データの並べ替え、フィルター処理、ダウンロード
重要
2024 年 6 月 30 日、Microsoft Defender 脅威インテリジェンス (Defender TI) スタンドアロン ポータル (https://ti.defender.microsoft.com) は廃止され、アクセスできなくなります。 お客様は、Microsoft Defender ポータルまたはMicrosoft Security Copilotで Defender TI を引き続き使用できます。
詳細情報
Microsoft Defender 脅威インテリジェンス (Defender TI) を使用すると、インデックス付きピボット テーブル形式でクロール データの膨大なコレクションにアクセスできます。 これらのデータ セットは大きくなる可能性があり、膨大な量の履歴データと最近のデータが返されます。 データを適切に並べ替えてフィルター処理することで、関心のある接続を簡単に表示できます。
このハウツー記事では、次のデータ セットのデータを並べ替えてフィルター処理する方法について説明します。
- 解決策
- WHOIS 情報
- 証明書
- サブドメイン
- トラッカー
- コンポーネント
- ホスト ペア
- Cookie
- サービス
- ドメイン ネーム システム (DNS)
- 逆引き DNS
また、次の機能からインジケーターまたは成果物をダウンロードする方法についても説明します。
- Projects
- 記事
- データ セット
前提条件
Microsoft Entra ID または個人の Microsoft アカウント。 サインインまたはアカウントを作成
Defender TI Premium ライセンス。
注:
Defender TI Premium ライセンスを持たないユーザーは、引き続き無料の Defender TI オファリングにアクセスできます。
Microsoft Defender ポータルで Defender TI を開く
- Defender ポータルにアクセスし、Microsoft 認証プロセスを完了します。 Defender ポータルの詳細
- [脅威インテリジェンス>Intel エクスプローラー] に移動します。
データの並べ替え
各データ タブの並べ替え関数を使用すると、列の値でデータ セットをすばやく並べ替えることができます。 既定では、最も最近観察された結果がリストの一番上に表示されるように、ほとんどの結果は Last seen (降順) で並べ替えられます。 この既定の並べ替え順序は、成果物の現在のインフラストラクチャに関する分析情報をすぐに提供します。
現在、すべてのデータ セットは、次の First seen 値と Last seen 値で並べ替えることができます。
- 最終表示 (降順) - 既定値
- 最後に表示された (昇順)
- 最初に表示 (昇順)
- 最初に表示 (降順)
データは、検索またはピボットされた各 IP、ドメイン、またはホスト エンティティの各データ セット タブで並べ替えることができます。
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[ 解像度 ] タブに移動し、並べ替え設定を [最初の表示 ] 列と [ 最後に表示 された列] に適用します。
データのフィルター処理
データ フィルターを使用すると、特定のメタデータ値に基づいて選択したデータ グループにアクセスできます。 たとえば、選択したソースからのみ検出された IP 解決、または特定の種類のコンポーネント (サーバーやフレームワークなど) を表示できます。 データ フィルター処理を使用すると、クエリ結果を特定の関心のある項目に絞り込みます。
Defender TI は特定のデータ型と一致する特定のメタデータを提供するため、フィルター オプションはデータ セットごとに異なります。
解像度フィルター
次のフィルターは、解決データに適用されます。
- システム タグ: Defender TI は、調査チームによって検出された分析情報に基づいてこれらのタグを作成します。 詳細情報
- タグ: Defender TI ユーザーが適用したカスタム タグ。 詳細情報
- ASN: 指定された自律システム番号 (ASN) に関連する結果。
- ネットワーク: 指定されたネットワークに関連する結果。
- ソース: 結果を生成したデータ ソース ( riskiq、 emerging_threatsなど)。
解決データをフィルター処理するには:
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[解像度] タブ に 移動します
前に説明した各種類のフィルター オプションにフィルターを適用します。
トラッカー フィルター
トラッカー データには、次のフィルターが適用されます。
- 型: 各成果物の識別されたトラッカーの種類 ( JarmFuzzyHash や GoogleAnalyticsID など)。
- アドレス: トラッカーを直接観察した IP アドレス、またはトラッカーを観察した解決ホストを持つ IP アドレス。 このフィルターは、IP アドレスを検索するときに表示されます。
- ホスト名: このトラッカー値を観察したホスト。 このフィルターは、ドメインまたはホストを検索するときに表示されます。
トラッカー データをフィルター処理するには:
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[トラッカー] タブ に 移動します
前に説明した各種類のフィルター オプションにフィルターを適用します。
コンポーネント フィルター
コンポーネント データには、次のフィルターが適用されます。
- Ipaddressraw: 返されたホスト名と一致する IP アドレス。
- 種類: 指定されたコンポーネントの種類 (リモート アクセスやオペレーティング システムなど)。
- 名前: 検出されたコンポーネントの名前 ( Cobalt Strike や PHP など)。
コンポーネント データをフィルター処理するには:
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[ コンポーネント ] タブに移動します
前に説明した各種類のフィルター オプションにフィルターを適用します。
ホスト ペア フィルター
ホスト ペア データには、次のフィルターが適用されます。
- 方向: 観察された接続の方向。親が子にリダイレクトするか、またはその逆かを示します。
- 親ホスト名: 親成果物のホスト名。
- 原因: ホスト親子関係の検出された原因 ( リダイレクト や iframe.src など)。
- 子ホスト名: 子成果物のホスト名。
ホスト ペア データをフィルター処理するには:
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[ ホスト ペア ] タブに移動します
前に説明した各種類のフィルター オプションにフィルターを適用します。
DNS フィルターと逆引き DNS フィルター
DNS データと逆引き DNS データには、次のフィルターが適用されます。
- レコードの種類: DNS レコードで検出されたレコードの種類 ( NS や CNAME など)。
- 価値: レコードの指定された値 ( たとえば、nameserver.host.com)。
DNS データと逆引き DNS データをフィルター処理するには:
Intel Explorer 検索バーでドメイン、IP アドレス、またはホストを検索します。
[DNS] タブと [逆引き DNS] タブに移動します
前に説明した各種類のフィルター オプションにフィルターを適用します。
データのダウンロード
Defender TI には、CSV ファイルとしてデータをエクスポートできるさまざまなセクションがあります。 次のセクションで、[ ダウンロード![] アイコン](media/downloadicon.png)
を探して選択します。
- ほとんどのデータ セット タブ
- Projects
- Intel の記事
解決、DNS、および逆引き DNS からデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| Resolve | 検索されたドメインに関連付けられたレコード (IP アドレスの解決) または IP アドレスが検索されたときに IP アドレスに解決されるドメイン |
| Location | IP アドレスがホストされている国または地域 |
| Network | Netblock またはサブネット |
| autonomousSystemNumber | ASN |
| firstSeen | Microsoft が初めて解像度を観察したときの日付と時刻 ( mm/dd/yyyy hh:mm 形式) |
| lastSeen | Microsoft が最後に解像度を観察した日時 ( mm/dd/yyyy hh:mm 形式) |
| Source | この解決策を観察したソース |
| Tags | 成果物に関連付けられているシステム タグまたはカスタム タグ |
[ サブドメイン] タブからデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| hostname | 検索されたドメインのサブドメイン |
| タグ | 成果物に関連付けられているシステム タグまたはカスタム タグ |
[ トラッカー ] タブからデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| hostname | トラッカーを監視または現在監視しているホスト名 |
| firstSeen | Microsoft がホスト名がトラッカーを使用しているのを初めて確認した日時 ( mm/dd/yyyy hh:mm 形式) |
| lastSeen | Microsoft がホスト名がトラッカーを使用していたのを最後に確認した日時 ( mm/dd/yyyy hh:mm 形式) |
| attributeType | トラッカーの種類 |
| attributeValue | トラッカー値 |
| Tags | 成果物に関連付けられているシステム タグまたはカスタム タグ |
[ コンポーネント ] タブからデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| hostname | コンポーネントを監視または現在監視しているホスト名 |
| firstSeen | Microsoft が最初にホスト名がコンポーネントを使用しているのを確認したときの日付と時刻 ( mm/dd/yyyy hh:mm 形式) |
| lastSeen | Microsoft がホスト名がコンポーネントを使用していたのを最後に確認した日時 ( mm/dd/yyyy hh:mm 形式) |
| カテゴリ | コンポーネントの種類 |
| name | コンポーネント名 |
| version | コンポーネントのバージョン |
| Tags | 成果物に関連付けられているシステム タグまたはカスタム タグ |
[ ホスト ペア ] タブからデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| parentHostname | 子ホスト名に到達しているホスト名 |
| childHostname | ホストする資産を親ホスト名に供給するホスト名。 |
| firstSeen | Microsoft が最初に親ホスト名と子ホスト名の間の関係を観察したときの日付と時刻 ( mm/dd/yyyy hh:mm 形式) |
| lastSeen | Microsoft が最後に親ホスト名と子ホスト名の関係を観察したときの日付と時刻 ( mm/dd/yyyy hh:mm 形式) |
| attributeCause | 親ホスト名と子ホスト名の関係の原因 |
| Tags | 成果物に関連付けられているシステム タグまたはカスタム タグ |
[Cookie] タブからデータをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| hostname | Cookie 名を観察したホスト名 |
| firstSeen | Cookie ドメインからのホスト名に対して Cookie 名が最初に観察されたときの日付と時刻 ( mm/dd/yyyy hh:mm 形式) |
| lastSeen | Cookie ドメインからのホスト名に対して Cookie 名が最後に観察された日時 ( mm/dd/yyyy hh:mm 形式) |
| cookieName | Cookie 名 |
| cookieDomain | Cookie 名の送信元のドメイン名のサーバー |
| Tags | 成果物に関連付けられているシステム タグまたはカスタム タグ |
Intel プロジェクト (マイ プロジェクト、チーム プロジェクト、および共有プロジェクト) からプロジェクト リストをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| name | プロジェクト名 |
| アーティファクト (カウント) | プロジェクト内の成果物数 |
| によって作成された (ユーザー) | プロジェクトを作成したユーザー |
| で作成 | プロジェクトが作成されたとき |
| タグ | 成果物に関連付けられているシステム タグまたはカスタム タグ |
| 協力 | プロジェクトにコラボレーターとして追加されたユーザー。このヘッダーは、[マイ プロジェクト] ページと [共有プロジェクト] ページからダウンロードしたプロジェクトに対してのみ表示されます |
プロジェクトからプロジェクトの詳細 (成果物) をダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| アーティファクト | 成果物の値 (IP アドレス、ドメイン、ホスト、WHOIS 値、証明書 SHA-1 など) |
| type | 成果物の種類 (IP、ドメイン、ホスト、WHOIS organization、WHOIS 電話、証明書 SHA-1 など) |
| 作成 | 成果物がプロジェクトに追加されたときの日時 ( mm/dd/yyyy hh:mm 形式) |
| 造物主 | 成果物を追加したユーザーのEmailアドレス |
| context | 成果物がプロジェクトに追加された方法 |
| タグ | 成果物に関連付けられているシステム タグまたはカスタム タグ |
| 協力 | プロジェクトにコラボレーターとして追加されたユーザー。このヘッダーは、[マイ プロジェクト] ページと [共有プロジェクト] ページからダウンロードしたプロジェクトに対してのみ表示されます |
脅威インテリジェンスのパブリック インジケーターまたは riskiq インジケーターをダウンロードすると、次のヘッダーがエクスポートされます。
| ヘッダー | 説明 |
|---|---|
| type | インジケーターの種類 (IP アドレス、証明書、ドメイン、SHA-256 など) |
| value | インジケーター値 (IP アドレス、ドメイン、ホスト名など) |
| source | インジケーター ソース (RiskIQ または OSINT) |