Аналитический отчет по аналитике угроз
Область применения:
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Каждый отчет по аналитике угроз включает динамические разделы и полный письменный раздел, называемый аналитическим отчетом. Чтобы открыть этот раздел, откройте отчет о отслеживаемой угрозе и перейдите на вкладку Отчет аналитика .
Раздел отчета аналитики в отчете об аналитике угроз
Сканирование отчета аналитика
Каждый раздел аналитического отчета предназначен для предоставления практических сведений. Хотя отчеты различаются, большинство отчетов включают разделы, описанные в следующей таблице.
Раздел отчета | Описание |
---|---|
Сводка для руководства | Общие сведения об угрозе, в том числе о том, когда она была впервые замечена, ее мотивы, важные события, основные цели, а также различные инструменты и методы. Эти сведения можно использовать для дальнейшей оценки того, как определить приоритеты угрозы в контексте отрасли, географического расположения и сети. |
Анализ | Техническая информация об угрозах, включая сведения об атаке и о том, как злоумышленники могут использовать новый метод или область атаки |
MitRE ATT&наблюдаемых методов CK | Сопоставление наблюдаемых методов с платформой атак MITRE ATT&CK |
Устранение рисков | Рекомендации, которые могут остановить или помочь уменьшить влияние угрозы. В этом разделе также содержатся сведения о мерах по устранению рисков, которые не отслеживаются динамически в рамках отчета об аналитике угроз. |
Сведения об обнаружении | Конкретные и универсальные обнаружения, предоставляемые решениями майкрософт для обеспечения безопасности, которые могут отображать действия или компоненты, связанные с угрозой. |
Расширенная охота | Расширенные запросы охоты для упреждающего определения возможной активности угроз. Большинство запросов предоставляются в дополнение к обнаружению, особенно для обнаружения потенциально вредоносных компонентов или поведения, которые не могут быть динамически оценены как вредоносные. |
Ссылки | Публикации Майкрософт и сторонних разработчиков, на которые ссылались аналитики во время создания отчета. Содержимое аналитики угроз основано на данных, проверенных исследователями Майкрософт. Информация из общедоступных сторонних источников четко определяется как таковая. |
Журнал изменений | Время публикации отчета и время внесения в отчет существенных изменений. |
Применение дополнительных мер по устранению рисков
Аналитика угроз динамически отслеживает состояние обновлений для системы безопасности и безопасные конфигурации. Эти сведения доступны в виде диаграмм и таблиц на вкладке Устранение рисков .
Помимо этих отслеживаемых мер по устранению рисков, в аналитическом отчете также рассматриваются способы устранения рисков, которые не отслеживаются динамически. Ниже приведены некоторые примеры важных мер по устранению рисков, которые не отслеживаются динамически.
- Блокировка сообщений электронной почты с помощью .lnk вложений или других подозрительных типов файлов
- Рандомизация паролей локального администратора
- Информирование пользователей о фишинговой электронной почте и других векторах угроз
- Включение определенных правил сокращения направлений атак
Хотя вы можете использовать вкладку "Устранение рисков " для оценки состояния безопасности в случае угрозы, эти рекомендации позволяют предпринять дополнительные шаги по улучшению состояния безопасности. Внимательно прочитайте все рекомендации по устранению рисков в аналитическом отчете и применяйте их, когда это возможно.
Узнайте, как можно обнаружить каждую угрозу
Аналитический отчет также содержит сведения об обнаружении из Microsoft Defender возможностей антивирусной программы и обнаружения конечных точек (EDR).
Обнаружение антивирусной программы
Эти обнаружения доступны на устройствах с включенной антивирусной программой Microsoft Defender в Windows. Когда эти обнаружения происходят на устройствах, подключенных к Microsoft Defender для конечной точки, они также активируют оповещения, которые освещают диаграммы в отчете.
Примечание.
В аналитическом отчете также перечислены универсальные обнаружения , которые могут выявлять широкий спектр угроз, в дополнение к компонентам или поведению, характерным для отслеживаемой угрозы. Эти универсальные обнаружения не отражаются на диаграммах.
Оповещения об обнаружении и реагировании конечных точек (EDR)
Оповещения EDR создаются для устройств, подключенных к Microsoft Defender для конечной точки. Эти оповещения обычно используют сигналы безопасности, собранные датчиком Microsoft Defender для конечной точки и другими возможностями конечных точек (например, антивирусной программой, защитой от сети, защитой от незаконного копирования), которые служат мощными источниками сигнала.
Как и список обнаружений антивирусной программой, некоторые оповещения EDR предназначены для общего флага подозрительного поведения, которое может не быть связано с отслеживаемой угрозой. В таких случаях отчет четко определяет оповещение как "универсальное" и не влияет ни на какие диаграммы в отчете.
Поиск тонких артефактов угроз с помощью расширенной охоты
Хотя обнаружение позволяет обнаруживать и останавливать отслеживаемую угрозу автоматически, многие действия атаки оставляют незначительные следы, требующие дополнительной проверки. Некоторые действия атаки демонстрируют поведение, которое также может быть нормальным, поэтому динамическое их обнаружение может привести к операционному шуму или даже ложным срабатываниям.
Расширенная охота предоставляет интерфейс запросов на основе язык запросов Kusto, который упрощает поиск тонких индикаторов активности угроз. Он также позволяет отображать контекстную информацию и проверять, связаны ли индикаторы с угрозой.
Расширенные охотничьи запросы в аналитических отчетах были проверены аналитиками Майкрософт и готовы к выполнению в расширенном редакторе запросов охоты. Запросы также можно использовать для создания настраиваемых правил обнаружения , которые активируют оповещения для будущих совпадений.
Статьи по теме
- Обзор аналитики угроз
- Упреждающее поиск угроз с помощью расширенной охоты
- Правила настраиваемого обнаружения
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по