Del via

Hvad er Microsoft Defender Threat Intelligence (Defender TI)?

  • Artikel

Microsoft Defender Threat Intelligence (Defender TI) er en platform, der strømliner triage, svar på hændelser, trusselsjagt, administration af sårbarheder og analytikere af trusselsintelligens, når der udføres analyse af trusselsinfrastruktur og indsamling af trusselsintelligens. Med sikkerhedsorganisationer, der reagerer på en stadig stigende mængde intelligens og beskeder i deres miljø, er det vigtigt at have en trusselsanalyse en intelligensplatform, der giver mulighed for nøjagtige og rettidige vurderinger af advarsler.

Analytikere bruger en betydelig mængde tid på registrering, indsamling og fortolkning af data i stedet for at fokusere på, hvad der rent faktisk hjælper deres organisation med at forsvare sig – afledt indsigt om skuespillerne gennem analyse og korrelation. Disse analytikere skal ofte gå til flere lagre for at få de vigtige datasæt, de har brug for til at vurdere et mistænkeligt domæne, en vært eller en IP-adresse. DNS-data, WHOIS-oplysninger, malware og SSL-certifikater giver vigtig kontekst til indikatorer for kompromitterede (IOC'er), men disse lagre distribueres bredt og deler ikke altid en fælles datastruktur.

Denne brede distribution af lagre gør det vanskeligt for analytikere at sikre, at de har alle de relevante data, de har brug for, for at foretage en korrekt og rettidig vurdering af mistænkelig infrastruktur. Det kan også være besværligt at interagere med disse datasæt, og pivotering mellem disse lagre er tidskrævende og afløber ressourcerne i grupper af sikkerhedshandlinger, der konstant har brug for at omprioritere deres svarindsats.

Trusselsintelligensanalytikere kæmper med at afbalancere en stor del af trusselsintelligensindtagelse med analysen af, hvilken trusselsintelligens der udgør de største trusler mod deres organisation og/eller branche. I samme omfang kæmper sårbarhedsintelligensanalytikere med oplysninger om deres aktivoversigt med CVE-oplysninger (Common Vulnerabilities and Exposures) for at prioritere undersøgelsen og afhjælpningen af de mest kritiske sårbarheder, der er knyttet til deres organisation.

Microsoft genfortolker arbejdsprocessen for analytikere ved at udvikle Defender TI, som aggregerer og beriger kritiske datakilder og viser dem i en innovativ, brugervenlig grænseflade, hvor brugerne kan korrelere indikatorer for kompromiser (IOCs) med relaterede artikler, agentprofiler og sårbarheder. Defender TI gør det også muligt for analytikere at samarbejde med andre Defender TI-licenserede brugere i deres lejer om undersøgelser.

Følgende er et skærmbillede af Siden Intel Explorer for Defender TI på Microsoft Defender-portalen. Analytikere kan hurtigt scanne nye udvalgte artikler og udføre et nøgleord, en indikator eller en CVE-id-søgning for at begynde deres intelligensindsamling, -triage, hændelsessvar og jagtindsats.

ti Oversigt Startside Chrome Skærmbillede.

Defender TI-artikler

Artikler er fortællinger, der giver indsigt i trusselsaktører, værktøjer, angreb og sårbarheder. Defender TI-artikler er ikke blogindlæg om trusselsintelligens; Selvom disse artikler opsummerer forskellige trusler, linker de også til handlingsbaseret indhold og vigtige IOCs for at hjælpe brugerne med at reagere. Hvis du har disse tekniske oplysninger i trusselsoversigterne, kan brugerne løbende spore trusselsaktører, værktøjer, angreb og sårbarheder, når de ændres.

Afsnittet Udvalgte artikler på siden Intel Explorer (lige under søgelinjen) viser bannerbillederne af bemærkelsesværdige Microsoft-indhold:

Udvalgte ti-oversigtsartikler

Udvalgte artikler vises også i widgetten Udvalgte trusselsintelligensartikler på startsiden for Defender Portal:

Skærmbillede af widgetten Udvalgte trusselsintelligensartikler på startsiden for Defender Portal.

Hvis du vælger et banner med udvalgte artikler, indlæses hele artikelindholdet. Snapshot af artiklen giver dig en hurtig forståelse af artiklen. Udkald af indikatorer viser, hvor mange offentlige indikatorer og Defender TI-indikatorer der er knyttet til artiklen.

Udvalgt TI-oversigtsartikel

Artikler

Alle artikler (herunder de udvalgte artikler) er angivet i afsnittet Seneste artikler i henhold til deres udgivelsesdato, hvor den nyeste er øverst.

Ti-oversigtsartikler.

Afsnittet Beskrivelse i en artikel indeholder oplysninger om den profilerede angrebs- eller trusselsaktør. Indholdet kan være kort – f.eks. osint-bulletiner (open source intelligence) eller lange (til rapportering i lang tid, især når Microsoft øger rapporten med deres egen analyse). De længere beskrivelser kan indeholde billeder, links til det underliggende indhold, links til søgninger i Defender TI, kodestykker for hackere og firewallregler for at blokere angrebet.

Beskrivelse af TI-oversigtsartikel.

Afsnittet Offentlige indikatorer viser de kendte indikatorer, der er relateret til artiklen. Linkene i disse indikatorer fører dig til relevante Defender TI-data eller eksterne kilder.

Ti Oversigt artikel Offentlige indikatorer.

Afsnittet Om Defender TI-indikatorer dækker de indikatorer, som Defender TI's eget forskningsteam finder relateret til artiklerne. Linkene i disse indikatorer fører dig også til relevante Defender TI-data eller eksterne kilder.

Disse links pivoter også ind i de relevante Defender TI-data eller den tilsvarende eksterne kilde.

TI Oversigt artikel Defender TI indikatorer.

Artikler om sikkerhedsrisici

Defender TI tilbyder CVE-id-søgninger for at hjælpe dig med at identificere vigtige oplysninger om CVE. CVE-id-søgninger resulterer i sårbarhedsartikler.

Hver artikel om sårbarheder indeholder:

  • En beskrivelse af CVE
  • En liste over berørte komponenter
  • Skræddersyede afhjælpningsprocedurer og -strategier
  • Relaterede intelligence-artikler
  • Referencer i dyb og mørk webchat
  • Andre vigtige observationer

Disse artikler giver en dybere kontekst og indsigt, der kan handles på, bag hvert CVE, så brugerne hurtigere kan forstå og afhjælpe disse sårbarheder.

Artikler om sårbarheder omfatter også en Defender TI-prioritetsscore og en alvorsgradsindikator. Defender TI-prioritetsscoren er en entydig algoritme, der afspejler prioriteten for et CVE baseret på CVSS-score (Common Vulnerability Scoring System), udnyttelser, chatter og sammenkædning med malware. Den evaluerer recency af disse komponenter, så du kan forstå, hvilke CVEs der skal afhjælpes først.

Score for omdømme

Ip-omdømmedata er vigtige for at forstå troværdigheden af din egen angrebsoverflade og er også nyttige, når du skal vurdere ukendte værter, domæner eller IP-adresser, der vises i undersøgelser. Defender TI leverer scorer for beskyttet omdømme for alle værts-, domæne- eller IP-adresser. Uanset om du validerer omdømmet for en kendt eller ukendt enhed, hjælper disse scorer dig med hurtigt at forstå eventuelle registrerede bånd til skadelig eller mistænkelig infrastruktur.

Kort over omdømmeoversigt.

Defender TI indeholder hurtige oplysninger om aktiviteten for disse enheder, f.eks. tidsstempler for første og sidst set, ASN (Autonomous System Number), land eller område, tilknyttet infrastruktur og en liste over regler, der påvirker omdømmescoren, når det er relevant.

Læs mere om omdømmescore

Analytikerindsigt

Analytikerindsigt destiller Microsofts store datasæt til en håndfuld observationer, der forenkler undersøgelsen og gør den mere tilgængelig for analytikere på alle niveauer.

Indsigt er beregnet til at være små fakta eller observationer om et domæne eller en IP-adresse. De giver dig mulighed for at vurdere den forespurgte indikator og forbedre din evne til at afgøre, om en indikator, du undersøger, er ondsindet, mistænkelig eller godartet.

Oversigtskort over analytikerindsigt.

Læs mere om analytikerindsigt

Datasæt

Microsoft centraliserer mange datasæt i Defender TI, hvilket gør det nemmere for Microsofts community og kunder at udføre infrastrukturanalyser. Microsofts primære fokus er at levere så mange data som muligt om internetinfrastruktur for at understøtte forskellige sikkerhedsanvendelsessager.

Microsoft indsamler, analyserer og indekserer internetdata ved hjælp af DNS-sensorer (Passive Domain Name Systems), portscanning, URL-adresse og fil detonation og andre kilder for at hjælpe brugerne med at registrere trusler, prioritere hændelser og identificere infrastruktur, der er knyttet til trusselsaktørgrupper. Dine URL-søgninger kan bruges til automatisk at starte deonationer, hvis der ikke er tilgængelige detonationsdata for en URL-adresse på tidspunktet for anmodningen. Dataene, der indsamles fra sådanne detonationer, bruges til at udfylde resultaterne for eventuelle fremtidige søgninger efter den pågældende URL-adresse fra dig eller andre Defender TI-brugere.

Understøttede internetdatasæt omfatter:

  • Beslutninger
  • WHOIS
  • SSL-certifikater
  • Underdomæner
  • DNS
  • Omvendt DNS
  • Analyse af detonation
  • Afledte datasæt, der indsamles fra DOM (Document Object Model) for deonerede URL-adresser, herunder:
    • Bane
    • Komponenter
    • Værtspar
    • Cookies

Komponenter og sporingskomponenter overholdes også fra registreringsregler, der udløses på baggrund af bannersvar fra portscanninger eller SSL-certifikatoplysninger. Mange af disse datasæt har forskellige metoder til at sortere, filtrere og downloade data, hvilket gør det nemmere at få adgang til oplysninger, der kan være knyttet til en bestemt indikatortype eller tid i historikken.

Skærmbillede af sortering af datasæt.

Få mere at vide:

Mærker

Defender TI-tags giver hurtig indsigt i en indikator, uanset om den er afledt af systemet eller genereret af andre brugere. Mærker hjælper analytikere med at forbinde prikkerne mellem aktuelle hændelser og undersøgelser og deres historiske kontekst for at forbedre analysen.

Defender TI tilbyder to typer mærker: systemtags og brugerdefinerede mærker.

Brugerdefinerede mærker

Få mere at vide om brug af mærker

Projekter

Defender TI giver brugerne mulighed for at udvikle flere projekttyper til organisering af interesseindikatorer og indikatorer for kompromis fra en undersøgelse. Projekter indeholder en liste over alle tilknyttede indikatorer og en detaljeret historik, der bevarer navne, beskrivelser og samarbejdspartnere.

Når du søger efter en IP-adresse, et domæne eller en vært i Defender TI, og hvis indikatoren er angivet i et projekt, du har adgang til, kan du se et link til projektet fra siden Intel-projekter under fanerne Oversigt og Data . Herfra kan du navigere til detaljerne i projektet for at få mere kontekst om indikatoren, før du gennemser de andre datasæt for at få flere oplysninger. Du kan derfor undgå at genopfinde hjulet i en undersøgelse, som en af dine Defender TI-lejerbrugere muligvis allerede er startet på. Hvis nogen føjer dig som samarbejdspartner til et projekt, kan du også føje dig til undersøgelsen ved at tilføje nye IIC'er.

Skærmbillede af projektdetaljer.

Få mere at vide om brug af projekter

Dataopbevaring, tilgængelighed og beskyttelse af personlige oplysninger

Defender TI indeholder både globale data og kundespecifikke data. De underliggende internetdata er globale Microsoft-data. mærkater, der anvendes af kunder, betragtes som kundedata. Alle kundedata gemmes i det område, kunden vælger.

Af sikkerhedsmæssige årsager indsamler Microsoft brugernes IP-adresser, når de logger på. Disse data gemmes i op til 30 dage, men kan gemmes længere, hvis det er nødvendigt for at undersøge potentiel falsk eller skadelig brug af produktet.

I et scenarie med nedetid for et område bør kunderne ikke se nogen nedetid, da Defender TI bruger teknologier, der replikerer data til sikkerhedskopieringsområder.

Defender TI behandler kundedata. Kundedata replikeres som standard til det parrede område.

Se også