Freigeben über

Was ist Microsoft Defender Threat Intelligence (Defender TI)?

  • Artikel

Wichtig

Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence-Portal (Defender TI) eingestellt undhttps://ti.defender.microsoft.com ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Copilot für Security nutzen. Weitere Informationen

Microsoft Defender Threat Intelligence (Defender TI) ist eine Plattform, die selektierung, Reaktion auf Vorfälle, Bedrohungssuche, Sicherheitsrisikomanagement und Threat Intelligence-Analystenworkflows beim Durchführen der Analyse der Bedrohungsinfrastruktur und sammeln von Threat Intelligence optimiert. Da Sicherheitsorganisationen eine ständig wachsende Menge an Informationen und Warnungen in ihrer Umgebung durchführen, ist es wichtig, über eine Bedrohungsanalyse eine Intelligence-Plattform zu verfügen, die genaue und zeitnahe Bewertungen von Warnungen ermöglicht.

Analysten verbringen viel Zeit mit der Datenermittlung, -sammlung und -analyse, anstatt sich darauf zu konzentrieren, was ihrer Organisation tatsächlich hilft, sich selbst zu verteidigen – indem sie Erkenntnisse über die Akteure durch Analyse und Korrelation gewinnen. Häufig müssen diese Analysten zu mehreren Repositorys wechseln, um die kritischen Datasets abzurufen, die sie benötigen, um eine verdächtige Domäne, einen Host oder eine IP-Adresse zu bewerten. DNS-Daten, WHOIS-Informationen, Schadsoftware und SSL-Zertifikate bieten einen wichtigen Kontext für Gefährdungsindikatoren (Indicators of Compromise, IOCs), aber diese Repositorys sind weit verbreitet und weisen nicht immer eine gemeinsame Datenstruktur auf.

Diese breite Verteilung von Repositorys macht es für Analysten schwierig sicherzustellen, dass sie über alle relevanten Daten verfügen, die sie benötigen, um eine ordnungsgemäße und rechtzeitige Bewertung verdächtiger Infrastrukturen vorzunehmen. Die Interaktion mit diesen Datasets kann auch umständlich sein, und das Pivotieren zwischen diesen Repositorys ist zeitaufwändig und belastet die Ressourcen von Sicherheitsbetriebsgruppen, die ihre Reaktionsbemühungen ständig neu erstellen müssen.

Threat Intelligence-Analysten haben Schwierigkeiten, eine Breite der Erfassung von Threat Intelligence mit der Analyse abzuwägen, welche Threat Intelligence die größten Bedrohungen für ihre Organisation und/oder Branche darstellt. In derselben Breite kämpfen Die Analysten von Vulnerability Intelligence dafür, ihren Ressourcenbestand mit CVE-Informationen (Common Vulnerabilities and Exposures) zu korrelieren, um die Untersuchung und Behebung der kritischsten Sicherheitsrisiken im Zusammenhang mit ihrer Organisation zu priorisieren.

Microsoft überarbeitet den Analystenworkflow durch die Entwicklung von Defender TI, das kritische Datenquellen aggregiert und anreichert und auf einer innovativen, einfach zu verwendenden Oberfläche anzeigt, auf der Benutzer Gefährdungsindikatoren (Indicators of Compromise, IOCs) mit verwandten Artikeln, Akteurprofilen und Sicherheitsrisiken korrelieren können. Defender TI ermöglicht es Analysten auch, mit anderen Defender TI-lizenzierten Benutzern innerhalb ihres Mandanten an Untersuchungen zusammenzuarbeiten.

Im Folgenden finden Sie einen Screenshot der Intel Explorer-Seite von Defender TI im Microsoft Defender-Portal. Analysten können schnell neue ausgewählte Artikel scannen und eine Schlüsselwort-, Indikator- oder CVE-ID-Suche durchführen, um mit der Erfassung, Selektierung, Reaktion auf Vorfälle und Suche zu beginnen.

ti Übersicht Startseite Chrome Screenshot.

Defender TI-Artikel

Artikel sind Erzählungen, die Einblicke in Bedrohungsakteure, Tools, Angriffe und Sicherheitsrisiken bieten. Defender TI-Artikel sind keine Blogbeiträge über Threat Intelligence. Während diese Artikel verschiedene Bedrohungen zusammenfassen, verknüpfen sie auch mit umsetzbaren Inhalten und wichtigen IOCs, um Benutzern zu helfen, Maßnahmen zu ergreifen. Mit diesen technischen Informationen in den Bedrohungszusammenfassungen können Benutzer Bedrohungsakteure, Tools, Angriffe und Sicherheitsrisiken kontinuierlich nachverfolgen, wenn sie sich ändern.

Im Abschnitt Ausgewählte Artikel der Intel Explorer-Seite (direkt unter der Suchleiste) werden die Bannerbilder von bemerkenswerten Microsoft-Inhalten angezeigt:

TI – Übersicht – Empfohlene Artikel

Empfohlene Artikel werden auch im Widget Empfohlene Threat Intelligence-Artikel auf der Startseite des Defender-Portals angezeigt:

Screenshot des Widgets

Wenn Sie ein Ausgewähltes Artikelbanner auswählen, wird der vollständige Artikelinhalt geladen. Die Momentaufnahme des Artikels vermittelt Ihnen ein schnelles Verständnis des Artikels. Der Indikatoraufruf zeigt, wie viele öffentliche und Defender TI-Indikatoren dem Artikel zugeordnet sind.

TI – Übersicht – Empfohlene Artikel

Artikel

Alle Artikel (einschließlich der ausgewählten Artikel) werden im Abschnitt Zuletzt verwendete Artikel entsprechend ihrem Veröffentlichungsdatum aufgeführt, wobei der neueste artikel oben steht.

Ti-Übersichtsartikel.

Der Abschnitt Beschreibung eines Artikels enthält Informationen zum profilierten Angriff oder Bedrohungsakteur. Der Inhalt kann kurz sein, z. B. Open-Source Intelligence-Bulletins (OSINT) oder long (für langformige Berichte, insbesondere wenn Microsoft den Bericht mit einer eigenen Analyse ergänzt). Die längeren Beschreibungen können Bilder, Links zum zugrunde liegenden Inhalt, Links zu Suchvorgängen in Defender TI, Angreifercodeausschnitte und Firewallregeln enthalten, um den Angriff zu blockieren.

Beschreibung des TI-Übersichtsartikels.

Im Abschnitt Öffentliche Indikatoren werden die bekannten Indikatoren im Zusammenhang mit dem Artikel aufgeführt. Die Links in diesen Indikatoren führen Sie zu relevanten Defender TI-Daten oder externen Quellen.

TI-Übersichtsartikel Öffentliche Indikatoren.

Im Abschnitt Defender TI-Indikatoren werden die Indikatoren behandelt, die das eigene Forschungsteam von Defender TI im Zusammenhang mit den Artikeln findet. Die Links in diesen Indikatoren führen Sie auch zu relevanten Defender TI-Daten oder externen Quellen.

Diese Links werden auch in die relevanten Defender TI-Daten oder die entsprechende externe Quelle pivotiert.

TI-Übersicht: Artikel Defender TI-Indikatoren.

Artikel zu Sicherheitsrisiken

Defender TI bietet CVE-ID-Suchvorgänge, mit denen Sie wichtige Informationen zur CVE identifizieren können. CVE-ID-Suchvorgänge führen zu Artikeln zu Sicherheitsrisiken.

