Share via

Použití projektů

  • Článek

Důležité

30. června 2024 bude samostatný portálhttps://ti.defender.microsoft.com Analýza hrozeb v programu Microsoft Defender (Defender TI) vyřazen a nebude už přístupný. Zákazníci můžou dál používat Defender TI na portálu Microsoft Defender nebo pomocí Microsoft Copilot pro Security. Další informace

Analýza hrozeb v programu Microsoft Defender (Defender TI) umožňuje uživatelům vyvíjet typy soukromých osobních nebo týmových projektů pro organizaci indikátorů zájmu a indikátorů ohrožení (IOC) z vyšetřování. Projekty obsahují seznam všech přidružených artefaktů a podrobnou historii, která uchovává jména, popisy, spolupracovníky a profily monitorování.

Když uživatel hledá IP adresu, doménu nebo hostitele v Defenderu TI a pokud je tento indikátor uvedený v projektu, ke kterému má uživatel přístup, může vybrat okno Projekty v části Inteligentní funkce a přejít do podrobností projektu, kde najdete další kontext o indikátoru, a teprve potom si projít další informace v jiných datových sadách. Alternativně můžou uživatelé zobrazit své soukromé týmové projekty tak, že v levém podokně nabídek vyberou ikonu Projekty.

Při návštěvě podrobností projektu se zobrazí seznam všech přidružených artefaktů a podrobná historie, která uchovává veškerý kontext popsaný výše. Uživatelé ve stejné organizaci už nemusí trávit čas komunikací tam a zpět. Profily aktérů hrozeb je možné vytvořit v rámci Defender TI a sloužit jako "živá" sada indikátorů. Při zjištění nebo nalezení nových informací je možné je přidat do projektu.

Platforma Defender TI umožňuje uživatelům vyvíjet více typů projektů pro uspořádání indikátorů zájmu a IOC z šetření.

Vlastník projektu může přidat spolupracovníky (uživatele uvedené v tenantovi Azure s licencí Defender TI Premium). Tím se spolupracovníkům udělí oprávnění k provádění jakýchkoli změn projektu, jako by byli vlastníkem projektu. Výjimkou je, že spolupracovníci nemůžou projekty odstranit. Spolupracovníci zobrazí projekty, které s nimi někdo sdílí, v části Sdílené projekty na domovské stránce projektů.

Uživatelé můžou také stahovat artefakty v rámci projektu tak, že vyberou ikonu stahování. To je skvělý způsob, jak týmy proaktivního vyhledávání hrozeb využít své poznatky z vyšetřování k blokování IOC nebo k vytváření dalších pravidel detekce v rámci svých bezpečnostních informací a správy událostí (SIEM).

Projekty na otázky můžou pomoct odpovědět:

  • Vytvořil někdo z mých kolegů týmový projekt, který obsahuje tento indikátor?

    • Pokud ano, jaké další související vstupně-výstupní operace (IOC) tento člen týmu zachytil a jaký popis a značky obsahoval k popisu typu šetření?

  • Kdy tento člen týmu naposledy upravoval projekt?

    Projects Detailed Project Chrome Screenshot

Požadavky

  • Microsoft Entra ID nebo osobní účet Microsoft. Přihlášení nebo vytvoření účtu

  • Licence Defender TI Premium.

    Poznámka

    Uživatelé bez licence Defender TI Premium mají stále přístup k naší bezplatné nabídce Defender TI.

Otevřete Defender TI na portálu Microsoft Defender.

  1. Přejděte na portál Defender a dokončete proces ověřování Microsoftu. Další informace o portálu Defender
  2. Přejděte na Průzkumník Intel pro analýzu hrozeb>.

Vytvoření projektu

Uživatelé můžou vytvořit projekt dvěma různými způsoby: prostřednictvím domovské stránky projektů nebo při zkoumání výsledků.

Při přihlášení k domovské stránce projektů Defender TI se uživatelům zobrazí řídicí panel zobrazující projekty, které vlastní nebo které byly sdíleny s jinými uživateli Defender TI ve svém tenantovi. Přímo z tohoto zobrazení se uživatelé můžou rozhodnout vytvořit nový projekt jednoduše tak, že vyberou ikonu +, nebo navštíví stránku projektu pomocí nabídky levého šuplíku.

  1. Pokud chcete vytvořit projekt z domovské stránky projektu, přejděte na ikonu Projekty a na domovské stránce projektů vyberte ikonu Přidat nový projekt.

    Přidat do projektu

    Při vyhledávání v rámci Defenderu TI můžou uživatelé vybrat Přidat do projektu a přidat artefakt (indikátor ohrožení) do existujícího projektu nebo vytvořit nový projekt, do který ho přidá.

  2. Pokud chcete vytvořit projekt prostřednictvím vyšetřování, na panelu hledání analýzy hrozeb proveďte vyhledávání indikátorů a vyberte ikonu Přidat do projektu.

  3. Pokud vytváříte nový projekt, vyberte odkaz Přidat nový projekt, vyplňte požadovaná pole a uložte nový projekt. Pokud už máte existující projekt, do kterého chcete artefakt přidat, vyberte nebo se posuňte dolů a vyberte požadovaný projekt.

    Přidat nový projekt

Správa projektů

Jakmile uživatel vytvoří projekty, může je spravovat v části Projekty platformy. Počáteční domovská stránka projektu zvýrazní všechny projekty, které může uživatel zobrazit, a poskytuje metody filtrování na základě vlastností projektu. Na domovské stránce projektu se ve výchozím nastavení zobrazí týmové projekty přidružené k uživatelům DefenderU TI v jejich tenantovi. Mají možnost vybrat všechny osobní projekty, které vytvořili, a také projekty, které s nimi sdíleli, do kterých mají přispívat.

Správa projektů

  1. Uživatelé můžou zobrazit podrobnosti projektu jednoduše kliknutím na název projektu.
  2. V závislosti na úrovni přístupu můžou uživatelé v projektu provádět změny přímo kliknutím na tlačítko upravit v pravém horním rohu.
  3. Uživatelé můžou projekt také odstranit, pokud jsou vlastníkem projektu. Můžou také přidat artefakty ručně pomocí tlačítka Přidat artefakty v pravém horním rohu.

Osvědčené postupy

Pokud jde o zkoumání potenciálních hrozeb pomocí DefenderU TI, doporučujeme provést následující pracovní postupy, protože tyto kroky vám umožní shromáždit strategické a provozní informace před tím, než se ponoříte do taktické inteligence.

Uživatelé můžou v rámci Defender TI provádět různé typy hledání. Proto je důležité přistupovat k metodě shromažďování informací způsobem, který vám poskytne široké výsledky, než se ponoříte do zkoumání konkrétních ukazatelů. Pokud například vyhledáte IP adresu na domovské stránce Defender TI, jaké články mají s danou IP adresou souvislost? Jaké informace najdete v těchto článcích o IP adrese, kterou byste jinak nenašli při přechodu přímo na kartu Data IP adresy pro rozšiřování datové sady. Byla například tato IP adresa identifikována jako možná C2, kdo je aktérem hrozby, jaké další související IOC jsou uvedené v článku, jaké taktiky, techniky a postupy (TTP) aktér hrozby používá a na koho cílí?

Kromě provádění různých typů vyhledávání pomocí Defender TI můžou uživatelé na vyšetřováních spolupracovat. To znamená, že uživatelům se doporučuje vytvářet projekty, přidávat do projektu indikátory související s šetřením a přidávat do projektu spolupracovníky, pokud na stejném šetření pracuje více než jedna osoba. To pomáhá zkrátit dobu strávenou analýzou stejných vstupně-výstupních operací a měla by vést k rychlejšímu pozorování pracovních postupů.