Compartilhar via

Usando projetos

  • Artigo

Importante

A 30 de junho de 2024, o portal autónomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) foihttps://ti.defender.microsoft.com descontinuado e já não está acessível. Os clientes podem continuar a utilizar o Defender TI no portal do Microsoft Defender ou com Microsoft Security Copilot. Saiba Mais

Informações sobre Ameaças do Microsoft Defender (Defender TI) permite-lhe desenvolver projetos pessoais privados ou de equipa para organizar indicadores de interesse e indicadores de comprometimento (IOCs) a partir de uma investigação. Os projetos contêm uma lista de todos os artefactos associados e um histórico detalhado que retém os nomes, descrições, colaboradores e perfis de monitorização.

Quando pesquisa um endereço IP, domínio ou anfitrião no Intel Explorer no portal do Microsoft Defender e se esse indicador estiver listado num projeto ao qual tem acesso, pode aceder ao separador Projetos e navegar para os detalhes do projeto para obter mais contexto sobre o indicador antes de rever os outros conjuntos de dados para obter mais informações. Também pode ver os seus projetos de equipa privada no portal do Defender ao aceder aProjetos intel de informações sobre> ameaças.

Visitar os detalhes de um projeto mostra uma lista de todos os artefactos associados e um histórico detalhado que retém todo o contexto descrito anteriormente. O utilizador e outros utilizadores na sua organização já não precisam de passar algum tempo a comunicar entre si. Pode criar perfis de ator de ameaças no Defender TI, que podem servir de conjunto de indicadores "dinâmicos". À medida que deteta ou encontra novas informações, pode adicioná-la a esse projeto.

A plataforma Defender TI permite-lhe desenvolver vários tipos de projetos para organizar indicadores de interesse e IOCs a partir de uma investigação.

O proprietário do projeto pode adicionar colaboradores (utilizadores listados no respetivo inquilino do Azure com uma licença Premium do Defender TI), que podem fazer alterações ao projeto como se fossem os proprietários do projeto. No entanto, os colaboradores não podem eliminar projetos. Os colaboradores podem ver os projetos partilhados com eles no separador Projetos partilhados na página Projetos Intel.

Também pode transferir artefactos num projeto ao selecionar o ícone Transferir . Esta funcionalidade é uma excelente forma de as equipas de investigação de ameaças utilizarem as suas conclusões de uma investigação para bloquear IOCs ou criarem mais regras de deteção nas respetivas aplicações de gestão de informações e eventos de segurança (SIEM).

Perguntas que os projetos podem ajudar a responder:

  • Um dos meus colegas de equipa criou um projeto de equipa que inclui este indicador?

    • Em caso afirmativo, que outros IOCs relacionados têm este membro de equipa capturado e que descrição e etiquetas foram incluídas para descrever o tipo de investigação?

  • Quando é que este membro da equipa editou o projeto pela última vez?

Captura de ecrã de detalhes do projeto.

Pré-requisitos

  • Um Microsoft Entra ID ou uma conta Microsoft pessoal. Entrar ou criar uma conta

  • Uma licença premium do Defender TI.

    Observação

    Os usuários sem uma licença Premium do Defender TI ainda podem acessar a nossa oferta do Defender TI gratuito.

Abrir a página de projetos Intel do Defender TI no portal do Microsoft Defender

A página Projetos Intel mostra-lhe os projetos que possui ou que foram partilhados consigo por outros utilizadores do Defender TI no seu inquilino.

  1. Acesse o portal do Defender e conclua o processo de autenticação da Microsoft. Saiba mais sobre o portal do Defender
  2. Navegue paraProjetos Intelde informações sobre ameaças>.

Criar um projeto

Pode criar um projeto no portal do Defender de duas formas:

  1. Para criar um projeto a partir da página Projetos Intel , selecione Novo projeto.

    Crie um novo projeto a partir da página De projetos Intel.

  2. Para criar um novo projeto durante a realização de uma investigação na página Do Intel Explorer , efetue uma pesquisa de indicadores a partir da pesquisa do intel explorer e, em seguida, selecione Adicionar ao projeto>Adicionar novo projeto nos resultados da pesquisa.

    Crie um novo projeto a partir dos resultados da pesquisa.

No painel Lado do novo projeto apresentado, preencha os campos necessários e selecione Guardar.

Adicionar novo projeto.

Gerir projetos

Depois de criar um projeto, pode geri-lo na página De projetos Intel . Esta página apresenta todos os projetos a que pode aceder e fornece mecanismos de filtragem com base nas propriedades do projeto.

Por predefinição, a página Projetos Intel apresenta os projetos de equipa associados a todos os utilizadores do Defender TI no seu inquilino. Pode optar por ver apenas os projetos pessoais que criou ou os projetos que foram partilhados consigo para os quais contribuir.

Gerir projetos.

  • Para ver os detalhes de um projeto, selecione o nome do projeto.
  • Para fazer alterações diretamente ao projeto, selecione Editar no canto superior direito da página do projeto. Só pode editar projetos se tiver o nível de acesso suficiente para os mesmos.
  • Para adicionar artefactos manualmente a um projeto, selecione Adicionar artefacto no canto superior direito da página do projeto.
  • Para eliminar um projeto, selecione Remover projeto. Só pode eliminar os projetos que possui.

Práticas recomendadas

Quando se trata de utilizar o Defender TI para investigar potenciais ameaças, recomendamos a execução dos seguintes fluxos de trabalho, uma vez que estes passos permitem-lhe recolher informações estratégicas e operacionais antes de explorar informações táticas.

Efetua vários tipos de pesquisas no Defender TI. Como tal, é importante abordar o seu método de recolha de informações de uma forma que lhe apresente resultados amplos antes de analisar indicadores específicos. Por exemplo, se procurar um endereço IP na página intel explorer, que artigos estão associados a esse endereço IP? Que informações estes artigos apresentam sobre o endereço IP que, de outra forma, não encontraria ao navegar diretamente para o separador Dados do endereço IP para melhorar o conjunto de dados. Por exemplo, este endereço IP foi identificado como um possível servidor de comando e controlo (C2)? Quem é o actor de ameaças? Que outros IOCs relacionados estão listados no artigo, que táticas, técnicas e procedimentos (TTPs) estão a ser utilizados pelo ator de ameaças e a quem estão a ser direcionados?

Além de realizar vários tipos de pesquisas no Defender TI, pode colaborar com outras pessoas em investigações. Dito isto, é encorajado a criar projetos, adicionar indicadores relacionados com uma investigação a um projeto e adicionar colaboradores a um projeto se mais do que uma pessoa estiver a trabalhar na mesma investigação. Isto ajuda a reduzir o tempo despendido a analisar os mesmos IOCs e deve resultar num fluxo de trabalho mais rápido observado.