Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Fontos
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) megszűnik, és Microsoft Defender egyesül a hatékony egységes élmény érdekében. A meglévő ügyfelek 2026. augusztus 1-jén kivezetéséig továbbra is teljes hozzáféréssel rendelkeznek a jelenlegi Defender TI-élményükhöz. További információ
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) lehetővé teszi privát személyes vagy csapatprojektek fejlesztését, amelyek egy vizsgálatból származó érdeklődési mutatókat és biztonsági rések mutatóit (IOK) rendszerezik. A projektek tartalmazzák az összes társított összetevő listáját, valamint egy részletes előzményt, amely megőrzi a neveket, leírásokat, közreműködőket és figyelési profilokat.
Amikor a Microsoft Defender portálon keres egy IP-címet, tartományt vagy gazdagépet az Intel Explorerben, és a mutató egy olyan projektben szerepel, amelyhez hozzáféréssel rendelkezik, a Projektek lapon navigálhat a projekt részleteihez a mutatóval kapcsolatos további információkért, mielőtt további információkat keres a többi adatkészletben. Privát csapatprojekteit a Defender portálon is megtekintheti a Fenyegetésfelderítési>Intel-projektek területen.
A projekt részleteinek felkeresése megjeleníti az összes társított összetevő listáját, valamint egy részletes előzményt, amely megőrzi a korábban leírt összes környezetet. Önnek és a szervezet más felhasználóinak már nem kell oda-vissza kommunikálniuk. A Defender TI-ben létrehozhat fenyegetés aktorprofilokat, amelyek "élő" jelzőkészletként szolgálhatnak. Új információk felderítése vagy keresésekor hozzáadhatja azokat a projekthez.
A Defender TI platform lehetővé teszi, hogy több projekttípust fejlesszen ki az érdeklődésre számot tartó mutatók és az IOC-k vizsgálatból történő rendszerezéséhez.
A projekt tulajdonosa hozzáadhat közreműködőket (a prémium szintű Defender TI-licenccel rendelkező Azure-bérlőben felsorolt felhasználókat), akik ezután úgy módosíthatják a projektet, mintha ők lennének a projekt tulajdonosai. A közreműködők azonban nem törölhetik a projekteket. A közreműködők az Intel-projektek lap Megosztott projektek lapján tekinthetik meg a velük megosztott projekteket .
A projekten belüli összetevőket a Letöltés ikonra kattintva is letöltheti. Ez a funkció nagyszerű módja annak, hogy a veszélyforrás-keresési csapatok egy vizsgálat eredményei alapján blokkolják az IOK-okat, vagy további észlelési szabályokat hozzanak létre a biztonsági információ- és eseménykezelő (SIEM) alkalmazásokban.
A kérdésekre a projektek segíthetnek választ adni:
Az egyik csapattagom létrehozott egy olyan csapatprojektet, amely tartalmazza ezt a mutatót?
- Ha igen, milyen egyéb kapcsolódó IOC-ket rögzített ez a csapattag, és milyen leírást és címkéket tartalmaztak a vizsgálat típusának leírásához?
Mikor szerkesztette utoljára ez a csapattag a projektet?
Előfeltételek
Microsoft Entra ID vagy személyes Microsoft-fiók. Bejelentkezés vagy fiók létrehozása
Prémium szintű Defender TI-licenc.
Megjegyzés:
A prémium szintű Defender TI-licenccel nem rendelkező felhasználók továbbra is hozzáférhetnek az ingyenes Defender TI-ajánlatunkhoz.
A Defender TI Intel-projektek lapjának megnyitása a Microsoft Defender portálon
Az Intel-projektek oldalon megtekintheti azOkat a projekteket, amelyeknek Ön a tulajdonosa, vagy amelyeket más Defender TI-felhasználók osztottak meg Önnel a bérlőben.
- Nyissa meg a Defender portált, és fejezze be a Microsoft hitelesítési folyamatát. További információ a Defender portálról
- Lépjen a Fenyegetésfelderítési>Intel-projektekhez.
Projekt létrehozása
A Defender portálon kétféleképpen hozhat létre projektet:
Ha az Intel-projektek oldalon szeretne projektet létrehozni, válassza az Új projekt lehetőséget.
Ha új projektet szeretne létrehozni, miközben vizsgálatot végez az Intel Explorer oldalán, végezzen mutatókeresést az Intel Explorer kereséséből, majd válassza a Hozzáadás a projekthez>Új projekt hozzáadása lehetőséget a keresési eredményeken.
A megjelenő Új projektoldal panelen töltse ki a szükséges mezőket, és válassza a Mentés lehetőséget.
Projektek kezelése
Miután létrehozott egy projektet, azt az Intel-projektek lapon kezelheti. Ezen a lapon az összes elérhető projekt látható, és a projekttulajdonságok alapján szűrési mechanizmusokat biztosít.
Alapértelmezés szerint az Intel-projektek oldal megjeleníti a bérlő összes Defender TI-felhasználójához társított csapatprojekteket. Kiválaszthatja, hogy csak a létrehozott személyes projekteket vagy azokat a projekteket tekintse meg, amelyekhez önnel megosztották a közreműködést.
- A projekt részleteinek megtekintéséhez válassza ki a projekt nevét.
- Ha közvetlenül szeretné módosítani a projektet, válassza a Szerkesztés lehetőséget a projektlap jobb felső sarkában. Projekteket csak akkor szerkeszthet, ha rendelkezik a megfelelő hozzáférési szinttel.
- Ha manuálisan szeretne összetevőket hozzáadni egy projekthez, válassza az Összetevő hozzáadása lehetőséget a projektlap jobb felső sarkában.
- Projekt törléséhez válassza a Projekt eltávolítása lehetőséget. Csak a tulajdonában lévő projektek törölhetők.
Gyakorlati tanácsok
Amikor a Defender TI használatával vizsgálja meg a lehetséges fenyegetéseket, javasoljuk, hogy futtassa az alábbi munkafolyamatokat, mivel ezek a lépések lehetővé teszik a stratégiai és műveleti intelligencia gyűjtését, mielőtt beleválad a taktikai intelligencia használatába.
A Defender TI-ben különböző típusú kereséseket hajthat végre. Ezért fontos olyan módon megközelíteni az intelligenciagyűjtési módszert, amely széles körű eredményeket ad, mielőtt konkrét mutatókat vizsgálnál. Ha például az Intel Explorer oldalán keres egy IP-címet, milyen cikkek kapcsolódnak ehhez az IP-címhez? Milyen információkat tartalmaznak ezek a cikkek arról az IP-címről, amelyet egyébként nem találna közvetlenül az IP-cím Adatok lapján az adathalmazok bővítéséhez. Azonosította például ezt az IP-címet egy lehetséges parancs- és vezérlési (C2) kiszolgálóként? Ki a fenyegetés szereplője? Milyen egyéb kapcsolódó IOC-k szerepelnek a cikkben, milyen taktikákat, technikákat és eljárásokat (TTP-ket) használ a fenyegetési szereplő, és kiket céloz meg?
A Defender TI-ben a különböző típusú keresések mellett másokkal is együttműködhet a vizsgálatokon. Ez azt jelenti, hogy javasoljuk, hogy hozzon létre projekteket, adjon hozzá egy vizsgálathoz kapcsolódó mutatókat egy projekthez, és vegyen fel közreműködőket egy projektbe, ha egynél több személy dolgozik ugyanazon a vizsgálaton. Ez segít csökkenteni ugyanazon IOK-k elemzésével töltött időt, és gyorsabb munkafolyamatot eredményez.