Śledzenie pojawiających się zagrożeń i reagowanie na nie za pomocą analizy zagrożeń
Dotyczy:
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Z bardziej zaawansowanych przeciwników i nowych zagrożeń pojawiających się często i powszechnie, ważne jest, aby móc szybko:
- Ocena wpływu nowych zagrożeń
- Przejrzyj odporność na zagrożenia lub narażenie na nie
- Identyfikowanie akcji, które można podjąć w celu zatrzymania lub ograniczenia zagrożeń
Analiza zagrożeń to zestaw raportów ekspertów badaczy zabezpieczeń firmy Microsoft obejmujących najbardziej istotne zagrożenia, w tym:
- Aktywni aktorzy zagrożeń i ich kampanie
- Popularne i nowe techniki ataków
- Krytyczne luki w zabezpieczeniach
- Typowe powierzchnie ataków
- Powszechnie stosowane złośliwe oprogramowanie
Każdy raport zawiera szczegółową analizę zagrożenia i obszerne wskazówki dotyczące sposobu obrony przed tym zagrożeniem. Obejmuje ona również dane z sieci, wskazujące, czy zagrożenie jest aktywne i czy masz odpowiednie zabezpieczenia.
Obejrzyj ten krótki film wideo, aby dowiedzieć się więcej o tym, jak analiza zagrożeń może pomóc w śledzeniu najnowszych zagrożeń i ich zatrzymywaniu.
Wymagane role i uprawnienia
W poniższej tabeli przedstawiono role i uprawnienia wymagane do uzyskania dostępu do usługi Threat Analytics. Role zdefiniowane w poniższej tabeli odwołują się do ról niestandardowych w poszczególnych portalach i nie są połączone z rolami globalnymi w Tożsamość Microsoft Entra, nawet jeśli mają podobną nazwę.
Jedna z następujących ról jest wymagana dla Microsoft Defender XDR | Jedna z następujących ról jest wymagana dla usługi Defender for Endpoint | Jedna z następujących ról jest wymagana dla Ochrona usługi Office 365 w usłudze Defender | Jedna z następujących ról jest wymagana dla usługi Defender for Cloud Apps |
---|---|---|---|
Analiza zagrożeń | Dane alertów i zdarzeń:
|
Dane alertów i zdarzeń:
|
Niedostępne dla użytkowników usługi Defender for Cloud Apps lub MDI |
Wyświetlanie pulpitu nawigacyjnego analizy zagrożeń
Pulpit nawigacyjny analizy zagrożeń to doskonały punkt dostępu do raportów, które są najbardziej istotne dla Twojej organizacji. Zawiera podsumowanie zagrożeń w następujących sekcjach:
- Najnowsze zagrożenia: Listy ostatnio opublikowane raporty zagrożeń wraz z liczbą urządzeń z aktywnymi i rozwiązanymi alertami.
- Zagrożenia o dużym wpływie: Listy zagrożeń, które miały największy wpływ na organizację. W tej sekcji osadza zagrożenia według liczby urządzeń, które mają aktywne alerty.
- Podsumowanie zagrożeń: pokazuje ogólny wpływ śledzonych zagrożeń, pokazując liczbę zagrożeń z aktywnymi i rozwiązanymi alertami.
Wybierz zagrożenie na pulpicie nawigacyjnym, aby wyświetlić raport dla tego zagrożenia.
Wyświetlanie raportu analizy zagrożeń
Każdy raport analizy zagrożeń zawiera informacje w trzech sekcjach: Przegląd, Raport analityka i Środki zaradcze.
Omówienie: szybkie zrozumienie zagrożenia, ocena jego wpływu i przegląd zabezpieczeń
Sekcja Przegląd zawiera podgląd szczegółowego raportu analityka. Zawiera również wykresy, które wyróżniają wpływ zagrożenia dla organizacji i narażenia na nieskonfigurowane i nieprzypisane urządzenia.
