Bedreigingsanalyse in Microsoft Defender XDR

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Bedreigingsanalyse is onze oplossing voor bedreigingsinformatie in het product van deskundige Beveiligingsonderzoekers van Microsoft. Het is ontworpen om beveiligingsteams te helpen zo efficiënt mogelijk te zijn terwijl ze te maken krijgen met nieuwe bedreigingen, zoals:

  • Actieve bedreigingsactoren en hun campagnes
  • Populaire en nieuwe aanvalstechnieken
  • Kritieke beveiligingsproblemen
  • Veelvoorkomende kwetsbaarheid voor aanvallen
  • Bekende malware

Bekijk deze korte video voor meer informatie over hoe bedreigingsanalyse u kan helpen de nieuwste bedreigingen bij te houden en te stoppen.

U hebt toegang tot bedreigingsanalyses linksboven in de navigatiebalk van Microsoft Defender XDR of vanaf een speciale dashboardkaart waarop de belangrijkste bedreigingen voor uw organisatie worden weergegeven, zowel wat betreft de bekende impact als wat betreft uw blootstelling.

Schermopname van de landingspagina van bedreigingsanalyse

Als u inzicht krijgt in actieve of lopende campagnes en weet wat u moet doen via bedreigingsanalyse, kunt u uw beveiligingsteam voorzien van weloverwogen beslissingen.

Met geavanceerdere aanvallers en nieuwe bedreigingen die vaak en vaak voorkomen, is het essentieel om snel het volgende te kunnen doen:

  • Nieuwe bedreigingen identificeren en erop reageren
  • Meer informatie over of u momenteel wordt aangevallen
  • De impact van de bedreiging op uw assets beoordelen
  • Controleer uw tolerantie tegen of blootstelling aan de bedreigingen
  • Identificeer de risicobeperkings-, herstel- of preventieacties die u kunt ondernemen om de bedreigingen te stoppen of te beperken

Elk rapport biedt een analyse van een bijgehouden bedreiging en uitgebreide richtlijnen voor het beschermen tegen die bedreiging. Het bevat ook gegevens van uw netwerk, waarmee wordt aangegeven of de bedreiging actief is en of u over toepasselijke beveiligingen beschikt.

Het dashboard voor bedreigingsanalyse weergeven

Het dashboard bedreigingsanalyse (security.microsoft.com/threatanalytics3) markeert de rapporten die het meest relevant zijn voor uw organisatie. In de volgende secties worden de bedreigingen samengevat:

  • Meest recente bedreigingen: geeft een overzicht van de meest recent gepubliceerde of bijgewerkte bedreigingsrapporten, samen met het aantal actieve en opgeloste waarschuwingen.
  • Bedreigingen met een grote impact: geeft een overzicht van de bedreigingen die de grootste impact hebben op uw organisatie. In deze sectie worden bedreigingen met het hoogste aantal actieve en opgeloste waarschuwingen eerst vermeld.
  • Hoogste blootstelling: geeft een lijst met bedreigingen waaraan uw organisatie het meest wordt blootgesteld. Uw blootstellingsniveau aan een bedreiging wordt berekend met behulp van twee soorten informatie: hoe ernstig de beveiligingsproblemen zijn die aan de bedreiging zijn gekoppeld en hoeveel apparaten in uw organisatie door deze beveiligingsproblemen kunnen worden misbruikt.

Schermopname van het dashboard bedreigingsanalyse,

Selecteer een bedreiging in het dashboard om het rapport voor die bedreiging weer te geven. U kunt ook het Search veld selecteren om een trefwoord te versleutelen dat is gerelateerd aan het bedreigingsanalyserapport dat u wilt lezen.

Rapporten per categorie weergeven

U kunt de lijst met bedreigingsrapporten filteren en de meest relevante rapporten weergeven op basis van een specifiek bedreigingstype of op type rapport.

  • Bedreigingstags: helpen u bij het weergeven van de meest relevante rapporten op basis van een specifieke bedreigingscategorie. De tag Ransomware bevat bijvoorbeeld alle rapporten met betrekking tot ransomware.
  • Rapporttypen: helpt u bij het weergeven van de meest relevante rapporten op basis van een specifiek rapporttype. De tag Tools & techniques bevat bijvoorbeeld alle rapporten die betrekking hebben op hulpprogramma's en technieken.

De verschillende tags hebben gelijkwaardige filters die u helpen bij het efficiënt controleren van de lijst met bedreigingsrapport en het filteren van de weergave op basis van een specifieke bedreigingstag of rapporttype. Als u bijvoorbeeld alle bedreigingsrapporten wilt weergeven met betrekking tot de categorie ransomware of bedreigingsrapporten die betrekking hebben op beveiligingsproblemen.

Het Microsoft Threat Intelligence-team heeft bedreigingstags toegevoegd aan elk bedreigingsrapport. Er zijn momenteel vier bedreigingstags beschikbaar:

  • Ransomware
  • Phishing
  • beveiligingsprobleem
  • Activiteitsgroep

Bedreigingstags worden boven aan de pagina bedreigingsanalyse weergegeven. Er zijn tellers voor het aantal beschikbare rapporten onder elke tag.

Schermopname van de rapporttags voor bedreigingsanalyse.

Als u de typen rapporten wilt instellen die u in de lijst wilt opnemen, selecteert u Filters, kiest u in de lijst en selecteert u Toepassen.

Schermopname van de lijst Filters.

Als u meer dan één filter hebt ingesteld, kan de lijst met bedreigingsanalyserapporten ook worden gesorteerd op bedreigingstag door de kolom bedreigingstags te selecteren:

Schermopname van de kolom bedreigingstags.

Een rapport over bedreigingsanalyse weergeven

Elk rapport over bedreigingsanalyse bevat informatie in verschillende secties:

Overzicht: Snel inzicht in de bedreiging, de impact ervan beoordelen en verdedigingen beoordelen

De sectie Overzicht biedt een voorbeeld van het gedetailleerde analistenrapport. Het biedt ook grafieken die de impact van de bedreiging voor uw organisatie en uw blootstelling via onjuist geconfigureerde en niet-gepatchte apparaten markeren.

Schermopname van de overzichtssectie van een rapport over bedreigingsanalyse.

Impact op uw organisatie beoordelen

Elk rapport bevat grafieken die zijn ontworpen om informatie te bieden over de organisatorische impact van een bedreiging:

  • Gerelateerde incidenten: biedt een overzicht van de impact van de bijgehouden bedreiging voor uw organisatie met de volgende gegevens:
    • Aantal actieve waarschuwingen en het aantal actieve incidenten waarmee ze zijn gekoppeld
    • Ernst van actieve incidenten
  • Waarschuwingen in de loop van de tijd: geeft het aantal gerelateerde actieve en opgeloste waarschuwingen in de loop van de tijd weer. Het aantal opgeloste waarschuwingen geeft aan hoe snel uw organisatie reageert op waarschuwingen die zijn gekoppeld aan een bedreiging. In het ideale geval worden in de grafiek waarschuwingen weergegeven die binnen enkele dagen zijn opgelost.
  • Beïnvloede assets: toont het aantal afzonderlijke apparaten en e-mailaccounts (postvakken) waarvoor momenteel ten minste één actieve waarschuwing is gekoppeld aan de bijgehouden bedreiging. Waarschuwingen worden geactiveerd voor postvakken die bedreigingsmails hebben ontvangen. Controleer beleid op organisatie- en gebruikersniveau op onderdrukkingen die de levering van bedreigingsmails veroorzaken.
  • Verhinderde e-mailpogingen: toont het aantal e-mailberichten van de afgelopen zeven dagen dat is geblokkeerd vóór de bezorging of dat is bezorgd in de map ongewenste e-mail.

Beveiligingstolerantie en -houding controleren

Elk rapport bevat grafieken die een overzicht geven van hoe tolerant uw organisatie is tegen een bepaalde bedreiging:

  • Status van beveiligde configuratie: geeft het aantal apparaten met onjuist geconfigureerde beveiligingsinstellingen weer. Pas de aanbevolen beveiligingsinstellingen toe om de bedreiging te beperken. Apparaten worden beschouwd als veilig als ze alle bijgehouden instellingen hebben toegepast.
  • Patchstatus van beveiligingsproblemen: geeft het aantal kwetsbare apparaten weer. Beveiligingsupdates of patches toepassen om beveiligingsproblemen te verhelpen die door de bedreiging worden misbruikt.

Analistenrapport: Krijg deskundig inzicht van Microsoft-beveiligingsonderzoekers

Lees in de sectie Analistenrapport de gedetailleerde deskundige beschrijving. De meeste rapporten bevatten gedetailleerde beschrijvingen van aanvalsketens, waaronder tactieken en technieken die zijn toegewezen aan het MITRE ATT&CK-framework, uitgebreide lijsten met aanbevelingen en krachtige richtlijnen voor het opsporen van bedreigingen .

Meer informatie over het analistenrapport

Het tabblad Gerelateerde incidenten bevat een lijst met alle incidenten met betrekking tot de bijgehouden bedreiging. U kunt incidenten toewijzen of waarschuwingen beheren die aan elk incident zijn gekoppeld.

Schermopname van de sectie gerelateerde incidenten van een rapport over bedreigingsanalyse.

Betrokken assets: lijst met betrokken apparaten en postvakken ophalen

Een asset wordt beschouwd als beïnvloed als deze wordt beïnvloed door een actieve, onopgeloste waarschuwing. Op het tabblad Betrokken assets ziet u de volgende typen betrokken assets:

  • Beïnvloede apparaten: eindpunten met onopgeloste Microsoft Defender voor Eindpunt waarschuwingen. Deze waarschuwingen worden meestal geactiveerd bij het zien van bekende bedreigingsindicatoren en -activiteiten.
  • Betrokken postvakken: postvakken die e-mailberichten hebben ontvangen die Microsoft Defender voor Office 365-waarschuwingen hebben geactiveerd. Hoewel de meeste berichten die waarschuwingen activeren doorgaans worden geblokkeerd, kan beleid op gebruikers- of organisatieniveau filters overschrijven.

Schermopname van de sectie met betrokken assets van een rapport over bedreigingsanalyse.

Geblokkeerde e-mailpogingen: geblokkeerde of ongewenste bedreigingsmails weergeven

Microsoft Defender voor Office 365 blokkeert doorgaans e-mailberichten met bekende bedreigingsindicatoren, waaronder schadelijke koppelingen of bijlagen. In sommige gevallen verzenden proactieve filtermechanismen die controleren op verdachte inhoud in plaats daarvan bedreigings-e-mailberichten naar de map ongewenste e-mail. In beide gevallen is de kans dat de bedreiging malwarecode op het apparaat start, kleiner.

Op het tabblad Voorkomen e-mailpogingen vindt u alle e-mailberichten die zijn geblokkeerd vóór de bezorging of die zijn verzonden naar de map ongewenste e-mail door Microsoft Defender voor Office 365.

Schermopname van de sectie met verhinderde e-mailpogingen van een rapport over bedreigingsanalyse.

Blootstelling en risicobeperking: bekijk de lijst met risicobeperkingen en de status van uw apparaten

Bekijk in de sectie Blootstelling & risicobeperking de lijst met specifieke aanbevelingen die kunnen worden uitgevoerd waarmee u de tolerantie van uw organisatie tegen de bedreiging kunt vergroten. De lijst met bijgehouden risicobeperkingen bevat:

  • Beveiligingsupdates: implementatie van ondersteunde softwarebeveiligingsupdates voor beveiligingsproblemen op onboarded apparaten
  • Ondersteunde beveiligingsconfiguraties
    • Cloudbeveiliging
    • Mogelijk ongewenste toepassingsbeveiliging (PUA)
    • Realtime-beveiliging

Informatie over risicobeperking in deze sectie bevat gegevens van Microsoft Defender Vulnerability Management, die ook gedetailleerde inzoominformatie biedt via verschillende koppelingen in het rapport.

De sectie risicobeperking van een rapport over bedreigingsanalyse met details van de beveiligde configuratie

De sectie Risicobeperking van een rapport over bedreigingsanalyse met details van beveiligingsproblemen

Sectie Blootstelling & risicobeperking van een rapport over bedreigingsanalyse

E-mailmeldingen instellen voor rapportupdates

U kunt e-mailmeldingen instellen waarmee u updates over bedreigingsanalyserapporten ontvangt. Als u e-mailmeldingen wilt maken, volgt u de stappen in e-mailmeldingen ophalen voor updates voor bedreigingsanalyse in Microsoft Defender XDR.

Aanvullende rapportdetails en beperkingen

Opmerking

Als onderdeel van de geïntegreerde beveiligingservaring is bedreigingsanalyse nu niet alleen beschikbaar voor Microsoft Defender voor Eindpunt, maar ook voor Microsoft Defender voor Office 365 licentiehouders.

Als u de Microsoft 365-beveiligingsportal (Microsoft Defender XDR) niet gebruikt, kunt u ook de rapportdetails (zonder de Microsoft Defender voor Office-gegevens) bekijken in de Microsoft Defender-beveiligingscentrum portal ( Microsoft Defender voor Eindpunt).

Voor toegang tot rapporten van bedreigingsanalyse hebt u bepaalde rollen en machtigingen nodig. Zie Aangepaste rollen in op rollen gebaseerd toegangsbeheer voor Microsoft Defender XDR voor meer informatie.

  • Als u waarschuwingen, incidenten of betrokken activagegevens wilt weergeven, moet u machtigingen hebben voor Microsoft Defender voor Office- of Microsoft Defender voor Eindpunt-waarschuwingsgegevens, of beide.
  • Als u verhinderde e-mailpogingen wilt weergeven, moet u gemachtigd zijn om Microsoft Defender voor Office-opsporingsgegevens.
  • Als u oplossingen wilt weergeven, moet u machtigingen hebben voor Defender Vulnerability Management-gegevens in Microsoft Defender voor Eindpunt.

Wanneer u de gegevens van bedreigingsanalyse bekijkt, moet u rekening houden met de volgende factoren:

  • In grafieken worden alleen risicobeperkingen weergegeven die worden bijgehouden. Controleer het rapportoverzicht op aanvullende oplossingen die niet in de grafieken worden weergegeven.
  • Risicobeperkingen garanderen geen volledige tolerantie. De geboden oplossingen weerspiegelen de best mogelijke acties die nodig zijn om de tolerantie te verbeteren.
  • Apparaten worden geteld als 'niet beschikbaar' als ze geen gegevens naar de service hebben verzonden.
  • Antivirusgerelateerde statistieken zijn gebaseerd op Microsoft Defender Antivirus-instellingen. Apparaten met antivirusoplossingen van derden kunnen worden weergegeven als 'beschikbaar'.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.