Phân tích mối đe dọa trong Microsoft 365 Defender

Threat analytics là giải pháp thông minh về mối đe dọa được tích hợp trong Microsoft. Nó được thiết kế để hỗ trợ các nhóm an ninh làm việc hiệu quả nhất có thể khi đối mặt với những mối đe dọa mới nổi, bao gồm:

• Các tác nhân đe dọa đang hoạt động và các chiến dịch của chúng
• Các kỹ thuật tấn công phổ biến và mới
• Những lỗ hổng quan trọng
• Các bề mặt tấn công thông thường
• Phần mềm độc hại phổ biến

Bạn có thể truy cập phân tích mối đe dọa từ phía trên bên trái thanh điều hướng của cổng thông tin bảo mật Microsoft 365 hoặc từ thẻ bảng điều khiển chuyên dụng hiển thị các mối đe dọa hàng đầu đối với tổ chức của bạn, cả về tác động và mức độ.

Các mối đe dọa có tác động cao có khả năng gây hại lớn nhất, trong khi các mối đe dọa có tiềm năng tiếp xúc cao là những mối đe dọa mà tài sản của bạn dễ bị tổn thương nhất. Khả năng hiển thị trên các chiến dịch đang hoạt động hoặc đang diễn ra và biết phải làm gì thông qua phân tích mối đe dọa có thể giúp trang bị cho nhóm hoạt động bảo mật của bạn những quyết định sáng suốt.

Với những kẻ thù tinh vi hơn và các mối đe dọa mới xuất hiện thường xuyên và phổ biến, điều quan trọng là có thể nhanh chóng:

• Xác định và phản ứng với các mối đe dọa mới
• Tìm hiểu nếu bạn hiện đang bị tấn công
• Đánh giá tác động của mối đe dọa đối với tài sản của bạn
• Xem xét khả năng phục hồi của bạn chống lại hoặc tiếp xúc với các mối đe dọa
• Xác định các hành động giảm thiểu, phục hồi hoặc phòng ngừa mà bạn có thể thực hiện để ngăn chặn hoặc ngăn chặn các mối đe dọa

Mỗi báo cáo cung cấp một phân tích về mối đe dọa được theo dõi và hướng dẫn mở rộng về cách bảo vệ chống lại mối đe dọa đó. Nó cũng kết hợp dữ liệu từ mạng của bạn, cho biết liệu mối đe dọa có đang hoạt động hay không và liệu bạn có áp dụng các biện pháp bảo vệ hay không.

Xem bảng điều khiển phân tích mối đe dọa

Bảng điều khiển phân tích mối đe dọa làm nổi bật các báo cáo phù hợp nhất với tổ chức của bạn. Nó tóm tắt các mối đe dọa trong các mục sau:

Latest threats — liệt kê các báo cáo về mối đe dọa được xuất bản hoặc cập nhật gần đây nhất, cùng với số lượng cảnh báo đang hoạt động và đã được giải quyết.
High-impact threats — liệt kê các mối đe dọa có tác động lớn nhất đến tổ chức của bạn. Phần này liệt kê các mối đe dọa có số lượng cảnh báo đang hoạt động cao nhất và được giải quyết trước tiên.
Highest exposure — liệt kê các mối đe dọa có mức độ phơi nhiễm cao nhất trước tiên. mức độ phơi nhiễm của mối đe dọa được tính toán bằng cách sử dụng hai thông tin: mức độ nghiêm trọng của các lỗ hổng liên quan đến mối đe dọa và số lượng thiết bị trong tổ chức của bạn có thể bị các lỗ hổng đó khai thác.
Chọn một mối đe dọa từ bảng điều khiển để xem báo cáo về mối đe dọa đó.

Xem báo cáo phân tích mối đe dọa

Mỗi báo cáo phân tích mối đe dọa cung cấp thông tin trong một số phần:

• Tổng quan
  Báo cáo phân tích
  Sự cố liên quan
  Tài sản bị ảnh hưởng
  Các nỗ lực email bị ngăn chặn
  Tiếp xúc và biện pháp hạn chế

Tổng quan: Nhanh chóng hiểu được mối đe dọa, đánh giá tác động của nó và xem xét các biện pháp phòng thủ

Phần Tổng quan cung cấp bản xem trước của báo cáo phân tích chi tiết. Nó cũng cung cấp các biểu đồ làm nổi bật tác động của mối đe dọa đối với tổ chức của bạn và mức độ tiếp xúc của bạn thông qua các thiết bị được định cấu hình sai và chưa được vá lỗi.

Đánh giá tác động lên tổ chức của bạn

Mỗi báo cáo bao gồm biểu đồ được thiết kế để cung cấp thông tin về tác động của một mối đe dọa đối với tổ chức:

• Các sự cố liên quan – cung cấp một cái nhìn tổng quan về tác động của mối đe dọa đã được theo dõi đối với tổ chức của bạn với các dữ liệu sau đây:

Số lượng cảnh báo hoạt động và số lượng sự cố hoạt động mà chúng liên quan đến.

Mức độ nghiêm trọng của các sự cố hoạt động

• Cảnh báo theo thời gian – hiển thị số lượng cảnh báo Hoạt động và Đã giải quyết liên quan theo thời gian. Số lượng cảnh báo đã giải quyết cho thấy tốc độ phản ứng của tổ chức của bạn đối với cảnh báo liên quan đến mối đe dọa. Lý tưởng nhất, biểu đồ nên hiển thị các cảnh báo đã giải quyết trong vòng vài ngày.
• Tài sản bị ảnh hưởng – hiển thị số lượng thiết bị và tài khoản email (hộp thư) khác nhau hiện đang có ít nhất một cảnh báo hoạt động liên quan đến mối đe dọa đã được theo dõi. Cảnh báo được kích hoạt cho các hộp thư đã nhận email đe dọa. Xem xét cả chính sách cấp tổ chức và cấp người dùng để kiểm tra các ghi đè gây ra việc gửi email đe dọa.
• Các nỗ lực ngăn chặn email – hiển thị số lượng email trong vòng bảy ngày qua đã bị chặn trước khi gửi hoặc gửi vào thư mục thư rác.

Xem xét sự kiên cường và tư thế bảo mật

Mỗi báo cáo bao gồm biểu đồ cung cấp tổng quan về mức độ sẵn sàng chống lại một mối đe dọa cụ thể của tổ chức của bạn:

• Trạng thái cấu hình bảo mật – hiển thị số lượng thiết bị có cài đặt cấu hình bảo mật không đúng. Áp dụng cài đặt bảo mật được khuyến nghị để giúp giảm thiểu mối đe dọa. Các thiết bị được coi là Bảo mật nếu chúng đã áp dụng tất cả các cài đặt đã theo dõi.
• Trạng thái vá lỗi – hiển thị số lượng thiết bị có lỗ hổng. Áp dụng các bản cập nhật bảo mật hoặc vá lỗi để khắc phục những lỗ hổng được khai thác bởi mối đe dọa.

Xem báo cáo theo nhãn đánh dấu mối đe dọa

Bạn có thể lọc danh sách báo cáo đe dọa và xem các báo cáo quan trọng nhất theo một nhãn đánh dấu mối đe dọa cụ thể (hạng mục) hoặc loại báo cáo.

• Nhãn đánh dấu mối đe dọa – hỗ trợ bạn xem các báo cáo quan trọng nhất theo một hạng mục đe dọa cụ thể. Ví dụ, tất cả các báo cáo liên quan đến ransomware. Loại báo cáo – hỗ trợ bạn xem các báo cáo quan trọng nhất theo một loại báo cáo cụ thể. Ví dụ, tất cả các báo cáo về công cụ và kỹ thuật.
• Bộ lọc – hỗ trợ bạn xem xét danh sách báo cáo đe dọa một cách hiệu quả và lọc theo một nhãn đánh dấu mối đe dọa hoặc loại báo cáo cụ thể. Ví dụ, xem xét tất cả các báo cáo đe dọa liên quan đến hạng mục ransomware hoặc các báo cáo đe dọa liên quan đến lỗ hổng bảo mật.

Hoạt động như thế nào?

Nhóm Microsoft Threat Intelligence đã thêm nhãn đánh dấu mối đe dọa vào mỗi báo cáo đe dọa:

Hiện có bốn nhãn đánh dấu mối đe dọa:

• Ransomware (phần mềm đòi tiền chuộc)
• Phishing (lừa đảo qua email)
• Vulnerability (lỗ hổng bảo mật)
• Activity group (nhóm hoạt động)

Các nhãn đánh dấu mối đe dọa được hiển thị ở đầu trang của trang phân tích đe dọa. Có bộ đếm cho số lượng báo cáo có sẵn dưới mỗi nhãn đánh dấu.

Danh sách cũng có thể được sắp xếp theo nhãn đánh dấu mối đe dọa:

Có sẵn bộ lọc theo nhãn đánh dấu mối đe dọa và loại báo cáo:

Báo cáo của nhà phân tích: Nhận thông tin từ chuyên gia nghiên cứu bảo mật của Microsoft

Trong phần Báo cáo của nhà phân tích, đọc qua bản viết chi tiết của chuyên gia. Hầu hết các báo cáo cung cấp mô tả chi tiết về chuỗi tấn công, bao gồm các chiến thuật và kỹ thuật được ánh xạ vào khung công cụ MITRE ATT&CK, danh sách đề xuất chi tiết và hướng dẫn săn lùng mối đe dọa mạnh mẽ.

Các sự cố liên quan: Xem và quản lý các sự cố liên quan

Tab Các sự cố liên quan cung cấp danh sách các sự cố liên quan đến mối đe dọa đã được theo dõi. Bạn có thể gán các sự cố hoặc quản lý cảnh báo liên kết với mỗi sự cố.

Tài sản bị ảnh hưởng: Nhận danh sách các thiết bị và hộp thư bị ảnh hưởng

Một tài sản được coi là bị ảnh hưởng nếu nó bị ảnh hưởng bởi một cảnh báo hoạt động chưa được giải quyết. Tab Tài sản bị ảnh hưởng liệt kê các loại tài sản bị ảnh hưởng sau đây:

• Thiết bị bị ảnh hưởng – các thiết bị cuối đã có các cảnh báo chưa được giải quyết từ Microsoft Defender for Endpoint. Các cảnh báo này thường được kích hoạt khi phát hiện các chỉ số mối đe dọa và hoạt động đã biết.
• Hộp thư bị ảnh hưởng – các hộp thư đã nhận các email đã kích hoạt các cảnh báo từ Microsoft Defender for Office 365. Trong khi hầu hết các email kích hoạt cảnh báo thường bị chặn, các chính sách cấp người dùng hoặc cấp tổ chức có thể ghi đè lên bộ lọc.

Các lần thử gửi email bị chặn: Xem các email đe dọa bị chặn hoặc gửi vào thư rác

Microsoft Defender for Office 365 thường chặn các email có chỉ số mối đe dọa đã biết, bao gồm các liên kết hay tập tin đính kèm độc hại. Trong một số trường hợp, các cơ chế lọc tiên phong kiểm tra nội dung đáng ngờ sẽ chuyển các email đe dọa vào thư mục thư rác. Trong cả hai trường hợp, khả năng mối đe dọa khởi chạy mã độc hại trên thiết bị sẽ giảm đi.

Tab Các lần thử gửi email bị chặn liệt kê tất cả các email đã bị chặn trước khi gửi hoặc đã được gửi vào thư mục thư rác bởi Microsoft Defender for Office 365.

Tiếp xúc và biện pháp hạn chế: Xem danh sách biện pháp hạn chế và trạng thái của các thiết bị của bạn

Trong phần Tiếp xúc và biện pháp hạn chế, xem qua danh sách các khuyến nghị cụ thể có thể giúp bạn nâng cao sự kiên cường tổ chức của mình đối mặt với mối đe dọa. Danh sách các biện pháp hạn chế đã được theo dõi bao gồm:

Cập nhật bảo mật – triển khai cập nhật bảo mật phần mềm được hỗ trợ để khắc phục các lỗ hổng trên các thiết bị đã được đăng ký

Cấu hình bảo mật được hỗ trợ

Bảo vệ được cung cấp từ đám mây

Bảo vệ khỏi ứng dụng không mong muốn (PUA)

Bảo vệ thời gian thực

Thông tin về biện pháp hạn chế trong phần này tích hợp dữ liệu từ Microsoft Defender Vulnerability Management, cung cấp thông tin chi tiết từ các liên kết khác nhau trong báo cáo.

Liên hệ mua

Với nội dung bài viết trên đây, Pacisoft hi vọng có thể phần nào hiểu rõ hơn về cách Phân tích mối đe dọa trong Microsoft 365 Defender. Liên hệ Pacisoft để được tư vấn nhiệt tình nhất.

• (024) 32 028 112 | (028) 36 229 885
• sales@pacisoft.com
• Chat với chuyên viên tư vấn Online
• www.PACISOFT.vn/lien-he  • www.PACISOFT.com

Tìm hiểu thêm sản phẩm Microsoft bản quyền

• Mua bán phần mềm Microsoft bản quyền
• Thông báo quan trọng về việc Microsoft tăng giá sản phẩm kênh Open License
• Trang tin tức Microsoft
• Office 365 bản quyền
• Microsoft 365 bản quyền
• Windows 10 bản quyền
• Windows Server bản quyền
• SQL Server bản quyền
• Visual Studio bản quyền
• Exchange Server bản quyền
• Azure bản quyền
• SharePoint bản quyền
• Microsoft Visio bản quyền
• Microsoft Project bản quyền
• Word, Excel, PowerPoint, Access, Outlook bản quyền
• Cấp phép phần mềm Microsoft
• Key điện tử (ESD) là gì?