Erkunden der Bedrohungsanalyse in Microsoft 365

  • 9 Minuten

Threat Analytics ist die produktinterne Threat Intelligence-Lösung von Microsoft. Das Expertenteam von Microsoft aus Sicherheitsexperten hat es entwickelt, um Sicherheitsteams dabei zu unterstützen, so effizient wie möglich zu sein, während sie sich neuen Bedrohungen stellen, z. B.:

  • Aktive Bedrohungsakteure und ihre Kampagnen
  • Beliebte und neue Angriffstechniken
  • Kritische Sicherheitsrisiken
  • Häufige Angriffsflächen
  • Weit verbreitete Schadsoftware

Wirkungsvolle Bedrohungen haben das größte Risiko, Schäden zu verursachen. Bedrohungen mit hoher Gefährdung sind die Bedrohungen, für die Ihre Ressourcen am anfälligsten sind. Wenn Sie Sichtbarkeit über aktive oder laufende Kampagnen erhalten und wissen, was zu tun ist, können Sie Ihrem Security Operations-Team mit Bedrohungsanalysen helfen, fundierte Entscheidungen zu treffen.

Mit komplexeren Angreifern und neuen Bedrohungen, die häufig und weit verbreitet auftreten, ist es wichtig, schnell in der Lage zu sein:

  • Neue Bedrohungen zu erkennen und darauf zu reagieren.
  • Zu erfahren, ob Sie derzeit angegriffen werden.
  • Die Auswirkungen der Bedrohung auf Ihre Ressourcen zu bewerten.
  • Ihre Resilienz gegenüber den Bedrohungen oder ihre Gefährdung gegenüber diesen Bedrohungen zu überprüfen.
  • Die Risikominderungs-, Wiederherstellungs- oder Präventionsmaßnahmen zu identifizieren, die Sie ergreifen können, um die Bedrohungen zu stoppen oder einzudämmen.

Die Bedrohungsanalyseberichte bieten eine Analyse einer nachverfolgten Bedrohung. Sie bieten auch Anleitungen zum Schutz vor dieser Bedrohung. Jeder Bericht enthält die Daten aus Ihrem Netzwerk, die angeben, ob die Bedrohung aktiv ist und ob Sie über entsprechende Schutzmaßnahmen verfügen.

Zusätzliche Anzeige. Wählen Sie den folgenden Link aus, um ein kurzes Video darüber zu watch, wie Bedrohungsanalysen Ihnen helfen können, die neuesten Bedrohungen nachzuverfolgen und sie zu stoppen: Microsoft Defender XDR Threat Analytics.

Bedrohungsanalyse-Dashboard anzeigen

Sie können im Microsoft Defender-Portal über den Navigationsbereich auf die Dashboard Bedrohungsanalyse zugreifen.

Screenshot des Microsoft 365 Defender-Portals mit hervorgehobenen Threat Analytics-Zugriffsoptionen.

Im Bedrohungsanalyse-Dashboard werden die Berichte hervorgehoben, die für Ihre Organisation am relevantesten sind. Es fasst die Bedrohungen in den folgenden Abschnitten zusammen:

  • Neueste Bedrohungen. Listet die zuletzt veröffentlichten oder aktualisierten Bedrohungsberichte zusammen mit der Anzahl aktiver und behobener Warnungen auf.
  • Wirkungsvolle Bedrohungen. Listet die Bedrohungen auf, die die größten Auswirkungen auf Ihre Organisation haben. In diesem Abschnitt werden die Bedrohungen mit der höchsten Anzahl aktiver und behobener Warnungen zuerst aufgelistet.
  • Bedrohungen mit der höchsten Gefährdung. Listet Bedrohungen mit den höchsten Gefährdungsstufen zuerst auf. Das System berechnet die Expositionsstufe einer Bedrohung anhand von zwei Informationen:
    • Der Schweregrad der Sicherheitsrisiken, die der Bedrohung zugeordnet sind.
    • Die Anzahl der Geräte im organization, die ein Angreifer mithilfe dieser Sicherheitsrisiken ausnutzen kann.

Wählen Sie im Dashboard eine Bedrohung aus, um den Bericht für diese Bedrohung anzuzeigen. Sie können auch das Feld Suchen auswählen, um eine Schlüsselwort (keyword) einzugeben, die sich auf den Bedrohungsanalysebericht bezieht, den Sie anzeigen möchten.

Bedrohungsanalysebericht anzeigen

Jeder Bedrohungsanalysebericht enthält Informationen auf mehreren Registerkarten:

  • Übersicht
  • Analystenbericht
  • Verwandte Vorfälle
  • Betroffene Ressourcen
  • Verhinderte E-Mail-Versuche
  • Risikominderungen &

In den folgenden Abschnitten werden diese Registerkarten ausführlicher behandelt.

Registerkarte "Übersicht": Schnelles Verstehen der Bedrohung, Bewerten der Auswirkungen und Überprüfen von Verteidigungsmaßnahmen

Die Registerkarte Übersicht bietet eine Vorschau des detaillierten Analystenberichts. Außerdem werden Diagramme bereitgestellt, die Folgendes hervorheben:

  • Die Auswirkungen der Bedrohung auf Ihre Organisation.
  • Ihre Offenlegung durch falsch konfigurierte und nicht gepatchte Geräte.

Screenshot des Abschnitts

Jeder Bericht enthält Diagramme, die Informationen über die Auswirkungen einer Bedrohung auf die Organisation liefern:

  • Verwandte Vorfälle. Bietet eine Übersicht über die Auswirkungen der nachverfolgten Bedrohung für die Organisation mit den folgenden Daten:
    • Die Anzahl der aktiven Warnungen und die Anzahl der aktiven Vorfälle, mit der sie verknüpft sind.
    • Schweregrad aktiver Vorfälle.
  • Warnungen im zeitlichen Verlauf. Zeigt die Anzahl der zugehörigen aktiven und behobenen Warnungen im Zeitverlauf an. Die Anzahl der behobenen Warnungen gibt an, wie schnell die Organisation auf Warnungen reagiert, die einer Bedrohung zugeordnet sind. Im Idealfall sollte das Diagramm Warnungen anzeigen, die innerhalb weniger Tage behoben wurden.
  • Betroffene Ressourcen. Zeigt die Anzahl unterschiedlicher Geräte und E-Mail-Konten (Postfächer) mit mindestens einer aktiven Warnung an, die der nachverfolgten Bedrohung zugeordnet ist. Das System löst Warnungen für Postfächer aus, die Bedrohungs-E-Mails empfangen haben. Organisationen sollten sowohl Richtlinien auf Organisationsebene als auch auf Benutzerebene auf Außerkraftsetzungen überprüfen, die die Zustellung von Bedrohungs-E-Mails verursachen.
  • Verhinderte E-Mail-Versuche. Zeigt die Anzahl der E-Mails aus den letzten sieben Tagen an, die das System entweder vor der Zustellung blockiert oder an den Junk-E-Mail-Ordner übermittelt hat.

Jeder Bericht enthält Diagramme, die einen Überblick darüber bieten, wie robust die Organisation gegen eine bestimmte Bedrohung ist:

  • Sicherer Konfigurationsstatus. Zeigt die Anzahl der Geräte mit falsch konfigurierten Sicherheitseinstellungen an. Organisationen sollten die empfohlenen Sicherheitseinstellungen anwenden, um die Bedrohung zu mindern. Das System betrachtet Geräte als sicher, wenn das organization alle nachverfolgten Einstellungen angewendet hat.
  • Status des Sicherheitsrisiko-Patches. Zeigt die Anzahl der anfälligen Geräte an. Organisationen sollten Sicherheitsupdates oder Patches anwenden, um von der Bedrohung ausgenutzte Sicherheitsrisiken zu beheben.

Sie können die Liste der Bedrohungsberichte filtern und die relevantesten Berichte nach einem bestimmten Bedrohungstag (Kategorie) oder einer Berichtsart anzeigen.

  • Bedrohungstags. Unterstützen Sie beim Anzeigen der relevantesten Berichte gemäß einer bestimmten Bedrohungskategorie. Beispielsweise alle Berichte im Zusammenhang mit Ransomware.
  • Berichtsarten. Unterstützen Sie beim Anzeigen der relevantesten Berichte gemäß einer bestimmten Berichtsart. Beispielsweise alle Berichte, die Tools und Techniken abdecken.
  • Filter. Unterstützen Sie bei der effizienten Überprüfung der Bedrohungsberichtsliste und beim Filtern der Ansicht basierend auf einem bestimmten Bedrohungstag oder einer bestimmten Berichtsart. Überprüfen Sie beispielsweise alle Bedrohungsberichte im Zusammenhang mit der Ransomware-Kategorie oder Bedrohungsberichte, die Sicherheitsrisiken abdecken.

Das Microsoft Threat Intelligence-Team hat jedem Bedrohungsbericht Bedrohungstags und andere wichtige Informationen hinzugefügt:

  • Vier Bedrohungstags sind jetzt verfügbar:
    • Ransomware
    • Phishing
    • Sicherheitsrisiko
    • Aktivitätsgruppe
  • Oben auf der Seite Bedrohungsanalyse werden Bedrohungstags angezeigt.
  • Es gibt Leistungsindikatoren für die Anzahl der verfügbaren Berichte unter jedem Tag.
  • Sie können die Liste nach Bedrohungstags sortieren.
  • Filter sind pro Bedrohungstag und Berichtsart verfügbar.

Registerkarte "Analystenbericht": Erhalten Sie Expertenerkenntnisse von Microsoft-Sicherheitsexperten

Die Registerkarte Analystenbericht enthält eine detaillierte Analyse der Bedrohung durch Experten. Die meisten Berichte enthalten detaillierte Beschreibungen von Angriffsketten. Diese Beschreibungen umfassen:

  • Taktiken und Techniken, die dem MITRE ATT&CK-Framework zugeordnet sind.
  • Vollständige Listen von Empfehlungen.
  • Leistungsstarke Anleitung zur Bedrohungssuche.

Zusätzliche Informationen. Weitere Informationen finden Sie unter Erfahren Sie mehr über den Analystenbericht.

Auf der Registerkarte Verwandte Vorfälle finden Sie eine Liste aller Vorfälle im Zusammenhang mit der nachverfolgten Bedrohung. Sie können Vorfälle zuweisen oder Warnungen verwalten, die mit jedem Vorfall verknüpft sind.

Screenshot des Abschnitts

Registerkarte "Betroffene Ressourcen": Abrufen der Liste betroffener Geräte und Postfächer

Wenn sich eine aktive, nicht aufgelöste Warnung auf ein Medienobjekt auswirkt, betrachtet das System die Ressource als "betroffen". Auf der Registerkarte Betroffener Ressourcen werden die folgenden Arten betroffener Ressourcen aufgelistet:

  • Geräte. Endpunkte mit nicht aufgelösten Microsoft Defender für Endpunkt-Warnungen. Diese Warnungen werden in der Regel bei Sichten bekannter Bedrohungsindikatoren und Aktivitäten ausgelöst.
  • Postfächer. Postfächer, die E-Mail-Nachrichten empfangen haben, die Microsoft Defender for Office 365 Warnungen ausgelöst haben. Während das System in der Regel die meisten Nachrichten blockiert, die Warnungen auslösen, können Richtlinien auf Benutzer- oder Organisationsebene Filter außer Kraft setzen.

Screenshot des Abschnitts

Registerkarte "Verhinderte E-Mail-Versuche": Anzeigen von blockierten oder Junk-Bedrohungs-E-Mails

Microsoft Defender für Office 365 blockiert in der Regel E-Mails mit bekannten Bedrohungsindikatoren, einschließlich bösartiger Links oder Anlagen. In einigen Fällen senden proaktive Filtermechanismen, die auf verdächtige Inhalte überprüfen, stattdessen Bedrohungs-E-Mails an den Junk-E-Mail-Ordner. Jeder Fall verringert die Wahrscheinlichkeit, dass die Bedrohung Malware-Code auf dem Gerät startet.

Auf der Registerkarte Verhinderte E-Mail-Versuche werden alle E-Mails aufgelistet, die vor der Zustellung blockiert oder an den Junk-E-Mail-Ordner gesendet Microsoft Defender for Office 365.

Screenshot des Abschnitts

Registerkarte "Offenlegung und Risikominderungen": Überprüfen der Liste der Risikominderungen und des Status Ihrer Geräte

Im Abschnitt Offenlegung und Risikominderungen sollte eine Organisation die Liste der spezifischen umsetzbaren Empfehlungen überprüfen, die dazu beitragen können, die Resilienz gegen die Bedrohung zu erhöhen. Die Liste der nachverfolgten Risikominderungen umfasst Folgendes:

  • Sicherheitsupdates. Bereitstellung unterstützter Softwaresicherheitsupdates für Sicherheitsrisiken, die auf integrierten Geräten gefunden wurden
  • Unterstützte Sicherheitskonfigurationen. Zu diesen Risikominderungen gehören:
    • Aus der Cloud gelieferter Schutz
    • Schutz vor potenziell unerwünschten Anwendungen (Potentially Unwanted Applications, PUA)
    • Echtzeitschutz

Informationen zur Risikominderung auf dieser Registerkarte enthalten Daten aus Bedrohungs- und Sicherheitsrisikomanagement. Dieses Feature bietet auch detaillierte Drilldown-Informationen von verschiedenen Links im Bericht.

Screenshot des Abschnitts zur Risikominderung mit Details zur sicheren Konfiguration.

Screenshot des Abschnitts zur Risikominderung mit Details zum Sicherheitsrisiko.