Отслеживание новых угроз и реагирование на них с помощью аналитики угроз

  • Статья

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

С более изощренными противниками и новыми угрозами, возникающими часто и широко, очень важно иметь возможность быстро:

  • Оценка влияния новых угроз
  • Проверка устойчивости к угрозам или подверженности их воздействию
  • Определение действий, которые можно предпринять для остановки или сдерживания угроз

Аналитика угроз — это набор отчетов от экспертных исследователей безопасности Майкрософт, охватывающих наиболее актуальные угрозы, в том числе:

  • Активные участники угроз и их кампании
  • Популярные и новые приемы атаки
  • Критические уязвимости
  • Распространенные направления атак.
  • Распространенные вредоносные программы.

Каждый отчет содержит подробный анализ угрозы и подробные рекомендации по защите от этой угрозы. Он также включает данные из вашей сети, указывающие, активна ли угроза и есть ли у вас применимые средства защиты.

Просмотрите это короткое видео, чтобы узнать больше о том, как аналитика угроз может помочь вам отслеживать последние угрозы и устранять их.

Обязательные роли и разрешения

В следующей таблице описаны роли и разрешения, необходимые для доступа к Аналитике угроз. Роли, определенные в таблице ниже, относятся к пользовательским ролям на отдельных порталах и не связаны с глобальными ролями в Microsoft Entra ID, даже если они имеют аналогичное имя.

Для Microsoft Defender XDR требуется одна из следующих ролей. Для Defender для конечной точки требуется одна из следующих ролей. Для Defender для Office 365 требуется одна из следующих ролей. Для Defender for Cloud Apps требуется одна из следующих ролей.
Аналитика угроз Данные оповещений и инцидентов:
  • Просмотр операций безопасности данных
Средства управления уязвимостями Defender:
  • Просмотр данных — управление угрозами и уязвимостями
 Данные оповещений и инцидентов:
  • Управление оповещениями только для просмотра
  • Управление оповещениями
  • Конфигурация организации
  • Журналы аудита
  • Просмотр журналов аудита только для просмотра
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
Предотвратить попытки по электронной почте:
  • Читатель сведений о безопасности
  • Администратор безопасности
  • Получатели, доступные только для просмотра
 Недоступно для пользователей Defender для облачных приложений или MDI

Просмотр панели аналитики угроз

Панель мониторинга аналитики угроз — это отличная точка перехода к отчетам, которые наиболее важны для вашей организации. Угрозы суммируются в следующих разделах:

  • Последние угрозы: Списки последние опубликованные отчеты об угрозах, а также количество устройств с активными и разрешенными оповещениями.
  • Угрозы с высоким воздействием: Списки угрозы, которые оказали наибольшее влияние на организацию. В этом разделе угрозы ранжировались по количеству устройств с активными оповещениями.
  • Сводка по угрозам: показывает общее влияние отслеживаемых угроз, показывая количество угроз с активными и разрешенными оповещениями.

Выберите угрозу на информационной панели, чтобы просмотреть отчет об этой угрозе.

Панель мониторинга аналитики угроз

Просмотр отчета об аналитике угроз

Каждый отчет по аналитике угроз содержит сведения в трех разделах: Обзор, Аналитический отчет и Устранение рисков.

Обзор. Быстрое понимание угрозы, оценка ее влияния и проверка защиты

В разделе Обзор представлена предварительная версия подробного аналитического отчета. Он также содержит диаграммы, на которые показано влияние угрозы на вашу организацию и вашу уязвимость через неправильно настроенные и незарегистрированные устройства.

Раздел Обзор отчета аналитики угроз. Раздел Обзор отчета об аналитике угроз

Оценка влияния на организацию

Каждый отчет включает диаграммы, предназначенные для предоставления информации об организационном влиянии угрозы:

  • Устройства с оповещениями. Отображает текущее количество отдельных устройств, на которые повлияла угроза. Устройство классифицируется как активное , если с этой угрозой связано хотя бы одно оповещение, и устранено , если все оповещения, связанные с угрозой на устройстве, были устранены.
  • Устройства с оповещениями с течением времени. Отображает количество отдельных устройств с активными и разрешенными оповещениями с течением времени. Количество разрешенных оповещений указывает, как быстро ваша организация реагирует на оповещения, связанные с угрозой. В идеале на диаграмме должны отображаться оповещения, устраненные в течение нескольких дней.

Проверка устойчивости и состояния системы безопасности

Каждый отчет содержит диаграммы с общими сведениями о том, насколько устойчива ваша организация к определенной угрозе:

  • Состояние конфигурации безопасности. Отображает количество устройств, на которых применены рекомендуемые параметры безопасности, которые помогут устранить угрозу. Устройства считаются безопасными , если они применили все отслеживаемые параметры.
  • Состояние исправления уязвимостей. Показывает количество устройств, на которых были применены обновления для системы безопасности или исправления, устраняющие уязвимости, используемые угрозой.

Аналитический отчет: получение экспертных аналитических сведений от исследователей безопасности Майкрософт

Перейдите в раздел Аналитический отчет , чтобы прочитать подробные сведения о записи эксперта. Большинство отчетов содержат подробное описание цепочек атак, включая тактику и методы, сопоставленные с платформой MITRE ATT&CK, исчерпывающие списки рекомендаций и мощные рекомендации по охоте на угрозы .

Дополнительные сведения об аналитическом отчете

Устранение рисков: просмотрите список мер по устранению рисков и состояние устройств.

В разделе Устранение рисков просмотрите список конкретных практических рекомендаций, которые помогут повысить устойчивость организации к угрозе. Список отслеживаемых мер включает:

  • Обновления системы безопасности: развертывание обновлений системы безопасности или исправлений для уязвимостей
  • параметры антивирусной программы Microsoft Defender
    • Версия аналитики безопасности
    • Облачная защита
    • Защита от потенциально нежелательных приложений (PUA)
    • защита в режиме реального времени;

Сведения об устранении рисков в этом разделе включают данные из Управление уязвимостями Microsoft Defender, которые также предоставляют подробные сведения по различным ссылкам в отчете.

Раздел

Раздел "Устранение рисков" в отчете по аналитике угроз

Дополнительные сведения о отчете и ограничения

При использовании отчетов учитывайте следующее:

  • Область действия данных зависит от область управления доступом на основе ролей (RBAC). Вы увидите состояние устройств в группах, к которым можно получить доступ.
  • Диаграммы отражают только отслеживаемые способы устранения рисков. Дополнительные способы устранения рисков, которые не отображаются на диаграммах, см. в обзоре отчета.
  • Устранение рисков не гарантирует полную устойчивость. Предоставленные меры по устранению рисков отражают наилучшие возможные действия, необходимые для повышения устойчивости.
  • Устройства считаются недоступными, если они не передали данные в службу.
  • Статистика, связанная с антивирусной программой, основана на Microsoft Defender параметрах антивирусной программы. Устройства со сторонними антивирусными решениями могут отображаться как "открытые".

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.