Microsoft Defender XDR 中的威胁分析
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
威胁分析是 Microsoft 安全研究人员专家提供的产品内威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:
- 活动威胁执行组件及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
可以从 Microsoft Defender 门户导航栏的左上角访问威胁分析,也可以从显示组织面临的主要威胁的专用仪表板卡访问威胁分析,包括已知影响和暴露情况。
了解活动或正在进行的市场活动,并了解通过威胁分析执行的操作有助于为安全运营团队提供明智的决策。
随着更复杂的攻击者和新威胁频繁且普遍出现,快速执行以下操作至关重要:
- 识别和应对新出现的威胁
- 了解当前是否受到攻击
- 评估威胁对资产的影响
- 查看针对威胁或受到威胁的复原能力
- 确定可以采取的缓解、恢复或预防操作来阻止或遏制威胁
每个报告都提供跟踪威胁的分析,以及有关如何防御该威胁的广泛指导。 它还包含来自网络的数据,指示威胁是否处于活动状态以及是否有相应的保护。
所需角色和权限
下表概述了访问威胁分析所需的角色和权限。 表中定义的角色是指单个门户中的自定义角色,并且不会连接到 entra ID Microsoft全局角色,即使名称类似。
| Microsoft Defender XDR 需要以下角色之一 | Microsoft Defender for Endpoint 需要以下角色之一 | Microsoft Defender for Office 365 需要以下角色之一 | Microsoft Defender for Cloud Apps 和 Microsoft Defender for Identity 需要以下角色之一 | Microsoft Defender for Cloud 需要以下角色之一 |
|---|---|---|---|---|
| 威胁分析 | 警报和事件数据:
|
警报和事件数据:
|
|
|
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
即使只有上表中所述的产品及其相应角色之一,你仍可查看所有威胁分析报告。 但是,你需要拥有每个产品和角色才能查看与威胁关联的产品的特定事件、资产、风险和建议操作。
了解更多:
使用威胁分析仪表板。
威胁分析仪表板 (security.microsoft.com/threatanalytics3) 突出显示与组织最相关的报表。 它总结了以下部分中的威胁:
- 最新威胁 - 列出最近发布或更新的威胁报告,以及活动警报和已解决的警报数。
- 影响最大的威胁 - 列出对组织影响最大的威胁。 本部分首先列出活动警报数和已解决警报数最多的威胁。
- 最高暴露威胁 - 列出组织暴露程度最高的威胁。 威胁暴露级别是使用两条信息计算的:与威胁关联的漏洞的严重程度,以及组织中有多少设备可能被这些漏洞利用。
从仪表板中选择一个威胁以查看该威胁的报告。 还可以选择 “搜索 ”字段,以输入与要阅读的威胁分析报告相关的关键字。
按类别查看报表
可以筛选威胁报告列表,并根据特定威胁类型或报告类型查看最相关的报告。
- 威胁标记 - 根据特定威胁类别帮助你查看最相关的报告。 例如, 勒索软件 标记包括与勒索软件相关的所有报告。
- 报表类型 - 根据特定报表类型帮助你查看最相关的报表。 例如, “工具 & 技术 ”标记包括涵盖工具和技术的所有报表。
不同的标记具有等效的筛选器,可帮助你有效地查看威胁报告列表,并根据特定的威胁标记或报告类型筛选视图。 例如,若要查看与勒索软件类别相关的所有威胁报告或涉及漏洞的威胁报告。
Microsoft威胁情报团队将威胁标记添加到每个威胁报告。 当前提供以下威胁标记:
- 勒索软件
- 勒索
- 网络钓鱼
- 手动键盘
- 活动组
- 漏洞
- 攻击活动
- 工具或技术
威胁标记显示在威胁分析页面的顶部。 每个标记下的可用报表数都有计数器。
若要在列表中设置所需的报表类型,请选择“ 筛选器”,从列表中选择,然后选择“ 应用”。
如果设置了多个筛选器,还可以通过选择威胁标记列来按威胁标记对威胁分析报告列表进行排序:
相关威胁分析报告
每个威胁分析报告在几个部分中提供信息:
概述:快速了解威胁、评估其影响并查看防御措施
“ 概述 ”部分提供详细分析报告的预览。 它还提供图表,突出显示威胁对组织的影响,以及你通过错误配置和未修补的设备暴露。
评估对组织的影响
每个报表都包含图表,旨在提供有关威胁的组织影响的信息:
-
相关事件 - 使用以下数据概述了跟踪的威胁对组织的影响:
- 活动警报数及其关联的活动事件数
- 活动事件的严重性
- 一段时间内的警报 - 显示一段时间内相关的 “活动” 和 “已解决 ”警报数。 已解决的警报数指示组织响应与威胁关联的警报的速度。 理想情况下,图表应显示在几天内解决的警报。
- 受影响的资产 - 显示当前至少有一个与跟踪威胁关联的活动警报的不同资产的数量。 对于收到威胁电子邮件的邮箱,将触发警报。 查看组织级和用户级策略,了解导致威胁电子邮件传递的替代。
查看安全复原能力和态势
每个报告都包含图表,这些图表概述了组织如何应对给定威胁的复原能力:
- 建议的操作 - 显示 操作状态 百分比,或你为改善安全状况而获得的分数数。 执行建议的操作以帮助解决威胁。 可按 类别 或 状态查看积分明细。
- 终结点公开 - 显示易受攻击的设备数。 应用安全更新或修补程序来解决威胁利用的漏洞。
分析报告:从Microsoft安全研究人员那里获取专家见解
在 “分析报告 ”部分中,通读详细的专家撰写内容。 大多数报告都详细说明了攻击链,包括映射到 MITRE ATT&CK 框架的策略和技术、详尽的建议列表和强大的 威胁搜寻 指南。
相关事件:查看和管理相关事件
相关事件选项卡提供与跟踪的威胁相关的所有事件的列表。 可以分配事件或管理链接到每个事件的警报。
注意
与威胁关联的事件和警报来自 Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps 和 Defender for Cloud。
受影响的资产:获取受影响的设备、用户、邮箱、应用和云资源的列表
“ 受影响的资产 ”选项卡显示随时间推移受到威胁影响的资产。 它显示:
- 受活动警报影响的资产
- 受已解决警报影响的资产
- 所有资产,或受活动警报和已解决警报影响的资产总数
资产分为以下类别:
- 设备
- 用户
- 邮箱
- 应用
- 云资源
终结点公开:了解安全更新的部署状态
“终结点暴露”部分提供组织对威胁的暴露级别,该级别根据上述威胁利用的漏洞和错误配置的严重性以及具有这些弱点的设备数量进行计算。
本部分还提供在载入设备上发现的漏洞支持的软件安全更新的部署状态。 它合并了 来自 Microsoft Defender 漏洞管理的数据,它还提供了来自报表中各个链接的详细向下钻取信息。
建议的操作:查看缓解措施列表和设备状态
在“ 建议的操作 ”选项卡中,查看特定可操作建议的列表,这些建议可以帮助你提高组织对威胁的复原能力。 跟踪的缓解措施列表包括支持的安全配置,例如:
- 云端保护
- 潜在有害应用程序 (PUA) 保护
- 实时保护
设置报表更新的电子邮件通知
可以设置电子邮件通知,以向你发送威胁分析报表的更新。 若要创建电子邮件通知,请按照在 Microsoft Defender XDR 中获取威胁分析更新的电子邮件通知中的步骤操作。
其他报表详细信息和限制
查看威胁分析数据时,请记住以下因素:
- “ 建议的操作 ”选项卡中的清单仅显示 安全分数Microsoft跟踪的建议。 查看“ 分析报告 ”选项卡,了解安全功能分数中未跟踪的更多建议操作。
- 建议的操作不保证完全复原,仅反映改进所需的最佳操作。
- 与防病毒相关的统计信息基于 Microsoft Defender 防病毒设置。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。