分析师见解
在 Microsoft Defender 威胁智能 (Defender TI) 中,“分析师见解”部分提供了有关项目的快速见解,这些见解可能有助于确定调查的下一步。 本部分列出了适用于项目的任何见解,以及不适用于额外可见性的见解。
在以下示例中,你可以快速确定 IP 地址是可路由的、托管 Web 服务器,并且在过去五天内有一个开放端口。 此外,系统显示未触发的规则,这在启动调查时同样有用。
分析师见解类型和他们可以解决的问题
| 分析师见解类型 | 他们可以解决的问题 |
|---|---|
| 已列入阻止列表 | 域、主机或 IP 地址是否/何时列入阻止列表? |
| Defender TI 将域、主机或 IP 地址列入阻止列表多少次? | |
| 已注册和更新 | 域注册了多少天、月和年? |
| 域 WHOIS 记录是何时更新的? | |
| 子域 IP 计数 | 有多少不同的 IP 地址与域的子域相关联? |
| 新的子域观察结果 | 上次Microsoft观察到有关域的新子域的时间是什么时候? |
| 已注册并正在解析 | 查询的域是否存在? |
| 域是否解析为 IP 地址? | |
| 共享 WHOIS 记录的域数 | 其他哪些域共享相同的 WHOIS 记录? |
| 共享名称服务器的域数 | 其他哪些域共享同一名称服务器记录? |
| 由 RiskIQ 爬网 | 此主机或域上次由Microsoft爬网时间? |
| 国际域 | 域是否 (IDN) 查询国际域名? |
| 由第三方列入阻止列表 | 此指标是否被第三方列入阻止列表? |
| Tor 退出节点状态 | IP 地址是否与 Onion 路由器 (Tor) 网络相关联? |
| 检测到打开的端口 | Microsoft最后一个端口何时扫描此 IP 地址? |
| 代理状态 | 此指示器的代理状态是什么? |
| 上次观察到的主机 | 有问题的 IP 地址是否可访问 Internet? |
| 托管 Web 服务器 | IP 地址是否具有域名系统 (DNS) 服务器,该服务器使用其资源将名称解析为相应的 Web 服务器? |