Аналитика угроз в Microsoft Defender

Область применения:

• Microsoft Defender XDR

Аналитика угроз — это встроенное решение для аналитики угроз от экспертов майкрософт по безопасности. Это помогает группам безопасности оставаться эффективными при столкновении с новыми угрозами, такими как:

• Активные участники угроз и их кампании
• Популярные и новые приемы атаки
• Критические уязвимости
• Распространенные направления атак.
• Распространенные вредоносные программы.

Вы можете получить доступ к аналитике угроз из верхней левой части панели навигации Microsoft Defender портала или из выделенной карта панели мониторинга, которая показывает основные угрозы для вашей организации, как с точки зрения известного влияния, так и с точки зрения вашего воздействия.

Получение информации об активных или текущих кампаниях и знание того, что делать с помощью аналитики угроз, может помочь вашей группе операций по обеспечению безопасности принимать обоснованные решения.

С более изощренными противниками и новыми угрозами, возникающими часто и широко, очень важно иметь возможность быстро:

• Выявление новых угроз и реагирование на них
• Узнайте, находится ли в настоящее время под атакой
• Оценка влияния угрозы на ресурсы
• Проверка устойчивости к угрозам или подверженности их воздействию
• Определите действия по устранению рисков, восстановлению или предотвращению, которые можно предпринять для остановки или сдерживания угроз.

Каждый отчет содержит анализ отслеживаемой угрозы и подробные рекомендации по защите от этой угрозы. Он также включает данные из вашей сети, указывающие, активна ли угроза и есть ли у вас применимые средства защиты.

Обязательные роли и разрешения

Чтобы получить доступ к аналитике угроз на портале Defender, вам потребуется лицензия по крайней мере на один продукт Microsoft Defender XDR. Дополнительные сведения см. в разделе предварительные требования Microsoft Defender XDR.

Для доступа к аналитике угроз также требуются следующие роли и разрешения:

• Основы данных безопасности (чтение) — для просмотра отчета по аналитике угроз, связанных инцидентов и оповещений, а также затронутых ресурсов
• Управление уязвимостями (чтение) и управление экспозицией (чтение) — для просмотра связанных данных о воздействии и рекомендуемых действий

По умолчанию доступ к службам, доступным на портале Defender, управляется совместно с помощью Microsoft Entra глобальных ролей. Если вам нужна большая гибкость и контроль над доступом к определенным данным о продукте и вы еще не используете Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) для централизованного управления разрешениями, рекомендуется создавать настраиваемые роли для каждой службы. Дополнительные сведения о создании настраиваемых ролей

Просмотр панели аналитики угроз

Панель мониторинга аналитики угроз (security.microsoft.com/threatanalytics3) выделяет отчеты, наиболее важные для вашей организации. Угрозы суммируются в следующих разделах:

• Последние угрозы — список последних опубликованных или обновленных отчетов об угрозах, а также количество активных и разрешенных оповещений.
• Угрозы с высоким воздействием — список угроз, которые оказывают наибольшее влияние на вашу организацию. В этом разделе перечислены угрозы с наибольшим количеством активных и разрешенных оповещений.
• Угрозы с наибольшим уровнем уязвимости — список угроз, к которым ваша организация подвержена наибольшему риску. Уровень подверженности угрозе вычисляется на основе двух сведений: насколько серьезными являются уязвимости, связанные с угрозой, и сколько устройств в вашей организации могут быть использованы этими уязвимостями.

Выберите угрозу на информационной панели, чтобы просмотреть отчет об этой угрозе. Вы также можете выбрать поле Поиск, чтобы получить ключ в ключевое слово, связанном с отчетом аналитики угроз, который вы хотите прочитать.

Просмотр отчетов по категориям

Вы можете отфильтровать список отчетов об угрозах и просмотреть наиболее релевантные отчеты в соответствии со следующими параметрами:

• Теги угроз помогают просматривать наиболее релевантные отчеты в соответствии с определенной категорией угроз. Например, тег Программы-шантажист включает все отчеты, связанные с программами-шантажистами.

  Команда аналитики угроз Майкрософт добавляет теги угроз в каждый отчет об угрозах. В настоящее время доступны следующие теги угроз:

  • Программа-шантажист
  • Фишинговое
  • Группа активности
  • Уязвимость

• Категория — помогает просматривать наиболее релевантные отчеты в соответствии с определенным типом отчета. Например, категория Субъект включает все профили субъектов угроз. Дополнительные сведения о различных типах аналитических отчетов

Эти фильтры помогают эффективно просматривать список отчетов об угрозах. Например, можно просмотреть все отчеты об угрозах, связанные с категорией программ-шантажистов, или отчеты об угрозах, которые связаны с уязвимостями.

Категории отображаются в верхней части страницы аналитики угроз. Счетчики показывают количество доступных отчетов в каждой категории.

