什麼是 Microsoft Defender 威脅情報 (Defender TI)?
重要事項
在 2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI 獨立入口網站) (https://ti.defender.microsoft.com) 已淘汰,無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。
深入了解
Microsoft Defender 威脅情報 (Defender TI) 是一個平臺,可在進行威脅基礎結構分析和收集威脅情報時,簡化分級、事件回應、威脅搜捕、弱點管理和威脅情報分析師工作流程。 隨著安全性組織在其環境中採取行動的情報和警示數量不斷增加,因此,讓威脅分析成為可正確且及時評估警示的情報平臺非常重要。
分析師會花費大量時間在數據探索、收集和剖析上,而不是專注於實際協助其組織自行防禦的專案,而是透過分析和相互關聯來衍生動作專案的相關見解。 這些分析師通常必須前往多個存放庫,以取得評估可疑網域、主機或IP位址所需的重要數據集。 DNS 數據、WHOIS 資訊、惡意代碼和 SSL 憑證會提供重要內容給 IOC (入侵指標) ,但這些存放庫會廣泛散發,而且不一定會共用通用數據結構。
這種廣泛散發的存放庫讓分析師難以確保他們擁有對可疑基礎結構進行適當且及時評估所需的所有相關數據。 與這些數據集互動也可能會很麻煩,而且在這些存放庫之間進行樞紐處理相當耗時,而且會耗費大量安全性作業群組的資源,而這些安全性作業群組需要持續重新撰寫其回應工作。
威脅情報分析師難以平衡威脅情報擷取的廣度,以及威脅情報對其組織和/或產業造成最大威脅的分析。 在相同的廣度中,弱點情報分析師會針對其資產清查與其常見弱點和公開 (CVE) 資訊相互關聯,以優先調查和補救與其組織相關聯的最重大弱點。
Microsoft開發 Defender TI 來重新構思分析師工作流程,其會匯總和擴充重要數據源,並以創新、易用的介面顯示這些數據源,讓使用者可以將入侵指標 (IOC) 與相關文章、動作專案配置檔和弱點相互關聯。 Defender TI 也可讓分析師在其租使用者內與具有 Defender TI 授權的使用者共同作業,以進行調查。
以下是 Microsoft Defender 入口網站中 Defender TI Intel Explorer 頁面的螢幕快照。 分析師可以快速掃描新的精選文章,並執行關鍵詞、指標或 CVE 標識符搜尋,以開始其情報收集、分級、事件回應和搜尋工作。
Defender TI 文章
文章是可讓您深入瞭解威脅執行者、工具、攻擊和弱點的敘述。 Defender TI 文章不是關於威脅情報的部落格文章;雖然這些文章摘要說明不同的威脅,但它們也會連結至可採取動作的內容和關鍵 IOC,以協助使用者採取行動。 在威脅摘要中擁有此技術資訊,可讓使用者在變更時持續追蹤威脅執行者、工具、攻擊和弱點。
精選文章
Intel 總管頁面的 [ 精選文章 ] 區段 (搜尋列正下方) 會顯示值得注意Microsoft內容的橫幅影像:
精選文章也會出現在 Defender 入口網站首頁的 精選威脅情報文章 小工具 中:
選取精選文章橫幅會載入完整的文章內容。 本文的 快照集 可讓您快速瞭解該文章。 指標註銷會顯示與本文相關聯的公用和 Defender TI 指標數目。
文章
所有 (包括精選文章) 的文章,都會根據其發行日期列在 [ 最近的文章 ] 區段中,其中最新的文章則在最上方。
文章的 描述 一節包含已分析的攻擊或威脅執行者的相關信息。 內容可以是簡短的,例如開放原始碼智慧 (OSINT) 布告欄,或長 (長形式的報告,特別是當Microsoft使用自己的分析) 來增強報表時。 較長的描述可能包含影像、基礎內容的連結、在 Defender TI 內搜尋的連結、攻擊者代碼段,以及用來封鎖攻擊的防火牆規則。
[ 公用指標 ] 區段會列出與本文相關的已知指標。 這些指標中的連結會帶您前往相關的Defender TI資料或外部來源。
Defender TI 指標一節涵蓋Defender TI自己的研究小組找到與文章相關的指標。 這些指標中的連結也會帶您前往相關的Defender TI資料或外部來源。
這些連結也會轉至相關的 Defender TI 資料或對應的外部來源。
弱點文章
Defender TI 提供 CVE 識別符搜尋,協助您識別 CVE 的重要資訊。 CVE識別符搜尋會導致弱點文章。
每個弱點文章都包含:
- CVE 的描述
- 受影響元件的清單
- 量身打造的風險降低程式和策略
- 相關情報文章
- 深層和深色網路交談中的參考
- 其他重要觀察
這些文章提供每個 CVE 背後的更深入內容和可採取動作的深入解析,讓使用者更快速地瞭解並減輕這些弱點。
弱點文章也包含 Defender TI 優先順序分數 和嚴重性指標。 Defender TI 優先順序分數是一種唯一的演算法,可根據常見弱點評分系統 (CVSS) 分數、惡意探索、交談和連結來反映 CVE 的優先順序。 它會評估這些元件的復原,讓您可以先了解應該補救哪些 CVA。
信譽評分
IP 信譽數據對於瞭解您自己受攻擊面的可信度很重要,而且在評估調查中出現的未知主機、網域或IP位址時也很有用。 Defender TI 提供任何主機、網域或IP位址的專屬信譽分數。 不論是驗證已知或未知實體的信譽,這些分數都可協助您快速瞭解任何偵測到的惡意或可疑基礎結構關聯。
Defender TI 提供這些實體活動的快速資訊,例如第一次和最後一次看到的時間戳、自發系統編號 (ASN) 、國家或地區、相關聯的基礎結構,以及在適用時影響信譽分數的規則清單。
分析深入資訊
分析師深入解析會將Microsoft的大量數據集擷取成少數的觀察,以簡化調查,並讓所有層級的分析師更容易使用。
深入解析是關於網域或IP位址的小型事實或觀察。 它們可讓您評估查詢的指標,並改善您判斷您正在調查的指標是否為惡意、可疑或良性的能力。
資料集
Microsoft將許多數據集集中至 Defender TI,讓Microsoft社群和客戶更容易進行基礎結構分析。 Microsoft的主要重點是盡可能提供因特網基礎結構的相關數據,以支援各種安全性使用案例。
Microsoft使用被動功能變數名稱系統收集、分析和編制因特網數據的索引 (DNS) 感測器、埠掃描、URL 和檔案擷取和其他來源,以協助使用者偵測威脅、排定事件優先順序,以及識別與威脅執行者群組相關聯的基礎結構。 如果您的 URL 在要求時沒有可用的損損數據,您的 URL 搜尋可能會用來自動起始入侵。 從這類惡意收集的數據可用來填入結果,供您或任何其他 Defender TI 使用者日後搜尋該 URL。
支援的網際網路資料集包括:
- 解決方案
- WHOIS
- SSL 憑證
- 子網域
- DNS
- 反向 DNS
- 加密分析
- 從文件物件模型收集的衍生數據集 (DOM) ,包括:
- 跟蹤
- 元件
- 主機配對
- Cookie
元件和追蹤器也會從偵測規則觀察到,這些規則是根據來自埠掃描或 SSL 憑證詳細數據的橫幅回應所觸發。 這些數據集有許多可用來排序、篩選和下載數據的各種方法,可讓您更輕鬆地存取可能與特定指標類型或歷程記錄時間相關聯的資訊。
深入了解:
標記
無論指標是由系統衍生或由其他用戶產生,Defender TI 標籤都提供指標的快速見解。 標籤可協助分析師連結目前事件和調查之間的點,以及其歷史內容,以改善分析。
Defender TI 提供兩種類型的標記:系統標籤和自定義標籤。
專案
Defender TI 可讓用戶開發多個專案類型,以組織感興趣的指標,以及調查所提供的入侵指標。 專案 包含所有相關聯指標的清單,以及保留名稱、描述和共同作業者的詳細歷程記錄。
當您在 Defender TI 中搜尋 IP 位址、網域或主機時,如果該指標列在您可存取的專案內,您可以在 [摘要] 和 [數據] 索引卷標中,從 Intel 專案頁面看到項目的連結。 您可以從該處流覽至專案的詳細數據,以取得指標的詳細資訊,然後再檢閱其他數據集以取得詳細資訊。 因此,您可以避免重新建立其中一個 Defender TI 租用戶使用者可能已啟動的調查方向盤。 如果有人將您新增為專案的共同作業者,您也可以新增IOC來加入該調查。
![[項目詳細數據] 螢幕快照。](/zh-tw/defender/threat-intelligence/media/project-details.png#lightbox)
資料落地、可用性和隱私權
Defender TI 同時包含全域數據和客戶特定數據。 基礎網際網路資料是一種全域 Microsoft 資料;客戶套用的標籤會被視為客戶資料。 所有客戶數據都會儲存在客戶選擇的區域中。
基於安全性考慮,Microsoft會在使用者登入時收集其IP位址。 此數據最多會儲存 30 天,但如果需要調查產品的潛在詐騙或惡意使用,可能會儲存更久。
在區域停機案例中,客戶應該不會看到停機時間,因為 Defender TI 會使用將數據復寫至備份區域的技術。
Defender TI 會處理客戶資料。 根據預設,客戶資料會複寫到配對的區域。