Microsoft Defender 全面偵測回應中的威脅分析

發行項
04/26/2024

適用於：

Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

威脅分析是我們來自專家級 Microsoft 安全性研究人員的產品內威脅情報解決方案。其設計旨在幫助安全性小組在面對新興威脅時盡可能地有效率，例如：

作用中威脅行為者及其活動
熱門和新的攻擊技術
嚴重的弱點
常見的攻擊面
常見的惡意程式碼

觀看這段短片以深入了解威脅分析如何協助您追蹤最新的威脅並加以停止。

您可以從 Microsoft Defender 全面偵測回應導覽列左上角，或從專用儀錶板卡片存取威脅分析，以顯示組織在已知影響和暴露程度方面的主要威脅。

取得作用中或進行中活動的深入解析，以及透過威脅分析了解可採取的動作，都可協助您的安全性作業小組做出明智的決策。

隨著更複雜的對手和新興威脅的頻繁與普遍出現，能夠快速應對變得非常重要：

識別並回應新興威脅
瞭解您目前是否遭受攻擊
評估威脅對資產的影響
檢閱您抵禦威脅或暴露於威脅的復原能力
識別您可以採取來停止或包含威脅的風險降低、復原或預防動作

每個報表都會提供追蹤威脅的分析，以及如何防禦該威脅的廣泛指引。它也會納入來自您網路的數據，指出威脅是否作用中，以及您是否已備妥適用的保護。

檢視威脅分析儀表板

威脅分析儀錶板 (security.microsoft.com/threatanalytics3) 醒目提示與組織最相關的報告。它會將威脅摘要到下列區段中：

最新的威脅— 列出最近發佈或更新的威脅報告，以及作用中和已解決的警示數目。
高影響的威脅— 列出對組織影響最大的威脅。此區段首先會列出作用中和已解決警示數目最多的威脅。
最高曝光率— 列出組織暴露程度最高的威脅。您對威脅的暴露程度是使用兩項資訊來計算：與威脅相關聯的弱點有多嚴重，以及貴組織中有多少裝置可能被這些弱點所利用。

從儀表板選取威脅，以檢視該威脅的報告。您也可以選取與您想要讀取之威脅分析報告相關的關鍵詞中的 [搜尋] 字段。

依類別檢視報表

您可以篩選威脅報告清單，並根據特定威脅類型或報告類型檢視最相關的報告。

威脅標記— 協助您根據特定威脅類別檢視最相關的報告。例如， 勒索軟體 標籤包含與勒索軟體相關的所有報告。
報表類型 — 協助您根據特定報表類型檢視最相關的報表。例如， [工具 & 技術 ] 標籤包含涵蓋工具和技術的所有報表。

不同的標記具有對等的篩選條件，可協助您有效率地檢閱威脅報告清單，並根據特定的威脅標記或報表類型篩選檢視。例如，若要檢視與勒索軟體類別相關的所有威脅報告，或是涉及弱點的威脅報告。

Microsoft 威脅情報小組已將威脅標籤新增至每個威脅報告。目前有四個威脅標籤可用：

勒索軟體
網路釣魚
弱點
活動群組

威脅標籤會顯示在威脅分析頁面的頂端。每個標籤下都有可用報告數目的計數器。

若要在清單中設定您想要的報表類型，請選取 [ 篩選]，從清單中選擇，然後選取 [ 套用]。

如果您已設定多個篩選條件，也可以選取 [威脅卷標] 資料行，依威脅標記排序威脅分析報告清單：

檢視威脅分析報告

每個威脅分析報告會提供數個區段中的資訊：

概觀
分析人員報告
相關事件
受影響的資產
防止電子郵件嘗試
暴露 & 防護功能

概觀：快速瞭解威脅、評估其影響，以及檢閱防禦

[ 概觀 ] 區段提供詳細分析師報告的預覽。它也會提供圖表，強調威脅對組織的影響，以及透過設定錯誤和未修補的裝置公開。

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表：

相關事件 — 使用下列數據，提供追蹤威脅對組織的影響概觀：
- 作用中警示數目，以及與其相關聯的作用中事件數目
- 作用中事件的嚴重性
一段時間的警示— 顯示一段時間內相關的 作用中 和 已解決 警示數目。已解決的警示數目表示貴組織回應與威脅相關聯警示的速度。在理想情況下，圖表應會在幾天後顯示已解決的警示。
受影響的資產— 顯示信箱 () 的不同裝置和電子郵件帳戶數目，這些信箱目前至少有一個與追蹤威脅相關聯的作用中警示。已收到威脅電子郵件的信箱會觸發警示。檢閱組織和用戶層級原則，以取得導致威脅電子郵件傳遞的覆寫。
防止電子郵件嘗試— 顯示過去七天內在傳遞或傳遞至垃圾郵件資料夾之前遭到封鎖的電子郵件數目。

