مشاركة عبر

ما التحليل الذكي للمخاطر في Microsoft Defender (Defender TI)؟

  • مقالة

هام

في 30 يونيو 2024، تم إيقاف المدخل المستقل تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) ولمhttps://ti.defender.microsoft.com يعد من الممكن الوصول إليه. يمكن للعملاء الاستمرار في استخدام Defender TI في مدخل Microsoft Defender أو مع Microsoft Copilot للأمان. معرفة المزيد

تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) هو نظام أساسي يبسط الفرز والاستجابة للحوادث وتعقب التهديدات وإدارة الثغرات الأمنية ومهام سير عمل محلل التحليل الذكي للمخاطر عند إجراء تحليل البنية الأساسية للمخاطر وجمع التحليل الذكي للمخاطر. مع قيام المؤسسات الأمنية بإجراء قدر متزايد من الذكاء والتنبيهات داخل بيئتها، فإن وجود نظام أساسي للتحليل الذكي للتهديدات يسمح بإجراء تقييمات دقيقة وفي الوقت المناسب للتنبيه أمر مهم.

يقضي المحللون قدرا كبيرا من الوقت في اكتشاف البيانات وجمعها وتحليلها، بدلا من التركيز على ما يساعد مؤسستهم في الواقع على الدفاع عن أنفسهم - اشتقاق رؤى حول الجهات الفاعلة من خلال التحليل والارتباط. في كثير من الأحيان، يجب على هؤلاء المحللين الانتقال إلى مستودعات متعددة للحصول على مجموعات البيانات الهامة التي يحتاجونها لتقييم مجال أو مضيف أو عنوان IP مريب. توفر بيانات DNS ومعلومات WHOIS والبرامج الضارة وشهادات SSL سياقا مهما لمؤشرات الاختراق (IOCs)، ولكن هذه المستودعات موزعة على نطاق واسع ولا تشترك دائما في بنية بيانات مشتركة.

وهذا التوزيع الواسع للمستودعات يجعل من الصعب على المحللين ضمان حصولهم على جميع البيانات ذات الصلة التي يحتاجون إليها لإجراء تقييم مناسب وفي الوقت المناسب للبنية الأساسية المشبوهة. يمكن أن يكون التفاعل مع مجموعات البيانات هذه مرهقا أيضا، والتمحور بين هذه المستودعات يستغرق وقتا طويلا ويستنزف موارد مجموعات عمليات الأمان التي تحتاج باستمرار إلى إعادة ترتيب جهود الاستجابة الخاصة بها.

يكافح محللو التحليل الذكي للمخاطر من أجل موازنة اتساع نطاق استيعاب التحليل الذكي للمخاطر مع تحليل التحليل الذكي للمخاطر الذي يشكل أكبر التهديدات لمؤسستهم و/أو صناعتهم. في نفس الاتساع، يحارب محللو التحليل الذكي للثغرات الأمنية ربط مخزون أصولهم بمعلومات الثغرات الأمنية والتعرض الشائعة (CVE) لتحديد أولويات التحقيق والمعالجة لأهم الثغرات الأمنية المرتبطة بمؤسستهم.

تعيد Microsoft تصور سير عمل المحلل من خلال تطوير Defender TI، والذي يجمع مصادر البيانات الهامة ويثريها ويعرضها في واجهة مبتكرة وسهلة الاستخدام حيث يمكن للمستخدمين ربط مؤشرات التسوية (IOCs) بالمقالات ذات الصلة وملفات تعريف المستخدمين والثغرات الأمنية. يتيح Defender TI أيضا للمحللين التعاون مع المستخدمين المرخصين من Defender TI داخل المستأجر الخاص بهم في التحقيقات.

فيما يلي لقطة شاشة لصفحة مستكشف Intel ل Defender TI في مدخل Microsoft Defender. يمكن للمحللين فحص المقالات المميزة الجديدة بسرعة وإجراء بحث عن كلمة أساسية أو مؤشر أو معرف CVE لبدء جمع المعلومات الاستخبارية والفرز والاستجابة للحوادث وجهود التتبع.

ti نظرة عامة على الصفحة الرئيسية Chrome لقطة شاشة.

مقالات Defender TI

المقالات عبارة عن سرد يوفر نظرة ثاقبة على الجهات الفاعلة في التهديد والأدوات والهجمات والثغرات الأمنية. مقالات Defender TI ليست منشورات مدونة حول التحليل الذكي للمخاطر؛ بينما تلخص هذه المقالات التهديدات المختلفة، فإنها ترتبط أيضا بالمحتوى القابل للتنفيذ و IOCs الرئيسية لمساعدة المستخدمين على اتخاذ إجراء. يتيح وجود هذه المعلومات التقنية في ملخصات التهديدات للمستخدمين تعقب الجهات الفاعلة في التهديد والأدوات والهجمات والثغرات الأمنية باستمرار أثناء تغييرها.

يعرض قسم المقالات المميزة في صفحة مستكشف Intel (أسفل شريط البحث مباشرة) صور الشعار لمحتوى Microsoft الجدير بالملاحظة:

المقالات المميزة لنظرة عامة على TI

تظهر المقالات المميزة أيضا في عنصر واجهة مستخدم مقالات التحليل الذكي للمخاطر المميزة في الصفحة الرئيسية لمدخل Defender:

لقطة شاشة لأداة مقالات التحليل الذكي للمخاطر المميزة في الصفحة الرئيسية لمدخل Defender.

يؤدي تحديد شعار مقالة متميزة إلى تحميل محتوى المقالة الكامل. تمنحك لقطة المقالة فهما سريعا للمقالة. يوضح استدعاء المؤشرات عدد مؤشرات TI العامة والمرتبطة بالمقالة.

المقالة المميزة لنظرة عامة على TI

المقالات

يتم سرد جميع المقالات (بما في ذلك المقالات المميزة) في قسم المقالات الأخيرة وفقا لتاريخ النشر الخاص بها، مع آخر مقالة في الأعلى.

مقالات نظرة عامة على TI.

يحتوي قسم الوصف في مقالة على معلومات حول الهجوم الذي تم تعريفه أو ممثل التهديد. يمكن أن يكون المحتوى قصيرا - مثل نشرات التحليل الذكي مفتوح المصدر (OSINT) - أو طويلا (لإعداد التقارير طويلة النماذج، خاصة عندما تقوم Microsoft بزيادة التقرير بتحليلها الخاص). قد تحتوي الأوصاف الأطول على صور وارتباطات إلى المحتوى الأساسي وارتباطات لعمليات البحث داخل Defender TI ومقتطفات التعليمات البرمجية للمهاجم وقواعد جدار الحماية لحظر الهجوم.

وصف مقالة نظرة عامة على TI.

يسرد قسم المؤشرات العامة المؤشرات المعروفة المتعلقة بالمقالة. تنقلك الارتباطات الموجودة في هذه المؤشرات إلى بيانات Defender TI ذات الصلة أو المصادر الخارجية.

مقالة نظرة عامة على TI المؤشرات العامة.

يغطي قسم مؤشرات Defender TI المؤشرات التي يجدها فريق البحث الخاص ب Defender TI مرتبطا بالمقالات. تنقلك الارتباطات الموجودة في هذه المؤشرات أيضا إلى بيانات Defender TI ذات الصلة أو المصادر الخارجية.

كما يتمحور هذا الارتباط أيضاً في بيانات Defender TI ذات الصلة أو المصدر الخارجي المقابل.

مقالة نظرة عامة على TI مؤشرات Defender TI.

مقالات الثغرات الأمنية

يوفر Defender TI عمليات بحث معرف CVE لمساعدتك في تحديد المعلومات الهامة حول CVE. تؤدي عمليات البحث عن معرف CVE إلى مقالات الثغرات الأمنية.

