Jaa


Uusien uhkien seuraaminen ja niihin vastaaminen uhka-analytiikan avulla

Koskee seuraavia:

Tärkeää

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Uhka-analytiikka on microsoftin asiantuntuisten tietoturvatutkijoiden tuotekohtainen uhkatietoratkaisu. Se on suunniteltu auttamaan suojaustiimejä olemaan mahdollisimman tehokkaita uusien uhkien, kuten:

  • Aktiiviset uhkatoimijat ja niiden kampanjat
  • Suositut ja uudet hyökkäystekniikat
  • Kriittiset haavoittuvuudet
  • Yleiset hyökkäyspinnat
  • Laajalle levinnyt haittaohjelma

Voit käyttää uhka-analytiikkaa joko Microsoft Defender portaalin siirtymispalkin vasemmasta yläkulmasta tai erillisestä koontinäyttökortista, joka näyttää organisaatiosi tärkeimmät uhat sekä tunnetun vaikutuksen että altistumisen suhteen.

Näyttökuva uhka-analytiikan aloitussivusta

Näkyvyyden saaminen aktiivisista tai jatkuvista kampanjoista ja tieto siitä, mitä tehdä uhka-analytiikan avulla, voi auttaa varustamaan tietoturvatiimisi tietoon perustuvilla päätöksillä.

Kehittyneempien vastustajien ja uusien uhkien ilmaantuessa usein ja yleisesti, on tärkeää pystyä nopeasti:

  • Uusien uhkien tunnistaminen ja niihin reagoiminen
  • Lue, jos olet hyökkäyksen kohteena
  • Arvioi resurssiesi uhan vaikutusta
  • Tarkastele resilienssiäsi uhkia vastaan tai altistumista uhille
  • Tunnista lievennys-, palautus- tai estotoimet, joilla voit pysäyttää tai sisältää uhkia

Jokainen raportti tarjoaa analyysin seuratusta uhasta ja laajoja ohjeita siitä, miten suojautua tätä uhkaa vastaan. Se sisältää myös tietoja verkostasi, mikä ilmaisee, onko uhka aktiivinen ja onko käytettävissäsi soveltuvia suojauksia.

Pakolliset roolit ja käyttöoikeudet

Uhka-analytiikan käyttämiseen Defender-portaalissa tarvitaan seuraavat roolit ja käyttöoikeudet:

  • Suojaustietojen perusteet (luku)– uhka-analytiikkaraportin, liittyvien tapausten ja hälytysten sekä vaikutusresurssien tarkasteleminen
  • Haavoittuvuuden hallinta (luku) ja suojattu pistemäärä (luku) – liittyvien altistumistietojen ja suositeltujen toimintojen näkeminen

Oletusarvoisesti Defender-portaalissa käytettävissä olevia palveluja hallitaan yhdessä Microsoft Entra yleisten roolien avulla. Jos tarvitset enemmän joustavuutta ja hallintaa tiettyjen tuotetietojen käyttöön etkä vielä käytä Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC) keskitettyjen käyttöoikeuksien hallintaan, suosittelemme mukautettujen roolien luomista kullekin palvelulle. Lue lisätietoja mukautettujen roolien luomisesta

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Näet kaikki uhka-analytiikkaraportit, vaikka sinulla olisi vain yksi tuetuista tuotteista. Sinulla on kuitenkin oltava jokainen tuote ja rooli, jotta näet kyseisen tuotteen tietyt tapaukset, resurssit, altistumisen ja uhkiin liittyvät suositellut toimet.

