Śledzenie pojawiających się zagrożeń i reagowanie na nie za pomocą analizy zagrożeń

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Z bardziej zaawansowanych przeciwników i nowych zagrożeń pojawiających się często i powszechnie, ważne jest, aby móc szybko:

• Ocena wpływu nowych zagrożeń
• Przejrzyj odporność na zagrożenia lub narażenie na nie
• Identyfikowanie akcji, które można podjąć w celu zatrzymania lub ograniczenia zagrożeń

Analiza zagrożeń to zestaw raportów ekspertów badaczy zabezpieczeń firmy Microsoft obejmujących najbardziej istotne zagrożenia, w tym:

• Aktywni aktorzy zagrożeń i ich kampanie
• Popularne i nowe techniki ataków
• Krytyczne luki w zabezpieczeniach
• Typowe powierzchnie ataków
• Powszechnie stosowane złośliwe oprogramowanie

Każdy raport zawiera szczegółową analizę zagrożenia i obszerne wskazówki dotyczące sposobu obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazujące, czy zagrożenie jest aktywne i czy masz odpowiednie zabezpieczenia.

Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o tym, jak analiza zagrożeń może pomóc w śledzeniu najnowszych zagrożeń i ich zatrzymywaniu.

Wymagane role i uprawnienia

W poniższej tabeli przedstawiono role i uprawnienia wymagane do uzyskania dostępu do usługi Threat Analytics. Role zdefiniowane w poniższej tabeli odwołują się do ról niestandardowych w poszczególnych portalach i nie są połączone z rolami globalnymi w Tożsamość Microsoft Entra, nawet jeśli mają podobną nazwę.

Jedna z następujących ról jest wymagana dla Microsoft Defender XDR	Jedna z następujących ról jest wymagana dla usługi Defender for Endpoint	Jedna z następujących ról jest wymagana dla Ochrona usługi Office 365 w usłudze Defender	Jedna z następujących ról jest wymagana dla usługi Defender for Cloud Apps
Analiza zagrożeń	Dane alertów i zdarzeń: Wyświetlanie danych — operacje zabezpieczeń Środki zaradcze usługi Defender Vulnerability Management: Wyświetlanie danych — zarządzanie zagrożeniami i lukami w zabezpieczeniach	Dane alertów i zdarzeń: Alerty zarządzania tylko do wyświetlania Zarządzaj alertami Konfiguracja organizacji Dzienniki inspekcji Dzienniki inspekcji tylko do wyświetlania Czytelnik zabezpieczeń Administrator zabezpieczeń Adresaci tylko do wyświetlania Uniemożliwiono próby wysłania wiadomości e-mail: Czytelnik zabezpieczeń Administrator zabezpieczeń Adresaci tylko do wyświetlania	Niedostępne dla użytkowników usługi Defender for Cloud Apps lub MDI

Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń

Pulpit nawigacyjny analizy zagrożeń to doskonały punkt dostępu do raportów, które są najbardziej istotne dla Twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:

• Najnowsze zagrożenia: Listy ostatnio opublikowane raporty zagrożeń wraz z liczbą urządzeń z aktywnymi i rozwiązanymi alertami.
• Zagrożenia o dużym wpływie: Listy zagrożeń, które miały największy wpływ na organizację. W tej sekcji osadza zagrożenia według liczby urządzeń, które mają aktywne alerty.
• Podsumowanie zagrożeń: pokazuje ogólny wpływ śledzonych zagrożeń, pokazując liczbę zagrożeń z aktywnymi i rozwiązanymi alertami.

Wybierz zagrożenie na pulpicie nawigacyjnym, aby wyświetlić raport dla tego zagrożenia.

Wyświetlanie raportu analizy zagrożeń

Każdy raport analizy zagrożeń zawiera informacje w trzech sekcjach: Przegląd, Raport analityka i Środki zaradcze.

Omówienie: szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd zabezpieczeń

Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które wyróżniają wpływ zagrożenia dla organizacji i narażenia na nieskonfigurowane i nieprzypisane urządzenia.

