Поиск и сведение
Важно!
30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com
) был прекращен и больше недоступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Security Copilot.
Подробнее
Аналитика угроз Microsoft Defender (Defender TI) предлагает надежную и гибкую поисковую систему для упрощения процесса исследования. Defender TI позволяет выполнять сводку между различными индикаторами из разных источников данных, что упрощает обнаружение связей между разрозненными инфраструктурами.
Эта статья поможет вам понять, как выполнять поиск и сводку между различными наборами данных для обнаружения связей между разными артефактами.
Предварительные условия
Учетная запись Microsoft Entra ID или личная учетная запись Майкрософт. Войдите или создайте учетную запись
Лицензия Defender TI премиум.
Примечание.
Пользователи, у которых нет лицензии Defender TI премиум, по-прежнему могут использовать бесплатное предложение TI.
Откройте Defender TI на портале Microsoft Defender
- Перейдите на портал Defender и пройдите процесс проверки подлинности Майкрософт. Подробнее о портале Defender
- Перейдите в раздел Аналитика> угрозIntel Explorer.
Поиск и сводка аналитики угроз
Поиск Intel Explorer в Defender TI — это простой и мощный поиск, предназначенный для немедленного получения ключевых аналитических сведений, а также позволяет напрямую взаимодействовать с наборами данных, составляющими эти аналитические сведения. Панель поиска поддерживает различные входные данные; вы можете искать определенные артефакты и имена статей или проектов.
Поиск типов артефактов
IP-адрес: Поиск 195.161.141[.]65 в строке поиска Intel Explorer. Это действие приводит к поиску по IP-адресу.
Домен: Выполните поиск
fabrikam.com
в строке поиска Intel Explorer. Это действие приводит к поиску по домену.Хозяин: Выполните поиск
canary.fabrikam.com
в строке поиска Intel Explorer. Это действие приводит к поиску узла.Ключевое слово: Выполните поиск apt29 в строке поиска Intel Explorer. Это действие приводит к ключевое слово поиска. Поиск по ключевым словам охватывает любые типы ключевое слово, которые могут включать в себя термин или адрес электронной почты, и приводят к связи со статьями, проектами и наборами данных.
Идентификатор распространенных уязвимостей и уязвимостей (CVE): Выполните поиск CVE-2021-40444 в строке поиска Intel Explorer. Это действие приводит к ключевое слово поиска идентификатора CVE.
Статья: Поиск Товаров Skimming & Magecart Тренды в первом квартале 2022 года в строке поиска Intel Explorer. Это действие приводит к поиску статьи.
Ярлык: Выберите Тег в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск в magecart. Это действие приводит к поиску тегов.
Примечание.
Этот поиск не возвращает статьи с общим значением тега.
Компонент: Выберите Компонент в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск по кобальту . Это действие приводит к поиску компонента.
Трекер: Выберите Средства отслеживания в раскрывающемся меню панели поиска Intel Explorer и выполните поиск 07d14d16d21d21d21d41d00041d47e4e4e0ae17960b2a5b4fd6107fbb0926. Это действие приводит к поиску средства отслеживания.
Примечание.
В этом примере используется тип средства отслеживания JarmHash .
Электронная почта WHOIS: Выберите WHOIS>Email в раскрывающемся меню панели поиска Intel Explorer и выполните поиск domains@microsoft.com. Это действие приводит к поиску по электронной почте WHOIS.
Имя WHOIS: ВыберитеWHOIS Name (ИмяWHOIS>) в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск MSN Hostmaster. Это действие приводит к поиску по имени WHOIS.
Организация WHOIS: Выберите ОРГАНИЗАЦИЯ WHOIS>в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск в корпорации Майкрософт. Это действие приводит к поиску в организации WHOIS.
Адрес WHOIS: Выберите Адрес WHOIS> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск One Microsoft Way. Это действие приводит к поиску адресов WHOIS.
ГОРОД WHOIS: Выберите WHOIS>City в раскрывающемся меню панели поиска Intel Explorer и выполните поиск в Редмонде. Это действие приводит к поиску по городу WHOIS.
Состояние WHOIS: Выберите СОСТОЯНИЕ WHOIS> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск в WA. Это действие приводит к поиску состояния WHOIS.
Почтовый индекс WHOIS: В раскрывающемся меню Панели поиска Intel Explorer выберитепочтовый индексWHOIS>, а затем выполните поиск по коду 98052. Это действие приводит к поиску по почтовому индексу WHOIS.
Страна WHOIS: Выберите WHOIS>Country (Страна ) в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск в США. Это действие приводит к поиску по стране или региону WHOIS.
Телефон WHOIS: Выберите ТЕЛЕФОН WHOIS>в раскрывающемся меню панели поиска Intel Explorer и выполните поиск +1.4258828080. Это действие приводит к поиску по телефону WHOIS.
Сервер имен WHOIS: Выберитесервер именWHOIS> в раскрывающемся меню панели поиска Intel Explorer и выполните поиск
ns1-03.azure-dns.com
. Это действие приводит к поиску по серверу имен WHOIS.Сертификат SHA-1: Выберите Сертификат>SHA-1 в раскрывающемся меню панели поиска Intel Explorer и выполните поиск 35cd04a03ef8664623581cbd56e45ed07729678. Это действие приводит к поиску сертификата SHA-1.
Серийный номер сертификата: ВыберитеСерийный номерсертификата> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск 1137354899731266880939192213383415094395905558. Это действие приводит к поиску серийного номера сертификата.
Общее имя издателя сертификата: ВыберитеОбщее имя издателясертификата> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск Microsoft Azure TLS, выдающий ЦС 05. Это действие приводит к поиску общего имени издателя сертификата.
Альтернативное имя издателя сертификата: ВыберитеАльтернативное имя издателясертификата> в раскрывающемся меню панели поиска Intel Explorer, а затем найдите альтернативное имя издателя сертификата. Это действие приводит к поиску альтернативного имени издателя сертификата.
Общее имя субъекта сертификата: ВыберитеОбщее имя субъектасертификата> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск
*.oneroute.microsoft.com
. Это действие приводит к поиску общего имени субъекта сертификата.Альтернативное имя субъекта сертификата: Выберитеальтернативное имя субъектасертификата> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск
oneroute.microsoft.com
. Это действие приводит к поиску альтернативного имени субъекта сертификата.Имя файла cookie: Выберите Имя файла cookie> в раскрывающемся меню панели поиска Intel Explorer, а затем выполните поиск по ARRAffinity. Это действие приводит к поиску имени файла cookie.
Домен cookie: В раскрывающемся меню панели поиска Intel Explorer выберитеДоменфайлов cookie>, а затем выполните поиск
portal.fabrikam.com
. Это действие приводит к поиску в домене файлов cookie.
сводными таблицами;
Для любого из поисковых запросов, выполненных на предыдущих шагах, существуют артефакты с гиперссылками, которые можно свернуть, чтобы обнаружить дополнительные обогащенные результаты, связанные с этими индикаторами. Не стесняйтесь экспериментировать со сводками самостоятельно.
результатах поиска;
Результаты поиска аналитики угроз можно сгруппировать в следующие разделы:
Аналитика ключей
Defender TI предоставляет некоторые основные сведения об артефакте в верхней части страницы результатов поиска. В зависимости от типа артефакта эта информация может включать в себя любую из следующих сведений.
- Страна или регион: Флаг рядом с IP-адресом указывает страну или регион происхождения артефакта, что может помочь определить его доступность или состояние безопасности. На предыдущем снимке экрана IP-адрес размещен в инфраструктуре в США.
- Репутация: В этом примере IP-адрес помечен как Вредоносный, что указывает на то, что TI Defender обнаружил подключения между этим артефактом и известной инфраструктурой злоумышленника. Артефакты также могут быть помечены как подозрительные, нейтральные или неизвестные.
- Впервые показано: Эта метка времени указывает, когда DEFENDER TI впервые обнаружил артефакт. Понимание срока существования артефакта может помочь определить его доступность.
- Последнее просмотренное: Эта метка времени указывает, когда в последний раз АГЕНТ Defender наблюдал артефакт. Эти сведения помогают определить, активно ли используется артефакт.
- Блок IP-адресов: Блок IP-адресов, включающий артефакт запрашиваемого IP-адреса.
- Архивариус: Регистратор, связанный с записью WHOIS для запрошенного артефакта домена.
- Лицо: Имя регистранта в данных WHOIS для артефакта.
- ASN: Номер автономной системы (ASN), связанный с артефактом.
- ОС: Операционная система, связанная с артефактом.
- Хозяин: Поставщик размещения для артефакта. Некоторые поставщики услуг размещения являются более авторитетными, чем другие, поэтому это значение может помочь указать на допустимость артефакта.
В этом разделе также показаны все теги, примененные к артефакту, или все проекты, которые его включают. Можно также добавить тег в артефакт или в проект. Дополнительные сведения об использовании тегов
Сводка
На вкладке Сводка отображаются ключевые выводы об артефакте, наследуемом defender TI из наших обширных наборов данных, чтобы помочь начать исследование.
Репутация: Defender TI предоставляет собственные оценки репутации для любого узла, домена или IP-адреса. Независимо от того, проверяется ли репутация известной или неизвестной сущности, эта оценка помогает быстро понять все обнаруженные связи с вредоносной или подозрительной инфраструктурой.
Defender TI отображает оценки репутации в виде числовых значений от нуля до 100. Сущность с оценкой
0
не имеет связей с подозрительными действиями или известными индикаторами компрометации (IOCs), а оценка100
указывает на то, что сущность является вредоносной. Defender TI также предоставляет список правил с соответствующими описаниями и оценками серьезности. В следующем примере к домену применяются четыре правила высокой серьезности.Аналитика: В этом разделе содержатся краткие сведения об артефакте, которые могут помочь определить следующий шаг в исследовании. В этом разделе перечислены все аналитические сведения, которые применяются к артефакту. В нем также перечислены аналитические сведения, которые не применяются для большей видимости.
На следующем снимке экрана можно быстро определить, что IP-адрес является маршрутизируемым, размещает веб-сервер и имеет открытый порт в течение последних пяти дней. Кроме того, в DEFENDER TI отображаются правила, которые не были активированы, что может быть в равной степени полезно при запуске расследования.
Статьи: В этом разделе отображаются все статьи, которые могут дать представление о том, как лучше всего исследовать и в конечном итоге разоружить затронутый артефакт. Исследователи, изучающие поведение известных субъектов угроз и их инфраструктуру, пишут эти статьи, выявив ключевые выводы, которые могут помочь вам и другим снизить риски для их организации.
В следующем примере искомый IP-адрес идентифицируется как IOC, который относится к выводам в статье.
Услуги: В этом разделе перечислены все обнаруженные службы, работающие на артефакте IP-адреса, что полезно при попытке понять предполагаемое использование сущности. При изучении вредоносной инфраструктуры эти сведения могут помочь определить возможности артефакта, что позволит вам заранее защитить свою организацию на основе этой информации.
Резолюций: Разрешения — это отдельные записи системы доменных имен (DNS), полученные с помощью пассивных датчиков, распределенных по всему миру. Эти значения показывают историю изменения инфраструктуры домена или IP-адреса с течением времени. Их можно использовать для обнаружения другой инфраструктуры и измерения риска на основе уровней подключения. Для каждого разрешения мы предоставляем метки времени "Первое просмотренное " и "Последнее просмотренное ", чтобы продемонстрировать жизненный цикл разрешений.
Сертификаты: Помимо защиты данных, сертификаты TLS — это отличный способ подключения разрозненных сетевых инфраструктур для пользователей. Сертификаты TLS могут устанавливать подключения, которые могут пропустить пассивные данные DNS или WHOIS. Это означает больше способов корреляции потенциальной вредоносной инфраструктуры и выявления потенциальных сбоев операционной безопасности субъектов. Для каждого сертификата TLS мы предоставляем имя сертификата, дату окончания срока действия, общее имя субъекта и название организации субъекта.
Проекты: Defender TI позволяет создавать проекты для организации индикаторов интереса или компрометации в ходе исследования. Проекты также создаются для отслеживания артефактов подключения для улучшения видимости. Проекты содержат список всех связанных артефактов и подробный журнал, в котором хранятся имена, описания, участники совместной работы и профили мониторинга.
При поиске по IP-адресу, домену или узлу и если этот индикатор указан в проекте, к которому у вас есть доступ, можно выбрать вкладку Проекты и перейти к сведениям о проекте, чтобы получить дополнительные сведения о индикаторе, прежде чем просматривать другие наборы данных для получения дополнительных сведений.
Множества данных
Наборы данных помогают подробно изучить осязаемые связи, наблюдаемые в Defender TI. В то время как вкладка Сводка отображает ключевые результаты для предоставления непосредственного контекста об артефакте, различные наборы данных, которые отображаются в результатах поиска в виде отдельных вкладок, позволяют гораздо более детально изучать эти подключения.
Вы можете выбрать любое из возвращаемых значений, чтобы быстро развернуть связанные метаданные и раскрыть аналитические сведения, которые можно пропустить с помощью традиционных методов расследования.
В DEFENDER TI доступны следующие наборы данных:
- Решения
- Сведения о WHOIS
- TLS/SSL-сертификаты
- Трекеров
- Поддомены
- Компоненты
- Пары узлов
- Файлы cookie
- Службы
- DNS
- Обратный DNS
Дополнительные сведения о наборах данных
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.