共用方式為


Microsoft Defender 全面偵測回應 中的威脅分析

適用於:

  • Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

威脅分析是我們來自專家級 Microsoft 安全性研究人員的產品內威脅情報解決方案。 其設計旨在幫助安全性小組在面對新興威脅時盡可能地有效率,例如:

  • 作用中威脅行為者及其活動
  • 熱門和新的攻擊技術
  • 嚴重的弱點
  • 常見的攻擊面
  • 常見的惡意程式碼

您可以從入口網站導覽列左上 Microsoft Defender 角,或從專用儀錶板卡片存取威脅分析,該卡片會顯示組織在已知影響方面和暴露程度方面的主要威脅。

威脅分析登陸頁面的螢幕快照

取得作用中或進行中活動的深入解析,以及透過威脅分析了解可採取的動作,都可協助您的安全性作業小組做出明智的決策。

隨著更複雜的對手和新興威脅的頻繁與普遍出現,能夠快速應對變得非常重要:

  • 識別並回應新興威脅
  • 瞭解您目前是否遭受攻擊
  • 評估威脅對資產的影響
  • 檢閱您抵禦威脅或暴露於威脅的復原能力
  • 識別您可以採取來停止或包含威脅的風險降低、復原或預防動作

每個報表都會提供追蹤威脅的分析,以及如何防禦該威脅的廣泛指引。 它也會納入來自您網路的數據,指出威脅是否作用中,以及您是否已備妥適用的保護。

必要角色和權限

在 Defender 入口網站中存取威脅分析需要下列角色和許可權:

  • 安全性數據基本概念 (閱讀) —以檢視威脅分析報告、相關事件和警示,以及受影響的資產
  • 弱點管理 (讀取) 和安全分數 (讀取) — 以查看相關的曝光數據和建議的動作

根據預設,Defender 入口網站中可用的服務存取權會使用 Microsoft Entra 全域角色來共同管理。 如果您需要對特定產品數據的存取有更大的彈性和控制,而且尚未使用 Microsoft Defender 全面偵測回應 統一角色型訪問控制 (RBAC) 進行集中式許可權管理,建議您為每個服務建立自定義角色。 深入瞭解如何建立自定義角色

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

即使您只支援其中一項產品,您仍可看到所有威脅分析報告。 不過,您必須擁有每個產品和角色,才能查看與威脅相關聯的產品特定事件、資產、曝光和建議動作。

檢視威脅分析儀表板

威脅分析儀錶板 (security.microsoft.com/threatanalytics3) 醒目提示與組織最相關的報告。 它會將威脅摘要到下列區段中:

  • 最新的威脅— 列出最近發佈或更新的威脅報告,以及作用中和已解決的警示數目。
  • 高影響的威脅— 列出對組織影響最大的威脅。 此區段首先會列出作用中和已解決警示數目最多的威脅。
  • 最高暴露威脅— 列出貴組織暴露程度最高的威脅。 您對威脅的暴露程度是使用兩項資訊來計算:與威脅相關聯的弱點有多嚴重,以及貴組織中有多少裝置可能被這些弱點所利用。

威脅分析儀錶板的螢幕快照,

從儀表板選取威脅,以檢視該威脅的報告。 您也可以在與您想要讀取的威脅分析報告相關的關鍵詞中,選取 [ 搜尋 ] 字段作為關鍵詞。

依類別檢視報表

您可以篩選威脅報告清單,並根據特定威脅類型或報告類型檢視最相關的報告。

  • 威脅標記— 協助您根據特定威脅類別檢視最相關的報告。 例如, 勒索軟體 標籤包含與勒索軟體相關的所有報告。
  • 報表類型 — 協助您根據特定報表類型檢視最相關的報表。 例如, [工具 & 技術 ] 標籤包含涵蓋工具和技術的所有報表。

不同的標記具有對等的篩選條件,可協助您有效率地檢閱威脅報告清單,並根據特定的威脅標記或報表類型篩選檢視。 例如,若要檢視與勒索軟體類別相關的所有威脅報告,或是涉及弱點的威脅報告。

Microsoft威脅情報小組會將威脅標籤新增至每個威脅報告。 目前提供下列威脅標籤:

  • 勒索軟體
  • 勒索
  • 網路釣魚
  • 手動鍵盤
  • 活動群組
  • 弱點
  • 攻擊活動
  • 工具或技術

威脅標籤會顯示在威脅分析頁面的頂端。 每個標籤下都有可用報告數目的計數器。

威脅分析報告標籤的螢幕快照。

若要在清單中設定您想要的報表類型,請選取 [ 篩選],從清單中選擇,然後選取 [ 套用]

[篩選] 列表的螢幕快照。

如果您設定多個篩選條件,也可以選取 [威脅卷標] 資料行,依威脅標記排序威脅分析報告清單:

威脅標籤數據行的螢幕快照。

檢視威脅分析報告

每個威脅分析報告會提供數個區段中的資訊:

概觀:快速瞭解威脅、評估其影響,以及檢閱防禦

[ 概觀 ] 區段提供詳細分析師報告的預覽。 它也會提供圖表,強調威脅對組織的影響,以及透過設定錯誤和未修補的裝置公開。

威脅分析報告概觀區段的螢幕快照。

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表:

  • 相關事件 — 使用下列數據,提供追蹤威脅對組織的影響概觀:
    • 作用中警示數目,以及與其相關聯的作用中事件數目
    • 作用中事件的嚴重性
  • 一段時間的警示— 顯示一段時間內相關的 作用中已解決 警示數目。 已解決的警示數目表示貴組織回應與威脅相關聯警示的速度。 在理想情況下,圖表應會在幾天後顯示已解決的警示。
  • 受影響的資產— 顯示目前至少有一個與追蹤威脅相關聯的作用中警示的相異資產數目。 已收到威脅電子郵件的信箱會觸發警示。 檢閱組織和用戶層級原則,以取得導致威脅電子郵件傳遞的覆寫。

檢閱安全性恢復能力和狀態

每份報表都包含圖表,其中提供貴組織針對指定威脅的復原能力概觀:

  • 建議的動作— 顯示 [動作狀態 百分比],或您為了改善安全性狀態所達成的點數。 執行建議的動作以協助解決威脅。 您可以依 [ 類別 ] 或 [ 狀態] 檢視點的細目。
  • 端點暴露- 顯示易受攻擊的裝置數目。 套用安全性更新或修補程式,以解決威脅所利用的弱點。

分析師報告:從Microsoft安全性研究人員取得專家見解

在 [ 分析師報告] 區段中,閱讀詳細的專家撰寫。 大部分的報告都提供攻擊鏈結的詳細描述,包括對應至 MITRE ATT&CK 架構的策略和技術、詳盡的建議清單,以及強大的 威脅搜捕 指引。

深入瞭解分析師報告

關聯事件索引標籤提供所有與追蹤威脅相關的事件清單。 您可以指派事件或管理連結到每個事件的警示。

威脅分析報告之相關事件區段的螢幕擷取畫面。

注意事項

與威脅相關聯的事件和警示來自適用於端點的Defender、適用於身分識別的Defender、適用於 Office 365 的 Defender、Defender for Cloud Apps和適用於雲端的Defender。

受影響的資產:取得受影響的裝置、使用者、信箱、應用程式和雲端資源的清單

[ 受影響的資產] 索引卷標會顯示一段時間內受到威脅影響的資產。 它會顯示:

  • 受作用中警示影響的資產
  • 受已解決警示影響的資產
  • 所有資產,或受作用中和已解決警示影響的資產總數

資產分為下列類別:

  • 裝置
  • 使用者
  • 信箱
  • 應用程式
  • 雲端資源

威脅分析報告之受影響資產區段的螢幕擷取畫面。

端點暴露:瞭解安全性更新的部署狀態

[ 端點暴露 ] 區段會提供貴組織對威脅的 暴露 程度,這是根據上述威脅所利用的弱點和錯誤設定的嚴重性,以及具有這些弱點的裝置數目來計算。

本節也會針對在上線裝置上找到的弱點,提供支援的軟體安全性更新部署狀態。 它包含來自 Microsoft Defender 弱點管理 的數據,也提供報表中各種連結的詳細向下切入資訊。

威脅分析報告的 [端點暴露] 區段

在 [ 建議的動作] 索引標籤中,檢閱可協助您提高組織抵禦威脅能力的特定可採取動作建議清單。 追蹤的防護功能清單包含支援的安全性設定,例如:

  • 雲端提供的保護
  • 潛在的垃圾應用程式 (PUA) 保護
  • 即時保護

顯示弱點詳細數據之威脅分析報表的建議動作區段

設定報表更新的電子郵件通知

您可以設定電子郵件通知,以傳送威脅分析報告的更新。 若要建立電子郵件通知,請遵循在 Microsoft Defender 全面偵測回應 中取得威脅分析更新的電子郵件通知中的步驟。

其他報表詳細數據和限制

查看威脅分析數據時,請記住下列因素:

  • [ 建議的動作 ] 索引標籤中的檢查清單只會顯示 Microsoft安全分數中追蹤的建議。 檢查 [分析師報告] 索引標籤,以取得未在安全分數中追蹤的更多建議動作。
  • 建議的動作不保證完整的復原能力,而且只會反映改善它所需的最佳可能動作。
  • 防病毒軟體相關的統計數據是以 Microsoft Defender 防病毒軟體設定為基礎。
  • 主要威脅分析頁面中的 [設定錯誤的 裝置 ] 資料行會顯示未開啟威脅相關建議動作時,受威脅影響的裝置數目。 不過,如果Microsoft研究人員未連結任何建議的動作,[設定 錯誤的裝置 ] 資料行會顯示 [ 無法使用] 狀態。
  • 主要 [威脅分析] 頁面中的 [ 易受攻擊的裝置 ] 資料行會顯示執行軟體的裝置數目,這些裝置容易受到連結到威脅的任何弱點影響。 不過,如果Microsoft研究人員未連結任何弱點,[ 易受攻擊的裝置 ] 數據行會顯示 [ 無法使用] 狀態。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群