檢閱安全性恢復能力和狀態

每份報表都包含圖表，其中提供貴組織針對指定威脅的復原能力概觀：

安全組態狀態— 顯示設定錯誤安全性設定的裝置數目。套用建議的安全性設定，以協助降低威脅。如果裝置已套用所有追蹤的設定，則會被視為安全。
弱點修補狀態— 顯示易受攻擊的裝置數目。套用安全性更新或修補程式，以解決威脅所利用的弱點。

分析師報告：從 Microsoft 安全性研究人員取得專家見解

在 [ 分析師報告] 區段中，閱讀詳細的專家撰寫。大部分的報告都提供攻擊鏈結的詳細描述，包括對應至 MITRE ATT&CK 架構的策略和技術、詳盡的建議清單，以及強大的威脅搜捕指引。

深入瞭解分析師報告

關聯事件索引標籤提供所有與追蹤威脅相關的事件清單。您可以指派事件或管理連結到每個事件的警示。

受影響的資產：取得受影響的裝置和信箱清單

如果資產受到作用中、未解決警示的影響，則會視為受影響的資產。 受影響的資產索引標籤列出下列類型的受影響資產：

受影響的裝置— 具有無法解析適用於端點的 Microsoft Defender 警示的端點。這些警示通常會在發現已知威脅指標和活動時觸發。
受影響的信箱— 已收到已觸發適用於 Office 365 的 Microsoft Defender 警示的電子郵件訊息的信箱。雖然通常會封鎖大部分觸發警示的郵件，但使用者或組織層級原則可以覆寫篩選。

防止電子郵件嘗試：檢視已封鎖或垃圾的威脅電子郵件

適用於 Office 365 的 Microsoft Defender 通常會封鎖具有已知威脅指標的電子郵件，包括惡意連結或附件。在某些情況下，檢查可疑內容的主動式篩選機制會改為將威脅電子郵件傳送至垃圾郵件資料夾。在任一情況下，威脅在裝置上啟動惡意程式碼的機會都會降低。

[防止電子郵件嘗試] 索引標籤會列出在傳遞之前遭到封鎖或由適用於 Office 365 的 Microsoft Defender 傳送至垃圾郵件資料夾的所有電子郵件。

暴露和緩和措施：檢閱風險降低和裝置狀態的清單

在 [ 暴露 & 防護 功能] 區段中，檢閱可協助您提高組織抵禦威脅能力的特定可採取動作建議清單。追蹤的風險降低清單包括：

安全性更新 — 針對已上線裝置上找到的弱點部署支援的軟體安全性更新
支援的安全性設定
- 雲端提供的保護
- 潛在的垃圾應用程式 (PUA) 保護
- 即時保護

本節中的風險降低資訊包含來自 Microsoft Defender 弱點管理的數據，其中也提供來自報表中各種鏈接的詳細向下切入資訊。

威脅分析報告的曝光 & 風險降低區段

設定報表更新的電子郵件通知

您可以設定電子郵件通知，以傳送威脅分析報告的更新。若要建立電子郵件通知，請遵循在 Microsoft Defender 全面偵測回應中取得威脅分析更新的電子郵件通知中的步驟。

其他報表詳細數據和限制

注意事項

作為統一安全性體驗的一部分，威脅分析現在不僅適用於適用於端點的 Microsoft Defender，也適用於適用於 Office 365 的 Microsoft Defender 授權持有者。

如果您不是使用 Microsoft 365 安全性入口網站 (Microsoft Defender 全面偵測回應) ，您也可以在 Microsoft Defender 資訊安全中心入口網站中看到不含 Office 數據) Microsoft Defender (報表詳細數據 (適用於端點的 Microsoft Defender) 。

若要存取威脅分析報告，您需要特定的角色和許可權。如需詳細資訊，請參閱角色型訪問控制中的自定義角色以取得 Microsoft Defender 全面偵測回應。

若要檢視警示、事件或受影響的資產數據，您必須有許可權 Microsoft Defender Office 或適用於端點的 Microsoft Defender 警示數據或兩者。
若要檢視防止的電子郵件嘗試，您必須擁有 Microsoft Defender Office 搜捕數據的許可權。
若要檢視緩和措施，您必須擁有適用於端點的 Microsoft Defender 中 Defender 弱點管理數據的許可權。

查看威脅分析數據時，請記住下列因素：

圖表只會反映追蹤的風險降低措施。請查看報表概觀，以取得圖表中未顯示的其他風險降低措施。
緩和措施不保證完整的復原能力。提供的防護功能反映改善復原所需的最佳可能動作。
如果裝置尚未將數據傳輸至服務，則會將其視為「無法使用」。
防病毒軟體相關的統計數據是以 Microsoft Defender 防病毒軟體設定為基礎。具有第三方防病毒軟體解決方案的裝置可能會顯示為「公開」。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應技術社群。

Microsoft Defender 全面偵測回應中的威脅分析