Sdílet prostřednictvím

Kurz: Shromažďování informací o ohrožení zabezpečení

  • Článek

V tomto kurzu se dozvíte, jak na portálu Microsoft Defender pomocí Analýza hrozeb v programu Microsoft Defender (Defender TI) shromáždit informace o ohrožení zabezpečení pomocí několika typů hledání indikátorů.

Požadavky

  • Microsoft Entra ID nebo osobní účet Microsoft. Přihlášení nebo vytvoření účtu

  • Licence Defender TI Premium.

    Poznámka

    Uživatelé bez licence Defender TI Premium mají stále přístup k naší bezplatné nabídce Defender TI.

Zřeknutí se

Defender TI může zahrnovat živé pozorování v reálném čase a indikátory hrozeb, včetně škodlivé infrastruktury a nástrojů pro nežádoucí hrozby. Hledání všech IP adres a domén v rámci Defender TI je bezpečné. Microsoft sdílí online prostředky (například IP adresy, názvy domén), které jsou považovány za skutečné hrozby, které představují jasné a aktuální nebezpečí. Při provádění následujícího kurzu vás žádáme, abyste při interakci se škodlivými systémy použili jejich nejlepší úsudek a minimalizovali zbytečná rizika. Microsoft minimalizuje rizika odstraněním škodlivých IP adres, hostitelů a domén.

Než začnete

Jak už bylo uvedeno v právní odpovědnosti, podezřelé a škodlivé indikátory jsou kvůli vaší bezpečnosti defanged. Při hledání v Defenderu TI odeberte z IP adres, domén a hostitelů všechny hranaté závorky. Tyto indikátory neprohledejte přímo v prohlížeči.

Otevřete Defender TI na portálu Microsoft Defender

  1. Přejděte na portál Defender a dokončete proces ověřování Microsoftu. Další informace o portálu Defender
  2. Přejděte na Průzkumník Intel pro analýzu hrozeb>.

Informace o funkcích domovské stránky Intel Exploreru

  1. Výběrem rozevírací nabídky zkontrolujte možnosti vyhledávacího panelu Intel Exploreru.

    Tutorial Vulnerability Intel Search Bar.

  2. Posuňte se dolů a projděte si doporučené a poslední články v příslušných oddílech. Další informace o článcích o Defenderu TI

    ti Přehled Domovská stránka Snímek obrazovky Chrome.

Vyhledávání indikátorů a shromažďování informací o ohrožení zabezpečení

  1. Vyhledejte CVE-2020-1472 na panelu hledání v Průzkumníku Intel a vyberte a zkontrolujte přidružený profil Intel CVE-2020-1472 – Ohrožení zabezpečení z důvodu zvýšení oprávnění pro Netlogon.

    Snímek obrazovky s profilem ohrožení zabezpečení netlogonu CVE-2020-1472

  2. Vyberte kartu Související články profilu a pak vyberte článek Graphican: Nylon Typhoon (NICKEL) používá nové zadní vrátka v útocích zacílených na zahraniční ministerstva.

    Tutorial Vulnerability Graphican článek.

  3. Vyberte veřejné indikátory tohoto nově otevřeného článku. Měla by se zobrazit IP adresa 50.116.3[.]164 mezi uvedenými ukazateli.

    Tutorial Vulnerability Graphican public indicators.

  4. Přejděte zpět na vyhledávací panel Intel Exploreru a vyhledejte 50.116.3[.]164.

  5. Na kartě Souhrn zkontrolujte následující výsledky:

    • Pověst
    • Analytické přehledy
    • Články
    • Služby
    • Rezoluce
    • Certifikáty
    • Projekty

    Tutorial Vulnerability Intel Ip Summary Tab.

    Můžete také vybrat a zkontrolovat informace na příslušných kartách.

  6. Vyberte kartu Rozlišení a pak vyberte piwik.enpers[.]com.

    Kurz Ohrožení zabezpečení Intel Domain Pivot.

  7. Zkontrolujte překlady, WHOIS, certifikáty, subdomény, sledovací moduly, komponenty, soubory cookie, DNS a sady reverzních dat DNS.

    Projděte si kurz řešení domén analýzy ohrožení zabezpečení.

    Kurz kontroly domény analýzy ohrožení zabezpečení WHOIS

  8. Proveďte příslušná hledání artefaktů z předchozích kroků. V rozevírací nabídce vyhledávacího panelu Intel Exploreru můžete odkazovat na různé možnosti hledání a používat je.

Vyčistit prostředky

V této části nejsou k dispozici žádné prostředky, které by bylo možné vyčistit.

Viz také