適用於雲端的 Microsoft Defender 威脅情報報告
適用於雲端的 Microsoft Defender 威脅情報報告如何協助您深入瞭解觸發安全性警示的威脅。
何謂威脅情報報告?
適用於雲端的 Defender 威脅防護的運作方式,是透過監視來自 Azure 資源、網路、連結合作夥伴解決方案的安全性資訊。 其會分析這項資訊 (通常是來自多個來源的相互關聯資訊) 以識別威脅。 如需詳細資訊,請參閱適用於雲端的 Microsoft Defender 如何偵測及回應威脅。
資訊安全中心識別到威脅後,會觸發包含事件相關詳細資訊的安全性警示,並包含補救的建議。 為協助事件回應小組調查和補救威脅,適用於雲端的 Defender 提供的威脅情報報告,包含所偵測到威脅的資訊。 此報告包含下列資訊:
- 攻擊者的身分識別或關聯 (如果有提供這項資訊)
- 攻擊者的目標
- 目前和歷史攻擊活動 (如果有提供這項資訊)
- 攻擊者的策略、工具和程序
- 關聯的入侵指標 (IOC),如 URL 和檔案摘要
- 內容為產業和地理普遍性的犧牲者學可協助判斷 Azure 資源是否面臨風險
- 風險降低和補救資訊
注意
任何特定報告中所含的資訊數量各有不同;詳細程度視惡意程式碼的活動和盛行情況而定。
適用於雲端的 Defender 有三種威脅報告,不同攻擊會提供不同的報告。 可用的報告如下:
- 群組活動報告︰提供攻擊者、其目標和策略的深入探討。
- 活動報告︰著重說明特定攻擊活動的詳細資料。
- 威脅摘要報告︰涵蓋先前兩種報告的所有項目。
在事件回應過程中,這種類型的資訊很有用。 例如,當有持續調查來瞭解攻擊來源、攻擊者的動機,以及未來要如何減輕此問題時。
如何存取威脅情報報告?
從適用於雲端的 Defender 的選單中,開啟 [安全性警示] 頁面。
選取警示。
[警示詳細資料] 頁面隨即開啟,其中包含警示的更多詳細資料。
選取報表的連結後,您預設的瀏覽器會開啟 PDF。
您也可以選擇性下載此 PDF 報表。
提示
根據警示類型而定,針對每個安全性警示所提供的資訊數量會有所不同。
下一步
此頁面說明如何在調查安全性警示時開啟威脅情報報告。 如需相關資訊,請參閱下列頁面: