Řazení, filtrování a stahování dat
Analýza hrozeb v programu Microsoft Defender (Defender TI) umožňuje přístup k naší rozsáhlé kolekci procházených dat ve formátu indexované a kontingenční tabulky. Tyto datové sady můžou být velké a vracet rozsáhlé objemy historických a nedávných dat. Díky tomu, že vám umožníme data správně seřadit a filtrovat, vám pomůžeme snadno zobrazit zajímavá propojení.
V tomto článku s postupy se dozvíte, jak řadit a filtrovat data pro následující datové sady:
- Rezoluce
- Informace o WHOIS
- Certifikáty
- Subdomény
- Trackery
- Součásti
- Páry hostitelů
- Koláčky
- Služby
- DNS (Domain Name System)
- Reverzní DNS
Další informace o datových sadách
Dozvíte se také, jak stáhnout indikátory nebo artefakty z následujících funkcí:
- Projekty
- Články
- Sady dat
Požadavky
Microsoft Entra ID nebo osobní účet Microsoft. Přihlášení nebo vytvoření účtu
Licence Defender TI Premium.
Poznámka
Uživatelé bez licence Defender TI Premium mají i nadále přístup k naší bezplatné nabídce Defender TI.
Otevřete Defender TI na portálu Microsoft Defender
- Přejděte na portál Defender a dokončete proces ověřování Microsoftu. Další informace o portálu Defender
- Přejděte na Průzkumník Intel pro analýzu hrozeb>.
Řazení dat
Funkce řazení na každé kartě dat umožňuje rychle seřadit sady dat podle hodnot sloupců. Ve výchozím nastavení je většina výsledků seřazená podle posledního zobrazení (sestupně), aby se naposledy pozorované výsledky zobrazily v horní části seznamu. Toto výchozí pořadí řazení okamžitě poskytuje přehled o aktuální infrastruktuře artefaktu.
V současné době se všechny datové sady dají seřadit podle následujících hodnot První zobrazení a Naposledy vidět :
- Poslední výskyt (sestupně) – výchozí
- Naposledy vidět (vzestupně)
- Poprvé vidět (vzestupně)
- První výskyt (sestupně)
Data se dají řadit na každé kartě datové sady pro každou IP adresu, doménu nebo entitu hostitele, která je prohledána nebo na které se zaměřujeme.
Vyhledejte doménu, IP adresu nebo hostitele na panelu hledání v Intel Exploreru .
Přejděte na kartu Rozlišení a potom použijte předvolby řazení na sloupce První vidět a Naposledy vidět.
Filtrování dat
Filtrování dat umožňuje přístup k vybrané skupině dat na základě konkrétní hodnoty metadat. Můžete například zobrazit překlady IP adres zjištěné pouze z vybraného zdroje nebo komponenty určitého typu (například servery nebo architektury). Filtrování dat umožňuje zúžit výsledky dotazu na položky, které vás zajímají.
Vzhledem k tomu, že Defender TI poskytuje specifická metadata, která se shodují s konkrétními datovými typy, jsou možnosti filtru pro každou datovou sadu odlišné.
Filtry řešení
Následující filtry platí pro data rozlišení:
- Systémová značka: Defender TI vytváří tyto značky na základě poznatků zjištěných naším výzkumným týmem. Další informace
- Značka: Vlastní značky, které uživatelé Defenderu TI použili. Další informace
- ASN: Výsledky, které souvisejí s určeným číslem autonomního systému (ASN).
- Síť: Výsledky, které se vztahují k určené síti.
- Zdroj: Zdroj dat, který vytvořil výsledek (například riskiq, emerging_threats).
Filtrování dat rozlišení:
Na panelu hledání v Intel Exploreru vyhledejte doménu, IP adresu nebo hostitele.
Přejděte na kartu Řešení.
Použijte filtry na každý z typů možností filtru, které jste si poznamenali dříve.
Filtry sledování
Následující filtry platí pro data sledování:
- Typ: Určený typ sledování pro každý artefakt (například JarmFuzzyHash nebo GoogleAnalyticsID).
- Adresa: IP adresa, která přímo sledovala sledování nebo má hostitele pro překlad, který sledoval sledování. Tento filtr se zobrazí při hledání IP adresy.
- Název hostitele: Hostitel, který pozoroval tuto hodnotu sledování. Tento filtr se zobrazí při hledání v doméně nebo hostiteli.
Filtrování dat sledování:
Na panelu hledání v Intel Exploreru vyhledejte doménu, IP adresu nebo hostitele.
Přejděte na kartu Sledování.
Použijte filtry na každý z typů možností filtru, které jste si poznamenali dříve.
Filtry komponent
Následující filtry platí pro data komponent:
- Ipaddressraw: IP adresa, která se shoduje s vráceným názvem hostitele.
- Typ: Určený typ komponenty (například vzdálený přístup nebo operační systém).
- Jméno: Název zjištěné komponenty (například Cobalt Strike nebo PHP).
Filtrování dat komponent:
Na panelu hledání v Intel Exploreru vyhledejte doménu, IP adresu nebo hostitele.
Přejděte na kartu Součásti .
Použijte filtry na každý z typů možností filtru, které jste si poznamenali dříve.
Filtry párů hostitelů
Následující filtry platí pro data párování hostitelů:
- Směr: Směr pozorovaného připojení, který označuje, jestli nadřazený objekt přesměruje na podřízené nebo naopak.
- Nadřazený název hostitele: Název hostitele nadřazeného artefaktu.
- Příčina: Zjištěná příčina vztahu mezi nadřazeným a podřízeným objektem hostitele (například redirect nebo iframe.src).
- Název podřízeného hostitele: Název hostitele podřízeného artefaktu.
Filtrování dat párování hostitelů:
Na panelu hledání v Intel Exploreru vyhledejte doménu, IP adresu nebo hostitele.
