Tietojen lajitteleminen, suodattaminen ja lataaminen
Tärkeää
30. kesäkuuta 2024 erillinen Microsoft Defender Threat Intelligence (Defender TI) -portaali (https://ti.defender.microsoft.com) poistettiin käytöstä, eikä sitä voi enää käyttää. Asiakkaat voivat jatkaa Defender TI:n käyttöä Microsoft Defender portaalissa tai Microsoft Security Copilot.
Lisätietoja
Microsoft Defender Threat Intelligence (Defender TI) avulla voit käyttää laajaa indeksointitietokokoelmaamme indeksoidussa ja pivot-taulukkomuodossa. Nämä tietojoukot voivat olla suuria, ja ne palauttavat suuria määriä historiallisia ja viimeaikaisia tietoja. Kun annat sinun lajitella ja suodattaa tietoja asianmukaisesti, autamme sinua selvittämään kiinnostavat yhteydet helposti.
Tässä ohjeartikkelissa opit lajittelemaan ja suodattamaan seuraavien tietojoukkojen tietoja:
- Päätöslauselmat
- WHOIS-tiedot
- Todistukset
- Aliverkkotunnuksia
- Jäljittää
- Osia
- Isäntäparit
- Evästeet
- Palvelut
- Toimialueen nimijärjestelmä (DNS)
- Käänteinen DNS
Opit myös lataamaan ilmaisimia tai artefakteja seuraavista ominaisuuksista:
- Projektit
- Artikkelit
- Tietojoukot
Ennakkovaatimukset
Microsoft Entra ID -tili tai henkilökohtainen Microsoft-tili. Kirjaudu sisään tai luo tili
Defender TI Premium -käyttöoikeus.
Huomautus
Käyttäjät, joilla ei ole Defender TI Premium -käyttöoikeutta, voivat edelleen käyttää maksutonta Defender TI -tarjoustamme.
Avaa Defender TI Microsoft Defender -portaalissa
- Avaa Defender-portaali ja suorita Microsoftin todennusprosessi loppuun. Lisätietoja Defender-portaalista
- Siirry kohtaan Uhkien älykkyys>Intel Explorer.
Tietojen lajitteleminen
Kunkin tietovälilehden lajittelufunktion avulla voit lajitella tietojoukot nopeasti sarakearvojen mukaan. Oletusarvoisesti useimmat tulokset lajitellaan Viimeksi nähty (laskeva) mukaan niin, että viimeksi havaitut tulokset näkyvät luettelon yläosassa. Tämä oletuslajittelujärjestys tarjoaa välittömästi tietoja artefaktin nykyisestä infrastruktuurista.
Tällä hetkellä kaikki tietojoukot voidaan lajitella seuraavien First seen - ja Last seen -arvojen mukaan:
- Viimeksi nähty (laskeva) - Oletus
- Viimeksi nähty (nouseva)
- Ensimmäinen nähty (nouseva)
- Ensimmäinen nähty (laskeva)
Tiedot voidaan lajitella kunkin tietojoukon välilehdessä kullekin IP-osoitteelle, toimialueelle tai isäntäentiteetille, jota haetaan tai pivotoidaan.
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkissa.
Siirry Ratkaisut-välilehteen ja käytä lajitteluasetuksia First seen - ja Last seen -sarakkeissa.
Tietojen suodattaminen
Tietojen suodattamisen avulla voit käyttää valittua tietoryhmää tietyn metatietoarvon perusteella. Voit esimerkiksi valita, näytetäänkö vain tietystä lähteestä löytyneet IP-tarkkuudet tai tietyntyyppiset osat (esimerkiksi palvelimet tai sovelluskehykset). Tietojen suodattamisen avulla voit rajata kyselyn tulokset erityisen kiinnostaviin kohteisiin.
Koska Defender TI tarjoaa tiettyjä metatietoja, jotka osuvat yhteen tiettyjen tietotyyppien kanssa, suodatinasetukset ovat erilaiset kullekin tietojoukolle.
Ratkaisusuodattimet
Seuraavat suodattimet koskevat tarkkuustietoja:
- Järjestelmätunniste: Defender TI luo nämä tunnisteet tutkimusryhmämme löytämien merkityksellisten tietojen perusteella. Lisätietoja
- Tunniste: Mukautetut tunnisteet, joita Defender TI -käyttäjät ovat soveltaneet. Lisätietoja
- ASN: Tulokset, jotka liittyvät nimettyyn autonomiseen järjestelmänumeroon (ASN).