Jeder Artikel zu Sicherheitsrisiken enthält Folgendes:

  • Eine Beschreibung der CVE
  • Eine Liste der betroffenen Komponenten
  • Maßgeschneiderte Entschärfungsverfahren und -strategien
  • Verwandte Intelligence-Artikel
  • Verweise in deep und dark web chatter
  • Weitere wichtige Beobachtungen

Diese Artikel bieten tiefere Kontextinformationen und umsetzbare Erkenntnisse hinter jeder CVE, sodass Benutzer diese Sicherheitsrisiken schneller verstehen und beheben können.

Artikel zu Sicherheitsrisiken enthalten auch eine Defender TI-Prioritätsbewertung und einen Schweregradindikator. Die Defender TI-Prioritätsbewertung ist ein eindeutiger Algorithmus, der die Priorität einer CVE basierend auf dem CVSS-Score (Common Vulnerability Scoring System), Exploits, Chatter und Der Linkage zu Schadsoftware widerspiegelt. Es wertet die Aktualität dieser Komponenten aus, damit Sie verstehen können, welche CVEs zuerst behoben werden sollten.

Bewertung der Reputation

IP-Reputationsdaten sind wichtig, um die Vertrauenswürdigkeit Ihrer eigenen Angriffsfläche zu verstehen und sind auch nützlich, wenn sie unbekannte Hosts, Domänen oder IP-Adressen bewerten, die bei Untersuchungen angezeigt werden. Defender TI bietet proprietäre Reputationsbewertungen für jeden Host, jede Domäne oder jede IP-Adresse. Unabhängig davon, ob der Ruf einer bekannten oder unbekannten Entität überprüft wird, helfen Ihnen diese Bewertungen dabei, alle erkannten Verbindungen mit schädlicher oder verdächtiger Infrastruktur schnell zu verstehen.

Karte

Defender TI bietet schnelle Informationen zur Aktivität dieser Entitäten, z. B. zeitstempel der ersten und letzten Anzeige, asn (Autonomous System Number, ASN), Land oder Region, zugehörige Infrastruktur und eine Liste von Regeln, die sich ggf. auf die Zuverlässigkeitsbewertung auswirken.

Weitere Informationen zur Zuverlässigkeitsbewertung

Analysteninsights

Analystenerkenntnisse destillieren das umfangreiche Dataset von Microsoft in eine Handvoll Beobachtungen, die die Untersuchung vereinfachen und es für Analysten aller Ebenen besser ansprechbar machen.

Erkenntnisse sollen kleine Fakten oder Beobachtungen zu einer Domäne oder IP-Adresse sein. Sie bieten Ihnen die Möglichkeit, den abgefragten Indikator zu bewerten und Ihre Fähigkeit zu verbessern, festzustellen, ob ein Indikator, den Sie untersuchen, böswillig, verdächtig oder gutartig ist.

Zusammenfassungskarte für Analysteneinblicke.

Weitere Informationen zu Analysteneinblicken

Datensätze

Microsoft zentralisiert zahlreiche Datasets in Defender TI, sodass es für die Microsoft-Community und kunden einfacher ist, Infrastrukturanalysen durchzuführen. Der Hauptfokus von Microsoft liegt darauf, so viele Daten wie möglich über die Internetinfrastruktur bereitzustellen, um verschiedene Sicherheitsanwendungsfälle zu unterstützen.

Microsoft sammelt, analysiert und indiziert Internetdaten mithilfe passiver DNS-Sensoren (Domain Name Systems), Portscans, URL- und Dateidetonation und anderen Quellen, um Benutzer bei der Erkennung von Bedrohungen, der Priorisierung von Vorfällen und der Identifizierung der Infrastruktur im Zusammenhang mit Bedrohungsakteurgruppen zu unterstützen. Ihre URL-Suchvorgänge können verwendet werden, um automatisch Detonationen zu initiieren, wenn zum Zeitpunkt der Anforderung keine Detonationsdaten für eine URL verfügbar sind. Die von solchen Detonationen gesammelten Daten werden verwendet, um Ergebnisse für zukünftige Suchen nach dieser URL von Ihnen oder anderen Defender TI-Benutzern aufzufüllen.

Zu den unterstützten Internetdatasets gehören:

  • Lösungen
  • WHOIS
  • SSL-Zertifikate
  • Unterdomänen
  • DNS
  • Reverse-DNS
  • Detonationsanalyse
  • Abgeleitete Datasets, die aus dem Dom (Document Object Model) von detonierten URLs gesammelt wurden, einschließlich:
    • Spürhunde
    • Komponenten
    • Hostpaare
    • Cookies

Komponenten und Tracker werden auch von Erkennungsregeln beobachtet, die basierend auf den Bannerantworten von Portscans oder SSL-Zertifikatdetails ausgelöst werden. Viele dieser Datasets verfügen über verschiedene Methoden zum Sortieren, Filtern und Herunterladen von Daten, wodurch der Zugriff auf Informationen erleichtert wird, die einem bestimmten Indikatortyp oder einer bestimmten Zeit im Verlauf zugeordnet sind.

Screenshot zum Sortieren von Datasets.

Weitere Informationen:

Tags

Defender TI-Tags bieten schnellen Einblick in einen Indikator, der vom System abgeleitet oder von anderen Benutzern generiert wird. Tags unterstützen Analysten dabei, die Punkte zwischen aktuellen Vorfällen und Untersuchungen und ihrem historischen Kontext für eine verbesserte Analyse zu verbinden.

Defender TI bietet zwei Arten von Tags: Systemtags und benutzerdefinierte Tags.

Benutzerdefinierte Tags

Weitere Informationen zur Verwendung von Tags

Projekte

Defender TI ermöglicht Es Benutzern, mehrere Projekttypen zum Organisieren von Indikatoren von Interesse und Gefährdungsindikatoren aus einer Untersuchung zu entwickeln. Projekte enthalten eine Liste aller zugehörigen Indikatoren und einen detaillierten Verlauf, der die Namen, Beschreibungen und Projektmitarbeiter beibehält.

Wenn Sie eine IP-Adresse, Domäne oder einen Host in Defender TI durchsuchen und dieser Indikator in einem Projekt aufgeführt ist, auf das Sie Zugriff haben, wird auf der Seite Intel-Projekte auf den Registerkarten Zusammenfassung und Daten ein Link zum Projekt angezeigt. Von dort aus können Sie zu den Details des Projekts navigieren, um mehr Kontext zum Indikator zu erhalten, bevor Sie die anderen Datasets auf weitere Informationen überprüfen. Sie können daher vermeiden, das Rad einer Untersuchung neu zu erfinden, die einer Ihrer Defender TI-Mandantenbenutzer möglicherweise bereits gestartet hat. Wenn Jemand Sie als Projektmitarbeiter hinzufügt, können Sie dieser Untersuchung auch hinzufügen, indem Sie neue IOCs hinzufügen.

Screenshot der Projektdetails.

Weitere Informationen zur Verwendung von Projekten

Datenresidenz, Verfügbarkeit und Datenschutz

Defender TI enthält sowohl globale als auch kundenspezifische Daten. Die zugrunde liegenden Internetdaten sind globale Microsoft-Daten. Von Kunden angewendete Bezeichnungen gelten als Kundendaten. Alle Kundendaten werden in der Region gespeichert, die der Kunde auswählt.

Aus Sicherheitsgründen erfasst Microsoft die IP-Adressen von Benutzern, wenn sie sich anmelden. Diese Daten werden bis zu 30 Tage lang gespeichert, können aber bei Bedarf länger gespeichert werden, um eine potenzielle betrügerische oder böswillige Verwendung des Produkts zu untersuchen.

In einem Szenario mit ausfallenden Regionen sollten Kunden keine Ausfallzeiten feststellen, da Defender TI Technologien verwendet, die Daten in Sicherungsregionen replizieren.

Defender TI verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert.

Siehe auch