分享方式:


Microsoft Defender XDR 中的威脅分析

適用於:

  • Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

威脅分析是我們來自專家級 Microsoft 安全性研究人員的產品內威脅情報解決方案。 其設計旨在幫助安全性小組在面對新興威脅時盡可能地有效率,例如:

  • 作用中威脅行為者及其活動
  • 熱門和新的攻擊技術
  • 嚴重的弱點
  • 常見的攻擊面
  • 常見的惡意程式碼

您可以從 Microsoft Defender 入口網站導覽列的左上角,或從專用儀錶板卡片存取威脅分析,該卡片會顯示組織的主要威脅,包括已知的影響,以及暴露程度方面。

威脅分析登陸頁面的螢幕快照

取得作用中或進行中活動的深入解析,以及透過威脅分析了解可採取的動作,都可協助您的安全性作業小組做出明智的決策。

隨著更複雜的對手和新興威脅的頻繁與普遍出現,能夠快速應對變得非常重要:

  • 識別並回應新興威脅
  • 瞭解您目前是否遭受攻擊
  • 評估威脅對資產的影響
  • 檢閱您抵禦威脅或暴露於威脅的復原能力
  • 識別您可以採取來停止或包含威脅的風險降低、復原或預防動作

每個報表都會提供追蹤威脅的分析,以及如何防禦該威脅的廣泛指引。 它也會納入來自您網路的數據,指出威脅是否作用中,以及您是否已備妥適用的保護。

必要角色和權限

下表概述存取威脅分析所需的角色和許可權。 數據表中定義的角色會參考個別入口網站中的自定義角色,而且即使命名方式類似,也不會連線到 Microsoft Entra ID 中的全域角色。

Microsoft Defender XDR 需要下列其中一個角色 適用於端點的 Microsoft Defender 需要下列其中一個角色 適用於 Office 365 的 Microsoft Defender 需要下列其中一個角色 適用於雲端應用程式的 Microsoft Defender 和適用於身分識別的 Microsoft Defender 需要下列其中一個角色 Microsoft適用於雲端的Defender需要下列其中一個角色
威脅分析 警示與事件資料:
  • 檢視資料 - 安全性作業
Defender 弱點管理防護功能:
  • 檢視數據 - 威脅和弱點管理
警示與事件資料:
  • 僅限檢視管理警示
  • 管理警示
  • 組織組態
  • 稽核記錄
  • 僅檢視稽核記錄
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
防止電子郵件嘗試:
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
  • 全域系統管理員
  • 安全性系統管理員
  • 合規性系統管理員
  • 安全性操作員
  • 安全性讀取者
  • 全域系統管理員
  • 安全性系統管理員

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

即使您只有上表所述的其中一個產品及其對應的角色,您仍可看到所有威脅分析報告。 不過,您必須擁有每個產品和角色,才能查看與威脅相關聯的產品特定事件、資產、曝光和建議動作。

深入了解:

檢視威脅分析儀表板

威脅分析儀錶板 (security.microsoft.com/threatanalytics3) 醒目提示與組織最相關的報告。 它會將威脅摘要到下列區段中:

  • 最新的威脅— 列出最近發佈或更新的威脅報告,以及作用中和已解決的警示數目。
  • 高影響的威脅— 列出對組織影響最大的威脅。 此區段首先會列出作用中和已解決警示數目最多的威脅。
  • 最高暴露威脅— 列出貴組織暴露程度最高的威脅。 您對威脅的暴露程度是使用兩項資訊來計算:與威脅相關聯的弱點有多嚴重,以及貴組織中有多少裝置可能被這些弱點所利用。

威脅分析儀錶板的螢幕快照,

從儀表板選取威脅,以檢視該威脅的報告。 您也可以在與您想要讀取的威脅分析報告相關的關鍵詞中,選取 [ 搜尋 ] 字段作為關鍵詞。

依類別檢視報表

您可以篩選威脅報告清單,並根據特定威脅類型或報告類型檢視最相關的報告。

  • 威脅標記— 協助您根據特定威脅類別檢視最相關的報告。 例如, 勒索軟體 標籤包含與勒索軟體相關的所有報告。
  • 報表類型 — 協助您根據特定報表類型檢視最相關的報表。 例如, [工具 & 技術 ] 標籤包含涵蓋工具和技術的所有報表。

不同的標記具有對等的篩選條件,可協助您有效率地檢閱威脅報告清單,並根據特定的威脅標記或報表類型篩選檢視。 例如,若要檢視與勒索軟體類別相關的所有威脅報告,或是涉及弱點的威脅報告。

Microsoft威脅情報小組會將威脅標籤新增至每個威脅報告。 目前提供下列威脅標籤:

  • 勒索軟體
  • 勒索
  • 網路釣魚
  • 手動鍵盤
  • 活動群組
  • 弱點
  • 攻擊活動
  • 工具或技術

威脅標籤會顯示在威脅分析頁面的頂端。 每個標籤下都有可用報告數目的計數器。

威脅分析報告標籤的螢幕快照。

若要在清單中設定您想要的報表類型,請選取 [ 篩選],從清單中選擇,然後選取 [ 套用]

