Поделиться через

Общие сведения об отчете экспертов Defender по охоте в Microsoft Defender

Область применения:

Microsoft Defender Эксперты по охоте объединяют человеческий интеллект и обученные экспертами технологии, чтобы помочь Microsoft Defender XDR клиентам понять значительные угрозы, с которыми они сталкиваются. В ней показано, как навыки охоты на угрозы экспертов Defender, тщательное понимание ландшафта угроз и знания о возникающих угрозах могут помочь вам выявлять, определять приоритеты и устранять эти угрозы в вашей среде.

Служба Defender Experts for Hunting создает отчеты, которые помогут вам понять все угрозы, которые служба охоты всплыла в вашей среде, а также оповещения, созданные Microsoft Defender XDR продуктами. Отчет можно просмотреть за текущий (текущий) месяц или за один, три или шесть месяцев.

Чтобы просмотреть отчет на портале Microsoft Defender, перейдите в раздел Отчеты и выберитеОтчет о охотеэкспертов> Defender. Каждый раздел отчета предназначен для предоставления дополнительных сведений об угрозах и подозрительных действиях, обнаруженных нашими экспертами Defender в вашей среде.

См. следующий снимок экрана с примером отчета:

Снимок экрана: отчет экспертов Defender по охоте.

Выявление распространенных угроз и других потенциальных точек входа атаки

Сигналы от Microsoft Defender XDR и исследования экспертов Defender по охоте помогают выявлять подозрительные действия в вашей среде. Важные действия по угрозам содержат соответствующие уведомления экспертов Defender, которые также предоставляют рекомендации по исправлению и защите вашей организации.

В верхнем разделе отчета представлено общее количество охот, расследованных подозрительных угроз и уведомления экспертов Defender, отправленные нашими экспертами за выбранный период:

Снимок экрана: верхний раздел отчета с количеством обнаруженных угроз.

Чтобы просмотреть эти уведомления, выберите Просмотр уведомлений экспертов Defender. Это действие перенаправит вас на страницу инцидентов Microsoft Defender портала. Оповещения экспертов Defender для охоты или уведомления экспертов Defender имеют тег Эксперты Defender .

Примечание.

Кнопка Просмотр уведомлений экспертов Defender отображается только в том случае, если количество обнаруженных угроз не менее 1.

Все остальные выявленные действия визуализируются или суммируются в следующих разделах:

Охота тренда

В разделе Тренд охоты отображается диаграмма трендов количества охотничьих действий экспертов Defender, проведенных в вашей среде за выбранный период времени. Эта диаграмма дает вам представление о непрерывном мониторинге и расследовании, которые наши эксперты выполняют, даже если они не обнаруживают активных угроз или подозрительных действий.

Снимок экрана: раздел тренда охоты в отчете экспертов По охоте в Defender.

Новые угрозы

В разделе Новые угрозы подробно описаны упреждающие поиски на основе гипотез, которые мы провели в вашей среде. Эти охоты сосредоточены на тактике, которую субъекты угроз только начинают внедрять и другие аналитики угроз. Просматривая эти охоты, мы даем вам представление о том, как мы ожидаем поведения злоумышленников, проверяем защиту от новых и важных методов и выявляем соответствующие подозрительные действия перед значительной эксплуатацией.

В этом разделе представлена таблица, в которой отображается заголовок угрозы, определяется ли влияние на вашу среду, серьезность угрозы и категория угрозы. Он объединяет наши поиски новых угроз на основе их серьезности. Этот раздел можно отфильтровать по серьезности и категории угроз охоты.

Снимок экрана: раздел

При выборе одного из названий угроз открывается боковая панель со сводкой по охоте, в которой приводятся наши выводы об угрозе. Сводка по охоте позволяет получить представление о наших исследованиях и следить за тем, чтобы вы были в курсе угроз.

Охота по категориям угроз

В разделе Охота по категории угроз отображаются плитки действий охоты, отсортированные в соответствии с их категориями угроз. Эта сортировка помогает визуализировать, чего пытается достичь действие на каждом этапе атаки, чтобы спланировать соответствующие действия по сдерживанию и исправлению.

Снимок экрана: раздел

Вы можете отфильтровать действия, отображаемые в таблице, выбрав в раскрывающемся меню любой из следующих параметров:

  • Все — отображает все истинно положительные, доброкачественные истинноположительные и ложноположительные действия.
  • Подозрительные действия — отображает обнаруженные истинно положительные и неопасные истинно положительные действия в вашей среде. Не все подозрительные действия имеют соответствующие уведомления эксперта Defender.
  • Уведомления экспертов Defender — отображаются только действия с соответствующими уведомлениями экспертов Defender.

Кроме того, можно включить переключатель Показать все категории , если вы хотите отобразить или скрыть категории, у которых нет связанных действий.

На каждой плитке действия отображается количество охот, проведенных экспертами Defender, связанными с ним. Он также может отображать любой из трех значков, соответствующих связанным охотам, сводкам охоты и уведомлениям экспертов Defender.

Сводки охоты

Каждая охота, которую эксперты Defender проводят, рассказывает историю, даже если они не находят активную угрозу. Почти в каждой охоте, которую эксперты Defender проводят в вашей среде, есть соответствующее резюме расследования, которое идет вместе с ним, независимо от того, определили ли они подтвержденную угрозу.

При выборе одного из заголовков угроз в разделе Возникающие угрозы или одной из плиток действий со значком прокрутки в разделе Охоты по категории угроз откроется боковая панель, на которую отображается сводка по охоте или сводка исследования, связанного с угрозой или действием: то, на что охотились эксперты Defender. почему они охотились за ним, и как они достигли окончательной решимости. В сводке также указаны даты и время начала и завершения охоты, классификация охоты и затронутые активы. Если применимо, он также предоставляет ссылки для просмотра связанных уведомлений экспертов Defender.

Снимок экрана: сводка по охоте в отчете экспертов По охоте в Defender.

Знание и понимание слабых мест безопасности в вашей среде

В разделе Наиболее популярные подозрительные действия отчета определяется до 20 подозрительных действий, которые эксперты Defender постоянно наблюдали в вашей среде за последние три месяца, отсортированные по их оценке серьезности и частоте возникновения:

Снимок экрана: раздел

Показывая наиболее критические и часто наблюдаемые действия, вы можете оценить их влияние и разработать стратегии предотвращения или устранения потенциальных угроз для вашей среды.

Выберите Просмотреть сведения в каждой карта, чтобы открыть всплывающий элемент с подробными сведениями о затронутых устройствах и пользователях. Если применимо, на странице также содержатся ссылки для просмотра связанных уведомлений экспертов Defender.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

  • Last updated on