描述 Microsoft Defender 威脅情報

  • 5 分鐘

威脅情報分析師很難在威脅情報擷取的廣度與分析哪些威脅情報對其組織和/或產業構成最大威脅之間取得平衡。 同樣地,弱點情報分析師也難以將其資產詳細目錄與常見弱點與暴露風險 (CVE) 資訊進行關聯,以優先調查和補救與其組織相關聯的最重要弱點。

Microsoft Defender 威脅情報可透過彙總和強化重要資料來源並將其顯示在創新且易於使用的介面中來應對這些挑戰。 然後,分析師可以將入侵指標 (IOC) 與相關文章、執行者設定檔和弱點關聯起來。 Defender TI 也可讓分析師與其租用戶內的其他 Defender TI 授權使用者共同作業進行調查。

Microsoft Defender 威脅情報功能包括:

  • 威脅分析
  • 情報設定檔
  • 情報總管
  • 專案

威脅分析

威脅分析可協助您 (作為分析師) 了解新出現的威脅如何影響您的組織環境。

威脅分析報告可提供對所追蹤威脅的分析以及有關如何防禦該威脅的廣泛指導。 其中也會涵蓋來自您網路的資料,指出威脅是否作用中,以及您是否具備適當的保護措施。 您可以篩選和搜尋報告,但 Defender TI 也提供了儀表板。

威脅分析儀表板會醒目提示與貴組織最相關的報告。 它會將威脅總結為三種類別:

  • 最新的威脅 - 列出最近發佈或更新的威脅報告,以及作用中和已解決警示數目。
  • 高度影響的威脅 - 列出對組織造成最大影響的威脅。 此區段首先會列出作用中和已解決警示數目最多的威脅。
  • 最高的暴露風險 - 列出您的組織面臨的暴露風險最高的威脅。 您面臨威脅的暴露風險程度是使用兩項資訊來計算的:與威脅相關的弱點的嚴重程度,以及您組織中的多少裝置可能會受到這些弱點的攻擊。

每個報告都會提供概觀、分析師報告、相關事件、受影響的資產、端點暴露風險和建議的動作。

情報設定檔

情報設定檔是 Microsoft 針對所追蹤的威脅執行者、惡意工具和弱點的可共用知識的權威來源。 此內容由 Microsoft 威脅情報專家策劃並持續更新,以提供相關且可採取動作的威脅內容。

情報總管

分析師可以在情報總管中快速掃描新的專題文章並執行關鍵字、指標或 CVE 識別碼搜尋,以開始其情報收集、分級、事件回應和搜捕工作。

Microsoft Defender 威脅情報文章是提供對威脅執行者、工具、攻擊和弱點的深入解析的敘述。 這些文章總結了不同的威脅,同時連結到可採取動作的內容和關鍵 IOC,以協助使用者採取動作。

Defender TI 提供 CVE-ID 搜尋,以協助使用者識別 CVE 的重要資訊。 CVE-ID 搜尋會產生弱點文章。

情報專案

Microsoft Defender 威脅情報 (Defender TI) 可讓您建立專案來組織調查中關注的指標和入侵指標 (IOC)。 專案包含所有相關成品的清單,以及保留名稱、描述、共同作業者和監視設定檔的詳細歷程記錄。

Microsoft Defender 入口網站中的 Microsoft Defender 威脅情報

Microsoft Defender TI 可透過 Microsoft Defender 入口網站來進行體驗。

Microsoft Defender 入口網站導覽面板上的 [威脅情報] 節點是您可以找到 Microsoft Defender 威脅情報功能的位置。

Microsoft Defender 入口網站左側導覽面板上可選取威脅情報選項的螢幕擷取畫面。

若要檢視每個類別的螢幕擷取畫面,請從下圖中選取索引標籤。 在每個案例中,都有一個側邊面板顯示內嵌式 Microsoft Security Copilot 功能。

Microsoft Security Copilot 與 Microsoft 威脅情報整合

安全性 Copilot 與 Microsoft Defender TI 整合。 啟用 Defender TI 外掛程式後,Copilot 可提供威脅活動群組、入侵指標 (IOC)、工具和內容威脅情報的相關資訊。 您可以使用提示和提示簿來調查事件、透過威脅情報資訊豐富您的搜捕流程,或獲取有關您的組織或全域威脅情勢的更多知識。

Copilot 中的 Microsoft Defender 威脅情報功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。 下圖只顯示支援的功能的子集。

可在獨立體驗中執行的 Defender TI 系統功能的螢幕擷取畫面。

Copilot 還包括一個內建提示集,可提供來自 Defender TI 的資訊,包括:

  • 弱點影響評估 - 會產生一份概述已知弱點的情報 (包括如何解決該弱點的步驟) 的報告。
  • 威脅執行者設定檔 - 會產生一份描述已知活動群組 (包括防禦其常用工具和策略的建議) 的報告。

Copilot 與 Defender TI 的整合也可以透過內嵌式體驗來體驗。 您可以在 Microsoft Defender 入口網站的以下頁面中體驗 Security Copilot 查閱威脅情報的功能:

  • 威脅分析
  • 情報設定檔
  • 情報總管
  • 情報專案

對於這些每個頁面,您可以使用其中一個可用的提示,也可以輸入自己的提示。

Microsoft Defender 入口網站中內嵌在 Defender TI 中的 Copilot 提示的螢幕擷取畫面。