מיון, סינון והורדה של נתונים
חשוב
ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף
בינת איומים של Microsoft Defender (Defender TI) מאפשר לך לגשת לאיסוף העצום שלנו של נתוני סריקה בתבנית סדורה באינדקס ובתבנית Pivot Table. ערכות נתונים אלה יכולות להיות גדולות ומחזירות כמויות גדולות של נתונים היסטוריים ונתונים אחרונים. בכך שאנו מאפשרים לך למיין ולסנן את הנתונים כראוי, אנו עוזרים לך להוסיף בקלות את הקשרים שמעניינים אותך.
במאמר 'כיצד לבצע' זה, תלמד כיצד למיין ולסנן נתונים עבור ערכות הנתונים הבאות:
- החלטות
- מידע אודות WHOIS
- אישורים
- תחומי משנה
- עוקבים
- רכיבים
- זוגות מארחים
- עוגיות
- שירותי
- מערכת שמות תחומים (DNS)
- היפוך DNS
בנוסף, תלמד כיצד להוריד מחוונים או תוצרים מהתכונות הבאות:
- פרויקטים
- מאמרים
- ערכות נתונים
דרישות מוקדמות
חשבון microsoft Microsoft Entra מזהה אישי או אישי. כניסה או יצירת חשבון
רישיון Defender TI Premium.
הערה
משתמשים ללא רשיון Defender TI Premium עדיין יוכלו לגשת להצעות החינמי של Defender TI.
פתיחת ה- TI של Defender בפורטל Microsoft Defender שלך
- גש לפורטל Defender והשלם את תהליך האימות של Microsoft. קבל מידע נוסף על פורטל Defender
- נווט אל Threat intelligence>Intel explorer.
מיון נתונים
פונקציית המיון בכל כרטיסיית נתונים מאפשרת לך למיין במהירות את ערכות הנתונים שלנו לפי ערכי העמודות. כברירת מחדל, רוב התוצאות ממוינות לפי 'נראה לאחרונה ' (בסדר יורד) כך שהתוצאות האחרונות שנצפתו יופיעו בראש הרשימה. סדר מיון זה המהווה ברירת מחדל מספק מיד תובנות לגבי התשתית הנוכחית של חפץ.
בשלב זה, כל ערכות הנתונים ניתנות למיון לפי הערכים הבאים ' נראה לראשונה' ו'נראה לאחרונה':
- נראה לאחרונה (בסדר יורד) - ברירת מחדל
- נראה לאחרונה (בסדר עולה)
- נראה לראשונה (בסדר עולה)
- נראה לראשונה (בסדר יורד)
ניתן למיין נתונים בכל כרטיסיה של ערכת נתונים עבור כל כתובת IP, תחום או ישות מארחת ערכה בה חיפוש או סידור בטבלת ציר.
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
עבור אל הכרטיסיה רזולוציות ולאחר מכן החל את העדפות המיון על העמודות 'נראה לראשונה' ו'נראה לאחרונה'.
סינון נתונים
סינון נתונים מאפשר לך לגשת לקבוצת נתונים נבחרת בהתבסס על ערך מטה-נתונים מסוים. לדוגמה, באפשרותך לבחור להציג פתרונות IP שהתגלו ממקור נבחר בלבד, או רכיבים מסוג מסוים (לדוגמה, שרתים או מסגרות). סינון נתונים מאפשר לך לצמצם את תוצאות השאילתה לפריטים עם עניין מסוים.
מאחר ש- Ti של Defender מספק מטה-נתונים ספציפיים התואם לסוגי נתונים מסוימים, אפשרויות הסינון שונות עבור כל ערכת נתונים.
מסנני פתרון
המסננים הבאים חלים על נתוני פתרון:
- תג מערכת: Defender TI יוצר תגיות אלה בהתבסס על תובנות שצוות המחקר שלנו גילה. מידע נוסף
- תגית: תגיות מותאמות אישית שמשתמשי Defender TI הוחלו. מידע נוסף
- ASN: תוצאות הקשורות למספר מערכת אוטונום ייעודי (ASN).
- רשת: תוצאות הקשורות לרשת ייעודית.
- מקור: מקור הנתונים שמייצר את התוצאה (לדוגמה, riskiq, emerging_threats).
