Analytikerinnsikt
I Microsoft Defender trusselinformasjon (Defender TI) gir innsiktinnsiktsdelen deg rask innsikt om en artefakt som kan bidra til å avgjøre neste trinn i en undersøkelse. Denne delen viser eventuelle innsikter som gjelder for artefakten, og innsikt som ikke gjelder for ekstra synlighet.
I eksemplet nedenfor kan du raskt fastslå at IP-adressen kan rutes, drifte en nettserver og ha en åpen port i løpet av de siste fem dagene. Videre viser systemet regler som ikke ble utløst, noe som kan være like nyttig når kick starter en undersøkelse.
Innsiktstyper og spørsmål de kan ta for seg
| Innsiktstyper for analytikere | Spørsmål de kan ta opp |
|---|---|
| Blokklistet | Er/når ble domenet, verten eller IP-adressen blokklistet? |
| Hvor mange ganger har Defender TI blokkert domenet, verten eller IP-adressen? | |
| Registrert og oppdatert | Hvor mange dager, måneder og år siden ble domenet registrert? |
| Når ble WHOIS-posten for domenet oppdatert? | |
| IP-antall underdomene | Hvor mange ulike IP-adresser er knyttet til underdomenene i domenet? |
| Nye observasjoner for underdomene | Når observerte Microsoft sist et nytt underdomene for det aktuelle domenet? |
| Registrert og løst | Finnes domenespørringen? |
| Løses domenet til en IP-adresse? | |
| Antall domener som deler WHOIS-posten | Hvilke andre domener deler samme WHOIS-post? |
| Antall domener som deler navneserveren | Hvilke andre domener deler serverposten med samme navn? |
| Kravlesøkt av RiskIQ | Når ble denne verten eller domenet sist kravlesøkt av Microsoft? |
| Internasjonalt domene | Spørres domenet etter et internasjonalt domenenavn (IDN)? |
| Blokklistet av tredjepart | Er denne indikatoren blokklistet av en tredjepart? |
| Status for tor-avslutningsnode | Er IP-adressen i spørsmål knyttet til Onion Router(Tor)-nettverket? |
| Åpne porter oppdaget | Når skannet Microsoft forrige port denne IP-adressen? |
| Proxy-status | Hva er proxy-statusen for denne indikatoren? |
| Vert sist observert | Er den aktuelle IP-adressen tilgjengelig på Internett? |
| Verter for en nettserver | Har IP-adressen en DNS-server (Domain Name System) som bruker ressursene til å løse navnet inn i det for riktig nettserver? |