— omówienie raportu analizy zagrożeń
Ocena wpływu na organizację
Każdy raport zawiera wykresy przeznaczone do dostarczania informacji o organizacyjnym wpływie zagrożenia:
- Urządzenia z alertami: pokazuje bieżącą liczbę odrębnych urządzeń, na które miało wpływ zagrożenie. Urządzenie jest klasyfikowane jako aktywne , jeśli istnieje co najmniej jeden alert skojarzony z tym zagrożeniem i rozwiązane , jeśli wszystkie alerty skojarzone z zagrożeniem na urządzeniu zostały rozwiązane.
- Urządzenia z alertami w czasie: pokazuje liczbę odrębnych urządzeń z aktywnymi i rozwiązanymi alertami w czasie. Liczba rozwiązanych alertów wskazuje, jak szybko organizacja reaguje na alerty związane z zagrożeniem. Najlepiej, aby na wykresie były wyświetlane alerty rozwiązane w ciągu kilku dni.
Przegląd odporności i stanu zabezpieczeń
Każdy raport zawiera wykresy, które zawierają omówienie odporności organizacji na dane zagrożenie:
- Stan konfiguracji zabezpieczeń: pokazuje liczbę urządzeń, które zastosowały zalecane ustawienia zabezpieczeń, które mogą pomóc w wyeliminowaniu zagrożenia. Urządzenia są uznawane za bezpieczne , jeśli zastosowały wszystkie śledzone ustawienia.
- Stan stosowania poprawek luk w zabezpieczeniach: pokazuje liczbę urządzeń, które zastosowały aktualizacje zabezpieczeń lub poprawki, które eliminują luki w zabezpieczeniach wykorzystywane przez zagrożenie.
Raport analityków: uzyskiwanie szczegółowych informacji ekspertów od badaczy zabezpieczeń firmy Microsoft
Przejdź do sekcji Raport analityka , aby zapoznać się ze szczegółowym zapisem ekspertów. Większość raportów zawiera szczegółowe opisy łańcuchów ataków, w tym taktyki i techniki mapowane na strukturę mitre att&CK, wyczerpujące listy zaleceń i zaawansowane wskazówki dotyczące wyszukiwania zagrożeń .
Dowiedz się więcej o raporcie analityka
Środki zaradcze: przejrzyj listę środków zaradczych i stan urządzeń
W sekcji Środki zaradcze przejrzyj listę konkretnych zaleceń umożliwiających podjęcie działań, które mogą pomóc zwiększyć odporność organizacji na zagrożenie. Lista śledzonych środków zaradczych obejmuje:
- Aktualizacje zabezpieczeń: wdrażanie aktualizacji zabezpieczeń lub poprawek dla luk w zabezpieczeniach
- ustawienia programu antywirusowego Microsoft Defender
- Wersja analizy zabezpieczeń
- Ochrona dostarczana przez chmurę
- Ochrona potencjalnie niechcianej aplikacji (PUA)
- Ochrona w czasie rzeczywistym
Informacje o ograniczaniu ryzyka w tej sekcji zawierają dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, które zawierają również szczegółowe informacje szczegółowe z różnych linków w raporcie.
Sekcja Środki zaradcze raportu analizy zagrożeń
Dodatkowe szczegóły raportu i ograniczenia
Podczas korzystania z raportów należy pamiętać o następujących kwestiach:
- Zakres danych zależy od zakresu kontroli dostępu opartej na rolach (RBAC). Stan urządzeń zostanie wyświetlony w grupach, do których można uzyskać dostęp.
- Wykresy odzwierciedlają tylko śledzone środki zaradcze. Sprawdź omówienie raportu, aby uzyskać dodatkowe środki zaradcze, które nie są wyświetlane na wykresach.
- Środki zaradcze nie gwarantują całkowitej odporności. Podane środki zaradcze odzwierciedlają najlepsze możliwe działania potrzebne do zwiększenia odporności.
- Urządzenia są liczone jako "niedostępne", jeśli nie przesłały danych do usługi.
- Statystyki związane z programem antywirusowym są oparte na ustawieniach programu antywirusowego Microsoft Defender. Urządzenia z rozwiązaniami antywirusowymi innych firm mogą być wyświetlane jako "uwidocznione".
Tematy pokrewne
- Proaktywne znajdowanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń
- Omówienie sekcji raportu analityka
- Ocena i rozwiązywanie problemów ze słabościami i ekspozycjami w zakresie zabezpieczeń
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla