Was ist Microsoft Defender Threat Intelligence (Defender TI)?

  • Artikel

Microsoft Defender Threat Intelligence (Defender TI) ist eine Plattform, die Triage, Reaktion auf Vorfälle, Bedrohungssuche, Sicherheitsrisikomanagement und Cyber Threat Intelligence-Analystenworkflows optimiert, wenn es darum geht, Analysen der Bedrohungsinfrastruktur durchzuführen und Threat Intelligence-Daten zu sammeln. Analysten verbringen viel Zeit mit Der Ermittlung, Sammlung und Analyse von Daten, anstatt sich darauf zu konzentrieren, was ihren organization hilft, sich selbst zu verteidigen – erkenntnisse über die Akteure durch Analyse und Korrelation zu gewinnen.

Häufig müssen Analysten die kritischen Datensätzen, die sie benötigen, um verdächtige Domänen, Hosts oder IP-Adressen zu bewerten, aus mehreren Repositorys abrufen. DNS-Daten, WHOIS-Informationen, Schadsoftware und SSL-Zertifikate stellen einen wichtigen Kontext für Kompromittierungsindikatoren (Indicators of Compromise, IOCs) bereit, aber diese Repositorys sind weit verteilt und weisen nicht immer die gleiche Datenstruktur auf, was es schwierig macht, sicherzustellen, dass Analysten über alle relevanten Daten verfügen, die für eine ordnungsgemäße und zeitnahe Bewertung verdächtiger Infrastruktur erforderlich sind.

Die Interaktion mit diesen Datensätzen kann umständlich sein, und das Pivotieren zwischen diesen Repositorys ist zeitaufwändig, wodurch die Ressourcen der für Sicherheitsvorgänge zuständigen Gruppen dadurch aufgebraucht werden, dass sie ihre Reaktionsbemühungen ständig neu priorisieren müssen.

Cyber Threat Intelligence-Analysten kämpfen mit dem Spagat zwischen der Erfassung einer Vielzahl von Bedrohungsdaten und der Analyse, welche Bedrohungsdaten die größten Bedrohungen für ihre Organisation und/oder Branche darstellen.

Im gleichen Umfang kämpfen Vulnerability Intelligence-Analysten darum, ihr Anlageninventar mit CVE-Informationen zu korrelieren, um die Untersuchung und Behebung der kritischsten Schwachstellen in ihrer Organisation zu priorisieren.

Ziel von Microsoft ist die Neugestaltung des Analystenworkflows durch die Entwicklung einer Plattform, Defender TI, die kritische Datenquellen aggregiert und anreichert und Daten in einer innovativen, benutzerfreundlichen Oberfläche anzeigt, um zu korrelieren, wenn Indikatoren mit Artikeln und Sicherheitsrisiken in Zusammenhang stehen, eine infrastrukturbezogene Verkettung mit Kompromittierungsindikatoren (Indicators of Compromise, IOCs) vorzunehmen und bei Untersuchungen mit anderen lizenzierten Defender TI-Benutzern innerhalb ihres Mandanten zusammenzuarbeiten. Da Sicherheitsorganisationen eine ständig wachsende Menge an Informationen und Warnungen in ihrer Umgebung durchführen, ist es wichtig, über eine Threat Analysis & Intelligence-Plattform zu verfügen, die genaue und rechtzeitige Bewertungen von Warnungen ermöglicht.

Unten sehen Sie einen Screenshot der Threat Intelligence-Startseite von Defender TI. Analysten können schnell neue ausgewählte Artikel scannen und mit der Erfassung, Selektierung, Reaktion auf Vorfälle und Suche beginnen, indem sie eine Schlüsselwort (keyword)- oder Indikator- oder CVE-ID-Suche durchführen.

