שימוש בתגיות

  • מאמר

חשוב

ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף

בינת איומים של Microsoft Defender (Defender TI) מספקות תובנות מהירות לגבי חפץ, בין אם הוא נגזר על-ידי המערכת או נוצר על-ידי משתמשים אחרים. תגיות מסייעות לאנליסטים לחבר בין הנקודות בין מקרים וחקירות נוכחיים לבין ההקשר ההיסטורי שלהם לצורך ניתוח משופר.

Defender TI מציע שני סוגים של תגיות: תגיות מערכת ותגיותמותאמות אישית.

דרישות מוקדמות

  • חשבון microsoft Microsoft Entra מזהה אישי או אישי. כניסה או יצירת חשבון

  • רישיון Defender TI Premium.

    הערה

    משתמשים ללא רשיון Defender TI Premium עדיין יוכלו לגשת להצעות החינמי של Defender TI.

תגיות מערכת

Defender TI יוצר תגיות מערכת באופן אוטומטי כדי שתוכל להדריך את הניתוח. לתגיות אלה לא נדרשים כל קלט או מאמץ יתאפשר לך.

תגיות מערכת יכולות לכלול:

  • ניתן לניתוב: מציין שהחפץ נגיש.
  • ASN: משיכת חלק מקוצר של תיאור מספר מערכת אוטונום (ASN) של כתובת IP לתגית כדי לספק הקשר אנליסטים למי שייכת כתובת ה- IP.
  • דינמי: מציין אם שירות מערכת שמות תחומים דינאמית (DNS), כגון No-IP או Change IP, הוא הבעלים של התחום.
  • בור בור: מציין כי כתובת IP היא בור מחקר המשמש ארגוני אבטחה כדי לחקור קמפיינים של התקפה. לכן, התחומים המשויכים אינם מחוברים זה לזה ישירות.

תגיות מערכת.

תגיות מותאמות אישית

תגיות מותאמות אישית מביאות הקשר למחווני פשרה (IOCs) והפוך את הניתוח לפשוט אף יותר על-ידי זיהוי התחומים הידועים כשגיאות מהדיווח הציבורי או שאתה מסווג כסוג כזה. אתה יוצר תגיות אלה באופן ידני בהתבסס על החקירות שלך, ותגיות אלה מאפשרות לך לשתף תובנות חשובות לגבי חפץ עם משתמשי רשיון Premium אחרים של Defender TI בתוך הדייר שלך.

תגיות מותאמות אישית.

הוספה, שינוי והסרה של תגיות מותאמות אישית

באפשרותך להוסיף תגיות מותאמות אישית משלך לאשכול התגיות על-ידי הזנתן בסרגל התגיות. אתה וחברי הצוות שלך, אם הארגון שלך הוא לקוח Ti של Defender, יכולים להציג תגיות אלה. התגיות שהוזנו במערכת הן פרטיות ואינן משותפות עם הקהילה הגדולה יותר.

באפשרותך גם לשנות או להסיר תגיות. לאחר הוספת תגית, אתה או משתמש רשיון אחר בתשלום בארגון שלך יכולים לשנות או להסיר אותה, דבר המאפשר שיתוף פעולה קל בין צוות האבטחה.

  1. גש לפורטל Defender והשלם את תהליך האימות של Microsoft. קבל מידע נוסף על פורטל Defender

  2. נווט אל Threat intelligence>Intel explorer.

  3. חיפוש מחוון שעבורו ברצונך להוסיף תגיות בסרגל החיפוש של סייר Intel.

    חיפוש תגיות.

  4. בחר ערוך תגיות בפינה הימנית העליונה של הדף.

    תגיות מחפשות בעריכת תגיות.

  5. הוסף תגיות שברצונך לשייך למחוון זה בחלון המוקפץ תגיות מותאמות אישית שמופיע. כדי להוסיף מחוון חדש, הקש על מקש Tab כדי להוסיף מחוון חדש.

    חיפוש תגיות הוסף תגיות.

  6. בחר שמור לאחר שתסיים להוסיף את כל התגיות כדי לשמור את השינויים.

    תגיות מחפשות שמירת תגיות.

  7. חזור על שלב 3 כדי לערוך תגיות. הסר תגית על-ידי בחירת X בסוף ההוספה, ולאחר מכן הוסף תגים חדשים על-ידי חזרה על שלבים 4 עד 6.

  8. שמור את השינויים שערכת.

הצגה וחיפוש של תגיות מותאמות אישית

באפשרותך להציג תגיות שאתה או אנשים אחרים הוספתם בדייר שלך לאחר חיפוש כתובת IP, תחום או פריט מארח.

חיפוש תגית מותאם אישית.

  1. גש לפורטל Defender והשלם את תהליך האימות של Microsoft.

  2. נווט אל Threat intelligence>Intel explorer.

  3. בחר את סוג החיפוש 'תג' ברשימה הנפתחת של סרגל החיפוש של Intel explorer ולאחר מכן חפש בערך התג כדי לזהות את כל המחוונים האחרים עם אותו ערך תג.

    חיפוש תגיות בסייר Intel.

זרימת עבודה נפוצה של מקרה שימוש בתגיות

נניח שאתה חוקר מקרה ואתה מציין שהוא קשור דיוג. באפשרותך להוסיף phish כתגית ל- IOCs הקשורים לתקרית זו. מאוחר יותר, צוות התגובה לתקריות ולצוות ציד האיומים יכול להמשיך לנתח את רכיבי ה- IOC האלה ולעבוד עם המקבילים שלהם במודיעין האיומים כדי לזהות איזו קבוצת שחקנים הייתה אחראית לתקרית דיוג. לאחר מכן, הם יוכלו [actor name] להוסיף תגית נוספת לאותם רכיבי IOC או לאילו תשתית נעשה שימוש, שמחברת אותם למחשבי IOC קשורים אחרים, כגון תגית [SHA-1 hash] מותאמת אישית.

למידע נוסף