Inzicht in het analistenrapport in bedreigingsanalyse in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Elk bedreigingsanalyserapport bevat dynamische secties en een uitgebreide, geschreven sectie met de naam het analistenrapport. Voor toegang tot deze sectie opent u het rapport over de bijgehouden bedreiging en selecteert u het tabblad Analistenrapport .
Sectie Analistenrapport van een bedreigingsanalyserapport
Het analistenrapport scannen
Elke sectie van het analistenrapport is ontworpen om bruikbare informatie te bieden. Hoewel rapporten variëren, bevatten de meeste rapporten de secties die in de volgende tabel worden beschreven.
| Rapportsectie | Omschrijving |
|---|---|
| Samenvatting | Overzicht van de bedreiging, inclusief wanneer deze voor het eerst werd gezien, de motivaties, opvallende gebeurtenissen, belangrijke doelen en afzonderlijke hulpprogramma's en technieken. U kunt deze informatie gebruiken om verder te beoordelen hoe u prioriteit kunt geven aan de bedreiging in de context van uw branche, geografische locatie en netwerk. |
| Analyse | Technische informatie over de bedreigingen, inclusief de details van een aanval en hoe aanvallers een nieuwe techniek of aanvalsoppervlak kunnen gebruiken |
| MITRE ATT&waargenomen CK-technieken | Hoe geobserveerde technieken worden toegewezen aan het MITRE ATT&CK-aanvalsframework |
| Oplossingen | Aanbevelingen die de impact van de bedreiging kunnen stoppen of helpen verminderen. Deze sectie bevat ook oplossingen die niet dynamisch worden bijgehouden als onderdeel van het bedreigingsanalyserapport. |
| Detectiedetails | Specifieke en algemene detecties van Microsoft-beveiligingsoplossingen die activiteiten of onderdelen kunnen weergeven die aan de bedreiging zijn gekoppeld. |
| Geavanceerd opsporen | Geavanceerde opsporingsquery's voor het proactief identificeren van mogelijke bedreigingsactiviteiten. De meeste query's worden aangeboden om detecties aan te vullen, met name voor het zoeken naar mogelijk schadelijke onderdelen of gedrag dat niet dynamisch als schadelijk kan worden beoordeeld. |
| Verwijzingen | Publicaties van Microsoft en derden waarnaar wordt verwezen door analisten tijdens het maken van het rapport. Inhoud van bedreigingsanalyse is gebaseerd op gegevens die zijn gevalideerd door Microsoft-onderzoekers. Informatie van openbaar beschikbare bronnen van derden wordt duidelijk als zodanig geïdentificeerd. |
| Wijzigingenlogboek | Het tijdstip waarop het rapport is gepubliceerd en wanneer er belangrijke wijzigingen in het rapport zijn aangebracht. |
Aanvullende oplossingen toepassen
Bedreigingsanalyse houdt dynamisch de status van beveiligingsupdates en beveiligde configuraties bij. Deze informatie is beschikbaar als grafieken en tabellen op het tabblad Risicobeperking voor blootstelling & .
Naast deze bijgehouden risicobeperkingen worden in het analistenrapport ook risicobeperkingen besproken die niet dynamisch worden bewaakt. Hier volgen enkele voorbeelden van belangrijke oplossingen die niet dynamisch worden bijgehouden:
- E-mailberichten blokkeren met .lnk bijlagen of andere verdachte bestandstypen
- Lokale beheerderswachtwoorden willekeurig maken
- Eindgebruikers informeren over phishing-e-mail en andere bedreigingsvectoren
- Specifieke regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen
Hoewel u het tabblad Risicobeperking & kunt gebruiken om uw beveiligingspostuur te beoordelen tegen een bedreiging, kunt u met deze aanbevelingen extra stappen ondernemen om uw beveiligingspostuur te verbeteren. Lees zorgvuldig alle richtlijnen voor risicobeperking in het analistenrapport en pas deze waar mogelijk toe.
Begrijpen hoe elke bedreiging kan worden gedetecteerd
Het analistenrapport bevat ook de detecties van Microsoft Defender mogelijkheden voor antivirus- en eindpuntdetectie en -respons (EDR).
Antivirusdetecties
Deze detecties zijn beschikbaar op apparaten waarop Microsoft Defender Antivirus in Windows is ingeschakeld. Wanneer deze detecties plaatsvinden op apparaten die zijn voorbereid op Microsoft Defender voor Eindpunt, activeren ze ook waarschuwingen die de grafieken in het rapport oplichten.
Opmerking
Het analistenrapport bevat ook algemene detecties die een breed scala aan bedreigingen kunnen identificeren, naast onderdelen of gedrag dat specifiek is voor de bijgehouden bedreiging. Deze algemene detecties worden niet weergegeven in de grafieken.
Waarschuwingen voor eindpuntdetectie en -respons (EDR)
EDR-waarschuwingen worden gegenereerd voor apparaten die zijn toegevoegd aan Microsoft Defender voor Eindpunt. Deze waarschuwingen zijn over het algemeen afhankelijk van beveiligingssignalen die worden verzameld door de Microsoft Defender voor Eindpunt sensor en andere eindpuntmogelijkheden, zoals antivirus, netwerkbeveiliging, manipulatiebeveiliging, die fungeren als krachtige signaalbronnen.
Net als de lijst met antivirusdetecties zijn sommige EDR-waarschuwingen ontworpen om verdacht gedrag dat mogelijk niet is gekoppeld aan de bijgehouden bedreiging algemeen te markeren. In dergelijke gevallen identificeert het rapport de waarschuwing duidelijk als 'algemeen' en dat deze geen van de grafieken in het rapport beïnvloedt.
aan Email gerelateerde detecties en oplossingen
Email gerelateerde detecties en risicobeperkingen van Microsoft Defender voor Office 365 zijn opgenomen in analistenrapporten, naast de eindpuntgegevens die al beschikbaar zijn vanuit Microsoft Defender voor Eindpunt.
Informatie over verhinderde e-mailpogingen geeft u inzicht in de vraag of uw organisatie het doelwit was van de bedreiging die in het analistenrapport is aangepakt, zelfs als de aanval effectief is geblokkeerd vóór de bezorging of is bezorgd in de map ongewenste e-mail.
Subtiele bedreigingsartefacten vinden met behulp van geavanceerde opsporing
Hoewel u met detecties de bijgehouden bedreiging automatisch kunt identificeren en stoppen, laten veel aanvalsactiviteiten subtiele sporen achter die extra inspectie vereisen. Sommige aanvalsactiviteiten vertonen gedrag dat ook normaal kan zijn, dus het dynamisch detecteren ervan kan leiden tot operationele ruis of zelfs fout-positieven.
Geavanceerde opsporing biedt een queryinterface op basis van Kusto-querytaal die het zoeken naar subtiele indicatoren van bedreigingsactiviteiten vereenvoudigt. U kunt hiermee ook contextuele informatie weergeven en controleren of indicatoren zijn verbonden met een bedreiging.
Geavanceerde opsporingsquery's in de analistenrapporten zijn door Microsoft-analisten gecontroleerd en kunnen worden uitgevoerd in de geavanceerde opsporingsquery-editor. U kunt de query's ook gebruiken om aangepaste detectieregels te maken die waarschuwingen voor toekomstige overeenkomsten activeren.
Opmerking
Bedreigingsanalyse is ook beschikbaar in Microsoft Defender voor Eindpunt. De gegevensintegratie tussen Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt is echter niet mogelijk.
Verwante onderwerpen
- Overzicht van dreigingsanalyse
- Proactief bedreigingen vinden met geavanceerde opsporing
- Aangepaste regels voor detectie
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor