Freigeben über


Analysteninsights

Wichtig

Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence -Portal (Defender TI) (https://ti.defender.microsoft.com) eingestellt und ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Security Copilot verwenden. Weitere Informationen

In Microsoft Defender Threat Intelligence (Defender TI) bietet Ihnen der Abschnitt Analysteneinblicke schnelle Einblicke in ein Artefakt, das Ihnen helfen kann, Ihren nächsten Schritt in einer Untersuchung zu bestimmen. In diesem Abschnitt werden alle Erkenntnisse aufgelistet, die für das Artefakt gelten, sowie Erkenntnisse, die nicht für zusätzliche Sichtbarkeit gelten.

Im folgenden Beispiel können Sie schnell feststellen, dass die IP-Adresse routingfähig ist, einen Webserver hostet und innerhalb der letzten fünf Tage einen offenen Port hatte. Darüber hinaus zeigt das System Regeln an, die nicht ausgelöst wurden, was beim Starten einer Untersuchung ebenso hilfreich sein kann.

Screenshot von Analysteneinblicken.

Erkenntnistypen und Fragen von Analysten, die sie beantworten können

Erkenntnistypen für Analysten Fragen, die sie beantworten können
Blocklisted Ist/Wann wurde die Domäne, der Host oder die IP-Adresse blockiert?
Wie oft hat Defender TI die Domäne, den Host oder die IP-Adresse blockiert?
Registriert und aktualisiert Wie viele Tage, Monate und Jahre zuvor wurde die Domäne registriert?
Wann wurde der WHOIS-Domäneneintrag aktualisiert?
Anzahl der Unterdomänen-IP-Adressen Wie viele verschiedene IP-Adressen sind den Unterdomänen der Domäne zugeordnet?
Neue Unterdomänenbeobachtungen Wann hat Microsoft das letzte Mal eine neue Unterdomäne für die betreffende Domäne beobachtet?
Registrieren und Auflösen Ist die abgefragte Domäne vorhanden?
Wird die Domäne in eine IP-Adresse aufgelöst?
Anzahl der Domänen, die den WHOIS-Eintrag gemeinsam nutzen Welche anderen Domänen verwenden denselben WHOIS-Eintrag?
Anzahl der Domänen, die den Namenserver gemeinsam nutzen Welche anderen Domänen verwenden denselben Namenserverdatensatz?
Von RiskIQ durchforstet Wann wurde dieser Host oder diese Domäne zuletzt von Microsoft durchforstet?
Internationale Domäne Wird die Domäne nach einem internationalen Domänennamen (IDN) abgefragt?
Von Drittanbietern blockiert Wird dieser Indikator von einem Drittanbieter in die Sperrliste aufgenommen?
tor exit node status Ist die IP-Adresse in Fragen im Zusammenhang mit dem Onion Router (Tor)-Netzwerk?
Offene Ports erkannt Wann hat Microsoft diese IP-Adresse zuletzt überprüft?
Proxy-status Was ist der Proxy-status dieses Indikators?
Zuletzt beobachteter Host Ist die betreffende IP-Adresse über das Internet zugänglich?
Hosten eines Webservers Verfügt die IP-Adresse über einen DNS-Server (Domain Name System), der seine Ressourcen verwendet, um den Namen für den entsprechenden Webserver aufzulösen?

Siehe auch