Analyytikon merkitykselliset tiedot
Tärkeää
30. kesäkuuta 2024 erillinen Microsoft Defender Threat Intelligence (Defender TI) -portaali (https://ti.defender.microsoft.com) poistettiin käytöstä, eikä sitä voi enää käyttää. Asiakkaat voivat jatkaa Defender TI:n käyttöä Microsoft Defender portaalissa tai Microsoft Security Copilot.
Lisätietoja
Microsoft Defender Threat Intelligence (Defender TI) -kohdassa Analyytikon merkitykselliset tiedot -osiossa on nopeita merkityksellisiä tietoja artefaktista, joka voi auttaa määrittämään tutkimuksen seuraavan vaiheen. Tässä osiossa luetellaan kaikki artefaktiin sovellettavat merkitykselliset tiedot sekä merkitykselliset tiedot, jotka eivät koske ylimääräistä näkyvyyttä.
Seuraavassa esimerkissä voit nopeasti määrittää, että IP-osoite on reititettävä, isännöi verkkopalvelinta ja että se on ollut avoinna viimeisten viiden päivän aikana. Lisäksi järjestelmä näyttää säännöt, joita ei käynnistetty, mikä voi olla yhtä hyödyllistä, kun kick aloittaa tutkimuksen.
Analyytikon merkityksellisten tietojen tyypit ja kysymykset, joita he voivat käsitellä
| Analyytikon merkityksellisten tietojen tyypit | Kysymykset, joita he voivat käsitellä |
|---|---|
| Estetty | Onko/Milloin toimialue, isäntä tai IP-osoite on estetty? |
| Kuinka monta kertaa Defender TI on estänyt toimialueen, isännän tai IP-osoitteen luettelon? | |
| Rekisteröity ja päivitetty | Kuinka monta päivää, kuukautta ja vuotta sitten toimialue rekisteröitiin? |
| Milloin toimialueen WHOIS-tietue päivitettiin? | |
| Alitoimialue-IP-määrä | Kuinka monta eri IP-osoitetta on liitetty toimialueen alitoimialueisiin? |
| Uudet alitoimialuehavainnot | Milloin Microsoft havaitsi viimeksi uuden alitoimialueen kyseisellä toimialueella? |
| Rekisteröity ja ratkaistava | Onko kyselty toimialue olemassa? |
| Ratkaistaanko toimialue IP-osoitteeksi? | |
| WHOIS-tietueen jakavien toimialueiden määrä | Millä muilla toimialueilla on sama WHOIS-tietue? |
| Nimipalvelimen jakavien toimialueiden määrä | Millä muilla toimialueilla on sama nimipalvelintietue? |
| RiskIQ:n indeksoima | Milloin Microsoft on viimeksi indeksoinut tämän isännän tai toimialueen? |
| Kansainvälinen toimialue | Onko toimialueella kyselty kansainvälistä toimialuenimeä (IDN)? |
| Kolmannen osapuolen estämä | Onko kolmas osapuoli estänyt tämän ilmaisimen luettelon? |
| Tor exit -solmun tila | Onko IP-osoite Onion Router (Tor) -verkkoon liittyvissä kysymyksissä? |
| Avoimia portteja havaittu | Milloin Microsoftin viimeinen portti skannasi tämän IP-osoitteen? |
| Välityspalvelimen tila | Mikä on tämän ilmaisimen välityspalvelimen tila? |
| Isäntä viimeksi havaittu | Onko kyseessä oleva IP-osoite käytettävissä Internetissä? |
| Isännöi verkkopalvelinta | Onko IP-osoitteella DNS-palvelin, joka käyttää resurssejaan nimen selvittämiseen asianmukaiselle verkkopalvelimelle? |