— omówienie raportu analizy zagrożeń

Ocena wpływu na organizację

Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o organizacyjnym wpływie zagrożenia:

• Urządzenia z alertami: pokazuje bieżącą liczbę odrębnych urządzeń, na które miało wpływ zagrożenie. Urządzenie jest klasyfikowane jako aktywne , jeśli istnieje co najmniej jeden alert skojarzony z tym zagrożeniem i rozwiązane , jeśli wszystkie alerty skojarzone z zagrożeniem na urządzeniu zostały rozwiązane.
• Urządzenia z alertami w czasie: pokazuje liczbę odrębnych urządzeń z aktywnymi i rozwiązanymi alertami w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty związane z zagrożeniem. Najlepiej, aby na wykresie były wyświetlane alerty rozwiązane w ciągu kilku dni.

Przegląd odporności i stanu zabezpieczeń

Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:

• Stan konfiguracji zabezpieczeń: pokazuje liczbę urządzeń, które zastosowały zalecane ustawienia zabezpieczeń, które mogą pomóc w wyeliminowaniu zagrożenia. Urządzenia są uznawane za bezpieczne , jeśli zastosowały wszystkie śledzone ustawienia.
• Stan stosowania poprawek luk w zabezpieczeniach: pokazuje liczbę urządzeń, które zastosowały aktualizacje zabezpieczeń lub poprawki, które eliminują luki w zabezpieczeniach wykorzystywane przez zagrożenie.

Raport analityków: uzyskiwanie szczegółowych informacji ekspertów od badaczy zabezpieczeń firmy Microsoft

Przejdź do sekcji Raport analityka , aby zapoznać się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktyki i techniki mapowane na strukturę mitre att&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń .

Dowiedz się więcej o raporcie analityka

Środki zaradcze: przejrzyj listę środków zaradczych i stan urządzeń

W sekcji Środki zaradcze przejrzyj listę konkretnych zaleceń umożliwiających podjęcie działań, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje:

• Aktualizacje zabezpieczeń: wdrażanie aktualizacji zabezpieczeń lub poprawek dla luk w zabezpieczeniach
• ustawienia programu antywirusowego Microsoft Defender
  • Wersja analizy zabezpieczeń
  • Ochrona dostarczana przez chmurę
  • Ochrona potencjalnie niechcianej aplikacji (PUA)
  • Ochrona w czasie rzeczywistym

Informacje o ograniczaniu ryzyka w tej sekcji zawierają dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, które zawierają również szczegółowe informacje szczegółowe z różnych linków w raporcie.

Sekcja Środki zaradcze raportu analizy zagrożeń

Dodatkowe szczegóły raportu i ograniczenia

Podczas korzystania z raportów należy pamiętać o następujących kwestiach:

• Zakres danych zależy od zakresu kontroli dostępu opartej na rolach (RBAC). Stan urządzeń zostanie wyświetlony w grupach, do których można uzyskać dostęp.
• Wykresy odzwierciedlają tylko śledzone środki zaradcze. Sprawdź omówienie raportu, aby uzyskać dodatkowe środki zaradcze, które nie są wyświetlane na wykresach.
• Środki zaradcze nie gwarantują całkowitej odporności. Podane środki zaradcze odzwierciedlają najlepsze możliwe działania potrzebne do zwiększenia odporności.
• Urządzenia są liczone jako "niedostępne", jeśli nie przesłały danych do usługi.
• Statystyki związane z programem antywirusowym są oparte na ustawieniach programu antywirusowego Microsoft Defender. Urządzenia z rozwiązaniami antywirusowymi innych firm mogą być wyświetlane jako "uwidocznione".

Tematy pokrewne

• Proaktywne znajdowanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń
• Omówienie sekcji raportu analityka
• Ocena i rozwiązywanie problemów ze słabościami i ekspozycjami w zakresie zabezpieczeń

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.