Описание Аналитики угроз Microsoft Defender
Аналитики угроз сталкиваются с трудностями при поиске баланса между широтой охвата аналитики угроз и анализом того, какая из них представляет наибольшую угрозу для организации и/или отрасли. Еще одной проблемой аналитиков уязвимостей является сопоставление своего инвентаря ресурсов с информацией о распространенных уязвимостях и рисках (CVE) с целью расставить приоритеты в исследовании и устранении наиболее критических уязвимостей, связанных с их организацией.
Аналитика угроз в Microsoft Defender решает эти проблемы, объединяя и обогащая критические источники данных и отображая их в инновационном и простом в использовании интерфейсе. Затем аналитики могут сопоставлять индикаторы компрометации (IOC) со связанными статьями, профилями субъектов и уязвимостями. Defender TI также позволяет аналитикам в процессе исследования работать сообща с другими пользователями, имеющими лицензию Defender TI, в рамках своего клиента.
Аналитика угроз Microsoft Defender включает следующие функции:
- Аналитика угроз
- Профили Intel
- Обозреватель Intel
- Проекты
Аналитика угроз
Аналитика угроз помогает вам как аналитику понять, как возникающие угрозы влияют на среду вашей организации.
Каждый отчет аналитики угроз содержит анализ обнаруженной угрозы и подробные рекомендации по защите от этой угрозы. Он также содержит данные из сети, которые показывают, активна ли угроза и используются ли необходимые средства защиты. Вы можете применять фильтры и выполнять поиск по отчетам, однако в Defender TI также предусмотрена панель мониторинга.
Панель аналитики угроз выделяет отчеты, наиболее важные для вашей организации. В нем перечислены угрозы в три категории:
- Последние угрозы — перечисляет последние опубликованные или обновленные отчеты об угрозах, а также количество активных и разрешенных оповещений.
- Угрозы с высоким воздействием— перечисляет угрозы, которые оказывают наибольшее влияние на вашу организацию. В этом разделе перечислены угрозы с наибольшим количеством активных и разрешенных оповещений.
- Самый высокий уровень воздействия — перечисляет угрозы, к которым ваша организация имеет наибольшее воздействие. Уровень воздействия на угрозу вычисляется с помощью двух частей информации: насколько серьезными являются уязвимости, связанные с угрозой, и сколько устройств в вашей организации можно использовать с помощью этих уязвимостей.
Каждый отчет содержит обзор, аналитический отчет, связанные инциденты, затронутые ресурсы, воздействие конечных точек и рекомендуемые действия.
Профили Intel
Профили Intel являются исчерпывающим источником общедоступных знаний Майкрософт об отслеживаемых субъектах угроз, вредоносных инструментах и уязвимостях. Это содержимое курируется и постоянно обновляется экспертами Майкрософт по аналитике угроз с целью предоставления релевантного и действенного контекста угроз.
Обозреватель Intel
Обозреватель Intel позволяет аналитикам быстро просматривать новые популярные статьи и выполнять поиск по ключевому слову, индикатору или идентификатору CVE с целью начать сбор аналитических данных, рассмотрение, реагирование на инциденты и принятие мер по охоте на угрозы.
Статьи в инструменте аналитики угроз Microsoft Defender содержат предоставляемую корпорацией Майкрософт информацию о субъектах угроз, инструментах, атаках и уязвимостях. В статьях обобщены различные угрозы, а также приведены ссылки на практические материалы и ключевые IOC с целью помочь пользователям в принятии мер.
Defender TI поддерживает поиск по CVE-ID, чтобы помочь пользователям найти важную информацию о распространенных уязвимостях и рисках (CVE). Результаты поиска по CVE-ID содержат статьи об уязвимостях.
Проекты Intel
Аналитика угроз Microsoft Defender (Defender TI) позволяет создавать проекты для организации индикаторов интереса и показателей компрометации (IOCs) из исследования. Проекты содержат список всех связанных артефактов и подробную историю, в которой сохранены имена, описания, участники совместной работы и профили мониторинга.
Аналитика угроз Microsoft Defender на портале Microsoft Defender
Microsoft Defender TI реализуется посредством портала Microsoft Defender.
Узел аналитики угроз на панели навигации на портале Microsoft Defender находится где можно найти Аналитика угроз Microsoft Defender функциональные возможности.
Чтобы просмотреть снимок экрана из каждой из категорий, выберите вкладку из следующего изображения. В каждом случае есть боковая панель, показывающая встроенную функцию Microsoft Security Copilot.
Интеграция Microsoft Security Copilot с Microsoft Threat Intelligence
Security Copilot интегрируется с Microsoft Defender TI. При активированном подключаемом модуле Defender TI Copilot предоставляет информацию о группах действий угроз, индикаторах компрометации (IOC), инструментах и контекстную аналитику угроз. Вы можете использовать запросы и наборы запросов для исследования инцидентов, обогащения потоков охоты на угрозы аналитикой угроз или более полного понимания глобальной ситуации с угрозами в вашей организации.
Возможности Аналитики угроз Microsoft Defender реализованы в виде встроенных запросов, однако использовать можно не только их, но и собственные запросы в зависимости от поддерживаемых возможностей. На следующем рисунке показано только подмножество поддерживаемых возможностей.
Copilot также включает встроенную подсказку, которая предоставляет информацию из Defender TI, в том числе:
- Оценка влияния уязвимостей — создает отчет, в котором приводится сводка аналитики по известной уязвимости, включая шаги по ее устранению.
- Профиль субъекта угроз. Создает отчет профилирования известной группы действий, включая предложения по защите от общих средств и тактики.
Интеграция Copilot с Defender TI также может быть испытана благодаря встроенному интерфейсу. Вы можете испытать возможности Безопасности Copilot для поиска аналитики угроз на следующих страницах портала Microsoft Defender:
- Аналитика угроз
- Профили Intel
- Обозреватель Intel
- Проекты Intel
На каждой из этих страниц можно воспользоваться готовым запросом или ввести свой собственный.
