在Microsoft统一的 SecOps 平台中发现具有威胁情报的攻击者
在Microsoft的统一安全操作 (SecOps) 平台中发现和消除威胁情报的新式攻击者。 无论是使用Microsoft的威胁情报还是对 SecOps 组织很重要的其他源,Microsoft Defender门户中的威胁情报都统一了识别网络攻击者及其基础结构所需的工具。
Defender 门户中的威胁情报
新的网络安全威胁和威胁参与者的出现以及威胁形势的不断发展,导致安全运营中心 (SOC) 必须调查的威胁情报量不断增加。 这种威胁情报采用多种形式(从特定入侵指标 (IOC) 到报告和分析),并且可能来自各种来源。 Microsoft Defender 门户中的统一 SecOps 平台将所有威胁情报合并到一个位置,以便 SOC 可以快速准确地评估此情报,从而做出明智的决策。 Microsoft Defender 门户中的统一 SecOps 平台从以下来源提取威胁情报:
- Microsoft Defender XDR威胁分析报告
- Microsoft Defender 威胁智能文章和数据集
- Microsoft Sentinel威胁情报
Microsoft Defender XDR中的威胁分析
威胁分析是专家Microsoft安全研究人员Microsoft Defender XDR产品内威胁情报解决方案。 它旨在帮助安全团队尽可能高效地应对新出现的威胁,例如:
- 活动威胁执行组件及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
威胁分析报表的分析师报告部分
每个报告都提供跟踪威胁的分析,以及有关如何防御该威胁的广泛指导。 它还包含来自网络的数据,指示威胁是否处于活动状态以及是否有相应的保护。
有关详细信息,请参阅 Microsoft Defender XDR 中的威胁分析。
Microsoft Defender 威胁智能
Microsoft Defender 威胁智能 (Defender TI) 可帮助简化安全分析师会审、事件响应、威胁搜寻和漏洞管理工作流。 Defender TI 在易于使用的界面中聚合和扩充关键威胁信息,用户可以将 IOC 与相关文章、执行组件配置文件和漏洞相关联。 Defender TI 还允许分析师与其租户中的其他 Defender TI 许可用户协作进行调查。
可以在 Defender 门户 的威胁情报 导航菜单中的以下页面中访问 Defender TI:
- Intel 配置文件 - 访问威胁参与者、工具和漏洞配置文件的综合库。
- Intel 资源管理器 - 浏览威胁情报以获取相关分析、项目和指标。
- Intel 项目 - 管理整个租户的安全项目。
Defender 门户中的 Defender TI 的 Intel 资源管理器 页
有关详细信息,请参阅什么是Microsoft Defender 威胁智能?。
威胁情报管理
Intel 管理由 Microsoft Sentinel 提供支持,并提供用于更新、搜索和创建威胁情报的工具,并对其进行大规模管理。
最常见的威胁情报形式是威胁指示器或 IOC。 威胁情报的另一个方面是威胁参与者、其技术、战术和程序 (TTP) 、其基础结构和受害者。 Intel 管理支持使用结构化威胁信息表达式 (STIX) 管理所有这些方面,STIX) 是交换威胁情报的开源标准。
Intel 管理层可操作威胁情报,同时Microsoft Sentinel使用以下引入方法对其进行源:
- 通过启用各种威胁情报平台(包括Microsoft自己的 Defender TI)的数据连接器,将威胁情报导入到 Microsoft Sentinel。
- 使用上传 API 连接各种威胁情报平台或自定义应用程序,将威胁情报连接到Microsoft Sentinel。
- 单独创建威胁情报或使用 Intel 管理界面中的文件导入。
在 Intel 管理中添加新 STIX 对象的示例
有关详细信息,请参阅了解Microsoft Sentinel中的威胁情报。