Microsoft Defender XDR中的威胁分析
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
威胁分析是 Microsoft 安全研究人员专家提供的产品内威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:
- 活动威胁执行组件及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
可以从Microsoft Defender门户导航栏的左上角访问威胁分析,也可以从显示组织面临的主要威胁的专用仪表板 卡访问威胁分析,包括已知影响和暴露情况。
了解活动或正在进行的市场活动,并了解通过威胁分析执行的操作有助于为安全运营团队提供明智的决策。
随着更复杂的攻击者和新威胁频繁且普遍出现,快速执行以下操作至关重要:
- 识别和应对新出现的威胁
- 了解当前是否受到攻击
- 评估威胁对资产的影响
- 查看针对威胁或受到威胁的复原能力
- 确定可以采取的缓解、恢复或预防操作来阻止或遏制威胁
每个报告都提供跟踪威胁的分析,以及有关如何防御该威胁的广泛指导。 它还包含来自网络的数据,指示威胁是否处于活动状态以及是否有相应的保护。
在 Defender 门户中访问威胁分析需要以下角色和权限:
- 安全数据基础知识 (读取) - 查看威胁分析报告、相关事件和警报以及受影响的资产
- 漏洞管理 (读取) 和 安全功能分数 (读取) - 查看相关的暴露数据和建议的操作
默认情况下,使用Microsoft Entra全局角色共同管理对 Defender 门户中可用服务的访问。 如果需要更大的灵活性和控制对特定产品数据的访问,并且尚未使用Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 进行集中权限管理,我们建议为每个服务创建自定义角色。 详细了解如何创建自定义角色
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
即使只支持其中一个产品,你也能查看所有威胁分析报告。 但是,你需要拥有每个产品和角色,才能查看该产品的特定事件、资产、风险以及与威胁关联的建议操作。
威胁分析仪表板 (security.microsoft.com/threatanalytics3) 突出显示与组织最相关的报表。 它总结了以下部分中的威胁:
- 最新威胁 - 列出最近发布或更新的威胁报告,以及活动警报和已解决的警报数。
- 影响最大的威胁 - 列出对组织影响最大的威胁。 本部分首先列出活动警报数和已解决警报数最多的威胁。
- 最高暴露威胁 - 列出组织暴露程度最高的威胁。 威胁暴露级别是使用两条信息计算的:与威胁关联的漏洞的严重程度,以及组织中有多少设备可能被这些漏洞利用。
从仪表板中选择一个威胁以查看该威胁的报告。 还可以选择“搜索”字段以输入与要阅读的威胁分析报告相关的关键字 (keyword) 。
可以筛选威胁报告列表,并根据特定威胁类型或报告类型查看最相关的报告。
- 威胁标记 - 根据特定威胁类别帮助你查看最相关的报告。 例如, 勒索软件 标记包括与勒索软件相关的所有报告。
- 报表类型 - 根据特定报表类型帮助你查看最相关的报表。 例如, “工具 & 技术 ”标记包括涵盖工具和技术的所有报表。
不同的标记具有等效的筛选器,可帮助你有效地查看威胁报告列表,并根据特定的威胁标记或报告类型筛选视图。 例如,若要查看与勒索软件类别相关的所有威胁报告或涉及漏洞的威胁报告。
Microsoft威胁情报团队将威胁标记添加到每个威胁报告。 当前提供以下威胁标记:
- 勒索软件
- 勒索
- 网络钓鱼
- 手动键盘
- 活动组
- 漏洞
- 攻击活动
- 工具或技术
威胁标记显示在威胁分析页面的顶部。 每个标记下的可用报表数都有计数器。
若要在列表中设置所需的报表类型,请选择“ 筛选器”,从列表中选择,然后选择“ 应用”。
