Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen
Gilt für:
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Mit komplexeren Angreifern und neuen Bedrohungen, die häufig und weit verbreitet auftreten, ist es wichtig, schnell in der Lage zu sein:
- Bewerten der Auswirkungen neuer Bedrohungen
- Überprüfen Sie Ihre Resilienz gegenüber den Bedrohungen oder deren Gefährdung.
- Identifizieren der Aktionen, die Sie ergreifen können, um die Bedrohungen zu stoppen oder einzudämten
Bei der Bedrohungsanalyse handelt es sich um eine Reihe von Berichten von experten von Microsoft-Sicherheitsexperten, die die relevantesten Bedrohungen abdecken, einschließlich:
- Aktive Bedrohungsakteure und ihre Kampagnen
- Beliebte und neue Angriffstechniken
- Kritische Sicherheitsrisiken
- Häufige Angriffsflächen
- Weit verbreitete Schadsoftware
Jeder Bericht enthält eine detaillierte Analyse einer Bedrohung und umfassende Anleitungen zur Abwehr dieser Bedrohung. Es enthält auch Daten aus Ihrem Netzwerk, die angeben, ob die Bedrohung aktiv ist und ob sie über entsprechende Schutzmaßnahmen verfügen.
Sehen Sie sich dieses kurze Video an, um mehr darüber zu erfahren, wie Bedrohungsanalysen Ihnen helfen können, die neuesten Bedrohungen zu verfolgen und sie zu stoppen.
Erforderliche Rollen und Berechtigungen
In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die für den Zugriff auf Threat Analytics erforderlich sind. In der folgenden Tabelle definierte Rollen beziehen sich auf benutzerdefinierte Rollen in einzelnen Portalen und sind nicht mit globalen Rollen in Microsoft Entra ID verbunden, auch wenn sie ähnlich benannt sind.
| Für die Microsoft Defender XDR ist eine der folgenden Rollen erforderlich. | Eine der folgenden Rollen ist für Defender für Endpunkt erforderlich. | Eine der folgenden Rollen ist für Defender for Office 365 erforderlich. | Eine der folgenden Rollen ist für Defender für Cloud-Apps erforderlich: |
|---|---|---|---|
| Bedrohungsanalyse | Warnungen und Incidentdaten:
|
Warnungen und Incidentdaten:
|
Nicht verfügbar für Defender for Cloud Apps- oder MDI-Benutzer |
Bedrohungsanalyse-Dashboard anzeigen
Die Bedrohungsanalyse Dashboard ist ein hervorragender Ausgangspunkt, um zu den Berichten zu gelangen, die für Ihre organization am relevantesten sind. Es fasst die Bedrohungen in den folgenden Abschnitten zusammen:
- Neueste Bedrohungen: Listen die zuletzt veröffentlichten Bedrohungsberichte zusammen mit der Anzahl der Geräte mit aktiven und aufgelösten Warnungen.
- Bedrohungen mit hohen Auswirkungen: Listen die Bedrohungen, die die größten Auswirkungen auf die organization hatten. In diesem Abschnitt werden Bedrohungen nach der Anzahl der Geräte mit aktiven Warnungen sortiert.
- Bedrohungszusammenfassung: Zeigt die Gesamtwirkung nachverfolgter Bedrohungen an, indem die Anzahl der Bedrohungen mit aktiven und aufgelösten Warnungen angezeigt wird.
Wählen Sie im Dashboard eine Bedrohung aus, um den Bericht für diese Bedrohung anzuzeigen.
Bedrohungsanalysebericht anzeigen
Jeder Bedrohungsanalysebericht enthält Informationen in drei Abschnitten: Übersicht, Analystenbericht und Entschärfungen.
Übersicht: Schnelles Verstehen der Bedrohung, Bewerten ihrer Auswirkungen und Überprüfen der Schutzmaßnahmen
Der Abschnitt Übersicht bietet eine Vorschau des detaillierten Analystenberichts. Es enthält auch Diagramme, die die Auswirkungen der Bedrohung auf Ihre organization und Ihre Offenlegung durch falsch konfigurierte und nicht gepatchte Geräte hervorheben.
– Übersicht eines Bedrohungsanalyseberichts
Bewerten der Auswirkungen auf Ihre organization
Jeder Bericht enthält Diagramme, die Informationen über die Auswirkungen einer Bedrohung auf die Organisation liefern:
- Geräte mit Warnungen: Zeigt die aktuelle Anzahl unterschiedlicher Geräte an, die von der Bedrohung betroffen sind. Ein Gerät wird als Aktiv kategorisiert, wenn dieser Bedrohung mindestens eine Warnung zugeordnet ist, und als Behoben, wenn alle Warnungen, die der Bedrohung auf dem Gerät zugeordnet sind, aufgelöst wurden.
- Geräte mit Warnungen im Zeitverlauf: Zeigt die Anzahl der unterschiedlichen Geräte mit aktiven und aufgelösten Warnungen im Zeitverlauf an. Die Anzahl der aufgelösten Warnungen gibt an, wie schnell Ihr organization auf Warnungen reagiert, die einer Bedrohung zugeordnet sind. Im Idealfall sollte das Diagramm Warnungen anzeigen, die innerhalb weniger Tage behoben wurden.
Überprüfen der Sicherheitsresilienz und des Sicherheitsstatus
Jeder Bericht enthält Diagramme, die einen Überblick darüber bieten, wie resilient Ihr organization gegen eine bestimmte Bedrohung ist:
- Sicherheitskonfiguration status: Zeigt die Anzahl der Geräte an, die die empfohlenen Sicherheitseinstellungen angewendet haben, um die Bedrohung zu mindern. Geräte gelten als sicher , wenn sie alle nachverfolgten Einstellungen angewendet haben.
- Patchen von Sicherheitsrisiken status: Zeigt die Anzahl der Geräte an, auf denen Sicherheitsupdates oder Patches angewendet wurden, die von der Bedrohung ausgenutzte Sicherheitsrisiken beheben.
Analystenbericht: Erhalten Sie Experteneinblicke von Microsoft-Sicherheitsexperten
Wechseln Sie zum Abschnitt Analystenbericht , um sich die detaillierten Expertenberichte durchzulesen. Die meisten Berichte enthalten detaillierte Beschreibungen von Angriffsketten, einschließlich Taktiken und Techniken, die dem MITRE ATT&CK-Framework zugeordnet sind, umfassende Listen mit Empfehlungen und leistungsstarke Anleitungen zur Bedrohungssuche .
Weitere Informationen zum Analystenbericht
Entschärfungen: Überprüfen Sie die Liste der Risikominderungen und die status Ihrer Geräte.
Überprüfen Sie im Abschnitt Entschärfungen die Liste der spezifischen Handlungsempfehlungen, die Ihnen helfen können, die Resilienz Ihrer Organisation gegen die Bedrohung zu erhöhen. Die Liste der nachverfolgten Risikominderungen umfasst Folgendes:
- Sicherheitsupdates: Bereitstellung von Sicherheitsupdates oder Patches für Sicherheitsrisiken
- Microsoft Defender Antiviruseinstellungen
- Security Intelligence-Version
- Aus der Cloud gelieferter Schutz
- Schutz vor potenziell unerwünschten Anwendungen (Potentially Unwanted Applications, PUA)
- Echtzeitschutz
Die Risikominderungsinformationen in diesem Abschnitt enthalten Daten aus Microsoft Defender Vulnerability Management, die auch detaillierte Drilldowninformationen aus verschiedenen Links im Bericht enthalten.
Abschnitt "Entschärfungen" eines Bedrohungsanalyseberichts
Zusätzliche Berichtsdetails und Einschränkungen
Beachten Sie bei der Verwendung der Berichte Folgendes:
- Der Datenbereich basiert auf Ihrem Bereich für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Die status von Geräten werden in Gruppen angezeigt, auf die Sie zugreifen können.
- Diagramme spiegeln nur Risikominderungen wider, die nachverfolgt werden. Überprüfen Sie die Berichtsübersicht auf zusätzliche Risikominderungen, die in den Diagrammen nicht angezeigt werden.
- Entschärfungen garantieren keine vollständige Resilienz. Die bereitgestellten Entschärfungen spiegeln die bestmöglichen Maßnahmen wider, die zur Verbesserung der Resilienz erforderlich sind.
- Geräte werden als "nicht verfügbar" gezählt, wenn sie keine Daten an den Dienst übertragen haben.
- Antivirenstatistiken basieren auf Microsoft Defender Antiviruseinstellungen. Geräte mit Antivirenlösungen von Drittanbietern können als "verfügbar" angezeigt werden.
Verwandte Themen
- Proaktives Auffinden von Bedrohungen mit erweiterter Suche
- Grundlegendes zum Abschnitt "Analystenbericht"
- Bewerten und Beheben von Sicherheitsschwächen und -risiken
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für