通过

信息共享和交换

  • 项目

Microsoft 的政府安全计划 (GSP) 的使命是通过透明度构建信任。 自该计划于 2003 启动以来,Microsoft 已经提供了我们的技术和安全性工件的可见性,政府和国际组织可使用这些项目来帮助保护自己和公民。 信息共享和交换产品和服务让 Microsoft 能够共享和交换有关针对 Microsoft 产品和服务或与之相关的安全威胁、漏洞、异常行为、恶意软件信息以及安全问题的资料。

该产品和服务将跨 Microsoft 环境共同提供组和资源,以帮助政府保护公民、基础设施和组织。

信息共享和交换 (ISE) 产品和服务提供

名称 详细信息
安全漏洞的预先通知
  • 提前 5 天的漏洞预先通知,包括发行说明和受影响的软件表
  • 提前 24 小时的预先通知,包括可利用指数
    		•
    恶意 URL
  • 源:有关必应爬网程序检测到的潜在的面向公众的恶意服务器和服务
  • 每 3 小时更新一次,数据周期为 5 天
    		•
    CTIP 僵尸网络源
  • 由数字犯罪部门 (DCU) 的网络威胁情报计划 (CTIP) 提供
  • 僵尸网络数据是针对代理(或拥有 CERT 的国家/地区的国家/地区代码顶级域)定制的
  • 4 个源:受感染的设备、命令和控制、IoT 和域
  • 交付节奏:准实时、每小时或每天(已删除重复数据)
    		•
    清除文件元数据
  • 清除通常用于允许列表和取证的文件哈希数据
  • 每 3 小时更新一次
  • 涵盖 Microsoft 下载中心所有的 Microsoft 二进制文件
    		•
    合作关系
  • 通过各种论坛交换信息
  • 访问数字犯罪社区 (DCU) 门户
  • 与数字犯罪部门 (DCU) 共享威胁情报数据
  • 直接参与工程组等其他 Microsoft 团队(包括 Microsoft 安全响应中心 (MSRC) 和 Windows Defender 安全智能)
    		•

    数据源交付

    ISE 授权提供的源包含在多个组中,包括 Microsoft 安全响应中心 (MSRC)数字犯罪部门 (DCU)必应以及产品发布和安全服务 (PRSS)

    GSP 团队提供基于 Web 的应用程序,以供 GSP 机构从单个接口访问 ISE 数据源。 所有包含敏感数据的通信均已加密。

    Data Feed delivery

    数据使用说明

    安全更新预先通知 通知包列出了即将发布的版本所涉及的 CVE (公共漏洞和暴露)。 每个 CVE 都包含一系列信息,包括漏洞描述(包括指标)、可利用指数和受影响的软件。

    Content for each CVE

    必应恶意 URL 必应恶意 URL 源包含标识为潜在的面向公众的恶意服务器或服务。 每隔三小时上传一次新文件;5 天内生成完整的数据集。 许多机构将 JSON 文件直接导入其现有的威胁情报分析工具。

    Geo map of IPs

    Threat types

    清除文件元数据 (CFMD)

    清除文件元数据(CFMD源)包含 Microsoft 产品中的文件加密签名(SHA256 哈希)。 它们通常用于取证检查可能泄密的设备,以及允许/禁止关键系统中的文件执行。

    Clean File Metadata

    CTIP 僵尸网络源:受感染的数据源

    DCU 通过 DCU 的 CTIP 威胁情报服务感染设备数据源提供受害者受感染的僵尸网络数据,为 CTIP 订阅者启用网络保护方案,并帮助修复受感染的系统,以减少 Internet 上受感染的系统数量。 其他源还包括命令和控制 (C2)、IoT 及域列表,这些列表通常用于通过防火墙和保护性 DNS 限制流向已知恶意软件网络的流量。

    CTIP data 1

    CTIP data 2

    联系我们

    请联系你当地的 Microsoft 代表,了解有关政府安全计划的详细信息。