger.
• Status for sikkerhetsoppdatering: Viser antall enheter som har brukt sikkerhetsoppdateringer eller oppdateringer som løser sårbarheter som utnyttes av trusselen.

Analytikerrapport: Få ekspertinnsikt fra Microsofts sikkerhetsforskere

Gå til rapportinndelingen analytiker for å lese gjennom den detaljerte ekspertoppskrivingen. De fleste rapporter gir detaljerte beskrivelser av angrepskjeder, inkludert taktikk og teknikker tilordnet mitre att&CK rammeverk, uttømmende lister over anbefalinger, og kraftig trussel jakt veiledning.

Mer informasjon om analytikerrapporten

Begrensninger: Se gjennom listen over begrensninger og statusen til enhetene dine

Se gjennom listen over spesifikke handlingsanbefalinger i Begrensninger-delen som kan hjelpe deg med å øke organisasjonens robusthet mot trusselen. Listen over sporede begrensninger inkluderer:

• Sikkerhetsoppdateringer: Distribusjon av sikkerhetsoppdateringer eller oppdateringer for sikkerhetsproblemer
• Microsoft Defender Antivirusinnstillinger
  • Versjon av sikkerhetsintelligens
  • Skybasert beskyttelse
  • Potensielt uønsket programbeskyttelse (PUA)
  • Sanntidsbeskyttelse

Begrensningsinformasjon i denne delen inneholder data fra Microsoft Defender Vulnerability Management, som også gir detaljert neddrillingsinformasjon fra ulike koblinger i rapporten.

Begrensninger-delen i en trusselanalyserapport

Flere rapportdetaljer og begrensninger

Når du bruker rapportene, må du huske på følgende:

• Data er begrenset basert på ditt rollebaserte tilgangskontrollområde (RBAC). Du vil se statusen for enheter i grupper som du har tilgang til.
• Diagrammer gjenspeiler bare begrensninger som spores. Kontroller rapportoversikten for ytterligere begrensninger som ikke vises i diagrammene.
• Begrensninger garanterer ikke fullstendig robusthet. De oppgitte begrensningene gjenspeiler de best mulige handlingene som trengs for å forbedre robustheten.
• Enheter regnes som «utilgjengelige» hvis de ikke har overført data til tjenesten.
• Antivirusrelatert statistikk er basert på Microsoft Defender antivirusinnstillinger. Enheter med tredjeparts antivirusløsninger kan vises som «eksponert».

Beslektede emner

• Proaktivt finne trusler med avansert jakt
• Forstå rapportdelen for analytikeren
• Vurdere og løse sikkerhetssvakheter og eksponeringer

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.