Чтобы добавить типы фильтров отчетов на панели мониторинга, выберите Фильтры, выберите в списке и нажмите кнопку Добавить.

Чтобы задать нужные типы отчетов в списке на основе доступных фильтров, выберите тип фильтра (например, теги угроз), выберите из списка и нажмите кнопку Применить.

Просмотр отчета об аналитике угроз

Каждый отчет аналитики угроз содержит сведения в нескольких разделах:

• Обзор
• Аналитический отчет
• Связанные инциденты
• Затронутые ресурсы
• Уязвимость конечных точек
• Рекомендуемые действия
• Индикаторы (предварительная версия)

Обзор. Быстрое понимание угрозы, оценка ее влияния и проверка защиты

В разделе Обзор представлена предварительная версия подробного аналитического отчета. Он также содержит диаграммы, на которые показано влияние угрозы на вашу организацию, а также сведения о вашем воздействии на неправильно настроенные и неотпатированные устройства.

Понимание угрозы и ее тактики, методов и процедур

Каждый отчет содержит следующие сведения об угрозе, когда это применимо или доступно, с кратким обзором того, что такое угроза и как она может повлиять на вашу организацию.

• Псевдонимы — список общедоступных имен, предоставленных другими поставщиками безопасности угрозе.
• Источник — показывает страну или регион, из которого возникла угроза.
• Связанная аналитика — список других отчетов аналитики угроз, которые имеют отношение к угрозе или связаны с ней.
• Целевые объекты — список стран или регионов и отраслей, на которые направлена угроза.
• Методы атак MITRE — список наблюдаемых тактик, методов и процедур (TTP) угрозы в соответствии с платформой MITRE ATT&CK

Оценка влияния на организацию

Каждый отчет включает диаграммы, предназначенные для предоставления информации об организационном влиянии угрозы:

• Связанные инциденты— предоставляет общие сведения о влиянии отслеживаемой угрозы на вашу организацию со следующими данными:
  • Количество активных оповещений и количество активных инцидентов, с которыми они связаны
  • Серьезность активных инцидентов
• Оповещения с течением времени — показывает количество связанных активных и разрешенных оповещений с течением времени. Количество разрешенных оповещений указывает, как быстро ваша организация реагирует на оповещения, связанные с угрозой. В идеале на диаграмме должны отображаться оповещения, разрешенные в течение нескольких дней.
• Затронутые ресурсы — показывает количество отдельных ресурсов, у которых в настоящее время есть по крайней мере одно активное оповещение, связанное с отслеживаемой угрозой. Оповещения активируются для почтовых ящиков, получающих сообщения электронной почты об угрозах. Просмотрите политики уровня организации и пользователя на наличие переопределений, которые вызывают доставку сообщений электронной почты с угрозами.

Проверка устойчивости и состояния системы безопасности

Каждый отчет содержит диаграммы с общими сведениями о том, насколько устойчива ваша организация к определенной угрозе:

• Рекомендуемые действия— показывает процент состояния действия или количество баллов, достигнутых для улучшения состояния безопасности. Выполните рекомендуемые действия для устранения угрозы. Вы можете просмотреть разбивку точек по категориям или состоянию.
• Подверженность конечным точкам — показывает количество уязвимых устройств. Применяйте обновления системы безопасности или исправления для устранения уязвимостей, которые используются угрозой.

Аналитический отчет: получение экспертных аналитических сведений от исследователей безопасности Майкрософт

В разделе Аналитический отчет можно прочитать подробные сведения о записи экспертов. Большинство отчетов содержат подробное описание цепочек атак, включая тактику и методы, сопоставленные с платформой MITRE ATT&CK, исчерпывающие списки рекомендаций и мощные рекомендации по охоте на угрозы .

Дополнительные сведения об аналитическом отчете

Связанные инциденты: просмотр связанных инцидентов и управление ими

На вкладке Связанные инциденты представлен список всех инцидентов, связанных с отслеживаемой угрозой. Вы можете назначать инциденты или управлять оповещениями, связанными с каждым инцидентом.

Затронутые ресурсы. Получение списка затронутых устройств, пользователей, почтовых ящиков, приложений и облачных ресурсов

На вкладке Затронутые ресурсы отображаются ресурсы, на которые влияет угроза с течением времени. Отображается:

• Ресурсы, на которые влияют активные оповещения
• Ресурсы, на которые влияют разрешенные оповещения
• Все ресурсы или общее количество ресурсов, затронутых активными и разрешенными оповещениями

Ресурсы делятся на следующие категории:

• Устройства
• Пользователи
• Почтовые ящики
• Приложения
• Облачные ресурсы

Уязвимость конечных точек. Сведения о состоянии развертывания обновлений для системы безопасности

В разделе Подверженность конечным точкам приведен уровень подверженности угрозе в вашей организации. Уровень уязвимости вычисляется на основе серьезности уязвимостей и неправильных настроек, которые эксплойты угрозы, а также количества устройств с этими слабыми местами.

В этом разделе также приводится состояние развертывания поддерживаемых обновлений безопасности программного обеспечения для уязвимостей, обнаруженных на подключенных устройствах. Она включает в себя данные из Управление уязвимостями Microsoft Defender, которая также предоставляет подробные сведения по различным ссылкам в отчете.

Рекомендуемые действия: просмотрите список мер по устранению рисков и состояние устройств.

На вкладке Рекомендуемые действия просмотрите список конкретных практических рекомендаций, которые помогут вам повысить устойчивость организации к угрозе. Список отслеживаемых мер по устранению рисков включает поддерживаемые конфигурации безопасности, такие как:

• Облачная защита
• Защита от потенциально нежелательных приложений (PUA)
• защита в режиме реального времени;

Индикаторы: просмотр конкретной инфраструктуры и доказательств угрозы (предварительная версия)

На вкладке Индикаторы представлен список всех индикаторов компрометации ,связанных с угрозой. Исследователи Майкрософт обновляют эти МВЦ в режиме реального времени, когда они находят новые доказательства, связанные с угрозой. Эти сведения помогают аналитикам центра управления безопасностью (SOC) и аналитикам угроз с помощью исправлений и упреждающей охоты. В списке также хранятся просроченные операции ввода-вывода, чтобы вы могли исследовать прошлые угрозы и понять их влияние на среду.

Следите за последними отчетами и аналитикой угроз

Аналитика угроз использует и интегрирует различные функции Microsoft Defender и Microsoft Security Copilot, чтобы вы и ваша команда SOC обновлялись каждый раз, когда становится доступен новый отчет или новый компонент аналитики угроз, относящейся к вашей среде.

Настройка агента брифинга аналитики угроз

Настройте агент брифинга по аналитике угроз, чтобы получать своевременные соответствующие отчеты об аналитике угроз с подробным техническим анализом на основе последних действий субъектов угроз, а также внутренних и внешних уязвимостей. Агент сопоставляет данные об угрозах Майкрософт и сигналы клиентов, чтобы добавить критический контекст к информации об угрозах за считанные минуты, экономя команды аналитиков часы или даже дни, затраченные на сбор и корреляцию аналитики.

После развертывания агент брифинга аналитики угроз отображается в виде баннера в верхней части страницы аналитики угроз.

Дополнительные сведения об агенте брифинга аналитики угроз

Настройка пользовательских обнаружений и связывание их с отчетами аналитики угроз

Настройте настраиваемые правила обнаружения и свяжите их с отчетами аналитики угроз. Если эти правила активируются и оповещение создает инцидент, отчет отображается в этом инциденте, а инцидент отображается на вкладке Связанные инциденты , как и любое другое обнаружение, определенное Корпорацией Майкрософт.

Дополнительные сведения о создании настраиваемых правил обнаружения и управлении ими

Настройка Уведомления по электронной почте для обновлений отчетов

Настройте Уведомления по электронной почте, которые отправляют обновления в отчетах аналитики угроз. Чтобы создать Уведомления по электронной почте, выполните действия, описанные в статье Получение обновлений Уведомления по электронной почте для аналитики угроз в Microsoft Defender XDR.

Другие сведения и ограничения отчета

При просмотре данных аналитики угроз учитывайте следующие факторы:

• В контрольном списке на вкладке Рекомендуемые действия отображаются только рекомендации, отслеживаемые в Microsoft Secure Score. Перейдите на вкладку Отчет аналитика для получения дополнительных рекомендуемых действий, которые не отслеживаются в оценке безопасности.
• Рекомендуемые действия не гарантируют полную устойчивость и отражают только наилучшие действия, необходимые для ее улучшения.
• Статистика, связанная с антивирусной программой, основана на Microsoft Defender параметрах антивирусной программы.
• В столбце Неправильно настроенные устройства на главной странице аналитики угроз отображается количество устройств, затронутых угрозой, если не включено рекомендуемое действие, связанное с угрозой. Однако если исследователи Майкрософт не связывают рекомендуемые действия, в столбце Неправильно настроенные устройства отображается состояние Недоступно.
• В столбце "Уязвимые устройства " на главной странице "Аналитика угроз" отображается количество устройств под управлением программного обеспечения, которые уязвимы для любой уязвимости, связанной с угрозой. Однако если исследователи Майкрософт не связывают уязвимости, в столбце Уязвимые устройстваотображается состояние Недоступно.

См. также

• Упреждающее поиск угроз с помощью расширенной охоты
• Общие сведения об аналитическом отчете
• Оценка и устранение уязвимостей и уязвимостей в системе безопасности