TI – Übersicht – Edge – Screenshot

Defender TI-Artikel

Bei den Artikeln handelt es sich um Abhandlungen von Microsoft, die einen Einblick in Bedrohungsakteure, Tools, Angriffe und Sicherheitsrisiken geben. Die vorgestellten Defender TI-Artikel sind keine Blogbeiträge zu Threat Intelligence. Sie fassen zwar verschiedene Bedrohungen zusammen, verknüpfen sie aber zusätzlich mit umsetzbaren Inhalten und wichtigen Kompromittierungsindikatoren, um Benutzern zu helfen, Maßnahmen zu ergreifen. Indem wir diese technischen Informationen in die Bedrohungszusammenfassungen einschließen, ermöglichen wir Benutzern, Bedrohungsakteure, Tools, Angriffe und Sicherheitsrisiken kontinuierlich nachzuverfolgen, sobald sie sich ändern.

Im Abschnitt „Empfohlene Artikel“ auf der Threat Intelligence-Startseite von Defender TI (direkt unter der Suchleiste) werden die empfohlenen Microsoft-Inhalte angezeigt:

TI – Übersicht – Empfohlene Artikel

Wenn Sie auf den Artikel klicken, gelangen Sie zum zugrunde liegenden Artikelinhalt. Die Artikelzusammenfassung vermittelt dem Benutzer einen schnellen Überblick über den Inhalt des Artikels. Der Legende „Indikatoren“ zeigt an, wie viele öffentliche und Defender TI-Indikatoren mit dem Artikel verknüpft sind.

TI – Übersicht – Empfohlene Artikel

Artikel

Alle Artikel (einschließlich der empfohlenen Artikel) werden im Abschnitt „Artikel“ auf der Threat Intelligence-Startseite von Defender TI aufgeführt, sortiert nach ihrem Erstellungsdatum (absteigend):

TI – Übersicht – Artikel

Artikelbeschreibungen

Der Abschnitt „Beschreibung“ des Bildschirms mit den Artikeldetails enthält Informationen zum Angriff oder Angreiferprofil. Der Inhalt kann von sehr kurz (z. B. OSINT-Bulletins) zu recht lang (z. B. ausführliche Berichte – insbesondere, wenn Microsoft den Bericht mit Inhalten angereichert hat) reichen. Die längeren Beschreibungen können Bilder, Links zu den zugrunde liegenden Inhalten, Links zu Suchvorgängen in Defender TI, Codeausschnitte von Angreifern und Firewallregeln zum Blockieren des Angriffs enthalten:

TI – Übersicht – Artikel – Beschreibung

Öffentliche Indikatoren

Der Abschnitt „Öffentliche Indikatoren“ auf dem Bildschirm zeigt die zuvor veröffentlichten Indikatoren im Zusammenhang mit dem Artikel. Über die Links in den öffentlichen Indikatoren gelangen Sie zu den zugrunde liegenden Defender TI-Daten oder relevanten externen Quellen.

TI – Übersicht – Artikel – Öffentliche Indikatoren

Defender TI-Indikatoren

Im Abschnitt „Defender TI-Indikatoren“ werden die Indikatoren behandelt, die das Forschungsteam von Defender TI gefunden und den Artikeln hinzugefügt hat.

Diese Links werden auch in die relevanten Defender TI-Daten oder die entsprechende externe Quelle pivotiert.

TI – Übersicht – Artikel – Defender TI-Indikatoren

Artikel zu Sicherheitsrisiken

Defender TI bietet CVE-ID-Suchvorgänge, die Benutzern helfen, kritische Informationen zum CVE zu identifizieren. CVE-ID-Suchvorgänge führen zu Artikeln über Sicherheitsrisiken.

Artikel über Sicherheitsrisiken stellen wichtigen Kontext zu den CVEs, die von Interesse sind, bereit. Jeder Artikel enthält eine Beschreibung der CVE, eine Liste der betroffenen Komponenten, maßgeschneiderte Entschärfungsverfahren und -strategien, verwandte Intelligence-Artikel, Verweise in Deep & Dark Web-Chatter und andere wichtige Beobachtungen. Diese Artikel bieten tieferen Kontext und umsetzbare Erkenntnisse zu den einzelnen CVEs, sodass Benutzer diese Sicherheitsrisiken schneller verstehen und mindern können.

