Omówienie raportu analityka w analizie zagrożeń w Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Każdy raport analizy zagrożeń zawiera sekcje dynamiczne i kompleksową pisemną sekcję o nazwie raport analityka. Aby uzyskać dostęp do tej sekcji, otwórz raport o śledzonym zagrożeniu i wybierz kartę Raport analityka .
Sekcja raportu analityka raportu analizy zagrożeń
Skanowanie raportu analityka
Każda sekcja raportu analityka ma na celu dostarczenie praktycznych informacji. Chociaż raporty są różne, większość raportów zawiera sekcje opisane w poniższej tabeli.
| Sekcja raportu | Opis |
|---|---|
| Streszczenie | Omówienie zagrożenia, w tym informacje o tym, kiedy po raz pierwszy zaobserwowano, jego motywacje, znaczące zdarzenia, główne cele oraz różne narzędzia i techniki. Te informacje umożliwiają dalszą ocenę sposobu określania priorytetów zagrożenia w kontekście branży, lokalizacji geograficznej i sieci. |
| Analizę | Informacje techniczne dotyczące zagrożeń, w tym szczegóły ataku i sposobu, w jaki osoby atakujące mogą korzystać z nowej techniki lub powierzchni ataku |
| Obserwowane techniki&CK MITRE ATT | Jak obserwowane techniki są mapowane na strukturę ataków MITRE ATT&CK |
| Czynniki | Zalecenia, które mogą zatrzymać lub zmniejszyć wpływ zagrożenia. Ta sekcja zawiera również środki zaradcze, które nie są śledzone dynamicznie w ramach raportu analizy zagrożeń. |
| Szczegóły wykrywania | Specyficzne i ogólne wykrycia udostępniane przez rozwiązania zabezpieczeń firmy Microsoft, które mogą eksplorować działania lub składniki skojarzone z zagrożeniem. |
| Zaawansowane wyszukiwanie zagrożeń | Zaawansowane zapytania dotyczące wyszukiwania zagrożeń w celu proaktywnego identyfikowania możliwych działań związanych z zagrożeniami. Większość zapytań jest dostarczanych w celu uzupełnienia wykrywania, szczególnie w przypadku lokalizowania potencjalnie złośliwych składników lub zachowań, których nie można dynamicznie ocenić jako złośliwych. |
| Informacje | Publikacje firmy Microsoft i innych firm, do których odwołują się analitycy podczas tworzenia raportu. Zawartość analizy zagrożeń jest oparta na danych zweryfikowanych przez badaczy firmy Microsoft. Informacje z publicznie dostępnych źródeł innych firm są wyraźnie identyfikowane jako takie. |
| Dziennik zmian | Czas publikacji raportu i czas wprowadzania istotnych zmian w raporcie. |
Stosowanie dodatkowych środków zaradczych
Analiza zagrożeń dynamicznie śledzi stan aktualizacji zabezpieczeń i bezpiecznych konfiguracji. Te informacje są dostępne jako wykresy i tabele na karcie Ograniczenia ryzyka & ekspozycji .
Oprócz tych śledzonych środków zaradczych raport analityków omawia również środki zaradcze, które nie są dynamicznie monitorowane. Oto kilka przykładów ważnych środków zaradczych, które nie są śledzone dynamicznie:
- Blokuj wiadomości e-mail z załącznikami .lnk lub innymi podejrzanymi typami plików
- Losowe hasła administratora lokalnego
- Informowanie użytkowników końcowych o wiadomościach e-mail dotyczących wyłudzania informacji i innych wektorach zagrożeń
- Włączanie określonych reguł zmniejszania obszaru ataków
Chociaż możesz użyć karty Środki zaradcze & ekspozycji, aby ocenić stan bezpieczeństwa przed zagrożeniem, te zalecenia umożliwiają podjęcie dodatkowych kroków w kierunku poprawy stanu bezpieczeństwa. Uważnie przeczytaj wszystkie wskazówki dotyczące ograniczania ryzyka w raporcie analityka i zastosuj je zawsze, gdy jest to możliwe.