- Verkko: tulokset, jotka liittyvät määritettyyn verkkoon.
- Lähde: Tuloksen tuottanut tietolähde (esimerkiksi riskiq, emerging_threats).
Tarkkuuden tietojen suodattaminen:
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkista.
Siirry Ratkaisut-välilehteen
Käytä suodattimia kaikkiin aiemmin mainittuihin suodatinvaihtoehtoihin.
Seurannan suodattimet
Seuraavat suodattimet koskevat seurantatietoja:
- Tyyppi: Kunkin artefaktin tunnistettu seurantatyyppi (esimerkiksi JarmFuzzyHash tai GoogleAnalyticsID).
- Osoite: IP-osoite, joka havaitsi jäljittimen suoraan tai jolla on jäljittimen havainnut ratkaisuisäntä. Tämä suodatin tulee näkyviin, kun etsit IP-osoitetta.
- Isäntänimi: Isäntä, joka havaitsi tämän seuranta-arvon. Tämä suodatin tulee näkyviin, kun haet toimialuetta tai isäntää.
Seurantatietojen suodattaminen:
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkista.
Siirry Jäljittimet-välilehteen
Käytä suodattimia kaikkiin aiemmin mainittuihin suodatinvaihtoehtoihin.
Osasuodattimet
Seuraavat suodattimet koskevat osatietoja:
- Ipaddressraw: IP-osoite, joka on sama kuin palautettu isäntänimi.
- Tyyppi: Määritetty komponenttityyppi (esimerkiksi etäkäyttö tai käyttöjärjestelmä).
- Nimi: Tunnistetun komponentin nimi (esimerkiksi Cobalt Strike tai PHP).
Osan tietojen suodattaminen:
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkista.
Siirry Osat-välilehteen
Käytä suodattimia kaikkiin aiemmin mainittuihin suodatinvaihtoehtoihin.
Isäntäparisuodattimet
Seuraavat suodattimet koskevat isäntäparin tietoja:
- Suunta: Havaitun yhteyden suunta, joka ilmaisee, ohjaako pääkohde alikohteeseen uudelleen vai päinvastoin.
- Pääisännän nimi: Pääartefaktin isäntänimi.
- Aiheuttaa: Isännän pää-alikohdesuhteen havaittu syy (esimerkiksi uudelleenohjaus tai iframe.src).
- Aliisännän nimi: Aliartefaktin isäntänimi.
Isäntäparitietojen suodattaminen:
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkista.
Siirry Isäntäparit-välilehteen
Käytä suodattimia kaikkiin aiemmin mainittuihin suodatinvaihtoehtoihin.
DNS-suodattimet ja käänteinen DNS-suodattimet
Seuraavat suodattimet koskevat DNS-tietoja ja käänteinen DNS-tietoja:
- Tietuetyyppi: DNS-tietueessa havaittu tietuetyyppi (esimerkiksi NS tai CNAME).
- Arvo: Tietueen määritetty arvo (esimerkiksi nameserver.host.com).
DNS-tietojen suodattaminen ja DNS-tietojen kääntäminen:
Hae toimialuetta, IP-osoitetta tai isäntää Intel Explorerin hakupalkista.
Siirry DNS- ja Reverse DNS - välilehtiin
Käytä suodattimia kaikkiin aiemmin mainittuihin suodatinvaihtoehtoihin.
Ladataan tietoja
Defender TI:ssä on useita osia, joissa voit viedä tietoja CSV-tiedostona. Varo ja valitse seuraavien osioiden Lataa lataa
:
- Useimmat tietojoukon välilehdet
- Projektit
- Intel-artikkelit
Kun lataat tietoja ratkaisuista, DNS:stä ja käänteisistä DNS: stä, seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| Ratkaista | Toimialueeseen liittyvä tietue etsitty (IP-osoitteen ratkaiseminen) tai toimialue, joka ratkaistaan IP-osoitteeksi, kun IP-osoitetta etsitään |
| Sijainti | Maa tai alue, jossa IP-osoite sijaitsee |
| Verkko | Netblock tai aliverkko |
| autonomousSystemNumber | ASN |
| firstSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), kun Microsoft ensimmäisen kerran havaitsi tarkkuuden |
| lastSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), kun Microsoft viimeksi havaitsi tarkkuuden |
| Lähde | Tämän ratkaisun havainnut lähde |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat tietoja Alitoimialue-välilehdeltä , seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| isäntänimi | Etsityn toimialueen alitoimialue |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat tietoja Seurannat-välilehdeltä , seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| isäntänimi | Isäntänimi, joka havaittu tai tarkkailee parhaillaan jäljitintä |
| firstSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), jolloin Microsoft ensimmäisen kerran havaitsi isäntänimen käyttävän jäljitintä |
| lastSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), jolloin Microsoft viimeksi havaitsi isännän nimen käyttävän jäljitintä |
| attributeType | Jäljittimen tyyppi |
| attributeValue | Seurannan arvo |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat tietoja Osat-välilehdestä , seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| isäntänimi | Isäntänimi, joka havaitsee tai tarkkailee komponenttia parhaillaan |
| firstSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), jolloin Microsoft ensimmäisen kerran havaitsi isäntänimen käyttävän komponenttia |
| lastSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), jolloin Microsoft viimeksi havaitsi isäntänimen käyttävän komponenttia |
| luokka | Osatyyppi |
| Nimi | Osan nimi |
| versio | Osan versio |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat tietoja Isäntäparit-välilehdeltä , seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| parentHostname | Isäntänimi, joka ottaa yhteyttä aliisännänimeen |
| childHostname | Isäntänimi, joka syöttää isännöityjä resursseja isäntänimeen. |
| firstSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), kun Microsoft ensimmäisen kerran havaitsi pää- ja alikohteen isäntänimen välisen suhteen |
| lastSeen | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), kun Microsoft viimeksi havaitsi pää- ja alikohteen isäntänimen välisen suhteen |
| attributeCause | Syy pääkohteen ja alikohteen isäntänimen väliseen suhteeseen |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat tietoja Evästeet-välilehdeltä , seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| isäntänimi | Evästeen nimen havainnut isäntänimi |
| firstSeen | Päivämäärä ja kellonaika ( kk/pp/yyyy hh:mm-muodossa ), kun evästeen nimi havaittiin ensimmäisen kerran isäntänimelle evästetoimialueelta |
| lastSeen | Päivämäärä ja kellonaika ( kk/pp/yyyy hh:mm-muodossa ), kun evästeen nimi on viimeksi havaittu isäntänimelle evästetoimialueelta |
| cookieName | Evästeen nimi |
| cookieDomain | Verkkotunnuksen palvelin, josta evästeen nimi on peräisin |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
Kun lataat projektiluetteloita Intel-projekteista (Omat projektit, Ryhmäprojektit ja Jaetut projektit), seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| Nimi | Projektin nimi |
| artefaktit (määrä) | Artefaktien määrä projektissa |
| luonut (käyttäjä) | Projektin luonut käyttäjä |
| luotu | Projektin luontipäivämäärä |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
| Yhteistyökumppaneita | Jotka on lisätty hankkeeseen yhteistyökumppaneiksi; tämä otsikko näkyy vain Omat projektit - ja Jaetut projektit -sivuilta ladatuissa projekteissa |
Kun lataat projektin tietoja (artefakteja) projektista, seuraavat otsikot viedään:
| Otsikko | Kuvaus |
|---|---|
| artefakti | Artefaktin arvo (esimerkiksi IP-osoite, toimialue, isäntä, WHOIS-arvo tai varmenne SHA-1) |
| tyyppi | Artefaktin tyyppi (esimerkiksi IP, toimialue, isäntä, WHOIS-organisaatio, WHOIS-puhelin tai varmenne SHA-1) |
| Luotu | Päivämäärä ja kellonaika ( kk/pp/vvvv hh:mm-muodossa ), jolloin artefakti lisättiin projektiin |
| luoja | Artefaktin lisänneen käyttäjän sähköpostiosoite |
| asiayhteys | Miten artefakti lisättiin projektiin |
| Tunnisteet | Artefaktiin liittyvät järjestelmätunnisteet tai mukautetut tunnisteet |
| Yhteistyökumppaneita | Jotka on lisätty hankkeeseen yhteistyökumppaneiksi; tämä otsikko näkyy vain Omat projektit - ja Jaetut projektit -sivuilta ladatuissa projekteissa |
Uhkatietojen julkisten tai riskiq-ilmaisimien lataaminen vie seuraavat otsikot:
| Otsikko | Kuvaus |
|---|---|
| tyyppi | Ilmaisintyyppi (esimerkiksi IP-osoite, varmenne, toimialue tai SHA-256) |
| arvo | Ilmaisimen arvo (esimerkiksi IP-osoite, toimialue tai isäntänimi) |
| lähde | Ilmaisimen lähde (RiskIQ tai OSINT) |