Анализ аналитики угроз

  • 3 мин

Аналитика угроз — это решение по аналитике угроз от экспертов корпорации Майкрософт в области безопасности. Оно разработано, чтобы помочь группам безопасности быть максимально эффективными при столкновении с новыми угрозами, такими как:

  • Активные участники угроз и их кампании
  • Популярные и новые приемы атаки
  • Критические уязвимости
  • Распространенные направления атак.
  • Распространенные вредоносные программы.

Вы можете получить доступ к аналитике угроз в левой верхней части меню навигации портала безопасности Microsoft Defender, расширив аналитику угроз или из выделенной карточки панели мониторинга аналитики угроз, которая показывает угрозы для вашей организации, как с точки зрения влияния, так и с точки зрения воздействия.

Снимок экрана: панель мониторинга аналитики угроз.

Угрозы с высоким уровнем влияния могут причинить наиболее высокий ущерб, а угрозы с высоким уровнем уязвимости с наибольшей вероятностью приведут к проблемам. Получение информации об активных или текущих кампаниях и знание того, что делать с помощью аналитики угроз, может помочь вашей группе операций по обеспечению безопасности принимать обоснованные решения.

С более изощренными противниками и новыми угрозами, возникающими часто и широко, очень важно иметь возможность быстро:

  • Выявление возникающих угроз и реагирование на них
  • Возможность выяснить, выполняется ли атака в текущий момент
  • Оценка влияния угрозы на ресурсы
  • Проверять устойчивость к действию угроз
  • Определение мер по устранению рисков, восстановлению или защите, которые можно принять для устранения или изоляции угроз

Каждый отчет содержит анализ обнаруженной угрозы и подробные рекомендации по защите от этой угрозы. Он также содержит данные из сети, которые показывают, активна ли угроза и используются ли необходимые средства защиты.

Просмотр панели аналитики угроз

Панель аналитики угроз выделяет отчеты, наиболее важные для вашей организации. Угрозы суммируются в следующих разделах:

  • Последние угрозы — список последних опубликованных отчетов об угрозах и о количестве активных и разрешенных оповещений.
  • Угрозы с высоким уровнем влияния — здесь приведен список угроз, которые оказывают максимальное влияние на вашу организацию. В этом разделе перечислены угрозы с наибольшим количеством активных и разрешенных оповещений.
  • Самый высокий уровень уязвимости — список угроз, в котором первыми указаны угрозы с самым высоким уровнем уязвимости. Уровень уязвимости угрозы вычисляется по двум элементам информации: насколько серьезные уязвимости связаны с этой угрозой, и сколько устройств в вашей организации подвержены этим уязвимостям.

Выберите угрозу на панели мониторинга, чтобы просмотреть отчет по этой угрозе.

Просмотр отчета по аналитике угроз Во всех отчетах по аналитике угроз данные распределены по нескольким разделам.

  • Обзор
  • Аналитический отчет
  • Связанные инциденты
  • Затронутые активы
  • Предотвращенные попытки по электронной почте
  • Воздействие и устранение рисков

Обзор: быстрый анализ угрозу, оценка ее влияния и проверка защиты

В разделе «Обзор» приведен подробный аналитический отчет. Кроме того, представленные здесь диаграммы демонстрируют влияние угрозы на вашу организацию и подверженность рискам из-за неправильной конфигурации и отсутствия исправлений на устройствах.

Оценка влияния на вашу организацию

Каждый отчет включает диаграммы, предназначенные для предоставления информации об организационном влиянии угрозы:

  • Связанные инциденты — общие сведения о влиянии отслеживаемой угрозы на вашу организации с указанием количества активных оповещений и активных инцидентов, с которыми они связаны, а также уровня серьезности активных инцидентов.
  • Оповещения с течением времени — показывает изменение количества связанных активных и разрешенных оповещений с течением времени. Число обработанных предупреждений показывает, насколько быстро ваша организация реагирует на предупреждения, связанные с угрозой. В идеале на диаграмме должны отображаться оповещения, устраненные в течение нескольких дней.
  • Затронутые ресурсы — показывает количество отдельных устройств и учетных записей электронной почты (почтовых ящиков), которые в настоящее время имеют по меньшей мере одно активное оповещение, связанное с отслеживаемой угрозой. Оповещения запускаются для почтовых ящиков, которые получили электронные письма с угрозами. Проверьте политики на уровне организации и пользователя, которые могут переопределять решения систем защиты и приводить к доставке опасных сообщений электронной почты.
  • Prevented email attempts (Предотвращенные попытки атак по электронной почте) — отображает количество сообщений электронной почты, которые были заблокированы до доставки или помещены в папку нежелательной почты, за последние семь дней.

Проверка устойчивости и статуса безопасности

Каждый отчет содержит диаграммы, которые предоставляют общие сведения об уровне устойчивости организации к воздействию угрозы.

  • Secure configuration status (Состояние безопасной конфигурации) — отображает количество устройств с неправильно настроенными параметрами безопасности. Примените рекомендуемые параметры безопасности для устранения угрозы. Устройства считаются защищенными, если к ним применены все отслеживаемые настройки.
  • Vulnerability patching status (Состояние исправления уязвимостей) — отображает количество уязвимых устройств. Примените обновления системы безопасности или исправления для устранения уязвимостей, эксплуатируемых этой угрозой.

Просмотр отчетов по тегам угроз

Вы можете отфильтровать список отчетов об угрозах и просмотреть наиболее релевантные отчеты в соответствии с определенным тегом (категорией) угрозы или типом отчета.

  • Теги угроз помогают отслеживать наиболее релевантные отчеты по определенной категории угроз. Например, все отчеты, связанные с программами-вымогателями.
  • Типы отчетов помогают отслеживать наиболее релевантные отчеты по определенному типу отчетов. Например, все отчеты, которые охватывают инструменты и методы.
  • Фильтры помогают эффективно просматривать список отчетов об угрозах и фильтровать это представление по определенным тегам угроз или типам отчета. Например, просмотрите все отчеты об угрозах, относящиеся к категории программ-вымогателей, или отчеты об угрозах, которые охватывают уязвимости.

Как это работает?

Команда Microsoft Threat Intelligence добавила теги угроз в каждый отчет об угрозах:

Теперь доступны четыре тега угроз:

  • Программа-шантажист
  • Фишинговое
  • Уязвимость
  • Группа активности

Теги угроз представлены в верхней части страницы аналитики угроз. Под каждым тегом есть счетчики количества доступных отчетов.

Аналитический отчет: получение экспертных сведений от исследователей по безопасности корпорации Майкрософт

В разделе Analyst report (Отчет аналитика) прочитайте подробный анализ эксперта. Большинство отчетов предоставляют подробное описание цепочек атак, включая тактику и методы, сопоставленные с платформой MITRE ATT&CK, исчерпывающие списки рекомендаций и мощные рекомендации по поиску угроз.

На вкладке Связанные инциденты представлен список всех инцидентов, связанных с отслеживаемой угрозой. Вы можете назначать инциденты или управлять оповещениями, связанными с каждым инцидентом.

Затронутые ресурсы: получение списка затронутых устройств и почтовых ящиков

Ресурс считается затронутым, если на него влияет активное неразрешенное оповещение. На вкладке Затронутые ресурсы перечислены следующие типы затронутых ресурсов:

  • Затронутые устройства — конечные точки с разрешенными оповещениями Microsoft Defender для конечной точки. Эти оповещения обычно срабатывают при обнаружении известных индикаторов угроз и действий.

  • Затронутые почтовые ящики — почтовые ящики, которые получали сообщения электронной почты, для которых срабатывали оповещения Microsoft Defender для Office 365. Хотя большинство сообщений, вызывающих оповещения, обычно блокируются, политики на уровне пользователя или организации могут переопределять фильтры.

Prevented email attempts (Предотвращенные попытки атак по электронной почте): просмотр опасных сообщений электронной почты, которые были заблокированы или помещены в папку нежелательной почты

Microsoft Defender для Office 365 обычно блокирует электронные письма с известными индикаторами угроз, включая вредоносные ссылки или вложения. В некоторых случаях механизмы упреждающей фильтрации, которые проверяют наличие подозрительного содержимого, вместо этого отправляют электронные письма с угрозами в папку нежелательной почты. В любом случае вероятность того, что угроза запустит вредоносный код на устройстве, снижается.

На вкладке "Предотвратинные попытки электронной почты" перечислены все сообщения электронной почты, которые были заблокированы до доставки или отправлены в папку нежелательной почты Microsoft Defender для Office.

Уязвимость и устранение угроз: просмотрите списки мер по устранению угроз и статус своих устройств

В разделе "Воздействие и устранение рисков" просмотрите список конкретных практических рекомендаций, которые помогут повысить устойчивость организации к угрозе. Список отслеживаемых мер включает:

  • Обновления системы безопасности — развертывание поддерживаемых обновлений безопасности для программного обеспечения, которые защищают от обнаруженных уязвимостей на подключенных устройствах
  • Поддерживаемые конфигурации безопасности
    • Облачная защита
    • Защита от потенциально нежелательных приложений (PUA)
    • защита в режиме реального времени;

Сведения об устранении угроз, приведенные в этом разделе, содержат данные по управлению угрозами и уязвимостями, а также предоставляет подробные сведения, доступные по ссылкам в отчете.

Настройка электронных уведомлений для оповещений отчетов

Вы можете настроить Уведомления по электронной почте, которые отправляют обновления в отчетах аналитики угроз.

Чтобы настроить уведомления по электронной почте для отчетов аналитики угроз, выполните следующие действия.

  1. Выберите параметры на боковой панели XDR в Microsoft Defender. Выберите XDR в Microsoft Defender из списка параметров.

  2. Выберите Email notifications > Threat analytics (Оповещения по электронной почте и аналитика угроз) и нажмите кнопку + Create a notification rule (+ Создать правило уведомления). Появится всплывающее меню.

  3. Выполните указанные в нем действия. Для начала присвойте новому правилу имя. Поле описания является необязательным, в отличие от имени. Вы можете включить или отключить правило, изменяя состояние флажка в поле описания.

    Примечание.

    Поля имени и описания для нового правила уведомления принимают только английские буквы и цифры. Они не принимают пробелы, дефисы, символы подчеркивания или другие знаки препинания.

  4. Выберите тип отчетов, о которых вы хотите получать уведомления. Вы можете выбрать оповещения о всех недавно опубликованных или обновленных отчетах или только о тех из них, которые имеют определенный тег или тип.

  5. Добавьте хотя бы одного получателя, чтобы получать уведомления по электронной почте. Вы также можете на этом экране проверить, как будут получаться уведомления, отправив тестовое сообщение электронной почты.

  1. Проверьте новое правило. Если вы хотите что-то изменить, нажмите кнопку "Изменить" в конце любого подраздела. Когда проверка завершится, нажмите кнопку "Создать правило".

Новое правило успешно создано. Нажмите кнопку "Готово", чтобы завершить процесс и закрыть всплывающий элемент. Новое правило появится в списке уведомлений по электронной почте для аналитики угроз.