שרשרת תשתית

  • מאמר

חשוב

ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף

שרשרת תשתית משתמשת בקשרי הגומלין בין ערכות נתונים מחוברות במיוחד כדי לבנות חקירה. תהליך זה הוא הליבה של ניתוח תשתית איומים ומאפשר לארגונים להציג חיבורים חדשים, לקבץ פעילות תקיפה דומה ולהוות הנחות במהלך תגובה לתקריות.

שרשרת תשתית

דרישות מוקדמות

עיין במאמרים הבאים של Defender TI:

כל מה שדרוש לך הוא נקודת התחלה

אנו רואים מסעות תקיפה המשתמשים במגוון רחב של טכניקות מעורפלות כגון סינון גיאוגרפי פשוט לטקטיקות מורכבות כמו טביעת אצבע פאסיבית של מערכת ההפעלה. הדבר עלול לעצור נקודה בזמן בחקירה. צילום המסך שלעיל מדגיש את הרעיון של שרשרת תשתית. עם יכולת העשרת הנתונים שלנו, אנחנו יכולים להתחיל עם פיסת תוכנה זדונית שינסה להתחבר לכתובת IP (כנראה C2). ייתכן שכתובת IP זו אירחה אישור TLS בעל שם נפוץ כגון שם תחום. ייתכן שתחום זה מחובר לדף המכיל עוקב ייחודי בקוד, כגון NewRelicID או מזהה אנליטי אחר אחר שייתכן שהבחנו במקום אחר. לחלופין, ייתכן שהתחום היה מחובר מבחינה היסטורית לתשתית אחרת שעשויה להותית אור על החקירה שלנו. ההלקחה העיקרית היא שנקודת נתונים אחת שנלקחה מההקשר עשויה לא להיות שימושית במיוחד, אך כאשר נבחן את החיבור הטבעי לכל הנתונים הטכניים האחרים, נוכל להתחיל לתפור יחד סיפור.

פרספקטיבה של תואר הפועל מחוץ לו

פרספקטיבה של תואר הפועל מבחוץ מאפשרת לו לנצל את היתרונות של הנוכחות שלך באינטרנט ובמכשירים ניידים הפועלים מחוץ לחומת האש שלך.

גישה למאפיינים באינטרנט ולמכשירים ניידים ואינטראקציה איתם כמשתמש אמיתי מאפשרת לטכנולוגיית הסריקה, הסריקה ולמידת המכונה של Microsoft לפרק טכניקות התחמקות של יריבים על-ידי איסוף נתוני הפעלת משתמשים, זיהוי דיוג, תוכנות זדוניות, אפליקציות מתחזות, תוכן לא רצוי והפרת תחום בקנה מידה גדול. פעולה זו עוזרת לספק התראות איומים וזרימות עבודה המאפשרות פעולה ומבוססות על אירועים בצורת בינה לאיומים, תגיותמערכת, תובנות אנליסטיות ותוצאות מוניטין המשויכות לתשתית של יריבים.

ככל שנתונים נוספים של איומים יהיו זמינים, נדרשים כלים נוספים, חינוך ומאמץ כדי שהאנליסטים יבינו את ערכות הנתונים ואת האיומים התואמים שלהן. בינת איומים של Microsoft Defender (Defender TI) מאחד את המאמצים האלה על-ידי מתן תצוגה יחידה למקורות נתונים מרובים.

למידע נוסף