Аналитика угроз в Microsoft 365 Defender

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Аналитика угроз — это наше решение для анализа угроз в продукте от экспертных исследователей по безопасности Майкрософт. Он предназначен для обеспечения максимальной эффективности групп безопасности при обнаружении новых угроз, таких как:

  • Активные субъекты угроз и их кампании
  • Популярные и новые методы атак
  • Критические уязвимости
  • Распространенные направления атак.
  • Распространенные вредоносные программы.

Просмотрите это короткое видео, чтобы узнать больше о том, как аналитика угроз может помочь вам отслеживать последние угрозы и останавливать их.

Вы можете получить доступ к аналитике угроз в верхней левой части панели навигации портала безопасности Microsoft 365 или на выделенной карточке панели мониторинга, на которой показаны основные угрозы для вашей организации как с точки зрения влияния, так и с точки зрения уязвимости.

Целевая страница аналитики угроз

Угрозы с высоким уровнем влияния имеют наибольший риск нанести вред, в то время как угрозы с высоким уровнем уязвимости являются наиболее уязвимыми для ваших ресурсов. Получение сведений об активных или текущих кампаниях и знание действий с помощью аналитики угроз может помочь вашей команде по обеспечению безопасности принимать обоснованные решения.

Где получить доступ к аналитике угроз

Благодаря более сложным злоумышленникам и новым угрозам, возникающим часто и чаще, крайне важно иметь возможность быстро:

  • Выявление новых угроз и реагирование на них
  • Сведения о том, находится ли вы в данный момент под угрозой
  • Оценка влияния угрозы на ресурсы
  • Проверка устойчивости к угрозам или уязвимости к этим угрозам
  • Определите действия по устранению, восстановлению или предотвращению угроз, которые можно выполнить для остановки или хранения угроз.

Каждый отчет содержит анализ отслеживаемой угрозы и подробные рекомендации по защите от этой угрозы. Он также включает данные из сети, указывающие, активна ли угроза и есть ли у вас применимые средства защиты.

Просмотр панели мониторинга аналитики угроз

Панель мониторинга аналитики угроз (security.microsoft.com/threatanalytics3) выделяет отчеты, наиболее релевантные для вашей организации. В нем перечислены угрозы в следующих разделах:

  • Последние угрозы — список последних опубликованных или обновленных отчетов об угрозах, а также количество активных и разрешенных оповещений.
  • Угрозы с высоким уровнем влияния — список угроз, которые имеют наибольшее влияние на вашу организацию. В этом разделе перечислены угрозы с наибольшим количеством активных и разрешенных оповещений.
  • Самый высокий уровень уязвимости — в первую очередь перечислены угрозы с самым высоким уровнем уязвимости. Уровень уязвимости угрозы вычисляется с помощью двух частей информации: насколько серьезны уязвимости, связанные с угрозой, и сколько устройств в вашей организации может быть использовано этими уязвимостями.

Выберите угрозу на панели мониторинга, чтобы просмотреть отчет об этой угрозе.

Панель мониторинга аналитики угроз

Панель мониторинга аналитики угроз. Вы также можете выбрать поле поиска для ключа в ключевом слове, связанном с отчетом аналитики угроз, который вы хотите прочитать.

Просмотр отчета аналитики угроз

Каждый отчет аналитики угроз содержит сведения в нескольких разделах:

Обзор: быстрое понимание угрозы, оценка ее влияния и проверка защиты

В разделе " Обзор" представлена предварительная версия подробного аналитического отчета. Он также содержит диаграммы, которые выделяют влияние угрозы на вашу организацию, а также на вашу уязвимость с помощью неправильно настроенных и неподдергленных устройств.

Обзорный раздел отчета аналитики угроз

Раздел "Обзор" отчета аналитики угроз

Оценка влияния на организацию

Каждый отчет содержит диаграммы, предназначенные для предоставления сведений о влиянии угрозы в организации.

  • Связанные инциденты — общие сведения о влиянии отслеживаемой угрозы на вашу организацию с помощью следующих данных:
    • Количество активных оповещений и количество связанных с ними активных инцидентов
    • Серьезность активных инцидентов
  • Оповещения со временем — количество связанных активных и разрешенных оповещений за период времени. Количество разрешенных оповещений указывает, насколько быстро ваша организация реагирует на оповещения, связанные с угрозой. В идеале на диаграмме должны отображаться оповещения, разрешенные в течение нескольких дней.
  • Затронутые ресурсы — показывает количество различных устройств и учетных записей электронной почты (почтовых ящиков), которые в настоящее время имеют по крайней мере одно активное оповещение, связанное с отслеживаемой угрозой. Оповещения активируются для почтовых ящиков, которые получили сообщения об угрозах. Проверьте политики уровня организации и пользователя на наличие переопределений, которые приводят к доставке сообщений электронной почты об угрозах.
  • Предотвращение попыток отправки электронной почты — количество сообщений электронной почты за последние семь дней, которые были заблокированы перед доставкой или доставлены в папку нежелательной почты.

Проверка устойчивости и состояния безопасности

Каждый отчет содержит диаграммы, которые содержат общие сведения о том, насколько устойчива ваша организация к заданной угрозе:

  • Состояние безопасной конфигурации — количество устройств с неправильно настроенными параметрами безопасности. Примените рекомендуемые параметры безопасности для устранения угрозы. Устройства считаются безопасными , если они применили все отслеживаемые параметры.
  • Состояние исправления уязвимостей — количество уязвимых устройств. Применение обновлений или исправлений системы безопасности для устранения уязвимостей, используемых угрозой.

Просмотр отчетов по тегам угроз

Вы можете отфильтровать список отчетов об угрозах и просмотреть наиболее релевантные отчеты в соответствии с определенным тегом угрозы (категорией) или типом отчета.

  • Теги угроз помогают просматривать наиболее релевантные отчеты в соответствии с определенной категорией угроз. Например, все отчеты, связанные с программой-шантажистами.
  • Типы отчетов помогают просматривать наиболее релевантные отчеты в соответствии с конкретным типом отчета. Например, все отчеты, охватывающие средства и методы.
  • Фильтры помогают эффективно просматривать список отчетов об угрозах и фильтровать представление на основе определенного тега угрозы или типа отчета. Например, просмотрите все отчеты об угрозах, связанные с категорией программ-шантажистов, или отчеты об угрозах, которые охватывают уязвимости.
Как это работает?

Команда Microsoft Threat Intelligence добавила теги угроз в каждый отчет об угрозах:

  • Теперь доступны четыре тега угроз:

    • Программа-шантажист
    • Фишинг
    • Уязвимость
    • Группа действий
  • Теги угроз отображаются в верхней части страницы аналитики угроз. В каждом теге есть счетчики для количества доступных отчетов.

    Теги угроз

  • Список также можно отсортировать по тегам угроз:

    Раздел "Теги угроз"

  • Фильтры доступны для каждого тега угрозы и типа отчета:

    Страница "Фильтры"

Аналитический отчет: получение аналитических сведений экспертов от исследователей по безопасности Майкрософт

В разделе "Аналитический отчет " ознакомьтесь с подробной документацией экспертов. Большинство отчетов содержат подробное описание цепочек атак, включая тактику и методы, сопоставленные с платформой MITRE ATT&CK, исчерпывающие списки рекомендаций и эффективные рекомендации по охоте на угрозы.

Дополнительные сведения об отчете аналитика

На вкладке "Связанные инциденты " представлен список всех инцидентов, связанных с отслеживаемой угрозой. Вы можете назначать инциденты или управлять оповещениями, связанными с каждым инцидентом.

Раздел связанных инцидентов отчета аналитики угроз

Раздел "Связанные инциденты" отчета аналитики угроз

Затронутые ресурсы: получение списка затронутых устройств и почтовых ящиков

Ресурс считается затронутым, если на него влияет активное неразрешенное оповещение. На вкладке "Затронутые ресурсы " перечислены следующие типы затронутых ресурсов:

  • Затронутые устройства — конечные точки с неразрешенных Microsoft Defender для конечной точки оповещений. Эти оповещения обычно срабатывает при обнаружении известных индикаторов угроз и действий.
  • Затронутые почтовые ящики — почтовые ящики, которые получили сообщения электронной почты, которые Microsoft Defender для Office 365 оповещения. Хотя большинство сообщений, которые активируют оповещения, обычно блокируются, политики уровня пользователя или организации могут переопределять фильтры.

Раздел затронутых ресурсов отчета аналитики угроз

Раздел "Затронутые ресурсы" отчета аналитики угроз

Предотвращение попыток электронной почты: просмотр заблокированных или нежелательных сообщений электронной почты с угрозами

Microsoft Defender для Office 365 блокируются сообщения электронной почты с известными индикаторами угроз, включая вредоносные ссылки или вложения. В некоторых случаях упреждающие механизмы фильтрации, которые проверяют наличие подозрительного содержимого, вместо этого отправляют сообщения электронной почты об угрозах в папку нежелательной почты. В любом случае вероятность того, что на устройстве будет запускать вредоносный код, снижается.

На вкладке " Запрещенные попытки электронной почты" перечислены все сообщения, которые были заблокированы перед доставкой или отправлены в папку нежелательной почты Microsoft Defender для Office 365.

Раздел "Предотвращение попыток электронной почты" отчета аналитики угроз

Раздел "Предотвращение попыток электронной почты" отчета аналитики угроз

Экспозиция и способы устранения рисков: просмотрите список мер защиты и состояние устройств

В разделе & рисков уязвимости просмотрите список конкретных практических рекомендаций, которые помогут повысить устойчивость организации к угрозе. Список отслеживаемых мер устранения рисков включает в себя:

  • Обновления для системы безопасности — развертывание поддерживаемых обновлений безопасности программного обеспечения для уязвимостей, обнаруженных на подключенных устройствах
  • Поддерживаемые конфигурации безопасности
    • Облачная защита
    • Защита потенциально нежелательных приложений (PUA)
    • защита в режиме реального времени;

Сведения об устранении рисков в этом разделе содержат данные из контроль угроз и уязвимостей, которые также содержат подробные сведения по различным ссылкам в отчете.

Раздел "Устранение рисков" отчета аналитики угроз с подробными сведениями о безопасной конфигурации

Раздел "Устранение рисков" отчета аналитики угроз с подробными сведениями об уязвимостях

Защита & устранения рисков в отчете аналитики угроз

Настройка уведомлений по электронной почте для обновлений отчетов

Вы можете настроить уведомления по электронной почте, которые будут отправлять обновления в отчетах аналитики угроз.

Чтобы настроить уведомления по электронной почте для отчетов аналитики угроз, выполните следующие действия.

  1. Выберите Параметры на Microsoft 365 Defender боковой панели. Выберите Microsoft 365 Defender в списке параметров.

Снимок экрана: "Параметры" и "Microsoft 365 Defender" выделены красным цветом

  1. Выберите "Email notificationsThreat > Analytics" и нажмите кнопку "+ Создать правило уведомлений". Появится всплывающее окно.

Снимок экрана: "+ Создать правило уведомлений" выделен красным цветом

  1. Выполните действия, указанные во всплывающем окне. Сначала присвойте новому правилу имя. Поле описания является необязательным, но требуется имя. Правило можно включить или отключить с помощью флажка в поле описания.

Примечание

Поля имени и описания для нового правила уведомлений принимают только английские буквы и цифры. Они не принимают пробелы, дефисы, символы подчеркивания и другие знаки препинания.

Снимок экрана: экран именования с заполненными полями и флажком "Включить правило"

  1. Выберите тип отчетов, о которых вы хотите получать уведомления. Вы можете выбрать между обновлением всех недавно опубликованных или обновленных отчетов или только тех отчетов, которые имеют определенный тег или тип.

Снимок экрана: экран уведомлений с выбранными тегами программ-шантажистов и раскрывающимся меню для открытых типов

  1. Добавьте по крайней мере одного получателя для получения уведомлений по электронной почте. Этот экран также можно использовать для проверки того, как будут получаться уведомления, отправив тестовую электронную почту.

Снимок экрана получателей. В списке 3 получателя, и отправлено тестовое сообщение электронной почты, как указано зеленым флажком.

  1. Просмотрите новое правило. Если вы хотите что-то изменить, нажмите кнопку "Изменить " в конце каждого подраздела. После завершения проверки нажмите кнопку "Создать правило ".

Снимок экрана: экран проверки. Кнопка редактирования выделена красным цветом

  1. Поздравляем! Новое правило успешно создано. Нажмите кнопку " Готово", чтобы завершить процесс, и закройте всплывающий элемент.

Снимок экрана: экран создания правила. Успешно созданное правило будет отображать зеленые флажки на боковой панели и большую зеленую галочку в главной области экрана.

  1. Новое правило появится в списке уведомлений по электронной почте аналитики угроз.

Снимок экрана: список правил уведомлений по электронной почте на Параметры экрана

Дополнительные сведения и ограничения отчета

Примечание

В рамках единой системы безопасности аналитика угроз теперь доступна не только для Microsoft Defender для конечной точки, но и для владельцев лицензий Microsoft Defender Office E5.

Если вы не используете портал безопасности Microsoft 365 (Microsoft 365 Defender), вы также можете просмотреть сведения об отчете (без Microsoft Defender для Office данных) на портале Центр безопасности в Microsoft Defender ( Microsoft Defender для конечной точки).

Для доступа к отчетам аналитики угроз требуются определенные роли и разрешения. Дополнительные сведения см. в разделе "Пользовательские роли в управлении доступом на основе ролей Microsoft 365 Defender дополнительные сведения.

  • Чтобы просмотреть данные оповещений, инцидентов или затронутых ресурсов, необходимо иметь разрешения Microsoft Defender для Office или Microsoft Defender для конечной точки данных оповещений или и того, и другое.
  • Чтобы просмотреть предотвращаемые попытки электронной почты, необходимо иметь разрешения в Microsoft Defender для Office данных охоты.
  • Чтобы просмотреть способы устранения рисков, необходимо иметь разрешения на контроль угроз и уязвимостей данных в Microsoft Defender для конечной точки.

При просмотре данных аналитики угроз помните о следующих факторах:

  • Диаграммы отражают только исправления, которые отслеживаются. Дополнительные способы устранения рисков, которые не отображаются на диаграммах, см. в обзоре отчета.
  • Устранение рисков не гарантирует полную устойчивость. Предоставленные меры по устранению рисков отражают наилучшие возможные действия, необходимые для повышения устойчивости.
  • Устройства считаются недоступными, если они не передают данные в службу.
  • Статистика, связанная с антивирусной программой, основана антивирусная программа в Microsoft Defender параметрах. Устройства со сторонними антивирусными решениями могут отображаться как "открытые".