Поделиться через


Обнаружение злоумышленников с помощью аналитики угроз на унифицированной платформе SecOps Корпорации Майкрософт

Выявляйте и нейтрализуйте современных злоумышленников с помощью аналитики угроз на платформе унифицированных операций безопасности (SecOps) Корпорации Майкрософт. Независимо от того, используете ли вы аналитику угроз Майкрософт или другие источники, важные для вашей организации SecOps, аналитика угроз на портале Microsoft Defender объединяет средства, необходимые для выявления злоумышленников и их инфраструктуры.

Снимок экрана: раздел аналитики угроз на портале Microsoft Defender.

Аналитика угроз на портале Defender

Появление новых угроз кибербезопасности и субъектов угроз, а также непрерывное развитие ландшафта угроз приводят к постоянному увеличению объема аналитики угроз, которую должны исследовать центры операций безопасности (SOC). Эта аналитика угроз принимает различные формы — от конкретных индикаторов компрометации (МОК) до отчетов и анализа— и может поступать из различных источников. Единая платформа SecOps корпорации Майкрософт на портале Defender объединяет всю аналитику угроз в одном расположении, чтобы SOC могли быстро и точно оценить эту аналитику для принятия обоснованных решений. Единая платформа SecOps корпорации Майкрософт на портале Defender извлекает аналитику угроз из следующих источников:

  • Отчеты Microsoft Defender XDR аналитики угроз
  • Аналитика угроз Microsoft Defender статей и наборов данных
  • аналитика угроз Microsoft Sentinel

Аналитика угроз в Microsoft Defender XDR

Аналитика угроз — это Microsoft Defender XDR решение для аналитики угроз в продукте от экспертов майкрософт по безопасности. Оно разработано, чтобы помочь группам безопасности быть максимально эффективными при столкновении с новыми угрозами, такими как:

  • Активные участники угроз и их кампании
  • Популярные и новые приемы атаки
  • Критические уязвимости
  • Распространенные направления атак.
  • Распространенные вредоносные программы.

Раздел аналитического отчета в отчете об аналитике угроз

Раздел отчета аналитики в отчете об аналитике угроз

Каждый отчет содержит анализ отслеживаемой угрозы и подробные рекомендации по защите от этой угрозы. Он также включает данные из вашей сети, указывающие, активна ли угроза и есть ли у вас применимые средства защиты.

Дополнительные сведения см. в статье Аналитика угроз в Microsoft Defender XDR.

Аналитика угроз Microsoft Defender

Аналитика угроз Microsoft Defender (Defender TI) помогает упростить анализ аналитиков безопасности, реагирование на инциденты, охоту на угрозы и рабочие процессы управления уязвимостями. Defender TI объединяет и обогащает критически важные сведения об угрозах в простом в использовании интерфейсе, где пользователи могут сопоставлять операции ввода-вывода со связанными статьями, профилями субъектов и уязвимостями. Defender TI также позволяет аналитикам сотрудничать с другими пользователями, лицензированными Defender TI, в своем клиенте при проведении расследований.

Вы можете открыть Defender TI на следующих страницах в меню навигации аналитики угроз на портале Defender:

  • Профили Intel . Получите доступ к полной библиотеке субъектов угроз, средств и профилей уязвимостей.
  • Intel Explorer . Обзор аналитики угроз для соответствующих анализов, артефактов и индикаторов.
  • Проекты Intel — управление артефактами безопасности для всего клиента.

Снимок экрана: страница Intel Explorer.

Страница Обозревателя Intel в Defender TI на портале Defender

Дополнительные сведения см. в статье Что такое Аналитика угроз Microsoft Defender?.

Управление аналитикой угроз

Управление Intel работает на основе Microsoft Sentinel и предоставляет средства для обновления, поиска и создания аналитики угроз и управления ею в большом масштабе.

Наиболее распространенными формами аналитики угроз являются индикаторы угроз или МОК. Другим аспектом аналитики угроз являются субъекты угроз, их методы, тактика и процедуры (ТПП), их инфраструктура и их жертвы. Управление Intel поддерживает управление всеми этими аспектами с помощью структурированного выражения информации об угрозах (STIX), стандарта с открытым кодом для обмена аналитикой угроз.

Управление Intel введет в эксплуатацию аналитику угроз, а Microsoft Sentinel ее источник с помощью следующих методов приема:

  • Импортируйте аналитику угроз в Microsoft Sentinel путем включения соединителей данных на различных платформах аналитики угроз, включая собственный Microsoft Defender TI.
  • Подключение аналитики угроз к Microsoft Sentinel с помощью API отправки для подключения различных платформ аналитики угроз или пользовательских приложений.
  • Создавайте аналитику угроз по отдельности или импортируйте с помощью файла из интерфейса управления Intel.

Снимок экрана: добавление новой функции объекта STIX для управления Intel.

Пример добавления нового объекта STIX в систему управления Intel

Дополнительные сведения см. в статье Анализ угроз в Microsoft Sentinel.