Analiza zagrożeń w Microsoft Defender XDR

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Analiza zagrożeń to nasze rozwiązanie do analizy zagrożeń w produkcie od ekspertów badaczy zabezpieczeń firmy Microsoft. Jest ona zaprojektowana tak, aby pomóc zespołom ds. zabezpieczeń, aby były jak najbardziej wydajne w obliczu pojawiających się zagrożeń, takich jak:

  • Aktywni aktorzy zagrożeń i ich kampanie
  • Popularne i nowe techniki ataków
  • Krytyczne luki w zabezpieczeniach
  • Typowe powierzchnie ataków
  • Powszechnie stosowane złośliwe oprogramowanie

Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o tym, jak analiza zagrożeń może pomóc w śledzeniu najnowszych zagrożeń i ich zatrzymywaniu.

Dostęp do analizy zagrożeń można uzyskać z lewej górnej strony paska nawigacyjnego Microsoft Defender XDR lub z dedykowanej karty pulpitu nawigacyjnego, która pokazuje najważniejsze zagrożenia dla organizacji, zarówno pod względem znanego wpływu, jak i pod względem ekspozycji.

Zrzut ekranu przedstawiający stronę docelową analizy zagrożeń

Uzyskanie wglądu w aktywne lub trwające kampanie i wiedza o tym, co robić za pośrednictwem analizy zagrożeń, może pomóc w wyposażeniu zespołu ds. operacji zabezpieczeń w świadome decyzje.

Z bardziej zaawansowanych przeciwników i nowych zagrożeń pojawiających się często i powszechnie, ważne jest, aby móc szybko:

  • Identyfikowanie pojawiających się zagrożeń i reagowanie na nie
  • Dowiedz się, czy jesteś obecnie atakowany
  • Ocena wpływu zagrożenia na zasoby
  • Przejrzyj odporność na zagrożenia lub narażenie na nie
  • Identyfikowanie działań zaradczych, odzyskiwania lub zapobiegania, które można podjąć w celu zatrzymania lub ograniczenia zagrożeń

Każdy raport zawiera analizę śledzonych zagrożeń i obszerne wskazówki dotyczące sposobu obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazujące, czy zagrożenie jest aktywne i czy masz odpowiednie zabezpieczenia.

Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń

Pulpit nawigacyjny analizy zagrożeń (security.microsoft.com/threatanalytics3) wyróżnia raporty, które są najbardziej istotne dla Twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:

  • Najnowsze zagrożenia — zawiera listę ostatnio opublikowanych lub zaktualizowanych raportów o zagrożeniach wraz z liczbą aktywnych i rozwiązanych alertów.
  • Zagrożenia o dużym wpływie — zawiera listę zagrożeń, które mają największy wpływ na organizację. W tej sekcji wymieniono zagrożenia z największą liczbą aktywnych i rozwiązanych alertów.
  • Najwyższa ekspozycja — zawiera listę zagrożeń, na które organizacja ma najwyższą ekspozycję. Poziom narażenia na zagrożenie jest obliczany przy użyciu dwóch informacji: tego, jak poważne są luki w zabezpieczeniach związane z zagrożeniem i ile urządzeń w organizacji może zostać wykorzystanych przez te luki w zabezpieczeniach.

Zrzut ekranu przedstawiający pulpit nawigacyjny analizy zagrożeń,

Wybierz zagrożenie na pulpicie nawigacyjnym, aby wyświetlić raport dla tego zagrożenia. Możesz również wybrać pole Search do klucza w słowie kluczowym powiązanym z raportem analizy zagrożeń, który chcesz przeczytać.

Wyświetlanie raportów według kategorii

Możesz filtrować listę raportów zagrożeń i wyświetlać najbardziej odpowiednie raporty według określonego typu zagrożenia lub według typu raportu.

  • Tagi zagrożeń — ułatwiają wyświetlanie najbardziej odpowiednich raportów według określonej kategorii zagrożeń. Na przykład tag Ransomware zawiera wszystkie raporty związane z oprogramowaniem wymuszającym okup.
  • Typy raportów — ułatwiają wyświetlanie najbardziej odpowiednich raportów zgodnie z określonym typem raportu. Na przykład tag Tools & techniques zawiera wszystkie raporty, które obejmują narzędzia i techniki.

Różne tagi mają równoważne filtry, które ułatwiają wydajne przeglądanie listy raportów o zagrożeniach i filtrowanie widoku na podstawie określonego tagu zagrożenia lub typu raportu. Na przykład aby wyświetlić wszystkie raporty o zagrożeniach związane z kategorią oprogramowania wymuszającego okup lub raporty o zagrożeniach, które obejmują luki w zabezpieczeniach.

Zespół analizy zagrożeń firmy Microsoft dodał tagi zagrożeń do każdego raportu o zagrożeniach. Obecnie dostępne są cztery tagi zagrożeń:

  • Oprogramowanie wymuszające okup
  • Wyłudzanie informacji
  • Luka w zabezpieczeniach
  • Grupa działań

Tagi zagrożeń są wyświetlane w górnej części strony analizy zagrożeń. Istnieją liczniki dla liczby dostępnych raportów w ramach każdego tagu.

