適用於雲端的 Microsoft Defender 威脅情報報告

適用於雲端的 Microsoft Defender 威脅情報報告如何協助您深入瞭解觸發安全性警示的威脅。

何謂威脅情報報告？

適用於雲端的 Defender 威脅防護的運作方式，是透過監視來自 Azure 資源、網路、連結合作夥伴解決方案的安全性資訊。 其會分析這項資訊 (通常是來自多個來源的相互關聯資訊) 以識別威脅。 如需詳細資訊，請參閱適用於雲端的 Microsoft Defender 如何偵測及回應威脅。

資訊安全中心識別到威脅後，會觸發包含事件相關詳細資訊的安全性警示，並包含補救的建議。 為協助事件回應小組調查和補救威脅，適用於雲端的 Defender 提供的威脅情報報告，包含所偵測到威脅的資訊。 此報告包含下列資訊：

• 攻擊者的身分識別或關聯 (如果有提供這項資訊)
• 攻擊者的目標
• 目前和歷史攻擊活動 (如果有提供這項資訊)
• 攻擊者的策略、工具和程序
• 關聯的入侵指標 (IOC)，如 URL 和檔案摘要
• 內容為產業和地理普遍性的犧牲者學可協助判斷 Azure 資源是否面臨風險
• 風險降低和補救資訊

注意

任何特定報告中所含的資訊數量各有不同；詳細程度視惡意程式碼的活動和盛行情況而定。

適用於雲端的 Defender 有三種威脅報告，不同攻擊會提供不同的報告。 可用的報告如下：

• 群組活動報告︰提供攻擊者、其目標和策略的深入探討。
• 活動報告︰著重說明特定攻擊活動的詳細資料。
• 威脅摘要報告︰涵蓋先前兩種報告的所有項目。

在事件回應過程中，這種類型的資訊很有用。 例如，當有持續調查來瞭解攻擊來源、攻擊者的動機，以及未來要如何減輕此問題時。

如何存取威脅情報報告？

1. 從適用於雲端的 Defender 的選單中，開啟 [安全性警示] 頁面。

2. 選取警示。

   [警示詳細資料] 頁面隨即開啟，其中包含警示的更多詳細資料。

   

3. 選取報表的連結後，您預設的瀏覽器會開啟 PDF。

   

   您也可以選擇性下載此 PDF 報表。

   提示

   根據警示類型而定，針對每個安全性警示所提供的資訊數量會有所不同。

下一步

此頁面說明如何在調查安全性警示時開啟威脅情報報告。 如需相關資訊，請參閱下列頁面：

• 管理及回應適用於雲端的 Microsoft Defender 中的安全性警示。 了解如何管理和回應安全性警示。
• 處理適用於雲端的 Microsoft Defender 中的安全性事件