Uso di progetti
Importante
Il 30 giugno 2024 il portale autonomo Microsoft Defender Threat Intelligence (Defender TI) (https://ti.defender.microsoft.com) verrà ritirato e non sarà più accessibile. I clienti possono continuare a usare Defender TI nel portale di Microsoft Defender o con Microsoft Copilot per la sicurezza. Altre informazioni
Microsoft Defender Threat Intelligence (Defender TI) consente agli utenti di sviluppare tipi di progetto privati personali o team per organizzare indicatori di interesse e indicatori di compromissione (IOC) da un'indagine. I progetti contengono un elenco di tutti gli elementi associati e una cronologia dettagliata che conserva i nomi, le descrizioni, i collaboratori e i profili di monitoraggio.
Quando un utente cerca un indirizzo IP, un dominio o un host in Defender TI, se tale indicatore è elencato all'interno di un progetto a cui l'utente ha accesso, l'utente può selezionare il pannello Progetti all'interno della sezione Intelligence e passare ai dettagli del progetto per ulteriori informazioni sul contesto dell'indicatore prima di esaminare gli altri set di dati per altre informazioni. In alternativa, gli utenti possono visualizzare i progetti team privati selezionando l'icona Progetti nel riquadro del menu a sinistra.
La visualizzazione dei dettagli di un progetto mostra un elenco di tutti gli artefatti associati e una cronologia dettagliata che conserva tutto il contesto descritto in precedenza. Gli utenti all'interno della stessa organizzazione non devono più dedicare tempo a comunicare avanti e indietro. I profili degli attori di minacce possono essere creati all'interno di Defender TI e fungere da set di indicatori "viventi". Quando vengono individuate o trovate nuove informazioni, è possibile aggiungerle al progetto.
La piattaforma Defender TI consente agli utenti di sviluppare più tipi di progetto per l'organizzazione di indicatori di interesse e ioc da un'indagine.
Il proprietario di un progetto può aggiungere collaboratori (utenti elencati nel tenant di Azure con una licenza Defender TI Premium). Ciò concede ai collaboratori le autorizzazioni per apportare modifiche al progetto come se fossero proprietari del progetto. L'eccezione è che i collaboratori non possono eliminare progetti. I collaboratori visualizzeranno i progetti che sono stati condivisi con loro nella sezione Progetti condivisi della home page dei progetti.
Gli utenti possono anche scaricare elementi all'interno di un progetto selezionando l'icona di download. Questo è un ottimo modo per i team di ricerca delle minacce di usare i risultati di un'indagine per bloccare le operazioni di I/O o creare più regole di rilevamento all'interno delle informazioni di sicurezza e della gestione degli eventi (SIEM).
I progetti di domande possono aiutare a rispondere:
Uno dei membri del team ha creato un progetto Team che include questo indicatore?
- In caso affermativo, quali altri ioc correlati hanno acquisito questo membro del team e quali descrizioni e tag hanno incluso per descrivere il tipo di indagine?
Quando il membro del team ha modificato il progetto per l'ultima volta?
Prerequisiti
Un account Microsoft Microsoft Entra ID o personale. Accedere o creare un account
Una licenza Premium di Defender TI.
Nota
Gli utenti senza una licenza Premium di Defender TI possono comunque accedere all'offerta gratuita Defender TI.
Aprire Defender TI nel portale di Microsoft Defender
- Accedere al portale di Defender e completare il processo di autenticazione Microsoft. Altre informazioni sul portale di Defender
- Passare a Intelligence per le minacce>Intel Explorer.
Creazione di un progetto
Gli utenti possono creare un progetto in due modi diversi, tramite la home page dei progetti o durante l'analisi dei risultati.
Quando si accede alla home page di Defender TI Projects, agli utenti viene visualizzato un dashboard che mostra i progetti di cui sono proprietari o che sono stati condivisi con altri utenti di Defender TI nel tenant. Direttamente da questa visualizzazione, gli utenti possono decidere di creare un nuovo progetto, semplicemente selezionando l'icona "+" o visitando la pagina del progetto usando il menu del cassetto a sinistra.
Per creare un progetto dalla home page del progetto, passare all'icona "Progetti" e selezionare l'icona "Aggiungi nuovo progetto" all'interno della home page dei progetti.
Durante le ricerche in Defender TI, gli utenti possono selezionare "Aggiungi al progetto" per aggiungere l'artefatto (indicatore di compromissione) a un progetto esistente o creare un nuovo progetto a cui aggiungere l'artefatto.
Per creare un progetto tramite un'indagine, eseguire una ricerca di indicatori dalla barra di ricerca di Intelligence per le minacce e selezionare l'icona "Aggiungi al progetto".
Se si crea un nuovo progetto, selezionare il collegamento "Aggiungi nuovo progetto", compilare i campi obbligatori e "Salva" il nuovo progetto. Se si dispone già di un progetto esistente a cui si vuole aggiungere l'artefatto, selezionare o scorrere verso il basso e selezionare il progetto desiderato.
Gestione dei progetti
Dopo aver creato i progetti, un utente può gestirli all'interno della parte Progetti della piattaforma. La home page iniziale di Project evidenzia tutti i progetti che l'utente può visualizzare e fornisce metodi di filtro in base alle proprietà del progetto. La home page del progetto usa per impostazione predefinita i progetti Team associati agli utenti di Defender TI nel tenant. Hanno la possibilità di selezionare tutti i progetti personali che hanno creato, nonché i progetti che sono stati condivisi con loro a cui contribuire.
- Gli utenti possono visualizzare i dettagli di un progetto semplicemente facendo clic sul nome del progetto.
- A seconda del livello di accesso, gli utenti possono quindi apportare modifiche al progetto direttamente facendo clic sul pulsante Modifica nell'angolo in alto a destra.
- Gli utenti possono anche eliminare un progetto se sono proprietari del progetto. Possono anche scegliere di aggiungere manualmente gli artefatti usando il pulsante "Aggiungi artefatti" nell'angolo in alto a destra.
Procedure consigliate
Quando si tratta di usare Defender TI per analizzare potenziali minacce, è consigliabile eseguire i flussi di lavoro seguenti perché questi passaggi consentono di raccogliere informazioni strategiche e operative prima di approfondire l'intelligence tattica.
Gli utenti possono eseguire vari tipi di ricerche all'interno di Defender TI. Di conseguenza, è importante affrontare il metodo di raccolta dell'intelligence in modo da presentare risultati generali prima di approfondire l'analisi di indicatori specifici. Ad esempio, se si cerca un indirizzo IP nella home page di Defender TI, quali articoli hanno un'associazione con tale indirizzo IP? Quali informazioni presentano questi articoli sull'indirizzo IP che altrimenti non si troverebbe passando direttamente alla scheda Dati dell'indirizzo IP per l'arricchimento del set di dati. Ad esempio, questo indirizzo IP è stato identificato come possibile C2, chi è l'attore di minacce, quali altri IIC correlati sono elencati nell'articolo, quali tattiche, tecniche e procedure (TTP) è l'attore di minaccia che usa e chi sono destinati?
Oltre a eseguire vari tipi di ricerche con Defender TI, gli utenti possono collaborare alle indagini insieme. Detto questo, gli utenti sono invitati a creare progetti, aggiungere indicatori correlati a un'indagine a un progetto e aggiungere collaboratori a un progetto se più di una persona sta lavorando alla stessa indagine. Ciò consente di ridurre il tempo dedicato all'analisi degli stessi ioc e dovrebbe comportare un flusso di lavoro più rapido osservato.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per