Analizowanie analizy zagrożeń

  • 3 min

Analiza zagrożeń to rozwiązanie analizy zagrożeń od ekspertów firmy Microsoft ds. zabezpieczeń. Zaprojektowano go tak, aby zespoły ds. zabezpieczeń mogły być tak wydajne, jak to możliwe, w obliczu pojawiających się zagrożeń, takich jak:

  • Aktywni aktorzy zagrożeń i ich kampanie
  • Popularne i nowe techniki ataków
  • Krytyczne luki w zabezpieczeniach
  • Typowe powierzchnie ataków
  • Powszechne złośliwe oprogramowanie

Dostęp do analizy zagrożeń można uzyskać z lewej górnej strony menu nawigacji portalu zabezpieczeń usługi Microsoft Defender, rozwijając pozycję Analiza zagrożeń lub z dedykowanej karty pulpitu nawigacyjnego analizy zagrożeń, która pokazuje zagrożenia organizacji, zarówno pod względem wpływu, jak i pod względem narażenia.

Zrzut ekranu przedstawiający pulpit nawigacyjny analizy zagrożeń.

Zagrożenia o wysokim wpływie mają największy potencjał, aby spowodować szkodę, podczas gdy zagrożenia związane z wysoką ekspozycją to te, do których twoje zasoby są najbardziej narażone. Uzyskanie widoczności aktywnych lub bieżących kampanii i poznanie, co należy zrobić za pośrednictwem analizy zagrożeń, może pomóc w uzyskaniu informacji o decyzjach zespołu ds. operacji zabezpieczeń.

Dzięki bardziej zaawansowanym przeciwnikom i nowym zagrożeniom pojawiającym się często i powszechnie, niezwykle ważne jest, aby móc szybko:

  • Identyfikowanie i reagowanie na pojawiające się zagrożenia
  • Dowiedz się, czy obecnie atakujesz
  • Ocena wpływu zagrożenia na zasoby
  • Przegląd odporności na zagrożenia lub narażenie na nie
  • Identyfikowanie działań zaradczych, odzyskiwania lub zapobiegania, które można podjąć, aby zatrzymać lub zawierać zagrożenia

Każdy raport zawiera analizę śledzonego zagrożenia i obszerne wskazówki dotyczące obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazując, czy zagrożenie jest aktywne i czy zastosowano odpowiednie zabezpieczenia.

Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń

Pulpit nawigacyjny analizy zagrożeń wyróżnia raporty, które są najbardziej istotne dla twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:

  • Najnowsze zagrożenia — zawiera listę ostatnio opublikowanych lub zaktualizowanych raportów zagrożeń wraz z liczbą aktywnych i rozwiązanych alertów.
  • Zagrożenia o dużym wpływie — wyświetla listę zagrożeń, które mają najwyższy wpływ na twoją organizację. W tej sekcji wymieniono zagrożenia z największą liczbą aktywnych i rozwiązanych alertów.
  • Najwyższa ekspozycja — najpierw wyświetla listę zagrożeń o najwyższym poziomie narażenia. poziom narażenia zagrożenia jest obliczany przy użyciu dwóch informacji: jak poważne są luki w zabezpieczeniach związane z zagrożeniem i ile urządzeń w organizacji może zostać wykorzystanych przez te luki w zabezpieczeniach.

Wybranie zagrożenia z poziomu pulpitu nawigacyjnego wyświetla raport dla tego zagrożenia.

Wyświetlanie raportu analizy zagrożeń. Każdy raport analizy zagrożeń zawiera informacje w kilku sekcjach:

  • Omówienie
  • Raport analityka
  • Powiązane zdarzenia
  • Zasoby, których to dotyczy
  • Uniemożliwione próby wiadomości e-mail
  • Narażenie i środki zaradcze

Omówienie: Szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd obrony

Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które podkreślają wpływ zagrożenia na organizację, oraz ekspozycję za pośrednictwem nieprawidłowo skonfigurowanych i nienaprawionych urządzeń.

Ocena wpływu na organizację

Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o wpływie organizacji na zagrożenie:

  • Powiązane zdarzenia — zawiera omówienie wpływu śledzonego zagrożenia dla organizacji z liczbą aktywnych alertów i liczbą aktywnych zdarzeń, które są skojarzone z aktywnymi zdarzeniami i ważnością aktywnych zdarzeń
  • Alerty w czasie — pokazuje liczbę powiązanych alertów aktywnych i rozwiązanych w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty skojarzone z zagrożeniem. W idealnym przypadku wykres powinien pokazywać alerty rozwiązane w ciągu kilku dni.
  • Zasoby, których dotyczy problem — pokazuje liczbę unikatowych urządzeń i kont e-mail (skrzynek pocztowych), które obecnie mają co najmniej jeden aktywny alert skojarzony ze śledzonym zagrożeniem. Alerty są wyzwalane dla skrzynek pocztowych, które otrzymały wiadomości e-mail o zagrożeniach. Przejrzyj zasady organizacji i na poziomie użytkownika, aby zastąpić, które powodują dostarczanie wiadomości e-mail o zagrożeniach.
  • Zablokowane próby wiadomości e-mail — pokazuje liczbę wiadomości e-mail z ostatnich siedmiu dni, które zostały zablokowane przed dostarczeniem lub dostarczone do folderu wiadomości-śmieci.

Przegląd odporności i stanu zabezpieczeń

Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:

  • Stan bezpiecznej konfiguracji — pokazuje liczbę urządzeń z błędnie skonfigurowanymi ustawieniami zabezpieczeń. Zastosuj zalecane ustawienia zabezpieczeń, aby zapobiec zagrożeniu. Urządzenia są uznawane za bezpieczne, jeśli zastosowano wszystkie śledzone ustawienia.
  • Stan stosowania poprawek luk w zabezpieczeniach — pokazuje liczbę zagrożonych urządzeń. Stosowanie aktualizacji zabezpieczeń lub poprawek w celu rozwiązania luk w zabezpieczeniach wykorzystywanych przez zagrożenie.

Wyświetlanie raportów według tagów zagrożeń

Listę raportów zagrożeń można filtrować i wyświetlać najbardziej odpowiednie raporty zgodnie z określonym tagiem zagrożenia (kategoria) lub typem raportu.

  • Tagi zagrożeń — ułatwiają wyświetlanie najbardziej odpowiednich raportów zgodnie z określoną kategorią zagrożeń. Na przykład wszystkie raporty związane z oprogramowaniem wymuszającym okup.
  • Typy raportów — ułatwiają wyświetlanie najbardziej odpowiednich raportów zgodnie z określonym typem raportu. Na przykład wszystkie raporty, które obejmują narzędzia i techniki.
  • Filtry — ułatwiają efektywne przeglądanie listy raportów zagrożeń i filtrowanie widoku na podstawie określonego tagu zagrożenia lub typu raportu. Na przykład przejrzyj wszystkie raporty zagrożeń związane z kategorią oprogramowania wymuszającego okup lub raportami zagrożeń, które obejmują luki w zabezpieczeniach.

Jak to działa?

Zespół ds. analizy zagrożeń firmy Microsoft dodał tagi zagrożeń do każdego raportu zagrożeń:

Dostępne są teraz cztery tagi zagrożeń:

  • Oprogramowanie wymuszające okup
  • Wyłudzanie informacji
  • Problemy
  • Grupa działań

Tagi zagrożeń są wyświetlane w górnej części strony analizy zagrożeń. Istnieją liczniki liczby dostępnych raportów w każdym tagu.

Raport analityka: Uzyskiwanie szczegółowych informacji ekspertów od badaczy ds. zabezpieczeń firmy Microsoft

W sekcji Raport analityka zapoznaj się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktykę i techniki mapowane na platformę MITRE ATT&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń.

Karta Powiązane zdarzenia zawiera listę wszystkich zdarzeń związanych z śledzonym zagrożeniem. Możesz przypisać zdarzenia lub zarządzać alertami połączonymi z każdym zdarzeniem.

Zasoby, których dotyczy problem: uzyskiwanie listy urządzeń i skrzynek pocztowych, których to dotyczy

Zasób jest uznawany za dotknięty, jeśli ma to wpływ na aktywny, nierozwiązany alert. Karta Zasoby, których to dotyczy, zawiera następujące typy zasobów, których to dotyczy:

  • Urządzenia, których to dotyczy — punkty końcowe, które mają nierozwiązane alerty Ochrona punktu końcowego w usłudze Microsoft Defender. Te alerty zwykle są wyzwalane na obserwacje znanych wskaźników zagrożeń i działań.

  • Skrzynki pocztowe, których dotyczy problem — skrzynki pocztowe, które otrzymały wiadomości e-mail, które wyzwoliły alerty Ochrona usługi Office 365 w usłudze Microsoft Defender. Chociaż większość komunikatów wyzwalających alerty są zwykle blokowane, zasady na poziomie użytkownika lub organizacji mogą zastąpić filtry.

Uniemożliwione próby wiadomości e-mail: Wyświetlanie wiadomości e-mail o zablokowanych lub wiadomościach niepożądanych

Ochrona usługi Office 365 w usłudze Microsoft Defender zazwyczaj blokuje wiadomości e-mail ze znanymi wskaźnikami zagrożeń, w tym złośliwymi linkami lub załącznikami. W niektórych przypadkach proaktywne mechanizmy filtrowania, które sprawdzają podejrzaną zawartość, zamiast tego będą wysyłać wiadomości e-mail o zagrożeniach do folderu wiadomości-śmieci. W obu przypadkach prawdopodobieństwo zagrożenia uruchomienia kodu złośliwego oprogramowania na urządzeniu zostanie zmniejszone.

Karta Uniemożliwione próby wiadomości e-mail zawiera listę wszystkich wiadomości e-mail, które zostały zablokowane przed dostarczeniem lub wysłane do folderu wiadomości-śmieci przez usługę Microsoft Defender dla pakietu Office.

Narażenie i środki zaradcze: Przejrzyj listę środków zaradczych i stan urządzeń

W sekcji Ekspozycja i środki zaradcze przejrzyj listę konkretnych zaleceń z możliwością działania, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje następujące elementy:

  • Aktualizacje zabezpieczeń — wdrażanie obsługiwanych aktualizacji zabezpieczeń oprogramowania w przypadku luk w zabezpieczeniach znalezionych na dołączonych urządzeniach
  • Obsługiwane konfiguracje zabezpieczeń
    • Ochrona dostarczana przez chmurę
    • Ochrona potencjalnie niechcianych aplikacji (PUA)
    • Ochrona w czasie rzeczywistym

Informacje dotyczące ograniczania ryzyka w tej sekcji zawierają dane z Zarządzanie zagrożeniami i lukami, które zawierają również szczegółowe informacje szczegółowe na temat przechodzenia do szczegółów z różnych linków w raporcie.

Konfigurowanie powiadomień e-mail dotyczących aktualizacji raportów

Możesz skonfigurować powiadomienia e-mail, które wysyłają aktualizacje raportów analizy zagrożeń.

Aby skonfigurować powiadomienia e-mail dla raportów analizy zagrożeń, wykonaj następujące kroki:

  1. Wybierz pozycję Ustawienia na pasku bocznym XDR usługi Microsoft Defender. Wybierz pozycję Microsoft Defender XDR z listy ustawień.

  2. Wybierz pozycję Powiadomienia e-mail Dotyczące > analizy zagrożeń i wybierz przycisk + Utwórz regułę powiadomienia. Zostanie wyświetlone okno wysuwane.

  3. Wykonaj kroki wymienione w wysuwaniu. Najpierw nadaj nowej regule nazwę. Pole opisu jest opcjonalne, ale wymagana jest nazwa. Regułę można włączyć lub wyłączyć przy użyciu pola wyboru w polu opisu.

    Uwaga

    Pola nazwy i opisu nowej reguły powiadomienia akceptują tylko angielskie litery i cyfry. Nie akceptują spacji, kreski, podkreśleń ani innych znaków interpunkcyjnych.

  4. Wybierz rodzaj raportów, o których chcesz otrzymywać powiadomienia. Możesz wybrać między aktualizowaniem wszystkich nowo opublikowanych lub zaktualizowanych raportów albo tylko tych raportów, które mają określony tag lub typ.

  5. Dodaj co najmniej jednego adresata, aby otrzymywać wiadomości e-mail z powiadomieniami. Możesz również użyć tego ekranu, aby sprawdzić, jak będą odbierane powiadomienia, wysyłając testową wiadomość e-mail.

  1. Przejrzyj nową regułę. Jeśli chcesz coś zmienić, wybierz przycisk Edytuj na końcu każdej podsekcji. Po zakończeniu przeglądu wybierz przycisk Utwórz regułę.

Nowa reguła została pomyślnie utworzona. Wybierz przycisk Gotowe, aby ukończyć proces i zamknąć okno wysuwane. Nowa reguła będzie teraz wyświetlana na liście powiadomień e-mail analizy zagrożeń.