Ricerca e pivot

Importante

Il 30 giugno 2024 il portale autonomo Microsoft Defender Threat Intelligence (Defender TI) (https://ti.defender.microsoft.com) verrà ritirato e non sarà più accessibile. I clienti possono continuare a usare Defender TI nel portale di Microsoft Defender o con Microsoft Copilot per la sicurezza. Altre informazioni

Microsoft Defender Threat Intelligence (Defender TI) offre un motore di ricerca affidabile e flessibile per semplificare il processo di indagine. La piattaforma è progettata per consentire agli utenti di passare attraverso un'ampia gamma di indicatori provenienti da origini dati diverse, rendendo più semplice che mai individuare le relazioni tra infrastrutture diverse. Questo articolo consente agli utenti di comprendere come eseguire una ricerca e passare da un set di dati all'altro per individuare le relazioni tra artefatti diversi.

Screenshot di Chrome di Search HomePage

Prerequisiti

  • Un account Microsoft Microsoft Entra ID o personale. Accedere o creare un account
  • Licenza Premium Microsoft Defender Threat Intelligence (Defender TI).

    Nota

    Gli utenti senza una licenza Defender TI Premium potranno comunque accedere al portale di Defender Threat Intelligence e accedere alla nostra offerta gratuita Defender TI.

Aprire la home page di Intelligence per le minacce di Defender TI

  1. Accedere al portale di Defender Threat Intelligence.
  2. Completare l'autenticazione Microsoft per accedere al portale.

Esecuzione di ricerche e pivot di Intelligence per le minacce

La ricerca di Threat Intelligence di Defender TI è semplice e potente, progettata per fornire informazioni chiave immediate e allo stesso tempo consentire agli utenti di interagire direttamente con i set di dati che comprendono queste informazioni dettagliate. La barra di ricerca supporta un'ampia gamma di input diversi; gli utenti possono cercare elementi specifici e nomi di articolo o progetto.

Search tipi di artefatto

  1. Indirizzo IP: Search '195.161.141[.] 65' nella barra di Search di Intelligence per le minacce. Questa azione comporta una ricerca di indirizzi IP.

    indirizzo IP Search

  2. Dominio: Search fabrikam.com nella barra di Search di Intelligence per le minacce. Questa azione comporta una ricerca nel dominio.

    dominio Search

  3. Host: Search canary.fabrikam.com nella barra Search di Intelligence per le minacce. Questa azione comporta una ricerca host.

    Host Search

  4. Parola chiave: Search 'apt29' nella barra di Search di Intelligence per le minacce. Questa azione genera una ricerca con parole chiave. Le ricerche di parole chiave coprono qualsiasi tipo di parola chiave, che può includere un termine, un indirizzo di posta elettronica e così via. Le ricerche con parole chiave generano associazioni con articoli, progetti e set di dati.

    Parola chiave Search

  5. CVE-ID: Search 'CVE-2021-40444' nella barra di Search di Threat Intelligence. Questa azione comporta una ricerca di parole chiave CVE-ID.

  6. Articolo: Search 'Commodity Skimming & Magecart Trends in First Quarter of 2022' nella barra di Search threat intelligence. Questa azione comporta una ricerca nell'articolo.

    articolo Search Ti

  7. Tag: Selezionare "Tag" dall'elenco a discesa Intelligence per le minacce Search e digitare magecart nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione genera una ricerca tag.

    Nota

    In questo modo non vengono restituiti articoli che condividono il valore del tag.

    Tag Search

  8. Componente: Selezionare "Componente" dall'elenco a discesa Threat Intelligence Search e digitare "cobalt strike" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione genera una ricerca nel componente.

    Componente Search

  9. Localizzatore: Selezionare "Trackers" dall'elenco a discesa Threat Intelligence Search e digitare "07d14d16d21d21d00042d41d00041d47e4e0ae17960b2a5b4fd6107fbb0926" nella barra di Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca di Tracker. Nota: in questo esempio si tratta di un tipo JarmHash Tracker.

    Nota

    In questo esempio si tratta di un tipo JarmHash Tracker.

    Tracker Search

  10. WHOIS Email: Selezionare "WHOIS" > 'Email' dall'elenco a discesa Threat Intelligence Search e digitare domains@microsoft.com nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca whois Email.

    Search Whois Email

  11. Nome WHOIS: Selezionare "WHOIS" "Name" > dall'elenco a discesa Threat Intelligence Search e digitare "MSN Hostmaster" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione genera una ricerca nome WHOIS.

    Search Nome Whois

  12. Organizzazione WHOIS: Selezionare "WHOIS" "Organization" > dall'elenco a discesa Threat Intelligence Search e digitare "Microsoft Corporation" nella barra Search di Threat Intelligence. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca dell'organizzazione WHOIS.

    organizzazione Search Whois

  13. Indirizzo WHOIS: Selezionare "WHOIS" "Address" > dall'elenco a discesa Threat Intelligence Search e digitare "One Microsoft Way" nella barra Search di Threat Intelligence. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca di indirizzi WHOIS.

    indirizzo di Search Whois

  14. WHOIS City: Selezionare "WHOIS" "City" > dall'elenco a discesa Threat Intelligence Search e digitare "Redmond" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca whois city.

    Search Whois City

  15. Stato WHOIS: Selezionare "WHOIS" "State" > dall'elenco a discesa Threat Intelligence Search e digitare "WA" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca dello stato WHOIS.

    Search stato di Whois

  16. Codice postale WHOIS: Selezionare "WHOIS" > "Codice postale" dall'elenco a discesa Threat Intelligence Search e digitare "98052" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca nel codice postale WHOIS.

    codice postale Search Whois

  17. Paese WHOIS: Selezionare "WHOIS" "Country" > dall'elenco a discesa Threat Intelligence Search e digitare "US" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca whois paese/area geografica.

    Search Whois Country

  18. Telefono WHOIS: Selezionare "WHOIS" > "Phone" dall'elenco a discesa Threat Intelligence Search e digitare "+1.4258828080" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione genera una ricerca whois phone.

    Search Whois Phone

  19. WHOIS Nameserver: Selezionare "WHOIS" > "Nameserver" dall'elenco a discesa Threat Intelligence Search e digitare ns1-03.azure-dns.com nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca del server dei nomi WHOIS.

    Search server Whois Name

  20. Certificato SHA-1: Selezionare 'Certificate' > 'SHA-1' dall'elenco a discesa Threat Intelligence Search e digitare "35cd04a03ef86664623581cbd56e45ed07729678" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca SHA-1 del certificato.

    Search Certificato Sha1

  21. Numero di serie del certificato: Selezionare "Certificato" > "Numero di serie" nell'elenco a discesa Threat Intelligence Search e digitare "1137354899731266880939192213383415094395905558" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca del numero di serie del certificato.

    Search numero di serie del certificato

  22. Nome comune autorità di certificazione del certificato: Selezionare 'Certificate' > 'Issuer Common Name' (Nome comune autorità di certificazione) nell'elenco a discesa Threat Intelligence Search e digitare "Microsoft Azure TLS Issuing CA 05" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca del nome comune dell'autorità di certificazione del certificato.

    CommonName dell'autorità di certificazione Search

  23. Nome alternativo autorità di certificazione del certificato: Selezionare "Certificato" > "Nome alternativo autorità di certificazione" nell'elenco a discesa Intelligence per le minacce Search e digitare un nome alternativo dell'autorità di certificazione del certificato nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca nel nome alternativo dell'autorità di certificazione del certificato.

  24. Nome comune soggetto certificato: Selezionare "Certificato" > "Nome comune soggetto" nell'elenco a discesa Intelligence per le minacce Search e digitare *.oneroute.microsoft.com nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca del nome comune del soggetto del certificato.

    Search Certificate Subject CommonName

  25. Nome alternativo soggetto certificato: Selezionare "Certificato" > "Nome alternativo soggetto" nell'elenco a discesa Intelligence per le minacce Search e digitare nella oneroute.microsoft.com barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca del nome alternativo del soggetto del certificato.

    Search Nome alternativo soggetto certificato

  26. Nome cookie: Selezionare 'Cookie' > 'Name' dall'elenco a discesa Threat Intelligence Search e digitare "ARRAffinity" nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca nel nome del cookie.

    nome cookie Search

  27. Dominio cookie: Selezionare 'Cookie' > 'Domain' dall'elenco a discesa Threat Intelligence Search e digitare portal.fabrikam.com nella barra Search di Intelligence per le minacce. Premere INVIO o selezionare la freccia destra per eseguire la ricerca. Questa azione comporta una ricerca nel dominio dei cookie.

    Search Cookie Domain

  28. Perni: Per qualsiasi ricerca eseguita nei passaggi precedenti, sono presenti artefatti con collegamenti ipertestuali che è possibile passare per individuare risultati ulteriormente arricchiti associati a tali indicatori. Non esitate a sperimentare con questo per conto vostro.

Risultati di ricerca

Informazioni dettagliate chiave

Nella parte superiore della pagina, la piattaforma fornisce alcune informazioni di base sull'artefatto. Queste informazioni possono includere quanto segue, a seconda del tipo di artefatto:

  • Paese: il flag accanto all'indirizzo IP indica il paese o l'area geografica di origine dell'artefatto, che può contribuire a determinarne la reputazione o il comportamento di sicurezza. Questo indirizzo IP è ospitato nell'infrastruttura all'interno del Stati Uniti.
  • Reputazione: in questo esempio, l'indirizzo IP è contrassegnato con "Dannoso" che indica che la piattaforma ha rilevato connessioni tra questo artefatto e l'infrastruttura di consulenza nota. Gli artefatti possono anche essere contrassegnati come "Sospetto", "Neutrale" o "Sconosciuto".
  • First Seen: questo timestamp indica quando l'artefatto è stato osservato per la prima volta dal sistema di rilevamento della piattaforma. Comprendere la durata di un artefatto può contribuire a determinarne la reputazione.
  • Last Seen: questo timestamp indica quando l'artefatto è stato osservato per l'ultima volta dal sistema di rilevamento della piattaforma. In questo modo è possibile determinare se l'artefatto viene ancora usato attivamente.
  • Blocco IP: il blocco IP che include l'artefatto dell'indirizzo IP sottoposto a query.
  • Registrar: registrar associato al record WHOIS per l'artefatto del dominio sottoposto a query.
  • Registrant: nome del registrante all'interno dei dati WHOIS per un artefatto.
  • ASN: il nome asn associato all'artefatto.
  • Sistema operativo: il sistema operativo associato all'artefatto.
  • Host: provider di hosting per l'artefatto. Alcuni provider di hosting sono più affidabili di altri, quindi questo valore può aiutare a indicare la validità di un artefatto.

informazioni dettagliate sulla chiave IP Search

Questa sezione mostra anche tutti i tag applicati all'artefatto o ai progetti che lo includono. Gli utenti possono anche aggiungere un tag o aggiungere l'artefatto a un progetto.

Scheda Riepilogo

Panoramica

I risultati di una ricerca di Threat Intelligence sono raggruppati in due schede: "Riepilogo" e "Dati". La scheda Riepilogo fornisce informazioni dettagliate chiave su un artefatto derivato dalla piattaforma dai set di dati estesi. Questa sezione è progettata per visualizzare i risultati chiave che possono aiutare a avviare un'indagine.

Reputazione

Defender TI fornisce punteggi di reputazione proprietari per qualsiasi host, dominio o indirizzo IP. Se si convalida la reputazione di un'entità nota o sconosciuta, questo punteggio consente agli utenti di comprendere rapidamente eventuali collegamenti rilevati a un'infrastruttura dannosa o sospetta. I punteggi di reputazione vengono visualizzati come punteggio numerico con un intervallo compreso tra 0 e 100. Un'entità con punteggio "0" non ha associazioni note ad attività sospette o indicatori noti di compromissione; un punteggio di "100" indica che l'entità è dannosa. La piattaforma fornisce un elenco di regole con una descrizione e una classificazione di gravità. Nell'esempio seguente vengono visualizzate quattro regole di "gravità elevata" applicabili a questo dominio.

Per altre informazioni, vedere Assegnazione dei punteggi alla reputazione.

Reputazione scheda Riepilogo

Insights degli analisti

La sezione Analyst Insights fornisce informazioni rapide sull'artefatto che potrebbero aiutare a determinare il passaggio successivo di un'indagine. Questa sezione elenca tutte le informazioni dettagliate che si applicano all'artefatto e quelle che non si applicano per una maggiore visibilità. Nell'esempio seguente è possibile determinare rapidamente che l'indirizzo IP è instradabile, ospita un server Web e ha una porta aperta negli ultimi cinque giorni. Inoltre, il sistema visualizza regole che non sono state attivate, che possono essere ugualmente utili quando si avvia un'indagine.

Per altre informazioni, vedere Informazioni dettagliate sugli analisti.

Informazioni dettagliate dell'analista della scheda Riepilogo

Articoli

Nella sezione Articoli vengono visualizzati tutti gli articoli che potrebbero fornire informazioni dettagliate su come analizzare al meglio e infine disarmare l'artefatto interessato. Questi articoli sono scritti da ricercatori che studiano il comportamento degli attori noti delle minacce e la loro infrastruttura, esponendo i risultati chiave che possono aiutare gli altri a mitigare i rischi per la loro organizzazione. In questo esempio, l'indirizzo IP cercato è stato identificato come un CIO correlato ai risultati all'interno dell'articolo.

Per altre informazioni, vedere Che cos'è Microsoft Defender Threat Intelligence (Defender TI)?

Articoli della scheda Riepilogo

Servizi

Questa sezione elenca tutti i servizi rilevati in esecuzione nell'artefatto dell'indirizzo IP. Ciò è utile quando si tenta di comprendere l'uso previsto dell'entità. Durante l'analisi dell'infrastruttura dannosa, queste informazioni consentono di determinare le funzionalità di un artefatto, consentendo agli utenti di difendere in modo proattivo la propria organizzazione in base a queste informazioni

Servizi scheda Riepilogo

Risoluzioni

Le risoluzioni sono singoli record DNS acquisiti usando sensori passivi distribuiti in tutto il mondo. Questi valori rivelano una cronologia del modo in cui un dominio o un indirizzo IP cambia l'infrastruttura nel tempo. Possono essere usati per individuare altre infrastrutture e misurare i rischi in base ai livelli di connessione. Per ogni risoluzione, vengono forniti timestamp "first seen" e "last seen" per mostrare il ciclo di vita delle risoluzioni.

Riepilogo - Soluzioni per le nuove schede

Certificati

Oltre a proteggere i dati, i certificati TLS sono un modo fantastico per gli utenti di connettere infrastrutture di rete diverse. I certificati TLS possono stabilire connessioni che potrebbero non essere presenti nei dati DNS o WHOIS passivi. Ciò significa più modi per correlare le potenziali infrastrutture dannose e identificare potenziali errori di sicurezza operativa degli attori. Per ogni certificato TLS vengono specificati il nome del certificato, la data di scadenza, il nome comune del soggetto e il nome dell'organizzazione soggetto.

Scheda Riepilogo Certificati

Progetti

La piattaforma Defender TI consente agli utenti di creare progetti per l'organizzazione di indicatori di interesse o di compromissione da un'indagine. Vengono inoltre creati progetti per monitorare gli artefatti di connessione per una maggiore visibilità. I progetti contengono un elenco di tutti gli elementi associati e una cronologia dettagliata che conserva i nomi, le descrizioni, i collaboratori e i profili di monitoraggio.

Quando un utente cerca un indirizzo IP, un dominio o un host, se tale indicatore è elencato all'interno di un progetto a cui l'utente ha accesso, l'utente può selezionare la scheda Progetti e passare ai dettagli del progetto per ulteriori informazioni sull'indicatore prima di esaminare gli altri set di dati per altre informazioni.

Per altre informazioni, vedere Uso di progetti.

Progetti scheda Riepilogo

Scheda Dati

Panoramica

La scheda Dati consente agli utenti di approfondire le connessioni tangibili osservate dalla piattaforma Defender TI. Mentre la scheda Riepilogo illustra i risultati chiave per fornire un contesto immediato su un artefatto, la scheda Dati consente agli analisti di studiare queste connessioni in modo molto più granulare. Gli utenti possono selezionare qualsiasi valore restituito per eseguire il pivot tra tutti i metadati correlati.

Schermata edge dei set di dati

Tipi di dati

I set di dati seguenti sono disponibili in Defender TI:

  • Risoluzioni
  • WHOIS
  • Certificati
  • Tracker
  • Sottodomini
  • Componenti
  • Coppie host
  • Cookies
  • Servizi
  • DNS
  • DNS inverso

Questi set di dati separati verranno visualizzati in schede separate dopo l'invio di una ricerca. I risultati sono selezionabili, consentendo a un utente di passare rapidamente all'infrastruttura correlata per scoprire informazioni dettagliate che potrebbero non essere state perse con i metodi investigativi tradizionali.

Risoluzioni

DNS passivo è un sistema di record che archivia i dati di risoluzione DNS per un determinato percorso, record e intervallo di tempo. Questo set di dati di risoluzione cronologica consente agli utenti di visualizzare i domini risolti in un indirizzo IP e viceversa. Questo set di dati consente la correlazione basata sul tempo in base alla sovrapposizione di domini o IP.

PDNS potrebbe consentire l'identificazione di un'infrastruttura di attori delle minacce precedentemente sconosciuta o appena alzata. L'aggiunta proattiva di indicatori agli elenchi di blocchi può tagliare i percorsi di comunicazione prima che le campagne si verifichino. Gli utenti troveranno i dati di risoluzione dei record nella scheda Del set di dati Risoluzioni e troveranno altri tipi di record DNS nella scheda Set di dati DNS.

I dati di risoluzione PDNS includono quanto segue:

  • Risolvere: il nome dell'entità di risoluzione (un indirizzo IP o un dominio)
  • Posizione: la posizione in cui è ospitato l'indirizzo IP.
  • Rete: il netblock o la subnet associata all'indirizzo IP.
  • ASN: il numero di sistema autonomo e il nome dell'organizzazione
  • First Seen: timestamp che visualizza la data in cui è stata osservata per la prima volta questa risoluzione.
  • Last Seen: timestamp che visualizza la data dell'ultima osservazione di questa risoluzione.
  • Origine: l'origine che ha abilitato il rilevamento della relazione.
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Soluzioni data tab Re

WHOIS

WHOIS è un protocollo che consente a chiunque di eseguire query sulle informazioni sulla proprietà di un dominio, un indirizzo IP o una subnet. Una delle funzioni più comuni per WHOIS nella ricerca sull'infrastruttura delle minacce consiste nell'identificare o connettere entità diverse in base a dati univoci condivisi all'interno dei record WHOIS.

Ogni record WHOIS include diverse sezioni, che possono includere informazioni diverse. Le sezioni più comuni includono "registrar", "registrant", "administrator" e "technical" con ognuna potenzialmente corrispondente a un contatto diverso per il record. Spesso questi dati vengono duplicati tra le sezioni, ma in alcuni casi potrebbero esserci lievi discrepanze, soprattutto se un attore ha commesso un errore. Quando si visualizzano informazioni WHOIS all'interno di Defender TI, verrà visualizzato un record condensato che deduplica tutti i dati e nota da quale parte del record proviene.

Gli utenti possono anche visualizzare i record WHOIS cronologici per comprendere come sono cambiati i dati di registrazione nel tempo.

I dati WHOIS includono quanto segue:

  • Record aggiornato: timestamp che indica il giorno dell'ultimo aggiornamento di un record WHOIS.
  • Ultima analisi: data dell'ultima analisi del record da parte del sistema Defender TI.
  • Scadenza: data di scadenza della registrazione, se disponibile.
  • Creato: l'età del record WHOIS corrente.
  • Server WHOIS: il server viene configurato da un registrar accreditato ICANN per acquisire informazioni aggiornate sui domini registrati al suo interno.
  • Registrar: il servizio di registrazione usato per registrare l'artefatto.
  • Stato dominio: stato corrente del dominio. Un dominio "attivo" è attivo su Internet.
  • Email: tutti gli indirizzi di posta elettronica trovati nel record WHOIS e il tipo di contatto a cui sono associati ognuno (ad esempio, amministratore, tecnologia).
  • Nome: il nome di tutti i contatti all'interno del record e il tipo di contatto a cui è associato ognuno di essi.
  • Organizzazione: il nome di tutte le organizzazioni all'interno del record e il tipo di contatto a cui è associato ogni organizzazione.
  • Via: tutti gli indirizzi stradati associati al record e il tipo di contatto a cui è associato.
  • Città: qualsiasi città elencata in un indirizzo associato al record e il tipo di contatto a cui è associato.
  • Stato: tutti gli stati elencati in un indirizzo associato al record e il tipo di contatto a cui è associato.
  • Cap: tutti i codici postali elencati in un indirizzo associato al record e il tipo di contatto a cui è associato.
  • Paese: tutti i paesi/aree geografiche elencati in un indirizzo associato al record e il tipo di contatto a cui è associato.
  • Telefono: tutti i numeri di telefono elencati nel record e il tipo di contatto a cui è associato.
  • Server dei nomi: tutti i server dei nomi associati all'entità registrata.

Scheda Dati WHOIS

Certificati

Oltre a proteggere i dati, i certificati TLS sono un modo fantastico per gli utenti di connettere infrastrutture di rete diverse. Le moderne tecniche di scansione consentono di eseguire richieste di dati su ogni nodo su Internet in poche ore, il che significa che è possibile associare facilmente un certificato a un indirizzo IP che lo ospita regolarmente.

Analogamente a un record WHOIS, i certificati TLS richiedono che l'utente fornisca informazioni per generare il prodotto finale. A parte il dominio, il certificato TLS viene creato per (a meno che non sia autofirma), una qualsiasi delle informazioni aggiuntive può essere costituita dall'utente. La posizione in cui gli utenti vedono più valore dai certificati TLS non è necessariamente i dati univoci che qualcuno potrebbe usare durante la generazione del certificato, ma la posizione in cui è ospitato.

Ciò che rende più preziosi i certificati TLS è che possono creare connessioni che potrebbero non essere presenti nei dati DNS o WHOIS passivi. Ciò significa più modi per correlare le potenziali infrastrutture dannose e identificare potenziali errori di sicurezza operativa degli attori. Microsoft ha raccolto oltre 30 milioni di certificati dal 2013 fino ai giorni nostri e fornisce agli utenti gli strumenti per stabilire correlazioni sul contenuto e la cronologia dei certificati.

