排序、篩選和下載資料
重要事項
在 2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI 獨立入口網站) (https://ti.defender.microsoft.com) 已淘汰且無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。
深入了解
Microsoft Defender 威脅情報 (Defender TI) 可讓您以索引和樞紐數據表格式存取我們大量的編目數據集合。 這些數據集可能很大,會傳回大量的歷史和最近數據。 藉由讓您適當地排序和篩選數據,我們可協助您輕鬆地呈現感興趣的連線。
在本操作說明文章中,您將瞭解如何排序和篩選下列數據集的數據:
- 解決方案
- WHOIS 資訊
- 憑證
- 子網域
- 跟蹤
- 元件
- 主機配對
- Cookie
- 服務
- 網域名稱系統 (DNS)
- 反向 DNS
您也會瞭解如何從下列功能下載指標或成品:
- 專案
- 文章
- 資料集
先決條件
Microsoft Entra ID 或個人 Microsoft 帳戶。 登入或建立帳戶
Defender TI 進階授權。
注意事項
沒有 Defender TI 進階授權的使用者仍然可以使用我們的免費 Defender TI 優惠。
在 Microsoft Defender 入口網站中開啟 Defender TI
- 存取 Defender入口網站 並完成 Microsoft 驗證流程。 深入了解 Defender 入口網站
- 流覽至 威脅情報>Intel 總管。
排序數據
每個資料索引標籤上的排序函式可讓您依資料行值快速排序數據集。 根據預設,大部分的結果會依 [ 上次看見 (遞減) 排序,讓最近觀察到的結果出現在清單頂端。 此預設排序順序會立即提供成品目前基礎結構的深入解析。
目前,所有數據集都可依下列 [第一次看到 ] 和 [ 上次看見 ] 值排序:
- 上次看到 (遞減) - 預設值
- 上次看到 (遞增)
- 第一次看到 (遞增)
- 先看到遞減) (
您可以針對搜尋或樞紐處理的每個IP、網域或主機實體,在每個數據集索引標籤上排序數據。
在 Intel 總 管搜尋列中搜尋網域、IP 位址或主機。
移至 [ 解決方式 ] 索引卷標,然後將排序喜好設定套用至 [第一次看見 ] 和 [ 上次看見] 數據行。
篩選數據
數據篩選可讓您根據特定元數據值來存取選取的數據群組。 例如,您可以選擇只檢視從選取來源探索到的IP解析度,或特定類型的元件 (例如伺服器或架構) 。 數據篩選可讓您將查詢結果縮小為特別感興趣的專案。
由於 Defender TI 提供與特定資料類型一致的特定元數據,因此每個數據集的篩選選項都不同。
解析篩選
下列篩選條件適用於解析資料:
- 系統標籤:D efender TI 會根據我們的研究小組所探索到的深入解析來建立這些標記。 深入了解
- 標籤:D efender TI 使用者套用的自定義標籤。 深入了解
- ASN:與指定的自發系統編號相關的結果, (ASN) 。
- 網路:與指定網路相關的結果。
- 來源:產生結果的數據源 (例如 riskiq、 emerging_threats) 。
若要篩選解析資料:
在 Intel 總管搜尋列中搜尋網域、IP 位址或主機。
移至 [解決方式] 索引標籤
將篩選套用至先前記下的每個篩選選項類型。
追蹤器篩選
下列篩選條件適用於追蹤器資料:
- 類型:每個成品 (的已識別追蹤器類型,例如 JarmFuzzyHash 或 GoogleAnalyticsID) 。
- 位址:直接觀察追蹤器的IP位址,或具有觀察追蹤器的解析主機。 此篩選會在您搜尋IP位址時出現。
- 主機名:觀察到此追蹤器值的主機。 此篩選會在您搜尋網域或主機時出現。
若要篩選追蹤器資料:
在 Intel 總管搜尋列中搜尋網域、IP 位址或主機。
移至 [追蹤器] 索引標籤
將篩選套用至先前記下的每個篩選選項類型。
元件篩選
下列篩選條件適用於元件資料:
- Ipaddressraw: 與傳回主機名一致的IP位址。
- 類型: 指定的元件類型 (例如遠端存取或作業系統) 。
- 名字: 偵測到的元件名稱 (例如 ,Cobalt Strike 或 PHP) 。
若要篩選元件資料:
在 Intel 總管搜尋列中搜尋網域、IP 位址或主機。
移至 [元件] 索引標籤
將篩選套用至先前記下的每個篩選選項類型。
主機配對篩選
下列篩選條件適用於主機配對資料:
- 方向: 觀察到的連接方向,指出父代是重新導向至子系,還是相反地。
- 父主機名: 父構件的主機名。
- 原因: 偵測到主機父子式關聯性的原因 (例如 重新導向 或 iframe.src) 。
- 子主機名: 子成品的主機名。
若要篩選主機配對資料:
在 Intel 總管搜尋列中搜尋網域、IP 位址或主機。
移至 [主機配對] 索引標籤
將篩選套用至先前記下的每個篩選選項類型。
DNS 和反向 DNS 篩選
下列篩選條件適用於 DNS 和反向 DNS 資料:
- 記錄類型: 在 DNS 記錄中偵測到的記錄類型 (例如 NS 或 CNAME) 。
- 價值: 記錄 (的指定值,例如 ,nameserver.host.com) 。
若要篩選 DNS 和反向 DNS 資料:
在 Intel 總管搜尋列中搜尋網域、IP 位址或主機。
移至 [DNS ] 和 [ 反向 DNS] 索引 標籤
將篩選套用至先前記下的每個篩選選項類型。
下載數據
Defender TI 中有各種區段可讓您將數據匯出為 CSV 檔案。 檢視並選取下列各節中的
:
- 大部分的數據集索引標籤
- 專案
- Intel 文章
當您從 解析、 DNS 和 反向 DNS 下載資料時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| 解決 | 與搜尋網域相關聯的記錄, (解析 IP 位址) 或網域,在搜尋 IP 位址時解析為 IP 位址 |
| 位置 | IP 位址裝載所在的國家或地區 |
| 網路 | Netblock 或子網 |
| autonomousSystemNumber | ASN |
| firstSeen | 當Microsoft第一次觀察到解析度時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| lastSeen | Microsoft上次觀察到解析度時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| Source | 觀察到此解析的來源 |
| 標記 | 與成品相關聯的系統或自定義標籤 |
當您從 [ 子域 ] 索引標籤下載資料時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| hostname | 已搜尋網域的子域 |
| 標籤 | 與成品相關聯的系統或自定義標籤 |
當您從 [ 追蹤器] 索 引標籤下載資料時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| hostname | 觀察到或目前正在觀察追蹤器的主機名 |
| firstSeen | Microsoft第一次觀察到主機名使用追蹤器時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| lastSeen | Microsoft上次觀察到主機名使用追蹤器時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| attributeType | 追蹤器類型 |
| attributeValue | 追蹤器值 |
| 標記 | 與成品相關聯的系統或自定義標籤 |
當您從 [ 元件 ] 索引標籤下載資料時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| hostname | 觀察到或目前正在觀察元件的主機名 |
| firstSeen | Microsoft第一次觀察到主機名使用元件時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| lastSeen | 上次 (觀察到主機名使用元件時,以 mm/dd/yyyy hh:mm 格式) Microsoft日期和時間 |
| 類別 | 元件類型 |
| name | 元件名稱 |
| 版本 | 元件版本 |
| 標記 | 與成品相關聯的系統或自定義標籤 |
當您從 [ 主機配對] 索引 標籤下載數據時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| parentHostname | 與子主機名連絡的主機名 |
| childHostname | 主機名,該主機名會將它們裝載的資產提供給父主機名。 |
| firstSeen | 當Microsoft第一次觀察到父主機名與子主機名之間的關聯性時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| lastSeen | Microsoft上次觀察到父主機名與子主機名之間的關聯性時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| attributeCause | 父主機名和子主機名之間的關聯性原因 |
| 標記 | 與成品相關聯的系統或自定義標籤 |
當您從 [ Cookie] 索引標籤下載數據時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| hostname | 觀察到 Cookie 名稱的主機名 |
| firstSeen | 第一次觀察到源自 Cookie 網域的主機名時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| lastSeen | 上次觀察到源自 Cookie 網域的主機名時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| cookieName | Cookie 名稱 |
| cookieDomain | Cookie 名稱源自的功能變數名稱伺服器 |
| 標記 | 與成品相關聯的系統或自定義標籤 |
當您從 Intel 專案 下載項目清單 (我的專案、 Team 專案和 共用專案) 時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| name | 專案名稱 |
| 成品 (計數) | 專案內的成品計數 |
| 由 (使用者) 建立 | 建立項目的使用者 |
| 建立於 | 建立專案時 |
| 標籤 | 與成品相關聯的系統或自定義標籤 |
| 合作 | 誰已新增為專案的共同作業者;只有從 [ 我的專案 ] 和 [ 共享 專案] 頁面下載的專案才會看到此標頭 |
當您從項目下載項目詳細資料 () 成品時,會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| 人工製品 | 成品值 (例如,IP 位址、網域、主機、WHOIS 值或憑證 SHA-1) |
| type | 成品類型 (例如IP、網域、主機、WHOIS組織、WHOIS電話或憑證SHA-1) |
| 創建 | 當成品新增至專案時,以 mm/dd/yyyy hh:mm 格式) 的日期和時間 ( |
| 造物主 | 新增成品之使用者的 Email 位址 |
| context | 成品如何新增至專案 |
| 標籤 | 與成品相關聯的系統或自定義標籤 |
| 合作 | 誰已新增為專案的共同作業者;只有從 [ 我的專案 ] 和 [ 共享 專案] 頁面下載的專案才會看到此標頭 |
下載威脅情報公用或 riskiq 指標會匯出下列標頭:
| 頁首 | 描述 |
|---|---|
| type | 指標類型 (例如IP位址、憑證、網域或SHA-256) |
| value | 指標值 (例如IP位址、網域或主機名) |
| source | RiskIQ 或 OSINT) (指標來源 |