分析威脅分析

  • 3 分鐘

威脅分析是專家級 Microsoft 安全性研究人員所提供的一種威脅情報解決方案。 其設計旨在幫助安全性小組在面對新興威脅時盡可能地有效率,例如:

  • 作用中威脅行為者及其活動
  • 熱門和新的攻擊技術
  • 嚴重的弱點
  • 常見的攻擊面
  • 常見的惡意程式碼

您可以從 Microsoft Defender 安全性入口網站導覽功能表的左上角展開 [威脅情報],或從專用的 [威脅分析] 儀表板卡片存取威脅分析,其會顯示組織的威脅,無論是影響方面,還是暴露程度方面。

威脅分析儀表板的螢幕擷取畫面。

高度影響的威脅有最大的可能會造成損害,而高暴露程度的威脅是您資產最易受攻擊的威脅。 取得作用中或進行中活動的深入解析,以及透過威脅分析了解可採取的動作,都可協助您的安全性作業小組做出明智的決策。

隨著更複雜的對手和新興威脅的頻繁與普遍出現,能夠快速應對變得非常重要:

  • 識別並回應新興威脅
  • 了解目前是否受到攻擊
  • 評估對資產的威脅影響
  • 檢查從威脅復原的能力或暴露於威脅的風險
  • 識別可採取以阻止或遏制威脅的風險降低、復原或預防動作

每份報告都提供追蹤威脅的分析,以及如何抵禦該威脅的廣泛指引。 其中也會涵蓋來自您網路的資料,指出威脅是否作用中,以及您是否具備適當的保護措施。

檢視威脅分析儀表板

威脅分析儀表板會醒目提示與貴組織最相關的報告。 它會將威脅摘要到下列區段中:

  • 最新的威脅 - 列出最近發佈或更新的威脅報告,以及作用中和已解決警示數目。
  • 高度影響的威脅 - 列出對組織造成最大影響的威脅。 此區段首先會列出作用中和已解決警示數目最多的威脅。
  • 最高暴露程度 - 先列出具有最高暴露程度的威脅。 威脅的暴露程度使用兩項資訊來計算:與威脅相關聯的弱點嚴重性,以及組織中可能會有這些弱點遭到惡意探索的裝置數目。

從儀表板選取威脅,即可檢視該威脅的報告。

檢視威脅分析報告。 每個威脅分析報告都會在下列幾個區段中提供資訊:

  • 概觀
  • 分析人員報告
  • 相關事件
  • 受影響的資產
  • 已禁止電子郵件嘗試
  • 暴露程度與風險降低

概觀:快速了解威脅、評估其影響,以及檢閱防禦情況

[總覽] 區段提供詳細分析報表的預覽, 也會提供圖表,醒目顯示威脅對您組織的影響,以及因設定錯誤和未修補裝置而暴露的風險。

評估對組織的影響

每份報告都會包含專為提供有關威脅對組織影響資訊而設計的圖表:

  • 相關事件 - 提供追蹤威脅對組織的影響概觀,包括作用中警示數目、其相關聯的作用中事件數目,以及作用中事件的嚴重性
  • 一段時間的警示 - 顯示一段時間的相關作用中和已解決警示數目。 已解決的警示數目則指出組織回應與威脅相關警示的速度。 在理想情況下,圖表應會在幾天後顯示已解決的警示。
  • 受影響的資產 - 顯示目前至少有一個與追蹤威脅相關聯之作用中警示的不同裝置和電子郵件帳戶 (信箱) 數目。 已收到威脅電子郵件的信箱會觸發警示。 檢閱組織和使用者層級原則中是否有造成威脅電子郵件傳遞的覆寫。
  • 防止電子郵件嘗試 - 顯示過去七天內在傳遞前遭封鎖或傳遞至 [垃圾郵件] 資料夾的電子郵件數目。

檢閱安全性復原功能和狀態

每份報表都包含圖表,以針對組織抵禦指定威脅的復原能力提供概觀:

  • 安全設定狀態 - 顯示具有設定錯誤之安全性設定的裝置數目。 套用建議的安全性設定,以協助降低威脅。 如果裝置已套用全部追蹤的設定,則會視為安全的裝置。
  • 弱點修補狀態 - 顯示易受攻擊的裝置數目。 套用安全性更新或修補程式來解決受到威脅惡意探索的弱點。

檢視每個威脅標籤的報告

您可以篩選威脅報告清單,並依據特定威脅標籤 (類別) 或報告類型來檢視最相關的報告。

  • 威脅標籤 - 協助您根據特定威脅類別來檢視最相關的報告。 例如,所有與勒索軟體相關的報告。
  • 報告類型 - 協助您根據特定報告類型來檢視最相關的報告。 例如,涵蓋工具和技術的所有報告。
  • 篩選 - 協助您有效率地檢閱威脅報告清單,並根據特定威脅標籤或報告類型來篩選檢視。 例如,檢閱與勒索軟體類別相關的所有威脅報告,或涵蓋弱點的威脅報告。

如何運作?

Microsoft 威脅情報小組已將威脅標籤新增至每個威脅報告中:

現在有四種威脅標籤可供使用:

  • 勒索軟體
  • 網路釣魚
  • 弱點
  • 活動群組

威脅標籤會顯示在威脅分析頁面的頂端。 每個標籤下都有可用報告數目的計數器。

分析師報告:從 Microsoft 安全性研究人員取得專家見解

在 [分析師報告] 區段中,閱讀詳細的專家評論。 大部分報告都提供攻擊鏈的詳細描述,包括對應至 MITRE ATT&CK 架構的策略和技術、詳盡的建議清單,以及強大的威脅搜捕指引。

關聯事件索引標籤提供所有與追蹤威脅相關的事件清單。 您可以指派事件或管理連結到每個事件的警示。

受影響的資產:取得受影響的裝置和信箱清單

如果資產受到作用中、未解決警示的影響,則會視為受影響的資產。 受影響的資產索引標籤列出下列類型的受影響資產:

  • 受影響的裝置 - 具有適用於端點的 Microsoft Defender 未解決警示的端點。 這些警示通常會在發現已知威脅指標和活動時觸發。

  • 受影響的信箱 - 收到觸發了適用於 Office 365 的 Microsoft Defender 警示之電子郵件訊息的信箱。 雖然通常會封鎖大部分觸發警示的郵件,但使用者或組織層級原則可以覆寫篩選。

防止電子郵件嘗試:檢視已封鎖或已標示為垃圾郵件的威脅電子郵件

適用於 Office 365 的 Microsoft Defender 通常會封鎖具有已知威脅指標的電子郵件,包括惡意連結或附件。 在某些情況下,檢查可疑內容的主動式篩選機制會改為將威脅電子郵件傳送至垃圾郵件資料夾。 在任一情況下,威脅在裝置上啟動惡意程式碼的機會都會降低。

[防止電子郵件嘗試] 索引標籤會列出在傳遞之前遭到適用於 Office 的 Microsoft Defender 封鎖或傳送至 [垃圾郵件] 資料夾的所有電子郵件。

暴露程度與風險降低:檢閱風險降低措施和裝置狀態清單

在 [暴露程度與風險降低] 區段中檢閱可行的特定建議清單,其可協助您提升組織抵禦威脅的復原能力。 追蹤的風險降低清單包括:

  • 安全性更新 - 針對已上線裝置上找到的弱點,部署支援的軟體安全性更新
  • 支援的安全性設定
    • 雲端提供的保護
    • 潛在的垃圾應用程式 (PUA) 保護
    • 即時保護

本節的風險降低資訊包含來自威脅與弱點管理功能的資料,其中也針對報告中的各種連結提供詳細的向下切入資訊。

設定報告更新的電子郵件通知

您可以設定電子郵件通知,以傳送有關威脅分析報告的更新。

若要設定威脅分析報告的電子郵件通知,請執行下列步驟:

  1. 在 Microsoft Defender XDR 側邊欄中選取 [設定]。 從設定清單選取 [Microsoft Defender XDR]。

  2. 選擇 [電子郵件通知] > [威脅分析],然後選取 [+ 建立通知規則] 按鈕。 飛出視窗隨即顯示。

  3. 遵循飛出視窗中列出的步驟。 首先,為您的新規則命名。 [描述] 欄位是選擇性的,但 [名稱] 為必填項目。 您可以使用 [描述] 欄位下的核取方塊來開啟或關閉規則。

    注意

    新通知規則的 [名稱] 和 [描述] 欄位只接受英文字母和數字。 不接受空格、虛線、底線或任何其他標點符號。

  4. 選擇您想要收到通知的報告類型。 您可以選擇收到所有新發佈或已更新的報告更新,或只收到具有特定標籤或類型的報告更新。

  5. 新增至少一個收件者以接收通知電子郵件。 您也可以使用此畫面,傳送測試電子郵件來檢查通知的接收情況。

  1. 檢閱您的新規則。 如果有任何您想要變更的內容,請選取每個子區段結尾的 [編輯] 按鈕。 檢閱完成後,請選取 [建立規則] 按鈕。

您的新規則已成功建立。 選取 [完成] 按鈕以完成程序並關閉飛出視窗。 您的新規則現在會出現在威脅分析電子郵件通知清單中。