Analytikerindsigt
I Microsoft Defender Threat Intelligence (Defender TI) giver afsnittet Analytikerindsigt dig hurtig indsigt i en artefakt, der kan hjælpe med at bestemme dit næste trin i en undersøgelse. I dette afsnit vises alle indsigter, der gælder for artefaktet, og indsigter, der ikke gælder for ekstra synlighed.
I følgende eksempel kan du hurtigt afgøre, om IP-adressen kan sendes, er vært for en webserver og har haft en åben port inden for de seneste fem dage. Desuden viser systemet regler, der ikke blev udløst, hvilket kan være lige så nyttigt, når en undersøgelse startes.
Indsigtstyper og spørgsmål til analytikere, som de kan håndtere
| Indsigtstyper for analytikere | Spørgsmål, de kan besvare |
|---|---|
| Blokeret | Er/hvornår blev domænet, værten eller IP-adressen blokeret? |
| Hvor mange gange har Defender TI blokeret domænet, værten eller IP-adressen? | |
| Registreret og opdateret | Hvor mange dage, måneder og år siden blev domænet registreret? |
| Hvornår blev domæne-WHOIS-posten opdateret? | |
| Ip-antal underdomæner | Hvor mange forskellige IP-adresser er knyttet til domænets underdomæner? |
| Nye observationer af underdomæne | Hvornår har Microsoft sidst observeret et nyt underdomæne for det pågældende domæne? |
| Registreret og løsning | Findes det domæne, der blev forespurgte? |
| Omsættes domænet til en IP-adresse? | |
| Antal domæner, der deler WHOIS-posten | Hvilke andre domæner deler den samme WHOIS-post? |
| Antal domæner, der deler navneserveren | Hvilke andre domæner deler samme navneserverpost? |
| Gennemsøgt af RiskIQ | Hvornår blev denne vært eller dette domæne sidst gennemsøgt af Microsoft? |
| Internationalt domæne | Sendes der en forespørgsel til domænet om et internationalt domænenavn (IDN)? |
| Blokeret af tredjepart | Er denne indikator blokeret af en tredjepart? |
| Status for tor-afslutningsnode | Er IP-adressen i spørgsmål, der er knyttet til Tor-netværket (Onion Router)? |
| Der blev fundet åbne porte | Hvornår har Microsoft sidst scannet denne IP-adresse? |
| Proxystatus | Hvad er proxystatus for denne indikator? |
| Senest observeret vært | Er den pågældende IP-adresse tilgængelig for internettet? |
| Hoster en webserver | Har IP-adressen en DNS-server (Domain Name System), der bruger sine ressourcer til at fortolke navnet på den relevante webserver? |