プロジェクトの使用

  • [アーティクル]

Microsoft Defender 脅威インテリジェンス (Defender TI) プラットフォームを使用すると、ユーザーは、調査から関心のあるインジケーターと侵害のインジケーターを整理するためのプライベート個人用またはチーム プロジェクトの種類を開発できます。 プロジェクトには、関連付けられているすべての成果物の一覧と、名前、説明、コラボレーター、監視プロファイルを保持する詳細な履歴が含まれています。

ユーザーが Defender TI で IP アドレス、ドメイン、またはホストを検索するときに、そのインジケーターがユーザーがアクセスできるプロジェクト内に一覧表示されている場合、ユーザーは [インテリジェンス] セクション内の [プロジェクト] ブレードを選択し、そのインジケーターに関する詳細なコンテキストに移動してから、他のデータ セットの詳細を確認できます。 または、左側のメニュー ウィンドウの [プロジェクト] アイコンを選択して、プライベート チーム プロジェクトを表示することもできます。

プロジェクトの詳細にアクセスすると、関連するすべての成果物の一覧と、上記のすべてのコンテキストを保持する詳細な履歴が表示されます。 同じorganization内のユーザーは、通信に時間を費やす必要がなくなりました。 脅威アクター プロファイルは Defender TI 内に構築でき、インジケーターの "生きている" セットとして機能します。 新しい情報が検出または検出されると、そのプロジェクトに追加できます。

Defender TI プラットフォームを使用すると、ユーザーは、調査から関心のあるインジケーターと侵害のインジケーターを整理するための複数のプロジェクトの種類を開発できます。

プロジェクトの所有者は、コラボレーター (Defender TI Premium ライセンスを持つ Azure テナントに一覧表示されているユーザー) を追加できます。 これにより、プロジェクトの所有者であるかのようにプロジェクトに変更を加える権限がコラボレーターに付与されます。 例外は、コラボレーターがプロジェクトを削除できないことです。 コラボレーターは、[プロジェクト] ホーム ページの [共有プロジェクト] セクションで、共有されているプロジェクトを表示します。

ユーザーは、ダウンロード アイコンを選択して、プロジェクト内の成果物をダウンロードすることもできます。 これは、脅威ハンティング チームが調査結果を使用して侵害のインジケーターをブロックしたり、SIEM 内に追加の検出ルールを構築したりするための優れた方法です。

プロジェクトが回答に役立つ可能性がある質問:

  • 仲間のチーム メンバーの 1 人がこのインジケーターを含むチーム プロジェクトを作成しましたか?

    • その場合、このチーム メンバーがキャプチャした侵害の他の関連インジケーターと、調査の種類を説明するために含めた説明とタグは何ですか?

  • このチーム メンバーがプロジェクトを最後に編集したのはいつですか?

    プロジェクトの詳細なプロジェクトの Chrome スクリーンショット

前提条件

  • Microsoft Entra IDまたは個人の Microsoft アカウント。 アカウントにログインまたは作成する
  • Microsoft Defender 脅威インテリジェンス (Defender TI) Premium ライセンス。

    注:

    Defender TI Premium ライセンスを持たないユーザーは、引き続き Defender 脅威インテリジェンス ポータルにログインし、無料の Defender TI オファリングにアクセスできます。

Defender TI の脅威インテリジェンスのホーム ページを開く

  1. Defender 脅威インテリジェンス ポータルにアクセスします。
  2. ポータルにアクセスするには、Microsoft 認証を完了します。

プロジェクトを作成する

ユーザーは、[プロジェクト] ホーム ページまたは結果の調査中に、2 つの異なる方法でプロジェクトを作成できます。

Defender TI Projects ホーム ページにログインすると、所有しているプロジェクト、またはテナント内の他の Defender TI ユーザーと共有されているプロジェクトを示すダッシュボードが表示されます。 このビューから直接、ユーザーは "+" アイコンを選択するか、左側のドロワー メニューを使用してプロジェクト ページにアクセスするだけで、新しいプロジェクトを作成できます。

  1. プロジェクトのホーム ページからプロジェクトを作成するには、[プロジェクト] アイコンに移動し、[プロジェクト] ホーム ページの [新しいプロジェクトの追加] アイコンを選択します。

    プロジェクトに追加する

    Defender TI 内で検索を実行する場合、ユーザーは [プロジェクトに追加] を選択して、成果物 (侵害のインジケーター) を既存のプロジェクトに追加するか、成果物を追加する新しいプロジェクトを作成できます。

  2. 調査を通じてプロジェクトを作成するには、脅威インテリジェンス検索バーからインジケーター検索を実行し、[プロジェクトに追加] アイコンをクリックします。

  3. 新しいプロジェクトを作成する場合は、[新しいプロジェクトの追加] リンクを選択し、必要なフィールドに入力し、新しいプロジェクトを [保存] します。 成果物を追加する既存のプロジェクトが既にある場合は、下にスクロールして目的のプロジェクトを選択してください。

    新しいプロジェクトの追加

プロジェクトの管理

ユーザーがプロジェクトを作成したら、プラットフォームの Projects 部分内でそれらを管理できます。 最初の [Project Home] ページでは、ユーザーが表示できるすべてのプロジェクトが強調表示され、プロジェクトのプロパティに基づいてフィルター処理メソッドが提供されます。 [Project Home]\(プロジェクト のホーム\) ページは、テナント内の Defender TI ユーザーに関連付けられているチーム プロジェクトに既定で設定されます。 自分が作成した個人用プロジェクトと、投稿先として共有されているプロジェクトを選択できます。

プロジェクトの管理

  1. ユーザーは、プロジェクト名をクリックするだけで、プロジェクトの詳細を表示できます。
  2. アクセスのレベルに応じて、ユーザーは右上隅にある編集ボタンをクリックして、プロジェクトに直接変更を加えることができます。
  3. ユーザーがプロジェクトの所有者である場合は、プロジェクトを削除することもできます。 また、右上隅にある [成果物の追加] ボタンを使用して、成果物を手動で追加することもできます。

ベスト プラクティス

Defender TI を使用して潜在的な脅威を調査する場合は、戦術インテリジェンスに飛び込む前に戦略および運用インテリジェンスを収集できるようになるため、次のワークフローを実行することをお勧めします。

ユーザーは Defender TI 内でさまざまな種類の検索を実行できます。 そのため、特定のインジケーターの調査に進む前に、広範な結果を表示する方法でインテリジェンス収集方法にアプローチすることが重要です。 たとえば、Defender TI ホーム ページに対して IP アドレスを検索する場合、その IP アドレスと関連付けがある記事は何ですか? これらの記事では、データセット エンリッチメント用の IP アドレスの [データ] タブに直接移動する場合に見つからない IP アドレスに関する情報が表示されます。 たとえば、この IP アドレスは、脅威アクターである可能性のある C2、この記事に記載されているその他の関連する侵害インジケーター、使用している脅威アクター、および対象となるユーザーとして特定されています。

Defender TI でさまざまな種類の検索を実行するだけでなく、ユーザーは一緒に調査に協力できます。 つまり、ユーザーはプロジェクトを作成し、調査に関連するインジケーターをプロジェクトに追加し、複数の人が同じ調査に取り組んでいる場合はプロジェクトにコラボレーターを追加することをお勧めします。 これにより、同じ IOC の分析に費やす時間が短縮され、より迅速なワークフローが観察されます。