Freigeben über


Sortieren, filtern und herunterladen von Daten

Wichtig

Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence -Portal (Defender TI) (https://ti.defender.microsoft.com) eingestellt und ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Security Copilot verwenden. Weitere Informationen

mit Microsoft Defender Threat Intelligence (Defender TI) können Sie auf unsere umfangreiche Sammlung von Durchforstungsdaten in einem Indizierungs- und Pivottableformat zugreifen. Diese Datasets können groß sein und große Mengen an historischen und aktuellen Daten zurückgeben. Durch die geeignete Sortierung und Filterung der Daten helfen wir Ihnen dabei, die relevanten Verbindungen einfach zu erkennen.

In diesem Schrittanleitungsartikel erfahren Sie, wie Sie Daten für die folgenden Datasets sortieren und filtern:

  • Lösungen
  • WHOIS-Informationen
  • Zertifikate
  • Unterdomänen
  • Spürhunde
  • Komponenten
  • Hostpaare
  • Cookies
  • Dienste
  • Domain Name System (DNS)
  • Reverse-DNS

Screenshot zum Sortieren von Datasets.

Weitere Informationen zu Datasets

Außerdem erfahren Sie, wie Sie Indikatoren oder Artefakte aus den folgenden Features herunterladen:

  • Projekte
  • Artikel
  • Datensätze

Voraussetzungen

  • Eine Microsoft Entra-ID oder ein persönliches Microsoft-Konto. Anmelden oder Erstellen eines Kontos

  • Eine Defender TI Premium-Lizenz.

    Hinweis

    Benutzer ohne Defender TI Premium-Lizenz können weiterhin auf unser kostenloses Defender TI-Angebot zugreifen.

Öffnen von Defender TI im Microsoft Defender-Portal

  1. Greifen Sie auf das Defender-Portal zu, und schließen Sie den Microsoft-Authentifizierungsprozess ab. Weitere Informationen zum Defender-Portal
  2. Navigieren Sie zu Threat Intelligence>Intel Explorer.

Sortieren von Daten

Mit der Sortierfunktion auf jeder Datenregisterkarte können Sie unsere Datasets schnell nach den Spaltenwerten sortieren. Standardmäßig werden die meisten Ergebnisse nach Zuletzt gesehen (absteigend) sortiert, sodass die zuletzt beobachteten Ergebnisse ganz oben in der Liste angezeigt werden. Diese Standardsortierreihenfolge bietet sofort Einblicke in die aktuelle Infrastruktur eines Artefakts.

Derzeit können alle Datasets nach den folgenden Werten vom Typ "First seen" und "Last seen " sortiert werden:

  • Zuletzt gesehen (absteigend): Standard
  • Zuletzt gesehen (aufsteigend)
  • Zuerst gesehen (aufsteigend)
  • Zuerst gesehen (absteigend)

Die Daten können für jede IP-Adresse, Domäne oder Hostentität, die durchsucht oder pivotiert wird, auf jeder Datasetregisterkarte sortiert werden.

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Intel Explorer-Suchleiste .

  2. Wechseln Sie zur Registerkarte Auflösungen , und wenden Sie dann die Sortiereinstellungen auf die Spalten Zuerst gesehen und Zuletzt gesehen an .

    Sortierauflösungen.

Filtern von Daten

Mit der Datenfilterung können Sie auf eine ausgewählte Datengruppe zugreifen, die auf einem bestimmten Metadatenwert basiert. Für instance können Sie ip-Auflösungen, die nur von einer ausgewählten Quelle ermittelt wurden, oder Komponenten eines bestimmten Typs (z. B. Server oder Frameworks) anzeigen. Mit der Datenfilterung können Sie die Abfrageergebnisse auf Elemente von besonderem Interesse eingrenzen.

Da Defender TI bestimmte Metadaten bereitstellt, die mit bestimmten Datentypen übereinstimmen, sind die Filteroptionen für jedes Dataset unterschiedlich.

Auflösungsfilter

Die folgenden Filter gelten für Auflösungsdaten:

  • Systemtag: Defender TI erstellt diese Tags basierend auf Erkenntnissen, die von unserem Forschungsteam ermittelt wurden. Weitere Informationen
  • Tag: Benutzerdefinierte Tags, die Defender TI-Benutzer angewendet haben. Weitere Informationen
  • ASN: Ergebnisse, die sich auf eine festgelegte autonome Systemnummer (ASN) beziehen.
  • Netzwerk: Ergebnisse, die sich auf das angegebene Netzwerk beziehen.
  • Quelle: Die Datenquelle, die das Ergebnis erzeugt hat (z. B. riskiq, emerging_threats).

So filtern Sie Auflösungsdaten:

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Suchleiste des Intel-Explorers .

  2. Wechseln Zur Registerkarte "Auflösungen "

  3. Wenden Sie Filter auf jeden der zuvor aufgeführten Filteroptionen an.

    Filterauflösungen.

Nachverfolgungsfilter

Die folgenden Filter gelten für Nachverfolgungsdaten:

  • Typ: Der identifizierte Nachverfolgungstyp für jedes Artefakt (z. B . JarmFuzzyHash oder GoogleAnalyticsID).
  • Adresse: Die IP-Adresse, die den Tracker direkt beobachtet hat oder über einen auflösenden Host verfügt, der den Tracker beobachtet hat. Dieser Filter wird angezeigt, wenn Sie eine IP-Adresse durchsuchen.
  • Hostname: Der Host, der diesen Nachverfolgungswert beobachtet hat. Dieser Filter wird angezeigt, wenn Sie eine Domäne oder einen Host durchsuchen.

So filtern Sie Nachverfolgungsdaten:

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Suchleiste des Intel-Explorers .

  2. Wechseln Zur Registerkarte "Tracker "

  3. Wenden Sie Filter auf jeden der zuvor aufgeführten Filteroptionen an.

    Filterverfolgungen.

Komponentenfilter

Die folgenden Filter gelten für Komponentendaten:

  • Ipaddressraw: Die IP-Adresse, die mit dem zurückgegebenen Hostnamen übereinstimmt.
  • Art: Der angegebene Komponententyp (z. B. Remotezugriff oder Betriebssystem).
  • Name: Der Name der erkannten Komponente (z. B. Cobalt Strike oder PHP).

So filtern Sie Komponentendaten:

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Suchleiste des Intel-Explorers .

  2. Wechseln Zur Registerkarte "Komponenten "

  3. Wenden Sie Filter auf jeden der zuvor aufgeführten Filteroptionen an.

    Filterkomponenten.

Hostpaarfilter

Die folgenden Filter gelten für Hostpaardaten:

  • Richtung: Die Richtung der beobachteten Verbindung, die angibt, ob das übergeordnete Element an das untergeordnete Element umgeleitet wird oder umgekehrt.
  • Übergeordneter Hostname: Der Hostname des übergeordneten Artefakts.
  • Verursachen: Die erkannte Ursache der Über-/Unterordnungsbeziehung des Hosts (z. B. redirect oder iframe.src).
  • Untergeordneter Hostname: Der Hostname des untergeordneten Artefakts.

So filtern Sie Hostpaardaten:

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Suchleiste des Intel-Explorers .

  2. Wechseln Zur Registerkarte Hostpaare

  3. Wenden Sie Filter auf jeden der zuvor aufgeführten Filteroptionen an.

    Filtert Hostpaare.

DNS- und Reverse-DNS-Filter

Die folgenden Filter gelten für DNS- und Reverse-DNS-Daten:

  • Datensatztyp: Der Typ des im DNS-Eintrag erkannten Eintrags (z. B. NS oder CNAME).
  • Wert: Der angegebene Wert des Datensatzes (z. B. nameserver.host.com).

So filtern Sie DNS- und Reverse-DNS-Daten:

  1. Suchen Sie eine Domäne, IP-Adresse oder einen Host in der Suchleiste des Intel-Explorers .

  2. Wechseln Sie zu den Registerkarten DNS und Reverse-DNS .

  3. Wenden Sie Filter auf jeden der zuvor aufgeführten Filteroptionen an.

    Filtert DNS.

Herunterladen von Daten

Es gibt verschiedene Abschnitte in Defender TI, in denen Sie Daten als CSV-Datei exportieren können. Achten Sie in den folgenden Abschnitten auf das Symbol Download herunterladen, und wählen Sie es aus:

  • Die meisten Datasetregisterkarten
  • Projekte
  • Intel-Artikel

Wenn Sie Daten aus den Auflösungen, DNS und Reverse-DNS herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
Resolve Ein Datensatz, der der durchsuchten Domäne (auflösende IP-Adresse) oder Domäne zugeordnet ist, die bei der Suche in eine IP-Adresse aufgelöst wird.
Location Land oder Region, in dem die IP-Adresse gehostet wird
Netz Netblock oder Subnetz
autonomousSystemNumber ASN
firstSeen Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), als Microsoft die Auflösung zum ersten Mal beobachtet hat
lastSeen Datum und Uhrzeit (im Format mm/TT/JJJJ Hh:mm ), wann Microsoft die Auflösung zuletzt beobachtet hat
Source Quelle, die diese Auflösung beobachtet hat
Tags System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Daten von der Registerkarte Unterdomänen herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
hostname Unterdomäne der durchsuchten Domäne
Schilder System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Daten von der Registerkarte Tracker herunterladen , werden die folgenden Header exportiert:

Header Beschreibung
hostname Hostname, der den Tracker beobachtet hat oder derzeit beobachtet
firstSeen Datum und Uhrzeit (im Format mm/tt/jjjj hh:mm ), als Microsoft das erste Mal beobachtet hat, dass der Hostname den Tracker verwendet hat
lastSeen Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), als Microsoft zuletzt beobachtet hat, dass der Hostname den Tracker verwendet hat
attributeType Tracker-Typ
attributeValue Tracker-Wert
Tags System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Daten von der Registerkarte Komponenten herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
hostname Hostname, der die Komponente beobachtet hat oder derzeit beobachtet
firstSeen Datum und Uhrzeit (im Format mm/tt/jjjj hh:mm ), als Microsoft zum ersten Mal beobachtet hat, dass der Hostname die Komponente verwendet hat
lastSeen Datum und Uhrzeit (im Format mm/tt/jjjj hh:mm ), als Microsoft zuletzt beobachtet hat, dass der Hostname die Komponente verwendet hat
Kategorie Komponententyp
name Komponentenname
version Komponentenversion
Tags System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Daten von der Registerkarte Hostpaare herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
parentHostname Der Hostname, der sich an den untergeordneten Hostnamen richtet.
childHostname Der Hostname, der die von ihnen gehosteten Ressourcen an den übergeordneten Hostnamen weitergibt.
firstSeen Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), als Microsoft die Beziehung zwischen dem übergeordneten und dem untergeordneten Hostnamen zum ersten Mal beobachtet hat
lastSeen Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), wann Microsoft die Beziehung zwischen dem übergeordneten und dem untergeordneten Hostnamen zuletzt beobachtet hat
attributeCause Die Ursache der Beziehung zwischen dem übergeordneten und dem untergeordneten Hostnamen
Tags System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Daten von der Registerkarte Cookies herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
hostname Hostname, der den Cookienamen beobachtet hat
firstSeen Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), als der Cookiename zum ersten Mal für den Hostnamen beobachtet wurde, der aus der Cookiedomäne stammt
lastSeen Datum und Uhrzeit (im Format mm/tt/jjjj hh:mm ), wann der Cookiename zuletzt für den Hostnamen beobachtet wurde, der aus der Cookiedomäne stammt
cookieName Cookiename
cookieDomain Der Server des Domänennamens, von dem der Cookiename stammt
Tags System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind

Wenn Sie Projektlisten aus Intel-Projekten (Meine Projekte, Teamprojekte und Freigegebene Projekte) herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
name Projektname
Artefakte (Anzahl) Artefaktanzahl innerhalb des Projekts
erstellt von (Benutzer) Benutzer, der das Projekt erstellt hat
erstellt am Wann das Projekt erstellt wurde
Schilder System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind
Mitarbeiter Wer als Projektmitarbeiter hinzugefügt wurde; Dieser Header ist nur für Projekte sichtbar, die von den Seiten "Meine Projekte " und "Freigegebene Projekte" heruntergeladen wurden.

Wenn Sie Projektdetails (Artefakte) aus einem Projekt herunterladen, werden die folgenden Header exportiert:

Header Beschreibung
Artefakt Artefaktwert (z. B. IP-Adresse, Domäne, Host, WHOIS-Wert oder Zertifikat SHA-1)
type Artefakttyp (z. B. IP, Domäne, Host, WHOIS-organization, WHOIS-Telefon oder Sha-1-Zertifikat)
erstellt Datum und Uhrzeit (im Format mm/TT/jjjj hh:mm ), als das Artefakt dem Projekt hinzugefügt wurde
Schöpfer Email Adresse des Benutzers, der das Artefakt hinzugefügt hat
context Hinzufügen des Artefakts zum Projekt
Schilder System- oder benutzerdefinierte Tags, die dem Artefakt zugeordnet sind
Mitarbeiter Wer als Projektmitarbeiter hinzugefügt wurde; Dieser Header ist nur für Projekte sichtbar, die von den Seiten "Meine Projekte " und "Freigegebene Projekte" heruntergeladen wurden.

Beim Herunterladen von öffentlichen Threat Intelligence- oder riskiq-Indikatoren werden die folgenden Header exportiert:

Header Beschreibung
type Indikatortyp (z. B. IP-Adresse, Zertifikat, Domäne oder SHA-256)
value Indikatorwert (z. B. IP-Adresse, Domäne oder Hostname)
source Indikatorquelle (RiskIQ oder OSINT)

Siehe auch