Dowiedz się, jak można wykryć każde zagrożenie
Raport analityka zawiera również funkcje wykrywania i reagowania na nie za pomocą programu antywirusowego Microsoft Defender oraz wykrywania i reagowania na punkty końcowe (EDR).
Wykrywanie oprogramowania antywirusowego
Te wykrycia są dostępne na urządzeniach z włączonym programem antywirusowym Microsoft Defender w systemie Windows. Gdy te wykrycia wystąpią na urządzeniach dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender, wyzwalają one również alerty, które rozświetlają wykresy w raporcie.
Uwaga
Raport analityków zawiera również listę wykrywania ogólnego , które może identyfikować szeroki zakres zagrożeń, oprócz składników lub zachowań specyficznych dla śledzonego zagrożenia. Te wykrywania ogólne nie są odzwierciedlane na wykresach.
Alerty wykrywania i reagowania na punkty końcowe (EDR)
Alerty EDR są wywoływane dla urządzeń dołączonych do Ochrona punktu końcowego w usłudze Microsoft Defender. Te alerty zwykle opierają się na sygnałach zabezpieczeń zbieranych przez czujnik Ochrona punktu końcowego w usłudze Microsoft Defender i inne możliwości punktów końcowych — takie jak oprogramowanie antywirusowe, ochrona sieci, ochrona przed naruszeniami — które służą jako zaawansowane źródła sygnału.
Podobnie jak na liście wykrywania programów antywirusowych, niektóre alerty EDR są przeznaczone do ogólnego oznaczania podejrzanych zachowań, które mogą nie być skojarzone ze śledzonym zagrożeniem. W takich przypadkach raport wyraźnie zidentyfikuje alert jako "ogólny" i nie będzie miał wpływu na żaden z wykresów w raporcie.
wykrywanie i środki zaradcze związane z Email
Email wykrywanie i środki zaradcze z Ochrona usługi Office 365 w usłudze Microsoft Defender są uwzględniane w raportach analityków oprócz danych punktu końcowego, które są już dostępne z Ochrona punktu końcowego w usłudze Microsoft Defender.
Informacje o uniemożliwionej próbie wysłania wiadomości e-mail zapewniają szczegółowe informacje na temat tego, czy Twoja organizacja była celem zagrożenia, które zostało rozwiązane w raporcie analityka, nawet jeśli atak został skutecznie zablokowany przed dostarczeniem lub dostarczeniem do folderu wiadomości-śmieci.
Znajdowanie subtelnych artefaktów zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń
Chociaż wykrywanie umożliwia automatyczne identyfikowanie i zatrzymywanie śledzonych zagrożeń, wiele działań związanych z atakiem pozostawia subtelne ślady, które wymagają dodatkowej inspekcji. Niektóre działania związane z atakiem wykazują zachowania, które mogą być również normalne, więc ich dynamiczne wykrywanie może spowodować szum operacyjny, a nawet fałszywie dodatnie.
Zaawansowane wyszukiwanie zagrożeń zapewnia interfejs zapytań oparty na język zapytań Kusto, który upraszcza lokalizowanie subtelnych wskaźników aktywności zagrożeń. Umożliwia również wyświetlanie informacji kontekstowych i sprawdzanie, czy wskaźniki są połączone z zagrożeniem.
Zaawansowane zapytania dotyczące wyszukiwania zagrożeń w raportach analityków zostały sprawdzone przez analityków firmy Microsoft i są gotowe do uruchomienia w zaawansowanym edytorze zapytań wyszukiwania zagrożeń. Zapytania umożliwiają również tworzenie niestandardowych reguł wykrywania , które wyzwalają alerty dla przyszłych dopasowań.
Uwaga
Analiza zagrożeń jest również dostępna w Ochrona punktu końcowego w usłudze Microsoft Defender. Nie ma jednak integracji danych między Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender.
Tematy pokrewne
- Analiza zagrożeń — omówienie
- Proaktywne znajdowanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń
- Niestandardowe reguły wykrywania
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla