分析深入資訊
重要事項
2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI 獨立入口網站) https://ti.defender.microsoft.com () 已淘汰且無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。
深入了解
在 Microsoft Defender 威脅情報 (Defender TI) 中,分析師深入解析一節可為您提供成品的快速見解,協助您判斷調查的下一個步驟。 本節列出適用於成品的任何深入解析,以及不適用於額外可見性的深入解析。
在下列範例中,您可以快速判斷IP位址可路由傳送、裝載網頁伺服器,以及在過去五天內有開啟的埠。 此外,系統會顯示未觸發的規則,這在開始調查時同樣有説明。
分析師可解決的深入解析類型和問題
| 分析師深入解析類型 | 他們可以解決的問題 |
|---|---|
| 封鎖清單 | 網域、主機或IP位址何時列入封鎖清單? |
| Defender TI 封鎖網域、主機或IP位址的次數? | |
| 已註冊並更新 | 註冊網域的天數、月數和年份? |
| 網域 WHOIS 記錄何時更新? | |
| 子域IP計數 | 有多少不同的IP位址與網域的子域相關聯? |
| 新的子域觀察 | 上次Microsoft觀察到有問題網域的新子域的時間為何? |
| 已註冊和解析 | 查詢的網域是否存在? |
| 網域是否解析為IP位址? | |
| 共用 WHOIS 記錄的網域數目 | 其他哪些網域共用相同的 WHOIS 記錄? |
| 共用名稱伺服器的網域數目 | 其他哪些網域共用相同的名稱伺服器記錄? |
| 依 RiskIQ 編目 | 此主機或網域上次由Microsoft編目的時間? |
| 國際網域 | 是否查詢網域以取得國際功能變數名稱 (IDN) ? |
| 依第三方封鎖清單 | 第三方是否已將此指標列入封鎖清單? |
| Tor 結束節點狀態 | IP 位址是否與 Onion Router (Tor) 網路相關聯? |
| 偵測到開啟埠 | 上次Microsoft埠掃描此IP位址的時間為何? |
| Proxy 狀態 | 此指標的 Proxy 狀態為何? |
| 上次觀察到的主機 | 有問題的IP位址是否可存取因特網? |
| 裝載網頁伺服器 | IP 位址是否有功能變數名稱系統 (DNS) 伺服器使用其資源來解析適當網頁伺服器的名稱? |