Die Artikel zu Sicherheitsrisiken enthalten auch eine Defender TI-Prioritätsbewertung und einen Schweregradindikator. Die Defender TI-Prioritätsbewertung ist ein eindeutiger Algorithmus, der die Priorität eines CVE basierend auf CVSS-Bewertung, Exploits, Chatter und Verknüpfung mit Schadsoftware widerspiegelt. Darüber hinaus bewertet die Defender TI-Prioritätsbewertung die Aktualität dieser Komponenten, damit Benutzer einschätzen können, welche CVEs zuerst korrigiert werden sollten.

Bewertung der Reputation

Defender TI bietet proprietäre Zuverlässigkeitsbewertungen für jeden Host, jede Domäne oder jede IP-Adresse. Unabhängig von der Überprüfung der Zuverlässigkeit einer bekannten oder unbekannten Entität hilft diese Bewertung Benutzern, alle erkannten Verbindungen zu bösartiger oder verdächtiger Infrastruktur schnell zu verstehen. Die Plattform bietet schnelle Informationen über die Aktivität dieser Entitäten, z. B. Zeitstempel der ersten und letzten Anzeige, ASN, Land/Region, zugehörige Infrastruktur und eine Liste von Regeln, die sich ggf. auf die Zuverlässigkeitsbewertung auswirken.

Zusammenfassungskarte der Zuverlässigkeit

IP-Zuverlässigkeitsdaten sind wichtig, um die Vertrauenswürdigkeit Ihrer eigenen Angriffsfläche zu verstehen, und sind auch hilfreich bei der Bewertung unbekannter Hosts, Domänen oder IP-Adressen, die in Untersuchungen angezeigt werden. Diese Bewertungen decken alle vorherigen böswilligen oder verdächtigen Aktivitäten auf, die sich auf die Entität auswirkten, oder andere bekannte Kompromittierungsindikatoren, die berücksichtigt werden sollten.

Weitere Informationen finden Sie unter Reputationsbewertung.

Analysteninsights

Analysteninsights gliedern den riesigen Datensatzbestand von Microsoft in eine Handvoll Beobachtungen, um die Untersuchung zu vereinfachen und die Daten für Analysten aller Ebenen zugänglicher zu machen.

Erkenntnisse sollen kleine Fakten oder Beobachtungen zu einer Domäne oder IP-Adresse sein und Defender TI-Benutzern die Möglichkeit bieten, eine Bewertung des abgefragten Indikators vorzunehmen und die Fähigkeit eines Benutzers zu verbessern, festzustellen, ob ein untersuchter Indikator böswillig, verdächtig oder harmlos ist.

Weitere Informationen finden Sie unter Analysteninsights.

Registerkarte mit der Zusammenfassung der Analysteninsights

Datensätze

Microsoft zentralisiert zahlreiche Datensätzen in einer einzigen Plattform, Defender TI, wodurch es für Microsoft-Community und -Kunden einfacher wird, Infrastrukturanalysen durchzuführen. Der Hauptfokus von Microsoft liegt darin, so viele Daten wie möglich über die Internetinfrastruktur bereitzustellen, um eine Vielzahl von Anwendungsfällen im Zusammenhang mit der Sicherheit zu unterstützen.

Microsoft sammelt, analysiert und indiziert Internetdaten über Passive DNS-Sensoren, Portscans, URL- und Dateidetonation und andere Quellen, um Benutzer bei der Erkennung von Bedrohungen, der Priorisierung von Incidents und der Identifizierung der Infrastruktur im Zusammenhang mit Bedrohungsakteurgruppen zu unterstützen. Die URL-Suche von Benutzern kann verwendet werden, um automatisch Detonationen zu initiieren, wenn zum Zeitpunkt der Anforderung keine Detonationsdaten für eine URL verfügbar sind. Die von solchen Detonationen gesammelten Daten werden verwendet, um Ergebnisse für zukünftige Suchen nach dieser URL vom Benutzer, der die ursprüngliche Suche übermittelt hat, oder von anderen Benutzern der Plattform aufzufüllen.

Zu den unterstützten Internetdatasets gehören Resolutionen, WHOIS, SSL-Zertifikate, Unterdomänen, DNS, Reverse-DNS und Detonationsanalyse sowie abgeleitete Datasets, die aus dem Dokumentobjektmodell (DOM) von detonierten URLs gesammelt wurden, einschließlich Trackern, Komponenten, Hostpaaren und Cookies. Darüber hinaus werden Komponenten und Tracker auch anhand von Erkennungsregeln überwacht, die basierend auf den Bannerantworten von Portscans oder SSL-Zertifikatdetails ausgelöst werden. Viele dieser Datasets verfügen über verschiedene Methoden zum Sortieren, Filtern und Herunterladen von Daten, wodurch der Zugriff auf Informationen erleichtert wird, die einem bestimmten Indikatortyp oder einer bestimmten Zeit im Verlauf zugeordnet sein können.

Weitere Informationen finden Sie unter:

TI – Übersicht – Datensätze

Tags

Defender TI-Tags werden verwendet, um schnelle Einblicke in einen Indikator zu bieten, der vom System abgeleitet oder von anderen Benutzern generiert wird. Tags unterstützen Analysten dabei, die Punkte zwischen aktuellen Vorfällen und Untersuchungen und ihrem historischen Kontext für eine verbesserte Analyse zu verbinden.

Die Defender TI-Plattform bietet zwei Arten von Tags: Systemtags und benutzerdefinierte Tags.

Weitere Informationen finden Sie unter Verwenden von Tags.

Benutzerdefinierte Tags

Projekte

Microsoft Defender TI-Plattform ermöglicht es Benutzern, mehrere Projekttypen zum Organisieren von Indikatoren von Interesse und Indikatoren für Gefährdung aus einer Untersuchung zu entwickeln. Projekte enthalten eine Liste aller zugehörigen Indikatoren und einen detaillierten Verlauf, der die Namen, Beschreibungen und Mitarbeiter enthält.

Wenn ein Benutzer eine IP-Adresse, eine Domäne oder einen Host in Defender TI durchsucht und dieser Indikator in einem Projekt aufgeführt ist, auf das der Benutzer Zugriff hat, wird dem Benutzer in den „Projekte“-Abschnitten auf den Registerkarten „Zusammenfassung“ und „Daten“ ein Link zum Projekt angezeigt. Von hier aus kann der Benutzer zu den Details des Projekts navigieren, um mehr Kontext zum Indikator zu erhalten, bevor er die anderen Datensätze auf weitere Informationen überprüft. Auf diese Weise können Analysten vermeiden, das Rad einer Untersuchung neu zu erfinden, die von einem ihrer Defender TI-Mandantenbenutzer möglicherweise bereits begonnen oder dieser Untersuchung hinzugefügt wurden, indem sie neue Indikatoren (Indikatoren für Gefährdung) im Zusammenhang mit diesem Projekt hinzufügen (sofern sie dem Projekt als Projektmitarbeiter hinzugefügt wurden).

Weitere Informationen finden Sie unter Verwenden von Projekten.

Defender TI – Übersicht – Projekte

Datenresidenz, Verfügbarkeit und Datenschutz

Microsoft Defender Threat Intelligence enthält sowohl globale als auch kundenspezifische Daten. Die zugrunde liegenden Internetdaten sind globale Microsoft-Daten. Von Kunden angewendete Bezeichnungen gelten als Kundendaten. Alle Kundendaten werden in der Region gespeichert, die der Kunde auswählt.

Aus Sicherheitsgründen sammelt Microsoft die IP-Adressen der Benutzer, wenn sie sich anmelden. Diese Daten werden bis zu 30 Tage gespeichert, können aber bei Bedarf länger gespeichert werden, um eine mögliche betrügerische oder böswillige Verwendung des Produkts zu untersuchen.

Im Falle eines Ausfalls einer Region sollten die Kunden keine Ausfallzeiten haben, da Defender TI Technologien verwendet, die Daten in andere Sicherungsregionen replizieren.

Defender TI verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert.

Nächste Schritte

Weitere Informationen finden Sie unter: