使用标记

重要

2024 年 6 月 30 日，Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用，不再可访问。 客户可以在Microsoft Defender门户中继续使用 Defender TI，也可以使用Microsoft Security Copilot。 了解更多

Microsoft Defender 威胁智能 (Defender TI) 标记提供有关项目（无论是由系统派生还是由其他用户生成的）的快速见解。 标记有助于分析人员将当前事件和调查及其历史上下文之间的点连接起来，以便改进分析。

Defender TI 提供两种类型的标记： 系统标记 和 自定义标记。

先决条件

• Microsoft Entra ID 或个人 Microsoft 帐户。 登录或创建帐户

• Defender TI 高级许可证。

  注意

  没有 Defender TI 高级许可证的用户仍然可以访问我们的免费 Defender TI 产品/服务。

系统标记

Defender TI 自动生成系统标记，以指导分析。 这些标记不需要输入或工作。

系统标记可以包括：

• 可路由： 指示项目可访问。
• ASN： 将 IP 地址自治系统编号 (ASN) 说明的缩写部分拉取到标记中，以便为分析人员提供 IP 地址所属的上下文。
• 动态： 指示动态域名系统 (DNS) 服务（如 No-IP 或更改 IP）是否拥有域。
• 沉井： 指示 IP 地址是安全组织用于调查攻击活动的研究接收器。 因此，关联的域不会直接相互连接。

自定义标记

自定义标记将上下文引入入侵指标 (IOC) ，并通过识别那些在公共报告中已知不良或分类为此类的域来简化分析。 可以根据自己的调查手动创建这些标记，这些标记使你能够与租户中的其他 Defender TI 高级许可证用户共享有关项目的关键见解。

添加、修改和删除自定义标记

可以通过将自己的自定义标记输入到标记栏中，将其添加到标记群集。 如果你的组织是 Defender TI 客户，你和你的团队成员可以查看这些标记。 在系统中输入的标记是专用的，不会与较大的社区共享。

还可以修改或删除标记。 添加标记后，你或组织中的另一个付费许可证用户可以修改或删除该标记，从而允许安全团队之间轻松协作。

1. 访问Defender 门户并完成 Microsoft 身份验证过程。 详细了解 Defender 门户

2. 导航到 威胁情报>Intel 资源管理器。

3. 在 Intel 资源管理器搜索栏中搜索要为其添加标记的指示器。

   

4. 选择页面左上角的 “编辑标记 ”。

   

5. 在出现的 “自定义 标记”弹出窗口上添加要与此指示器关联的任何标记。 若要添加新指示器，请按 Tab 键添加新指示器。

   

6. 添加完所有标记后，选择“ 保存 ”以保存更改。

   

7. 重复步骤 3 以编辑标记。 通过选择标记末尾的 X 删除标记，然后通过重复步骤 4 到 6 添加新标记。

8. 保存所做的更改。

查看和搜索自定义标记

在搜索 IP 地址、域或主机项目后，可以查看你或其他人在租户中添加的标记。

1. 访问Defender 门户并完成 Microsoft 身份验证过程。

2. 导航到 威胁情报>Intel 资源管理器。

3. 在 Intel 资源管理器搜索栏下拉列表中选择 “标记 搜索类型”，然后搜索标记值以标识共享相同标记值的所有其他指示器。

   

常见标记用例工作流

假设你正在调查某个事件，但发现它与网络钓鱼有关。 可以将 作为标记添加到 phish 与该事件相关的 IOC。 稍后，事件响应和威胁搜寻团队可以进一步分析这些 IOC，并与其威胁情报对应人员合作，以确定哪个参与者组负责网络钓鱼事件。 然后，他们可以向这些 IOC 添加另一个 [actor name] 标记，或者使用何种基础结构将其连接到其他相关 IOC，例如 [SHA-1 hash] 自定义标记。

另请参阅

• 什么是 Microsoft Defender 威胁智能 (Defender TI)？
• 数据集
• 排序、筛选和下载数据
• 信誉评分
• 分析员见解
• 使用项目