アナリストの分析情報
重要
2024 年 6 月 30 日、Microsoft Defender 脅威インテリジェンス (Defender TI) スタンドアロン ポータル (https://ti.defender.microsoft.com) は廃止され、アクセスできなくなります。 お客様は、Microsoft Defender ポータルまたはMicrosoft Security Copilotで Defender TI を引き続き使用できます。
詳細情報
Microsoft Defender 脅威インテリジェンス (Defender TI) のアナリスト分析情報セクションでは、調査の次の手順を決定するのに役立つ成果物に関する簡単な分析情報を提供します。 このセクションでは、成果物に適用される分析情報と、追加の可視性に適用されない分析情報の一覧を示します。
次の例では、IP アドレスがルーティング可能であり、Web サーバーをホストし、過去 5 日以内に開いているポートを持っていることをすぐに確認できます。 さらに、トリガーされなかったルールが表示されます。これは、調査を開始するときにも同様に役立ちます。
アナリストが対処できる分析情報の種類と質問
| アナリスト分析情報の種類 | 彼らが対処できる質問 |
|---|---|
| ブロックリスト | ドメイン、ホスト、または IP アドレスがブロックリストに登録されたのはいつですか? |
| Defender TI がドメイン、ホスト、または IP アドレスをブロックリストに登録した回数 | |
| 登録済みおよび更新済み | ドメインは何日前、数か月、何年前に登録されましたか? |
| ドメイン WHOIS レコードはいつ更新されましたか? | |
| サブドメイン IP 数 | ドメインのサブドメインに関連付けられている IP アドレスはいくつですか? |
| 新しいサブドメインの観測値 | Microsoft が問題のドメインの新しいサブドメインを最後に観察したのはいつですか? |
| 登録と解決 | クエリされたドメインは存在しますか? |
| ドメインは IP アドレスに解決されますか? | |
| WHOIS レコードを共有するドメインの数 | 同じ WHOIS レコードを共有する他のドメインは何ですか? |
| ネーム サーバーを共有するドメインの数 | 同じネーム サーバー レコードを共有する他のドメインは何ですか? |
| RiskIQ によってクロールされる | このホストまたはドメインが Microsoft によって最後にクロールされたのはいつですか? |
| 国際ドメイン | ドメインは国際ドメイン名 (IDN) に対して照会されますか? |
| サード パーティによるブロックリスト | このインジケーターはサード パーティによってブロックリストに含まれていますか? |
| Tor exit ノードの状態 | 問題の IP アドレスは、Onion Router (Tor) ネットワークに関連付けられていますか? |
| 開いているポートが検出されました | Microsoft の最後のポートでこの IP アドレスがスキャンされたのはいつですか? |
| プロキシの状態 | このインジケーターのプロキシの状態は何ですか? |
| 最後に観察されたホスト | 問題の IP アドレスはインターネットにアクセスできますか? |
| Web サーバーをホストする | IP アドレスには、そのリソースを使用して適切な Web サーバーの名前を解決するドメイン ネーム システム (DNS) サーバーがありますか? |