Suchen und drehen
Wichtig
Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence -Portal (Defender TI) (https://ti.defender.microsoft.com
) eingestellt und ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Security Copilot verwenden.
Weitere Informationen
Microsoft Defender Threat Intelligence (Defender TI) bietet eine robuste und flexible Suchmaschine, um den Untersuchungsprozess zu optimieren. Defender TI ist so konzipiert, dass Sie über verschiedene Indikatoren aus verschiedenen Datenquellen hinweg navigieren können, sodass Es einfacher denn je ist, Beziehungen zwischen unterschiedlichen Infrastrukturen zu erkennen.
In diesem Artikel erfahren Sie, wie Sie eine Suche durchführen und über verschiedene Datasets hinweg pivotieren, um Beziehungen zwischen verschiedenen Artefakten zu ermitteln.
Voraussetzungen
Eine Microsoft Entra-ID oder ein persönliches Microsoft-Konto. Anmelden oder Erstellen eines Kontos
Eine Defender TI Premium-Lizenz.
Hinweis
Benutzer ohne Defender TI Premium-Lizenz können weiterhin auf unser kostenloses Defender TI-Angebot zugreifen.
Öffnen von Defender TI im Microsoft Defender-Portal
- Greifen Sie auf das Defender-Portal zu, und schließen Sie den Microsoft-Authentifizierungsprozess ab. Weitere Informationen zum Defender-Portal
- Navigieren Sie zu Threat Intelligence>Intel Explorer.
Durchführen von Threat Intelligence-Such- und Pivotvorgängen
Die Intel Explorer-Suche von Defender TI ist sowohl einfach als auch leistungsstark und wurde entwickelt, um sofortige wichtige Erkenntnisse zu gewinnen und gleichzeitig direkt mit den Datasets zu interagieren, aus denen diese Erkenntnisse bestehen. Die Suchleiste unterstützt verschiedene Eingaben; Sie können nach bestimmten Artefakten und Artikel- oder Projektnamen suchen.
Artefakttypen suchen
IP-Adresse: Suche 195.161.141[.]65 in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer IP-Adresssuche.
Domäne: Suchen Sie
fabrikam.com
in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer Domänensuche.Gastgeber: Suchen Sie
canary.fabrikam.com
in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer Hostsuche.Schlüsselwort: Suchen Sie apt29 in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer Schlüsselwort (keyword) Suche. Schlüsselwortsuchen decken jede Art von Schlüsselwort (keyword) ab, z. B. einen Begriff oder eine E-Mail-Adresse, und sie führen zu Zuordnungen mit Artikeln, Projekten und Datasets.
CVE-ID (Common Vulnerabilities and Exposures): Suchen Sie CVE-2021-40444 in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer CVE-ID Schlüsselwort (keyword) Suche.
Artikel: Suchen Sie Commodity Skimming & Magecart Trends im ersten Quartal 2022 in der Intel Explorer-Suchleiste. Diese Aktion führt zu einer Artikelsuche.
Etikett: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste die Option Tag aus, und suchen Sie dann nach Magecart. Diese Aktion führt zu einer Tagsuche.
Hinweis
Diese Suche gibt keine Artikel zurück, die diesen Tagwert gemeinsam verwenden.
Bestandteil: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste Die Option Komponente aus, und suchen Sie dann nach Kobalt streichen Diese Aktion führt zu einer Komponentensuche.
Aufspürer: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste Tracker aus, und suchen Sie dann 07d14d16d21d00042d41d00041d47e4e0ae17960b2a5b4fd6107fbb0926. Diese Aktion führt zu einer Nachverfolgungssuche.
Hinweis
Dieses Beispiel ist ein JarmHash-Trackertyp .
WHOIS-E-Mail: Wählen Sie WHOIS>Email im Dropdownmenü der Intel Explorer-Suchleiste aus, und suchen Sie dann nach domains@microsoft.com. Diese Aktion führt zu einer WHOIS-E-Mail-Suche.
WHOIS-Name: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS-Name> aus, und suchen Sie dannnach MSN Hostmaster. Diese Aktion führt zu einer WHOIS-Namenssuche.
WHOIS organization: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste die Option WHOIS-Organisation> aus, und suchen Sie dann nach Microsoft Corporation. Diese Aktion führt zu einer WHOIS-organization Suche.
WHOIS-Adresse: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste die Option WHOIS-Adresse> aus, und suchen Sie dann nach One Microsoft Way. Diese Aktion führt zu einer WHOIS-Adresssuche.
WHOIS-Stadt: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>City aus, und suchen Sie dann nach Redmond. Diese Aktion führt zu einer WHOIS-Stadtsuche.
WHOIS-Status: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>State aus, und suchen Sie dann nach WA. Diese Aktion führt zu einer WHOIS-Statussuche.
WHOIS-Postleitzahl: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>Postleitzahl aus, und suchen Sie dann nach 98052. Diese Aktion führt zu einer WHOIS-Postleitzahlsuche.
WHOIS-Land: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>Country aus, und suchen Sie dann nach USA. Diese Aktion führt zu einer WHOIS-Suche nach Land/Region.
WHOIS-Telefon: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>Phone aus, und suchen Sie dann nach +1,4258828080. Diese Aktion führt zu einer WHOIS-Telefonsuche.
WHOIS-Nameserver: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste WHOIS>Nameserver aus, und suchen Sie dann nach
ns1-03.azure-dns.com
. Diese Aktion führt zu einer WHOIS-Namenserversuche.Zertifikat SHA-1: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste Zertifikat>SHA-1 aus, und suchen Sie dann 35cd04a03ef86664623581cbd56e45ed07729678. Diese Aktion führt zu einer SHA-1-Zertifikatsuche.
Seriennummer des Zertifikats: Wählen Sie im> Dropdownmenü der Intel Explorer-Suchleistezertifikatseriennummer aus, und suchen Sie dann 1137354899731266880939192213383415094395905558. Diese Aktion führt zu einer Zertifikatsseriennummer-Suche.
Allgemeiner Name des Zertifikatausstellers: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste denAllgemeinen Namen des Zertifikatausstellers> aus, und suchen Sie dann nach Microsoft Azure TLS Issuing CA 05. Diese Aktion führt zu einer Suche nach einem allgemeinen Namen des Zertifikatausstellers.
Alternativer Name des Zertifikatausstellers: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste denalternativen Namen des Zertifikatausstellers> aus, und suchen Sie dann nach einem alternativen Namen des Zertifikatausstellers. Diese Aktion führt zu einer Suche nach einem alternativen Zertifikatausstellernamen.
Allgemeiner Name des Zertifikatantragstellers: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste die OptionAllgemeiner Name des Zertifikatantragstellers> aus, und suchen Sie dann nach
*.oneroute.microsoft.com
. Diese Aktion führt zu einer Suche nach einem allgemeinen Namen eines Zertifikatantragstellers.Alternativer Name des Zertifikatantragstellers: Wählen Sie im Dropdownmenü der Intel Explorer-Suchleiste die OptionAlternativer Name des Zertifikatantragstellers> aus, und suchen Sie dann nach
oneroute.microsoft.com
. Diese Aktion führt zu einer Suche nach einem alternativen Namen des Zertifikatantragstellers.Cookiename: Wählen Sie imDropdownmenü der Intel Explorer-SuchleisteCookiename> aus, und suchen Sie dann NACH ARRAffinity. Diese Aktion führt zu einer Cookienamensuche.
Cookiedomäne: Wählen Sie im> Dropdownmenü der Intel Explorer-Suchleiste cookiedomain aus, und suchen Sie dann nach
portal.fabrikam.com
. Diese Aktion führt zu einer Cookiedomänensuche.
Pivots
Für alle Suchvorgänge, die in den vorherigen Schritten ausgeführt wurden, gibt es Artefakte mit Links, die Sie verwenden können, um weitere angereicherte Ergebnisse im Zusammenhang mit diesen Indikatoren zu ermitteln. Experimentieren Sie gerne selbst mit Pivots.
Suchergebnisse
Die Ergebnisse einer Threat Intelligence-Suche können in die folgenden Abschnitte gruppiert werden:
Wichtige Erkenntnisse
Defender TI bietet einige grundlegende Informationen zum Artefakt oben auf der Seite mit den Suchergebnissen. Diese Informationen können je nach Artefakttyp eine der folgenden Informationen enthalten.
- Land/Region: Das Flag neben der IP-Adresse gibt das Ursprungsland oder die Ursprungsregion für das Artefakt an, wodurch die Zuverlässigkeit oder der Sicherheitsstatus bestimmt werden können. Im vorherigen Beispielscreenshot wird die IP-Adresse in der Infrastruktur innerhalb des USA gehostet.
- Ruf: Im Beispiel ist die IP-Adresse mit böswillig gekennzeichnet, was angibt, dass Defender TI Verbindungen zwischen diesem Artefakt und der bekannten Infrastruktur des Angreifers erkannt hat. Artefakte können auch als verdächtig, neutral oder Unbekannt gekennzeichnet werden.
- Zuerst gesehen: Dieser Zeitstempel gibt an, wann Defender TI das Artefakt zum ersten Mal beobachtet hat. Das Verständnis der Lebensdauer eines Artefakts kann dabei helfen, seine Zuverlässigkeit zu bestimmen.
- Zuletzt gesehen: Dieser Zeitstempel gibt an, wann Defender TI das Artefakt zuletzt beobachtet hat. Anhand dieser Informationen kann ermittelt werden, ob das Artefakt noch aktiv verwendet wird.
- IP-Block: Der IP-Block, der das abgefragte IP-Adressartefakt enthält.
- Registrator: Die Registrierungsstelle, die dem WHOIS-Eintrag für das abgefragte Domänenartefakt zugeordnet ist.
- Registrant: Der Name des Registranten in den WHOIS-Daten für ein Artefakt.
- ASN: Die autonome Systemnummer (ASN), die dem Artefakt zugeordnet ist.
- OS: Das dem Artefakt zugeordnete Betriebssystem.
- Gastgeber: Der Hostinganbieter für das Artefakt. Einige Hostinganbieter sind seriöser als andere, sodass dieser Wert die Gültigkeit eines Artefakts angeben kann.
In diesem Abschnitt werden auch alle Tags angezeigt, die auf das Artefakt oder alle Projekte angewendet werden, die es enthalten. Sie können dem Artefakt auch ein Tag hinzufügen oder es einem Projekt hinzufügen. Weitere Informationen zur Verwendung von Tags
Zusammenfassung
Auf der Registerkarte Zusammenfassung werden wichtige Ergebnisse zu einem Artefakt angezeigt, das Defender TI von unseren umfangreichen Datasets ableitet, um eine Untersuchung zu starten.
Ruf: Defender TI bietet proprietäre Reputationsbewertungen für jeden Host, jede Domäne oder jede IP-Adresse. Unabhängig davon, ob der Ruf einer bekannten oder unbekannten Entität überprüft wird, hilft Ihnen diese Bewertung dabei, alle erkannten Verbindungen mit einer schädlichen oder verdächtigen Infrastruktur schnell zu verstehen.
Defender TI zeigt Reputationsbewertungen als numerischen Wert zwischen 0 und 100 an. Eine Entität mit einer Bewertung von
0
weist keine Zuordnungen mit verdächtigen Aktivitäten oder bekannten Indikatoren für Gefährdung (IOCs) auf, während eine Bewertung von100
angibt, dass die Entität böswillig ist. Defender TI bietet auch eine Liste von Regeln mit entsprechenden Beschreibungen und Schweregradbewertungen. Im folgenden Beispiel gelten vier Regeln mit hohem Schweregrad für die Domäne.Analysteneinblicke: Dieser Abschnitt bietet schnelle Einblicke in das Artefakt, die ihnen helfen können, den nächsten Schritt in einer Untersuchung zu bestimmen. In diesem Abschnitt werden alle Erkenntnisse aufgelistet, die für das Artefakt gelten. Außerdem werden Erkenntnisse aufgelistet, die für mehr Sichtbarkeit nicht gelten.
Im folgenden Screenshot können wir schnell feststellen, dass die IP-Adresse routingfähig ist, einen Webserver hostet und innerhalb der letzten fünf Tage einen offenen Port hatte. Darüber hinaus zeigt defender TI Regeln an, die nicht ausgelöst wurden, was beim Starten einer Untersuchung ebenso hilfreich sein kann.
Artikel: In diesem Abschnitt werden alle Artikel angezeigt, die Einen Einblick in die beste Untersuchung und letztendliche Entwaffnung des betroffenen Artefakts bieten. Forscher, die das Verhalten bekannter Bedrohungsakteure und ihrer Infrastruktur untersuchen, schreiben diese Artikel und stellen wichtige Ergebnisse bereit, die Ihnen und anderen helfen könnten, Risiken für ihre organization zu minimieren.
