Поделиться через

Отчет об аналитике угроз Microsoft Defender для облака

  • Статья

Отчеты об аналитике угроз Microsoft Defender для облака помогут вам узнать больше об угрозе, которая вызвала оповещение системы безопасности.

Отчет об анализе угроз

Функция защиты от угроз в Defender для облака отслеживает информацию о безопасности из ваших ресурсов Azure, сети и подключенных партнерских решений. Она анализирует эту информацию, часто сравнивая сведения из разных источников и определяя угрозы. Дополнительные сведения см. в разделе Как Microsoft Defender для облака обнаруживает угрозы и реагирует на них.

Когда Defender для облака обнаруживает угрозу, он активирует оповещение системы безопасности, которое содержит подробные сведения о конкретном событии, включая рекомендации по исправлению. Чтобы упростить командам реагирования исследование и устранение угроз, Defender для облака предоставляет отчеты по аналитике угроз, содержащие сведения об обнаруженных угрозах. Отчет содержит следующие сведения:

  • удостоверение злоумышленника или имеющиеся связи (если такая информация доступна);
  • цели злоумышленника;
  • текущие и исторические кампании атак (если такая информация доступна);
  • тактики злоумышленника, применяемые инструменты и процедуры;
  • связанные признаки компрометации, такие как URL-адреса и хэши файлов;
  • сведения о ресурсах или пользователях, подвергшихся атаке, включая данные об отрасли и регионе, которые помогают определить, если ли риск для ваших ресурсов Azure;
  • сведения по устранению и исправлению.

Примечание.

Объем сведений в любом конкретном отчете будет отличаться. Уровень детализации зависит от активности вредоносных программ и их распространенности.

В Defender для облака три типа отчетов об угрозах, которые могут различаться в зависимости от атаки. а именно:

  • Отчет о группе действий, в котором предоставлен подробный анализ злоумышленников, их целей и примененных тактик.
  • отчет о кампании, сосредоточенный на определенных кампаниях атак;
  • сводный отчет об угрозах, который включает в себя все элементы двух предыдущих отчетов.

Этот тип информации полезен во время процесса реагирования на инциденты. Например, когда есть продолжающееся расследование, чтобы понять источник нападения, мотивации злоумышленника и что делать, чтобы устранить эту проблему в будущем.

Получение доступа к отчету об анализе угроз

  1. В меню Defender для облака откройте страницу Оповещения системы безопасности.

  2. Выберите оповещение.

    Откроется страница сведений о предупреждениях с дополнительными сведениями о предупреждении.

    Страница со сведениями об оповещении для обнаруженных индикаторов программ-шантажистов.

  3. Выберите ссылку на отчет, и PDF-файл откроется в вашем браузере по умолчанию.

    Страница со сведениями об оповещении для потенциально небезопасного действия.

    При необходимости можно скачать отчет в формате PDF.

    Совет

    Объем сведений, доступных для каждого оповещения системы безопасности, отличается в зависимости от типа оповещения.

Следующие шаги

На этой странице описано, как открыть отчеты по анализу угроз при изучении оповещений безопасности. Больше узнать об этих возможностях можно на следующих страницах: