Descrever o Microsoft Defender Threat Intelligence

  • 5 minutos

Os analistas de inteligência de ameaças lutam para equilibrar uma ampla ingestão de inteligência de ameaças com a análise de quais informações de ameaças representam as maiores ameaças à sua organização e/ou setor. Da mesma forma, os analistas de inteligência de vulnerabilidades lutam para correlacionar seu inventário de ativos com informações de Vulnerabilidades e Exposições Comuns (CVE) para priorizar a investigação e a correção das vulnerabilidades mais críticas associadas à sua organização.

O Microsoft Defender Threat Intelligence aborda esses desafios agregando e enriquecendo fontes de dados críticas e exibindo-as em uma interface inovadora e fácil de usar. Os analistas podem então correlacionar indicadores de compromisso (IOCs) com artigos relacionados, perfis de atores e vulnerabilidades. O Defender TI também permite que os analistas colaborem com outros usuários licenciados pelo Defender TI dentro de seu locatário em investigações.

A funcionalidade do Microsoft Defender Threat Intelligence inclui:

  • Análise de ameaças
  • Perfis Intel
  • Explorador Intel
  • Projetos

Análise de ameaças

A análise de ameaças ajuda você, como analista, a entender como as ameaças emergentes afetam o ambiente da sua organização.

Os relatórios de análise de ameaças fornecem uma análise de uma ameaça rastreada e orientações abrangentes sobre como se defender contra essa ameaça. Ele também incorpora dados da sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor. Você pode filtrar e pesquisar em relatórios, mas o Defender TI também fornece um painel.

O painel de análise de ameaças destaca os relatórios mais relevantes para a sua organização. Ele resume as ameaças em três categorias:

  • Ameaças mais recentes - Lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de alto impacto - Lista as ameaças com maior impacto para a sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Maior exposição - Lista as ameaças às quais sua organização tem a maior exposição. Seu nível de exposição a uma ameaça é calculado usando duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos em sua organização podem ser explorados por essas vulnerabilidades.

Cada relatório fornece uma visão geral, um relatório de analista, incidentes relacionados, ativos impactados, exposição a endpoints e ações recomendadas.

Perfis Intel

Os perfis Intel são uma fonte definitiva do conhecimento compartilhável da Microsoft sobre agentes de ameaças rastreados, ferramentas maliciosas e vulnerabilidades. Este conteúdo é curado e atualizado continuamente pelos especialistas em Inteligência de Ameaças da Microsoft para fornecer um contexto de ameaça relevante e acionável.

Explorador Intel

O intel explorer é onde os analistas podem verificar rapidamente novos artigos em destaque e realizar uma pesquisa de palavra-chave, indicador ou ID CVE para iniciar seus esforços de coleta de inteligência, triagem, resposta a incidentes e caça.

Os artigos do Microsoft Defender Threat Intelligence são narrativas que fornecem informações sobre agentes de ameaças, ferramentas, ataques e vulnerabilidades. Os artigos resumem diferentes ameaças e também vinculam a conteúdo acionável e IOCs importantes para ajudar os usuários a agir.

O Defender TI oferece pesquisas de CVE-ID para ajudar os usuários a identificar informações críticas sobre o CVE. As pesquisas de CVE-ID resultam em Artigos de Vulnerabilidade.

Projetos Intel

O Microsoft Defender Threat Intelligence (Defender TI) permite criar projetos para organizar indicadores de interesse e indicadores de comprometimento (IOCs) a partir de uma investigação. Os projetos contêm uma lista de todos os artefatos associados e um histórico detalhado que mantém os nomes, descrições, colaboradores e perfis de monitoramento.

Inteligência de ameaças do Microsoft Defender no portal do Microsoft Defender

O Microsoft Defender TI tem experiência através do portal Microsoft Defender.

O nó Inteligência de ameaças no painel de navegação do portal do Microsoft Defender é onde você pode encontrar a funcionalidade Microsoft Defender Threat Intelligence.

Uma captura de tela das opções selecionáveis para inteligência de ameaças no painel de navegação esquerdo do portal do Microsoft Defender.

Para visualizar uma captura de tela de cada uma das categorias, selecione a guia na imagem a seguir. Em cada caso, há um painel lateral que mostra o recurso incorporado do Microsoft Security Copilot.

Integração do Microsoft Security Copilot com o Microsoft Threat Intelligence

O Security Copilot integra-se com o Microsoft Defender TI. Com o plug-in Defender TI ativado, o Copilot fornece informações sobre grupos de atividades de ameaças, indicadores de comprometimento (IOCs), ferramentas e inteligência contextual de ameaças. Você pode usar os prompts e promptbooks para investigar incidentes, enriquecer seus fluxos de caça com informações de inteligência de ameaças ou obter mais conhecimento sobre o cenário de ameaças globais ou da sua organização.

Os recursos do Microsoft Defender Threat Intelligence no Copilot são prompts internos que você pode usar, mas você também pode inserir seus próprios prompts com base nos recursos suportados. A imagem a seguir mostra apenas um subconjunto dos recursos suportados.

Captura de tela dos recursos do sistema Defender TI que podem ser executados na experiência autônoma.

O Copilot também inclui um promptbook integrado que fornece informações do Defender TI, incluindo:

  • Avaliação de impacto de vulnerabilidade - Gera um relatório resumindo a inteligência de uma vulnerabilidade conhecida, incluindo etapas sobre como resolvê-la.
  • Perfil do agente de ameaças - Gera um relatório que traça o perfil de um grupo de atividades conhecido, incluindo sugestões para se defender contra suas ferramentas e táticas comuns.

A integração do copiloto com o Defender TI também pode ser experimentada através da experiência incorporada. Você pode experimentar a capacidade do Security Copilot de procurar informações sobre ameaças nas seguintes páginas do portal do Microsoft Defender:

  • Análise de ameaças
  • Perfis Intel
  • Explorador Intel
  • Projetos Intel

Para cada uma dessas páginas, você pode usar um dos prompts disponíveis ou inserir seu próprio prompt.

Captura de tela dos prompts do Copilot incorporados no Defender TI no portal do Microsoft Defender.