[篩選] 列表的螢幕快照。

如果您設定多個篩選條件,也可以選取 [威脅卷標] 資料行,依威脅標記排序威脅分析報告清單:

威脅標籤數據行的螢幕快照。

檢視威脅分析報告

每個威脅分析報告會提供數個區段中的資訊:

概觀:快速瞭解威脅、評估其影響,以及檢閱防禦

[ 概觀 ] 區段提供詳細分析師報告的預覽。 它也會提供圖表,強調威脅對組織的影響,以及透過設定錯誤和未修補的裝置公開。

威脅分析報告概觀區段的螢幕快照。

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表:

  • 相關事件 — 使用下列數據,提供追蹤威脅對組織的影響概觀:
    • 作用中警示數目,以及與其相關聯的作用中事件數目
    • 作用中事件的嚴重性
  • 一段時間的警示— 顯示一段時間內相關的 作用中已解決 警示數目。 已解決的警示數目表示貴組織回應與威脅相關聯警示的速度。 在理想情況下,圖表應會在幾天後顯示已解決的警示。
  • 受影響的資產— 顯示目前至少有一個與追蹤威脅相關聯的作用中警示的相異資產數目。 已收到威脅電子郵件的信箱會觸發警示。 檢閱組織和用戶層級原則,以取得導致威脅電子郵件傳遞的覆寫。

檢閱安全性恢復能力和狀態

每份報表都包含圖表,其中提供貴組織針對指定威脅的復原能力概觀:

  • 建議的動作— 顯示 [動作狀態 百分比],或您為了改善安全性狀態所達成的點數。 執行建議的動作以協助解決威脅。 您可以依 [ 類別 ] 或 [ 狀態] 檢視點的細目。
  • 端點暴露- 顯示易受攻擊的裝置數目。 套用安全性更新或修補程式,以解決威脅所利用的弱點。

分析師報告:從Microsoft安全性研究人員取得專家見解

在 [ 分析師報告] 區段中,閱讀詳細的專家撰寫。 大部分的報告都提供攻擊鏈結的詳細描述,包括對應至 MITRE ATT&CK 架構的策略和技術、詳盡的建議清單,以及強大的 威脅搜捕 指引。

深入瞭解分析師報告

關聯事件索引標籤提供所有與追蹤威脅相關的事件清單。 您可以指派事件或管理連結到每個事件的警示。

威脅分析報告之相關事件區段的螢幕擷取畫面。

注意事項

與威脅相關聯的事件和警示來自適用於端點的Defender、適用於身分識別的Defender、適用於 Office 365 的Defender、適用於雲端應用程式的Defender和適用於雲端的 Defender 和適用於雲端的 Defender。

受影響的資產:取得受影響的裝置、使用者、信箱、應用程式和雲端資源的清單

[ 受影響的資產] 索引卷標會顯示一段時間內受到威脅影響的資產。 它會顯示:

  • 受作用中警示影響的資產
  • 受已解決警示影響的資產
  • 所有資產,或受作用中和已解決警示影響的資產總數

資產分為下列類別:

  • 裝置
  • 使用者
  • 信箱
  • 應用程式
  • 雲端資源

威脅分析報告之受影響資產區段的螢幕擷取畫面。

端點暴露:瞭解安全性更新的部署狀態

[ 端點暴露 ] 區段會提供貴組織對威脅的 暴露 程度,這是根據上述威脅所利用的弱點和錯誤設定的嚴重性,以及具有這些弱點的裝置數目來計算。

本節也會針對在上線裝置上找到的弱點,提供支援的軟體安全性更新部署狀態。 它包含來自 Microsoft Defender 弱點管理的數據,也提供來自報表中各種連結的詳細向下切入資訊。

威脅分析報告的 [端點暴露] 區段

在 [ 建議的動作] 索引標籤中,檢閱可協助您提高組織抵禦威脅能力的特定可採取動作建議清單。 追蹤的防護功能清單包含支援的安全性設定,例如:

  • 雲端提供的保護
  • 潛在的垃圾應用程式 (PUA) 保護
  • 即時保護

顯示弱點詳細數據之威脅分析報表的建議動作區段

設定報表更新的電子郵件通知

您可以設定電子郵件通知,以傳送威脅分析報告的更新。 若要建立電子郵件通知,請遵循在 Microsoft Defender XDR 中取得威脅分析更新的電子郵件通知中的步驟。

其他報表詳細數據和限制

查看威脅分析數據時,請記住下列因素:

  • [ 建議的動作 ] 索引標籤中的檢查清單只會顯示 Microsoft安全分數中追蹤的建議。 檢查 [分析師報告] 索引標籤,以取得未在安全分數中追蹤的更多建議動作。
  • 建議的動作不保證完整的復原能力,而且只會反映改善它所需的最佳可能動作。
  • 防病毒軟體相關的統計數據是以 Microsoft Defender 防病毒軟體設定為基礎。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群