I dati del certificato includono:

  • Sha1: Hash dell'algoritmo SHA1 per un asset certificato TLS.
  • First Seen: timestamp che visualizza la data in cui il certificato è stato osservato per la prima volta su un artefatto.
  • Last Seen: timestamp che visualizza la data dell'ultima osservazione del certificato su un artefatto.
  • Infrastruttura: qualsiasi infrastruttura correlata associata al certificato.

Elenco certificati scheda dati

Quando un utente seleziona un hash SHA-1, l'utente sarà in grado di visualizzare i dettagli sul certificato nel riquadro di destra, che include:

  • Numero di serie: Numero di serie associato a un certificato TLS.
  • Rilasciato: Data di rilascio di un certificato.
  • Scade: Data di scadenza di un certificato.
  • Nome comune soggetto: Nome comune del soggetto per qualsiasi certificato TLS associato.
  • Nome comune autorità di certificazione: Nome comune dell'autorità di certificazione per qualsiasi certificato TLS associato.
  • Nome/i alternativo soggetto:Subject Alternative Name/s: Eventuali nomi comuni alternativi per il certificato TLS.
  • Nomi alternativi dell'autorità emittente: Qualsiasi altro nome dell'emittente.
  • Nome organizzazione soggetto: L'organizzazione collegata alla registrazione del certificato TLS.
  • Nome organizzazione autorità di certificazione: Nome dell'organizzazione che ha orchestrato il problema di un certificato.
  • Versione SSL: Versione di TLS con cui è stato registrato il certificato.
  • Unità dell'organizzazione soggetto: Metadati facoltativi che indicano il reparto all'interno di un'organizzazione responsabile del certificato.
  • Unità organizzativa autorità di certificazione: Informazioni aggiuntive sull'organizzazione che rilascia il certificato.
  • Indirizzo della via dell'oggetto: Indirizzo della strada in cui si trova l'organizzazione.
  • Indirizzo dell'emittente: Indirizzo della strada in cui si trova l'organizzazione emittente.
  • Località del soggetto: Città in cui si trova l'organizzazione.
  • Località autorità di certificazione: Città in cui si trova l'organizzazione emittente.
  • Stato soggetto/Provincia: Stato o provincia in cui si trova l'organizzazione.
  • Stato/Provincia emittente: Stato o provincia in cui si trova l'organizzazione emittente.
  • Paese soggetto: Paese/area geografica in cui si trova l'organizzazione.
  • Paese emittente: Paese/area geografica in cui si trova l'organizzazione emittente.
  • Infrastruttura correlata: qualsiasi infrastruttura correlata associata al certificato.

Dettagli certificato scheda dati

Sottodomini

Un sottodominio è un dominio Internet, che fa parte di un dominio primario. I sottodomini sono detti anche "host". Ad esempio, learn.microsoft.com è un sottodominio di microsoft.com. Per ogni sottodominio, potrebbe essere presente un nuovo set di indirizzi IP in cui il dominio si risolve e questa può essere un'ottima origine dati per la ricerca dell'infrastruttura correlata.

I dati del sottodominio includono quanto segue:

  • Nome host: sottodominio associato al dominio in cui è stata eseguita la ricerca.
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Sottodomini scheda dati

Tracker

I tracker sono codici o valori univoci presenti nelle pagine Web e spesso usati per tenere traccia dell'interazione dell'utente. Questi codici possono essere usati per correlare un gruppo eterogeneo di siti Web a un'entità centrale. Spesso, gli attori copiano il codice sorgente del sito Web di una vittima che stanno cercando di rappresentare per una campagna di phishing. Raramente gli attori impiegano il tempo necessario per rimuovere questi ID che consentono agli utenti di identificare questi siti fraudolenti usando i nostri set di dati Trackers.

Il set di dati Tracker di Microsoft include ID di provider come Google, Yandex, Mixpanel, New Relic, Clicky e continua a crescere regolarmente.

I dati del tracker includono quanto segue:

  • Hostname: nome host che ospita l'infrastruttura in cui è stato rilevato il tracker.
  • First Seen: timestamp che visualizza la data in cui è stato osservato per la prima volta questo tracker sull'artefatto.
  • Last Seen: timestamp che visualizza la data dell'ultima osservazione di questo tracker sull'artefatto.
  • Tipo: tipo di tracker rilevato, ad esempio GoogleAnalyticsID, JarmHash.
  • Valore: valore di identificazione per il tracker.
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Data Tab Trackers

Componenti

I componenti Web sono dettagli che descrivono una pagina Web o un'infrastruttura server ricavata da Microsoft che esegue una ricerca per indicizzazione Web o un'analisi. Questi componenti consentono a un utente di comprendere la composizione di una pagina Web o la tecnologia e i servizi che guidano un'infrastruttura specifica.

L'uso di pivot su componenti univoci può trovare l'infrastruttura degli attori o altri siti compromessi. Gli utenti possono anche capire se un sito Web potrebbe essere vulnerabile a un attacco o a una compromissione specifica in base alle tecnologie in esecuzione.

I dati dei componenti includono:

  • Hostname: nome host che ospita l'infrastruttura in cui è stato rilevato il componente.
  • First Seen: timestamp della data in cui questo componente è stato osservato per la prima volta nell'artefatto.
  • Last Seen: timestamp della data dell'ultima osservazione di questo componente sull'artefatto.
  • Categoria: il tipo di componente rilevato, ad esempio Sistema operativo, Framework, Accesso remoto, Server.
  • Nome + versione: il nome del componente e la versione in esecuzione sull'artefatto (ad esempio, Microsoft IIS (v8.5).
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Componenti scheda dati

Coppie host

Le coppie host sono due componenti dell'infrastruttura (padre e figlio) che condividono una connessione osservata dalla ricerca per indicizzazione Web di un utente virtuale Microsoft. La connessione può variare da un reindirizzamento di primo livello (HTTP 302) a qualcosa di più complesso come un riferimento all'origine di iframe o script.

I dati della coppia host includono:

  • Nome host padre: nome host che reindirizza o si connette in altro modo a qualsiasi nome host figlio.
  • Nome host figlio: nome host che si connette al nome host padre. Questo valore è il risultato di un reindirizzamento o di un'altra connessione più complessa.
  • First Seen: data in cui è stata osservata per la prima volta la relazione della coppia host sull'artefatto.
  • Last Seen: data dell'ultima osservazione della relazione della coppia host sull'artefatto.
  • Causa: tipo di connessione tra il nome host padre e il nome host figlio. Le possibili cause includono reindirizzamenti, connessioni img.src, css.import o script.src.
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Coppie host scheda dati

Cookies

I cookie sono piccoli dati inviati da un server a un client mentre l'utente naviga su Internet. Questi valori contengono talvolta uno stato per l'applicazione o piccoli bit di dati di rilevamento. Evidenziamo e indiciamo i nomi dei cookie osservati durante la ricerca per indicizzazione di un sito Web e consentiamo agli utenti di approfondire ovunque il sistema abbia osservato nomi di cookie specifici durante la ricerca per indicizzazione e la raccolta di dati.

I dati dei cookie includono:

  • Hostname: l'infrastruttura host associata al cookie.
  • First Seen: timestamp della data in cui è stato osservato per la prima volta questo cookie sull'artefatto.
  • Last Seen: timestamp della data dell'ultima osservazione di questo cookie sull'artefatto.
  • Nome: il nome del cookie , ad esempio JSESSIONID, SEARCH_NAMESITE.
  • Dominio: il dominio associato al cookie.
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

Cookie della scheda Dati

Servizi

I nomi di servizio e i numeri di porta vengono usati per distinguere tra diversi servizi eseguiti su protocolli di trasporto come TCP, UDP, DCCP e SCTP. I numeri di porta possono suggerire il tipo di applicazione in esecuzione su una porta specifica. Tuttavia, le applicazioni o i servizi possono essere modificati per usare una porta diversa per offuscare o nascondere il servizio o l'applicazione in un indirizzo IP. Conoscere le informazioni su porta e intestazione/banner può identificare la vera applicazione/servizio e la combinazione di porte in uso. Defender TI visualizza 14 giorni di cronologia all'interno della scheda Servizi, visualizzando l'ultima risposta banner associata a una porta osservata.

I dati dei servizi includono:

  • Porte aperte osservate
  • Numeri di porta
  • Componenti
  • Numero di volte in cui il servizio è stato osservato
  • Quando la porta è stata analizzata per l'ultima volta
  • Connessione del protocollo
  • Stato della porta
    • Apri
    • Filtrata
    • Chiuso
  • Risposta del banner

Servizi scheda dati

DNS

Microsoft ha raccolto record DNS nel corso degli anni, fornendo agli utenti informazioni dettagliate sui record di scambio di posta (MX), record del server dei nomi (NS), record di testo (TXT), record SOA (Start of Authority), record di nome canonico (CNAME) e record puntatore (PTR). La revisione dei record DNS può essere utile per identificare l'infrastruttura condivisa usata dagli attori nei domini di cui sono proprietari. Ad esempio, i gruppi di attori tendono a usare gli stessi server dei nomi per segmentare l'infrastruttura o gli stessi server di scambio di posta per amministrare il comando e il controllo.

