Freigeben über

Grundlegendes zu Threat Intelligence-Konzepten

  • Artikel

Gilt für:

Hinweis

Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Mehrere komplexe schädliche Ereignisse, Attribute und Kontextinformationen umfassen erweiterte Cybersicherheitsangriffe. Die Identifizierung und Entscheidung, welche dieser Aktivitäten als verdächtig eingestuft werden, kann eine schwierige Aufgabe sein. Ihr Wissen über bekannte Attribute und ungewöhnliche Aktivitäten, die für Ihre Branche spezifisch sind, ist von grundlegender Bedeutung, um zu wissen, wann ein beobachtetes Verhalten als verdächtig bezeichnet werden sollte.

Mit Microsoft Defender XDR können Sie benutzerdefinierte Bedrohungswarnungen erstellen, mit denen Sie mögliche Angriffsaktivitäten in Ihrem organization nachverfolgen können. Sie können verdächtige Ereignisse kennzeichnen, um Hinweise zusammenzusammeln und möglicherweise eine Angriffskette zu beenden. Diese benutzerdefinierten Bedrohungswarnungen werden nur in Ihrem organization angezeigt und kennzeichnen Ereignisse, die Sie für die Nachverfolgung festlegen.

Vor dem Erstellen benutzerdefinierter Bedrohungswarnungen ist es wichtig, die Konzepte hinter Warnungsdefinitionen und Gefährdungsindikatoren (IOCs) und die Beziehung zwischen ihnen zu kennen.

Warnungsdefinitionen

Warnungsdefinitionen sind Kontextattribute, die gemeinsam verwendet werden können, um frühe Hinweise auf einen möglichen Cybersicherheitsangriff zu identifizieren. Diese Indikatoren sind in der Regel eine Kombination aus Aktivitäten, Merkmalen und Aktionen eines Angreifers, um das Ziel eines Angriffs erfolgreich zu erreichen. Die Überwachung dieser Kombinationen von Attributen ist wichtig, um einen Ausgangspunkt gegen Angriffe zu gewinnen und möglicherweise die Kette der Ereignisse zu beeinträchtigen, bevor das Ziel eines Angreifers erreicht wird.

Indikatoren der Kompromittierung (IOC)

IOCs sind einzeln bekannte schädliche Ereignisse, die darauf hinweisen, dass ein Netzwerk oder Gerät bereits verletzt wurde. Im Gegensatz zu Warnungsdefinitionen werden diese Indikatoren als Beweis für eine Sicherheitsverletzung betrachtet. Sie werden häufig gesehen, nachdem bereits ein Angriff durchgeführt und das Ziel erreicht wurde, z. B. die Exfiltration. Das Nachverfolgen von IOCs ist auch bei forensischen Untersuchungen wichtig. Obwohl es möglicherweise nicht in der Lage ist, mit einer Angriffskette zu intervenieren, kann das Sammeln dieser Indikatoren nützlich sein, um bessere Schutzmaßnahmen für mögliche zukünftige Angriffe zu schaffen.

Beziehung zwischen Warnungsdefinitionen und IOCs

Im Kontext von Microsoft Defender XDR und Microsoft Defender for Endpoint sind Warnungsdefinitionen Container für IOCs und definieren die Warnung, einschließlich der Metadaten, die für eine bestimmte IOC-Übereinstimmung ausgelöst werden. Verschiedene Metadaten werden als Teil der Warnungsdefinitionen bereitgestellt. Metadaten wie Warnungsdefinitionsname, Schweregrad und Beschreibung werden zusammen mit anderen Optionen bereitgestellt.

Jedes IOC definiert die konkrete Erkennungslogik basierend auf seinem Typ, Wert und seiner Aktion, die bestimmt, wie sie abgeglichen wird. Sie ist an eine bestimmte Warnungsdefinition gebunden, die definiert, wie eine Erkennung als Warnung in der Microsoft Defender XDR-Konsole angezeigt wird.

Hier sehen Sie ein Beispiel für ein IOC:

  • Typ: Sha1
  • Wert: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Aktion: Gleich

IOCs verfügen über eine m:1-Beziehung mit Warnungsdefinitionen, sodass eine Warnungsdefinition viele IOCs aufweisen kann, die ihr entsprechen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.