Descripción de la inteligencia sobre amenazas de Microsoft Defender

  • 5 minutos

Los analistas de seguridad dedican una cantidad de tiempo importante a la detección, recopilación y análisis de datos, en lugar de centrarse en lo que realmente ayuda a su organización a defenderse: la obtención de información sobre los actores mediante el análisis y la correlación.

La inteligencia sobre amenazas de Microsoft Defender (Defender TI) ayuda a simplificar la evaluación de prioridades del analista de seguridad, la respuesta a incidentes, la búsqueda de amenazas y los flujos de trabajo de administración de vulnerabilidades. Defender TI agrega y enriquece la información crítica sobre amenazas en una interfaz fácil de usar.

Desde la página principal de inteligencia sobre amenazas de Defender TI, los analistas pueden examinar rápidamente nuevos artículos destacados y comenzar la recopilación de inteligencia, evaluación de prioridades, respuesta a incidentes y esfuerzos de búsqueda mediante la realización de una búsqueda por palabra clave, artefacto o id. de vulnerabilidades comunes y exposición (CVE-ID).

La sección de artículos destacados de la página principal de inteligencia sobre amenazas de Defender TI muestra el contenido destacado de Microsoft.

Captura de pantalla de la página principal de inteligencia sobre amenazas de Microsoft Defender.

Artículos de Defender TI

Los artículos son narraciones de Microsoft que proporcionan información sobre actores de amenazas, herramientas, ataques y vulnerabilidades. Los artículos de Defender TI no son entradas de blog relacionadas con la inteligencia sobre amenazas; si bien resumen diferentes amenazas, también se vinculan al contenido sobre el que se puede actuar y a los indicadores clave de compromiso para ayudar a los usuarios a tomar medidas.

La sección de descripción del artículo contiene información sobre los perfiles de ataque o atacante. La sección de indicadores públicos de la pantalla muestra los indicadores publicados anteriormente relacionados con el artículo. Los vínculos de los indicadores públicos se suman a los datos de Defender TI subyacentes o a los orígenes externos pertinentes. En la sección de indicadores de Defender TI se tratan los indicadores que el equipo de investigación de Defender TI ha encontrado y agregado a los artículos.

Captura de pantalla de un artículo de Defender TI en el que se muestran las pestañas de descripción, indicadores públicos e indicadores de Defender TI.

Artículos sobre vulnerabilidades

Defender TI ofrece búsquedas de CVE-ID para ayudar a los usuarios a identificar información crítica sobre CVE. Las búsquedas de CVE-ID ofrecen como resultado artículos sobre vulnerabilidades.

Los artículos sobre vulnerabilidades proporcionan un contexto clave detrás de los CVE de interés. Cada artículo contiene una descripción del CVE, una lista de los componentes afectados, los procedimientos y estrategias de mitigación adaptados, artículos de inteligencia relacionados, referencias en el chatter Deep & Dark Web y otras observaciones clave.

Los artículos sobre vulnerabilidades también incluyen una puntuación de prioridad de Defender TI y un indicador de gravedad (alta, media y baja). La puntuación de prioridad de Defender TI es un algoritmo único que refleja la prioridad de un CVE basado en la puntuación del Sistema de puntuación de vulnerabilidades comunes (CVSS), las vulnerabilidades de seguridad, Chatter y la vinculación con malware. Además, la puntuación de prioridad de Defender TI evalúa la novedad de estos componentes para que los usuarios puedan comprender qué CVE deben corregirse primero.

Captura de pantalla de un artículo sobre vulnerabilidades de Defender TI en el que se muestra el CVE-ID, la puntuación de prioridad y la descripción.

Conjuntos de datos

Microsoft centraliza numerosos conjuntos de datos en una sola plataforma, Defender TI, lo que facilita a la comunidad Microsoft y a los clientes realizar análisis de infraestructura. El enfoque principal de Microsoft es proporcionar tantos datos como sea posible sobre la infraestructura de Internet para admitir una gran variedad de casos de uso de seguridad.

Microsoft recopila, analiza e indexa datos de Internet para ayudar a los usuarios a detectar y responder a amenazas, priorizar incidentes e identificar proactivamente la infraestructura de los adversarios que tienen como destino las organizaciones.

Estos datos de Internet se clasifican en dos grupos diferenciados: tradicionales y avanzados. Los conjuntos de datos tradicionales incluyen resoluciones, WHOIS, certificados SSL, subdominios, DNS, DNS inverso y servicios. Los conjuntos de datos avanzados incluyen rastreadores, componentes, pares de host y cookies. Los conjuntos de datos de rastreadores, componentes, pares de host y cookies se recopilan de la observación Document Object Model (DOM) de las páginas web rastreadas.

Captura de pantalla de un extracto de un artículo de Defender TI en el que se muestra una puntuación de reputación, información de analistas y pestañas para los datos de Internet tradicionales y avanzados.

Puntuación de reputación e información de analistas

Defender TI proporciona puntuaciones de reputación de su propiedad para cualquier host, dominio o dirección IP. Si valida la reputación de una entidad conocida o desconocida, esta puntuación ayuda a los usuarios a comprender rápidamente los vínculos a una infraestructura malintencionada o sospechosa detectados.

La información de analistas destila el amplio conjunto de datos de Microsoft en una serie de observaciones que simplifican la investigación y hacen que sea más accesible para los analistas de todos los niveles. La información está pensada para ser pequeños hechos u observaciones sobre un dominio o una dirección IP y proporcionar a los usuarios de Defender TI la capacidad de realizar una evaluación sobre el artefacto consultado y mejorar la capacidad de un usuario para determinar si un indicador que se está investigando es malintencionado, sospechoso o benigno.