Общие сведения об аналитическом отчете по аналитике угроз в Microsoft Defender XDR

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Каждый отчет по аналитике угроз включает динамические разделы и полный письменный раздел, называемый аналитическим отчетом. Чтобы открыть этот раздел, откройте отчет о отслеживаемой угрозе и перейдите на вкладку Отчет аналитика .

Раздел аналитического отчета в отчете об аналитике угроз

Раздел отчета аналитики в отчете об аналитике угроз

Сведения о различных типах аналитических отчетов

Отчет аналитики угроз можно классифицировать по одному из следующих типов отчетов:

  • Профиль действий — предоставляет сведения о конкретной кампании атак, которая часто связана с субъектом угроз. В этом отчете описывается, как произошла атака, почему вы должны заботиться о ней и как корпорация Майкрософт защищает от нее своих клиентов. Профиль действий также может содержать такие сведения, как временная шкала событий, цепочек атак, поведения и методологий.
  • Профиль субъекта — предоставляет сведения о конкретном субъекте угроз, отслеживаемом корпорацией Майкрософт, за заметными кибератаками. В этом докладе рассматриваются мотивы субъекта, отраслевые и (или) географические цели, а также их тактика, методы и процедуры (ТПП). Профиль субъекта также может содержать сведения об инфраструктуре атак субъекта, вредоносных программах (пользовательских или открытый код) и эксплойтах, которые они использовали, а также о важных событиях или кампаниях, частью которых они были.
  • Профиль техники — предоставляет сведения о конкретном методе, используемом субъектами угроз, например о вредоносном использовании PowerShell или сборе учетных данных при компрометации бизнес-электронной почты (BEC), а также о том, как корпорация Майкрософт защищает своих клиентов, обнаруживая действия, связанные с этим методом.
  • Общие сведения об угрозах . Суммирует несколько отчетов профиля в описание, которое рисует более широкую картину угрозы, которая использует эти отчеты или связана с ней. Например, субъекты угроз используют различные методы для кражи локальных учетных данных, а общие сведения об угрозах о краже локальных учетных данных могут ссылаться на профили техники при атаках методом подбора, атаках Kerberos или краже информации вредоносных программ. Microsoft Threat Intelligence использует свои датчики на основных угрозах, влияющих на среды клиентов, чтобы оценить, какая угроза может заслуживают этого типа отчета.
  • Профиль инструмента — предоставляет сведения о конкретном пользовательском средстве или средстве с открытым кодом, которое часто связано с субъектом угроз. В этом отчете рассматриваются возможности средства, цели, которые может достичь субъект угроз, который может его использовать, и как корпорация Майкрософт защищает своих клиентов, обнаруживая связанные с ним действия.
  • Профиль уязвимости — предоставляет сведения о конкретных идентификаторах распространенных уязвимостей и уязвимостях (CVE) или группе аналогичных CVEs, влияющих на продукт. В профиле уязвимостей обычно рассматриваются заслуживающие внимания уязвимости, например те, которые используются субъектами угроз и известные кампании атак. Он охватывает один или несколько из следующих типов информации: тип уязвимости, затронутые службы, эксплуатация нулевого дня или в дикой среде, оценка серьезности и потенциальное воздействие, а также охват майкрософт.

Сканирование отчета аналитика

Каждый раздел аналитического отчета предназначен для предоставления практических сведений. Хотя отчеты различаются, большинство отчетов включают разделы, описанные в следующей таблице.

Раздел отчета Описание
Сводка для руководства Моментальный снимок угрозы, который может включать в себя, когда она была впервые замечена, ее мотивы, важные события, основные цели, а также различные инструменты и методы. Эти сведения можно использовать для дальнейшей оценки того, как определить приоритеты угрозы в контексте отрасли, географического расположения и сети.
Обзор Технический анализ угрозы, который, в зависимости от типа отчета, может включать сведения об атаке и то, как злоумышленники могут использовать новый метод или область атаки.

Этот раздел также содержит различные заголовки и дополнительные подразделы в зависимости от типа отчета, чтобы предоставить дополнительный контекст и сведения. Например, профиль уязвимости содержит отдельный раздел, в который перечислены затронутые технологии, а профиль субъекта может включать в себя инструменты, TTP и разделы атрибуции .
Запросы обнаружения и охоты Конкретные и универсальные обнаружения, предоставляемые решениями майкрософт для обеспечения безопасности, которые могут отображать действия или компоненты, связанные с угрозой.

В этом разделе также содержатся запросы охоты для упреждающего выявления возможных действий с угрозами. Большинство запросов предоставляются в дополнение к обнаружению, особенно для обнаружения потенциально вредоносных компонентов или поведения, которые не могут быть динамически оценены как вредоносные.
MitRE ATT&наблюдаемых методов CK Сопоставление наблюдаемых методов с платформой атак MITRE ATT&CK
Рекомендации Действия, которые могут остановить или уменьшить влияние угрозы. В этом разделе также содержатся сведения о мерах по устранению рисков, которые не отслеживаются динамически в рамках отчета об аналитике угроз.
Ссылки Публикации Майкрософт и сторонних разработчиков, на которые ссылались аналитики во время создания отчета. Содержимое аналитики угроз основано на данных, проверенных исследователями Майкрософт. Информация из общедоступных сторонних источников четко определяется как таковая.
Журнал изменений Время публикации отчета и время внесения в отчет существенных изменений.

