Trusselsanalyse i Microsoft Defender XDR

Gælder for:

• Microsoft Defender XDR

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Threat Analytics er vores løsning til trusselsintelligens i produktet fra ekspertforskere i Microsoft-sikkerhed. Den er designet til at hjælpe sikkerhedsteams med at være så effektive som muligt, mens de står over for nye trusler, f.eks.:

• Aktive trusselsaktører og deres kampagner
• Populære og nye angrebsteknikker
• Kritiske sikkerhedsrisici
• Almindelige angrebsoverflader
• Udbredt malware

Se denne korte video for at få mere at vide om, hvordan trusselsanalyser kan hjælpe dig med at spore de nyeste trusler og stoppe dem.

Du kan få adgang til trusselsanalyser enten fra øverste venstre side af Microsoft Defender XDR navigationslinje eller fra et dedikeret dashboardkort, der viser de største trusler mod din organisation, både med hensyn til kendt indvirkning og med hensyn til din eksponering.

Hvis du får synlighed på aktive eller igangværende kampagner, og du ved, hvad du skal gøre via trusselsanalyser, kan det hjælpe med at udstyre dit team med sikkerhedshandlinger med velunderbyggede beslutninger.

Med mere avancerede modstandere og nye trusler, der dukker op ofte og udbredt, er det vigtigt at kunne hurtigt:

• Identificer og reager på nye trusler
• Få mere at vide om, om du i øjeblikket er under angreb
• Vurder effekten af truslen mod dine aktiver
• Gennemse din robusthed mod eller eksponering for truslerne
• Identificer de afhjælpnings-, genoprettelses- eller forebyggelseshandlinger, du kan udføre for at stoppe eller indeholde truslerne

Hver rapport indeholder en analyse af en sporet trussel og omfattende vejledning i, hvordan man kan forsvare sig mod denne trussel. Den indeholder også data fra dit netværk, der angiver, om truslen er aktiv, og om du har gældende beskyttelse på plads.

Få vist dashboardet til trusselsanalyse

Dashboardet til trusselsanalyse (security.microsoft.com/threatanalytics3) fremhæver de rapporter, der er mest relevante for din organisation. Den opsummerer truslerne i følgende afsnit:

• Seneste trusler – viser de senest publicerede eller opdaterede trusselsrapporter sammen med antallet af aktive og løste beskeder.
• Trusler med stor indvirkning – viser de trusler, der har den største indvirkning på din organisation. I dette afsnit vises en liste over trusler med det højeste antal aktive og løste beskeder først.
• Højeste eksponering – viser trusler, som din organisation har den højeste eksponering over for. Dit eksponeringsniveau for en trussel beregnes ved hjælp af to oplysninger: hvor alvorlige sårbarheder, der er knyttet til truslen, og hvor mange enheder i organisationen der kan udnyttes af disse sikkerhedsrisici.

Vælg en trussel fra dashboardet for at få vist rapporten for den pågældende trussel. Du kan også vælge feltet Søg til nøgle i et nøgleord, der er relateret til den trusselsanalyserapport, du vil læse.

Få vist rapporter efter kategori

Du kan filtrere listen over trusselsrapporter og få vist de mest relevante rapporter i henhold til en bestemt trusselstype eller efter rapporttype.

• Trusselstags – hjælper dig med at få vist de mest relevante rapporter i henhold til en bestemt trusselskategori. Ransomware-tagget inkluderer f.eks. alle rapporter, der er relateret til ransomware.
• Rapporttyper – hjælper dig med at få vist de mest relevante rapporter i henhold til en bestemt rapporttype. Tagget Værktøjer & teknikker omfatter f.eks. alle rapporter, der dækker værktøjer og teknikker.

De forskellige mærker har tilsvarende filtre, der hjælper dig med effektivt at gennemse listen over trusselsrapporter og filtrere visningen baseret på en bestemt trusselskode eller rapporttype. For eksempel for at få vist alle trusselsrapporter relateret til ransomware-kategori eller trusselsrapporter, der involverer sårbarheder.

Microsoft Threat Intelligence-teamet har føjet trusselskoder til hver trusselsrapport. Der er i øjeblikket fire trusselskoder tilgængelige:

• Ransomware
• Phishing
• Sikkerhedsrisici
• Aktivitetsgruppe

Trusselstags vises øverst på siden til trusselsanalyse. Der er tællere for antallet af tilgængelige rapporter under hvert mærke.

Hvis du vil angive de typer rapporter, du vil have på listen, skal du vælge Filtre, vælge på listen og vælge Anvend.

Hvis du har angivet mere end ét filter, kan listen over rapporter over trusselsanalyse også sorteres efter trusselsmærke ved at vælge kolonnen trusselskoder:

Få vist en rapport over trusselsanalyse

Hver rapport til trusselsanalyse indeholder oplysninger i flere afsnit:

• Oversigt
• Analytikerrapport
• Relaterede hændelser
• Påvirkede aktiver
• Forhindrede mailforsøg
• Eksponering & afhjælpninger

Oversigt: Forstå hurtigt truslen, vurder dens virkning og gennemgå forsvar

Afsnittet Oversigt indeholder et eksempel på den detaljerede analytikerrapport. Den indeholder også diagrammer, der fremhæver virkningen af truslen mod din organisation og din eksponering via forkert konfigurerede og ikke-kompatible enheder.

Vurder indvirkningen på din organisation

Hver rapport indeholder diagrammer, der er designet til at give oplysninger om en trussels organisatoriske indvirkning:

• Relaterede hændelser – giver et overblik over virkningen af den sporede trussel for din organisation med følgende data:
  • Antal aktive beskeder og antallet af aktive hændelser, de er knyttet til
  • Alvorsgrad af aktive hændelser
• Beskeder over tid – viser antallet af relaterede aktive og løste beskeder over tid. Antallet af løste beskeder angiver, hvor hurtigt din organisation reagerer på beskeder, der er knyttet til en trussel. Ideelt set skal diagrammet vise beskeder, der er løst inden for nogle få dage.
• Påvirkede aktiver – viser antallet af forskellige enheder og mailkonti (postkasser), der i øjeblikket har mindst én aktiv besked tilknyttet den sporede trussel. Beskeder udløses for postkasser, der har modtaget trusselsmails. Gennemse politikker på både organisations- og brugerniveau for tilsidesættelser, der forårsager levering af trusselsmails.
• Forhindrede forsøg på mail – viser antallet af mails fra de seneste syv dage, der enten blev blokeret før levering eller leveret til mappen uønsket mail.

Gennemse robusthed og arbejdsholdning for sikkerhed

Hver rapport indeholder diagrammer, der giver et overblik over, hvor robust din organisation er mod en given trussel:

• Status for sikker konfiguration – viser antallet af enheder med forkert konfigurerede sikkerhedsindstillinger. Anvend de anbefalede sikkerhedsindstillinger for at afhjælpe truslen. Enheder betragtes som sikre , hvis de har anvendt alle de sporede indstillinger.
• Status for programrettelse af sårbarheder – viser antallet af sårbare enheder. Anvend sikkerhedsopdateringer eller programrettelser for at løse sårbarheder, der udnyttes af truslen.

Analytikerrapport: Få ekspertindsigt fra Microsofts sikkerhedsforskere

I afsnittet Analytikerrapport kan du læse den detaljerede ekspertudskrivning. De fleste rapporter indeholder detaljerede beskrivelser af angrebskæder, herunder taktikker og teknikker, der er knyttet til MITRE ATT-&CK-strukturen, udtømmende lister over anbefalinger og effektiv vejledning til trusselsjagt .

Få mere at vide om analytikerrapporten

Relaterede hændelser: Få vist og administrer relaterede hændelser

Fanen Relaterede hændelser indeholder en liste over alle hændelser, der er relateret til den sporede trussel. Du kan tildele hændelser eller administrere beskeder, der er knyttet til hver hændelse.

Påvirkede aktiver: Hent en liste over berørte enheder og postkasser

Et aktiv anses for at være påvirket, hvis det påvirkes af en aktiv, uløst besked. Under fanen Påvirkede aktiver vises følgende typer af påvirkede aktiver:

• Påvirkede enheder – slutpunkter, der har uløste Microsoft Defender for Endpoint beskeder. Disse beskeder udløses typisk ved observationer af kendte trusselsindikatorer og -aktiviteter.
• Påvirkede postkasser – postkasser, der har modtaget mails, der er udløst Microsoft Defender for Office 365 beskeder. Selvom de fleste meddelelser, der udløser beskeder, typisk er blokeret, kan politikker på bruger- eller organisationsniveau tilsidesætte filtre.

