A fenyegetések nyomon követése és az azokra való reagálás fenyegetéselemzéssel

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A kifinomultabb támadók és az új fenyegetések gyakran és elterjedten jelennek meg, ezért kritikus fontosságú, hogy gyorsan képes legyen:

  • Az új fenyegetések hatásának felmérése
  • A fenyegetések elleni vagy az azokkal szembeni ellenálló képesség áttekintése
  • Azonosítsa azokat a műveleteket, amelyeket a fenyegetések leállításához vagy elszigeteléséhez hajthat végre

A fenyegetéselemzés a Microsoft szakértői biztonsági kutatóinak jelentései, amelyek a legfontosabb fenyegetéseket fedik le, beleértve a következőket:

  • Aktív veszélyforrás-szereplők és kampányaik
  • Népszerű és új támadási technikák
  • Kritikus biztonsági rések
  • Gyakori támadási felületek
  • Elterjedt kártevők

Minden jelentés részletes elemzést nyújt a fenyegetésekről, és részletes útmutatást nyújt a fenyegetés elleni védekezéshez. Emellett a hálózatról származó adatokat is tartalmaz, amelyek jelzik, hogy a fenyegetés aktív-e, és hogy rendelkezik-e megfelelő védelemmel.

Ebből a rövid videóból megtudhatja, hogyan segíthet a fenyegetéselemzés a legújabb fenyegetések nyomon követésében és megállításában.

Szükséges szerepkörök és engedélyek

Az alábbi táblázat a Threat Analytics eléréséhez szükséges szerepköröket és engedélyeket ismerteti. Az alábbi táblázatban meghatározott szerepkörök az egyéni szerepkörökre vonatkoznak az egyes portálokon, és nem kapcsolódnak a globális szerepkörökhöz Microsoft Entra ID, még akkor sem, ha hasonló nevet adnak.

Az alábbi szerepkörök egyikére van szükség a Microsoft Defender XDR A végponthoz készült Defenderhez az alábbi szerepkörök egyikére van szükség Az alábbi szerepkörök egyikére van szükség a Office 365-höz készült Defender A Felhőhöz készült Defender-alkalmazásokhoz az alábbi szerepkörök egyikére van szükség
Threat Analytics Riasztások és incidensek adatai:
  • Adatbiztonsági műveletek megtekintése
A Defender biztonságirés-kezelési kockázatcsökkentései:
  • Adatok megtekintése – Fenyegetés- és biztonságirés-kezelés
 Riasztások és incidensek adatai:
  • Riasztások megtekintése csak megtekintéssel
  • Értesítések kezelése
  • Szervezeti konfiguráció
  • Auditnaplók
  • Csak az auditnaplók megtekintése
  • Biztonsági olvasó
  • Biztonsági rendszergazda
  • Csak megtekintési címzettek
Letiltott e-mail-kísérletek:
  • Biztonsági olvasó
  • Biztonsági rendszergazda
  • Csak megtekintési címzettek
 Nem érhető el a Defender for Cloud Apps vagy az MDI-felhasználók számára

A fenyegetéselemzési irányítópult megtekintése

A fenyegetéselemzési irányítópult nagyszerű kiindulópont a szervezet szempontjából legfontosabb jelentések eléréséhez. Az alábbi szakaszokban összefoglalja a fenyegetéseket:

  • Legújabb fenyegetések: Listák a legutóbb közzétett fenyegetésjelentéseket, valamint az aktív és megoldott riasztásokat tartalmazó eszközök számát.
  • Nagy hatású fenyegetések: Listák azokat a fenyegetéseket, amelyek a legnagyobb hatással voltak a szervezetre. Ez a szakasz az aktív riasztásokkal rendelkező eszközök száma alapján rangsorolja a fenyegetéseket.
  • Fenyegetés összefoglalása: A nyomon követett fenyegetések általános hatását mutatja az aktív és megoldott riasztásokkal rendelkező fenyegetések számának megjelenítésével.

Válasszon ki egy fenyegetést az irányítópultról a fenyegetés jelentésének megtekintéséhez.

A fenyegetéselemzés irányítópultja

Fenyegetéselemzési jelentés megtekintése

Minden fenyegetéselemzési jelentés három szakaszban nyújt információt: Áttekintés, Elemzői jelentés és Kockázatcsökkentések.

Áttekintés: A fenyegetés gyors megismerése, hatásának felmérése és a védelem áttekintése

Az Áttekintés szakasz a részletes elemzői jelentés előnézetét tartalmazza. Emellett diagramokat is tartalmaz, amelyek kiemelik a szervezetet fenyegető fenyegetés hatását, valamint a helytelenül konfigurált és nem engedélyezett eszközökön keresztüli kitettségét.

A fenyegetéselemzési jelentés Áttekintés szakaszaegy fenyegetéselemzési jelentés áttekintési szakaszában

A szervezetre gyakorolt hatás felmérése

Minden jelentés olyan diagramokat tartalmaz, amelyek a fenyegetések szervezeti hatásáról nyújtanak információkat:

  • Riasztásokkal rendelkező eszközök: A fenyegetés által érintett különböző eszközök aktuális számát jeleníti meg. Az eszközök akkor vannak aktívként kategorizálva, ha a fenyegetéshez legalább egy riasztás társítva van, és a Feloldva , ha az eszközön lévő fenyegetéshez társított összes riasztást megoldották.
  • Riasztásokkal rendelkező eszközök az idő függvényében: Az aktív és a feloldott riasztásokkal rendelkező különböző eszközök számát jeleníti meg az idő függvényében. A megoldott riasztások száma azt jelzi, hogy a szervezet milyen gyorsan reagál a fenyegetésekkel kapcsolatos riasztásokra. Ideális esetben a diagramon néhány napon belül feloldott riasztásoknak kell megjelennie.

Biztonsági rugalmasság és állapot áttekintése

Minden jelentés diagramokat tartalmaz, amelyek áttekintést nyújtanak arról, hogy a szervezet mennyire rugalmas egy adott fenyegetéssel szemben:

  • Biztonsági konfiguráció állapota: Azoknak az eszközöknek a számát jeleníti meg, amelyek az ajánlott biztonsági beállításokat alkalmazták, amelyek segíthetnek a fenyegetés elhárításában. Az eszközök akkor minősülnek Biztonságosnak , ha az összes követett beállítást alkalmazták.
  • Biztonságirés-javítás állapota: Megjeleníti azoknak az eszközöknek a számát, amelyek biztonsági frissítéseket vagy javításokat alkalmaztak a fenyegetés által kihasznált biztonsági rések kezelésére.

Elemzői jelentés: Szakértői megállapítások a Microsoft biztonsági kutatóitól

Nyissa meg az Elemzői jelentés szakaszt , és olvassa el a részletes szakértői felírást. A legtöbb jelentés részletes leírást ad a támadási láncokról, beleértve a MITRE ATT&CK-keretrendszerre leképezett taktikákat és technikákat, a javaslatok teljes listáját és a hatékony veszélyforrás-keresési útmutatót.

További információ az elemzői jelentésről

Kockázatcsökkentések: A kockázatcsökkentések listájának és az eszközök állapotának áttekintése

A Kockázatcsökkentés szakaszban tekintse át azoknak a konkrét végrehajtható javaslatoknak a listáját, amelyek segíthetnek a szervezet fenyegetésekkel szembeni rugalmasságának növelésében. A nyomon követett kockázatcsökkentések listája a következőket tartalmazza:

  • Biztonsági frissítések: Biztonsági frissítések vagy biztonsági rések javításai
  • Microsoft Defender víruskereső beállításai
    • Biztonságiintelligencia-verzió
    • Felhőben nyújtott védelem
    • Potenciálisan nemkívánatos alkalmazások (PUA) elleni védelem
    • Valós idejű védelem

Az ebben a szakaszban található kockázatcsökkentési információk Microsoft Defender biztonságirés-kezelés adatait tartalmazzák, amely részletes részletezési információkat is tartalmaz a jelentés különböző hivatkozásaiból.

Fenyegetéselemzési jelentés Kockázatcsökkentések szakasza

Fenyegetéselemzési jelentés Kockázatcsökkentések szakasza

A jelentés további részletei és korlátozásai

A jelentések használatakor tartsa szem előtt a következőket:

  • Az adatok hatóköre a szerepköralapú hozzáférés-vezérlés (RBAC) hatókörén alapul. Az elérhető csoportokban lévő eszközök állapotát láthatja.
  • A diagramok csak a nyomon követett kockázatcsökkentéseket tükrözik. Ellenőrizze a jelentés áttekintésében, hogy vannak-e olyan további kockázatcsökkentések, amelyek nem jelennek meg a diagramokon.
  • A kockázatcsökkentések nem garantálják a teljes rugalmasságot. A rendelkezésre álló kockázatcsökkentések a rugalmasság javításához szükséges lehető legjobb intézkedéseket tükrözik.
  • Az eszközök akkor minősülnek "nem elérhetőnek", ha nem továbbítottak adatokat a szolgáltatásnak.
  • A víruskeresővel kapcsolatos statisztikák Microsoft Defender víruskereső beállításain alapulnak. A külső víruskereső megoldásokkal rendelkező eszközök "közzétettként" jelenhetnek meg.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.