Zrzut ekranu przedstawiający tagi raportu analizy zagrożeń.

Aby ustawić typy raportów, które mają być wyświetlane na liście, wybierz pozycję Filtry, wybierz z listy i wybierz pozycję Zastosuj.

Zrzut ekranu przedstawiający listę Filtry.

Jeśli ustawiono więcej niż jeden filtr, listę raportów analizy zagrożeń można również posortować według tagu zagrożenia, wybierając kolumnę tagów zagrożeń:

Zrzut ekranu przedstawiający kolumnę tagów zagrożeń.

Wyświetlanie raportu analizy zagrożeń

Każdy raport analizy zagrożeń zawiera informacje w kilku sekcjach:

Omówienie: szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd zabezpieczeń

Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które wyróżniają wpływ zagrożenia dla organizacji oraz narażenie na nieskonfigurowane i nieprzypisane urządzenia.

Zrzut ekranu przedstawiający sekcję przeglądu raportu analizy zagrożeń.

Ocena wpływu na organizację

Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o organizacyjnym wpływie zagrożenia:

  • Powiązane zdarzenia — zawiera omówienie wpływu śledzonego zagrożenia na organizację przy użyciu następujących danych:
    • Liczba aktywnych alertów i liczba aktywnych zdarzeń, z którymi są skojarzone
    • Ważność aktywnych zdarzeń
  • Alerty w czasie — pokazuje liczbę powiązanych aktywnych i rozwiązanych alertów w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty związane z zagrożeniem. Najlepiej, aby na wykresie były wyświetlane alerty rozwiązane w ciągu kilku dni.
  • Zasoby, których dotyczy problem — pokazuje liczbę różnych urządzeń i kont e-mail (skrzynek pocztowych), które mają obecnie co najmniej jeden aktywny alert skojarzony ze śledzonym zagrożeniem. Alerty są wyzwalane dla skrzynek pocztowych, które otrzymały wiadomości e-mail z zagrożeniem. Przejrzyj zasady na poziomie organizacji i użytkownika, aby uzyskać przesłonięcia, które powodują dostarczanie wiadomości e-mail z zagrożeniami.
  • Uniemożliwione próby wysłania wiadomości e-mail — pokazuje liczbę wiadomości e-mail z ostatnich siedmiu dni, które zostały zablokowane przed dostarczeniem lub dostarczone do folderu wiadomości-śmieci.

Przegląd odporności i stanu zabezpieczeń

Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:

  • Stan bezpiecznej konfiguracji — pokazuje liczbę urządzeń z nieprawidłowo skonfigurowanymi ustawieniami zabezpieczeń. Zastosuj zalecane ustawienia zabezpieczeń, aby wyeliminować zagrożenie. Urządzenia są uznawane za bezpieczne , jeśli zostały zastosowane wszystkie śledzone ustawienia.
  • Stan stosowania poprawek luk w zabezpieczeniach — pokazuje liczbę urządzeń narażonych na zagrożenia. Stosowanie aktualizacji lub poprawek zabezpieczeń w celu rozwiązania problemów z lukami w zabezpieczeniach wykorzystywanymi przez zagrożenie.

Raport analityków: uzyskiwanie szczegółowych informacji ekspertów od badaczy zabezpieczeń firmy Microsoft

W sekcji Raport analityka zapoznaj się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktyki i techniki mapowane na strukturę mitre att&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń .

Dowiedz się więcej o raporcie analityka

Karta Powiązane zdarzenia zawiera listę wszystkich zdarzeń związanych ze śledzonym zagrożeniem. Możesz przypisywać zdarzenia lub zarządzać alertami powiązanymi z każdym zdarzeniem.

Zrzut ekranu przedstawiający sekcję powiązanych zdarzeń raportu analizy zagrożeń.

Zasoby, których dotyczy problem: pobieranie listy urządzeń i skrzynek pocztowych, których dotyczy problem

Element zawartości jest uważany za mający wpływ, jeśli ma na niego wpływ aktywny, nierozwiązany alert. Karta Zasoby, których dotyczy problem, zawiera listę następujących typów zasobów, których dotyczy problem:

  • Urządzenia, których dotyczy problem — punkty końcowe, które nie zostały rozwiązane Ochrona punktu końcowego w usłudze Microsoft Defender alertów. Te alerty zazwyczaj są wyzwalane podczas obserwacji znanych wskaźników zagrożeń i działań.
  • Skrzynki pocztowe, których to dotyczy — skrzynki pocztowe, które otrzymały wiadomości e-mail, które wyzwoliły alerty Ochrona usługi Office 365 w usłudze Microsoft Defender. Chociaż większość komunikatów wyzwalających alerty jest zwykle zablokowana, zasady na poziomie użytkownika lub organizacji mogą zastępować filtry.

Zrzut ekranu przedstawiający sekcję elementów zawartości, których dotyczy problem, raportu analizy zagrożeń.

