Inzicht in het analistenrapport in bedreigingsanalyse in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Elk bedreigingsanalyserapport bevat dynamische secties en een uitgebreide, geschreven sectie met de naam het analistenrapport. Voor toegang tot deze sectie opent u het rapport over de bijgehouden bedreiging en selecteert u het tabblad Analistenrapport .
Sectie Analistenrapport van een bedreigingsanalyserapport
De verschillende typen analistenrapport kennen
Een bedreigingsanalyserapport kan worden geclassificeerd onder een van de volgende rapporttypen:
- Activiteitsprofiel : biedt informatie over een specifieke aanvalscampagne die vaak wordt gekoppeld aan een bedreigingsacteur. In dit rapport wordt beschreven hoe een aanval is opgetreden, waarom u er om geeft en hoe Microsoft haar klanten erte beschermen. Een activiteitenprofiel kan ook details bevatten, zoals de tijdlijn van gebeurtenissen, aanvalsketens en gedrag en methodologieën.
- Actorprofiel : biedt informatie over een specifieke bedreigingsacteur die door Microsoft wordt gevolgd achter opvallende cyberaanvallen. In dit rapport worden de motivaties, branche- en/of geografische doelen van de actor en hun tactieken, technieken en procedures (TTP's) besproken. Een actorprofiel kan ook informatie bevatten over de aanvalsinfrastructuur van de actor, malware (aangepast of open source) en misbruiken die ze hebben gebruikt, en opvallende gebeurtenissen of campagnes waarvan ze deel uitmaakten.
- Techniekprofiel : biedt informatie over een specifieke techniek die wordt gebruikt door bedreigingsactoren, bijvoorbeeld kwaadwillend gebruik van PowerShell of het verzamelen van referenties in zakelijke e-mail (BEC) en hoe Microsoft haar klanten beschermt door activiteiten te detecteren die aan de techniek zijn gekoppeld.
- Bedreigingsoverzicht : vat meerdere profielrapporten samen in een verhaal dat een breder beeld schetst van een bedreiging die gebruikmaakt van of gerelateerd is aan deze rapporten. Bedreigingsactoren gebruiken bijvoorbeeld verschillende technieken om on-premises referenties te stelen en een bedreigingsoverzicht over on-premises referentiediefstal kan worden gekoppeld aan techniekprofielen bij brute-force-aanvallen, Kerberos-aanvallen of informatie stelende malware. Microsoft Threat Intelligence gebruikt hun sensoren op de belangrijkste bedreigingen die van invloed zijn op klantomgevingen om te beoordelen welke bedreiging dit rapporttype verdient.
- Toolprofiel : biedt informatie over een specifiek aangepast of opensource-hulpprogramma dat vaak wordt gekoppeld aan een bedreigingsacteur. In dit rapport worden de mogelijkheden van het hulpprogramma besproken, de doelen die de bedreigingsacteur mogelijk probeert te bereiken en hoe Microsoft haar klanten beschermt door activiteiten te detecteren die eraan zijn gekoppeld.
- Beveiligingsprofiel : bevat informatie over een specifieke CVE-id (Common Vulnerabilityes and Exposures) of groep vergelijkbare CVE's die van invloed zijn op een product. In een beveiligingsprofiel worden doorgaans belangrijke beveiligingsproblemen besproken, zoals beveiligingsproblemen die worden gebruikt door bedreigingsactoren en opvallende aanvalscampagnes. Het behandelt een of meer van de volgende soorten informatie: type beveiligingsprobleem, beïnvloede services, zero-day of in-the-wild exploitatie, ernstscore en mogelijke impact, en de dekking van Microsoft.
Het analistenrapport scannen
Elke sectie van het analistenrapport is ontworpen om bruikbare informatie te bieden. Hoewel rapporten variëren, bevatten de meeste rapporten de secties die in de volgende tabel worden beschreven.
Rapportsectie | Beschrijving |
---|---|
Samenvatting | Momentopname van de bedreiging, zoals wanneer deze voor het eerst werd gezien, de motivaties, belangrijke gebeurtenissen, belangrijke doelen en verschillende hulpprogramma's en technieken. U kunt deze informatie gebruiken om verder te beoordelen hoe u prioriteit kunt geven aan de bedreiging in de context van uw branche, geografische locatie en netwerk. |
Overzicht | Technische analyse over de bedreiging, die, afhankelijk van het type rapport, de details van een aanval kan bevatten en hoe aanvallers een nieuwe techniek of aanvalsoppervlak kunnen gebruiken. Deze sectie bevat ook verschillende koppen en verdere subsecties, afhankelijk van het rapporttype, om meer context en details te bieden. Een beveiligingsprofiel heeft bijvoorbeeld een afzonderlijke sectie waarin de betrokken technologieën worden vermeld, terwijl een actorprofiel de secties Hulpprogramma's en TTL's en Attributie kan bevatten. |
Detecties/opsporingsquery's | Specifieke en algemene detecties van Microsoft-beveiligingsoplossingen die activiteiten of onderdelen kunnen weergeven die aan de bedreiging zijn gekoppeld. Deze sectie bevat ook opsporingsquery's voor het proactief identificeren van mogelijke bedreigingsactiviteiten. De meeste query's worden aangeboden om detecties aan te vullen, met name voor het zoeken naar mogelijk schadelijke onderdelen of gedrag dat niet dynamisch als schadelijk kan worden beoordeeld. |
MITRE ATT&waargenomen CK-technieken | Hoe geobserveerde technieken worden toegewezen aan het MITRE ATT&CK-aanvalsframework |
Aanbevelingen | Actiebare stappen die de impact van de bedreiging kunnen stoppen of helpen verminderen. Deze sectie bevat ook oplossingen die niet dynamisch worden bijgehouden als onderdeel van het bedreigingsanalyserapport. |
Verwijzingen | Publicaties van Microsoft en derden waarnaar wordt verwezen door analisten tijdens het maken van het rapport. Inhoud van bedreigingsanalyse is gebaseerd op gegevens die zijn gevalideerd door Microsoft-onderzoekers. Informatie van openbaar beschikbare bronnen van derden wordt duidelijk als zodanig geïdentificeerd. |
Wijzigingenlogboek | Het tijdstip waarop het rapport is gepubliceerd en wanneer er belangrijke wijzigingen in het rapport zijn aangebracht. |
Begrijpen hoe elke bedreiging kan worden gedetecteerd
Het analistenrapport bevat ook informatie van verschillende Microsoft-oplossingen die kunnen helpen bij het detecteren van de bedreiging. Er worden detecties vermeld die specifiek zijn voor deze bedreiging van elk van de producten die in de volgende secties worden vermeld, indien van toepassing. Waarschuwingen van deze bedreigingsspecifieke detecties worden weergegeven in de waarschuwingsstatuskaarten van de pagina Bedreigingsanalyse.
Sommige rapporten van analisten vermelden ook waarschuwingen die zijn ontworpen om verdacht gedrag algemeen te markeren en mogelijk niet zijn gekoppeld aan de bijgehouden bedreiging. In dergelijke gevallen wordt in het rapport duidelijk aangegeven dat de waarschuwing kan worden geactiveerd door niet-gerelateerde bedreigingsactiviteiten en dat deze niet wordt bewaakt op de statuskaarten op de pagina Bedreigingsanalyse.
Microsoft Defender Antivirus
Antivirusdetecties zijn beschikbaar op apparaten waarop Microsoft Defender Antivirus in Windows is ingeschakeld. Deze detecties zijn gekoppeld aan hun respectieve malware-encyclopediebeschrijvingen in de Microsoft-beveiligingsinformatie, indien beschikbaar.
Microsoft Defender voor Eindpunt
Waarschuwingen voor eindpuntdetectie en -respons (EDR) worden gegenereerd voor apparaten die zijn toegevoegd aan Microsoft Defender voor Eindpunt. Deze waarschuwingen zijn afhankelijk van beveiligingssignalen die worden verzameld door de Defender for Endpoint-sensor en andere eindpuntmogelijkheden, zoals antivirus, netwerkbeveiliging, manipulatiebeveiliging, die fungeren als krachtige signaalbronnen.
Microsoft Defender voor Office 365
Detecties en oplossingen van Defender voor Office 365 zijn ook opgenomen in analistenrapporten. Defender voor Office 365 is een naadloze integratie in Microsoft 365-abonnementen die bescherming biedt tegen bedreigingen in e-mail, koppelingen (URL's), bestandsbijlagen en hulpprogramma's voor samenwerking.