I dati DNS includono:

  • Valore: il valore del record DNS.
  • First Seen: timestamp della data in cui è stato osservato per la prima volta questo record sull'artefatto.
  • Last Seen: timestamp della data dell'ultima osservazione di questo record sull'artefatto.
  • Tipo: tipo di infrastruttura associata al record. Le opzioni possibili includono Server di posta elettronica (MX), file di testo (TXT), server dei nomi (NS), CNAMES e record SOA (Start of Authority).
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

DNS scheda dati

DNS inverso

Mentre una ricerca DNS diretta esegue query sull'indirizzo IP di un determinato nome host, una ricerca DNS inversa esegue una query su un nome host specifico di un indirizzo IP. Questo set di dati mostrerà risultati confrontabili come set di dati DNS. La revisione dei record DNS può essere utile per identificare l'infrastruttura condivisa usata dagli attori nei domini di cui sono proprietari. Ad esempio, i gruppi di attori tendono a usare gli stessi server dei nomi per segmentare l'infrastruttura o gli stessi server di scambio di posta per amministrare il comando e il controllo.

I dati DNS inversi includono:

  • Valore: il valore del record DNS inverso.
  • First Seen: timestamp della data in cui è stato osservato per la prima volta questo record sull'artefatto.
  • Last Seen: timestamp della data dell'ultima osservazione di questo record sull'artefatto.
  • Tipo: tipo di infrastruttura associata al record. Le opzioni possibili includono Server di posta elettronica (MX), file di testo (TXT), server dei nomi (NS), CNAMES e record SOA (Start of Authority).
  • Tag: tutti i tag applicati a questo artefatto nel sistema Defender TI.

DNS inverso scheda dati

Intelligence

La sezione intelligence evidenzia tutte le informazioni dettagliate curate nella piattaforma Defender TI, derivate dal team di ricerca tramite articoli o dal proprio team tramite Progetti. La sezione Intelligence consente agli utenti di comprendere il contesto aggiuntivo chiave dietro un artefatto sottoposto a query; gli analisti possono imparare dagli sforzi di indagine della comunità di sicurezza più ampia per iniziare a usare il proprio.

Intelligence per le schede dati

Articoli

Nella sezione Articoli vengono visualizzati tutti gli articoli che potrebbero fornire informazioni dettagliate su come analizzare al meglio e infine disarmare l'artefatto interessato. Questi articoli sono scritti da ricercatori che studiano il comportamento degli attori noti delle minacce e la loro infrastruttura, esponendo i risultati chiave che possono aiutare gli altri a mitigare i rischi per la loro organizzazione. In questo esempio, l'indirizzo IP cercato è stato identificato come un CIO correlato ai risultati all'interno dell'articolo.

Per altre informazioni, vedere Che cos'è Microsoft Defender Threat Intelligence (Defender TI)?

Articoli di Intelligence sulle schede dati

Progetti

Uno dei principali sottoprodotti dell'analisi dell'infrastruttura è quasi sempre un set di indicatori che si collegano a un attore di minacce o a un gruppo di attori. Questi indicatori consentono di identificare gli attori delle minacce quando avviano una campagna di attacco. Sviluppo di informazioni dettagliate sulle tattiche, le tecniche e le procedure dell'avversario (TTP) del funzionamento degli attori delle minacce. I progetti forniscono un metodo per identificare gli avversari in base ai rispettivi CTTP e per tenere traccia del modo in cui l'infrastruttura dell'avversario sta cambiando nel tempo.

Quando un utente cerca un indirizzo IP, un dominio o un host in Defender TI, se tale indicatore è elencato all'interno di un progetto a cui l'utente ha accesso, l'utente può selezionare il pannello Progetti all'interno della sezione Intelligence e passare ai dettagli del progetto per ulteriori informazioni sul contesto dell'indicatore prima di esaminare gli altri set di dati per altre informazioni.

La visualizzazione dei dettagli di un progetto mostra un elenco di tutti gli artefatti associati e una cronologia dettagliata che conserva tutto il contesto descritto in precedenza. Gli utenti all'interno della stessa organizzazione non devono più dedicare tempo a comunicare avanti e indietro. I profili degli attori di minacce possono essere creati all'interno di Defender TI e fungere da set di indicatori "viventi". Quando vengono individuate o trovate nuove informazioni, è possibile aggiungerle al progetto.

La piattaforma Defender TI consente agli utenti di sviluppare più tipi di progetto per organizzare indicatori di interesse e indicatori di compromissione da un'indagine.

Per altre informazioni, vedere Uso di progetti.

Progetti di Intelligence per schede dati

Passaggi successivi

Per altre informazioni, vedere: