Share via

Hotanalys i Microsoft Defender XDR

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Hotanalys är vår lösning för hotinformation i produkten från microsofts säkerhetsexperter. Den är utformad för att hjälpa säkerhetsteamen att vara så effektiva som möjligt när de står inför nya hot, till exempel:

  • Aktiva hotaktörer och deras kampanjer
  • Populära och nya attacktekniker
  • Kritiska sårbarheter
  • Vanliga attackytor
  • Vanlig skadlig kod

Titta på den här korta videon om du vill veta mer om hur hotanalys kan hjälpa dig att spåra de senaste hoten och stoppa dem.

Du kan komma åt hotanalyser antingen från den övre vänstra sidan av Microsoft Defender XDR navigeringsfält eller från ett dedikerat instrumentpanelskort som visar de främsta hoten mot din organisation, både när det gäller känd påverkan och när det gäller din exponering.

Skärmbild av landningssidan för hotanalys

Genom att få insyn i aktiva eller pågående kampanjer och veta vad du ska göra via hotanalys kan du hjälpa ditt säkerhetsteam att fatta välgrundade beslut.

Med mer sofistikerade angripare och nya hot som dyker upp ofta och ofta är det viktigt att snabbt kunna:

  • Identifiera och reagera på nya hot
  • Lär dig om du för närvarande är under attack
  • Utvärdera effekten av hotet mot dina tillgångar
  • Granska din motståndskraft mot eller exponering för hoten
  • Identifiera de åtgärder för riskreducering, återställning eller förebyggande åtgärder som du kan vidta för att stoppa eller begränsa hoten

Varje rapport innehåller en analys av ett spårat hot och omfattande vägledning om hur du skyddar mot det hotet. Den innehåller också data från nätverket som anger om hotet är aktivt och om du har tillämpliga skydd på plats.

Visa instrumentpanelen för hotanalys

Instrumentpanelen för hotanalys (security.microsoft.com/threatanalytics3) visar de rapporter som är mest relevanta för din organisation. Den sammanfattar hoten i följande avsnitt:

  • De senaste hoten – visar de senast publicerade eller uppdaterade hotrapporterna, tillsammans med antalet aktiva och lösta aviseringar.
  • Hot med hög påverkan – visar de hot som har störst inverkan på din organisation. I det här avsnittet visas hot med det högsta antalet aktiva och lösta aviseringar först.
  • Högsta exponering – visar hot som din organisation har störst exponering för. Din exponeringsnivå för ett hot beräknas med hjälp av två typer av information: hur allvarliga säkerhetsriskerna som är kopplade till hotet är och hur många enheter i din organisation som kan utnyttjas av dessa sårbarheter.

Skärmbild av instrumentpanelen för hotanalys,

Välj ett hot från instrumentpanelen för att visa rapporten för det hotet. Du kan också välja det Search fält som du vill ange i ett nyckelord som är relaterat till hotanalysrapporten som du vill läsa.

Visa rapporter efter kategori

Du kan filtrera hotrapportlistan och visa de mest relevanta rapporterna enligt en specifik hottyp eller efter typ av rapport.

  • Hottaggar – hjälper dig att visa de mest relevanta rapporterna enligt en specifik hotkategori. Taggen Utpressningstrojan innehåller till exempel alla rapporter som rör utpressningstrojaner.
  • Rapporttyper – hjälper dig att visa de mest relevanta rapporterna enligt en viss rapporttyp. Taggen Verktyg & tekniker innehåller till exempel alla rapporter som omfattar verktyg och tekniker.

De olika taggarna har motsvarande filter som hjälper dig att effektivt granska hotrapportlistan och filtrera vyn baserat på en specifik hottagg eller rapporttyp. Om du till exempel vill visa alla hotrapporter relaterade till kategorin utpressningstrojaner eller hotrapporter som omfattar sårbarheter.

Microsoft Threat Intelligence-teamet har lagt till hottaggar i varje hotrapport. Det finns för närvarande fyra hottaggar:

  • Utpressningstrojan
  • Fiske
  • Sårbarhet
  • Aktivitetsgrupp

Hottaggar visas överst på sidan hotanalys. Det finns räknare för antalet tillgängliga rapporter under varje tagg.

Skärmbild av rapporttaggar för hotanalys.

Om du vill ange vilka typer av rapporter som du vill använda i listan väljer du Filter, väljer i listan och sedan Använd.

Skärmbild av listan Filter.

Om du har angett fler än ett filter kan listan med hotanalysrapporter också sorteras efter hottagg genom att välja kolumnen hottaggar:

Skärmbild av kolumnen hottaggar.

Visa en hotanalysrapport

Varje hotanalysrapport innehåller information i flera avsnitt:

Översikt: Snabbt förstå hotet, utvärdera dess inverkan och granska skydd

Avsnittet Översikt innehåller en förhandsversion av den detaljerade analytikerrapporten. Den innehåller också diagram som belyser effekten av hotet mot din organisation och din exponering via felkonfigurerade och opatcherade enheter.

Skärmbild av översiktsavsnittet i en hotanalysrapport.

Utvärdera påverkan på din organisation

Varje rapport innehåller diagram som är utformade för att ge information om hur ett hot påverkar organisationen:

  • Relaterade incidenter – ger en översikt över effekten av det spårade hotet mot din organisation med följande data:
    • Antal aktiva aviseringar och antalet aktiva incidenter som de är associerade med
    • Allvarlighetsgrad för aktiva incidenter
  • Aviseringar över tid – visar antalet relaterade aktiva och lösta aviseringar över tid. Antalet lösta aviseringar anger hur snabbt organisationen svarar på aviseringar som är associerade med ett hot. Helst bör diagrammet visa aviseringar som har lösts inom några dagar.
  • Påverkade tillgångar – visar antalet distinkta enheter och e-postkonton (postlådor) som för närvarande har minst en aktiv avisering associerad med det spårade hotet. Aviseringar utlöses för postlådor som tagit emot hotmeddelanden. Granska principer på både organisations- och användarnivå för åsidosättningar som orsakar leverans av hotmeddelanden.
  • Förhindrade e-postförsök – visar antalet e-postmeddelanden från de senaste sju dagarna som antingen har blockerats före leverans eller levererats till skräppostmappen.

Granska säkerhetsresiliens och hållning

Varje rapport innehåller diagram som ger en översikt över hur motståndskraftig din organisation är mot ett visst hot:

  • Säker konfigurationsstatus – visar antalet enheter med felkonfigurerade säkerhetsinställningar. Använd de rekommenderade säkerhetsinställningarna för att minimera hotet. Enheter anses vara säkra om de har tillämpat alla spårade inställningar.
  • Sårbarhetskorrigeringsstatus – visar antalet sårbara enheter. Tillämpa säkerhetsuppdateringar eller korrigeringar för att åtgärda sårbarheter som hoten utnyttjar.

Analytikerrapport: Få expertinsikter från Microsofts säkerhetsforskare

I avsnittet Analytikerrapport läser du igenom den detaljerade expertskrivningen. De flesta rapporter innehåller detaljerade beskrivningar av attackkedjor, inklusive taktiker och tekniker som är mappade till MITRE ATT-&CK-ramverket, uttömmande listor med rekommendationer och kraftfull vägledning för hotjakt .

Läs mer om analytikerrapporten

Fliken Relaterade incidenter innehåller en lista över alla incidenter som är relaterade till det spårade hotet. Du kan tilldela incidenter eller hantera aviseringar som är länkade till varje incident.

Skärmbild av avsnittet relaterade incidenter i en hotanalysrapport.

Påverkade tillgångar: Hämta en lista över berörda enheter och postlådor

En tillgång anses påverkas om den påverkas av en aktiv, olöst avisering. På fliken Påverkade tillgångar visas följande typer av påverkade tillgångar:

  • Berörda enheter – slutpunkter som har olösta Microsoft Defender för Endpoint aviseringar. Dessa aviseringar utlöses vanligtvis vid iakttagelser av kända hotindikatorer och aktiviteter.
  • Påverkade postlådor – postlådor som har tagit emot e-postmeddelanden som har utlöst Microsoft Defender för Office 365 aviseringar. De flesta meddelanden som utlöser aviseringar blockeras vanligtvis, men principer på användar- eller organisationsnivå kan åsidosätta filter.

Skärmbild av avsnittet påverkade tillgångar i en hotanalysrapport.

Förhindrade e-postförsök: Visa blockerade eller skräppostade hot

Microsoft Defender för Office 365 blockerar vanligtvis e-postmeddelanden med kända hotindikatorer, inklusive skadliga länkar eller bifogade filer. I vissa fall skickar proaktiva filtreringsmekanismer som söker efter misstänkt innehåll i stället hotmeddelanden till skräppostmappen. I båda fallen minskar risken för att hot startar kod för skadlig kod på enheten.

På fliken Förhindrade e-postförsök visas alla e-postmeddelanden som antingen har blockerats före leverans eller skickats till skräppostmappen av Microsoft Defender för Office 365.

Skärmbild av avsnittet förhindrade e-postförsök i en hotanalysrapport.

Exponering och åtgärder: Granska listan över åtgärder och status för dina enheter

I avsnittet Exponering & åtgärder läser du listan över specifika rekommendationer som kan hjälpa dig att öka organisationens motståndskraft mot hotet. Listan över spårade åtgärder omfattar:

  • Säkerhetsuppdateringar – distribution av programsäkerhetsuppdateringar som stöds för säkerhetsrisker som finns på registrerade enheter
  • Säkerhetskonfigurationer som stöds
    • Molnbaserat skydd
    • Skydd mot potentiellt oönskade program (PUA)
    • Realtidsskydd

Åtgärdsinformationen i det här avsnittet innehåller data från Microsoft Defender – hantering av säkerhetsrisker, som även innehåller detaljerad detaljerad information från olika länkar i rapporten.

Avsnittet om åtgärder i en hotanalysrapport som visar information om säker konfiguration

Avsnittet om åtgärder i en hotanalysrapport som visar sårbarhetsinformation

Avsnittet exponering & åtgärder i en hotanalysrapport

Konfigurera e-postaviseringar för rapportuppdateringar

Du kan konfigurera e-postaviseringar som skickar uppdateringar om hotanalysrapporter. Om du vill skapa e-postaviseringar följer du stegen i hämta e-postaviseringar för uppdateringar av hotanalys i Microsoft Defender XDR.

Ytterligare rapportinformation och begränsningar

Obs!

Som en del av den enhetliga säkerhetsupplevelsen är nu hotanalys tillgänglig inte bara för Microsoft Defender för Endpoint, utan även för Microsoft Defender för Office 365 licensinnehavare.

Om du inte använder Microsoft 365-säkerhetsportalen (Microsoft Defender XDR) kan du även se rapportinformationen (utan Microsoft Defender för Office-data) i Microsoft Defender Säkerhetscenter-portalen ( Microsoft Defender för Endpoint).

För att få åtkomst till hotanalysrapporter behöver du vissa roller och behörigheter. Mer information finns i Anpassade roller i rollbaserad åtkomstkontroll för Microsoft Defender XDR.

  • Om du vill visa aviseringar, incidenter eller påverkade tillgångsdata måste du ha behörighet att Microsoft Defender för Office eller Microsoft Defender för Endpoint aviseringsdata, eller både och.
  • Om du vill visa förhindrade e-postförsök måste du ha behörighet att Microsoft Defender för Office-jaktdata.
  • Om du vill visa åtgärder måste du ha behörighet till Defender Vulnerability Management-data i Microsoft Defender för Endpoint.

Kom ihåg följande faktorer när du tittar på hotanalysdata:

  • Diagram återspeglar endast åtgärder som spåras. I rapportöversikten finns ytterligare åtgärder som inte visas i diagrammen.
  • Åtgärder garanterar inte fullständig motståndskraft. De angivna åtgärderna återspeglar de bästa möjliga åtgärder som krävs för att förbättra återhämtning.
  • Enheter räknas som "otillgängliga" om de inte har överfört data till tjänsten.
  • Antivirusrelaterad statistik baseras på Microsoft Defender Antivirus-inställningar. Enheter med antiviruslösningar från tredje part kan visas som "exponerade".

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.