Microsoft Defender XDR中的威胁分析
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
威胁分析是 Microsoft 安全研究人员专家提供的产品内威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:
- 活动威胁执行组件及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
观看此简短视频,详细了解威胁分析如何帮助你跟踪和阻止最新威胁。
可以从Microsoft Defender XDR导航栏的左上角访问威胁分析,也可以从显示组织的主要威胁的专用仪表板 卡访问威胁分析,包括已知影响和暴露。
了解活动或正在进行的市场活动,并了解通过威胁分析执行的操作有助于为安全运营团队提供明智的决策。
随着更复杂的攻击者和新威胁频繁且普遍出现,快速执行以下操作至关重要:
- 识别和应对新出现的威胁
- 了解当前是否受到攻击
- 评估威胁对资产的影响
- 查看针对威胁或受到威胁的复原能力
- 确定可以采取的缓解、恢复或预防操作来阻止或遏制威胁
每个报告都提供跟踪威胁的分析,以及有关如何防御该威胁的广泛指导。 它还包含来自网络的数据,指示威胁是否处于活动状态以及是否有相应的保护。
使用威胁分析仪表板。
威胁分析仪表板 (security.microsoft.com/threatanalytics3) 突出显示与组织最相关的报表。 它总结了以下部分中的威胁:
- 最新威胁 - 列出最近发布或更新的威胁报告,以及活动警报和已解决的警报数。
- 影响最大的威胁 - 列出对组织影响最大的威胁。 本部分首先列出活动警报数和已解决警报数最多的威胁。
- 最高曝光率 - 列出组织暴露程度最高的威胁。 威胁暴露级别是使用两条信息计算的:与威胁关联的漏洞的严重程度,以及组织中有多少设备可能被这些漏洞利用。
从仪表板中选择一个威胁以查看该威胁的报告。 还可以选择搜索字段以在与要阅读的威胁分析报告相关的关键字 (keyword) 中键。
按类别查看报表
可以筛选威胁报告列表,并根据特定威胁类型或报告类型查看最相关的报告。
- 威胁标记 - 根据特定威胁类别帮助你查看最相关的报告。 例如, 勒索软件 标记包括与勒索软件相关的所有报告。
- 报表类型 - 根据特定报表类型帮助你查看最相关的报表。 例如, “工具 & 技术 ”标记包括涵盖工具和技术的所有报表。
不同的标记具有等效的筛选器,可帮助你有效地查看威胁报告列表,并根据特定的威胁标记或报告类型筛选视图。 例如,若要查看与勒索软件类别相关的所有威胁报告或涉及漏洞的威胁报告。
Microsoft 威胁情报团队已将威胁标记添加到每个威胁报告。 目前有四个威胁标记可用:
- 勒索软件
- 网络钓鱼
- 漏洞
- 活动组
威胁标记显示在威胁分析页面的顶部。 每个标记下的可用报表数都有计数器。
若要在列表中设置所需的报表类型,请选择“ 筛选器”,从列表中选择,然后选择“ 应用”。
如果已设置多个筛选器,还可以通过选择威胁标记列来按威胁标记对威胁分析报告列表进行排序:
相关威胁分析报告
每个威胁分析报告在几个部分中提供信息:
概述:快速了解威胁、评估其影响并查看防御措施
“ 概述 ”部分提供详细分析报告的预览。 它还提供图表,突出显示威胁对组织的影响,以及你通过错误配置和未修补的设备暴露。
评估对组织的影响
每个报表都包含图表,旨在提供有关威胁的组织影响的信息:
- 相关事件 - 使用以下数据概述了跟踪的威胁对组织的影响:
- 活动警报数及其关联的活动事件数
- 活动事件的严重性
- 一段时间内的警报 - 显示一段时间内相关的 “活动” 和 “已解决 ”警报数。 已解决的警报数指示组织响应与威胁关联的警报的速度。 理想情况下,图表应显示在几天内解决的警报。
- 受影响的资产 - 显示 (邮箱) 当前至少有一个与跟踪威胁关联的活动警报的不同设备和电子邮件帐户的数量。 对于收到威胁电子邮件的邮箱,将触发警报。 查看组织级和用户级策略,了解导致威胁电子邮件传递的替代。
- 阻止的电子邮件尝试数 - 显示过去 7 天内在送达前被阻止或传递到垃圾邮件文件夹的电子邮件数。
查看安全复原能力和态势
每个报告都包含图表,这些图表概述了组织如何应对给定威胁的复原能力:
- 安全配置状态 - 显示安全设置配置错误的设备数。 应用建议的安全设置来帮助缓解威胁。 如果设备已应用所有跟踪的设置,则它们被视为安全。
- 漏洞修补状态 - 显示易受攻击的设备数。 应用安全更新或修补程序来解决威胁利用的漏洞。
分析报告:从 Microsoft 安全研究人员那里获取专家见解
在 “分析报告 ”部分中,通读详细的专家撰写内容。 大多数报告都详细说明了攻击链,包括映射到 MITRE ATT&CK 框架的策略和技术、详尽的建议列表和强大的 威胁搜寻 指南。
相关事件:查看和管理相关事件
相关事件选项卡提供与跟踪的威胁相关的所有事件的列表。 可以分配事件或管理链接到每个事件的警报。
受影响的资产:获取受影响设备和邮箱的列表
如果资产受活动、未解决的警报影响,则会将其视为受影响。 受影响的资产 选项卡列出了以下类型的受影响资产:
- 受影响的设备 - 未解析Microsoft Defender for Endpoint警报的终结点。 这些警报通常在看到已知的威胁指示器和活动时触发。
- 受影响的邮箱 - 已收到触发Microsoft Defender for Office 365警报的电子邮件的邮箱。 虽然大多数触发警报的消息通常会被阻止,但用户级或组织级策略可以替代筛选器。
阻止的电子邮件尝试:查看阻止或已阻止的威胁电子邮件
Microsoft Defender for Office 365 通常会阻止具有已知威胁指示器(包括恶意链接或附件)的电子邮件。 在某些情况下,检查可疑内容的主动筛选机制会改为将威胁电子邮件发送到垃圾邮件文件夹。 在任一情况下,威胁在设备上启动恶意软件代码的可能性会降低。
“阻止的电子邮件尝试”选项卡列出了在送达前已阻止或通过Microsoft Defender for Office 365发送到垃圾邮件文件夹的所有电子邮件。
暴露和缓解:查看缓解措施列表和设备状态
在 “暴露 & 缓解措施 ”部分中,查看可帮助提高组织应对威胁能力的特定可操作建议列表。 跟踪的缓解措施列表包括:
- 安全更新 - 针对载入设备上发现的漏洞部署受支持的软件安全更新
- 支持的安全配置
- 云端保护
- 潜在有害应用程序 (PUA) 保护
- 实时保护
本部分中的缓解信息包含来自 Microsoft Defender 漏洞管理 的数据,其中还提供了来自报表中各个链接的详细向下钻取信息。
威胁分析报表的“暴露 & 缓解”部分
为报表更新设置电子邮件通知
可以设置电子邮件通知,以向你发送威胁分析报表的更新。 若要创建电子邮件通知,请按照获取 Microsoft Defender XDR 中威胁分析更新电子邮件通知中的步骤操作。
其他报表详细信息和限制
注意
作为统一安全体验的一部分,威胁分析现在不仅适用于Microsoft Defender for Endpoint,还可用于Microsoft Defender for Office 365许可证持有者。
如果不使用 Microsoft 365 安全门户 (Microsoft Defender XDR) ,还可以在 (Microsoft Defender 安全中心门户中查看报表详细信息,而无需Microsoft Defender for Office 数据) (Microsoft Defender for Endpoint) 。
若要访问威胁分析报告,需要某些角色和权限。 有关详细信息,请参阅基于角色的访问控制中的自定义角色,了解Microsoft Defender XDR。
- 若要查看警报、事件或受影响的资产数据,需要有权Microsoft Defender Office 或Microsoft Defender for Endpoint警报数据,或者两者兼有。
- 若要查看阻止的电子邮件尝试,需要有权Microsoft Defender Office 搜寻数据。
- 若要查看缓解措施,需要对 Microsoft Defender for Endpoint 中的 Defender 漏洞管理数据具有权限。
查看威胁分析数据时,请记住以下因素:
- 图表仅反映跟踪的缓解措施。 请查看报表概述,了解图表中未显示的其他缓解措施。
- 缓解措施不保证完全复原。 提供的缓解措施反映了提高复原能力所需的最佳可能操作。
- 如果设备尚未将数据传输到服务,则将其计为“不可用”。
- 防病毒相关的统计信息基于Microsoft Defender防病毒设置。 具有第三方防病毒解决方案的设备可以显示为“已公开”。
相关文章
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