Förstå analytikerrapporten i hotanalys i Microsoft Defender XDR
Obs!
Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.
Gäller för:
- Microsoft Defender XDR
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Varje hotanalysrapport innehåller dynamiska avsnitt och ett omfattande skriftligt avsnitt som kallas analytikerrapporten. Öppna det här avsnittet genom att öppna rapporten om det spårade hotet och välja fliken Analytikerrapport .
Avsnittet analytikerrapport i en hotanalysrapport
Skanna analytikerrapporten
Varje avsnitt i analytikerrapporten är utformat för att tillhandahålla användbar information. Rapporterna varierar, men de flesta rapporter innehåller de avsnitt som beskrivs i följande tabell.
| Rapportavsnitt | Beskrivning |
|---|---|
| Sammanfattning | Översikt över hotet, inklusive när det först sågs, dess motivationer, anmärkningsvärda händelser, stora mål och distinkta verktyg och tekniker. Du kan använda den här informationen för att ytterligare utvärdera hur du prioriterar hotet i samband med din bransch, geografiska plats och nätverk. |
| Analys | Teknisk information om hoten, inklusive information om en attack och hur angripare kan använda en ny teknik eller attackyta |
| MITRE ATT&CK-tekniker observeras | Hur observerade tekniker mappar till MITRE ATT&CK-attackramverket |
| Mitigations | Rekommendationer som kan stoppa eller minska effekten av hotet. Det här avsnittet innehåller även åtgärder som inte spåras dynamiskt som en del av hotanalysrapporten. |
| Identifieringsinformation | Specifika och allmänna identifieringar som tillhandahålls av Microsofts säkerhetslösningar som kan visa aktivitet eller komponenter som är associerade med hotet. |
| Avancerad jakt | Avancerade jaktfrågor för att proaktivt identifiera möjlig hotaktivitet. De flesta frågor tillhandahålls för att komplettera identifieringar, särskilt för att hitta potentiellt skadliga komponenter eller beteenden som inte dynamiskt kan bedömas vara skadliga. |
| Referenser | Microsoft- och tredjepartspublikationer som analytiker refererar till när rapporten skapas. Innehåll i hotanalys baseras på data som verifierats av Microsoft-forskare. Information från offentligt tillgängliga källor från tredje part identifieras tydligt som sådana. |
| Ändringslogg | Den tidpunkt då rapporten publicerades och när betydande ändringar gjordes i rapporten. |
Tillämpa ytterligare åtgärder
Hotanalys spårar dynamiskt statusen för säkerhetsuppdateringar och säkra konfigurationer. Den här informationen är tillgänglig som diagram och tabeller på fliken Exponering & åtgärder .
Utöver dessa spårade åtgärder diskuterar analytikerrapporten även åtgärder som inte övervakas dynamiskt. Här följer några exempel på viktiga åtgärder som inte spåras dynamiskt:
- Blockera e-postmeddelanden med .lnk bifogade filer eller andra misstänkta filtyper
- Randomisera lokala administratörslösenord
- Utbilda slutanvändare om nätfiske-e-post och andra hotvektorer
- Aktivera specifika regler för minskning av attackytan
Du kan använda fliken Exponering & åtgärder för att utvärdera din säkerhetsstatus mot ett hot, men med dessa rekommendationer kan du vidta ytterligare åtgärder för att förbättra din säkerhetsstatus. Läs noggrant igenom alla riktlinjer för åtgärder i analytikerrapporten och tillämpa dem när det är möjligt.
Förstå hur varje hot kan identifieras
Analysrapporten innehåller också identifieringar från Microsoft Defender funktioner för identifiering och svar av antivirus och slutpunkter (EDR).
Antivirusidentifieringar
Dessa identifieringar är tillgängliga på enheter med Microsoft Defender Antivirus aktiverat. När dessa identifieringar sker på enheter som har registrerats för att Microsoft Defender för Endpoint utlöser de också aviseringar som lyser upp diagrammen i rapporten.
Obs!
Analytikerrapporten visar också allmänna identifieringar som kan identifiera ett brett spektrum av hot, utöver komponenter eller beteenden som är specifika för det spårade hotet. Dessa generiska identifieringar återspeglas inte i diagrammen.
Aviseringar om slutpunktsidentifiering och svar (EDR)
EDR-aviseringar aktiveras för enheter som registrerats för att Microsoft Defender för Endpoint. Dessa aviseringar är vanligtvis beroende av säkerhetssignaler som samlas in av Microsoft Defender för Endpoint-sensorn och andra slutpunktsfunktioner – till exempel antivirusprogram, nätverksskydd, manipulationsskydd – som fungerar som kraftfulla signalkällor.
Liksom listan över antivirusidentifieringar är vissa EDR-aviseringar utformade för att allmänt flagga misstänkt beteende som kanske inte är associerat med det spårade hotet. I sådana fall identifierar rapporten tydligt aviseringen som "generisk" och att den inte påverkar något av diagrammen i rapporten.
Email-relaterade identifieringar och åtgärder
Email-relaterade identifieringar och åtgärder från Microsoft Defender för Office 365 ingår i analytikerrapporter utöver de slutpunktsdata som redan är tillgängliga från Microsoft Defender för Endpoint.
Information om förhindrade e-postförsök ger dig insikter om din organisation var ett mål för det hot som hanteras i analytikerrapporten, även om attacken har blockerats effektivt före leverans eller levererats till skräppostmappen.
Hitta diskreta hotartefakter med avancerad jakt
Identifieringar gör att du kan identifiera och stoppa det spårade hotet automatiskt, men många attackaktiviteter lämnar subtila spår som kräver ytterligare inspektion. Vissa attackaktiviteter uppvisar beteenden som också kan vara normala, så att identifiera dem dynamiskt kan resultera i driftsbrus eller till och med falska positiva identifieringar.
Avancerad jakt ger ett frågegränssnitt baserat på Kusto-frågespråk som gör det enklare att hitta subtila indikatorer för hotaktivitet. Du kan också visa sammanhangsberoende information och kontrollera om indikatorer är anslutna till ett hot.
Avancerade jaktfrågor i analytikerrapporterna har granskats av Microsoft-analytiker och är redo att köras i frågeredigeraren för avancerad jakt. Du kan också använda frågorna för att skapa anpassade identifieringsregler som utlöser aviseringar för framtida matchningar.
Obs!
Hotanalys är också tillgängligt i Microsoft Defender för Endpoint. Den har dock inte dataintegrering mellan Microsoft Defender för Office 365 och Microsoft Defender för Endpoint.
Relaterade ämnen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för