Microsoft Defender for Identity
Defender for Identity is een cloudgebaseerde beveiligingsoplossing waarmee u uw identiteitsbewaking in uw hele organisatie kunt beveiligen. Het maakt gebruik van signalen van zowel on-premises Active Directory als cloudidentiteiten om u te helpen geavanceerde bedreigingen die gericht zijn op uw organisatie beter te identificeren, te detecteren en te onderzoeken.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps biedt volledige beveiliging voor SaaS-toepassingen, helpt u bij het bewaken en beveiligen van uw cloud-app-gegevens, met behulp van de basisfunctionaliteit van de Cloud Access Security Broker (CASB), SaaS Security Posture Management (SSPM) functies, geavanceerde beveiliging tegen bedreigingen en app-naar-app-beveiliging.
Microsoft Defender voor Cloud
Defender for Cloud is een cloudeigen platform voor toepassingsbeveiliging (CNAPP) dat bestaat uit beveiligingsmaatregelen en -procedures die zijn ontworpen om cloudtoepassingen te beschermen tegen verschillende bedreigingen en beveiligingsproblemen.
Subtiele bedreigingsartefacten vinden met behulp van geavanceerde opsporing
Hoewel u met detecties de bijgehouden bedreiging automatisch kunt identificeren en stoppen, laten veel aanvalsactiviteiten subtiele sporen achter die meer inspectie vereisen. Sommige aanvalsactiviteiten vertonen gedrag dat ook normaal kan zijn, dus het dynamisch detecteren ervan kan leiden tot operationele ruis of zelfs fout-positieven. Met opsporingsquery's kunt u deze mogelijk schadelijke onderdelen of gedrag proactief vinden.
Microsoft Defender XDR geavanceerde opsporingsquery's
Geavanceerde opsporing biedt een queryinterface op basis van Kusto-querytaal die het zoeken naar subtiele indicatoren van bedreigingsactiviteiten vereenvoudigt. U kunt hiermee ook contextuele informatie weergeven en controleren of indicatoren zijn verbonden met een bedreiging.
Geavanceerde opsporingsquery's in de analistenrapporten zijn door Microsoft-analisten gecontroleerd en kunnen worden uitgevoerd in de geavanceerde opsporingsquery-editor. U kunt de query's ook gebruiken om aangepaste detectieregels te maken die waarschuwingen voor toekomstige overeenkomsten activeren.
Microsoft Sentinel query's
Analistenrapporten kunnen ook toepasselijke opsporingsquery's voor Microsoft Sentinel klanten bevatten.
Microsoft Sentinel beschikt over krachtige opsporings- en queryhulpprogramma's om beveiligingsrisico's in de gegevensbronnen van uw organisatie op te sporen. Om u te helpen proactief te zoeken naar nieuwe afwijkingen die niet worden gedetecteerd door uw beveiligings-apps of zelfs niet door uw geplande analyseregels, helpt Sentinel opsporingsquery's u bij het stellen van de juiste vragen om problemen op te sporen met de gegevens die u al in uw netwerk hebt.
Aanvullende oplossingen toepassen
Bedreigingsanalyse houdt de status van bepaalde beveiligingsupdates en beveiligde configuraties dynamisch bij. Deze soorten informatie zijn beschikbaar als grafieken en tabellen op de tabbladen Eindpunten en Aanbevolen acties , en zijn herhaalbare aanbevelingen die van toepassing zijn op deze bedreiging en mogelijk ook van toepassing zijn op andere bedreigingen.
Naast deze bijgehouden aanbevelingen kan het analistenrapport ook risicobeperkingen bespreken die niet dynamisch worden bewaakt, omdat ze specifiek zijn voor alleen de bedreiging of situatie die in het rapport wordt besproken. Hier volgen enkele voorbeelden van belangrijke oplossingen die niet dynamisch worden bijgehouden:
- E-mailberichten blokkeren met .lnk bijlagen of andere verdachte bestandstypen
- Lokale beheerderswachtwoorden willekeurig maken
- Eindgebruikers informeren over phishing-e-mail en andere bedreigingsvectoren
- Specifieke regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen
Hoewel u de tabbladen Eindpunten en Aanbevolen acties kunt gebruiken om uw beveiligingspostuur te beoordelen tegen een bedreiging, kunt u met deze aanbevelingen andere stappen ondernemen om uw beveiligingspostuur te verbeteren. Lees zorgvuldig alle richtlijnen voor risicobeperking in het analistenrapport en pas deze waar mogelijk toe.
Zie ook
- Overzicht van dreigingsanalyse
- Proactief bedreigingen vinden met geavanceerde opsporing
- Aangepaste regels voor detectie
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.