تحتوي كل مقالة ثغرة أمنية على:

  • وصف CVE
  • قائمة بالمكونات المتأثرة
  • إجراءات واستراتيجيات التخفيف المصممة خصيصا
  • مقالات التحليل الذكي ذات الصلة
  • مراجع في دردشة الويب العميقة والغامقة
  • ملاحظات رئيسية أخرى

توفر هذه المقالات سياقا أعمق ورؤى قابلة للتنفيذ خلف كل CVE، ما يتيح للمستخدمين فهم هذه الثغرات الأمنية والتخفيف منها بسرعة أكبر.

تتضمن مقالات الثغرات الأمنية أيضا درجة أولوية Defender TI ومؤشر الخطورة. درجة أولوية Defender TI هي خوارزمية فريدة تعكس أولوية CVE استنادا إلى درجة نظام تسجيل الثغرات الأمنية الشائعة (CVSS) والمآثر والدردشة والربط بالبرامج الضارة. يقوم بتقييم مرونة هذه المكونات حتى تتمكن من فهم CVEs التي يجب معالجتها أولا.

تسجيل درجات السمعة

بيانات سمعة IP مهمة لفهم موثوقية سطح الهجوم الخاص بك وهي مفيدة أيضا عند تقييم المضيفين أو المجالات أو عناوين IP غير المعروفة التي تظهر في التحقيقات. يوفر Defender TI درجات سمعة خاصة لأي مضيف أو مجال أو عنوان IP. سواء كان التحقق من سمعة كيان معروف أو غير معروف، تساعدك هذه الدرجات على فهم أي روابط تم اكتشافها بالبنية الأساسية الضارة أو المشبوهة بسرعة.

بطاقة ملخص السمعة.

يوفر Defender TI معلومات سريعة حول نشاط هذه الكيانات، مثل الطوابع الزمنية الأولى والأخيرة، ورقم النظام المستقل (ASN)، والبلد أو المنطقة، والبنية الأساسية المرتبطة بها، وقائمة القواعد التي تؤثر على درجة السمعة، عند الاقتضاء.

اقرأ المزيد حول تسجيل السمعة

نتائج تحليلات المحللين

تقوم نتائج تحليلات المحللين بتقطير بيانات Microsoft الهائلة التي تم تعيينها في عدد قليل من الملاحظات التي تبسط التحقيق وتجعله أكثر قابلية للاقتراب من المحللين من جميع المستويات.

تهدف نتائج التحليلات إلى أن تكون حقائق صغيرة أو ملاحظات حول مجال أو عنوان IP. فهي توفر لك القدرة على تقييم المؤشر الذي تم الاستعلام عليه وتحسين قدرتك على تحديد ما إذا كان المؤشر الذي تحقق فيه ضارا أو مريبا أو حميدا.

بطاقة ملخص نتائج تحليلات المحلل.

اقرأ المزيد حول نتائج تحليلات المحللين

مجموعات البيانات

تقوم Microsoft بمركزية العديد من مجموعات البيانات في Defender TI، ما يسهل على مجتمع Microsoft وعملائها إجراء تحليل البنية الأساسية. ينصب تركيز Microsoft الأساسي على توفير أكبر قدر ممكن من البيانات حول البنية الأساسية للإنترنت لدعم حالات استخدام الأمان المختلفة.

تجمع Microsoft بيانات الإنترنت وتحللها وفهرستها باستخدام مستشعرات أنظمة أسماء المجالات السلبية (DNS)، وفحص المنفذ، وعنوان URL وتفجير الملفات، ومصادر أخرى لمساعدة المستخدمين في اكتشاف التهديدات وتحديد أولويات الحوادث وتحديد البنية الأساسية المرتبطة بمجموعات الجهات الفاعلة في التهديد. قد يتم استخدام عمليات البحث في عنوان URL لبدء عمليات التفجير تلقائيا إذا لم تكن هناك بيانات تفجير متاحة لعنون URL في وقت الطلب. يتم استخدام البيانات التي تم جمعها من مثل هذه الانفجارات لملء النتائج لأي عمليات بحث مستقبلية عن عنوان URL هذا منك أو من أي مستخدم Defender TI آخر.

تتضمن مجموعات بيانات الإنترنت المدعومة ما يلي:

  • القرارات
  • WHOIS
  • شهادات SSL
  • المجالات الفرعية
  • DNS
  • عكس DNS
  • تحليل التفجير
  • مجموعات البيانات المشتقة التي تم جمعها من نموذج كائن المستند (DOM) لعناوين URL المفجرة، بما في ذلك:
    • المقتفون
    • مكونات
    • أزواج المضيف
    • الكوكيز

تتم أيضا ملاحظة المكونات والمتعقبات من قواعد الكشف التي يتم تشغيلها استنادا إلى استجابات الشعار من عمليات فحص المنفذ أو تفاصيل شهادة SSL. تحتوي العديد من مجموعات البيانات هذه على أساليب مختلفة لفرز البيانات وتصفيتها وتنزيلها، ما يسهل الوصول إلى المعلومات التي قد تكون مقترنة بنوع مؤشر معين أو وقت معين في المحفوظات.

لقطة شاشة لفرز مجموعات البيانات.

معرفة المزيد:

العلامات

توفر علامات Defender TI نظرة ثاقبة سريعة حول مؤشر، سواء تم اشتقاقه بواسطة النظام أو تم إنشاؤه بواسطة مستخدمين آخرين. تساعد العلامات المحللين في ربط النقاط بين الحوادث والتحقيقات الحالية والسياق التاريخي لتحسين التحليل.

يوفر Defender TI نوعين من العلامات: علامات النظام والعلامات المخصصة.

العلامات المخصصة

تعرف على المزيد حول استخدام العلامات

المشاريع

يتيح Defender TI للمستخدمين تطوير أنواع مشاريع متعددة لتنظيم مؤشرات الاهتمام ومؤشرات التسوية من التحقيق. تحتوي المشاريع على قائمة بجميع المؤشرات المقترنة ومحفوظات مفصلة تحتفظ بالأسماء والأوصاف والمتعاونين.

عند البحث في عنوان IP أو مجال أو مضيف في Defender TI، وإذا كان هذا المؤشر مدرجا ضمن مشروع يمكنك الوصول إليه، يمكنك رؤية ارتباط إلى المشروع من صفحة مشاريع Intel ، في علامة التبويب ملخصوبيانات . من هناك، يمكنك الانتقال إلى تفاصيل المشروع لمزيد من السياق حول المؤشر قبل مراجعة مجموعات البيانات الأخرى لمزيد من المعلومات. لذلك يمكنك تجنب إعادة اختراع عجلة التحقيق الذي قد يكون أحد مستخدمي مستأجر Defender TI قد بدأ بالفعل. إذا أضافك شخص ما كمتعاون إلى مشروع، يمكنك أيضا إضافة إلى هذا التحقيق عن طريق إضافة IOCs جديدة.

لقطة شاشة تفاصيل المشروع.

تعرف على المزيد حول استخدام المشاريع

موقع البيانات والتوفر والخصوصية

يحتوي Defender TI على كل من البيانات العمومية والبيانات الخاصة بالعميل. بيانات الإنترنت الأساسية هي بيانات Microsoft العمومية؛ تعتبر التسميات التي يطبقها العملاء بيانات العميل. يتم تخزين جميع بيانات العميل في المنطقة التي يختارها العميل.

لأغراض الأمان، تجمع Microsoft عناوين IP للمستخدمين عند تسجيل الدخول. يتم تخزين هذه البيانات لمدة تصل إلى 30 يوما ولكن قد يتم تخزينها لفترة أطول إذا لزم الأمر للتحقيق في الاستخدام الاحتيالي أو الضار المحتمل للمنتج.

في وجود سيناريو تعطل المنطقة، يجب ألا يرى العملاء أي وقت تعطل حيث يستخدم Defender TI التقنيات التي تنسخ البيانات نسخا متماثلا إلى مناطق النسخ الاحتياطي.

يعالج Defender TI بيانات العملاء. بشكل افتراضي، يتم نسخ بيانات العميل إلى المنطقة المقترنة.

راجع أيضًا