Adatok rendezése, szűrése és letöltése
A Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) platform lehetővé teszi az elemzők számára, hogy indexelt és kimutatástábla formátumban férhessenek hozzá a bejárási adatok hatalmas gyűjteményéhez. Ezek az adathalmazok nagyon nagyok lehetnek, és nagy mennyiségű előzmény- és legutóbbi adatot ad vissza. Így lehetővé teszi az elemzők számára az adatok megfelelő rendezését és szűrését, így könnyen feltárhatóak a fontos kapcsolatok.
Ebből az útmutatóból megtudhatja, hogyan rendezheti és szűrheti az adatokat a következő adatkészletekhez:
- Határozat
- WHOIS
- Tanúsítványok
- Aldomain
- Nyomozó
- Összetevők
- Gazdagéppárok
- Süti
- Szolgáltatások
- DNS
- Fordított DNS
További információ: Adathalmazok.
Ebben az útmutatóban azt is megtudhatja, hogyan tölthet le mutatókat/összetevőket a következő funkciókból:
- Projektek
- Cikkek
- Adatkészletek
Előfeltételek
- Egy Microsoft Entra ID vagy személyes Microsoft-fiók. Bejelentkezés vagy fiók létrehozása
- Prémium szintű Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) licenc.
Megjegyzés:
A Defender TI Premium licenccel nem rendelkező felhasználók továbbra is bejelentkezhetnek a Defender Threat Intelligence Portálra, és hozzáférhetnek az ingyenes Defender TI-ajánlatunkhoz.
A Defender TI fenyegetésfelderítési kezdőlapjának megnyitása
- Nyissa meg a Defender fenyegetésfelderítési portálját.
- Fejezze be a Microsoft-hitelesítést a portál eléréséhez.
Adatok rendezése
Az Adatok lap rendezési függvénye lehetővé teszi, hogy a felhasználók gyorsan rendezik az adathalmazokat az oszlopértékek alapján. Alapértelmezés szerint a legtöbb találat "Utolsó látott" (csökkenő) szerint van rendezve, hogy a legutóbb megfigyelt eredmények a lista tetején jelenjenek meg; ez felfedi a legújabb adatokat, hogy azonnal betekintést nyújtson egy összetevő aktuális infrastruktúrájára. Jelenleg az összes adathalmaz a következő "First Seen" és "Last Seen" értékek szerint rendezhető:
- Utolsó látható csökkenő (alapértelmezett)
- Utolsó látható növekvő
- Elsőként látott növekvő
- Elsőként látott csökkenő
Az adatok az Adatok lapon található adatkészletpanelek között rendezhetők minden olyan IP-címhez, tartományhoz vagy gazdagépentitáshoz, amelyen keresnek vagy módosítanak.
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Rendezési beállításokat alkalmazhat a Felbontásadatok panel First Seen és Last Seen oszlopára.
Adatok szűrése
Az adatszűrés lehetővé teszi az elemzők számára, hogy egy adott metaadat-érték alapján hozzáférjenek egy bizonyos adatcsoporthoz. Az elemzők választhatják például, hogy csak a kiválasztott forrásból vagy egy adott típusú összetevőkből (például kiszolgálókból, keretrendszerekből) felderített IP-feloldásokat tekintik meg. Ez lehetővé teszi a felhasználók számára, hogy a lekérdezési eredményeket az adott érdeklődésre számot tartó elemekre szűkítse. Mivel a fenyegetésfelderítési platform bizonyos metaadatokat biztosít, amelyek egybeesnek bizonyos adattípusokkal, a szűrési beállítások az egyes adatkészletek esetében eltérőek lesznek.
Felbontásszűrők
A feloldási adatokra az alábbi szűrők vonatkoznak:
- Rendszercímke: ezeket a címkéket a fenyegetésfelderítési rendszer hozza létre a kutatási csapatunk által felderített megállapítások alapján.
- Címke: a Fenyegetésfelderítés felhasználói által alkalmazott címkék.
- ASN: egy kijelölt autonóm rendszerszámhoz (ASN) kapcsolódó eredmények.
- Hálózat: a kijelölt hálózathoz kapcsolódó eredmények.
- Forrás: az eredményt előállító adatforrás (pl. riskiq, emerging_threats).
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Alkalmazzon szűrőket a fent említett szűrési lehetőségek mindegyikére a Felbontásadatok panelen.
Követőszűrők
A követőadatokra a következő szűrők vonatkoznak:
- Típus: az egyes összetevők azonosított követőtípusa (pl. JarmFuzzyHash, GoogleAnalyticsID).
- Cím: az AZ IP-cím, amely közvetlenül figyelte a követőt, vagy olyan feloldó állomással rendelkezik, amely megfigyelte a követőt. (IP-cím keresésekor jelenik meg)
- Állomásnév: az a gazdagép, amely ezt a követőértéket észlelte. (Tartomány vagy gazdagép keresésekor jelenik meg)
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Lépjen a Követők adatai panelre.
- Alkalmazzon szűrőket a fent említett szűrőbeállítások mindegyikére a Trackers Data (Nyomon követés adatai) panelen.
Összetevőszűrők
Az összetevők adataira a következő szűrők vonatkoznak:
- Ipaddressraw: a visszaadott állomásnévvel egybeeső IP-cím.
- Típus: a kijelölt összetevőtípus (például távelérés, operációs rendszer).
- Név: az észlelt összetevő neve (pl. Cobalt Strike, PHP).
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Lépjen az Összetevők adatai panelre.
- Alkalmazzon szűrőket az Összetevők adatai panelen fent említett szűrőbeállítások mindegyik típusára.
Gazdagéppár szűrői
A gazdagéppárok adataira az alábbi szűrők vonatkoznak:
- Irány: a megfigyelt kapcsolat iránya. Ez azt jelzi, hogy a szülő átirányítja-e a gyermeket, vagy fordítva.
- Szülő állomásneve: a szülőösszetevő állomásneve.
- Ok: a gazdagép szülő-gyermek kapcsolatának észlelt oka (pl. redirect, iframe.src).
- Gyermek állomásneve: a gyermekösszetevő állomásneve.
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Lépjen a Gazdagéppárok adatai panelre.
- A Gazdagéppárok adatai panelen szűrőket alkalmazhat a fent említett szűrőbeállításokra.
DNS-& fordított DNS-szűrők
Az alábbi szűrők a DNS- és fordított DNS-adatokra vonatkoznak:
- Rekordtípus: a DNS-rekordban észlelt rekord típusa (pl. NS, CNAME).
- Érték: a rekord kijelölt értéke (például nameserver.host.com).
- Keresés egy tartományt, IP-címet vagy gazdagépet a Defender TI fenyegetésfelderítés keresősávjában, és navigáljon az Adatok lapra.
- Keresse meg a DNS és újabb, A DNS-adatok megfordítása paneleket.
- Alkalmazzon szűrőket a fent említett szűrési lehetőségek mindegyikére a DNS és a Fordított DNS-adatok panelen.
Adatok letöltése
A Defender TI-ben különböző szakaszok érhetők el, amelyeket a felhasználók csv-exportálásként tölthetnek le. A felhasználóknak a letöltési ikonra kell figyelnie ahhoz, hogy csv-fájlként exportálják az adatokat.
Az adatok a következő szakaszokban tölthetők le:
- A legtöbb adatkészlet panel
- Project
- Fenyegetésfelderítési cikk
A feloldások, a DNS és a fordított DNS-adatok letöltése az alábbi fejléceket exportálja:
| Megoldani | A keresett tartományhoz (AZ IP-cím feloldásához) társított rekord vagy tartomány, amely IP-címre lett feloldva, amikor IP-címet keresnek |
| Hely | Az IP-cím által üzemeltetett ország/régió |
| Hálózati | Netblock vagy alhálózat |
| autonomousSystemNumber | Autonóm rendszer száma |
| firstSeen | A felbontás Microsoft által történő első megfigyelésének dátuma/időpontja (formátum: mm/dd/éééé óó:pp) |
| lastSeen | Az a dátum/ idő, amikor a Microsoft utoljára megfigyelte a felbontást (formátum: mm/dd/yyyy hh:mm) |
| Source (Forrás) | Forrás, amely megfigyelte ezt a megoldást |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
Az altartományok adatainak letöltése az alábbi fejléceket exportálja:
| Hostname | A keresett tartomány altartománya |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
A követők adatainak letöltése az alábbi fejléceket exportálja:
| Hostname | A nyomon követést figyelő vagy éppen megfigyelt állomásnév |
| firstSeen | Dátum/idő, amikor a Microsoft először észlelte, hogy a gazdanév a követőt használja (formátum: mm/dd/yyyy hh:mm) |
