インフラストラクチャ チェーン

インフラストラクチャ チェーンは、高度に接続されたデータセット間のリレーションシップを利用して調査を構築します。 このプロセスは脅威インフラストラクチャ分析の中核であり、組織は新しい接続を表示し、同様の攻撃アクティビティをグループ化し、インシデント対応中に前提条件を立証できます。

前提条件

1. Microsoft Defender 脅威インテリジェンス (Defender TI) のデータ セットの概要に関する記事を確認する
2. Microsoft Defender 脅威インテリジェンス (Defender TI) の検索とピボット方法に関する記事を確認する

必要なのは出発点です。...

攻撃キャンペーンでは、パッシブ OS フィンガープリントなどの複雑な戦術に対する単純な geo フィルタリングなど、さまざまな難読化手法が採用されていることがわかります。 これにより、トラック内のポイントインタイム調査が停止する可能性があります。 上のスクリーンショットでは、インフラストラクチャ チェーンの概念が強調されています。 データ エンリッチメント機能を使用すると、IP アドレス (場合によっては C2) への接続を試みるマルウェアから始めることができました。 その IP アドレスは、ドメイン名などの共通名を持つ SSL 証明書をホストしている可能性があります。 そのドメインは、コード内の一意のトラッカーを含むページ (NewRelicID など)、または他の場所で観察したその他の分析 ID に接続されている可能性があります。 または、おそらく、ドメインは、調査に光を当てる可能性がある他のインフラストラクチャに歴史的に接続されている可能性があります。 メインの持ち帰りは、コンテキストから取り出された 1 つのデータ ポイントは特に役に立たない可能性がありますが、この他のすべての技術データとの自然なつながりを観察すると、ストーリーをつなぎ合わせ始めることができます。

敵対者の外部からの視点

敵対者の外部からの視点を使用すると、ファイアウォールの外部で動作する継続的に拡大する Web とモバイルプレゼンスを利用できます。

実際のユーザーとして Web およびモバイル プロパティにアプローチして操作すると、Microsoft のクロール、スキャン、機械学習テクノロジを使用して、ユーザー セッション データの収集、フィッシング、マルウェア、不正なアプリ、不要なコンテンツ、ドメインの侵害を大規模に検出することで、敵対者の回避手法を解除できます。 これにより、敵対者のインフラストラクチャに関連付けられた脅威インテリジェンス、システム タグ、アナリストの分析情報、評判スコアの形で、アクション可能なイベント ベースの脅威アラートとワークフローを提供できます。

脅威データの利用が増えるにつれて、アナリストがデータ セットとそれに対応する脅威を理解するために、より多くのツール、教育、労力が必要になります。 Microsoft Defender 脅威インテリジェンス (Defender TI) は、複数のデータ ソースに 1 つのビューを提供することで、これらの作業を統合します。

次の手順

詳細については、「 チュートリアル: 脅威インテリジェンスとインフラストラクチャ チェーンの収集」を参照してください。