Узнайте, как можно обнаружить каждую угрозу

В аналитическом отчете также содержатся сведения из различных решений Майкрософт, которые могут помочь обнаружить угрозу. В нем перечислены обнаружения, характерные для этой угрозы, из каждого из продуктов, перечисленных в следующих разделах, если применимо. Оповещения об обнаружении этих угроз отображаются в карточках состояния оповещений на странице Аналитика угроз.

Некоторые аналитические отчеты также упоминание оповещения, предназначенные для общего флага подозрительного поведения и не связанные с отслеживаемой угрозой. В таких случаях в отчете будет четко указано, что оповещение может быть активировано несвязанными действиями по угрозам и что оно не отслеживается в карточках состояния, предоставленных на странице Аналитика угроз.

Антивирусная программа в Microsoft Defender

Обнаружение антивирусной программы доступно на устройствах с включенной антивирусной программой Microsoft Defender в Windows. Эти обнаружения связаны с соответствующими описаниями вредоносных программ в портал для обнаружения угроз (Microsoft), если они доступны.

Microsoft Defender для конечной точки

Оповещения об обнаружении конечных точек и ответе (EDR) создаются для устройств, подключенных к Microsoft Defender для конечной точки. Эти оповещения основаны на сигналах безопасности, собираемых датчиком Defender для конечной точки, и других возможностях конечных точек, таких как антивирусная программа, защита сети, защита от незаконного изменения, которые служат мощными источниками сигнала.

Microsoft Defender для Office 365

В аналитические отчеты также включаются сведения об обнаружении и устранении рисков, полученных от Defender для Office 365. Defender для Office 365 — это простая интеграция с подписками Microsoft 365, которая защищает от угроз в электронной почте, ссылках (URL-адресах), вложениях файлов и средствах совместной работы.

Microsoft Defender для удостоверений

Defender для удостоверений — это облачное решение для обеспечения безопасности, которое помогает защитить мониторинг удостоверений в организации. Он использует сигналы от локальная служба Active Directory и облачных удостоверений, чтобы лучше выявлять, обнаруживать и исследовать сложные угрозы, направленные на вашу организацию.

Microsoft Defender for Cloud Apps

Defender for Cloud Apps обеспечивает полную защиту приложений SaaS, помогая отслеживать и защищать данные облачных приложений, используя основные функции брокера безопасности доступа к облаку (CASB), функции управления состоянием безопасности SaaS (SSPM), расширенную защиту от угроз и защиту от приложений.

Microsoft Defender для облака

Defender для облака — это облачная платформа защиты приложений (CNAPP), которая состоит из мер и методик безопасности, предназначенных для защиты облачных приложений от различных угроз и уязвимостей.

Поиск тонких артефактов угроз с помощью расширенной охоты

Хотя обнаружение позволяет обнаруживать и останавливать отслеживаемую угрозу автоматически, многие действия атаки оставляют незначительные следы, требующие дополнительной проверки. Некоторые действия атаки демонстрируют поведение, которое также может быть нормальным, поэтому динамическое их обнаружение может привести к операционному шуму или даже ложным срабатываниям. Запросы охоты позволяют заблаговременно находить эти потенциально вредоносные компоненты или поведения.

Microsoft Defender XDR расширенные запросы охоты

Расширенная охота предоставляет интерфейс запросов на основе язык запросов Kusto, который упрощает поиск тонких индикаторов активности угроз. Она также позволяет отображать контекстную информацию и проверять, связаны ли индикаторы с угрозой.

Расширенные охотничьи запросы в аналитических отчетах были проверены аналитиками Майкрософт и готовы к выполнению в расширенном редакторе запросов охоты. Запросы также можно использовать для создания настраиваемых правил обнаружения , которые активируют оповещения для будущих совпадений.

запросы Microsoft Sentinel

Аналитические отчеты также могут содержать применимые запросы охоты для Microsoft Sentinel клиентов.

Microsoft Sentinel имеет мощные средства поиска и запросов для поиска угроз безопасности в источниках данных вашей организации. Чтобы помочь вам заблаговременно искать новые аномалии, которые не обнаруживаются вашими приложениями безопасности или даже запланированными правилами аналитики, Sentinel запросы охоты помогут вам задать правильные вопросы, чтобы найти проблемы в данных, уже имеющихся в вашей сети.

Применение дополнительных мер по устранению рисков

Аналитика угроз динамически отслеживает состояние определенных обновлений системы безопасности и безопасных конфигураций. Эти типы информации доступны в виде диаграмм и таблиц на вкладках "Конечные точки" и " Рекомендуемые действия " и являются повторяемыми рекомендациями, которые применяются к этой угрозе и могут применяться и к другим угрозам.

В дополнение к этим отслеживаемым рекомендациям в аналитическом отчете также можно обсудить способы устранения рисков, которые не отслеживаются динамически, так как они относятся только к угрозе или ситуации, обсуждаемой в отчете. Ниже приведены некоторые примеры важных мер, которые не отслеживаются динамически.

  • Блокировка сообщений электронной почты с помощью .lnk вложений или других подозрительных типов файлов
  • Рандомизация паролей локального администратора
  • Информирование пользователей о фишинговой электронной почте и других векторах угроз
  • Включение определенных правил сокращения направлений атак

Хотя вы можете использовать вкладки Уязвимости конечных точек и Рекомендуемые действия для оценки состояния безопасности от угрозы, эти рекомендации позволяют предпринять другие шаги по улучшению состояния безопасности. Внимательно прочитайте все рекомендации по устранению рисков в аналитическом отчете и применяйте их, когда это возможно.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.