Popis Analýza hrozeb v programu Microsoft Defender

  • 5 min

Analytici analýzy hrozeb mají potíže s vyvážením šířky příjmu informací o hrozbách s analýzou toho, která analýza hrozeb představuje největší hrozby pro svou organizaci nebo odvětví. Podobně analytici analýzy ohrožení zabezpečení bojovali proti korelaci inventáře prostředků s běžnými informacemi o ohroženích zabezpečení a ohroženích zabezpečení (CVE) a upřednostňují šetření a nápravu nejdůležitějších chyb zabezpečení spojených s jejich organizací.

Analýza hrozeb v programu Microsoft Defender tyto problémy řeší agregací a rozšiřováním důležitých zdrojů dat a jejich zobrazením v inovativním snadno použitelném rozhraní. Analytici pak můžou korelovat indikátory ohrožení zabezpečení (IOC) se souvisejícími články, profily objektů actor a ohroženími zabezpečení. Ti v programu Defender také umožňuje analytikům spolupracovat s kolegy uživateli TI v programu Defender v rámci jejich tenanta při vyšetřování.

Analýza hrozeb v programu Microsoft Defender funkce zahrnují:

  • Analýza hrozeb
  • Profily Intel
  • Intel Explorer
  • Projekty

Analýza hrozeb

Analýza hrozeb vám jako analytik pomůže pochopit, jak vznikající hrozby ovlivňují prostředí vaší organizace.

Sestavy analýzy hrozeb poskytují analýzu sledované hrozby a rozsáhlé pokyny k ochraně před danou hrozbou. Zahrnuje také data z vaší sítě, která indikují, jestli je hrozba aktivní a jestli máte platnou ochranu. Sestavy můžete filtrovat a vyhledávat, ale ti defenderu také poskytuje řídicí panel.

Řídicí panel analýzy hrozeb zvýrazní sestavy, které jsou pro vaši organizaci nejrelevavantnější. Shrnuje hrozby do tří kategorií:

  • Nejnovější hrozby – Uvádí seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – Uvádí hrozby, které mají nejvyšší dopad na vaši organizaci. Tato část uvádí hrozby s nejvyšším počtem aktivních a vyřešených výstrah.
  • Nejvyšší expozice – uvádí hrozby, pro které má vaše organizace nejvyšší riziko. Úroveň expozice hrozby se vypočítá pomocí dvou informací: jak závažná jsou ohrožení zabezpečení spojená s touto hrozbou a kolik zařízení ve vaší organizaci by mohlo být těmito ohroženími zabezpečení zneužito.

Každá sestava poskytuje přehled, sestavu analytika, související incidenty, ovlivněné prostředky, vystavení koncových bodů a doporučené akce.

Profily Intel

Profily Intel jsou konečným zdrojem sdíletelných znalostí Microsoftu o sledovaných aktérech hrozeb, škodlivých nástrojích a ohroženích zabezpečení. Tento obsah je kurátorován a průběžně aktualizován odborníky microsoftu na analýzu hrozeb, aby poskytoval relevantní a použitelný kontext hrozeb.

Průzkumník Intel

Průzkumník informací je místo, kde analytici můžou rychle prohledávat nové doporučené články a provádět hledání klíčových slov, indikátorů nebo IDENTIFIKÁTORů CVE, aby mohli zahájit shromažďování, třídění, reakce na incidenty a proaktivní vyhledávání.

Analýza hrozeb v programu Microsoft Defender články jsou vyprávění, které poskytují přehled o aktérech hrozeb, nástrojích, útocích a ohroženích zabezpečení. Články shrnují různé hrozby a také odkazují na použitelný obsah a klíčové vstupně-výstupní operace, které uživatelům pomůžou provádět akce.

Ti v programu Defender nabízí vyhledávání CVE-ID, která uživatelům pomáhají identifikovat důležité informace o CVE. Výsledky hledání CVE-ID vedou k článkům o ohrožení zabezpečení.

Projekty Intel

Analýza hrozeb v programu Microsoft Defender (TI v programu Defender) umožňuje vytvářet projekty pro uspořádání indikátorů zájmu a indikátorů ohrožení (IOC) z šetření. Projekty obsahují seznam všech přidružených artefaktů a podrobnou historii, která uchovává jména, popisy, spolupracovníky a profily monitorování.

Analýza hrozeb v programu Microsoft Defender na portálu Microsoft Defenderu

Ti v programu Microsoft Defender se provádí prostřednictvím portálu Microsoft Defender.

Uzel Analýza hrozeb na navigačním panelu portálu Microsoft Defender je místo, kde najdete funkce Analýza hrozeb v programu Microsoft Defender.

Snímek obrazovky s možnostmi výběru pro analýzu hrozeb na levém navigačním panelu portálu Microsoft Defender

Pokud chcete zobrazit snímek obrazovky z každé z kategorií, vyberte kartu z následujícího obrázku. V každém případě je k dispozici boční panel, který zobrazuje vloženou funkci Microsoft Security Copilot.

Integrace Microsoft Security Copilotu s Microsoft Threat Intelligence

Funkce Security Copilot se integruje s Ti v programu Microsoft Defender. S povoleným modulem plug-in Defender TI poskytuje Copilot informace o skupinách aktivit hrozeb, indikátorech ohrožení (IOC), nástrojích a kontextové analýze hrozeb. Pomocí výzev a výzev můžete prošetřit incidenty, rozšířit toky proaktivního vyhledávání informacemi o analýze hrozeb nebo získat další znalosti o prostředí globálních hrozeb vaší organizace.

Analýza hrozeb v programu Microsoft Defender možnosti v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností. Následující obrázek ukazuje jenom podmnožinu podporovaných funkcí.

Snímek obrazovky možností systému TI v programu Defender, které je možné spouštět v samostatném prostředí

Copilot také obsahuje předdefinovaný promptbook, který doručuje informace z TI Defenderu, včetně následujících:

  • Posouzení dopadu ohrožení zabezpečení – vygeneruje sestavu se souhrnem inteligentních informací pro známou chybu zabezpečení, včetně kroků, jak ji vyřešit.
  • Profil objektu actor hrozeb – vygeneruje profilaci sestavy známé skupiny aktivit, včetně návrhů na ochranu před běžnými nástroji a taktikami.

Integraci Copilotu s TI v programu Defender můžete také provést prostřednictvím integrovaného prostředí. Na následujícíchstránkáchch

  • Analýza hrozeb
  • Profily Intel
  • Průzkumník Intel
  • Projekty Intel

Pro každou z těchto stránek můžete použít některou z dostupných výzev nebo můžete zadat vlastní výzvu.

Snímek obrazovky s výzvami Copilotu vloženými do TI v programu Defender na portálu Microsoft Defenderu