Del via

Brug af projekter

  • Artikel

Microsoft Defender Threat Intelligence (Defender TI) giver dig mulighed for at udvikle private personlige projekter eller teamprojekter for at organisere indikatorer for interesse og indikatorer for kompromiser (IOCs) fra en undersøgelse. Projekter indeholder en liste over alle tilknyttede artefakter og en detaljeret historik, der bevarer navne, beskrivelser, samarbejdspartnere og overvågningsprofiler.

Når du søger i en IP-adresse, et domæne eller en vært i Intel Explorer på Microsoft Defender portalen, og hvis indikatoren er angivet i et projekt, du har adgang til, kan du gå til fanen Projekter og navigere til projektets detaljer for at få mere kontekst om indikatoren, før du gennemser de andre datasæt for at få flere oplysninger. Du kan også få vist dine private teamprojekter på Defender-portalen ved at gå til Threat intelligence>Intel-projekter.

Når du besøger oplysninger om et projekt, vises en liste over alle tilknyttede artefakter og en detaljeret historik, der bevarer al den kontekst, der er beskrevet tidligere. Du og andre brugere i organisationen behøver ikke længere at bruge tid på at kommunikere frem og tilbage. Du kan oprette profiler for trusselsaktører i Defender TI, som kan fungere som et "levende" sæt indikatorer. Når du finder eller finder nye oplysninger, kan du føje dem til projektet.

Med Defender TI-platformen kan du udvikle flere projekttyper til organisering af interesseindikatorer og IIC'er fra en undersøgelse.

Projektejeren kan tilføje samarbejdspartnere (brugere, der er angivet i deres Azure-lejer med en Defender TI Premium-licens), som derefter kan foretage ændringer af projektet, som om de er ejer af projektet. Samarbejdspartnere kan dog ikke slette projekter. Samarbejdspartnere kan få vist de projekter, der er delt med dem, under fanen Delte projekter på siden Intel-projekter.

Du kan også downloade artefakter i et projekt ved at vælge ikonet Download . Denne funktion er en fantastisk måde for trusselsjagtteams at bruge deres resultater fra en undersøgelse til at blokere IOCs eller opbygge flere regler for registrering i deres SIEM-programmer (Security Information And Event Management).

Spørgsmål, projekter kan hjælpe med at besvare:

  • Har et af mine teammedlemmer oprettet et teamprojekt, der indeholder denne indikator?

    • I så fald hvilke andre relaterede IOCs har dette teammedlem registreret, og hvilken beskrivelse og hvilke mærker har de inkluderet for at beskrive typen af undersøgelse?

  • Hvornår redigerede gruppemedlemmet sidst projektet?

Skærmbillede af projektdetaljer.

Forudsætninger

  • En Microsoft Entra ID eller personlig Microsoft-konto. Log på, eller opret en konto

  • En Defender TI Premium-licens.

    Bemærk!

    Brugere uden en Defender TI Premium-licens kan stadig få adgang til vores gratis Defender TI-tilbud.

Siden Åbn Defender TI Intel-projekter på Microsoft Defender-portalen

På siden Intel-projekter kan du se de projekter, du ejer, eller som er delt med dig af andre Defender TI-brugere i din lejer.

  1. Få adgang til Defender-portalen , og fuldfør Microsoft-godkendelsesprocessen. Få mere at vide om Defender-portalen
  2. Naviger til Threat intelligence>Intel-projekter.

Oprettelse af et projekt

Du kan oprette et projekt på Defender-portalen på to måder:

  1. Hvis du vil oprette et projekt fra siden Intel-projekter , skal du vælge Nyt projekt.

    Opret nyt projekt fra siden Intel-projekter.

  2. Hvis du vil oprette et nyt projekt, mens du udfører en undersøgelse på siden Intel Explorer , skal du udføre en indikatorsøgning fra Intel Explorer-søgningen og derefter vælge Føj til projekt>Tilføj nyt projekt i søgeresultaterne.

    Opret nyt projekt ud fra søgeresultater.

Udfyld de påkrævede felter i det nye projektsidepanel , der vises, og vælg Gem.

Tilføj nyt projekt.

Administration af projekter

Når du har oprettet et projekt, kan du administrere det på siden Intel-projekter . På denne side vises alle de projekter, du kan få adgang til, og der er filtreringsmekanismer baseret på projektegenskaber.

På siden Intel-projekter vises som standard de teamprojekter, der er knyttet til alle Defender TI-brugere i din lejer. Du kan vælge kun at få vist de personlige projekter, du har oprettet, eller de projekter, der er delt med dig, som du kan bidrage til.

Administration af projekter.

  • Hvis du vil have vist detaljerne for et projekt, skal du vælge projektets navn.
  • Hvis du vil foretage ændringer direkte i projektet, skal du vælge Rediger i øverste højre hjørne af projektsiden. Du kan kun redigere projekter, hvis du har det nødvendige adgangsniveau til dem.
  • Hvis du vil tilføje artefakter manuelt i et projekt, skal du vælge Tilføj artefakt i øverste højre hjørne af projektsiden.
  • Hvis du vil slette et projekt, skal du vælge Fjern projekt. Du kan kun slette de projekter, du ejer.

Anbefalede fremgangsmåder

Når det drejer sig om at bruge Defender TI til at undersøge potentielle trusler, anbefaler vi, at du kører følgende arbejdsprocesser, da disse trin giver dig mulighed for at indsamle strategisk og operationel intelligens, før du dykker ned i taktisk intelligens.

Du udfører forskellige typer søgninger i Defender TI. Det er derfor vigtigt at nærme dig din metode til indsamling af intelligens på en måde, der giver dig brede resultater, før du dykker ned i undersøgelse af specifikke indikatorer. Hvis du f.eks. søger efter en IP-adresse på siden Intel Explorer, hvilke artikler er der så knyttet til denne IP-adresse? Hvilke oplysninger præsenterer disse artikler om den IP-adresse, som du ellers ikke ville finde ved at navigere direkte til fanen Data for IP-adressen for at få beriget datasættet. Er denne IP-adresse f.eks. blevet identificeret som en mulig C2-server (command-and-control)? Hvem er trusselsaktøren? Hvilke andre relaterede IOCs er opført i artiklen, hvilke taktikker, teknikker og procedurer (TTPs) er truslen aktør bruger, og hvem er de rettet mod?

Ud over at udføre forskellige typer søgninger i Defender TI kan du samarbejde med andre om undersøgelser. Når det er sagt, opfordres du til at oprette projekter, tilføje indikatorer, der er relateret til en undersøgelse, til et projekt og føje samarbejdspartnere til et projekt, hvis mere end én person arbejder på den samme undersøgelse. Dette hjælper med at reducere den tid, der bruges på at analysere de samme IOCs, og det bør resultere i en hurtigere arbejdsproces.