Chaînage d’infrastructure

  • Article

Le chaînage d’infrastructure tire parti des relations entre les jeux de données hautement connectés pour créer une investigation. Ce processus est au cœur de l’analyse de l’infrastructure des menaces et permet aux organisations de mettre en évidence de nouvelles connexions, de regrouper une activité d’attaque similaire et d’étayer les hypothèses lors de la réponse aux incidents.

Chaînage d’infrastructure

Configuration requise

  1. Consultez l’article vue d’ensemble des jeux de données de Microsoft Defender Threat Intelligence (Defender TI)
  2. Passez en revue Microsoft Defender Threat Intelligence (Defender TI) de l’article sur la recherche et le pivotage

Tout ce dont vous avez besoin est un point de départ...

Nous voyons que les campagnes d’attaque utilisent un large éventail de techniques d’obfuscation telles que le filtrage géographique simple à des tactiques complexes telles que l’empreinte passive du système d’exploitation. Cela peut potentiellement arrêter une investigation à un instant dans le temps dans ses voies. La capture d’écran ci-dessus met en évidence le concept de chaînage d’infrastructure. Avec notre capacité d’enrichissement des données, nous pourrions commencer avec un programme malveillant qui tente de se connecter à une adresse IP (éventuellement un C2). Cette adresse IP peut avoir hébergé un certificat SSL portant un nom commun tel qu’un nom de domaine. Ce domaine peut être connecté à une page qui contient un suivi unique dans le code, tel qu’un NewRelicID ou un autre ID analytique que nous avons peut-être observé ailleurs. Ou, peut-être que le domaine a été historiquement connecté à d’autres infrastructures qui pourraient éclairer notre enquête. Le main à retenir est qu’un point de données sorti de son contexte peut ne pas être particulièrement utile, mais quand nous observons la connexion naturelle à toutes ces autres données techniques, nous pouvons commencer à assembler une histoire.

La perspective de l’extérieur d’un adversaire

La perspective extérieure d’un adversaire lui permet de tirer parti de votre présence web et mobile en constante expansion qui opère en dehors de votre pare-feu.

L’approche et l’interaction avec les propriétés web et mobiles en tant qu’utilisateur réel permet à la technologie d’analyse, d’analyse et d’apprentissage automatique de Microsoft de désarmer les techniques d’évasion des adversaires en collectant des données de session utilisateur, en détectant l’hameçonnage, les logiciels malveillants, les applications malveillantes, le contenu indésirable et la violation de domaine à grande échelle. Cela permet de fournir des alertes de menace et des workflows actionnables basés sur les événements sous la forme de renseignements sur les menaces, d’étiquettes système, d’insights d’analystes et de scores de réputation associés à l’infrastructure des adversaires.

À mesure que de plus en plus de données sur les menaces deviennent disponibles, davantage d’outils, d’éducation et d’efforts sont nécessaires pour que les analystes comprennent les jeux de données et les menaces correspondantes. Microsoft Defender Threat Intelligence (Defender TI) unifie ces efforts en fournissant une vue unique sur plusieurs sources de données.

Prochaines étapes

Pour plus d’informations, consultez Tutoriel : Collecte de renseignements sur les menaces et chaînage d’infrastructure.