This is the Trace Id: 1e6fcd31c82992b4ba74f7d62fdc8d36
跳到主要內容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel 檢視所有產品 AI 支援的網路安全性 雲端安全性 資料安全性與治理 身分識別和網路存取權 隱私權與風險管理 AI 的安全性 中小型企業 整合安全性作業 零信任 價格 服務 合作夥伴 為何選擇使用 Microsoft 安全性 網路安全性意識 客戶案例 安全說明資訊 產品試用 受業界認可 Microsoft Security Insider Microsoft 數位防禦報告 安全回應中心 Microsoft 安全性部落格 Microsoft 安全性事件 Microsoft 技術社群 文件 技術內容庫 訓練與認證 Microsoft Cloud 合規性計畫 Microsoft 信任中心 服務信任入口網站 Microsoft 安全未來倡議 商務解決方案中樞 連絡銷售人員 開始免費試用 Microsoft 安全性 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合實境 Microsoft HoloLens Microsoft Viva 量子運算 教育 汽車 金融服務 政府機構 醫療保健 製造 零售 尋找合作夥伴 成為合作夥伴 合作夥伴網路 Microsoft Marketplace 軟體公司 部落格 Microsoft Advertising 開發人員中心 文件 活動 授權 Microsoft Learn Microsoft 研究 檢視網站地圖
使用膝上型電腦工作的男人。

網路威脅搜捕是什麽?

網路威脅搜捕是在組織的網路、端點和資料中主動搜尋未知或未偵測到之威脅的流程。
探索 Microsoft Sentinel

網路威脅搜捕的運作方式

網路威脅搜捕利用威脅搜捕者先發制人地搜尋系統或網路內的潜在威脅和攻擊。這樣做可以敏捷、高效地應對日益複雜的人為操作網路攻擊。雖然傳統的網路安全性方法在事後識別安全性缺口,但網路威脅搜捕是在假設已發生缺口的情况下進行的,並且可以在偵測到潜在威脅後立即識別、調整和回應。

複雜的攻擊者可以入侵組織,並在很長一段時間內 (幾天、幾週甚至更長時間) 不被發現。將網路威脅搜捕新增至您現有的安全性工具設定檔中,如端點偵測及回應 (EDR) 以及安全性資訊與事件管理 (SIEM),可以協助您預防和補救自動安全性工具可能無法偵測到的攻擊。

自動化威脅搜捕

網路威脅搜捕者可以透過使用機器學習、自動化和 AI 來自動化流程的某些方面。利用 SIEM 和 EDR 等解決方案可以協助威脅搜捕者透過監視、偵測和回應潜在威脅來簡化搜捕程序。威脅搜捕者可以建立並自動化不同的劇本,以回應不同的威脅,從而在出現類似攻擊時減輕 IT 小組的負擔。

網路威脅搜捕工具和技術

威脅搜捕者有許多工具可供使用,包括 SIEM 和 XDR 等旨在協同工作的解決方案。

  • SIEM: SIEM 是透過即時分析從多個來源收集資料的解決方案,可以為威脅搜捕者提供有關潜在威脅的線索。
  • 延伸偵測及回應 (XDR): 威脅搜捕者可以使用 XDR,它提供威脅情報和自動化攻擊中斷,以實現對威脅的更大可見度。
  • EDR: EDR 監視使用者裝置,還為威脅搜捕者提供了強大的工具,使其能够取得組織所有端點內潜在威脅的深入解析。

三種類型的網路威脅搜捕

網路威脅搜捕通常採取以下三種形式之一:

結構化: 在結構化搜捕中,威脅搜捕者會尋找指示潜在威脅的可疑策略、技術和程序 (TTP)。威脅搜捕者不是接近資料或系統並尋找入侵者,而是對潜在攻擊者的方法進行假設,並有條不紊地識別攻擊的徵兆。由於結構化搜捕是更積極主動的方法,使用這種策略的 IT 專業人員通常可以快速攔截或封鎖攻擊者。

非結構化: 在非結構化搜捕中,網路威脅搜捕者搜尋入侵指標 (IoC),並從此起點進行搜尋。由於威脅搜捕者可以返回並搜尋歷史資料以尋找模式和線索,因此非結構化搜捕有時可以識別先前未發現的威脅,這些威脅仍可能使組織面臨風險。

情境式: 情境威脅搜捕優先考慮數位生態系統中的特定資源或資料。如果組織評估特定員工或資產具有最高風險,其可以指導網路威脅搜捕者集中精力,或預防或補救針對這些易受攻擊人群、資料集或端點的攻擊。

威脅搜捕步驟和實作

網路威脅搜捕著在調查和補救威脅和攻擊時通常遵循以下基本步驟:

  1. 建立關於潜在威脅的理論或假設。威脅搜捕者可以從識別攻擊者的常見 TTP 開始。
  2. 進行研究。威脅搜捕者調查組織的資料、系統和活動 - SIEM 解決方案可能是實用的工具—並收集和處理相關資訊。
  3. 識別觸發程序。研究結果和其他安全性工具可以協助威脅搜捕者區分調查的起點。
  4. 調查威脅。威脅搜捕者使用其研究和安全性工具來確定威脅是否是惡意的。
  5. 回應和補救。威脅搜捕者採取動作以解决威脅。

搜捕者可以偵測到的威脅類型

網路威脅搜捕能够識別各種不同的威脅,包括以下威脅:

  • 惡意軟體和病毒: 惡意軟體 透過未經授權存取端點裝置來阻礙正常裝置的使用。 網路釣魚攻擊、間諜軟體、廣告軟體、特洛伊木馬程式、蠕蟲和勒索軟體都是惡意軟體的範例。病毒是更常見的惡意軟體形式,旨在透過在傳播到網路上的其他裝置之前記錄、損毀或删除裝置的資料來干擾裝置的正常運作。
  • 內部威脅: 內部威脅源於有權存取組織網路的個人。無論是透過惡意動作還是無意或疏忽行為,這些內部誤用或對組織的網路、資料、系統或設施造成損害。
  • 進階持續性威脅: 侵入組織網路並在一段時間內未被發現的精密策劃執行者代表進階持續性威脅。這些攻擊者技術嫺熟,而且往往資源充足。
    社交工程: 網路攻擊者可以使用操作和欺騙,誤導組織員工洩露存取或敏感性資訊。常見的社交工程攻擊包括網路釣魚、引誘和恐嚇軟體。

網路威脅搜捕最佳做法

在組織中實作網路威脅搜捕通訊協定時,請牢記以下最佳做法:
 
  • 讓威脅搜捕者取得對貴組織的全面可見度。當威脅搜捕者進行全面了解時,其最為成功。
  • 維護互補安全性工具,如 SIEM、XDR 和 EDR。網路威脅搜捕者依靠這些工具提供的自動化和資料來更快地識別威脅,並在具備更大內容的情況下更快地解决問題。
  • 掌握最新出現之威脅和策略的資訊。攻擊者及其策略不斷發展—確保您的威脅搜捕者掌握目前趨勢的最新資源。
  • 訓練員工識別和回報可疑行為。透過讓員工隨時了解情况,减少內部威脅的可能性。
  • 實作弱點管理以减少組織的整體風險暴露風險。

為什麼威脅搜捕對組織十分重要

隨著惡意執行者的攻擊方法日益複雜,組織投資於主動網路威脅搜捕至關重要。作為對更被動的威脅防護形式的補充,網路威脅搜捕填補了安全性間隙,使組織能够補救原本未被發現的威脅。複雜攻擊者的威脅加劇表示組織必須加強防禦,以保持對其處理敏感性資料能力的信任,並降低與安全性缺口相關的成本。

Microsoft Sentinel 這樣的產品可以透過雲端規模收集、儲存和存取歷史資料、簡化調查和自動化常見工作,協助您領先於威脅。這些解決方案可以為網路威脅搜捕者提供強大的工具,協助保護貴組織。
資源

深入了解 Microsoft 安全性

  1.
一名女子正注視著螢幕上的程式碼

Microsoft Sentinel

整合安全性資料與內容,利用 SIEM & AI 優先平台推動由 Agent 驅動的防禦。
深入了解
一名正在使用膝上型電腦工作的人員,鏡頭特寫了電腦螢幕。。

Microsoft Defender 搜補專家

延伸超越端點的主動式威脅搜捕。
深入了解
一名女子在會議室裡拿著膝上型電腦

Microsoft Defender 威脅情報

協助保護您組織免於勒索軟體這類現代敵人和威脅的侵害。
深入了解
同事們在一間充滿科技設備的房間裡一起注視著螢幕

SIEM 與 XDR

偵測、調查和回應整個數位資產中的威脅。
深入了解
回到浮動切換瀏覽控制項
常見問題集

常見問題集

  • 網路威脅搜捕的一個範例是假設型搜捕,其中威脅搜捕者識別出攻擊者可能使用的可疑策略、技術和程序,然後在組織的網路中搜尋其證據。
  • 威脅偵測是主動、通常自動化的網路安全性方法,而威脅搜捕是主動式、非自動化的方法。
  • 安全性作業中心 (SOC) 是集中式函式或小組,無論是現場還是外包,負責改善組織的網路安全性態勢,預防、偵測和回應威脅。網路威脅搜捕是 SOC 用於識別和補救威脅的策略之一。
  • 網路威脅搜捕工具是 IT 小組和威脅搜捕者可用於協助偵測和補救威脅的軟體資源。威脅搜捕工具的範例包括防毒軟體和防火牆防護、EDR 軟體、SIEM 工具和資料分析。
  • 網路威脅搜捕的主要目的是在複雜的威脅和攻擊傷害組織之前主動偵測和補救。
  • 網路威脅情報是網路安全性軟體收集的資訊和資料,通常是自動收集的,作為其安全性通訊協定的一部分,以更好地抵禦網路攻擊。威脅搜捕包括從威脅情報中收集資訊,並使用其為搜尋和補救威脅的假設和動作提供資訊。

關注 Microsoft 安全性

Surface Pro Surface Laptop 組織的 Copilot 供個人使用的 Copilot Microsoft 365 探索 Microsoft 產品 Windows 11 應用程式 帳戶設定檔 下載中心 Microsoft Store 支援 退貨/退款 訂單追蹤 Microsoft 教育 教育裝置 Microsoft Teams 教育版 Microsoft 365 教育版 Office 教育版 教育工作者訓練和發展 學生和家長優惠 Azure 學生版
Microsoft AI Microsoft 安全性 Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft 開發人員工具 Microsoft Learn 支援 AI 市場應用程式 Microsoft 技術社群 Microsoft Marketplace Microsoft Power Platform 軟體公司 Visual Studio 人才招募 公司新聞 Microsoft 隱私權 投資者
中文(台灣) 消費者健康情況隱私權 連絡 Microsoft 隱私權 管理 Cookie 使用規定 商標 有關我們的廣告訊息