שימוש בפרויקטים

  • מאמר

חשוב

ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף

בינת איומים של Microsoft Defender (Defender TI) מאפשר למשתמשים לפתח סוגים פרטיים של פרוייקט אישי או צוותי לארגון מחוונים של תחומי עניין ומחווני פשרה (IOCs) בחקירה. פרוייקטים מכילים רישום של כל הממצאים המשויכים והיסטוריה מפורטת השומרת על השמות, התיאורים, משתפי הפעולה ופרופילי הניטור.

כאשר משתמש מחפש כתובת IP, תחום או מארח ב- Defender TI, אם מחוון זה מופיע בתוך פרוייקט שלמשתמש יש גישה אליו, המשתמש יכול לבחור את ה- Blade Projects בתוך המקטע Intelligence ולנווט אל פרטי הפרוייקט לקבלת הקשר נוסף אודות המחוון לפני סקירת ערכות הנתונים האחרות לקבלת מידע נוסף. לחלופין, משתמשים יכולים להציג את פרוייקטי הצוות הפרטיים שלהם על-ידי בחירת הסמל 'פרוייקטים' בחלונית התפריט הימנית.

ביקור בפרטי פרוייקט מציג רשימה של כל הפריטים החוייכים והיסטוריה מפורטת השומרת על כל ההקשר שתואר קודם לכן. משתמשים באותו ארגון אינם צריכים עוד להקדיש זמן לתקשורת הלוך ושוב. ניתן ליצור פרופילים של מעוררי איומים בתוך Defender TI ולשמש כערכת מחוונים "חיה". כאשר מידע חדש נמצא או נמצא, ניתן להוסיף אותו לפרוייקט זה.

פלטפורמת ה- TI של Defender מאפשרת למשתמשים לפתח סוגי פרוייקטים מרובים לארגון מחווני עניין ו- IOCs בחקירה.

הבעלים של פרוייקט יכול להוסיף משתפי פעולה (משתמשים המפורטים בדייר Azure שלהם עם רשיון Defender TI Premium). פעולה זו מעניקה להרשאות של משתפי הפעולה לבצע שינויים בפרוייקט כאילו הם הבעלים של הפרוייקט. החריג הוא שלשיתוף הפעולה אין אפשרות למחוק פרוייקטים. משתפי פעולה יציגו פרוייקטים ששותפו איתם במקטע 'פרוייקטים משותפים' בדף הבית של הפרוייקטים.

המשתמשים יכולים גם להוריד ממצאים בתוך פרוייקט על-ידי בחירת סמל ההורדה. זוהי דרך נהדרת לצוותי ציד איומים להשתמש בממצאים שלהם מחקירה כדי לחסום IOCs או לבנות כללי זיהוי נוספים במסגרת מידע האבטחה וניהול האירועים שלהם (SIEM).

פרוייקטים של שאלות עשויים לעזור לענות:

  • האם אחד מחברי הצוות שלי יצר פרוייקט צוות הכולל מחוון זה?

    • אם כן, אילו רכיבי IOC קשורים אחרים נלכדו על-ידי חבר צוות זה, מציין אילו תיאורים ותגיות הם כוללים לתיאור סוג החקירה?

  • מתי חבר צוות זה ערך את הפרוייקט לאחרונה?

    צילום מסך מפורט של Project Chrome של פרוייקטים

דרישות מוקדמות

  • חשבון microsoft Microsoft Entra מזהה אישי או אישי. כניסה או יצירת חשבון

  • רישיון Defender TI Premium.

    הערה

    משתמשים ללא רשיון Defender TI Premium עדיין יוכלו לגשת להצעות החינמי של Defender TI.

פתיחת ה- TI של Defender בפורטל Microsoft Defender שלך

  1. גש לפורטל Defender והשלם את תהליך האימות של Microsoft. קבל מידע נוסף על פורטל Defender
  2. נווט אל Threat intelligence>Intel explorer.

יצירת פרוייקט

המשתמשים יכולים ליצור פרוייקט בשתי דרכים שונות, באמצעות דף הבית של הפרוייקטים או תוך כדי חקירת התוצאות.

בעת כניסה לדף הבית של פרוייקטי Defender TI, מוצג למשתמשים לוח מחוונים המציג פרוייקטים בבעלותם או ששותפו עם משתמשי Defender TI אחרים בדייר שלהם. ישירות מתצוגה זו, המשתמשים יכולים להחליט ליצור פרוייקט חדש, פשוט על-ידי בחירת הסמל "+" או ביקור בדף הפרוייקט באמצעות תפריט המגירה הימני.

  1. כדי ליצור פרוייקט מתוך דף הבית של Project, נווט אל סמל 'פרוייקטים' ובחר את סמל 'הוסף פרוייקט חדש' בתוך דף הבית של הפרוייקטים.

    הוסף ל- Project

    בעת ביצוע חיפושים בתוך TI של Defender, המשתמשים יכולים לבחור באפשרות 'הוסף ל- Project' כדי להוסיף את הממצא (מחוון לסכנה) לפרוייקט קיים או ליצור פרוייקט חדש כדי להוסיף את הממצא לפרוייקט קיים.

  2. כדי ליצור פרוייקט באמצעות חקירה, בצע חיפוש מחוון מסרגל החיפוש 'בינת איומים' ובחר על הסמל 'הוסף ל- Project'.

  3. אם אתה יוצר פרוייקט חדש, בחר את הקישור 'הוסף פרוייקט חדש', מלא את השדות הנדרשים ו'שמור' את הפרוייקט החדש. אם כבר יש לך פרוייקט קיים שברצונך להוסיף לו את החפץ, בחר או גלול מטה ובחר את הפרוייקט הרצוי.

    הוספת פרוייקט חדש

ניהול פרוייקטים

לאחר שמשתמש יצר פרוייקטים, הוא יכול לנהל אותם בתוך חלק הפרוייקטים של הפלטפורמה. דף הבית הראשוני של Project מסמן את כל הפרוייקטים שהמשתמש יכול לראות ומספק שיטות סינון בהתבסס על מאפייני פרוייקט. דף הבית של Project מוגדר כברירת מחדל לפרוייקטי הצוות המשויכים משתמשי TI של Defender בדייר שלהם. יש להם אפשרות לבחור פרוייקטים אישיים שהם יצרו וכן פרוייקטים ששותפו איתם כדי לתרום להם.

ניהול פרוייקטים

  1. המשתמשים יכולים להציג את פרטי הפרוייקט על-ידי לחיצה על שם הפרוייקט.
  2. בהתאם לרמת הגישה, לאחר מכן המשתמשים יכולים לבצע שינויים בפרוייקט ישירות על-ידי לחיצה על לחצן העריכה בפינה השמאלית העליונה.
  3. המשתמשים עשויים גם למחוק פרוייקט אם הוא הבעלים של הפרוייקט. הם יכולים גם לבחור להוסיף ממצאים באופן ידני באמצעות לחצן 'הוסף תוצרים' בפינה השמאלית העליונה.

שיטות עבודה מומלצות

כשמדובר בשימוש ב- TI של Defender כדי לחקור איומים פוטנציאליים, אנו ממליצים לבצע את זרימות העבודה הבאות, מכיוון שפעולות אלה מאפשרות לך לאסוף בינה אסטרטגית ותפעולית לפני שתצלול לבינה טקטית.

המשתמשים יכולים לבצע סוגים שונים של חיפושים בתוך Defender TI. לכן, חשוב לגשת לשיטה לאיסוף בינה באופן המציג לך תוצאות רחבות לפני שתצלול לתוך חקירת מחוונים ספציפיים. לדוגמה, אם אתה מחפש כתובת IP מול דף הבית של Defender TI, לאילו מאמרים יש שיוך לכתובת IP זו? איזה מידע מציגים מאמרים אלה לגבי כתובת ה- IP שלא היית מוצא בדרך אחרת ניווט ישירות אל הכרטיסיה 'נתונים' של כתובת ה- IP להעשרת ערכת נתונים. לדוגמה, האם כתובת IP זו זוהתה כ- C2 אפשרי, מיהו שחקן האיום, באילו רכיבי IOC קשורים אחרים מופיעים במאמר, באילו טקטיקות, טכניקות ונהלים (TTPs) הוא שחקן האיומים שמשתמשים בו ובמי הם מיקוד?

בנוסף לביצוע סוגים שונים של חיפושים באמצעות Defender TI, המשתמשים יכולים לשתף פעולה בחקירות יחד. עם זאת, מומלץ למשתמשים ליצור פרוייקטים, להוסיף מחוונים הקשורים לחקירה בפרוייקט ולהוסיף משתפי פעולה לפרוייקט אם יותר מאדם אחד עובד על אותה חקירה. פעולה זו מסייעת להפחית את הזמן שהושקע בניתוח אותם רכיבי IOC והתוצאה צריכה להיות זרימת עבודה מהירה יותר שנצפתה.