Partilhar via

Utilizar etiquetas

  • Artigo

Importante

A 30 de junho de 2024, o portal autónomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) foihttps://ti.defender.microsoft.com descontinuado e já não está acessível. Os clientes podem continuar a utilizar o Defender TI no portal do Microsoft Defender ou com Microsoft Security Copilot. Saiba mais

as etiquetas Informações sobre Ameaças do Microsoft Defender (Defender TI) fornecem informações rápidas sobre um artefacto, seja derivado pelo sistema ou gerado por outros utilizadores. As etiquetas ajudam os analistas a estabelecer uma relação entre os incidentes atuais e as investigações e o seu contexto histórico para uma melhor análise.

O Defender TI oferece dois tipos de etiquetas: etiquetas de sistema e etiquetas personalizadas.

Pré-requisitos

  • Um Microsoft Entra ID ou uma conta pessoal da Microsoft. Iniciar sessão ou criar uma conta

  • Uma licença premium do Defender TI.

    Nota

    Os utilizadores sem uma licença premium do Defender TI podem ainda aceder à nossa oferta gratuita do Defender TI.

Etiquetas de sistema

O Defender TI gera etiquetas de sistema automaticamente para que possa orientar a sua análise. Estas etiquetas não requerem qualquer entrada ou esforço da sua parte.

As etiquetas de sistema podem incluir:

  • Encaminhável: Indica que o artefacto está acessível.
  • ASN: Extrai uma parte abreviada de uma descrição do número de sistema autónomo (ASN) de um endereço IP para uma etiqueta para fornecer contexto aos analistas a quem pertence o endereço IP.
  • Dinâmico: Indica se um serviço de sistema de nomes de domínio (DNS) dinâmico, como No-IP ou Change IP, é o proprietário do domínio.
  • Buraco de sumidouro: Indica que um endereço IP é um buraco de pesquisa utilizado pelas organizações de segurança para investigar campanhas de ataque. Por conseguinte, os domínios associados não estão diretamente ligados entre si.

Etiquetas de sistema.

Etiquetas personalizadas

As etiquetas personalizadas trazem contexto aos indicadores de compromisso (IOCs) e tornam a análise ainda mais simples ao identificar os domínios que são conhecidos como incorretos em relatórios públicos ou categorizados como tal. Estas etiquetas são criadas manualmente com base nas suas próprias investigações e estas etiquetas permitem-lhe partilhar informações importantes sobre um artefacto com outros utilizadores de licença premium do Defender TI no seu inquilino.

Etiquetas personalizadas.

Adicionar, modificar e remover etiquetas personalizadas

Pode adicionar as suas próprias etiquetas personalizadas ao cluster de etiquetas ao introduzi-las na barra de etiquetas. O utilizador e os membros da sua equipa, se a sua organização for um cliente do Defender TI, podem ver estas etiquetas. As etiquetas introduzidas no sistema são privadas e não são partilhadas com a comunidade maior.

Também pode modificar ou remover etiquetas. Depois de adicionar uma etiqueta, o utilizador da licença paga na sua organização pode modificá-la ou removê-la, permitindo uma colaboração fácil entre a equipa de segurança.

  1. Aceda ao portal do Defender e conclua o processo de autenticação da Microsoft. Saiba mais sobre o portal Defender

  2. Navegue paraExplorador intelde informações sobre ameaças>.

  3. Procure um indicador para o qual gostaria de adicionar etiquetas na barra de pesquisa intel explorer.

    Pesquisa de etiquetas.

  4. Selecione Editar etiquetas no canto superior esquerdo da página.

    As etiquetas pesquisam Editar etiquetas.

  5. Adicione as etiquetas que pretende associar a este indicador na janela de pop-up Etiquetas personalizadas apresentada. Para adicionar um novo indicador, prima a Tecla de Tabulação para adicionar um novo indicador.

    Pesquisa de etiquetas Adicionar etiquetas.

  6. Selecione Guardar quando terminar de adicionar todas as etiquetas para guardar as alterações.

    As etiquetas procuram Guardar etiquetas.

  7. Repita o passo 3 para editar etiquetas. Remova uma etiqueta ao selecionar X no final da mesma e, em seguida, adicione novas ao repetir os passos 4 a 6.

  8. Guarde as suas alterações.

Ver e procurar etiquetas personalizadas

Pode ver as etiquetas que o utilizador ou outras pessoas adicionaram no seu inquilino depois de procurar um endereço IP, domínio ou artefacto anfitrião.

Pesquisa de etiquetas personalizada.

  1. Aceda ao portal do Defender e conclua o processo de autenticação da Microsoft.

  2. Navegue paraExplorador intelde informações sobre ameaças>.

  3. Selecione o Tipo de pesquisa de etiquetas no menu pendente da barra de pesquisa do Intel Explorer e, em seguida, procure o valor da etiqueta para identificar todos os outros indicadores que partilham esse mesmo valor de etiqueta.

    Procure etiquetas no Intel Explorer.

Fluxo de trabalho de casos de utilização de etiquetas comuns

Digamos que está a investigar um incidente e descobre que está relacionado com phishing. Pode adicionar phish como uma etiqueta aos IOCs relacionados com esse incidente. Mais tarde, a sua equipa de resposta a incidentes e investigação de ameaças pode analisar ainda mais estes IOCs e trabalhar com os seus homólogos de informações sobre ameaças para identificar qual o grupo de ator responsável pelo incidente de phishing. Em seguida, podem adicionar outra [actor name] etiqueta a esses IOCs ou que infraestrutura foi utilizada que os ligou a outros IOCs relacionados, como uma [SHA-1 hash] etiqueta personalizada.

Consulte também