Uhka-analytiikan koontinäytön tarkasteleminen

Uhka-analytiikan koontinäyttö (security.microsoft.com/threatanalytics3) korostaa raportit, jotka ovat olennaisimpia organisaatiollesi. Se tekee yhteenvedon uhkista seuraavissa osioissa:

  • Uusimmat uhat – luetteloi viimeksi julkaistut tai päivitetyt uhkaraportit sekä aktiivisten ja ratkaistujen hälytysten määrän.
  • Suurivaikutusuhkissa luetellaan uhat, joilla on suurin vaikutus organisaatioosi. Tässä osiossa luetellaan ensin uhat, joissa on eniten aktiivisia ja ratkaistuja ilmoituksia.
  • Suurimman altistumisen uhat – luettelee uhat, joille organisaatiosi altistuu eniten. Altistumistasosi uhalle lasketaan käyttämällä kahta tietoa: kuinka vakavia uhkaan liittyvät haavoittuvuudet ovat ja kuinka montaa organisaatiosi laitetta nämä haavoittuvuudet voivat hyödyntää.

Uhka-analytiikan koontinäyttö

Valitse uhka koontinäytöstä, jotta voit tarkastella kyseisen uhan raporttia. Voit myös valita hakukentän avainsanassa, joka liittyy uhka-analytiikkaraporttiin, jonka haluat lukea.

Näytä raportit luokan mukaan

Voit suodattaa uhkaraporttiluettelon ja tarkastella tärkeimpiä raportteja tietyn uhkatyypin tai raporttityypin mukaan.

  • Uhkatunnisteet – auttavat tarkastelemaan tärkeimpiä raportteja tietyn uhkaluokan mukaan. Esimerkiksi Ransomware-tunniste sisältää kaikki kiristyshaittaohjelmaan liittyvät raportit.
  • Raporttityypit – auttavat sinua tarkastelemaan tärkeimpiä raportteja tietyn raporttityypin mukaan. Esimerkiksi Työkalut & tekniikat - tunniste sisältää kaikki raportit, jotka kattavat työkalut ja tekniikat.

Eri tunnisteilla on vastaavat suodattimet, jotka auttavat sinua tarkistamaan tehokkaasti uhkaraporttiluettelon ja suodattamaan näkymän tietyn uhkatunnisteen tai raporttityypin perusteella. Voit esimerkiksi tarkastella kaikkia uhkaraportteja, jotka liittyvät kiristyshaittaohjelmaluokkaan, tai uhkaraportteja, joihin liittyy haavoittuvuuksia.

Microsoft Threat Intelligence -tiimi lisää uhkatunnisteita jokaiseen uhkaraporttiin. Seuraavat uhkatunnisteet ovat tällä hetkellä käytettävissä:

  • Kiristysohjelma
  • Kiristys
  • Tietojenkalastelu
  • Näppäimistöä kämmennäppäimistöllä
  • Toimintoryhmä
  • Haavoittuvuus
  • Hyökkäyskampanja
  • Työkalu tai tekniikka

Uhkatunnisteet esitetään uhka-analytiikkasivun yläosassa. Käytettävissä olevien raporttien määrälle kullekin tunnisteelle on laskureita.

Näyttökuva uhka-analytiikan raporttitunnisteista.

Jos haluat määrittää luetteloon haluamasi raporttityypit, valitse Suodattimet, valitse luettelosta ja valitse Käytä.

Näyttökuva Suodattimet-luettelosta.

Jos määrität useamman kuin yhden suodattimen, uhka-analytiikkaraporttien luettelo voidaan lajitella myös uhkatunnisteen mukaan valitsemalla uhkatunnistesarake:

Näyttökuva uhkatunnisteiden sarakkeesta.

Uhka-analytiikkaraportin tarkasteleminen

Kukin uhka-analytiikkaraportti sisältää tietoja useissa osissa:

Yleiskatsaus: Tutustu nopeasti uhkaan, arvioi sen vaikutusta ja tarkista puolustukset

Yleiskatsaus-osiossa on yksityiskohtaisen analyytikkoraportin esikatselu. Se tarjoaa myös kaavioita, jotka korostavat uhan vaikutusta organisaatioosi ja altistumistasi väärin määritettyjen ja määrittämättömien laitteiden kautta.

