Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Microsoft Defender XDR
Каждый отчет по аналитике угроз включает динамические разделы и полный письменный раздел, называемый аналитическим отчетом. Чтобы открыть этот раздел, откройте отчет о отслеживаемой угрозе и перейдите на вкладку Отчет аналитика .
Раздел отчета аналитики в отчете об аналитике угроз
Сведения о различных типах аналитических отчетов
Отчет по аналитике угроз можно классифицировать по одной из следующих категорий:
- Действие — предоставляет сведения о конкретной кампании атак, которая часто связана с субъектом угроз. В этом отчете описывается, как произошла атака, почему вы должны заботиться о ней и как корпорация Майкрософт защищает от нее своих клиентов. Отчет о действиях также может содержать такие сведения, как временная шкала событий, цепочек атак, поведения и методологий.
- Субъект — предоставляет сведения о конкретном субъекте угроз, отслеживаемом корпорацией Майкрософт, за заметными кибератаками. В этом докладе рассматриваются мотивы субъекта угроз, отраслевые и(или) географические цели, а также их тактика, методы и процедуры (TTP). Отчет субъекта также может содержать сведения об инфраструктуре атак субъекта угроз, вредоносных программах (пользовательских или открытый код) и эксплойтах, которые они использовали, а также о важных событиях или кампаниях, частью которых они были.
- Основная угроза — суммирует несколько отчетов профиля в описание, которое рисует более широкую картину угрозы, которая использует эти отчеты или связана с ней. Например, субъекты угроз используют различные методы для кражи локальных учетных данных, а общие сведения об угрозах о краже локальных учетных данных могут ссылаться на отчеты о методах атак методом подбора, атак Kerberos или вредоносных программ для кражи информации. Microsoft Threat Intelligence использует свои датчики на основных угрозах, влияющих на среды клиентов, чтобы оценить, какая угроза может заслуживают этого типа отчета.
- Метод — предоставляет сведения о конкретном методе, используемом субъектами угроз, например о вредоносном использовании PowerShell или сборе учетных данных при компрометации электронной почты (BEC), а также о том, как корпорация Майкрософт защищает своих клиентов, обнаруживая действия, связанные с этой методикой.
- Инструмент — предоставляет сведения о конкретном пользовательском средстве или средстве с открытым кодом, которое часто связано с субъектом угрозы. В этом отчете рассматриваются возможности средства, цели, которые может достичь субъект угроз, который может его использовать, и как корпорация Майкрософт защищает своих клиентов, обнаруживая связанные с ним действия.
- Уязвимость — предоставляет сведения о конкретных идентификаторах распространенных уязвимостей и уязвимостях (CVE) или группе похожих cvEs, влияющих на продукт. В отчете об уязвимостях обычно рассматриваются заслуживающие внимания уязвимости, например те, которые используются субъектами угроз и известные кампании атак. Он охватывает один или несколько из следующих типов информации: тип уязвимости, затронутые службы, эксплуатация нулевого дня или в дикой среде, оценка серьезности и потенциальное воздействие, а также охват майкрософт.
Сканирование отчета аналитика
Каждый раздел аналитического отчета содержит практические сведения. Хотя отчеты различаются, большинство отчетов включают разделы, описанные в следующей таблице.
| Раздел отчета | Описание |
|---|---|
| Сводка для руководства | Моментальный снимок угрозы, который может включать в себя, когда она была впервые замечена, ее мотивы, важные события, основные цели, а также различные инструменты и методы. Используйте эти сведения, чтобы оценить, как определить приоритеты угрозы в контексте отрасли, географического расположения и сети. |
| Обзор | Технический анализ угрозы, который, в зависимости от типа отчета, может включать сведения об атаке и то, как злоумышленники могут использовать новый метод или область атаки. Этот раздел также содержит различные заголовки и дополнительные подразделы в зависимости от типа отчета, чтобы предоставить дополнительный контекст и сведения. Например, профиль уязвимости содержит отдельный раздел, в который перечислены затронутые технологии, а профиль субъекта может включать в себя инструменты, TTP и разделы атрибуции . |
| Запросы обнаружения и охоты | Конкретные и универсальные обнаружения, предоставляемые решениями майкрософт для обеспечения безопасности, которые могут отображать действия или компоненты, связанные с угрозой. В этом разделе также содержатся запросы охоты для упреждающего выявления возможных действий с угрозами. Большинство запросов дополняют обнаружение, особенно для обнаружения потенциально вредоносных компонентов или поведения, которые не могут быть динамически оценены как вредоносные. |
| MitRE ATT&наблюдаемых методов CK | Сопоставление наблюдаемых методов с платформой атак MITRE ATT&CK |
| Рекомендации | Действия, которые могут остановить или уменьшить влияние угрозы. В этом разделе также содержатся сведения о мерах по устранению рисков, которые не отслеживаются динамически в рамках отчета об аналитике угроз. |
| Ссылки | Публикации Майкрософт и сторонних разработчиков, на которые ссылались аналитики во время создания отчета. Содержимое аналитики угроз основано на данных, проверенных исследователями Майкрософт. Информация из общедоступных сторонних источников четко определяется как таковая. |
| Журнал изменений | Время публикации отчета и время внесения в отчет существенных изменений. |
Узнайте, как можно обнаружить каждую угрозу
В аналитическом отчете также содержатся сведения из различных решений Майкрософт, которые могут помочь обнаружить угрозу. В нем перечислены обнаружения, характерные для этой угрозы, из каждого из продуктов, перечисленных в следующих разделах, если применимо. Оповещения об обнаружении этих угроз отображаются в карточках состояния оповещений на странице Аналитика угроз.
Некоторые аналитические отчеты также упоминание оповещения, предназначенные для общего флага подозрительного поведения и не связанные с отслеживаемой угрозой. В таких случаях в отчете четко указано, что оповещение может быть вызвано несвязанными действиями по угрозам и что оно не отслеживается в карточках состояния, предоставленных на странице Аналитика угроз.
Антивирусная программа в Microsoft Defender
Обнаружение антивирусной программы доступно на устройствах с включенной антивирусной программой Microsoft Defender в Windows. Эти обнаружения ссылаться на соответствующие описания вредоносных программ в портал для обнаружения угроз (Microsoft), если они доступны.
Microsoft Defender для конечной точки
Оповещения об обнаружении конечных точек и ответе (EDR) создаются для устройств, подключенных к Microsoft Defender для конечной точки. Эти оповещения основаны на сигналах безопасности, собираемых датчиком Defender для конечной точки, и других возможностях конечных точек, таких как антивирусная программа, защита сети, защита от незаконного изменения, которые служат мощными источниками сигнала.
Microsoft Defender для Office 365
Аналитические отчеты также включают обнаружение и устранение рисков из Defender для Office 365. Defender для Office 365 легко интегрируется с подписками Microsoft 365 и защищает от угроз в электронной почте, ссылках (URL-адресах), вложениях файлов и средствах совместной работы.
Microsoft Defender для удостоверений
Defender для удостоверений — это облачное решение для обеспечения безопасности, которое помогает защитить мониторинг удостоверений в организации. Он использует сигналы от локальная служба Active Directory и облачных удостоверений, чтобы лучше выявлять, обнаруживать и исследовать сложные угрозы, направленные на вашу организацию.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps обеспечивает полную защиту приложений SaaS. Она помогает отслеживать и защищать данные облачных приложений с помощью основных функций брокера безопасности доступа к облаку (CASB), функций Управления состоянием безопасности SaaS (SSPM), расширенной защиты от угроз и защиты от приложений.
Microsoft Defender для облака
Defender для облака — это облачная платформа защиты приложений (CNAPP), которая состоит из мер и методик безопасности, предназначенных для защиты облачных приложений от различных угроз и уязвимостей.
Поиск тонких артефактов угроз с помощью расширенной охоты
Хотя обнаружение позволяет обнаруживать и останавливать отслеживаемую угрозу автоматически, многие действия атаки оставляют незначительные следы, требующие дополнительной проверки. Некоторые действия атаки демонстрируют поведение, которое также может быть нормальным, поэтому динамическое их обнаружение может привести к операционному шуму или даже ложным срабатываниям. Запросы охоты позволяют заблаговременно находить эти потенциально вредоносные компоненты или поведения.
Microsoft Defender XDR расширенные запросы охоты
Расширенная охота предоставляет интерфейс запросов на основе язык запросов Kusto, который упрощает поиск тонких индикаторов активности угроз. Она также позволяет отображать контекстную информацию и проверять, связаны ли индикаторы с угрозой.
Аналитики Майкрософт прочитывают расширенные запросы охоты в аналитических отчетах, и вы можете выполнить их в редакторе запросов расширенной охоты. Запросы также можно использовать для создания настраиваемых правил обнаружения , которые активируют оповещения для будущих совпадений.
запросы Microsoft Sentinel
Аналитические отчеты также могут содержать применимые запросы охоты для Microsoft Sentinel клиентов.
Microsoft Sentinel имеет мощные средства поиска и запросов для поиска угроз безопасности в источниках данных вашей организации. Чтобы помочь вам заблаговременно искать новые аномалии, которые не обнаруживаются вашими приложениями безопасности или даже запланированными правилами аналитики, Sentinel запросы охоты помогут вам задать правильные вопросы, чтобы найти проблемы в данных, уже имеющихся в вашей сети.
Применение дополнительных мер по устранению рисков
Аналитика угроз динамически отслеживает состояние определенных обновлений системы безопасности и безопасных конфигураций. Эти типы информации доступны в виде диаграмм и таблиц на вкладках "Конечные точки" и " Рекомендуемые действия ". Эти рекомендации можно повторять и применять к этой угрозе, а также могут применяться и к другим угрозам.
В дополнение к этим отслеживаемым рекомендациям в аналитическом отчете также могут обсуждаться способы устранения рисков, которые не отслеживаются динамически, так как они относятся только к угрозе или ситуации, обсуждаемой в отчете. Ниже приведены некоторые примеры важных мер, которые не отслеживаются динамически.
- Блокировка сообщений электронной почты с помощью .lnk вложений или других подозрительных типов файлов
- Рандомизация паролей локального администратора
- Информирование пользователей о фишинговой электронной почте и других векторах угроз
- Включение определенных правил сокращения направлений атак
Хотя вы можете использовать вкладки "Уязвимости конечных точек " и "Рекомендуемые действия " для оценки состояния безопасности в случае угрозы, эти рекомендации позволяют предпринять другие шаги по улучшению состояния безопасности. Внимательно прочитайте все рекомендации по устранению рисков в аналитическом отчете и применяйте их, когда это возможно.
См. также
- Обзор аналитики угроз
- Упреждающее поиск угроз с помощью расширенной охоты
- Правила настраиваемого обнаружения
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.