Analytikerrapporten i hotanalyser
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Varje rapport om hotanalyser innehåller dynamiska avsnitt och ett omfattande skriftligt avsnitt som kallas analytikerrapporten. Öppna rapporten om de spårade hoten för att komma åt det här avsnittet och välj fliken Analytikerrapport.

Analytikerrapportavsnitt i en rapport om hotanalys
Skanna analytikernas rapport
Varje avsnitt i analytikerrapporten har utformats för att ge användbar information. Rapporterna varierar, men de flesta rapporter innehåller de avsnitt som beskrivs i följande tabell.
| Rapportavsnitt | Beskrivning |
|---|---|
| Sammanfattning | Översikt över hoten, bland annat när man först såg dem, dess motivation, viktiga händelser, viktiga mål samt distinkta verktyg och tekniker. Du kan använda den här informationen för att ytterligare bedöma hur du prioriterar hot inom ramen för branschen, geografisk plats och nätverk. |
| Analys | Teknisk information om hoten, bland annat information om en attack och hur attacker kan använda en ny teknik eller attackyta |
| MITRE ATT&observerade CK-tekniker | Hur observerade tekniker mappas till MITRE ATT&CK-attackramverket |
| Minskningar | Rekommendationer som kan stoppa eller hjälpa till att minska risken för hot. Det här avsnittet innehåller också åtgärder som inte spåras dynamiskt som en del av rapporten över hotanalyser. |
| Information om identifiering | Specifika och allmänna identifieringar som tillhandahålls av Microsofts säkerhetslösningar för att hantera aktivitet eller komponenter som är associerade med hotet. |
| Avancerad jakt | Avancerade sökfrågor för att proaktivt identifiera möjliga hotaktiviteter. De flesta frågor tillhandahålls för identifiering av tillägg, särskilt för att hitta potentiellt skadliga komponenter eller beteenden som inte kan utvärderas dynamiskt som skadliga. |
| Referenser | Microsoft och publikationer från tredje part som analytiker refererade till när de skapade rapporten. Innehållet i hotanalyser baseras på data som validerats av Microsofts forskare. Information från offentligt tillgängliga tredjepartskällor identifieras tydligt som sådan. |
| Ändringslogg | Tidpunkten då rapporten publicerades och när betydande ändringar gjorts i rapporten. |
Tillämpa ytterligare åtgärder
Hotanalyser spårar dynamiskt status för säkerhetsuppdateringar och säkra konfigurationer. Den här informationen finns som diagram och tabeller på fliken Minskningar.
Förutom de här spårade minskningarna tar analysrapporten även upp åtgärder som inte övervakas dynamiskt. Här är några exempel på viktiga åtgärder som inte spåras dynamiskt:
- Blockera e-postmeddelanden med LNK-bilagor eller andra misstänkta filtyper
- Slumpmässiga lösenord för lokala administratörer
- Utbilda slutanvändarna om nätfiske och andra vektorer
- Aktivera specifika minskningsregler för attackytan
Även om du kan använda fliken Minskningar för att bedöma din säkerhetsbegränsning mot ett hot, kan du med hjälp av de här rekommendationerna vidta ytterligare åtgärder för att förbättra säkerheten. Läs noggrant alla minskningsvägledning i analytikerrapporten och använd dem när det är möjligt.
Förstå hur varje hot kan identifieras
Analysrapporten innehåller också funktioner för identifiering Microsoft Defender Antivirus identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt).
Antivirusidentifiering
Dessa identifieringar är tillgängliga på enheter Microsoft Defender Antivirus är påslagna. När de här identifieringarna inträffar på enheter som har introducerats till Microsoft Defender för Endpoint utlöser de även aviseringar som tar upp diagrammen i rapporten.
Anteckning
Analytikerrapporten visar även allmänna identifieringar som kan identifiera en mängd olika hot, utöver komponenter eller beteenden som är specifika för de spårade hoten. Dessa allmänna identifieringar återspeglas inte i diagrammen.
Slutpunktsidentifierings- och svarsaviseringar (Identifiering och åtgärd på slutpunkt)
Identifiering och åtgärd på slutpunkt upphöjs för enheter som är onboarded till Microsoft Defender för Endpoint. Dessa varningar förlitar sig vanligtvis på säkerhetssignaler som samlas in av Microsoft Defender för Slutpunkts sensor och andra slutpunktsfunktioner (till exempel antivirus, nätverksskydd, manipuleringsskydd) som fungerar som kraftfulla signalkällor.
Liksom listan över antivirusidentifieringar är vissa Identifiering och åtgärd på slutpunkt är utformade för att generellt flagga misstänkt beteende som kanske inte associeras med det spårade hotet. I sådana fall identifierar rapporten tydligt varningen som "allmän" och att den inte påverkar något av diagrammen i rapporten.
Hitta diskreta hotartefakter med avancerad sökning
Vid identifieringar kan du identifiera och stoppa de spårade hoten automatiskt, men många attackaktiviteter lämnar diskreta spårningar som kräver ytterligare kontroll. Vissa attackaktiviteter har beteenden som också kan vara normala, så att de dynamiskt kan leda till driftstörningar eller till och med falska positiva identifieringar.
Avancerad sökning ger ett frågegränssnitt baserat på Kusto Query Language som förenklar hitta diskreta indikatorer på hotaktivitet. Du kan också ta fram sammanhangsberoende information och kontrollera om indikatorer är kopplade till ett hot.
Avancerade sökfrågor i analytikernas rapporter har kontrollerats av Microsoft-analytiker och är klara att köra i den avancerade frågeredigeraren för sökning. Du kan också använda frågorna för att skapa anpassade identifieringsregler som utlöser aviseringar för framtida matchningar.