| lastSeen | Dátum/idő, amikor a Microsoft először észlelte, hogy a gazdanév a követőt használja (formátum: mm/dd/yyyy hh:mm) |
| attributeType | A nyomkövető típusa |
| attributeValue | Tracker value |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
Az összetevők adatainak letöltése az alábbi fejléceket exportálja:
| Hostname | Az összetevőt figyelő vagy jelenleg megfigyelt állomásnév |
| firstSeen | Dátum/idő, amikor a Microsoft először észlelte, hogy a gazdanév a követőt használja (formátum: mm/dd/yyyy hh:mm |
| lastSeen | Dátum/idő, amikor a Microsoft utoljára észlelte, hogy a gazdanév az összetevőt használta (formátum: mm/dd/yyyy hh:mm |
| Kategória | Összetevő típusa |
| név | Az összetevő neve |
| Változat | Az összetevő verziója |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
A gazdagéppárok adatainak letöltése az alábbi fejléceket exportálja:
| parentHostname | A gyermek gazdagépnévhez elért állomásnév |
| childHostname | A gazdagépnév, amely az általuk üzemeltetett objektumokat a szülő gazdagépnévhez eteti. |
| firstSeen | Dátum/idő, amikor a Microsoft először észlelte a szülő és a gyermek állomásneve közötti kapcsolatot (formátum: mm/dd/yyyy hh:mm) |
| lastSeen | Dátum/idő, amikor a Microsoft utoljára megfigyelte a szülő és a gyermek állomásneve közötti kapcsolatot (formátum: mm/dd/yyyy hh:mm) |
| attributeCause | A szülő és a gyermek állomásneve közötti kapcsolat oka |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
A cookie-k adatainak letöltése az alábbi fejléceket exportálja:
| Hostname | A cookie nevét megfigyelő állomásnév |
| firstSeen | Amikor a cookie-név először a cookie-tartományból származó állomásnévhez lett megfigyelve (formátum: mm/dd/yyyy hh:mm) |
| lastSeen | A cookie-névnek a cookie-tartományból származó állomásnévhez való utolsó megfigyelésének dátuma/időpontja (formátum: mm/dd/yyyy hh:mm) |
| cookieName | A cookie neve |
| cookieDomain | Annak a tartománynévnek a kiszolgálója, ahonnan a cookie-név származik |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
A rendszer az alábbi fejléceket exportálja a saját, a csapat és a megosztott projektek projektlistáinak letöltésével:
| név | Projekt neve |
| összetevők (darabszám) | A projekten belüli összetevők száma |
| készítette: (felhasználó) | A projektet létrehozó felhasználó |
| létrehozás dátuma: | A projekt létrehozásakor |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
| Együttműködők | Ki lett hozzáadva közreműködő(k)ként a projekthez. Ez csak a Saját projektek és a Megosztott projektek lapról letöltött projektek esetében látható. |
A következő fejlécek exportálása a projekt részleteinek (összetevőinek) projektből való letöltése miatt következik be:
| Tárgy | Összetevő értéke (pl. IP-cím, tartomány, gazdagép, WHOIS-érték, SHA-1 tanúsítvány stb.) |
| Típus | Összetevő típusa (pl. IP, tartomány, gazdagép, WHOIS-szervezet, WHOIS-telefon, SHA-1 tanúsítvány stb.) |
| Létrehozott | Az összetevő projekthez való hozzáadásának dátuma/időpontja (formátum: mm/dd/éééé óó:mm) |
| Alkotó | Email összetevőt hozzáadó felhasználó címe |
| Összefüggésben | Az összetevő hozzáadása a projekthez |
| Címkék | Az összetevőhöz társított egyéni vagy rendszercímkék |
| Együttműködők | Ki lett hozzáadva közreműködő(k)ként a projekthez. Ez csak a Saját projektek és a Megosztott projektek lapról letöltött projektek esetében látható. |
A rendszer az alábbi fejléceket exportálja a fenyegetésfelderítés nyilvános vagy riskiq mutatóinak letöltése miatt:
| Típus | Mutató típusa (pl. ip, tanúsítvány, tartomány, _sha256) |
| Érték | A mutató értéke (pl. IP-cím, tartomány, állomásnév) |
| Forrás | A mutató forrása (RiskIQ vagy OSINT) |
Következő lépések
További információ: Adathalmazok.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: