Compartir a través de

Uso de proyectos

  • Artículo

Importante

El 30 de junio de 2024, se retiró el portal independiente de Inteligencia contra amenazas de Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) y ya no es accesible. Los clientes pueden seguir usando LA TI de Defender en el portal de Microsoft Defender o con Microsoft Security Copilot. Más información

Inteligencia contra amenazas de Microsoft Defender (Ti de Defender) le permite desarrollar proyectos personales o de equipo privados para organizar indicadores de interés e indicadores de riesgo (IOC) a partir de una investigación. Los proyectos contienen una lista de todos los artefactos asociados y un historial detallado que conserva los nombres, descripciones, colaboradores y perfiles de supervisión.

Al buscar una dirección IP, un dominio o un host en el Explorador de Intel en el portal de Microsoft Defender, y si ese indicador aparece dentro de un proyecto al que tiene acceso, puede ir a la pestaña Proyectos y navegar a los detalles del proyecto para obtener más contexto sobre el indicador antes de revisar los demás conjuntos de datos para obtener más información. También puede ver los proyectos del equipo privado en el portal de Defender si va aProyectos de Inteligencia sobre amenazas> de Intel.

Al visitar los detalles de un proyecto se muestra una lista de todos los artefactos asociados y un historial detallado que conserva todo el contexto descrito anteriormente. Usted y otros usuarios de su organización ya no necesitan dedicar tiempo a comunicarse de un lado a otro. Puede crear perfiles de actor de amenazas dentro de Ti de Defender, que pueden servir como un conjunto "vivo" de indicadores. A medida que descubra o encuentre información nueva, puede agregarla a ese proyecto.

La plataforma de TI de Defender le permite desarrollar varios tipos de proyecto para organizar indicadores de interés e IOC a partir de una investigación.

El propietario del proyecto puede agregar colaboradores (usuarios que aparecen en su inquilino de Azure con una licencia premium de TI de Defender), que pueden realizar cambios en el proyecto como si fueran el propietario del proyecto. Sin embargo, los colaboradores no pueden eliminar proyectos. Los colaboradores pueden ver los proyectos compartidos con ellos en la pestaña Proyectos compartidos de la página Proyectos de Intel.

También puede descargar artefactos dentro de un proyecto seleccionando el icono Descargar . Esta característica es una excelente manera de que los equipos de búsqueda de amenazas usen sus conclusiones de una investigación para bloquear los IOC o crear más reglas de detección dentro de sus aplicaciones de administración de eventos e información de seguridad (SIEM).

Los proyectos de preguntas pueden ayudar a responder:

  • ¿Ha creado uno de mis compañeros un proyecto de equipo que incluye este indicador?

    • Si es así, ¿qué otras E/S relacionadas han capturado a este miembro del equipo y qué descripción y etiquetas incluyeron para describir el tipo de investigación?

  • ¿Cuándo editó por última vez este miembro del equipo el proyecto?

Captura de pantalla de detalles del proyecto.

Requisitos previos

  • Un Microsoft Entra ID o una cuenta de Microsoft personal. Inicie sesión o cree una cuenta

  • Una licencia premium de Defender TI.

    Nota:

    Los usuarios sin una licencia premium de Defender TI pueden seguir accediendo a nuestra oferta gratuita de Defender TI.

Abra la página proyectos de Intel de TI de Defender en el portal de Microsoft Defender

En la página Proyectos de Intel se muestran los proyectos que posee o que otros usuarios de TI de Defender han compartido con usted en el inquilino.

  1. Acceda al portal de Defender y complete el proceso de autenticación de Microsoft. Más información sobre el portal de Defender
  2. Vaya a Proyectosintel de inteligencia> sobre amenazas.

Creación de un proyecto

Puede crear un proyecto en el portal de Defender de dos maneras:

  1. Para crear un proyecto desde la página Proyectos de Intel , seleccione Nuevo proyecto.

    Crear un nuevo proyecto desde la página de proyectos de Intel.

  2. Para crear un nuevo proyecto mientras realiza una investigación en la página explorador de Intel , realice una búsqueda de indicadores desde la búsqueda del Explorador de Intel y, a continuación, seleccione Agregar al proyecto>Agregar nuevo proyecto en los resultados de la búsqueda.

    Cree un nuevo proyecto a partir de los resultados de la búsqueda.

En el panel lateral Nuevo proyecto que aparece, rellene los campos necesarios y seleccione Guardar.

Agregar nuevo proyecto.

Administración de proyectos

Una vez creado un proyecto, puede administrarlo en la página Proyectos de Intel . Esta página muestra todos los proyectos a los que puede acceder y proporciona mecanismos de filtrado basados en las propiedades del proyecto.

De forma predeterminada, la página Proyectos de Intel muestra los proyectos de equipo asociados a todos los usuarios de TI de Defender del inquilino. Puede elegir ver solo los proyectos personales que ha creado o los proyectos que se han compartido con usted para contribuir.

Administración de proyectos.

  • Para ver los detalles de un proyecto, seleccione el nombre del proyecto.
  • Para realizar cambios en el proyecto directamente, seleccione Editar en la esquina superior derecha de la página del proyecto. Solo puede editar proyectos si tiene el nivel de acceso suficiente para ellos.
  • Para agregar artefactos manualmente en un proyecto, seleccione Agregar artefacto en la esquina superior derecha de la página del proyecto.
  • Para eliminar un proyecto, seleccione Quitar proyecto. Solo puede eliminar los proyectos de su propiedad.

Procedimientos recomendados

Cuando se trata de usar Defender TI para investigar posibles amenazas, se recomienda ejecutar los siguientes flujos de trabajo, ya que estos pasos le permiten recopilar inteligencia estratégica y operativa antes de profundizar en la inteligencia táctica.

Realiza varios tipos de búsquedas dentro de Ti de Defender. Por lo tanto, es importante abordar el método de recopilación de inteligencia de una manera que le presente resultados amplios antes de profundizar en la investigación de indicadores específicos. Por ejemplo, si busca una dirección IP en la página del explorador Intel, ¿qué artículos están asociados a esa dirección IP? ¿Qué información presentan estos artículos sobre la dirección IP que, de lo contrario, no encontraría navegando directamente a la pestaña Datos de la dirección IP para el enriquecimiento del conjunto de datos? Por ejemplo, ¿se ha identificado esta dirección IP como un posible servidor de comandos y control (C2)? ¿Quién es el actor de amenazas? ¿Qué otras IOC relacionadas se enumeran en el artículo, qué tácticas, técnicas y procedimientos (TTP) usa el actor de amenazas y a quién se dirige?

Además de realizar varios tipos de búsquedas en Ti de Defender, puede colaborar con otros usuarios en las investigaciones. Dicho esto, se recomienda crear proyectos, agregar indicadores relacionados con una investigación a un proyecto y agregar colaboradores a un proyecto si más de una persona está trabajando en la misma investigación. Esto ayuda a reducir el tiempo dedicado al análisis de las mismas IOC y debería dar lugar a un flujo de trabajo más rápido observado.