Jaa

Projektien käyttäminen

  • Artikkeli

Tärkeää

30. kesäkuuta 2024 erillinen Microsoft Defender Threat Intelligence (Defender TI) -portaali (https://ti.defender.microsoft.com) poistettiin käytöstä, eikä sitä voi enää käyttää. Asiakkaat voivat jatkaa Defender TI:n käyttöä Microsoft Defender portaalissa tai Microsoft Security Copilot. Lisätietoja

Microsoft Defender Threat Intelligence (Defender TI) avulla voit kehittää yksityisiä henkilökohtaisia tai ryhmäprojekteja järjestääksesi tutkimuksen kiinnostuksenilmaisimet ja kompromissi-indikaattorit . Projektit sisältävät luettelon kaikista liittyvistä artefakeista ja yksityiskohtaisen historian, joka säilyttää nimet, kuvaukset, yhteistyökumppanit ja valvontaprofiilit.

Kun etsit IP-osoitetta, toimialuetta tai isäntää Intel Explorerista Microsoft Defender portaalissa ja jos ilmaisin on luettelossa projektissa, johon sinulla on käyttöoikeus, voit siirtyä Projektit-välilehteen ja siirtyä projektin tietoihin saadaksesi lisää kontekstia ilmaisimesta, ennen kuin tarkastelet muita tietojoukkoja saadaksesi lisätietoja. Voit myös tarkastella yksityisiä ryhmäprojekteja Defender-portaalissa siirtymällä Threat Intelligence>Intel -projekteihin.

Kun vierailet projektin tiedoissa, näet luettelon kaikista liittyvistä artefakeista ja yksityiskohtaisen historian, joka säilyttää kaiken aiemmin kuvatun kontekstin. Sinun ja muiden organisaatiosi käyttäjien ei enää tarvitse viestiä edestakaisin. Voit luoda uhkanäyttelijäprofiileja Defender TI:ssä, joka voi toimia "elävänä" ilmaisinjoukkona. Kun löydät tai löydät uusia tietoja, voit lisätä sen kyseiseen projektiin.

Defender TI -ympäristön avulla voit kehittää useita projektityyppejä kiinnostuksenilmaisimien ja IOC:ien järjestämiseksi tutkimuksesta.

Projektin omistaja voi lisätä yhteistyökumppaneita (Käyttäjät, jotka on lueteltu Azure-vuokraajassaan Defender TI Premium -käyttöoikeudella), jotka voivat sitten tehdä projektiin muutoksia ikään kuin he olisivat projektin omistajia. Yhteistyökumppanit eivät kuitenkaan voi poistaa projekteja. Yhteistyökumppanit voivat tarkastella jaettuja projekteja Intel-projektien sivun Jaetut projektit -välilehdessä.

Voit myös ladata projektin artefakteja valitsemalla Lataa-kuvakkeen. Tämä ominaisuus on erinomainen tapa uhkien metsästysryhmille käyttää tutkimuksen tuloksiaan estämään IOC-yhdisteitä tai rakentamaan lisää tunnistussääntöjä suojaustietojen ja tapahtumienhallintasovellusten (SIEM) sisällä.

Kysymykset, joihin projektit saattavat auttaa vastaamaan:

  • Onko yksi ryhmän jäsenistäni luonut ryhmäprojektin, joka sisältää tämän ilmaisimen?

    • Jos on, mitä muita aiheeseen liittyviä IOC-tyyppejä tämä ryhmän jäsen on siepattu ja minkä kuvauksen ja tunnisteet ne sisällyttävät kuvaamaan tutkinnan tyyppiä?

  • Milloin tämä ryhmän jäsen viimeksi muokkasi projektia?

Näyttökuva projektin tiedoista.

Ennakkovaatimukset

  • Microsoft Entra ID -tili tai henkilökohtainen Microsoft-tili. Kirjaudu sisään tai luo tili

  • Defender TI Premium -käyttöoikeus.

    Huomautus

    Käyttäjät, joilla ei ole Defender TI Premium -käyttöoikeutta, voivat edelleen käyttää maksutonta Defender TI -tarjoustamme.

Avaa Defender TI Intel -projektisivu Microsoft Defender portaalissa

Intel-projektit-sivulla näkyvät omistamasi projektit tai projektit, jotka muut Defender TI -käyttäjät ovat jakaneet kanssasi vuokraajassasi.

  1. Avaa Defender-portaali ja suorita Microsoftin todennusprosessi loppuun. Lisätietoja Defender-portaalista
  2. Siirry Threat Intelligence>Intel -projekteihin.

Projektin luominen

Voit luoda projektin Defender-portaalissa kahdella tavalla:

  1. Jos haluat luoda projektin Intel-projektisivulta , valitse Uusi projekti.

    Luo uusi projekti Intel-projektisivulta.

  2. Jos haluat luoda uuden projektin suorittaessasi tutkimusta Intel Explorer -sivulla, suorita ilmaisinhaku Intel Explorer -hausta ja valitse sitten Lisää projektiin>Lisää uusi projekti hakutuloksissa.

    Luo uusi projekti hakutuloksista.

Täytä avautuvassa Uusi projekti -sivupaneelissa tarvittavat kentät ja valitse Tallenna.

Lisää uusi projekti.

Projektien hallinta

Kun olet luonut projektin, voit hallita sitä Intel-projektisivulla . Tällä sivulla näkyvät kaikki projektit, joita voit käyttää, ja ne tarjoavat projektin ominaisuuksiin perustuvia suodatusmekanismeja.

Oletusarvoisesti Intel-projektit-sivulla näkyvät ryhmäprojektit, jotka liittyvät kaikkiin vuokraajasi Defender TI -käyttäjiin. Voit halutessasi tarkastella vain luomiasi omia projekteja tai projekteja, jotka on jaettu kanssasi osallistumiseksi.

Projektien hallinta.

  • Jos haluat tarkastella projektin tietoja, valitse projektin nimi.
  • Jos haluat tehdä muutoksia projektiin suoraan, valitse Projekti-sivun oikeasta yläkulmasta Muokkaa. Voit muokata projekteja vain, jos sinulla on niihin riittävä käyttöoikeustaso.
  • Jos haluat lisätä artefakteja projektiin manuaalisesti, valitse Lisää artefakti projektisivun oikeasta yläkulmasta.
  • Jos haluat poistaa projektin, valitse Poista projekti. Voit poistaa vain omistamasi projektit.

Parhaat käytännöt

Kun kyse on Defender TI:n käyttämisestä mahdollisten uhkien tutkimiseen, suosittelemme seuraavien työnkulkujen suorittamista, sillä näiden vaiheiden avulla voit kerätä strategisia ja operatiivisia tietoja ennen taktiseen tiedusteluun sukeltamista.

Voit suorittaa erilaisia hakuja Defender TI:n sisällä. Siksi on tärkeää lähestyä tietojen keräämismenetelmää siten, että saat laajat tulokset, ennen kuin tutustut tiettyjen indikaattorien tutkimiseen. Jos esimerkiksi etsit IP-osoitetta Intel Explorerin sivulta, mitkä artikkelit liittyvät kyseiseen IP-osoitteeseen? Mitä tietoja näissä artikkeleissa on IP-osoitteesta, josta et muuten löytäisi siirtymässä suoraan IP-osoitteen Tieto-välilehteen tietojoukon täydentämistä varten. Onko tämä IP-osoite esimerkiksi määritetty mahdolliseksi komento- ja hallintapalvelimeksi (C2) ? Kuka on uhkanäyttelijä? Mitä muita aiheeseen liittyviä IOC-yhdisteitä artikkelissa on lueteltu, mitä taktiikoita, tekniikoita ja menettelyjä uhkatoimija käyttää ja keitä ne kohdistavat?

Sen lisäksi, että voit tehdä erilaisia hakuja Defender TI:ssä, voit tehdä yhteistyötä muiden kanssa tutkimuksissa. Sinua kuitenkin kannustetaan luomaan projekteja, lisäämään tutkimukseen liittyviä indikaattoreita projektiin ja lisäämään yhteistyökumppaneita projektiin, jos useampi kuin yksi henkilö työskentelee saman tutkimuksen parissa. Tämä auttaa vähentämään samojen IOC-yhdisteiden analysointiin käytettyä aikaa, minkä pitäisi johtaa nopeampaan työnkulkuun.