透過威脅分析追蹤和回應新興威脅

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

隨著更複雜的對手和新興威脅的頻繁與普遍出現,能夠快速應對變得非常重要:

  • 評估新威脅的影響
  • 檢閱您抵禦威脅或暴露於威脅的復原能力
  • 識別您可以採取以停止或包含威脅的動作

威脅分析是 Microsoft 安全性研究人員提供的一組報告,涵蓋最相關的威脅,包括:

  • 作用中威脅行為者及其活動
  • 熱門和新的攻擊技術
  • 嚴重的弱點
  • 常見的攻擊面
  • 常見的惡意程式碼

每個報表都會提供威脅的詳細分析,以及如何防禦該威脅的廣泛指引。 它也會納入來自您網路的數據,指出威脅是否作用中,以及您是否已備妥適用的保護。

觀看這段短片以深入了解威脅分析如何協助您追蹤最新的威脅並加以停止。

必要角色和權限

下表概述存取威脅分析所需的角色和許可權。 下表中定義的角色參照個別入口網站中的自定義角色,即使命名方式類似,也不會連線到 Microsoft Entra ID 中的全域角色。

Microsoft Defender 全面偵測回應 需要下列其中一個角色 適用於端點的Defender需要下列其中一個角色 適用於 Office 365 的 Defender 需要下列其中一個角色 適用於雲端應用程式的Defender需要下列其中一個角色
威脅分析 警示與事件資料:
  • 檢視資料 - 安全性作業
Defender 弱點管理防護功能:
  • 檢視數據 - 威脅和弱點管理
 警示與事件資料:
  • 僅限檢視管理警示
  • 管理警示
  • 組織組態
  • 稽核記錄
  • 僅檢視稽核記錄
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
防止電子郵件嘗試:
  • 安全性讀取者
  • 安全性系統管理員
  • 僅限檢視收件者
 不適用於適用於雲端應用程式的Defender或MDI使用者

檢視威脅分析儀表板

威脅分析儀錶板是取得與組織最相關之報告的絕佳起點。 它會將威脅摘要到下列區段中:

  • 最新威脅:清單 最近發佈的威脅報告,以及具有作用中和已解決警示的裝置數目。
  • 高影響的威脅:清單 對組織影響最大的威脅。 本節會依具有作用中警示的裝置數目來排名威脅。
  • 威脅摘要:顯示具有作用中和已解決警示的威脅數目,以顯示追蹤威脅的整體影響。

從儀表板選取威脅,以檢視該威脅的報告。

威脅分析儀錶板

檢視威脅分析報告

每個威脅分析報告提供三個區段的資訊: 概觀分析師報告風險降低

概觀:快速瞭解威脅、評估其影響,以及檢閱防禦

[ 概觀 ] 區段提供詳細分析師報告的預覽。 它也提供圖表,強調威脅對組織的影響,以及您透過設定不正確和未修補的裝置所暴露的情形。

威脅分析報告的 [概觀] 區段威脅分析報告的 [概觀] 區段

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表:

  • 具有警示的裝置:顯示目前受到威脅影響的不同裝置數目。 如果至少有一個與該威脅相關聯的警示,則裝置會分類為 [ 作用 中] ,如果已 解決與裝置上威脅相關聯 的所有 警示,則會將其分類為 [已解決]。
  • 具有一段時間警示的裝置:顯示一段時間內具有 作用 中和 已解決 警示的不同裝置數目。 已解決的警示數目表示貴組織回應與威脅相關聯警示的速度。 在理想情況下,圖表應會在幾天後顯示已解決的警示。

檢閱安全性恢復能力和狀態

每份報表都包含圖表,其中提供貴組織針對指定威脅的復原能力概觀:

  • 安全性設定狀態:顯示已套用建議安全性設定的裝置數目,以協助降低威脅。 如果裝置已套用所有追蹤的設定,則會被視為安全
  • 弱點修補狀態:顯示已套用安全性更新或修補程式的裝置數目,以解決威脅所利用的弱點。

分析師報告:從 Microsoft 安全性研究人員取得專家見解

移至 分析師報告 一節,以閱讀詳細的專家撰寫。 大部分的報告都提供攻擊鏈結的詳細描述,包括對應至 MITRE ATT&CK 架構的策略和技術、詳盡的建議清單,以及強大的 威脅搜捕 指引。

深入瞭解分析師報告

風險降低:檢閱防護功能清單和裝置狀態

在 [ 風險降低] 區段中,檢閱可協助您提高組織抵禦威脅能力的特定可採取動作建議清單。 追蹤的風險降低清單包括:

  • 安全性更新:部署安全性更新或弱點修補程式
  • Microsoft Defender 防病毒軟體設定
    • 安全性情報版本
    • 雲端提供的保護
    • 潛在的垃圾應用程式 (PUA) 保護
    • 即時保護

本節中的風險降低資訊包含來自 Microsoft Defender 弱點管理 的數據,其中也提供來自報表中各種鏈接的詳細向下切入資訊。

威脅分析報告的 [風險降低] 區段

威脅分析報告的 [風險降低] 區段

其他報表詳細數據和限制

使用報表時,請記住下列事項:

  • 數據的範圍是根據您的角色型訪問控制 (RBAC) 範圍。 您會在 可存取的群組中看到裝置的狀態。
  • 圖表只會反映追蹤的風險降低措施。 請檢查報表概觀,以取得圖表中未顯示的其他風險降低措施。
  • 緩和措施不保證完整的復原能力。 提供的防護功能反映改善復原所需的最佳可能動作。
  • 如果裝置尚未將數據傳輸至服務,則會將其視為「無法使用」。
  • 防病毒軟體相關的統計數據是以 Microsoft Defender 防病毒軟體設定為基礎。 具有第三方防病毒軟體解決方案的裝置可能會顯示為「公開」。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。