通过威胁分析跟踪和响应新出现的威胁

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

随着更复杂的攻击者和新威胁频繁且普遍出现,快速执行以下操作至关重要:

  • 评估新威胁的影响
  • 查看针对威胁或受到威胁的复原能力
  • 确定可以采取哪些操作来阻止或遏制威胁

威胁分析是 Microsoft 安全专家的一组报告,涵盖最相关的威胁,包括:

  • 活动威胁执行组件及其活动
  • 热门和新的攻击技术
  • 严重漏洞
  • 常见攻击面
  • 流行的恶意软件

每个报告都提供对威胁的详细分析和有关如何防御该威胁的广泛指导。 它还包含来自网络的数据,指示威胁是否处于活动状态以及是否有相应的保护。

观看此简短视频,详细了解威胁分析如何帮助你跟踪和阻止最新威胁。

所需角色和权限

下表概述了访问威胁分析所需的角色和权限。 下表中定义的角色是指单个门户中的自定义角色,并且未连接到Microsoft Entra ID中的全局角色,即使名称类似。

Microsoft Defender XDR需要以下角色之一 Defender for Endpoint 需要以下角色之一 Defender for Office 365需要以下角色之一 Defender for Cloud Apps 需要以下角色之一
威胁分析 警报和事件数据:
  • 查看数据 - 安全操作
Defender 漏洞管理缓解措施:
  • 查看数据 - 威胁和漏洞管理
警报和事件数据:
  • 仅查看管理警报
  • 管理警报
  • 组织配置
  • 审核日志
  • 仅查看审核日志
  • 安全读者
  • 安全管理员
  • 仅查看收件人
阻止的电子邮件尝试:
  • 安全读者
  • 安全管理员
  • 仅查看收件人
不适用于 Defender for Cloud Apps 或 MDI 用户

使用威胁分析仪表板。

威胁分析仪表板是获取与组织最相关的报表的绝佳跳跃点。 它总结了以下部分中的威胁:

  • 最新威胁:Lists最近发布的威胁报告,以及具有活动警报和已解决警报的设备数。
  • 影响最大的威胁:Lists对组织影响最大的威胁。 本部分按具有活动警报的设备数对威胁进行排名。
  • 威胁摘要:通过显示具有活动警报和已解决警报的威胁数来显示跟踪威胁的总体影响。

从仪表板中选择一个威胁以查看该威胁的报告。

威胁分析仪表板

相关威胁分析报告

每个威胁分析报告提供三个部分的信息: 概述分析师报告缓解措施

概述:快速了解威胁、评估其影响并查看防御措施

概述 ”部分提供详细分析报告的预览。 它还提供图表,突出显示威胁对组织的影响,以及通过配置错误和未修补的设备暴露。

威胁分析报告的“概述”部分

评估对组织的影响

每个报表都包含图表,旨在提供有关威胁的组织影响的信息:

  • 具有警报的设备:显示受威胁影响的不同设备的当前数量。 如果至少有一个与该威胁关联的警报,则设备归类为“活动”;如果已解决与设备上的威胁关联的所有警报,则将其归类为“已解决”。
  • 一段时间内具有警报的设备:显示一段时间内具有 “活动” 和“ 已解决 ”警报的不同设备数。 已解决的警报数指示组织响应与威胁关联的警报的速度。 理想情况下,图表应显示在几天内解决的警报。

查看安全复原能力和态势

每个报告都包含图表,这些图表概述了组织如何应对给定威胁的复原能力:

  • 安全配置状态:显示已应用建议的安全设置来帮助缓解威胁的设备数。 如果设备已应用所有跟踪的设置,则它们被视为安全
  • 漏洞修补状态:显示已应用安全更新或修补程序以解决威胁利用的漏洞的设备数。

分析报告:从 Microsoft 安全研究人员那里获取专家见解

转到 “分析师报告 ”部分,阅读详细的专家撰写内容。 大多数报告都详细说明了攻击链,包括映射到 MITRE ATT&CK 框架的策略和技术、详尽的建议列表和强大的 威胁搜寻 指南。

详细了解分析报告

缓解措施:查看缓解措施列表和设备状态

“缓解措施 ”部分中,查看有助于提高组织对威胁的复原能力的特定可操作建议的列表。 跟踪的缓解措施列表包括:

  • 安全更新:部署安全更新或漏洞修补程序
  • Microsoft Defender防病毒设置
    • 安全智能版本
    • 云端保护
    • 潜在有害应用程序 (PUA) 保护
    • 实时保护

本部分中的缓解信息包含来自 Microsoft Defender 漏洞管理 的数据,其中还提供了来自报表中各个链接的详细向下钻取信息。

威胁分析报告的“缓解”部分

威胁分析报告的“缓解”部分

其他报表详细信息和限制

使用报表时,请记住以下几点:

  • 数据的范围基于基于角色的访问控制 (RBAC) 范围。 你将在 可访问的组中看到设备的状态。
  • 图表仅反映跟踪的缓解措施。 请查看报表概述,了解图表中未显示的其他缓解措施。
  • 缓解措施不保证完全复原。 提供的缓解措施反映了提高复原能力所需的最佳可能操作。
  • 如果设备未将数据传输到服务,则将其计为“不可用”。
  • 防病毒相关的统计信息基于Microsoft Defender防病毒设置。 具有第三方防病毒解决方案的设备可以显示为“已公开”。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区