Megosztás a következőn keresztül:

Címkék használata

  • Cikk

Fontos

2024. június 30-án a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) önálló portálja (https://ti.defender.microsoft.com) megszűnik, és többé nem lesz elérhető. Az ügyfelek továbbra is használhatják a Defender TI-t az Microsoft Defender portálon vagy a Microsoft Copilot a biztonságért. További információ

Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) címkék gyors betekintést nyújtanak az összetevőkbe, akár a rendszer, akár más felhasználók által létrehozottak. A címkék segítik az elemzőket abban, hogy összekapcsolják a jelenlegi incidensek és vizsgálatok közötti kapcsokat és azok előzményeit a jobb elemzés érdekében.

A Defender TI kétféle címkét kínál: rendszercímkéket és egyéni címkéket.

Előfeltételek

  • Egy Microsoft Entra ID vagy személyes Microsoft-fiók. Bejelentkezés vagy fiók létrehozása

  • Prémium szintű Defender TI-licenc.

    Megjegyzés:

    A Prémium szintű Defender TI-licenccel nem rendelkező felhasználók továbbra is hozzáférhetnek az ingyenes Defender TI-ajánlatunkhoz.

Rendszercímkék

A Defender TI automatikusan létrehoz rendszercímkéket az elemzés irányításához. Ezek a címkék nem igényelnek bemenetet vagy erőfeszítést az Ön részéről.

A rendszercímkék a következők lehetnek:

  • Irányítható: Azt jelzi, hogy az összetevő elérhető.
  • ASN: Lekéri egy IP-cím autonóm rendszerszámának (ASN) rövidített részét egy címkébe, hogy az elemzők kontextust biztosítsanak arról, hogy kihez tartozik az IP-cím.
  • Dinamikus: Azt jelzi, hogy egy dinamikus tartománynévrendszer-szolgáltatás (például no-IP vagy Change IP) birtokolja-e a tartományt.
  • Víznyelő: Azt jelzi, hogy az IP-cím a biztonsági szervezetek által a támadási kampányok kivizsgálására használt kutatási mélyedés. Ezért a társított tartományok nem kapcsolódnak közvetlenül egymáshoz.

Rendszercímkék.

Egyéni címkék

Az egyéni címkék kontextust hoznak létre a biztonsági rések (IOK) jelzéseihez, és még egyszerűbbé teszik az elemzést azoknak a tartományoknak a azonosításával, amelyekről a nyilvános jelentésekből ismert rossz, vagy amelyeket ilyenként kategorizált. Ezeket a címkéket manuálisan hozhatja létre a saját vizsgálatai alapján, és ezekkel a címkékkel megoszthatja a bérlőn belüli többi Prémium szintű Defender TI-licencfelhasználóval az összetevővel kapcsolatos legfontosabb megállapításokat.

Egyéni címkék.

Egyéni címkék hozzáadása, módosítása és eltávolítása

Saját egyéni címkéket is hozzáadhat a címkefürthöz, ha beírja őket a címkesávba. Ezeket a címkéket Ön és a csapattagok is megtekinthetik, ha a szervezete Defender TI-ügyfél. A rendszerbe beírt címkék privátak, és nincsenek megosztva a nagyobb közösséggel.

Címkéket is módosíthat vagy eltávolíthat. Miután hozzáadott egy címkét, Ön vagy a szervezet egy másik fizetős licencfelhasználója módosíthatja vagy eltávolíthatja azt, ami egyszerű együttműködést tesz lehetővé a biztonsági csapat között.

  1. Nyissa meg a Defender portált , és fejezze be a Microsoft hitelesítési folyamatát. További információ a Defender portálról

  2. Nyissa meg a Fenyegetésfelderítési>Intel Explorert.

  3. Keresés egy jelzőt, amelyhez címkéket szeretne hozzáadni az Intel Explorer keresősávjában.

    Címkék keresése.

  4. Válassza a Címkék szerkesztése lehetőséget a lap bal felső sarkában.

    Címkék keresése Címkék szerkesztése.

  5. Adja hozzá a mutatóhoz társítani kívánt címkéket a megjelenő Egyéni címkék előugró ablakban. Új mutató hozzáadásához nyomja le a Tab billentyűt egy új mutató hozzáadásához.

    Címkék keresése Címkék hozzáadása.

  6. Ha befejezte az összes címke hozzáadását, válassza a Mentés lehetőséget a módosítások mentéséhez.

    Címkék keresése Címkék mentése.

  7. A címkék szerkesztéséhez ismételje meg a 3. lépést. Ha eltávolít egy címkét, válassza az X elemet a végén, majd adjon hozzá újakat a 4–6. lépés megismétlésével.

  8. Mentse a módosításokat.

Egyéni címkék megtekintése és keresése

Megtekintheti a bérlőn belül hozzáadott címkéket, miután rákeresett egy IP-címre, tartományra vagy gazdagép-összetevőre.

Egyéni címkekeresés.

  1. Nyissa meg a Defender portált , és fejezze be a Microsoft hitelesítési folyamatát.

  2. Nyissa meg a Fenyegetésfelderítési>Intel Explorert.

  3. Válassza ki a Címkekeresés típusát az Intel Explorer keresősávjának legördülő listájában, majd keressen a címkeértékben az összes olyan mutató azonosításához, amely ugyanazt a címkeértéket használja.

    Keresés címkékhez az Intel Explorerben.

Gyakori címkehasználati esetek munkafolyamata

Tegyük fel, hogy egy incidenst vizsgál, és azt tapasztalja, hogy az adathalászathoz kapcsolódik. Az incidenshez kapcsolódó IOK-okhoz címkeként adhat hozzá phish . Később az incidensmegoldási és veszélyforrás-keresési csapat tovább elemezheti ezeket az IOC-ket, és együttműködhet a fenyegetésfelderítési megfelelőikkel annak megállapításához, hogy melyik aktorcsoport felelős az adathalász incidensért. Ezután hozzáadhatnak egy másik [actor name] címkét ezekhez az IOK-khoz, vagy azt, hogy milyen infrastruktúrát használtak, amely összekapcsolta őket más kapcsolódó IOK-okkal, például egy [SHA-1 hash] egyéni címkével.

Lásd még