Отслеживание новых угроз и реагирование на них с помощью аналитики угроз
Область применения:
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
С более изощренными противниками и новыми угрозами, возникающими часто и широко, очень важно иметь возможность быстро:
- Оценка влияния новых угроз
- Проверка устойчивости к угрозам или подверженности их воздействию
- Определение действий, которые можно предпринять для остановки или сдерживания угроз
Аналитика угроз — это набор отчетов от экспертных исследователей безопасности Майкрософт, охватывающих наиболее актуальные угрозы, в том числе:
- Активные участники угроз и их кампании
- Популярные и новые приемы атаки
- Критические уязвимости
- Распространенные направления атак.
- Распространенные вредоносные программы.
Каждый отчет содержит подробный анализ угрозы и подробные рекомендации по защите от этой угрозы. Он также включает данные из вашей сети, указывающие, активна ли угроза и есть ли у вас применимые средства защиты.
Просмотрите это короткое видео, чтобы узнать больше о том, как аналитика угроз может помочь вам отслеживать последние угрозы и устранять их.
Обязательные роли и разрешения
В следующей таблице описаны роли и разрешения, необходимые для доступа к Аналитике угроз. Роли, определенные в таблице ниже, относятся к пользовательским ролям на отдельных порталах и не связаны с глобальными ролями в Microsoft Entra ID, даже если они имеют аналогичное имя.
Для Microsoft Defender XDR требуется одна из следующих ролей. | Для Defender для конечной точки требуется одна из следующих ролей. | Для Defender для Office 365 требуется одна из следующих ролей. | Для Defender for Cloud Apps требуется одна из следующих ролей. |
---|---|---|---|
Аналитика угроз | Данные оповещений и инцидентов:
|
Данные оповещений и инцидентов:
|
Недоступно для пользователей Defender для облачных приложений или MDI |
Просмотр панели аналитики угроз
Панель мониторинга аналитики угроз — это отличная точка перехода к отчетам, которые наиболее важны для вашей организации. Угрозы суммируются в следующих разделах:
- Последние угрозы: Списки последние опубликованные отчеты об угрозах, а также количество устройств с активными и разрешенными оповещениями.
- Угрозы с высоким воздействием: Списки угрозы, которые оказали наибольшее влияние на организацию. В этом разделе угрозы ранжировались по количеству устройств с активными оповещениями.
- Сводка по угрозам: показывает общее влияние отслеживаемых угроз, показывая количество угроз с активными и разрешенными оповещениями.
Выберите угрозу на информационной панели, чтобы просмотреть отчет об этой угрозе.
Просмотр отчета об аналитике угроз
Каждый отчет по аналитике угроз содержит сведения в трех разделах: Обзор, Аналитический отчет и Устранение рисков.
Обзор. Быстрое понимание угрозы, оценка ее влияния и проверка защиты
В разделе Обзор представлена предварительная версия подробного аналитического отчета. Он также содержит диаграммы, на которые показано влияние угрозы на вашу организацию и вашу уязвимость через неправильно настроенные и незарегистрированные устройства.
. Раздел Обзор отчета об аналитике угроз
Оценка влияния на организацию
Каждый отчет включает диаграммы, предназначенные для предоставления информации об организационном влиянии угрозы:
- Устройства с оповещениями. Отображает текущее количество отдельных устройств, на которые повлияла угроза. Устройство классифицируется как активное , если с этой угрозой связано хотя бы одно оповещение, и устранено , если все оповещения, связанные с угрозой на устройстве, были устранены.
- Устройства с оповещениями с течением времени. Отображает количество отдельных устройств с активными и разрешенными оповещениями с течением времени. Количество разрешенных оповещений указывает, как быстро ваша организация реагирует на оповещения, связанные с угрозой. В идеале на диаграмме должны отображаться оповещения, устраненные в течение нескольких дней.
Проверка устойчивости и состояния системы безопасности
Каждый отчет содержит диаграммы с общими сведениями о том, насколько устойчива ваша организация к определенной угрозе:
- Состояние конфигурации безопасности. Отображает количество устройств, на которых применены рекомендуемые параметры безопасности, которые помогут устранить угрозу. Устройства считаются безопасными , если они применили все отслеживаемые параметры.
- Состояние исправления уязвимостей. Показывает количество устройств, на которых были применены обновления для системы безопасности или исправления, устраняющие уязвимости, используемые угрозой.
Аналитический отчет: получение экспертных аналитических сведений от исследователей безопасности Майкрософт
Перейдите в раздел Аналитический отчет , чтобы прочитать подробные сведения о записи эксперта. Большинство отчетов содержат подробное описание цепочек атак, включая тактику и методы, сопоставленные с платформой MITRE ATT&CK, исчерпывающие списки рекомендаций и мощные рекомендации по охоте на угрозы .
Дополнительные сведения об аналитическом отчете
Устранение рисков: просмотрите список мер по устранению рисков и состояние устройств.
В разделе Устранение рисков просмотрите список конкретных практических рекомендаций, которые помогут повысить устойчивость организации к угрозе. Список отслеживаемых мер включает:
- Обновления системы безопасности: развертывание обновлений системы безопасности или исправлений для уязвимостей
- параметры антивирусной программы Microsoft Defender
- Версия аналитики безопасности
- Облачная защита
- Защита от потенциально нежелательных приложений (PUA)
- защита в режиме реального времени;
Сведения об устранении рисков в этом разделе включают данные из Управление уязвимостями Microsoft Defender, которые также предоставляют подробные сведения по различным ссылкам в отчете.
Раздел "Устранение рисков" в отчете по аналитике угроз
Дополнительные сведения о отчете и ограничения
При использовании отчетов учитывайте следующее:
- Область действия данных зависит от область управления доступом на основе ролей (RBAC). Вы увидите состояние устройств в группах, к которым можно получить доступ.
- Диаграммы отражают только отслеживаемые способы устранения рисков. Дополнительные способы устранения рисков, которые не отображаются на диаграммах, см. в обзоре отчета.
- Устранение рисков не гарантирует полную устойчивость. Предоставленные меры по устранению рисков отражают наилучшие возможные действия, необходимые для повышения устойчивости.
- Устройства считаются недоступными, если они не передали данные в службу.
- Статистика, связанная с антивирусной программой, основана на Microsoft Defender параметрах антивирусной программы. Устройства со сторонними антивирусными решениями могут отображаться как "открытые".
Статьи по теме
- Упреждающее поиск угроз с помощью расширенной охоты
- Общие сведения об аналитическом отчете
- Оценка и устранение уязвимостей и уязвимостей в системе безопасности
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по