Címkék használata
Fontos
2024. június 30-án a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) önálló portálja (https://ti.defender.microsoft.com) megszűnik, és többé nem lesz elérhető. Az ügyfelek továbbra is használhatják a Defender TI-t az Microsoft Defender portálon vagy a Microsoft Copilot a biztonságért. További információ
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) címkék gyors betekintést nyújtanak az összetevőkbe, akár a rendszer, akár más felhasználók által létrehozottak. A címkék segítik az elemzőket abban, hogy összekapcsolják a jelenlegi incidensek és vizsgálatok közötti kapcsokat és azok előzményeit a jobb elemzés érdekében.
A Defender TI kétféle címkét kínál: rendszercímkéket és egyéni címkéket.
Előfeltételek
Egy Microsoft Entra ID vagy személyes Microsoft-fiók. Bejelentkezés vagy fiók létrehozása
Prémium szintű Defender TI-licenc.
Megjegyzés:
A Prémium szintű Defender TI-licenccel nem rendelkező felhasználók továbbra is hozzáférhetnek az ingyenes Defender TI-ajánlatunkhoz.
Rendszercímkék
A Defender TI automatikusan létrehoz rendszercímkéket az elemzés irányításához. Ezek a címkék nem igényelnek bemenetet vagy erőfeszítést az Ön részéről.
A rendszercímkék a következők lehetnek:
- Irányítható: Azt jelzi, hogy az összetevő elérhető.
- ASN: Lekéri egy IP-cím autonóm rendszerszámának (ASN) rövidített részét egy címkébe, hogy az elemzők kontextust biztosítsanak arról, hogy kihez tartozik az IP-cím.
- Dinamikus: Azt jelzi, hogy egy dinamikus tartománynévrendszer-szolgáltatás (például no-IP vagy Change IP) birtokolja-e a tartományt.
- Víznyelő: Azt jelzi, hogy az IP-cím a biztonsági szervezetek által a támadási kampányok kivizsgálására használt kutatási mélyedés. Ezért a társított tartományok nem kapcsolódnak közvetlenül egymáshoz.
Egyéni címkék
Az egyéni címkék kontextust hoznak létre a biztonsági rések (IOK) jelzéseihez, és még egyszerűbbé teszik az elemzést azoknak a tartományoknak a azonosításával, amelyekről a nyilvános jelentésekből ismert rossz, vagy amelyeket ilyenként kategorizált. Ezeket a címkéket manuálisan hozhatja létre a saját vizsgálatai alapján, és ezekkel a címkékkel megoszthatja a bérlőn belüli többi Prémium szintű Defender TI-licencfelhasználóval az összetevővel kapcsolatos legfontosabb megállapításokat.
Egyéni címkék hozzáadása, módosítása és eltávolítása
Saját egyéni címkéket is hozzáadhat a címkefürthöz, ha beírja őket a címkesávba. Ezeket a címkéket Ön és a csapattagok is megtekinthetik, ha a szervezete Defender TI-ügyfél. A rendszerbe beírt címkék privátak, és nincsenek megosztva a nagyobb közösséggel.
Címkéket is módosíthat vagy eltávolíthat. Miután hozzáadott egy címkét, Ön vagy a szervezet egy másik fizetős licencfelhasználója módosíthatja vagy eltávolíthatja azt, ami egyszerű együttműködést tesz lehetővé a biztonsági csapat között.
Nyissa meg a Defender portált , és fejezze be a Microsoft hitelesítési folyamatát. További információ a Defender portálról
Nyissa meg a Fenyegetésfelderítési>Intel Explorert.
Keresés egy jelzőt, amelyhez címkéket szeretne hozzáadni az Intel Explorer keresősávjában.
Válassza a Címkék szerkesztése lehetőséget a lap bal felső sarkában.
Adja hozzá a mutatóhoz társítani kívánt címkéket a megjelenő Egyéni címkék előugró ablakban. Új mutató hozzáadásához nyomja le a Tab billentyűt egy új mutató hozzáadásához.
Ha befejezte az összes címke hozzáadását, válassza a Mentés lehetőséget a módosítások mentéséhez.
A címkék szerkesztéséhez ismételje meg a 3. lépést. Ha eltávolít egy címkét, válassza az X elemet a végén, majd adjon hozzá újakat a 4–6. lépés megismétlésével.
Mentse a módosításokat.
Egyéni címkék megtekintése és keresése
Megtekintheti a bérlőn belül hozzáadott címkéket, miután rákeresett egy IP-címre, tartományra vagy gazdagép-összetevőre.
Nyissa meg a Defender portált , és fejezze be a Microsoft hitelesítési folyamatát.
Nyissa meg a Fenyegetésfelderítési>Intel Explorert.
Válassza ki a Címkekeresés típusát az Intel Explorer keresősávjának legördülő listájában, majd keressen a címkeértékben az összes olyan mutató azonosításához, amely ugyanazt a címkeértéket használja.
Gyakori címkehasználati esetek munkafolyamata
Tegyük fel, hogy egy incidenst vizsgál, és azt tapasztalja, hogy az adathalászathoz kapcsolódik. Az incidenshez kapcsolódó IOK-okhoz címkeként adhat hozzá phish
. Később az incidensmegoldási és veszélyforrás-keresési csapat tovább elemezheti ezeket az IOC-ket, és együttműködhet a fenyegetésfelderítési megfelelőikkel annak megállapításához, hogy melyik aktorcsoport felelős az adathalász incidensért. Ezután hozzáadhatnak egy másik [actor name]
címkét ezekhez az IOK-khoz, vagy azt, hogy milyen infrastruktúrát használtak, amely összekapcsolta őket más kapcsolódó IOK-okkal, például egy [SHA-1 hash]
egyéni címkével.
Lásd még
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: