שתף באמצעות

מהי בינת איומים של Microsoft Defender (‏Defender IT)?

חשוב

בינת איומים של Microsoft Defender (Defender TI) יופסקו וימוזגו ל- Microsoft Defender לקבלת חוויה מאוחדת רבת-עוצמה. לקוחות קיימים ימשיכו לקבל גישה מלאה לחוויה הנוכחית של Defender TI עד למוצר שיצא משימוש ב- 1 באוגוסט 2026. מידע נוסף

בינת איומים של Microsoft Defender (Defender TI) היא פלטפורמה היעילה סדר עדיפויות, תגובה לתקריות, ציד איומים, ניהול פגיעויות וזרימות עבודה של אנליסט מודיעין איומים בעת ביצוע ניתוח תשתית איומים ואיסוף מודיעין איומים. עם ארגוני אבטחה שפעולות כמות הולכת וגדלה של מודיעין והתראות בתוך הסביבה שלהם, חשוב לבצע ניתוח איומים של פלטפורמת בינה המאפשרת הערכות מדויקות ומדויקות של התראות.

אנליסטים מקדישים זמן רב לגילוי נתונים, לאיסוף ולניתוח נתונים, במקום להתמקד במה שמסייע לארגון שלהם להגן על עצמם - ולהפיק תובנות לגבי השחקנים באמצעות ניתוח ומתאם. לעתים קרובות, אנליסטים אלה חייבים לעבור למאגרים מרובים כדי להשיג את ערכות הנתונים הקריטיות הדרושות להם כדי להעריך תחום, מארח או כתובת IP חשודים. נתוני DNS, פרטי WHOIS, תוכנות זדוניות ואישורים של SSL מספקים הקשר חשוב למחווני פשרה (IOCs), אך מאגרים אלה מפוזרים בצורה נרחבת ואינם תמיד משתפים מבנה נתונים משותף.

התפלגות רחבה זו של מאגרים מקשה על אנליסטים לוודא שיש להם את כל הנתונים הרלוונטיים הדרושים להם כדי לבצע הערכה נכונה ונכונה של תשתית חשודה. אינטראקציה עם ערכות נתונים אלה עשויה גם להיות מסורבלת, וחיבור ציר בין מאגרים אלה הוא צורך זמן ומרוקן את המשאבים של קבוצות פעולות אבטחה שדרושות כל הזמן לתיקון המאמצים שלהן לתגובה.

אנליסטים של מודיעין איומים מתקשים באיזון רמת הון של מודיעין איומים באמצעות ניתוח של אילו מודיעין איומים מהווה את האיומים הגדולים ביותר לארגון ו/או לתעשייה שלהם. באותו מבנה לחם, אנליסטים של בינת פגיעויות נלחם בתיאום מלאי הנכסים שלהם עם מידע פגיעויות נפוצות וחשיפה (CVE) כדי לתעדף את החקירה ותיקון של הפגיעויות הקריטיות ביותר המשויכות לארגון שלהם.

Microsoft מחשבים מחדש את זרימת העבודה של האנליסטים על-ידי פיתוח Defender TI, שצובר ומעשיר מקורות נתונים קריטיים ומציג אותם בממשק חדשני וקל לשימוש שבו המשתמשים יכולים לתאם מחווני פשרה (IOCs) עם מאמרים קשורים, פרופילי מעוררים ופגיעות. Defender TI גם מאפשר לאנליסטים לשתף פעולה עם משתמשים אחרים בעלי רשיון TI של Defender בתוך הדייר שלהם לגבי חקירות.

להלן צילום מסך של דף סייר Intel של Defender TI בפורטל Microsoft Defender. אנליסטים יכולים לסרוק במהירות מאמרים מוצגים חדשים ולבצע חיפוש לפי מילת מפתח, מחוון או מזהה CVE כדי להתחיל את איסוף הבינה, קביעת סדר העדיפויות, התגובה לתקריות ומאמצי הציד.

ti Overview Home Page Chrome צילום מסך.

מאמרי Defender TI

מאמרים הם מלל נלווה המספקים תובנות לגבי שחקני איומים, כלי עבודה, התקפות ופגיעות. מאמרי Defender TI אינם פרסומי בלוג בנושא בינה איום; בעוד שמאמרים אלה מסכמים איומים שונים, הם גם מקשים לתוכן המאפשר פעולה ול- IOCs עיקריים כדי לעזור למשתמשים לבצע פעולה. הוספת מידע טכני זה סיכומי איומים מאפשרת למשתמשים לעקוב ללא התוקף אחר שחקני איומים, כלי עבודה, תקיפות ותקפות בזמן שהם משתנים.

המקטע מאמרים מוצגים של דף Intel explorer (ממש מתחת לשורת החיפוש) מציג את תמונות הכרזה של תוכן Microsoft ראוי לציון:

מאמרים מוצגים של TI Overview

מאמרים מוצגים מופיעים גם ברכיב הגרפי מאמרי בינת איומים מוצגים בדף הבית של פורטל Defender:

צילום מסך של הרכיב הגרפי 'מאמרי בינת איומים מוצגים' בדף הבית של פורטל Defender.

בחירת כרזת מאמר מוצגת תטען את תוכן המאמר המלא. תמונת מצב של המאמר מספקת לך הבנה מהירה של המאמר. הסבר המחוונים מראה כמה מחוונים ציבוריים ומחווני TI של Defender משויכים למאמר.

מאמר מוצג של מבט כולל על TI

מאמרים

כל המאמרים (כולל המאמרים המוצגים) מפורטים בסעיף 'מאמרים אחרונים' בהתאם לתאריך הפרסום שלהם, כאשר המאמר האחרון מופיע למעלה.

מאמרי מבט כולל על TI.

המקטע תיאור של מאמר מכיל מידע אודות התקיפה הפרופילית או מעורר האיום. התוכן יכול להיות קצר - כגון עלונים של בינת קוד פתוח (OSINT) - או ארוך (לדיווח בתבנית ארוכה, במיוחד כאשר Microsoft מרגדלה את הדוח בניתוח משלה). התיאורים עשויים להכיל תמונות, קישורים לתוכן המשמש בסיסי, קישורים לחיפושים בתוך Defender TI, מקטעי קוד תוקף וכללי חומת אש כדי לחסום את התקיפה.

תיאור מאמר מבט כולל על TI.

המקטע 'מחוונים ציבוריים ' מפרט את המחוונים הידועים הקשורים למאמר. הקישורים במחוונים אלה לוקחים אותך לנתונים רלוונטיים של TI של Defender או למקורות חיצוניים.

מחוונים ציבוריים של מאמר מבט כולל על TI.

המקטע מחווני TI של Defender מכסה את המחוונים שצוות המחקר של Defender TI מוצא הקשור למאמרים. הקישורים במחוונים אלה גם לוקחים אותך לנתונים רלוונטיים של TI של Defender או למקורות חיצוניים.

קישורים אלה גם מסתובבים סביב נתוני Defender TI הרלוונטיים או המקור החיצוני המתאים.

TI Overview Article Defender TI Indicators.

מאמרי פגיעות

Defender TI מציע חיפושים במזהה CVE כדי לעזור לך לזהות מידע קריטי אודות CVE. חיפושים במזהה CVE התוצאה היא מאמרי פגיעויות.

כל מאמר פגיעות מכיל:

  • תיאור של ה- CVE
  • רשימה של רכיבים מושפעים
  • נהלים ואסטרטגיות מותאמים אישית לצמצום סיכונים
  • מאמרי בינה קשורים
  • הפניות בפטפוט אינטרנט עמוק וחושך
  • תצפיות עיקריות אחרות

מאמרים אלה מספקים הקשר עמוק יותר ותובנות המאפשרות פעולה מאחורי כל CVE, ומאפשרים למשתמשים להבין ולצמצם פגיעויות אלה במהירות רבה יותר.

מאמרי פגיעות כוללים גם ציון עדיפות של TI של Defender ומחוון חומרה. ציון העדיפות של Defender TI הוא אלגוריתם ייחודי המשקף את העדיפות של CVE בהתבסס על הניקוד של מערכת ניקוד הפגיעות הנפוצה (CVSS), ניצולים, פטפוט וקישור לתוכנות זדוניות. הוא מעריך את ההקלקה של רכיבים אלה כדי שתוכל להבין אילו CVEs יש לתיקון תחילה.

ניקוד מוניטין

חשוב להבין את המהימנים של משטח התקיפה שלך בנתוני מוניטין IP, והוא שימושי גם בעת הערכה של מארחים, תחומים או כתובות IP לא ידועים המופיעים בחקירות. Defender TI מספק דירוגי מוניטין קנייניים עבור כל מארח, תחום או כתובת IP. בין אם אימות המוניטין של ישות ידועה או לא ידועה, ציונים אלה עוזרים לך להבין במהירות כל קשר שזוהה לתשתית זדונית או חשודה.

כרטיס סיכום מוניטין.

ה- TI של Defender מספק מידע מהיר אודות הפעילות של ישויות אלה, כגון חותמות זמן ראשון ואחרונה שנראתה, מספר מערכת אוטונומה (ASN), מדינה או אזור, תשתית משויכת ורשימת כללים המשפיעים על ניקוד המוניטין, כאשר הדבר ישים.

קרא עוד אודות ניקוד מוניטין

תובנות של אנליסטים

התובנות האנליסטים מצפינות את הנתונים העצום של Microsoft לתוך מספר רב של תצפיות שמפשטות את החקירה וכיצד להפוך אותה לנגישה יותר לאנליסטים בכל הרמות.

תובנות נועדו להיות עובדות או תצפיות קטנות לגבי תחום או כתובת IP. הם מספקים לך את היכולת להעריך את המחוון שבו בוצעה שאילתה ולשפר את היכולת שלך לקבוע אם מחוון שאתה חוקר הוא זדוני, חשוד או טוב.

כרטיס סיכום של תובנות אנליסטים.

קרא עוד אודות תובנות אנליסטים

ערכות נתונים

Microsoft מרכזת ערכות נתונים רבות לתוך Defender TI, ומקלה על הקהילה והלקוחות של Microsoft לבצע ניתוח תשתית. ההתמקדות העיקרית של Microsoft היא לספק נתונים רבים ככל האפשר לגבי תשתית האינטרנט כדי לתמוך במקרים שונים של שימושי אבטחה.

Microsoft אוספת, מנתחת ואינדקסה נתוני אינטרנט באמצעות חיישנים פאסיביים של מערכות שמות תחומים (DNS), סריקת יציאות, נפץ של כתובות URL וקבצים ומקורות אחרים כדי לסייע למשתמשים לזהות איומים, לתעדף אירועים ולזהות תשתית המשויכת לקבוצות מעוררי איומים. חיפושי כתובות ה- URL שלך עשויים לשמש ליזום פעולות באופן אוטומטי אם אין נתוני נפץ זמינים עבור כתובת URL במועד הבקשה. הנתונים הנאספים מפעולות כאלה משמשים לאכלוס תוצאות בחיפושים עתידיים אחר כתובת URL זו ממך או ממשתמשי TI אחרים של Defender.

ערכות נתונים נתמכות באינטרנט כוללות:

  • החלטות
  • WHOIS
  • אישורי SSL
  • תחומי משנה
  • DNS (DNS)
  • היפוך DNS
  • ניתוח נציצי
  • ערכות נתונים נגזרות שנאספו ממודל אובייקטי המסמך (DOM) של כתובות URL מופרדות, כולל:
    • עוקבים
    • רכיבים
    • זוגות מארחים
    • עוגיות

רכיבים ועוקבים נצפים גם מתוך כללי זיהוי המופעלים בהתבסס על תגובות הכרזה מסריקה ביציאה או מפרטי אישור SSL. רבות מערכות נתונים אלה כוללות שיטות שונות למיון, לסינון ולהורדה של נתונים, כך שיהיה קל יותר לגשת למידע שעשוי להיות משויך לסוג מחוון ספציפי או לזמן ספציפי בהיסטוריה.

צילום מסך של מיון ערכות נתונים.

למידע נוסף:

תגיות

תגיות TI של Defender מספקות תובנות מהירות לגבי מחוון, בין אם הוא נגזר על-ידי המערכת או נוצר על-ידי משתמשים אחרים. תגיות מסייעות לאנליסטים לחבר בין הנקודות בין מקרים וחקירות נוכחיים לבין ההקשר ההיסטורי שלהם לצורך ניתוח משופר.

Defender TI מציע שני סוגים של תגיות: תגיות מערכת ותגיות מותאמות אישית.

התאמה אישית של תגיות

קבל מידע נוסף על השימוש בתגיות

פרויקטים

Defender TI מאפשר למשתמשים לפתח סוגי פרוייקטים מרובים לארגון מחוונים של תחומי עניין ומחווני פשרה בחקירה. פרוייקטים מכילים רשימה של כל המחוונים המשויכים והיסטוריה מפורטת השומרת על השמות, התיאורים משתפי הפעולה.

כאשר אתה מחפש כתובת IP, תחום או מארח ב- Defender TI, ואם מחוון זה מופיע בתוך פרוייקט שיש לך גישה אליו, באפשרותך לראות קישור לפרוייקט מהדף פרוייקטים של Intel, בכרטיסיות סיכום ונתונים. משם, באפשרותך לנווט אל פרטי הפרוייקט לקבלת הקשר נוסף אודות המחוון לפני שתעיין בערכות הנתונים האחרות לקבלת מידע נוסף. לכן, באפשרותך להימנע מהמציאה מחדש של גלגל חקירה שייתכן כי אחד ממשתמשי הדייר של Defender TI כבר התחיל. אם מישהו מוסיף אותך כמשתף פעולה לפרוייקט, באפשרותך גם להוסיף אותה לחקירה על-ידי הוספת IOCs חדשים.

צילום מסך של פרטי פרוייקט.

קבל מידע נוסף על השימוש בפרוייקטים

מיקום נתונים, זמינות ופרטיות

ה- TI של Defender מכיל נתונים כלליים ונתונים ספציפיים ללקוח. נתוני האינטרנט המשמשים כבסיס הם נתונים מוסתרים של Microsoft; תוויות שהוחלו על-ידי לקוחות נחשבות לנתונים של לקוחות. כל נתוני הלקוח מאוחסנים באזור בחירת הלקוח.

למטרות אבטחה, Microsoft אוספת כתובות IP של משתמשים בעת הכניסה. נתונים אלה מאוחסנים למשך עד 30 יום, אך עשויים להיות מאוחסנים זמן רב יותר במקרה הצורך כדי לחקור שימוש פוטנציאלי בהונאה או שימוש זדוני במוצר.

בתרחיש של הורדות אזורים, הלקוחות לא אמורים לראות זמן ביטול מאחר ש- Defender TI משתמש בטכנולוגיות המשכפלות נתונים לאזורי גיבוי.

Defender TI מעבד נתוני לקוחות. כברירת מחדל, נתוני הלקוח משוכפלים לאזור המשויך.

למידע נוסף

  • Last updated on