Spåra och svara på nya hot via hotanalys

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Med mer sofistikerade angripare och nya hot som dyker upp ofta och ofta är det viktigt att snabbt kunna:

• Utvärdera effekten av nya hot
• Granska din motståndskraft mot eller exponering för hoten
• Identifiera vilka åtgärder du kan vidta för att stoppa eller begränsa hoten

Hotanalys är en uppsättning rapporter från experter på Microsofts säkerhetsforskare som täcker de mest relevanta hoten, inklusive:

• Aktiva hotaktörer och deras kampanjer
• Populära och nya attacktekniker
• Kritiska sårbarheter
• Vanliga attackytor
• Vanlig skadlig kod

Varje rapport innehåller en detaljerad analys av ett hot och omfattande vägledning om hur du skyddar mot det hotet. Den innehåller också data från nätverket som anger om hotet är aktivt och om du har tillämpliga skydd på plats.

Titta på den här korta videon om du vill veta mer om hur hotanalys kan hjälpa dig att spåra de senaste hoten och stoppa dem.

Nödvändiga roller och behörigheter

I följande tabell beskrivs de roller och behörigheter som krävs för åtkomst till Threat Analytics. Roller som definierats i tabellen nedan refererar till anpassade roller i enskilda portaler och är inte anslutna till globala roller i Microsoft Entra ID, även om de har liknande namn.

En av följande roller krävs för Microsoft Defender XDR	En av följande roller krävs för Defender för Endpoint	En av följande roller krävs för Defender för Office 365	En av följande roller krävs för Defender för Cloud Apps
Analys av hot	Aviseringar och incidentdata: Visa data – säkerhetsåtgärder Skydd mot säkerhetsrisker i Defender: Visa data – Hantering av hot och sårbarheter	Aviseringar och incidentdata: Hantera aviseringar endast för visning Hantera varningar Organisationskonfiguration Granskningsloggar Visa endast granskningsloggar Säkerhetsläsare Säkerhetsadministratör Endast visningsmottagare Förhindrade e-postförsök: Säkerhetsläsare Säkerhetsadministratör Endast visningsmottagare	Inte tillgängligt för Defender för Cloud Apps- eller MDI-användare

Visa instrumentpanelen för hotanalys

Instrumentpanelen för hotanalys är en bra utgångspunkt för att komma till de rapporter som är mest relevanta för din organisation. Den sammanfattar hoten i följande avsnitt:

• De senaste hoten: Listor de senast publicerade hotrapporterna, tillsammans med antalet enheter med aktiva och lösta aviseringar.
• Hot med hög påverkan: Listor de hot som har haft störst inverkan på organisationen. Det här avsnittet rangordnar hot efter antalet enheter som har aktiva aviseringar.
• Hotsammanfattning: Visar den övergripande effekten av spårade hot genom att visa antalet hot med aktiva och lösta aviseringar.

Välj ett hot från instrumentpanelen för att visa rapporten för det hotet.

Visa en hotanalysrapport

Varje hotanalysrapport innehåller information i tre avsnitt: Översikt, Analytikerrapport och Åtgärder.

Översikt: Snabbt förstå hotet, utvärdera dess inverkan och granska skydd

Avsnittet Översikt innehåller en förhandsversion av den detaljerade analytikerrapporten. Den innehåller också diagram som belyser effekten av hotet mot din organisation och din exponering via felkonfigurerade och opatcherade enheter.

– Översikt i en hotanalysrapport

Utvärdera påverkan på din organisation

Varje rapport innehåller diagram som är utformade för att ge information om hur ett hot påverkar organisationen:

• Enheter med aviseringar: Visar det aktuella antalet distinkta enheter som har påverkats av hotet. En enhet kategoriseras som Aktiv om det finns minst en avisering associerad med det hotet och Löst om alla aviseringar som är associerade med hotet på enheten har lösts.
• Enheter med aviseringar över tid: Visar antalet distinkta enheter med aktiva och lösta aviseringar över tid. Antalet lösta aviseringar anger hur snabbt organisationen svarar på aviseringar som är associerade med ett hot. Helst bör diagrammet visa aviseringar som har lösts inom några dagar.

Granska säkerhetsresiliens och hållning

Varje rapport innehåller diagram som ger en översikt över hur motståndskraftig din organisation är mot ett visst hot:

• Säkerhetskonfigurationsstatus: Visar antalet enheter som har tillämpat de rekommenderade säkerhetsinställningarna som kan bidra till att minska hotet. Enheter anses vara säkra om de har tillämpat alla spårade inställningar.
• Uppdateringsstatus för säkerhetsrisker: Visar antalet enheter som har tillämpat säkerhetsuppdateringar eller korrigeringar som åtgärdar sårbarheter som hoten utnyttjar.

Analytikerrapport: Få expertinsikter från Microsofts säkerhetsforskare

Gå till avsnittet Analytikerrapport för att läsa igenom den detaljerade expertskrivningen. De flesta rapporter innehåller detaljerade beskrivningar av attackkedjor, inklusive taktiker och tekniker som är mappade till MITRE ATT-&CK-ramverket, uttömmande listor med rekommendationer och kraftfull vägledning för hotjakt .

Läs mer om analytikerrapporten

Åtgärder: Granska listan över åtgärder och status för dina enheter

I avsnittet Åtgärder granskar du listan över specifika åtgärdsrekommendationer som kan hjälpa dig att öka organisationens motståndskraft mot hotet. Listan över spårade åtgärder omfattar:

• Säkerhetsuppdateringar: Distribution av säkerhetsuppdateringar eller korrigeringar för säkerhetsrisker
• Microsoft Defender antivirusinställningar
  • Säkerhetsinformationsversion
  • Molnbaserat skydd
  • Skydd mot potentiellt oönskade program (PUA)
  • Realtidsskydd

Åtgärdsinformationen i det här avsnittet innehåller data från Microsoft Defender – hantering av säkerhetsrisker, som även innehåller detaljerad detaljerad information från olika länkar i rapporten.

Åtgärdsavsnittet i en hotanalysrapport

Ytterligare rapportinformation och begränsningar

Tänk på följande när du använder rapporterna:

• Data begränsas baserat på rbac-omfånget (rollbaserad åtkomstkontroll). Du ser status för enheter i grupper som du kan komma åt.
• Diagram återspeglar endast åtgärder som spåras. I rapportöversikten finns ytterligare åtgärder som inte visas i diagrammen.
• Åtgärder garanterar inte fullständig motståndskraft. De angivna åtgärderna återspeglar de bästa möjliga åtgärder som krävs för att förbättra återhämtning.
• Enheter räknas som "otillgängliga" om de inte har överfört data till tjänsten.
• Antivirusrelaterad statistik baseras på Microsoft Defender Antivirus-inställningar. Enheter med antiviruslösningar från tredje part kan visas som "exponerade".

Relaterade ämnen

• Proaktivt hitta hot med avancerad jakt
• Förstå avsnittet analytikerrapport
• Utvärdera och lösa säkerhetsbrister och exponeringar

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.