Udostępnij za pośrednictwem


Omówienie raportu Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender w Microsoft Defender XDR

Dotyczy:

Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender warstwy ludzkiej inteligencji i wytrenowanych przez ekspertów technologii, aby pomóc Microsoft Defender XDR klientom zrozumieć poważne zagrożenia, przed które napotykają. Podkreślono w nim, w jaki sposób umiejętności eksperta w zakresie wyszukiwania zagrożeń w usłudze Defender, dokładne zrozumienie krajobrazu zagrożeń i wiedza na temat pojawiających się zagrożeń mogą pomóc w identyfikowaniu, określaniu priorytetów i rozwiązywaniu tych zagrożeń w środowisku.

Usługa Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender generuje raporty, aby ułatwić zrozumienie wszystkich zagrożeń, jakie usługa wyszukiwania zagrożeń pojawiła w twoim środowisku, wraz z alertami generowanymi przez produkty Microsoft Defender XDR. Raport można wyświetlić w bieżącym (uruchomionym) miesiącu lub w okresach jednego, trzech lub sześciu miesięcy.

Aby wyświetlić raport w portalu Microsoft Defender, przejdź do pozycji Raporty, wybierz pozycję Defender Experts>Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender raport. Każda sekcja raportu ma na celu zapewnienie bardziej szczegółowych informacji na temat zagrożeń i podejrzanych działań, które znaleźli eksperci usługi Defender w Twoim środowisku.

Zapoznaj się z poniższym zrzutem ekranu przykładowego raportu:

Zrzut ekranu przedstawiający raport Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender.

Identyfikowanie powszechnych zagrożeń i innych potencjalnych punktów wejścia do ataku

Sygnały z Microsoft Defender XDR i badania przez Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender pomagają zidentyfikować podejrzane działania w twoim środowisku. Istotne działania związane z zagrożeniami będą miały odpowiednie powiadomienia ekspertów w usłudze Defender, które udostępniają również zalecenia dotyczące korygowania i obrony organizacji.

Raport zawiera łączną liczbę powiadomień ekspertów usługi Defender wysłanych przez naszych ekspertów w wybranym okresie:

Zrzut ekranu przedstawiający górną sekcję raportu pokazującą liczbę zidentyfikowanych zagrożeń

Aby wyświetlić te powiadomienia, wybierz pozycję Wyświetl powiadomienia ekspertów usługi Defender. Ten przycisk przekierowuje Cię do strony zdarzeń Microsoft Defender XDR. Alerty defender expert for Hunting lub powiadomienia ekspertów w usłudze Defender są oznaczone etykietą Defender Experts.

Uwaga

Przycisk Wyświetl powiadomienia ekspertów usługi Defender jest wyświetlany tylko wtedy, gdy liczba zidentyfikowanych zagrożeń wynosi co najmniej 1.

Wszystkie inne zidentyfikowane działania są podsumowane w tabeli w sekcji Kategorie zagrożeń raportu. Kolumny reprezentują różne taktyki i kategorie ataków na zagrożenia, które ułatwiają wizualizowanie tego, co działanie próbuje osiągnąć w każdej fazie ataku, aby można było zaplanować odpowiednie akcje ograniczania i korygowania.

Możesz filtrować działania wyświetlane w tabeli, wybierając dowolną z następujących opcji z menu rozwijanego:

  • Podejrzane działania (domyślne) — wyświetla zidentyfikowane działania prawdziwie dodatnie i niegroźne prawdziwie pozytywne w danym środowisku. Należy pamiętać, że nie wszystkie podejrzane działania będą miały odpowiednie powiadomienia ekspertów usługi Defender.
  • Powiadomienie DEX — wyświetla działania z odpowiednimi powiadomieniami ekspertów usługi Defender.
  • Wszystkie działania — wyświetla wszystkie działania prawdziwie dodatnie, niegroźne prawdziwie dodatnie i fałszywie dodatnie.

Zrzut ekranu przedstawiający górną sekcję kategorii zagrożeń z menu rozwijanego.

Jeśli działanie ma powiązane powiadomienie eksperta usługi Defender, jego odpowiednia ikona jest również wyświetlana pod nazwą działania. Wybranie zidentyfikowanego podejrzanego działania powoduje otwarcie panelu wysuwanego z wyszczególnionymi urządzeniami i użytkownikami, których dotyczy problem:

Zrzut ekranu przedstawiający panel wysuwany z listą urządzeń, których dotyczy wykryte podejrzane działanie.

Jeśli ma to zastosowanie, strona zawiera również linki do wyświetlania powiązanych powiadomień ekspertów usługi Defender.

Znajomość i zrozumienie słabych punktów zabezpieczeń w środowisku

W sekcji Najpopularniejsze podejrzane działania raportu zidentyfikowano maksymalnie 20 podejrzanych działań, które były stale obserwowane w twoim środowisku w ciągu ostatnich trzech miesięcy, posortowane na podstawie ich ważności i częstotliwości występowania:

Zrzut ekranu przedstawiający sekcję Najpopularniejsze podejrzane działania w raporcie.

Pokazując najbardziej krytyczne i często obserwowane działania, można ocenić i ocenić ich wpływ oraz opracować strategie zapobiegania lub eliminowania potencjalnych zagrożeń dla środowiska

Wybierz pozycję Wyświetl szczegóły na każdej karcie, aby otworzyć panel wysuwany z wyszczególnionymi urządzeniami i użytkownikami, których dotyczy problem. Jeśli ma to zastosowanie, strona zawiera również linki do wyświetlania powiązanych powiadomień ekspertów usługi Defender.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.