Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Fontos
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) megszűnik, és Microsoft Defender egyesül a hatékony egységes élmény érdekében. A meglévő ügyfelek 2026. augusztus 1-jén kivezetéséig továbbra is teljes hozzáféréssel rendelkeznek a jelenlegi Defender TI-élményükhöz. További információ
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) lehetővé teszi a bejárási adatok hatalmas gyűjteményének elérését indexelt és kimutatástábla formátumban. Ezek az adathalmazok nagy méretűek lehetnek, és nagy mennyiségű előzmény- és legutóbbi adatot ad vissza. Azáltal, hogy lehetővé teszi az adatok megfelelő rendezését és szűrését, segítünk a fontos kapcsolatok egyszerű feltárásában.
Ebből az útmutatóból megtudhatja, hogyan rendezheti és szűrheti az adatokat a következő adatkészletekhez:
- Határozat
- WHOIS-információk
- Tanúsítványok
- Aldomain
- Nyomozó
- Összetevők
- Gazdagéppárok
- Süti
- Szolgáltatások
- Tartománynévrendszer (DNS)
- Fordított DNS
További információ az adatkészletekről
Azt is megtudhatja, hogyan tölthet le mutatókat vagy összetevőket a következő funkciókból:
- Projektek
- Cikkek
- Adatkészletek
Előfeltételek
Microsoft Entra ID vagy személyes Microsoft-fiók. Bejelentkezés vagy fiók létrehozása
Prémium szintű Defender TI-licenc.
Megjegyzés:
A prémium szintű Defender TI-licenccel nem rendelkező felhasználók továbbra is hozzáférhetnek az ingyenes Defender TI-ajánlatunkhoz.
A Defender TI megnyitása a Microsoft Defender portálon
- Nyissa meg a Defender portált, és fejezze be a Microsoft hitelesítési folyamatát. További információ a Defender portálról
- Nyissa meg a Fenyegetésfelderítési>Intel Explorert.
Adatok rendezése
Az egyes adatlapokon található rendezési függvényekkel gyorsan rendezheti az adatkészleteket az oszlopértékek alapján. Alapértelmezés szerint a legtöbb találat a Legutóbb látható (csökkenő) szerint van rendezve, így a legutóbb megfigyelt eredmények a lista tetején jelennek meg. Ez az alapértelmezett rendezési sorrend azonnal betekintést nyújt egy összetevő aktuális infrastruktúrájára.
Jelenleg az összes adathalmaz a következő Elsőként látható és Utolsóként látható értékek szerint rendezhető:
- Utolsó látható (csökkenő) – Alapértelmezett
- Utolsó látható (növekvő)
- Elsőként látható (növekvő)
- Elsőként látható (csökkenő)
Az adatok rendezhetők az egyes adatkészletek lapjai között minden olyan IP-cím, tartomány vagy gazdagépentitás esetében, amely keres vagy forgat.
Tartomány, IP-cím vagy gazdagép keresése az Intel Explorer keresősávjában.
Lépjen a Felbontások lapra, majd alkalmazza a rendezési beállításokat az Elsőként látott és az Utoljára látott oszlopokra.
Adatok szűrése
Az adatszűrés lehetővé teszi egy adott metaadat-érték alapján kiválasztott adatcsoport elérését. Választhatja például, hogy csak a kiválasztott forrásból vagy egy adott típusú összetevőkből (például kiszolgálókból vagy keretrendszerekből) felderített IP-feloldásokat tekinti meg. Az adatszűrés lehetővé teszi a lekérdezési eredmények adott érdeklődési körökre szűkítését.
Mivel a Defender TI bizonyos metaadatokat biztosít, amelyek egybeesnek bizonyos adattípusokkal, a szűrési beállítások az egyes adatkészletekhez eltérőek.
Felbontásszűrők
A feloldási adatokra az alábbi szűrők vonatkoznak:
- Rendszercímke: A Defender TI ezeket a címkéket a kutatási csapatunk által felderített megállapítások alapján hozza létre. További információ
- Címke: Egyéni címkék, amelyeket a Defender TI-felhasználók alkalmaztak. További információ
- ASN: Egy kijelölt autonóm rendszerszámhoz (ASN) kapcsolódó eredmények.
- Hálózat: A kijelölt hálózathoz kapcsolódó eredmények.
- Forrás: Az eredményt előállító adatforrás (például riskiq, emerging_threats).
A feloldási adatok szűrése:
Keressen egy tartományt, IP-címet vagy gazdagépet az Intel Explorer keresősávjában.
Lépjen a Felbontások lapra
Alkalmazzon szűrőket a korábban feljegyzett szűrőbeállítások mindegyik típusára.
Követőszűrők
A követőadatokra a következő szűrők vonatkoznak:
- Típus: Az egyes összetevők azonosított követőtípusa (például JarmFuzzyHash vagy GoogleAnalyticsID).
- Cím: Az AZ IP-cím, amely közvetlenül figyelte a követőt, vagy egy feloldó állomással rendelkezik, amely megfigyelte a követőt. Ez a szűrő akkor jelenik meg, amikor egy IP-címben keres.
- Állomásnév: Az a gazdagép, amely ezt a követőértéket észlelte. Ez a szűrő akkor jelenik meg, ha tartományra vagy gazdagépre keres.
A követő adatainak szűrése:
Keressen egy tartományt, IP-címet vagy gazdagépet az Intel Explorer keresősávjában.
Ugrás a Követők lapra
Alkalmazzon szűrőket a korábban feljegyzett szűrőbeállítások mindegyik típusára.
Összetevőszűrők
Az összetevők adataira a következő szűrők vonatkoznak:
- Ipaddressraw: A visszaadott állomásnévvel egybeeső IP-cím.
- Típus: A kijelölt összetevő típusa (például távelérés vagy operációs rendszer).
- Név: Az észlelt összetevő neve (például Cobalt Strike vagy PHP).
Összetevő adatainak szűrése:
Keressen egy tartományt, IP-címet vagy gazdagépet az Intel Explorer keresősávjában.
Lépjen az Összetevők lapra
Alkalmazzon szűrőket a korábban feljegyzett szűrőbeállítások mindegyik típusára.
Gazdagéppár szűrői
A gazdagéppárok adataira az alábbi szűrők vonatkoznak:
- Irány: A megfigyelt kapcsolat iránya, amely azt jelzi, hogy a szülő átirányítja-e a gyermeket, vagy fordítva.
- Szülő állomásneve: A szülőösszetevő állomásneve.
- Ok: A gazdagép szülő-gyermek kapcsolatának észlelt oka (például redirect vagy iframe.src).
- Gyermek állomásneve: A gyermekösszetevő állomásneve.
Gazdagéppárok adatainak szűrése:
Keressen egy tartományt, IP-címet vagy gazdagépet az Intel Explorer keresősávjában.
Lépjen a Gazdagéppárok lapra
Alkalmazzon szűrőket a korábban feljegyzett szűrőbeállítások mindegyik típusára.
DNS- és fordított DNS-szűrők
Az alábbi szűrők a DNS-re és a fordított DNS-adatokra vonatkoznak:
- Rekordtípus: A DNS-rekordban észlelt rekord típusa (például NS vagy CNAME).
- Érték: A rekord kijelölt értéke (például nameserver.host.com).
DNS-adatok szűrése és fordított DNS-adatok:
Keressen egy tartományt, IP-címet vagy gazdagépet az Intel Explorer keresősávjában.
Lépjen a DNS és a Fordított DNS lapra
Alkalmazzon szűrőket a korábban feljegyzett szűrőbeállítások mindegyik típusára.
Adatok letöltése
A Defender TI különböző szakaszaiban csv-fájlként exportálhatja az adatokat. A következő szakaszokban keresse meg a 
, és válassza a Letöltés ikont:
- Az adathalmazok legtöbb lapja
- Projektek
- Intel-cikkek
Amikor adatokat tölt le a Feloldások, a DNS és a Fordított DNS szolgáltatásból , a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| Megfejt | A keresett tartományhoz (IP-cím feloldásához) vagy tartományhoz társított rekord, amely az IP-cím keresésekor IP-címre lesz feloldva |
| Hely | Az IP-cím üzemeltetett országa vagy régiója |
| Hálózat | Netblock vagy alhálózat |
| autonomousSystemNumber | ASN |
| firstSeen | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor a Microsoft először észlelte a felbontást |
| lastSeen | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor a Microsoft utoljára megfigyelte a felbontást |
| Source (Forrás) | Forrás, amely megfigyelte ezt a megoldást |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor adatokat tölt le az Altartományok lapról, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| állomásnév | A keresett tartomány altartománya |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor adatokat tölt le a Követők lapról, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| állomásnév | A nyomon követést figyelő vagy éppen megfigyelt állomásnév |
| firstSeen | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor a Microsoft először észlelte, hogy a gazdanév a követőt használja |
| lastSeen | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor a Microsoft utoljára észlelte, hogy a gazdanév a követőt használja |
| attributeType | Tracker type |
| attributeValue | Tracker value |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor adatokat tölt le az Összetevők lapról, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| állomásnév | Az összetevőt figyelő vagy jelenleg megfigyelt állomásnév |
| firstSeen | Dátum és idő ( hh/dd/éé óó:mm formátumban), amikor a Microsoft először észlelte, hogy a gazdanév az összetevőt használja |
| lastSeen | Dátum és idő ( hh/dd/éé óó:mm formátumban), amikor a Microsoft utoljára észlelte, hogy a gazdanév az összetevőt használja |
| kategória | Alkatrésztípus |
| név | Összetevő neve |
| verzió | Összetevő verziója |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor adatokat tölt le a Gazdagéppárok lapról, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| parentHostname | A gyermek gazdagépnévhez elért állomásnév |
| childHostname | A gazdagépnév, amely az általuk üzemeltetett objektumokat a szülő gazdagépnévhez eteti. |
| firstSeen | Dátum és idő ( hh/dd/yyyy hh:mm formátumban), amikor a Microsoft először észlelte a szülő és a gyermek állomásneve közötti kapcsolatot |
| lastSeen | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor a Microsoft utoljára megfigyelte a szülő és a gyermek állomásneve közötti kapcsolatot |
| attributeCause | A szülő és a gyermek állomásneve közötti kapcsolat oka |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor adatokat tölt le a Cookie-k lapról, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| állomásnév | A cookie nevét megfigyelő állomásnév |
| firstSeen | Dátum és idő ( hh/dd/yyyy hh:mm formátumban), amikor a cookie nevét először a cookie-tartományból származó állomásnévhez figyelték meg |
| lastSeen | Dátum és idő ( hh/dd/yyyy hh:mm formátumban), amikor a cookie nevét utoljára megfigyelték a cookie-tartományból származó állomásnévhez |
| cookieName | Cookie neve |
| cookieDomain | Annak a tartománynévnek a kiszolgálója, ahonnan a cookie-név származik |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
Amikor projektlistákat tölt le Intel-projektekből (Saját projektek, Csapatprojektek és Megosztott projektek), a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| név | Projekt neve |
| összetevők (darabszám) | Munkadarabok száma a projekten belül |
| készítette: (felhasználó) | A projektet létrehozó felhasználó |
| létrehozás dátuma: | A projekt létrehozásakor |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
| Együttműködők | Kik lettek közreműködőként hozzáadva a projekthez; ez a fejléc csak a Saját projektek és a Megosztott projektek lapról letöltött projekteknél látható |
Amikor projektrészleteket (összetevőket) tölt le egy projektből, a következő fejlécek lesznek exportálva:
| Fejléc | Leírás |
|---|---|
| lelet | Összetevő értéke (például IP-cím, tartomány, gazdagép, WHOIS-érték vagy SHA-1 tanúsítvány) |
| típus | Összetevő típusa (például IP-cím, tartomány, gazdagép, WHOIS-szervezet, WHOIS-telefon vagy SHA-1 tanúsítvány) |
| Létrehozott | Dátum és idő ( hh/dd/ééhh:mm formátumban), amikor az összetevőt hozzáadták a projekthez |
| alkotó | Email összetevőt hozzáadó felhasználó címe |
| kontextus | Az összetevő hozzáadása a projekthez |
| Címkék | Az összetevőhöz társított rendszer- vagy egyéni címkék |
| Együttműködők | Kik lettek közreműködőként hozzáadva a projekthez; ez a fejléc csak a Saját projektek és a Megosztott projektek lapról letöltött projekteknél látható |
A fenyegetésfelderítés nyilvános vagy riskiq mutatóinak letöltése a következő fejléceket exportálja:
| Fejléc | Leírás |
|---|---|
| típus | Mutató típusa (például IP-cím, tanúsítvány, tartomány vagy SHA-256) |
| érték | Mutató értéke (például IP-cím, tartomány vagy állomásnév) |
| forrás | Mutatóforrás (RiskIQ vagy OSINT) |