שתף באמצעות

שרשרת תשתית

שרשרת תשתית משתמשת בקשרי הגומלין בין ערכות נתונים מחוברות במיוחד כדי לבנות חקירה. תהליך זה הוא הליבה של ניתוח תשתית איומים ומאפשר לארגונים להציג חיבורים חדשים, לקבץ פעילות תקיפה דומה ולהוות הנחות במהלך תגובה לתקריות.

שרשרת תשתית

דרישות מוקדמות

עיין במאמרים הבאים של Defender TI:

כל מה שדרוש לך הוא נקודת התחלה

אנו רואים מסעות תקיפה המשתמשים במגוון רחב של טכניקות מעורפלות - החל מסינון גיאוגרפי פשוט וטקטיקות מורכבות כמו טביעת אצבע פאסיבית של מערכת ההפעלה. טכניקות אלה עלולות לעצור נקודה בחקירה בזמן בעקבותיו. התמונה הקודמת מדגישה את הרעיון של שרשרות תשתית. עם יכולת העשרת הנתונים שלנו, נוכל להתחיל עם פיסת תוכנה זדונית שינסה להתחבר לכתובת IP (ייתכן ששרת פקודה ובקרה). ייתכן שכתובת IP זו אירחה אישור TLS בעל שם משותף, כגון שם תחום. ייתכן שתחום זה מחובר לדף המכיל עוקב ייחודי בקוד, כגון NewRelicID או מזהה אנליטי אחר אחר שייתכן שהבחנו במקום אחר. לחלופין, ייתכן שהתחום היה מחובר מבחינה היסטורית לתשתית אחרת שעשויה להותית אור על החקירה שלנו. ההלקחה העיקרית היא שנקודת נתונים אחת שנלקחה מההקשר עשויה לא להיות שימושית במיוחד, אך כאשר נבחן את החיבור הטבעי לכל הנתונים הטכניים האחרים, נוכל להתחיל לתפור יחד סיפור.

פרספקטיבה של תואר הפועל מחוץ לו

פרספקטיבה של תואר הפועל מבחוץ מאפשרת לו לנצל את היתרונות של הנוכחות שלך באינטרנט ובמכשירים ניידים הפועלים מחוץ לחומת האש שלך.

גישה למאפיינים באינטרנט ובמאפיינים למכשירים ניידים ואינטראקציה איתם כמשתמש אמיתי מאפשרת לטכנולוגיית הסריקה, הסריקה ולמידת המכונה של Microsoft לפרק טכניקות התחמקות של יריבים על-ידי איסוף נתוני הפעלת משתמשים וזיהוי דיוג, תוכנות זדוניות, אפליקציות מתחזות, תוכן לא רצוי והפרות תחום בקנה מידה גדול. גישה זו מסייעת לספק התראות איומים וזרימות עבודה המאפשרות פעולה ומבוססות על אירועים באופן של בינה מפני איומים, תגיותמערכת, תובנות אנליסטיות ותוצאות מוניטין המשויכות לתשתית של יריבים.

ככל שנתונים נוספים של איומים יהיו זמינים, נדרשים כלים נוספים, חינוך ומאמץ כדי שהאנליסטים יבינו את ערכות הנתונים ואת האיומים התואמים שלהן. בינת איומים של Microsoft Defender (Defender TI) מאחד את המאמצים האלה על-ידי מתן תצוגה יחידה למקורות נתונים מרובים.

למידע נוסף