Analysteninsights
Wichtig
Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence-Portal (Defender TI) eingestellt undhttps://ti.defender.microsoft.com ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Copilot für Security nutzen. Weitere Informationen
In Microsoft Defender Threat Intelligence (Defender TI) erhalten Sie im Abschnitt Analysteneinblicke schnelle Einblicke in ein Artefakt, das Ihnen helfen kann, Ihren nächsten Schritt in einer Untersuchung zu bestimmen. In diesem Abschnitt werden alle Erkenntnisse aufgelistet, die für das Artefakt gelten, sowie Erkenntnisse, die nicht für zusätzliche Sichtbarkeit gelten.
Im folgenden Beispiel können Sie schnell feststellen, dass die IP-Adresse routingfähig ist, einen Webserver hostet und innerhalb der letzten fünf Tage einen offenen Port hatte. Darüber hinaus zeigt das System Regeln an, die nicht ausgelöst wurden, was beim Starten einer Untersuchung ebenso hilfreich sein kann.
Erkenntnistypen und Fragen von Analysten, die sie beantworten können
| Erkenntnistypen für Analysten | Fragen, die sie beantworten können |
|---|---|
| Blocklisted | Ist/Wann wurde die Domäne, der Host oder die IP-Adresse blockiert? |
| Wie oft hat Defender TI die Domäne, den Host oder die IP-Adresse blockiert? | |
| Registriert und aktualisiert | Wie viele Tage, Monate und Jahre zuvor wurde die Domäne registriert? |
| Wann wurde der WHOIS-Domäneneintrag aktualisiert? | |
| Anzahl der Unterdomänen-IP-Adressen | Wie viele verschiedene IP-Adressen sind den Unterdomänen der Domäne zugeordnet? |
| Neue Unterdomänenbeobachtungen | Wann hat Microsoft das letzte Mal eine neue Unterdomäne für die betreffende Domäne beobachtet? |
| Registrieren und Auflösen | Ist die abgefragte Domäne vorhanden? |
| Wird die Domäne in eine IP-Adresse aufgelöst? | |
| Anzahl der Domänen, die den WHOIS-Eintrag gemeinsam nutzen | Welche anderen Domänen verwenden denselben WHOIS-Eintrag? |
| Anzahl der Domänen, die den Namenserver gemeinsam nutzen | Welche anderen Domänen verwenden denselben Namenserverdatensatz? |
| Von RiskIQ durchforstet | Wann wurde dieser Host oder diese Domäne zuletzt von Microsoft durchforstet? |
| Internationale Domäne | Wird die Domäne nach einem internationalen Domänennamen (IDN) abgefragt? |
| Von Drittanbietern blockiert | Wird dieser Indikator von einem Drittanbieter in die Sperrliste aufgenommen? |
| Status des Tor-Exitknotens | Ist die IP-Adresse in Fragen im Zusammenhang mit dem Onion Router (Tor)-Netzwerk? |
| Offene Ports erkannt | Wann hat Microsoft diese IP-Adresse zuletzt überprüft? |
| Proxystatus | Wie lautet der Proxystatus dieses Indikators? |
| Zuletzt beobachteter Host | Ist die betreffende IP-Adresse über das Internet zugänglich? |
| Hosten eines Webservers | Verfügt die IP-Adresse über einen DNS-Server (Domain Name System), der seine Ressourcen verwendet, um den Namen für den entsprechenden Webserver aufzulösen? |