Přejděte na kartu Páry hostitelů .
Použijte filtry na každý z typů možností filtru, které jste si poznamenali dříve.
Filtry DNS a reverzních filtrů DNS
Následující filtry platí pro data DNS a reverzní data DNS:
- Typ záznamu: Typ záznamu zjištěného v záznamu DNS (například NS nebo CNAME).
- Hodnota: Určená hodnota záznamu (například nameserver.host.com).
Filtrování a reverzních dat DNS:
Na panelu hledání v Intel Exploreru vyhledejte doménu, IP adresu nebo hostitele.
Přejděte na karty DNS a Reverse DNS .
Použijte filtry na každý z typů možností filtru, které jste si poznamenali dříve.
Stahování dat
Defender TI obsahuje různé oddíly, ve kterých můžete exportovat data jako soubor CSV. V následujících částech se podívejte na 
a vyberte Stáhnout:
- Většina karet datové sady
- Projekty
- Články o společnosti Intel
Když stáhnete data z překladů, DNS a reverzního DNS , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| Vyřešit | Záznam přidružený k prohledáné doméně (překlad IP adresy) nebo doméně, která se při hledání IP adresy překládá na IP adresu |
| Umístění | Země nebo oblast, ve které je IP adresa hostovaná |
| Síť | Netblock nebo podsíť |
| autonomousSystemNumber | ASN |
| firstSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Společnost Microsoft poprvé zaznamenala řešení |
| lastSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Společnost Microsoft naposledy zaznamenala řešení |
| Source (Zdroj) | Zdroj, který zaznamenal toto řešení |
| Značky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete data z karty Subdomény , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| název hostitele | Subdoména prohledáné domény |
| visačky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete data z karty Sledování , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| název hostitele | Název hostitele, který pozoroval nebo právě pozoruje sledování |
| firstSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Microsoft poprvé zjistil, že název hostitele používá sledování |
| lastSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Microsoft naposledy zjistil, že název hostitele používal sledování |
| attributeType | Typ sledování |
| attributeValue | Hodnota sledování |
| Značky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete data z karty Komponenty , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| název hostitele | Název hostitele, který pozoroval nebo právě pozoruje komponentu |
| firstSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Microsoft poprvé zjistil, že název hostitele používá komponentu |
| lastSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Microsoft naposledy zjistil, že název hostitele používal komponentu |
| kategorie | Typ komponenty |
| Jméno | Název komponenty |
| verze | Verze komponenty |
| Značky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete data z karty Dvojice hostitelů , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| parentHostname | Název hostitele, který oslovuje název podřízeného hostitele |
| childHostname | Název hostitele, který dodává prostředky, které hostují, do nadřazeného názvu hostitele. |
| firstSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ) při prvním pozorování vztahu mezi nadřazeným a podřízeným názvem hostitele |
| lastSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy Společnost Microsoft naposledy zaznamenala vztah mezi nadřazeným a podřízeným názvem hostitele |
| attributeCause | Příčina vztahu mezi nadřazenou a podřízeným názvem hostitele |
| Značky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete data z karty Soubory cookie , exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| název hostitele | Název hostitele, který pozoroval název souboru cookie |
| firstSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy byl název souboru cookie poprvé zjištěn u názvu hostitele pocházejícího z domény souboru cookie |
| lastSeen | Datum a čas (ve formátu mm/dd/rrrr hh:mm ), kdy byl název souboru cookie u názvu hostitele pocházejícího z domény souboru cookie naposledy pozorován |
| název souboru cookie | Název souboru cookie |
| cookieDomain | Server názvu domény, ze které pochází název souboru cookie |
| Značky | Systémové nebo vlastní značky přidružené k artefaktu |
Když stáhnete seznamy projektů z projektů Intel (Moje projekty, Týmové projekty a Sdílené projekty), exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| Jméno | Název projektu |
| artefakty (počet) | Počet artefaktů v projektu |
| vytvořil(a) (uživatel) | Uživatel, který projekt vytvořil |
| vytvořeno dne | Kdy byl projekt vytvořen |
| visačky | Systémové nebo vlastní značky přidružené k artefaktu |
| kolaboranti | kteří byli do projektu přidáni jako spolupracovníci; toto záhlaví je viditelné pouze pro projekty stažené ze stránek Moje projekty a Sdílené projekty . |
Když stáhnete podrobnosti projektu (artefakty) z projektu, exportují se následující hlavičky:
| Záhlaví | Popis |
|---|---|
| artefakt | Hodnota artefaktu (například IP adresa, doména, hostitel, hodnota WHOIS nebo certifikát SHA-1) |
| typ | Typ artefaktu (například IP adresa, doména, hostitel, organizace WHOIS, telefon WHOIS nebo certifikát SHA-1) |
| vytvořil | Datum a čas (ve formátu mm/dd/rrrr hh:mm ) přidání artefaktu do projektu |
| tvůrce | Email adresu uživatele, který artefakt přidal |
| kontext | Způsob přidání artefaktu do projektu |
| visačky | Systémové nebo vlastní značky přidružené k artefaktu |
| kolaboranti | kteří byli do projektu přidáni jako spolupracovníci; toto záhlaví je viditelné pouze pro projekty stažené ze stránek Moje projekty a Sdílené projekty . |
Stažení veřejných indikátorů analýzy hrozeb nebo indikátorů riskiq exportuje následující hlavičky:
| Záhlaví | Popis |
|---|---|
| typ | Typ ukazatele (například IP adresa, certifikát, doména nebo SHA-256) |
| hodnota | Hodnota ukazatele (například IP adresa, doména nebo název hostitele) |
| zdroj | Zdroj indikátoru (RiskIQ nebo OSINT) |