Forhindrede mailforsøg: Få vist blokerede eller uønsket trusselsmails

Microsoft Defender for Office 365 blokerer typisk mails med kendte trusselsindikatorer, herunder skadelige links eller vedhæftede filer. I nogle tilfælde sender proaktive filtreringsmekanismer, der søger efter mistænkeligt indhold, i stedet trusselsmails til mappen med uønsket mail. I begge tilfælde reduceres chancerne for, at truslen lancerer malwarekode på enheden.

Fanen Forhindrede mailforsøg viser alle de mails, der enten er blevet blokeret før levering eller sendt til mappen med uønsket mail af Microsoft Defender for Office 365.

Eksponering og afhjælpninger: Gennemse listen over afhjælpninger og status for dine enheder

I afsnittet Eksponering & afhjælpninger skal du gennemse listen over specifikke anbefalinger, der kan handles på, som kan hjælpe dig med at øge din organisations robusthed mod truslen. Listen over sporede afhjælpninger omfatter:

• Sikkerhedsopdateringer – installation af understøttede softwaresikkerhedsopdateringer for sikkerhedsrisici, der findes på onboardede enheder
• Understøttede sikkerhedskonfigurationer
  • Skybaseret beskyttelse
  • Potentielt uønsket programbeskyttelse (PUA)
  • Beskyttelse i realtid

Afhjælpningsoplysninger i dette afsnit indeholder data fra Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender, som også indeholder detaljerede oplysninger om detailudledning fra forskellige links i rapporten.

Afsnittet Eksponering & afhjælpninger i en rapport til trusselsanalyse

Konfigurer mailmeddelelser for rapportopdateringer

Du kan konfigurere mailmeddelelser, der sender dig opdateringer om trusselsanalyserapporter. Hvis du vil oprette mailmeddelelser, skal du følge trinnene i Hent mailmeddelelser for Threat-analyseopdateringer i Microsoft Defender XDR.

Yderligere rapportoplysninger og -begrænsninger

Bemærk!

Som en del af den samlede sikkerhedsoplevelse er trusselsanalyser nu ikke kun tilgængelige for Microsoft Defender for Endpoint, men også for Microsoft Defender for Office 365 licensindehavere.

Hvis du ikke bruger Microsoft 365-sikkerhedsportalen (Microsoft Defender XDR), kan du også se rapportoplysningerne (uden Microsoft Defender til Office-data) på Microsoft Defender Security Center-portalen ( Microsoft Defender for Endpoint).

Hvis du vil have adgang til rapporter over trusselsanalyser, skal du have visse roller og tilladelser. Se Brugerdefinerede roller i rollebaseret adgangskontrol for at få Microsoft Defender XDR for at få flere oplysninger.

• Hvis du vil have vist data om beskeder, hændelser eller påvirkede aktiver, skal du have tilladelser til at Microsoft Defender til Office- eller Microsoft Defender for Endpoint-beskeddata eller begge dele.
• Hvis du vil have vist forhindrede mailforsøg, skal du have tilladelse til at Microsoft Defender til Office-jagtdata.
• Hvis du vil have vist afhjælpninger, skal du have tilladelser til Defender Vulnerability Management-data i Microsoft Defender for Endpoint.

Når du ser på dataene til trusselsanalyse, skal du huske følgende faktorer:

• Diagrammer afspejler kun afhjælpninger, der spores. Se rapportens oversigt for yderligere afhjælpninger, der ikke vises i diagrammerne.
• Afhjælpninger garanterer ikke fuldstændig robusthed. De angivne afhjælpninger afspejler de bedst mulige handlinger, der er nødvendige for at forbedre robusthed.
• Enheder tælles som "utilgængelige", hvis de ikke har sendt data til tjenesten.
• Antivirusrelaterede statistikker er baseret på Microsoft Defender Antivirus-indstillinger. Enheder med antivirusløsninger fra tredjepart kan vises som "eksponeret".

Relaterede artikler

• Find proaktivt trusler med avanceret jagt
• Forstå afsnittet om analytikerrapport
• Vurder og løs sikkerhedsmæssige svagheder og eksponeringer

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.