威胁分析中的分析报告
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
每个 威胁分析报告 包括动态部分和称为 分析报告的综合书面部分。 若要访问此部分,请打开有关跟踪威胁的报告,然后选择“ 分析报告 ”选项卡。
威胁分析报表的分析师报告部分
扫描分析报告
分析报告的每个部分都旨在提供可操作的信息。 虽然报表各不相同,但大多数报表都包含下表中所述的部分。
| 报告部分 | 说明 |
|---|---|
| 执行摘要 | 威胁概述,包括首次发现威胁时、其动机、重要事件、主要目标以及不同的工具和技术。 可以使用此信息进一步评估如何在行业、地理位置和网络上下文中确定威胁的优先级。 |
| 分析 | 有关威胁的技术信息,包括攻击的详细信息以及攻击者可能如何使用新技术或攻击面 |
| 观察到的 MITRE ATT&CK 技术 | 观察到的技术如何映射到 MITRE ATT&CK 攻击框架 |
| 缓解 | 可以阻止或帮助减少威胁影响的建议。 本部分还包括未作为威胁分析报告的一部分动态跟踪的缓解措施。 |
| 检测详细信息 | Microsoft 安全解决方案提供的特定和通用检测,可以显示与威胁关联的活动或组件。 |
| 高级搜寻 | 用于主动识别可能的威胁活动的高级搜寻查询。 提供大多数查询来补充检测,尤其是用于查找无法动态评估为恶意的潜在恶意组件或行为。 |
| 参考 | 在创建报表期间由分析师引用的 Microsoft 和第三方出版物。 威胁分析内容基于 Microsoft 研究人员验证的数据。 公开提供的第三方来源的信息已明确标识为此类信息。 |
| 更改日志 | 报表的发布时间,以及对报表进行重大更改的时间。 |
应用其他缓解措施
威胁分析动态跟踪 安全更新和安全配置的状态。 此信息在 “缓解措施 ”选项卡中以图表和表的形式提供。
除了这些跟踪的缓解措施,分析报告还讨论了 未 动态监视的缓解措施。 下面是未动态跟踪的重要缓解措施的一些示例:
- 阻止包含 .lnk 附件或其他可疑文件类型的电子邮件
- 随机化本地管理员密码
- 培训最终用户有关钓鱼电子邮件和其他威胁途径的信息
- 启用特定 攻击面减少规则
虽然可以使用“ 缓解” 选项卡来评估针对威胁的安全状况,但这些建议可让你采取其他步骤来改善安全状况。 仔细阅读分析报告中的所有缓解指南,并尽可能应用它们。
了解如何检测每个威胁
分析报告还提供Microsoft Defender防病毒和终结点检测和响应 (EDR) 功能。
防病毒检测
这些检测在启用 Microsoft Defender 防病毒的设备上可用。 当这些检测发生在已载入Microsoft Defender for Endpoint的设备上时,它们还会触发警报,使报表中的图表亮起。
注意
除了特定于跟踪威胁的组件或行为外,分析报告还列出了可以识别各种威胁的 通用检测 。 这些通用检测不会反映在图表中。
终结点检测和响应 (EDR) 警报
对于载入到Microsoft Defender for Endpoint的设备,会引发 EDR 警报。 这些警报通常依赖于Microsoft Defender for Endpoint传感器收集的安全信号和其他终结点功能, (如防病毒、网络保护、篡改防护) 充当强大信号源。
与防病毒检测列表一样,某些 EDR 警报通常用于标记可能与跟踪的威胁无关的可疑行为。 在这种情况下,报告会将警报明确标识为“通用”,并且不会影响报表中的任何图表。
使用高级搜寻查找细微威胁项目
虽然通过检测可以自动识别和停止跟踪的威胁,但许多攻击活动会留下需要额外检查的细微跟踪。 某些攻击活动表现出的行为也可能是正常的,因此动态检测它们可能会导致操作噪音甚至误报。
高级搜寻提供基于Kusto 查询语言的查询界面,简化了威胁活动的细微指标的定位。 它还允许显示上下文信息并验证指示器是否连接到威胁。
分析报告中的高级搜寻查询已经过 Microsoft 分析师的审核,并且已准备好在 高级搜寻查询编辑器中运行。 还可以使用查询创建自定义 检测规则 ,以便为将来的匹配项触发警报。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