Bruke prosjekter
Microsoft Defender trusselinformasjon (Defender TI) lar deg utvikle private personlige prosjekter eller gruppeprosjekter for å organisere indikatorer for interesse og indikatorer for kompromiss (IOCer) fra en undersøkelse. Prosjekter inneholder en liste over alle tilknyttede artefakter og en detaljert logg som beholder navnene, beskrivelsene, samarbeidspartnerne og overvåkingsprofilene.
Når du søker etter en IP-adresse, et domene eller en vert i Intel Explorer i Microsoft Defender-portalen, og hvis denne indikatoren er oppført i et prosjekt du har tilgang til, kan du gå til Prosjekter-fanen og navigere til detaljene i prosjektet for mer kontekst om indikatoren før du ser gjennom de andre datasettene for mer informasjon. Du kan også vise dine private teamprosjekter i Defender-portalen ved å gå til Intel-prosjekter med trusselintelligens>.
Hvis du besøker detaljene for et prosjekt, vises en liste over alle tilknyttede artefakter og en detaljert logg som beholder all konteksten som er beskrevet tidligere. Du og andre brukere i organisasjonen trenger ikke lenger å bruke tid på å kommunisere frem og tilbake. Du kan bygge trusselaktørprofiler i Defender TI, som kan fungere som et "levende" sett med indikatorer. Når du oppdager eller finner ny informasjon, kan du legge den til i dette prosjektet.
Defender TI-plattformen lar deg utvikle flere prosjekttyper for å organisere indikatorer av interesse og IOCer fra en undersøkelse.
Prosjekteieren kan legge til samarbeidspartnere (brukere som er oppført i Azure-leieren med en Defender TI Premium-lisens), som deretter kan gjøre endringer i prosjektet som om de er eieren av prosjektet. Samarbeidspartnere kan imidlertid ikke slette prosjekter. Samarbeidspartnere kan vise prosjektene som er delt med dem, i fanen Delte prosjekter på Siden Intel-prosjekter.
Du kan også laste ned artefakter i et prosjekt ved å velge Last ned-ikonet . Denne funksjonen er en flott måte for trusseljaktteam å bruke sine funn fra en undersøkelse til å blokkere IOCer eller bygge flere gjenkjenningsregler i deres siem-programmer (security information and event management).
Spørsmålsprosjekter kan bidra til å svare:
Har et av de andre gruppemedlemmene opprettet et gruppeprosjekt som inneholder denne indikatoren?
- I så fall hvilke andre relaterte IOCer har dette gruppemedlemmet fanget opp, og hvilken beskrivelse og hvilke koder inkluderte de for å beskrive undersøkelsestypen?
Når redigerte dette gruppemedlemmet prosjektet sist?
Forutsetninger
En Microsoft Entra ID eller en personlig Microsoft-konto. Logg på eller opprett en konto
En premiumlisens på Defender TI.
Obs!
Brukere uten en premiumlisens på Defender TI har fortsatt tilgang til gratisversjonen av Defender TI.
Åpne siden for Defender TI Intel-prosjekter i Microsoft Defender-portalen
Intel-prosjektsiden viser deg prosjektene du eier, eller som ble delt med deg av andre Defender TI-brukere i leieren.
- Åpne Defender-portalen og gjennomfør Microsoft-autentiseringsprosessen. Finn ut mer om Defender-portalen
- Naviger til Intel-prosjekter med trusselintelligens>.
Opprette et prosjekt
Du kan opprette et prosjekt i Defender-portalen på to måter:
Hvis du vil opprette et prosjekt fra Siden Intel-prosjekter , velger du Nytt prosjekt.
Hvis du vil opprette et nytt prosjekt mens du utfører en undersøkelse på Intel Explorer-siden , utfører du et indikatorsøk fra Intel Explorer-søket og velger Legg til i prosjekt>Legg til nytt prosjekt i søkeresultatene.
Fyll ut de nødvendige feltene i sidepanelet Nytt prosjekt som vises, og velg Lagre.
Administrer prosjekter
Når du har opprettet et prosjekt, kan du administrere det på Intel-prosjektsiden . Denne siden viser alle prosjektene du har tilgang til, og inneholder filtreringsmekanismer basert på prosjektegenskaper.
Som standard viser Intel-prosjektsiden teamprosjektene som er knyttet til alle Defender TI-brukerne i leieren. Du kan velge å vise bare de personlige prosjektene du opprettet, eller prosjektene som ble delt med deg å bidra til.
- Hvis du vil vise detaljene for et prosjekt, velger du prosjektets navn.
- Hvis du vil gjøre endringer i prosjektet direkte, velger du Rediger øverst til høyre på prosjektsiden. Du kan bare redigere prosjekter hvis du har tilstrekkelig tilgangsnivå til dem.
- Hvis du vil legge til artefakter manuelt i et prosjekt, velger du Legg til artefakt øverst til høyre på prosjektsiden.
- Hvis du vil slette et prosjekt, velger du Fjern prosjekt. Du kan bare slette prosjektene du eier.
Anbefalte fremgangsmåter
Når det gjelder å bruke Defender TI til å undersøke potensielle trusler, anbefaler vi å kjøre følgende arbeidsflyter, da disse trinnene gjør det mulig for deg å samle strategisk og operativ intelligens før du dykker ned i taktisk intelligens.
Du utfører ulike typer søk i Defender TI. Som sådan er det viktig å nærme seg din intelligensinnsamlingsmetode på en måte som gir deg brede resultater før du dykker ned i å undersøke bestemte indikatorer. Hvis du for eksempel søker etter en IP-adresse på Intel Explorer-siden, hvilke artikler er knyttet til denne IP-adressen? Hvilken informasjon presenterer disse artiklene om IP-adressen som du ellers ikke finner å navigere direkte til DATA-fanen for IP-adressen for datasettberikelse. Har denne IP-adressen for eksempel blitt identifisert som en mulig kommando- og kontrollserver (C2) ? Hvem er trusselskuespilleren? Hvilke andre relaterte IOCer er oppført i artikkelen, hvilke taktikker, teknikker og prosedyrer (TTP-er) er trusselaktøren som bruker og hvem er de rettet mot?
I tillegg til å utføre ulike typer søk i Defender TI, kan du samarbeide med andre om undersøkelser. Når det er sagt, oppfordres du til å opprette prosjekter, legge til indikatorer relatert til en undersøkelse i et prosjekt og legge til samarbeidspartnere i et prosjekt hvis mer enn én person arbeider med den samme undersøkelsen. Dette bidrar til å redusere tiden som brukes til å analysere de samme IOCene, og bør resultere i at en raskere arbeidsflyt blir observert.