Im folgenden Beispiel wird die durchsuchte IP-Adresse als IOC identifiziert, die sich auf die Ergebnisse innerhalb des Artikels bezieht.
Dienste: In diesem Abschnitt werden alle erkannten Dienste aufgelistet, die auf dem IP-Adressartefakt ausgeführt werden. Dies ist hilfreich, wenn Sie versuchen, die beabsichtigte Verwendung der Entität zu verstehen. Wenn Sie schädliche Infrastruktur untersuchen, können diese Informationen helfen, die Funktionen eines Artefakts zu bestimmen, sodass Sie Ihre organization basierend auf diesen Informationen proaktiv schützen können.
Resolutionen: Auflösungen sind einzelne DNS-Einträge (Domain Name System), die mit passiven Sensoren erfasst werden, die auf der ganzen Welt verteilt sind. Diese Werte zeigen einen Verlauf an, in dem sich die Infrastruktur einer Domäne oder IP-Adresse im Laufe der Zeit ändert. Sie können verwendet werden, um andere Infrastrukturen zu ermitteln und Risiken basierend auf den Verbindungsstufen zu messen. Für jede Lösung stellen wir Die Zeitstempel "Zuerst gesehen" und " Zuletzt gesehen " bereit, um den Lebenszyklus der Auflösungen zu präsentieren.
Atteste: Tls-Zertifikate sind nicht nur die Sicherung Ihrer Daten, sie sind eine hervorragende Möglichkeit für Benutzer, eine unterschiedliche Netzwerkinfrastruktur zu verbinden. TLS-Zertifikate können Verbindungen herstellen, die bei passiven DNS- oder WHOIS-Daten möglicherweise fehlen. Dies bedeutet mehr Möglichkeiten, potenzielle böswillige Infrastrukturen zu korrelieren und potenzielle Betriebssicherheitsfehler von Akteuren zu identifizieren. Für jedes TLS-Zertifikat geben wir den Zertifikatnamen, das Ablaufdatum, den allgemeinen Namen des Antragstellers und den Antragsteller organization Namen an.
Projekte: Mit Defender TI können Sie Projekte zum Organisieren von Indikatoren erstellen, die von Interesse sind oder aus einer Untersuchung kompromittiert werden. Projekte werden auch erstellt, um Verbindungsartefakte zu überwachen, um die Sichtbarkeit zu verbessern. Projekte enthalten eine Liste aller zugehörigen Artefakte und einen detaillierten Verlauf, der die Namen, Beschreibungen, Mitarbeiter und Überwachungsprofile beibehält.
Wenn Sie eine IP-Adresse, Domäne oder einen Host durchsuchen und dieser Indikator in einem Projekt aufgeführt ist, auf das Sie Zugriff haben, können Sie die Registerkarte Projekte auswählen und zu den Projektdetails navigieren, um mehr Kontext zum Indikator zu erhalten, bevor Sie die anderen Datasets auf weitere Informationen überprüfen.
Datensätze
Datasets helfen Ihnen dabei, die konkreten Verbindungen zu untersuchen, die von Defender TI beobachtet werden. Während auf der Registerkarte Zusammenfassung wichtige Ergebnisse angezeigt werden, um einen unmittelbaren Kontext zu einem Artefakt bereitzustellen, ermöglichen Die verschiedenen Datasets, die als separate Registerkarten in den Suchergebnissen angezeigt werden, ermöglichen Es Ihnen, diese Verbindungen viel genauer zu untersuchen.
Sie können einen der zurückgegebenen Werte auswählen, um schnell über verwandte Metadaten zu navigieren und Erkenntnisse zu enthüllen, die Sie bei herkömmlichen Untersuchungsmethoden möglicherweise verpassen.
Die folgenden Datasets sind in Defender TI verfügbar:
- Lösungen
- WHOIS-Informationen
- TLS/SSL-Zertifikate
- Spürhunde
- Unterdomänen
- Komponenten
- Hostpaare
- Cookies
- Dienste
- DNS
- Reverse-DNS
Weitere Informationen zu Datasets
Nächste Schritte
Weitere Informationen finden Sie unter: