瞭解 Microsoft Defender 全面偵測回應 中威脅分析中的分析師報告
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
每個 威脅分析報告 都包含動態區段,以及稱為 分析師報告的完整寫入區段。 若要存取此區段,請開啟追蹤威脅的相關報告,然後選取 [ 分析師報告] 索引 卷標。
威脅分析報表的分析師報告區段
瞭解不同的分析師報告類型
威脅分析報告可以分類為下列其中一種報告類型:
- 活動配置檔 – 提供通常與威脅執行者相關聯之特定攻擊活動的相關信息。 此報告討論攻擊的發生方式、您應該關心的原因,以及Microsoft如何保護其客戶免於攻擊。 活動配置檔可能也包含事件的時間軸、攻擊鏈結,以及行為和方法等詳細數據。
- 動作專案配置檔 – 提供值得注意之網路攻擊背後的特定Microsoft追蹤威脅執行者相關信息。 此報告討論動作項目的動機、產業和/或地理目標,以及其策略、技術和程式 (TTP) 。 動作專案配置檔可能也包含動作項目的攻擊基礎結構、惡意代碼 (自定義或 開放原始碼) 和惡意探索的相關信息,以及其所屬的值得注意的事件或活動。
- 技術配置檔 – 提供威脅執行者所使用之特定技術的相關信息,例如,惡意使用 PowerShell 或商業電子郵件中的認證收集, (BEC) —以及Microsoft如何偵測與該技術相關聯的活動來保護其客戶。
- 威脅概觀 – 將多個配置檔報表摘要到一個敘述中,以繪製使用或與這些報告相關之威脅的更廣泛概觀。 例如,威脅執行者會使用不同的技術來竊取內部部署認證,而內部部署認證竊取的威脅概觀可能會連結到暴力密碼破解攻擊、Kerberos 攻擊或資訊竊取惡意代碼的技術配置檔。 Microsoft威脅情報會在影響客戶環境的最上層威脅上使用其感測器,以評估哪些威脅可能值得此報告類型使用。
- 工具設定檔 – 提供與威脅執行者經常相關聯的特定自定義或開放原始碼工具的相關信息。 此報告討論工具的功能、使用它的威脅執行者可能嘗試完成的目標,以及Microsoft如何藉由偵測與其相關聯的活動來保護其客戶。
- 弱點配置檔 – 提供影響產品的特定常見弱點和暴露 (CVE) 標識符或類似 CVE 群組的資訊。 弱點配置檔通常會討論值得注意的弱點,例如威脅執行者所使用的弱點和值得注意的攻擊活動。 其中涵蓋下列一或多種類型的資訊:弱點類型、受影響的服務、零時差或全天數惡意探索、嚴重性分數和潛在影響,以及Microsoft涵蓋範圍。
掃描分析師報告
分析師報告的每個區段都是設計來提供可採取動作的資訊。 雖然報表有所不同,但大部分的報表都包含下表所述的章節。
| 報表區段 | 描述 |
|---|---|
| 執行摘要 | 威脅的快照集,其中可能包括第一次看到威脅時、其動機、值得注意的事件、主要目標,以及不同的工具和技術。 您可以使用此資訊來進一步評估如何在產業、地理位置和網路的內容中排定威脅的優先順序。 |
| 概觀 | 威脅的技術分析,視報表類型而定,可能包括攻擊的詳細數據,以及攻擊者如何使用新技術或攻擊面。 本節也有不同的標題和進一步的子區段,視報表類型而定,以提供更多內容和詳細數據。 例如,弱點配置檔有個別區段,其中列出 受影響的技術,而動作專案配置檔可能包含 [工具] 和 [TTP ] 和 [ 屬性] 區 段。 |
| 偵測/搜捕查詢 | Microsoft安全性解決方案所提供的特定和一般 偵 測,可呈現與威脅相關聯的活動或元件。 本節也提供 搜捕查詢 ,以主動識別可能的威脅活動。 大部分的查詢都是為了補充偵測而提供,特別是用於找出無法動態評估為惡意的潛在惡意元件或行為。 |
| 觀察到的 MITRE ATT&CK 技術 | 觀察到的技術如何對應至 MITRE ATT&CK 攻擊架構 |
| 建議 | 可採取動作的步驟,可停止或協助降低威脅的影響。 本節也包含不會在威脅分析報告中動態追蹤的風險降低措施。 |
| 參考 | 在建立報表期間,分析師所參考的Microsoft和第三方發行集。 威脅分析內容是以Microsoft研究人員所驗證的數據為基礎。 來自公開可用的第三方來源的資訊會清楚識別為如此。 |
| 變更記錄 | 發行報表的時間,以及對報表進行重大變更的時間。 |
瞭解如何偵測每個威脅
分析師報告也會提供各種Microsoft解決方案的資訊,以協助偵測威脅。 它會列出下列各節所列的每個產品針對此威脅所特有的偵測,視需要列出。 來自這些威脅特定偵測的警示會顯示在 [威脅分析] 頁面的警示狀態卡中。
某些分析師報告也會提及警示,這些警示的設計目的是要以一般方式標示可疑行為,而且可能不會與追蹤的威脅相關聯。 在這種情況下,報告會清楚指出警示可以由不相關的威脅活動觸發,而且不會在威脅分析頁面中提供的狀態卡中監視。
Microsoft Defender 防毒軟體
在已開啟 Windows Microsoft Defender 防病毒軟體的裝置上,可以使用防病毒軟體偵測。 這些偵測會在可用時,連結到 Microsoft 安全情報 中各自的惡意代碼加密描述。
適用於端點的 Microsoft Defender
EDR) 警示 (端點偵測和回應會針對已上線至 適用於端點的 Microsoft Defender 的裝置引發。 這些警示依賴適用於端點的 Defender 感測器所收集的安全性訊號,以及其他作為強大訊號來源的端點功能,例如防病毒軟體、網路保護、竄改保護。
適用於 Office 365 的 Microsoft Defender
分析師報告中也會包含來自 適用於 Office 365 的 Defender 的偵測和防護功能。 適用於 Office 365 的 Defender 與Microsoft 365 訂用帳戶緊密整合,可防範電子郵件、連結 (URL) 、檔案附件和共同作業工具中的威脅。
適用於身分識別的 Microsoft Defender
適用於身分識別的 Defender 是雲端式安全性解決方案,可協助保護整個組織的身分識別監視。 它會使用來自 內部部署的 Active Directory 和雲端身分識別的訊號,協助您更妥善地識別、偵測及調查針對貴組織的進階威脅。
Microsoft 雲端 App 安全性
Defender for Cloud Apps 提供 SaaS 應用程式的完整保護,協助您監視及保護雲端應用程式數據,使用基本的雲端存取安全性訊息代理程式 (CASB) 功能、SaaS 安全性狀態管理 (SSPM) 功能、進階威脅防護和應用程式對應用程式保護。
適用於雲端的 Microsoft Defender
適用於雲端的Defender 是雲端原生應用程式保護平臺, (CNAPP) 由安全性措施和做法所組成,其設計目的是保護雲端式應用程式免於遭受各種威脅和弱點。
使用進階搜捕尋找細微威脅成品
雖然偵測可讓您自動識別和停止追蹤的威脅,但許多攻擊活動都會留下需要更多檢查的細微追蹤。 某些攻擊活動會展現可能也是正常的行為,因此動態偵測它們可能會導致作業雜訊,甚至是誤判。 搜捕查詢可讓您主動找出這些潛在的惡意元件或行為。
Microsoft Defender 全面偵測回應 進階搜捕查詢
進階搜捕會根據 Kusto 查詢語言 提供查詢介面,以簡化找出威脅活動的細微指標。 它也可讓您呈現內容相關信息,並確認指標是否已連線到威脅。
分析師報告中的進階搜捕查詢已由Microsoft分析師進行過審查,並準備好讓您在 進階搜捕查詢編輯器中執行。 您也可以使用查詢來建立 自定義偵測規則 ,以觸發未來相符專案的警示。
Microsoft Sentinel 查詢
分析師報告也可能包含適用於 Microsoft Sentinel 客戶的搜捕查詢。
Microsoft Sentinel 具有強大的搜尋和查詢工具,可在組織的數據源中搜捕安全性威脅。 為了協助您主動尋找安全性應用程式或甚至排程分析規則未偵測到的新異常,Sentinel 搜捕查詢會引導您詢問正確的問題,以找出您網路上已有的數據中的問題。
套用其他防護功能
威脅分析會動態追蹤特定 安全性更新 的狀態和安全 設定。 這些類型的資訊可做為 端點曝光 和 建議動作 索引標籤中的圖表和數據表,而且是適用於此威脅且可能也適用於其他威脅的可重複建議。
除了這些追蹤的建議之外,分析師報告也可以討論 不會 動態監視的風險降低措施,因為它們僅適用於報告中所討論的威脅或情況。 以下是一些未動態追蹤的重要緩和措施範例:
- 封鎖具有 .lnk 附件或其他可疑檔類型的電子郵件
- 隨機化本機系統管理員密碼
- 教育用戶網路釣魚電子郵件和其他威脅媒介
- 開啟特定 的受攻擊面縮小規則
雖然您可以使用 [端點曝光 ] 和 [ 建議的動作 ] 索引卷標來評估您的安全性狀態以抵禦威脅,但這些建議可讓您採取其他步驟來改善安全性狀態。 請仔細閱讀分析師報告中的所有風險降低指引,並盡可能套用它們。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。