כדי לסנן נתוני פתרון:
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
מעבר אל הכרטיסיה רזולוציות
החל מסננים על כל אחד מסוגי אפשרויות הסינון שצוין קודם לכן.
מסנני מעקב
המסננים הבאים חלים על נתוני מעקב:
- סוג: סוג המעקב המזוהה עבור כל פריט (לדוגמה, JarmFuzzyHash או GoogleAnalyticsID).
- Address: כתובת ה- IP שנצפתה ישירות במעקב או שיש לה מארח לפענוח שנצפה במעקב. מסנן זה מופיע בעת חיפוש כתובת IP.
- Hostname: המארח שהצפה בערך עוקב זה. מסנן זה מופיע בעת חיפוש בתחום או במארח.
כדי לסנן נתוני מעקב:
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
מעבר אל הכרטיסיה 'עוקבים '
החל מסננים על כל אחד מסוגי אפשרויות הסינון שצוין קודם לכן.
מסנני רכיבים
המסננים הבאים חלים על נתוני רכיבים:
- כתובת Ipad: כתובת ה- IP תואם את שם המחשב המארח המוחזר.
- סוג: סוג הרכיב המיועד (לדוגמה, גישה מרחוק או מערכת הפעלה).
- שם: שם הרכיב שזוהה (לדוגמה, Cobalt Strike או PHP).
כדי לסנן נתוני רכיבים:
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
מעבר אל הכרטיסיה רכיבים
החל מסננים על כל אחד מסוגי אפשרויות הסינון שצוין קודם לכן.
מסנני זוג מארחים
המסננים הבאים חלים על נתוני זוג מארחים:
- כיוון: הכיוון של החיבור שנצפה, המציין אם ההורה מנתב מחדש את הילד או להיפך.
- שם מארח אב: שם המחשב המארח של ממצא האב.
- לגרום: הסיבה שזוהתה של קשר הגומלין של אב-צאצא של המחשב המארח (לדוגמה, ניתוב מחדש או iframe.src).
- שם מארח של צאצא: שם המחשב המארח של ממצא הצאצא.
כדי לסנן נתוני זוג מארחים:
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
מעבר אל הכרטיסיה 'זוגות מארחים '
החל מסננים על כל אחד מסוגי אפשרויות הסינון שצוין קודם לכן.
DNS ומסנני DNS הפוכה
המסננים הבאים חלים על DNS ותוני DNS הפוכה:
- סוג רשומה: סוג הרשומה שזוהתה ברשומת ה- DNS (לדוגמה, NS או CNAME).
- ערך: הערך הייעודי של הרשומה (לדוגמה, nameserver.host.com).
כדי לסנן DNS ותנווני DNS הפוכה:
חיפוש תחום, כתובת IP או מארח בסרגל החיפוש של סייר Intel.
מעבר אל הכרטיסיות DNSוהיפוך DNS
החל מסננים על כל אחד מסוגי אפשרויות הסינון שצוין קודם לכן.
מוריד נתונים
קיימים מקטעים שונים ב- Defender TI שבהם ניתן לייצא נתונים כקובץ CSV. חפש ובחר הורד סמל
הבאים:
- רוב הכרטיסיות של ערכת הנתונים
- פרויקטים
- מאמרי Intel
בעת הורדת נתונים מה- DNS,הרזולוציות וההיפוך של ה- DNS, הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| לפתור | רשומה המשויכת לתחום שבו תיערך חיפוש (פתרון כתובת IP) או תחום מפוענים לכתובת IP בעת חיפוש בכתובת ה- IP |
| מיקום | מדינה או אזור שבהם מתארחת כתובת ה- IP |
| רשת | Netblock או רשת משנה |
| autonomousSystemNumber | ASN |
| מסך ראשון | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft הבינה לראשונה את הרזולוציה |
| נראה לאחרונה | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התצפתה לאחרונה ברזולוציה |
| Source | המקור שצפה ברזולוציה זו |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת נתונים מהכרטיסיה Subdomains , הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| שם מחשב מארח | תחום משנה של התחום שהחיפוש בו חלף |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת נתונים מהכרטיסיה עוקבים , הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| שם מחשב מארח | שם מארח שנצפה או שהוא צופה כעת במעקב |
| מסך ראשון | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התבוננות לראשונה ששם המארח השתמש במעקב |
| נראה לאחרונה | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התבוננות לאחרונה ב- hostname השתמש במעקב |
| סוג תכונה | סוג עוקב |
| attributeValue | ערך מעקב |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת נתונים מהכרטיסיה רכיבים , הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| שם מחשב מארח | שם מארח שנצפה או שהוא צופה כעת ברכיב |
| מסך ראשון | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft הצפתה לראשונה את שם המחשב המארח באמצעות הרכיב |
| נראה לאחרונה | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התבוננות לאחרונה ב- hostname השתמש ברכיב |
| קטגוריה | סוג רכיב |
| שם | שם רכיב |
| גירסה | גירסת רכיב |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת נתונים מהכרטיסיה זוגות מארחים , הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| parentHostname | שם המארח שנוגע לשם המארח של הילד |
| childHostname | שם המחשב המארח שהוא נכסי ההזנה שהם מארחים לשם המארח המשמש כמארח האב. |
| מסך ראשון | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התבוננות לראשונה בקשר הגומלין בין שם המחשב המארח של האב והצאצא |
| נראה לאחרונה | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר Microsoft התבוננות לאחרונה בקשר הגומלין בין שם המחשב המארח של האב והצאצא |
| תכונהשימוש | הגורם לקשר הגומלין בין שם המחשב המארח של האב והצאצא |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת נתונים מהכרטיסיה Cookies , הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| שם מחשב מארח | שם מחשב מארח שצפה בשם קובץ ה- Cookie |
| מסך ראשון | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר שם קובץ ה- Cookie נצפה לראשונה בשם המארח שמקורו בתחום קובץ ה- Cookie |
| נראה לאחרונה | תאריך ושעה (בתבנית mm/dd/yyyy hh:mm ) כאשר שם קובץ ה- Cookie נצפה לאחרונה בשם המארח שמקורו בתחום קובץ ה- Cookie |
| שם קובץ Cookie | שם קובץ Cookie |
| cookieDomain | שרת שם התחום שממנו הגיע שם קובץ ה- Cookie |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
בעת הורדת רשימות פרוייקטים מפרוייקטים של Intel (הפרוייקטיםשלי, פרוייקטי צוות ופרוייקטים משותפים), הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| שם | שם פרוייקט |
| ממצאים (ספירה) | ספירת פריטים בפרוייקט |
| נוצר על-ידי (משתמש) | המשתמש שיצר את הפרוייקט |
| נוצר ב- | בעת יצירת הפרוייקט |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
| משתפי פעולה | אשר נוספו כמשתף פעולה לפרוייקט; כותרת זו גלויה רק עבור פרוייקטים שהורדו מדפים הפרוייקטים שליופרוייקטים משותפים |
בעת הורדת פרטי פרוייקט (תוצרים) מפרוייקט, הכותרות הבאות מיוצאות:
| כותרת עליונה | תיאור |
|---|---|
| החפץ | ערך ממצא (לדוגמה, כתובת IP, תחום, מחשב מארח, ערך WHOIS או אישור SHA-1) |
| סוג | סוג פריט (לדוגמה, IP, תחום, מארח, ארגון WHOIS, טלפון WHOIS או אישור SHA-1) |
| שנוצרו | תאריך ושעה ( בתבנית mm/dd/yyyy hh:mm ) כאשר הממצא נוסף לפרוייקט |
| יוצר | כתובת הדואר האלקטרוני של המשתמש שהוסיף את הממצא |
| הקשר | כיצד נוסף החפץ לפרוייקט |
| תגיות | תגי מערכת או תגים מותאמים אישית המשויכים לממצא |
| משתפי פעולה | אשר נוספו כמשתף פעולה לפרוייקט; כותרת זו גלויה רק עבור פרוייקטים שהורדו מדפים הפרוייקטים שליופרוייקטים משותפים |
הורדת מחוונים ציבוריים או מחווני Riskiq של בינת איומים מייצאת את הכותרות הבאות:
| כותרת עליונה | תיאור |
|---|---|
| סוג | סוג מחוון (לדוגמה, כתובת IP, אישור, תחום או SHA-256) |
| ערך | ערך מחוון (לדוגמה, כתובת IP, תחום או שם מחשב מארח) |
| מקור | מקור מחוון (RiskIQ או OSINT) |
למידע נוסף
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור