Analýza hrozeb v Microsoft 365 Defender

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Důležité

Některé informace se týkají předreleasovaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Analýza hrozeb je naše řešení analýzy hrozeb v produktu od expertů microsoftových výzkumníků v oblasti zabezpečení. Je navržený tak, aby bezpečnostním týmům pomohl být co nejefektivnější a současně čelit vznikajícím hrozbám, jako jsou:

  • Aktivní účastníci hrozeb a jejich kampaně
  • Oblíbené a nové techniky útoku
  • Kritická ohrožení zabezpečení
  • Běžné prostory pro útoky
  • Převládající malware

V tomto krátkém videu se dozvíte více o tom, jak vám analýza hrozeb může pomoct sledovat nejnovější hrozby a zastavit je.

K analýze hrozeb můžete přistupovat buď z levé horní části navigačního panelu Microsoft 365 portálu zabezpečení, nebo z vyhrazené karty řídicího panelu, která ukazuje hlavní hrozby pro vaši organizaci, a to jak z hlediska dopadu, tak z hlediska ohrožení.

Cílová stránka analýzy hrozeb

Hrozby s vysokým dopadem mají největší potenciál způsobovat škody, zatímco hrozby s vysokou expozicí jsou hrozby, na které jsou vaše prostředky nejzranitelnější. Získání přehledu o aktivních nebo probíhajících kampaních a znalost toho, co dělat prostřednictvím analýzy hrozeb, vám může pomoct vybavit váš provozní tým zabezpečení informovaně rozhodovat.

Kde získat přístup k analýze hrozeb

S propracovanějšími nežádoucími osobami a novými hrozbami, které se objevují často a převládají, je důležité, abyste mohli rychle:

  • Identifikace nově vznikajících hrozeb a reakce na ně
  • Zjistěte, jestli jste v současné době terčem útoku.
  • Posouzení dopadu hrozby na vaše prostředky
  • Kontrola odolnosti proti hrozbám nebo vystavení hrozbám
  • Identifikace opatření ke zmírnění rizik, obnovení nebo prevence, které můžete provést k zastavení nebo omezení hrozeb

Každá sestava poskytuje analýzu sledované hrozby a rozsáhlé pokyny, jak se proti této hrozbě bránit. Zahrnuje také data z vaší sítě, která indikují, jestli je hrozba aktivní a jestli máte příslušnou ochranu.

Zobrazení řídicího panelu analýzy hrozeb

Řídicí panel analýzy hrozeb (security.microsoft.com/threatanalytics3) zvýrazňuje sestavy, které jsou pro vaši organizaci nejrelevantnější. Shrnuje hrozby v následujících částech:

  • Nejnovější hrozby – uvádí seznam naposledy publikovaných nebo aktualizovaných sestav hrozeb spolu s počtem aktivních a vyřešených výstrah.
  • Hrozby s vysokým dopadem – uvádí hrozby, které mají nejvyšší dopad na vaši organizaci. Tato část obsahuje seznam hrozeb s nejvyšším počtem aktivních a vyřešených výstrah.
  • Nejvyšší expozice – uvádí hrozby s nejvyšší úrovní expozice. úroveň ohrožení se počítá pomocí dvou informací: jak závažná jsou ohrožení zabezpečení spojená s hrozbou a kolik zařízení ve vaší organizaci by mohla být těmito ohroženími zabezpečení zneužita.

Výběrem hrozby z řídicího panelu zobrazíte sestavu této hrozby.

Řídicí panel analýzy hrozeb

Řídicí panel analýzy hrozeb Můžete také vybrat vyhledávací pole, které se má za klíčových slov zaplnět do klíčového slova, které souvisí se sestavou analýzy hrozeb, kterou chcete přečíst.

Zobrazení sestavy analýzy hrozeb

Každá sestava analýzy hrozeb poskytuje informace v několika částech:

Přehled: Rychlé pochopení hrozby, posouzení jejího dopadu a kontrola obrany

Část Přehled obsahuje náhled podrobné sestavy analytiků. Poskytuje také grafy, které zdůrazňují dopad hrozby pro vaši organizaci a vaši expozici prostřednictvím chybně nakonfigurovaných a nepatchovaných zařízení.

Část přehledu sestavy analýzy hrozeb

Část Přehled sestavy analýzy hrozeb

Posouzení dopadu na vaši organizaci

Každá sestava obsahuje grafy navržené tak, aby poskytovaly informace o dopadu hrozby na organizaci:

  • Související incidenty – poskytuje přehled o dopadu sledované hrozby na vaši organizaci s následujícími daty:
    • Počet aktivních výstrah a počet aktivních incidentů, ke které jsou přidruženy
    • Závažnost aktivních incidentů
  • Upozornění v průběhu času – zobrazuje počet souvisejících aktivních a vyřešených výstrah v průběhu času. Počet vyřešených výstrah udává, jak rychle vaše organizace reaguje na výstrahy spojené s hrozbou. V ideálním případě by graf měl zobrazovat upozornění vyřešená během několika dnů.
  • Ovlivněné prostředky – zobrazuje počet různých zařízení a e-mailových účtů (poštovních schránek), které mají aktuálně alespoň jedno aktivní upozornění přidružené ke sledované hrozbě. Upozornění se aktivují pro poštovní schránky, které obdržely e-maily s hrozbami. Projděte si zásady na úrovni organizace i na úrovni uživatele, abyste si mohli přečíst přepsání, která způsobují doručování e-mailů s hrozbami.
  • Zabránit pokusům o e-mail – zobrazuje počet e-mailů za posledních 7 dnů, které byly zablokovány před doručením nebo doručeny do složky nevyžádané pošty.

Kontrola odolnosti a stavu zabezpečení

Každá sestava obsahuje grafy, které poskytují přehled o odolnosti vaší organizace vůči dané hrozbě:

  • Stav zabezpečené konfigurace – zobrazuje počet zařízení s chybně nakonfigurovaným nastavením zabezpečení. Použijte doporučené nastavení zabezpečení, které vám pomůže zmírnit hrozbu. Zařízení se považují za zabezpečená , pokud použili všechna sledovaná nastavení.
  • Stav oprav ohrožení zabezpečení – zobrazuje počet ohrožených zařízení. Použijte aktualizace zabezpečení nebo opravy k řešení ohrožení zabezpečení zneužita hrozbou.

Zobrazení sestav na značky hrozeb

Seznam sestav hrozeb můžete filtrovat a zobrazit nejrelevantnější sestavy podle konkrétní značky hrozby (kategorie) nebo typu sestavy.

  • Značky hrozeb – pomáhají zobrazit nejrelevantnější sestavy podle konkrétní kategorie hrozeb. Například všechny sestavy související s ransomwarem.
  • Typy sestav – pomáhají zobrazit nejrelevantnější sestavy podle konkrétního typu sestavy. Například všechny sestavy, které pokrývají nástroje a techniky.
  • Filtry – pomáhají efektivně kontrolovat seznam sestav hrozeb a filtrovat zobrazení na základě konkrétní značky hrozby nebo typu sestavy. Projděte si například všechny sestavy hrozeb související s kategorií ransomwaru nebo sestavy hrozeb, které pokrývají ohrožení zabezpečení.
Jak to funguje?

Tým Microsoft Threat Intelligence přidal do každé sestavy hrozeb značky hrozeb:

  • K dispozici jsou nyní čtyři značky hrozeb:

    • Ransomware
    • Útok phishing
    • Zranitelnost
    • Skupina aktivit
  • Značky hrozeb se zobrazují v horní části stránky analýzy hrozeb. V každé značce jsou čítače pro počet dostupných sestav.

    Značky hrozeb

  • Seznam lze také seřadit podle značek hrozeb:

    Oddíl Značky hrozeb

  • Filtry jsou k dispozici pro každou značku hrozby a typ sestavy:

    Stránka Filtry

Zpráva analytika: Získání odborného přehledu od výzkumných pracovníků Microsoftu pro zabezpečení

V části Sestava analytika si pročtěte podrobné odborné sepisy. Většina sestav poskytuje podrobný popis řetězů útoků, včetně taktik a technik mapovaných na architekturu MITRE ATT&CK, vyčerpávající seznamy doporučení a výkonné pokyny pro proaktivní vyhledávání hrozeb .

Další informace o sestavě analytiků

Karta Související incidenty obsahuje seznam všech incidentů souvisejících se sledovanou hrozbou. Můžete přiřadit incidenty nebo spravovat výstrahy propojené s jednotlivými incidenty.

Část související incidenty v sestavě analýzy hrozeb

Část Související incidenty v sestavě analýzy hrozeb

Ovlivněné prostředky: Získání seznamu ovlivněných zařízení a poštovních schránek

Prostředek se považuje za ovlivněný, pokud je ovlivněn aktivním nevyřešeným upozorněním. Na kartě Ovlivněné prostředky jsou uvedené následující typy ovlivněných prostředků:

  • Ovlivněná zařízení – koncové body, které mají nevyřešené Microsoft Defender for Endpoint výstrahy. Tato upozornění se obvykle aktivují při pozorování známých indikátorů hrozeb a aktivit.
  • Ovlivněné poštovní schránky – poštovní schránky, které obdržely e-mailové zprávy, které aktivují Microsoft Defender pro Office 365 výstrahy. I když je většina zpráv, které aktivují výstrahy, obvykle blokovaná, zásady na úrovni uživatele nebo organizace můžou filtry přepsat.

Část ovlivněných prostředků v sestavě analýzy hrozeb

Oddíl ovlivněných prostředků v sestavě analýzy hrozeb

Prevence pokusů o e-mail: Zobrazení blokovaných nebo nevyžádaných e-mailů s hrozbami

Microsoft Defender pro Office 365 obvykle blokuje e-maily se známými indikátory hrozeb, včetně škodlivých odkazů nebo příloh. V některých případech budou proaktivní mechanismy filtrování, které kontrolou podezřelého obsahu místo toho odesílají e-maily s hrozbami do složky nevyžádané pošty. V obou případech se sníží pravděpodobnost hrozby spuštění kódu malwaru v zařízení.

Karta Zabránit pokusům o e-mail obsahuje seznam všech e-mailů, které byly zablokovány před doručením nebo odeslané do složky nevyžádané pošty Microsoft Defender pro Office 365.

Oddíl věnovaný pokusům o e-maily v sestavě analýzy hrozeb

Oddíl Zabránit pokusům o e-mail v sestavě analýzy hrozeb

Ohrožení a zmírnění rizik: Projděte si seznam omezení rizik a stav zařízení.

V části Zmírnění rizik & expozice si projděte seznam konkrétních doporučení, která vám můžou pomoct zvýšit odolnost vaší organizace proti hrozbě. Seznam sledovaných zmírnění rizik zahrnuje:

  • Aktualizace zabezpečení – nasazení podporovaných aktualizací zabezpečení softwaru pro ohrožení zabezpečení nalezených na nasazených zařízeních
  • Podporované konfigurace zabezpečení
    • Ochrana doručená do cloudu
    • Potenciálně nežádoucí ochrana aplikací (PUA)
    • Ochrana v reálném čase

Informace o zmírnění rizik v této části zahrnují data z Threat and Vulnerability Management, která také poskytují podrobné informace z různých odkazů v sestavě.

Část věnovaná zmírnění rizik v sestavě analýzy hrozeb zobrazující podrobnosti o zabezpečené konfiguraci

Část věnovaná zmírnění rizik v sestavě analýzy hrozeb zobrazující podrobnosti o ohrožení zabezpečení

Část věnovaná omezení rizik & v sestavě analýzy hrozeb

Nastavení e-mailovými oznámeními pro aktualizace sestav

Můžete nastavit e-mailová oznámení, která vám budou posílat aktualizace sestav analýzy hrozeb.

Pokud chcete nastavit e-mailová oznámení pro sestavy analýzy hrozeb, proveďte následující kroky:

  1. Na bočním panelu Microsoft 365 Defender vyberte Nastavení. V seznamu nastavení vyberte Microsoft 365 Defender.

Snímek obrazovky se zvýrazněnou červenou barvou Nastavení a Microsoft 365 Defender

  1. Zvolte E-mailová oznámení > Analýza a vyberte tlačítko + Vytvořit pravidlo oznámení. Zobrazí se informační rámeček.

Snímek obrazovky se zvýrazněnou červenou barvou +Vytvořit pravidlo oznámení

  1. Postupujte podle kroků uvedených v informačním rámečku. Nejdřív nové pravidlo pojmenujte. Pole popisu je nepovinné, ale vyžaduje se název. Pravidlo můžete zapnout nebo vypnout pomocí zaškrtávacího políčka pod polem popisu.

Poznámka

Pole názvu a popisu nového pravidla oznámení přijímají pouze anglická písmena a číslice. Nepřijímají mezery, pomlčky, podtržítka ani žádnou jinou interpunkci.

Snímek obrazovky pro pojmenování se všemi vyplněnými poli a zaškrtnuté políčko Zapnout pravidlo

  1. Zvolte, o jaký druh sestav chcete dostávat oznámení. Můžete si vybrat mezi aktualizací všech nově publikovaných nebo aktualizovaných sestav nebo jenom těch sestav, které mají určitou značku nebo typ.

Snímek obrazovky s oznámením s vybranými značkami Ransomware a rozevírací nabídkou pro otevřené typy

  1. Přidejte alespoň jednoho příjemce pro příjem e-mailů s oznámením. Na této obrazovce můžete také zkontrolovat, jak budou oznámení přijata, odesláním testovacího e-mailu.

Snímek obrazovky příjemců V seznamu jsou 3 příjemci a testovací e-mail byl odeslán, jak je uvedeno zeleným zaškrtnutím.

  1. Zkontrolujte nové pravidlo. Pokud chcete něco změnit, vyberte tlačítko Upravit na konci každého pododdílu. Po dokončení kontroly vyberte tlačítko Vytvořit pravidlo .

Snímek obrazovky s kontrolou Tlačítko pro úpravy je zvýrazněné červeně

  1. Blahopřejeme! Vaše nové pravidlo bylo úspěšně vytvořeno. Výběrem tlačítka Hotovo proces dokončete a zavřete informační rámeček.

Snímek obrazovky s vytvořeným pravidlem Úspěšně vytvořené pravidlo zobrazí zelené značky zaškrtnutí na bočním panelu a velkou zelenou kontrolu v hlavní oblasti obrazovky.

  1. Nové pravidlo se teď zobrazí v seznamu e-mailových oznámení analýzy hrozeb.

Snímek obrazovky se seznamem pravidel e-mailových oznámení na obrazovce Nastavení

Další podrobnosti a omezení sestavy

Poznámka

V rámci jednotného prostředí zabezpečení je teď analýza hrozeb dostupná nejen pro Microsoft Defender for Endpoint, ale také pro držitele licencí Microsoft Defenderu pro Office E5.

Pokud nepoužíváte portál zabezpečení Microsoft 365 (Microsoft 365 Defender), můžete na portálu Centrum zabezpečení v programu Microsoft Defender zobrazit také podrobnosti sestavy (bez dat programu Microsoft Defender for Office) ( Microsoft Defender for Endpoint).

Pro přístup k sestavám analýzy hrozeb potřebujete určité role a oprávnění. Podrobnosti najdete v tématu Vlastní role v řízení přístupu na základě role pro Microsoft 365 Defender.

  • Pokud chcete zobrazit výstrahy, incidenty nebo ovlivněná data prostředků, musíte mít oprávnění k programu Microsoft Defender pro Office nebo Microsoft Defender for Endpoint dat upozornění nebo obojího.
  • Pokud chcete zobrazit pokusy o e-maily, které jste zabránili, musíte mít oprávnění k programu Microsoft Defender pro Office data proaktivního vyhledávání.
  • Pokud chcete zobrazit zmírnění rizik, musíte mít oprávnění k Threat and Vulnerability Management dat v Microsoft Defender for Endpoint.

Při pohledu na data analýzy hrozeb si zapamatujte následující faktory:

  • Grafy odrážejí pouze sledovaná omezení rizik. Další omezení rizik, která se v grafech nezobrazují, najdete v přehledu sestavy.
  • Omezení rizik nezaručují úplnou odolnost. Poskytnutá omezení rizik odrážejí nejlepší možné akce potřebné ke zlepšení odolnosti.
  • Pokud zařízení nepřenesla data do služby, započítávají se jako nedostupná.
  • Statistiky související s antivirovým softwarem jsou založené na nastavení Antivirová ochrana v programu Microsoft Defender. Zařízení s antivirovými řešeními třetích stran se můžou zobrazovat jako "vystavená".