Общие сведения об аналитическом отчете по аналитике угроз в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Каждый отчет по аналитике угроз включает динамические разделы и полный письменный раздел, называемый аналитическим отчетом. Чтобы открыть этот раздел, откройте отчет о отслеживаемой угрозе и перейдите на вкладку Отчет аналитика .
Раздел отчета аналитики в отчете об аналитике угроз
Сканирование отчета аналитика
Каждый раздел аналитического отчета предназначен для предоставления практических сведений. Хотя отчеты различаются, большинство отчетов включают разделы, описанные в следующей таблице.
| Раздел отчета | Описание |
|---|---|
| Сводка для руководства | Общие сведения об угрозе, в том числе о том, когда она была впервые замечена, ее мотивы, важные события, основные цели, а также различные инструменты и методы. Эти сведения можно использовать для дальнейшей оценки того, как определить приоритеты угрозы в контексте отрасли, географического расположения и сети. |
| Анализ | Техническая информация об угрозах, включая сведения об атаке и о том, как злоумышленники могут использовать новый метод или область атаки |
| MitRE ATT&наблюдаемых методов CK | Сопоставление наблюдаемых методов с платформой атак MITRE ATT&CK |
| Устранение рисков | Рекомендации, которые могут остановить или помочь уменьшить влияние угрозы. В этом разделе также содержатся сведения о мерах по устранению рисков, которые не отслеживаются динамически в рамках отчета об аналитике угроз. |
| Сведения об обнаружении | Конкретные и универсальные обнаружения, предоставляемые решениями майкрософт для обеспечения безопасности, которые могут отображать действия или компоненты, связанные с угрозой. |
| Расширенная охота | Расширенные запросы охоты для упреждающего определения возможной активности угроз. Большинство запросов предоставляются в дополнение к обнаружению, особенно для обнаружения потенциально вредоносных компонентов или поведения, которые не могут быть динамически оценены как вредоносные. |
| Ссылки | Публикации Майкрософт и сторонних разработчиков, на которые ссылались аналитики во время создания отчета. Содержимое аналитики угроз основано на данных, проверенных исследователями Майкрософт. Информация из общедоступных сторонних источников четко определяется как таковая. |
| Журнал изменений | Время публикации отчета и время внесения в отчет существенных изменений. |
Применение дополнительных мер по устранению рисков
Аналитика угроз динамически отслеживает состояние обновлений для системы безопасности и безопасные конфигурации. Эти сведения доступны в виде диаграмм и таблиц на вкладке "Устранение рисков & воздействия ".
Помимо этих отслеживаемых мер по устранению рисков, в аналитическом отчете также рассматриваются способы устранения рисков, которые не отслеживаются динамически. Ниже приведены некоторые примеры важных мер по устранению рисков, которые не отслеживаются динамически.
- Блокировка сообщений электронной почты с помощью .lnk вложений или других подозрительных типов файлов
- Рандомизация паролей локального администратора
- Информирование пользователей о фишинговой электронной почте и других векторах угроз
- Включение определенных правил сокращения направлений атак
Хотя вы можете использовать вкладку Защита & для оценки состояния безопасности от угрозы, эти рекомендации позволяют предпринять дополнительные шаги по улучшению состояния безопасности. Внимательно прочитайте все рекомендации по устранению рисков в аналитическом отчете и применяйте их, когда это возможно.
Узнайте, как можно обнаружить каждую угрозу
Аналитический отчет также содержит сведения об обнаружении из Microsoft Defender возможностей антивирусной программы и обнаружения конечных точек (EDR).
Обнаружение антивирусной программы
Эти обнаружения доступны на устройствах с включенной антивирусной программой Microsoft Defender в Windows. Когда эти обнаружения происходят на устройствах, подключенных к Microsoft Defender для конечной точки, они также активируют оповещения, которые освещают диаграммы в отчете.
Примечание.
В аналитическом отчете также перечислены универсальные обнаружения , которые могут выявлять широкий спектр угроз, в дополнение к компонентам или поведению, характерным для отслеживаемой угрозы. Эти универсальные обнаружения не отражаются на диаграммах.
Оповещения об обнаружении и реагировании конечных точек (EDR)
Оповещения EDR создаются для устройств, подключенных к Microsoft Defender для конечной точки. Эти оповещения обычно используют сигналы безопасности, собранные датчиком Microsoft Defender для конечной точки, и другие возможности конечных точек, такие как антивирусная программа, защита сети, защита от незаконного копирования, которые служат мощными источниками сигнала.
Как и список обнаружений антивирусной программой, некоторые оповещения EDR предназначены для общего флага подозрительного поведения, которое может не быть связано с отслеживаемой угрозой. В таких случаях отчет четко определяет оповещение как "универсальное" и не влияет ни на какие диаграммы в отчете.
Обнаружение и устранение рисков, связанных с Email
Email обнаружения и устранения рисков, связанных с Microsoft Defender для Office 365, включаются в аналитические отчеты в дополнение к данным конечных точек, которые уже доступны из Microsoft Defender для конечной точки.
Сведения о предотвращении попыток по электронной почте дают вам представление о том, была ли ваша организация мишенью угрозы, устраненной в аналитическом отчете, даже если атака была фактически заблокирована перед доставкой или доставлена в папку нежелательной почты.
Поиск тонких артефактов угроз с помощью расширенной охоты
Хотя обнаружение позволяет обнаруживать и останавливать отслеживаемую угрозу автоматически, многие действия атаки оставляют незначительные следы, требующие дополнительной проверки. Некоторые действия атаки демонстрируют поведение, которое также может быть нормальным, поэтому динамическое их обнаружение может привести к операционному шуму или даже ложным срабатываниям.
Расширенная охота предоставляет интерфейс запросов на основе язык запросов Kusto, который упрощает поиск тонких индикаторов активности угроз. Он также позволяет отображать контекстную информацию и проверять, связаны ли индикаторы с угрозой.
Расширенные охотничьи запросы в аналитических отчетах были проверены аналитиками Майкрософт и готовы к выполнению в расширенном редакторе запросов охоты. Запросы также можно использовать для создания настраиваемых правил обнаружения , которые активируют оповещения для будущих совпадений.
Примечание.
Аналитика угроз также доступна в Microsoft Defender для конечной точки. Однако она не поддерживает интеграцию данных между Microsoft Defender для Office 365 и Microsoft Defender для конечной точки.
Статьи по теме
- Обзор аналитики угроз
- Упреждающее поиск угроз с помощью расширенной охоты
- Правила настраиваемого обнаружения
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по