瞭解 Microsoft Defender 全面偵測回應 中威脅分析中的分析師報告
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
每個 威脅分析報告 都包含動態區段,以及稱為 分析師報告的完整寫入區段。 若要存取此區段,請開啟追蹤威脅的相關報告,然後選取 [ 分析師報告] 索引 卷標。
威脅分析報表的分析師報告區段
掃描分析師報告
分析師報告的每個區段都是設計來提供可採取動作的資訊。 雖然報表有所不同,但大部分的報表都包含下表所述的章節。
| 報表區段 | 描述 |
|---|---|
| 執行摘要 | 威脅的概觀,包括第一次看到威脅時、其動機、值得注意的事件、主要目標,以及不同的工具和技術。 您可以使用此資訊來進一步評估如何在產業、地理位置和網路的內容中排定威脅的優先順序。 |
| 分析 | 威脅的技術資訊,包括攻擊的詳細數據,以及攻擊者如何利用新技術或攻擊面 |
| 觀察到的 MITRE ATT&CK 技術 | 觀察到的技術如何對應至 MITRE ATT&CK 攻擊架構 |
| 風險降低 | 可停止或協助降低威脅影響的建議。 本節也包含不會在威脅分析報告中動態追蹤的風險降低措施。 |
| 偵測詳細數據 | Microsoft 安全性解決方案所提供的特定和一般偵測,可呈現與威脅相關聯的活動或元件。 |
| 進階搜捕 | 主動識別可能威脅活動的進階搜捕查詢。 大部分的查詢都是為了補充偵測而提供,特別是用於找出無法動態評估為惡意的潛在惡意元件或行為。 |
| 參考 | 在建立報表期間,分析師所參考的 Microsoft 和第三方發行集。 威脅分析內容是以 Microsoft 研究人員所驗證的數據為基礎。 來自公開可用的第三方來源的資訊會清楚識別為如此。 |
| 變更記錄 | 發行報表的時間,以及對報表進行重大變更的時間。 |
套用其他防護功能
威脅分析會動態追蹤安全性 更新的狀態和安全設定。 這項資訊可在 [ 暴露 & 防護 功能] 索引標籤中以圖表和數據表的方式取得。
除了這些追蹤的防護功能之外,分析師報告也會討論 未 動態監視的緩和措施。 以下是一些未動態追蹤的重要風險降低範例:
- 封鎖具有 .lnk 附件或其他可疑檔類型的電子郵件
- 隨機化本機系統管理員密碼
- 教育用戶網路釣魚電子郵件和其他威脅媒介
- 開啟特定 的受攻擊面縮小規則
雖然您可以使用 [ 暴露 & 防護功能] 索引標籤來評估安全性狀態以抵禦威脅,但這些建議可讓您採取其他步驟來改善安全性狀態。 請仔細閱讀分析師報告中的所有風險降低指引,並盡可能套用它們。
瞭解如何偵測每個威脅
分析師報告也會提供來自 Microsoft Defender 防病毒軟體和端點偵測的偵測,以及 EDR) 功能 (回應。
防病毒軟體偵測
這些偵測可在已開啟 Windows Microsoft Defender 防病毒軟體的裝置上使用。 當這些偵測發生在已上線以 適用於端點的 Microsoft Defender的裝置上時,它們也會觸發警示以顯示報表中的圖表。
注意事項
分析師報告也會列出可識別各種威脅的 一般偵 測,以及追蹤威脅特定的元件或行為。 這些泛型偵測不會反映在圖表中。
EDR) 警示 (端點偵測和回應
系統會針對已上線至 適用於端點的 Microsoft Defender的裝置引發 EDR 警示。 這些警示通常依賴 適用於端點的 Microsoft Defender 感測器所收集的安全性訊號,以及其他作為強大訊號來源的端點功能,例如防病毒軟體、網路保護、竄改保護。
如同防病毒軟體偵測清單,某些 EDR 警示的設計目的是以一般方式標示可能與追蹤威脅無關的可疑行為。 在這種情況下,報表會清楚地將警示識別為「一般」,而且不會影響報表中的任何圖表。
Email相關的偵測和風險降低
除了已從 適用於端點的 Microsoft Defender 取得的端點數據之外,分析師報告中還包含 Email 相關的偵測和 適用於 Office 365 的 Microsoft Defender 防護功能。
防止的電子郵件嘗試資訊可讓您深入瞭解您的組織是否為分析師報告中所處理威脅的目標,即使攻擊在傳遞或傳遞至垃圾郵件資料夾之前已有效遭到封鎖。
使用進階搜捕尋找細微威脅成品
雖然偵測可讓您自動識別和停止追蹤的威脅,但許多攻擊活動都會留下需要額外檢查的細微追蹤。 某些攻擊活動會展現可能也是正常的行為,因此動態偵測它們可能會導致作業雜訊,甚至是誤判。
進階搜捕會根據 Kusto 查詢語言 提供查詢介面,以簡化找出威脅活動的細微指標。 它也可讓您呈現內容相關信息,並確認指標是否已連線到威脅。
分析師報告中的進階搜捕查詢已由 Microsoft 分析師審查,並已準備好讓您在 進階搜捕查詢編輯器中執行。 您也可以使用查詢來建立 自定義偵測規則 ,以觸發未來相符專案的警示。
注意事項
威脅分析也適用於 適用於端點的 Microsoft Defender。 不過,它沒有 適用於 Office 365 的 Microsoft Defender 與 適用於端點的 Microsoft Defender 之間的數據整合。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應