Inzichten van analisten
In Microsoft Defender-bedreigingsinformatie (Defender TI) biedt de sectie Inzichten voor analisten u snelle inzichten over een artefact waarmee u uw volgende stap in een onderzoek kunt bepalen. In deze sectie vindt u alle inzichten die van toepassing zijn op het artefact en inzichten die niet van toepassing zijn voor extra zichtbaarheid.
In het volgende voorbeeld kunt u snel vaststellen dat het IP-adres routeerbaar is, als host fungeert voor een webserver en de afgelopen vijf dagen een open poort had. Bovendien geeft het systeem regels weer die niet zijn geactiveerd, wat net zo handig kan zijn bij het starten van een onderzoek.
Typen en vragen over inzichten van analisten
| Typen inzichten van analisten | Vragen die ze kunnen beantwoorden |
|---|---|
| Geblokkeerd | Is/wanneer is het domein, de host of het IP-adres geblokkeerd? |
| Hoe vaak heeft Defender TI het domein, de host of het IP-adres geblokkeerd? | |
| Geregistreerd en bijgewerkt | Hoeveel dagen, maanden en jaren geleden was het domein geregistreerd? |
| Wanneer is de WHOIS-record van het domein bijgewerkt? | |
| Ip-aantal subdomeinen | Hoeveel verschillende IP-adressen zijn gekoppeld aan de subdomeinen van het domein? |
| Nieuwe subdomeinobservaties | Wanneer heeft Microsoft voor het laatst een nieuw subdomein voor het betreffende domein waargenomen? |
| Geregistreerd en omgezet | Bestaat het domein dat is opgevraagd? |
| Wordt het domein omgezet in een IP-adres? | |
| Aantal domeinen dat de WHOIS-record deelt | Welke andere domeinen delen dezelfde WHOIS-record? |
| Aantal domeinen dat de naamserver deelt | Welke andere domeinen delen dezelfde naamserverrecord? |
| Verkend door RiskIQ | Wanneer is deze host of dit domein voor het laatst verkend door Microsoft? |
| Internationaal domein | Wordt het domein opgevraagd voor een internationale domeinnaam (IDN)? |
| Geblokkeerd door derden | Is deze indicator geblokkeerd door een derde partij? |
| Status van tor-afsluitknooppunt | Is het IP-adres in vragen gekoppeld aan het Tor-netwerk (Onion Router) ? |
| Geopende poorten gedetecteerd | Wanneer heeft Microsoft dit IP-adres voor het laatst gescand? |
| Proxystatus | Wat is de proxystatus van deze indicator? |
| Laatst waargenomen host | Is het ip-adres in kwestie toegankelijk via internet? |
| Host een webserver | Heeft het IP-adres een DNS-server (Domain Name System) die de bijbehorende resources gebruikt om de naam ervan om te zetten voor de juiste webserver? |