Udostępnij za pośrednictwem


Analiza zagrożeń w Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Analiza zagrożeń to nasze rozwiązanie do analizy zagrożeń w produkcie od ekspertów badaczy zabezpieczeń firmy Microsoft. Jest ona zaprojektowana tak, aby pomóc zespołom ds. zabezpieczeń, aby były jak najbardziej wydajne w obliczu pojawiających się zagrożeń, takich jak:

  • Aktywni aktorzy zagrożeń i ich kampanie
  • Popularne i nowe techniki ataków
  • Krytyczne luki w zabezpieczeniach
  • Typowe powierzchnie ataków
  • Powszechnie stosowane złośliwe oprogramowanie

Dostęp do analizy zagrożeń można uzyskać z lewej górnej strony paska nawigacyjnego portalu Microsoft Defender lub z dedykowanej karty pulpitu nawigacyjnego, która pokazuje najważniejsze zagrożenia dla organizacji, zarówno pod względem znanego wpływu, jak i pod względem ekspozycji.

Zrzut ekranu przedstawiający stronę docelową analizy zagrożeń

Uzyskanie wglądu w aktywne lub trwające kampanie i wiedza o tym, co robić za pośrednictwem analizy zagrożeń, może pomóc w wyposażeniu zespołu ds. operacji zabezpieczeń w świadome decyzje.

Z bardziej zaawansowanych przeciwników i nowych zagrożeń pojawiających się często i powszechnie, ważne jest, aby móc szybko:

  • Identyfikowanie pojawiających się zagrożeń i reagowanie na nie
  • Dowiedz się, czy jesteś obecnie atakowany
  • Ocena wpływu zagrożenia na zasoby
  • Przejrzyj odporność na zagrożenia lub narażenie na nie
  • Identyfikowanie działań zaradczych, odzyskiwania lub zapobiegania, które można podjąć w celu zatrzymania lub ograniczenia zagrożeń

Każdy raport zawiera analizę śledzonych zagrożeń i obszerne wskazówki dotyczące sposobu obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazujące, czy zagrożenie jest aktywne i czy masz odpowiednie zabezpieczenia.

Wymagane role i uprawnienia

Aby uzyskać dostęp do analizy zagrożeń w portalu usługi Defender, wymagane są następujące role i uprawnienia:

  • Podstawy danych zabezpieczeń (odczyt) — aby wyświetlić raport analizy zagrożeń, powiązane zdarzenia i alerty oraz zasoby, których dotyczy problem
  • Zarządzanie lukami w zabezpieczeniach (odczyt) i wskaźnik bezpieczeństwa (odczyt) — aby wyświetlić powiązane dane ekspozycji i zalecane akcje

Domyślnie dostęp do usług dostępnych w portalu usługi Defender jest zarządzany zbiorczo przy użyciu Microsoft Entra ról globalnych. Jeśli potrzebujesz większej elastyczności i kontroli nad dostępem do określonych danych produktu i nie używasz jeszcze Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC) do scentralizowanego zarządzania uprawnieniami, zalecamy utworzenie ról niestandardowych dla każdej usługi. Dowiedz się więcej o tworzeniu ról niestandardowych

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Będziesz mieć wgląd we wszystkie raporty analizy zagrożeń, nawet jeśli masz tylko jeden z obsługiwanych produktów. Musisz jednak mieć każdy produkt i rolę, aby zobaczyć konkretne zdarzenia, zasoby, ekspozycję i zalecane akcje tego produktu skojarzone z zagrożeniem.

Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń

Pulpit nawigacyjny analizy zagrożeń (security.microsoft.com/threatanalytics3) wyróżnia raporty, które są najbardziej istotne dla Twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:

  • Najnowsze zagrożenia — zawiera listę ostatnio opublikowanych lub zaktualizowanych raportów o zagrożeniach wraz z liczbą aktywnych i rozwiązanych alertów.
  • Zagrożenia o dużym wpływie — zawiera listę zagrożeń, które mają największy wpływ na organizację. W tej sekcji wymieniono zagrożenia z największą liczbą aktywnych i rozwiązanych alertów.
  • Największe zagrożenia związane z narażeniem — zawiera listę zagrożeń, na które twoja organizacja ma największe narażenie. Poziom narażenia na zagrożenie jest obliczany przy użyciu dwóch informacji: tego, jak poważne są luki w zabezpieczeniach związane z zagrożeniem i ile urządzeń w organizacji może zostać wykorzystanych przez te luki w zabezpieczeniach.

Zrzut ekranu przedstawiający pulpit nawigacyjny analizy zagrożeń,

Wybierz zagrożenie na pulpicie nawigacyjnym, aby wyświetlić raport dla tego zagrożenia. Możesz również wybrać pole Wyszukiwania do klucza w słowie kluczowym powiązanym z raportem analizy zagrożeń, który chcesz przeczytać.

Wyświetlanie raportów według kategorii

Możesz filtrować listę raportów zagrożeń i wyświetlać najbardziej odpowiednie raporty według określonego typu zagrożenia lub według typu raportu.

  • Tagi zagrożeń — ułatwiają wyświetlanie najbardziej odpowiednich raportów według określonej kategorii zagrożeń. Na przykład tag Ransomware zawiera wszystkie raporty związane z oprogramowaniem wymuszającym okup.
  • Typy raportów — ułatwiają wyświetlanie najbardziej odpowiednich raportów zgodnie z określonym typem raportu. Na przykład tag Tools & techniques zawiera wszystkie raporty, które obejmują narzędzia i techniki.

Różne tagi mają równoważne filtry, które ułatwiają wydajne przeglądanie listy raportów o zagrożeniach i filtrowanie widoku na podstawie określonego tagu zagrożenia lub typu raportu. Na przykład aby wyświetlić wszystkie raporty o zagrożeniach związane z kategorią oprogramowania wymuszającego okup lub raporty o zagrożeniach, które obejmują luki w zabezpieczeniach.

Zespół analizy zagrożeń firmy Microsoft dodaje tagi zagrożeń do każdego raportu o zagrożeniach. Obecnie dostępne są następujące tagi zagrożeń:

  • Oprogramowanie wymuszające okup
  • Wymuszenie
  • Wyłudzanie informacji
  • Klawiatura praktyczna
  • Grupa działań
  • Luka w zabezpieczeniach
  • Kampania ataku
  • Narzędzie lub technika

Tagi zagrożeń są wyświetlane w górnej części strony analizy zagrożeń. Istnieją liczniki dla liczby dostępnych raportów w ramach każdego tagu.

Zrzut ekranu przedstawiający tagi raportu analizy zagrożeń.

Aby ustawić typy raportów, które mają być wyświetlane na liście, wybierz pozycję Filtry, wybierz z listy i wybierz pozycję Zastosuj.

Zrzut ekranu przedstawiający listę Filtry.

Jeśli ustawisz więcej niż jeden filtr, listę raportów analizy zagrożeń można również posortować według tagu zagrożenia, wybierając kolumnę tagów zagrożeń:

Zrzut ekranu przedstawiający kolumnę tagów zagrożeń.

Wyświetlanie raportu analizy zagrożeń

Każdy raport analizy zagrożeń zawiera informacje w kilku sekcjach:

Omówienie: szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd zabezpieczeń

Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które wyróżniają wpływ zagrożenia dla organizacji oraz narażenie na nieskonfigurowane i nieprzypisane urządzenia.

Zrzut ekranu przedstawiający sekcję przeglądu raportu analizy zagrożeń.

Ocena wpływu na organizację

Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o organizacyjnym wpływie zagrożenia:

  • Powiązane zdarzenia — zawiera omówienie wpływu śledzonego zagrożenia na organizację przy użyciu następujących danych:
    • Liczba aktywnych alertów i liczba aktywnych zdarzeń, z którymi są skojarzone
    • Ważność aktywnych zdarzeń
  • Alerty w czasie — pokazuje liczbę powiązanych aktywnych i rozwiązanych alertów w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty związane z zagrożeniem. Najlepiej, aby na wykresie były wyświetlane alerty rozwiązane w ciągu kilku dni.
  • Zasoby, których dotyczy problem — pokazuje liczbę odrębnych zasobów, które mają obecnie co najmniej jeden aktywny alert skojarzony ze śledzonym zagrożeniem. Alerty są wyzwalane dla skrzynek pocztowych, które otrzymały wiadomości e-mail z zagrożeniem. Przejrzyj zasady na poziomie organizacji i użytkownika, aby uzyskać przesłonięcia, które powodują dostarczanie wiadomości e-mail z zagrożeniami.

Przegląd odporności i stanu zabezpieczeń

Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:

  • Zalecane akcje — pokazuje procent stanu akcji lub liczbę punktów osiągniętych w celu poprawy stanu zabezpieczeń. Wykonaj zalecane akcje, aby rozwiązać problem zagrożenia. Możesz wyświetlić podział punktów według kategorii lub stanu.
  • Narażenie punktów końcowych — pokazuje liczbę urządzeń narażonych na zagrożenia. Stosowanie aktualizacji lub poprawek zabezpieczeń w celu rozwiązania problemów z lukami w zabezpieczeniach wykorzystywanymi przez zagrożenie.

Raport analityków: uzyskiwanie szczegółowych informacji ekspertów od badaczy zabezpieczeń firmy Microsoft

W sekcji Raport analityka zapoznaj się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktyki i techniki mapowane na strukturę mitre att&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń .

Dowiedz się więcej o raporcie analityka

Karta Powiązane zdarzenia zawiera listę wszystkich zdarzeń związanych ze śledzonym zagrożeniem. Możesz przypisywać zdarzenia lub zarządzać alertami powiązanymi z każdym zdarzeniem.

Zrzut ekranu przedstawiający sekcję powiązanych zdarzeń raportu analizy zagrożeń.

Uwaga

Zdarzenia i alerty związane z zagrożeniem pochodzą z usług Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender for Cloud Apps i Defender for Cloud.

Zasoby, których dotyczy problem: uzyskiwanie listy urządzeń, użytkowników, skrzynek pocztowych, aplikacji i zasobów w chmurze

Karta Zasoby, których dotyczy problem, pokazuje zasoby, których dotyczy zagrożenie w czasie. Wyświetla on:

  • Zasoby, których dotyczą aktywne alerty
  • Zasoby, których dotyczą rozwiązane alerty
  • Wszystkie zasoby lub łączna liczba zasobów, których dotyczą aktywne i rozwiązane alerty

Zasoby są podzielone na następujące kategorie:

  • Urządzeń
  • Użytkownicy
  • Skrzynek pocztowych
  • Aplikacje
  • Zasoby w chmurze

Zrzut ekranu przedstawiający sekcję elementów zawartości, których dotyczy problem, raportu analizy zagrożeń.

Narażenie punktów końcowych: informacje o stanie wdrożenia aktualizacji zabezpieczeń

Sekcja Narażenie punktów końcowych zawiera poziom narażenia organizacji na zagrożenie, który jest obliczany na podstawie ważności luk w zabezpieczeniach i błędnej konfiguracji wykorzystywanych przez to zagrożenie oraz liczby urządzeń z tymi słabościami.

Ta sekcja zawiera również stan wdrożenia obsługiwanych aktualizacji zabezpieczeń oprogramowania dla luk w zabezpieczeniach znalezionych na dołączonych urządzeniach. Zawiera ona dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, które zawierają również szczegółowe informacje szczegółowe z różnych linków w raporcie.

Sekcja ekspozycji punktów końcowych raportu analizy zagrożeń

Na karcie Zalecane akcje przejrzyj listę konkretnych zaleceń z możliwością działania, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje obsługiwane konfiguracje zabezpieczeń, takie jak:

  • Ochrona dostarczana przez chmurę
  • Ochrona potencjalnie niechcianej aplikacji (PUA)
  • Ochrona w czasie rzeczywistym

Sekcja Zalecane akcje raportu analizy zagrożeń przedstawiająca szczegóły luk w zabezpieczeniach

Konfigurowanie powiadomień e-mail dotyczących aktualizacji raportów

Możesz skonfigurować powiadomienia e-mail, które będą wysyłać aktualizacje raportów analizy zagrożeń. Aby utworzyć powiadomienia e-mail, wykonaj kroki opisane w temacie Pobieranie powiadomień e-mail dotyczących aktualizacji analizy zagrożeń w Microsoft Defender XDR.

Inne szczegóły i ograniczenia raportu

Podczas przeglądania danych analizy zagrożeń należy pamiętać o następujących czynnikach:

  • Lista kontrolna na karcie Zalecane akcje wyświetla tylko zalecenia śledzone w usłudze Microsoft Secure Score. Sprawdź kartę Raport analityka , aby uzyskać więcej zalecanych akcji, które nie są śledzone w obszarze Wskaźnik bezpieczeństwa.
  • Zalecane akcje nie gwarantują pełnej odporności i odzwierciedlają tylko najlepsze możliwe akcje potrzebne do jej poprawy.
  • Statystyki związane z programem antywirusowym są oparte na ustawieniach programu antywirusowego Microsoft Defender.
  • Kolumna Błędnie skonfigurowane urządzenia na głównej stronie Analiza zagrożeń pokazuje liczbę urządzeń, których dotyczy zagrożenie, gdy zalecane akcje związane z zagrożeniem nie są włączone. Jeśli jednak badacze firmy Microsoft nie połączą żadnych zalecanych akcji, w kolumnie Błędnie skonfigurowane urządzenia zostanie wyświetlony stan Niedostępny.
  • Kolumna Urządzenia narażone na zagrożenia na głównej stronie Analiza zagrożeń pokazuje liczbę urządzeń z uruchomionym oprogramowaniem, które są narażone na jakiekolwiek luki w zabezpieczeniach związane z zagrożeniem. Jeśli jednak badacze firmy Microsoft nie połączą żadnych luk w zabezpieczeniach, kolumna Urządzenia wrażliwe będzie wyświetlać stan Niedostępny.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.