Uniemożliwianie prób wysłania wiadomości e-mail: wyświetlanie zablokowanych lub wiadomości e-mail z zagrożeniami w wiadomościach-śmieciach

Ochrona usługi Office 365 w usłudze Microsoft Defender zazwyczaj blokuje wiadomości e-mail ze znanymi wskaźnikami zagrożeń, w tym złośliwymi linkami lub załącznikami. W niektórych przypadkach proaktywne mechanizmy filtrowania, które sprawdzają podejrzaną zawartość, zamiast tego wysyłają wiadomości e-mail z zagrożeniami do folderu wiadomości-śmieci. W obu przypadkach prawdopodobieństwo uruchomienia kodu złośliwego oprogramowania na urządzeniu przez zagrożenie zostanie zmniejszone.

Karta Uniemożliwiane próby e-mail zawiera listę wszystkich wiadomości e-mail, które zostały zablokowane przed dostarczeniem lub wysłane do folderu wiadomości-śmieci przez Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zrzut ekranu przedstawiający sekcję uniemożliwianych prób e-mail raportu analizy zagrożeń.

Narażenie i środki zaradcze: przejrzyj listę środków zaradczych i stan urządzeń

W sekcji Narażenie & środki zaradcze przejrzyj listę konkretnych zaleceń umożliwiających podjęcie działań, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje:

  • Aktualizacje zabezpieczeń — wdrażanie obsługiwanych aktualizacji zabezpieczeń oprogramowania dla luk w zabezpieczeniach znalezionych na dołączonych urządzeniach
  • Obsługiwane konfiguracje zabezpieczeń
    • Ochrona dostarczana przez chmurę
    • Ochrona potencjalnie niechcianej aplikacji (PUA)
    • Ochrona w czasie rzeczywistym

Informacje o ograniczaniu ryzyka w tej sekcji zawierają dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, które zawierają również szczegółowe informacje szczegółowe z różnych linków w raporcie.

Sekcja środków zaradczych raportu analizy zagrożeń przedstawiająca szczegóły bezpiecznej konfiguracji

Sekcja środków zaradczych raportu analizy zagrożeń przedstawiająca szczegóły luk w zabezpieczeniach

Sekcja ograniczania narażenia & raportu analizy zagrożeń

Konfigurowanie powiadomień e-mail dotyczących aktualizacji raportów

Możesz skonfigurować powiadomienia e-mail, które będą wysyłać aktualizacje raportów analizy zagrożeń. Aby utworzyć powiadomienia e-mail, wykonaj kroki opisane w temacie Pobieranie powiadomień e-mail dotyczących aktualizacji analizy zagrożeń w Microsoft Defender XDR.

Dodatkowe szczegóły raportu i ograniczenia

Uwaga

W ramach ujednoliconego środowiska zabezpieczeń analiza zagrożeń jest teraz dostępna nie tylko dla Ochrona punktu końcowego w usłudze Microsoft Defender, ale także dla Ochrona usługi Office 365 w usłudze Microsoft Defender posiadaczy licencji.

Jeśli nie używasz portalu zabezpieczeń platformy Microsoft 365 (Microsoft Defender XDR), możesz również wyświetlić szczegóły raportu (bez Microsoft Defender danych pakietu Office) w portalu Centrum zabezpieczeń usługi Microsoft Defender ( Ochrona punktu końcowego w usłudze Microsoft Defender).

Aby uzyskać dostęp do raportów analizy zagrożeń, potrzebne są określone role i uprawnienia. Aby uzyskać szczegółowe informacje, zobacz Role niestandardowe w kontroli dostępu opartej na rolach, aby uzyskać Microsoft Defender XDR.

  • Aby wyświetlić dane alertów, zdarzeń lub zasobów, których dotyczy problem, musisz mieć uprawnienia do Microsoft Defender dla pakietu Office lub Ochrona punktu końcowego w usłudze Microsoft Defender danych alertów lub obu tych elementów.
  • Aby wyświetlić uniemożliwiające próby e-mail, musisz mieć uprawnienia do Microsoft Defender dla danych wyszukiwania zagrożeń pakietu Office.
  • Aby wyświetlić środki zaradcze, musisz mieć uprawnienia do danych usługi Defender Vulnerability Management w Ochrona punktu końcowego w usłudze Microsoft Defender.

Podczas przeglądania danych analizy zagrożeń należy pamiętać o następujących czynnikach:

  • Wykresy odzwierciedlają tylko śledzone środki zaradcze. Zapoznaj się z omówieniem raportu, aby uzyskać dodatkowe środki zaradcze, które nie są wyświetlane na wykresach.
  • Środki zaradcze nie gwarantują całkowitej odporności. Podane środki zaradcze odzwierciedlają najlepsze możliwe działania potrzebne do zwiększenia odporności.
  • Urządzenia są liczone jako "niedostępne", jeśli nie przesłały danych do usługi.
  • Statystyki związane z programem antywirusowym są oparte na ustawieniach programu antywirusowego Microsoft Defender. Urządzenia z rozwiązaniami antywirusowymi innych firm mogą być wyświetlane jako "uwidocznione".

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.