Uhka-analytiikkaraportin Yleiskatsaus-osa Uhka-analytiikkaraportin Yleiskatsaus-osa

Arvioi vaikutus organisaatioosi

Jokainen raportti sisältää kaavioita, jotka on suunniteltu antamaan tietoja uhan organisaatiovaikutuksista:

  • Liittyvät tapaukset – antaa yleiskatsauksen seuratun uhan vaikutuksesta organisaatioosi seuraavilla tiedoilla:
    • Aktiivisten hälytysten määrä ja niihin liittyvien aktiivisten tapausten määrä
    • Aktiivisten tapausten vakavuus
  • Ilmoitukset ajan kuluessa – näyttää liittyvien aktiivisten ja ratkaistujen ilmoitusten määrän ajan kuluessa. Ratkaistujen hälytysten määrä ilmaisee, miten nopeasti organisaatiosi reagoi uhkaan liittyviin hälytyksiin. Ihannetapauksessa kaavion pitäisi näyttää hälytykset ratkaistuina muutaman päivän kuluessa.
  • Vaikutus resursseista – näyttää niiden erillisten resurssien määrän, joilla on tällä hetkellä vähintään yksi aktiivinen hälytys, joka liittyy jäljitettyyn uhkaan. Ilmoituksia käynnistetään postilaatikoissa, jotka ovat vastaanottaneet uhkasähköposteja. Tarkista sekä organisaatio- että käyttäjätason käytännöt ohituksille, jotka aiheuttavat uhkasähköpostien toimittamisen.

Tarkista suojauksen häiriönsietokyky ja -asento

Jokainen raportti sisältää kaavioita, jotka antavat yleiskatsauksen siitä, miten sitkeä organisaatiosi on tiettyä uhkaa vastaan:

  • Suositellut toiminnot – näyttää toiminnon tilaprosentin tai niiden pisteiden määrän, jotka olet saavuttanut suojaustilan parantamiseksi. Suorita suositellut toimet uhan torjumiseksi. Voit tarkastella pisteiden erittelyä luokan tai tilan mukaan.
  • Päätepisteiden altistuminen – näyttää haavoittuvassa asemassa olevien laitteiden määrän. Ota tietoturvapäivitykset tai korjaustiedostot käyttöön uhan hyödyntämien haavoittuvuuksien korjaamiseksi.

Analyytikkoraportti: Hanki asiantuntijatietoja Microsoftin tietoturvatutkijoilta

Lue Analyytikkoraportti-osiossa yksityiskohtainen asiantuntijakirjoitus. Useimmat raportit tarjoavat yksityiskohtaisia kuvauksia hyökkäysketjuista, mukaan lukien MITRE ATT&CK -kehykseen kartoitetut taktiikat ja tekniikat, tyhjentävät suositusluettelot ja tehokkaat uhkien metsästysohjeet .

Lisätietoja analyytikkoraportista

Liittyvät tapaukset -välilehti tarjoaa luettelon kaikista jäljitettyyn uhkaan liittyvistä tapauksista. Voit määrittää tapauksia tai hallita kuhunkin tapaukseen liittyviä hälytyksiä.

Näyttökuva uhka-analytiikkaraportin asiaan liittyvien tapausten osiosta.

Huomautus

Uhkaan liittyvät tapaukset ja hälytykset ovat peräisin Defender for Endpointista, Defender for Identitystä, Defender for Office 365, Defender for Cloud Apps ja Defender for Cloudista.

Vaikutus resursseihin: Hanki luettelo vaikutuksen avistavista laitteista, käyttäjistä, postilaatikoista, sovelluksista ja pilvipalveluresursseista

Vaikutus resursseista -välilehdessä näytetään resurssit, joihin uhka vaikuttaa ajan mittaan. Se näkyy:

  • Aktiiviset hälytykset vaikuttavat resursseihin
  • Ratkaistut hälytykset vaikuttavat resursseihin
  • Kaikki resurssit tai niiden resurssien kokonaismäärä, joihin aktiiviset ja ratkaistut hälytykset vaikuttavat

Resurssit on jaettu seuraaviin luokkiin:

  • Laitteet
  • Käyttäjät
  • Postilaatikot
  • Sovellukset
  • Pilviresurssit

Näyttökuva uhka-analytiikkaraportin vaikutusresurssiosiosta.

Päätepisteiden altistuminen: Tutustu tietoturvapäivitysten käyttöönoton tilaan

Päätepisteiden altistuminen -osio tarjoaa organisaatiosi altistumistason uhalle, joka lasketaan kyseisen uhan hyödyntämien haavoittuvuuksien ja virheellisten määritysten vakavuuden sekä niiden laitteiden määrän perusteella, joilla on nämä heikkoudet.

Tässä osiossa on myös käyttöön otettujen laitteiden heikkouksien tuettujen ohjelmistosuojauspäivitysten käyttöönottotila. Se sisältää tietoja Microsoft Defenderin haavoittuvuuksien hallinta, joka sisältää myös yksityiskohtaisia porautumistietoja raportin eri linkeistä.

Uhka-analytiikkaraportin päätepisteet

Tarkista Suositellut toiminnot -välilehdessä luettelo tietyistä toiminnallisistä suosituksista, joiden avulla voit parantaa organisaation sietokykyä uhkaa vastaan. Jäljitettyjen lievennysten luettelo sisältää tuetut suojausmääritykset, kuten:

  • Pilvipalveluun toimitettu suojaus
  • Mahdollisesti ei-toivottu sovelluksen (PUA) suojaus
  • Reaaliaikainen suojaus

Uhka-analytiikkaraportin Suositellut toiminnot -osa, joka näyttää haavoittuvuuden tiedot

Sähköposti-ilmoitusten määrittäminen raporttipäivityksille

Voit määrittää sähköposti-ilmoituksia, jotka lähettävät sinulle päivityksiä uhka-analytiikkaraportteihin. Voit luoda sähköposti-ilmoituksia noudattamalla ohjeita kohdassa Uhka-analytiikkapäivitysten sähköposti-ilmoitusten saaminen Microsoft Defender XDR.

Muita raportin tietoja ja rajoituksia

Kun tarkastelet uhka-analytiikkatietoja, muista seuraavat tekijät:

  • Suositellut toiminnot -välilehden tarkistusluettelo näyttää vain Microsoftin suojatuissa pisteissä seuratut suositukset. Tarkista Analyytikkoraportti-välilehdestä lisää suositeltuja toimintoja, joita ei seurata suojatuissa pisteissä.
  • Suositellut toimet eivät takaa täydellistä resilienssiä ja heijastavat vain parhaita mahdollisia toimia, joita tarvitaan sen parantamiseksi.
  • Virustentorjuntaan liittyvät tilastotiedot perustuvat Microsoft Defender virustentorjunta-asetuksiin.
  • Väärin määritettyjen laitteiden sarake Uhkien analysointi -pääsivulla näyttää niiden laitteiden määrän, joihin uhka vaikuttaa, kun uhan liittyviä suositeltuja toimintoja ei ole otettu käyttöön. Jos Microsoftin tutkijat eivät kuitenkaan linkitä suositeltuja toimintoja, Väärin määritetyt laitteet -sarakkeessa näkyy tila Ei käytettävissä.
  • Uhka-analytiikkasivun Haavoittuvat laitteet -sarakkeessa näkyy niiden ohjelmistoa käyttävien laitteiden määrä, jotka ovat alttiita mille tahansa uhkaan liittyvälle haavoittuvuudelle. Jos Microsoftin tutkijat eivät kuitenkaan linkitä haavoittuvuuksia, Haavoittuvat laitteet -sarakkeessa näkyy tila Ei käytettävissä.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.