Analytické přehledy
V Analýza hrozeb v programu Microsoft Defender (Defender TI) poskytuje část Přehledy analytiků rychlé přehledy o artefaktu, který vám může pomoct určit další krok při vyšetřování. Tato část obsahuje seznam všech přehledů, které se vztahují k artefaktu, a přehledů, které se nevztahují na další viditelnost.
V následujícím příkladu můžete rychle zjistit, že IP adresa je směrovatelná, hostuje webový server a během posledních pěti dnů měla otevřený port. Systém navíc zobrazuje pravidla, která se neaktivovala, což může být stejně užitečné při zahájení vyšetřování.
Typy analytických přehledů a dotazy, které můžou řešit
| Typy přehledů analytiků | Otázky, které můžou řešit |
|---|---|
| Blokované | Je/kdy byla doména, hostitel nebo IP adresa v seznamu blokovaných? |
| Kolikrát Defender TI zablokoval doménu, hostitele nebo IP adresu? | |
| Zaregistrováno a aktualizováno | Před kolika dny, měsíci a lety byla doména zaregistrovaná? |
| Kdy byl záznam WHOIS domény aktualizován? | |
| Počet IP adres subdomény | Kolik různých IP adres je přidružených k subdoménám domény? |
| Pozorování nových subdomén | Kdy Microsoft naposledy zaznamenal novou subdoménu pro danou doménu? |
| Registrace a řešení | Existuje dotazovaná doména? |
| Překládá se doména na IP adresu? | |
| Počet domén sdílejících záznam WHOIS | Které další domény sdílejí stejný záznam WHOIS? |
| Počet domén sdílejích názvový server | Které další domény sdílejí stejný záznam názvového serveru? |
| Procházené podle RiskIQ | Kdy Microsoft naposledy provedl procházení tohoto hostitele nebo domény? |
| Mezinárodní doména | Je doména dotazována na mezinárodní název domény (IDN)? |
| Blokované třetí stranou | Je tento indikátor blokovaný třetí stranou? |
| Stav výstupního uzlu Tor | Je IP adresa v dotazech přidružená k síti Onion Router (Tor)? |
| Rozpoznané otevřené porty | Kdy naposledy microsoft naskenoval tuto IP adresu? |
| Stav proxy serveru | Jaký je stav proxy serveru tohoto indikátoru? |
| Poslední pozorovaný hostitel | Je daná IP adresa v internetu přístupná? |
| Hostuje webový server. | Má IP adresa server DNS (Domain Name System), který používá své prostředky k překladu názvu příslušného webového serveru? |