如果设置了多个筛选器,还可以通过选择威胁标记列来按威胁标记对威胁分析报告列表进行排序:
每个威胁分析报告在几个部分中提供信息:
“ 概述 ”部分提供详细分析报告的预览。 它还提供图表,突出显示威胁对组织的影响,以及你通过错误配置和未修补的设备暴露。
每个报表都包含图表,旨在提供有关威胁的组织影响的信息:
-
相关事件 - 使用以下数据概述了跟踪的威胁对组织的影响:
- 活动警报数及其关联的活动事件数
- 活动事件的严重性
- 一段时间内的警报 - 显示一段时间内相关的 “活动” 和 “已解决 ”警报数。 已解决的警报数指示组织响应与威胁关联的警报的速度。 理想情况下,图表应显示在几天内解决的警报。
- 受影响的资产 - 显示当前至少有一个与跟踪威胁关联的活动警报的不同资产的数量。 对于收到威胁电子邮件的邮箱,将触发警报。 查看组织级和用户级策略,了解导致威胁电子邮件传递的替代。
每个报告都包含图表,这些图表概述了组织如何应对给定威胁的复原能力:
- 建议的操作 - 显示 操作状态 百分比,或你为改善安全状况而获得的分数数。 执行建议的操作以帮助解决威胁。 可按 类别 或 状态查看积分明细。
- 终结点公开 - 显示易受攻击的设备数。 应用安全更新或修补程序来解决威胁利用的漏洞。
在 “分析报告 ”部分中,通读详细的专家撰写内容。 大多数报告都详细说明了攻击链,包括映射到 MITRE ATT&CK 框架的策略和技术、详尽的建议列表和强大的 威胁搜寻 指南。
相关事件选项卡提供与跟踪的威胁相关的所有事件的列表。 可以分配事件或管理链接到每个事件的警报。
备注
与威胁关联的事件和警报来自 Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps 和 Defender for Cloud。
“ 受影响的资产 ”选项卡显示随时间推移受到威胁影响的资产。 它显示:
- 受活动警报影响的资产
- 受已解决警报影响的资产
- 所有资产,或受活动警报和已解决警报影响的资产总数
资产分为以下类别:
- 设备
- 用户
- 邮箱
- 应用
- 云资源
“终结点暴露”部分提供组织对威胁的暴露级别,该级别根据上述威胁利用的漏洞和错误配置的严重性以及具有这些弱点的设备数量进行计算。
本部分还提供在载入设备上发现的漏洞支持的软件安全更新的部署状态。 它包含来自 Microsoft Defender 漏洞管理 的数据,其中还提供了来自报表中各个链接的详细向下钻取信息。
在“ 建议的操作 ”选项卡中,查看特定可操作建议的列表,这些建议可以帮助你提高组织对威胁的复原能力。 跟踪的缓解措施列表包括支持的安全配置,例如:
- 云端保护
- 潜在有害应用程序 (PUA) 保护
- 实时保护
可以设置电子邮件通知,以向你发送威胁分析报表的更新。 若要创建电子邮件通知,请按照获取 Microsoft Defender XDR 中威胁分析更新电子邮件通知中的步骤操作。
查看威胁分析数据时,请记住以下因素:
- “ 建议的操作 ”选项卡中的清单仅显示 安全分数Microsoft跟踪的建议。 查看“ 分析报告 ”选项卡,了解安全功能分数中未跟踪的更多建议操作。
- 建议的操作不保证完全复原,仅反映改进所需的最佳操作。
- 防病毒相关的统计信息基于Microsoft Defender防病毒设置。
- “main威胁分析”页中的“配置错误设备”列显示未打开威胁的相关建议操作时受威胁影响的设备数。 但是,如果Microsoft研究人员未链接任何建议的操作,则 “错误配置设备 ”列会显示状态 “不可用”。
- “main威胁分析”页中的“易受攻击设备”列显示运行软件的设备数,这些设备容易受到与威胁关联的任何漏洞的攻击。 但是,如果Microsoft研究人员未链接任何漏洞,则 “易受攻击的设备 ”列会显示“ 不可用”状态。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。