분석가 인사이트
중요
2024년 6월 30일에 Microsoft Defender 위협 인텔리전스(Defender TI) 독립 실행형 포털(https://ti.defender.microsoft.com)이 사용 중지되어 더 이상 액세스할 수 없습니다. 고객은 Microsoft Defender 포털에서 또는 Microsoft Copilot for Security와 함께 Defender TI를 계속 사용할 수 있습니다. 자세한 정보
Defender TI(Microsoft Defender 위협 인텔리전스)에서 분석가 인사이트 섹션에서는 조사의 다음 단계를 결정하는 데 도움이 될 수 있는 아티팩트 관련 빠른 인사이트를 제공합니다. 이 섹션에서는 아티팩트에 적용되는 모든 인사이트와 추가 표시 유형에 적용되지 않는 인사이트를 나열합니다.
다음 예제에서는 IP 주소가 라우팅 가능하고 웹 서버를 호스트하며 지난 5일 이내에 열린 포트가 있는지 빠르게 확인할 수 있습니다. 또한 시스템에는 트리거되지 않은 규칙이 표시되며, 이는 조사를 시작할 때도 똑같이 유용할 수 있습니다.
분석가가 해결할 수 있는 인사이트 유형 및 질문
| 분석가 인사이트 유형 | 해결할 수 있는 질문 |
|---|---|
| 차단 목록 | 도메인, 호스트 또는 IP 주소가 차단 목록에 있는 경우/언제인가요? |
| Defender TI가 도메인, 호스트 또는 IP 주소를 차단 목록에 추가한 횟수는 몇 번인가요? | |
| 등록 및 업데이트됨 | 도메인이 등록된 날짜, 월, 몇 년 전 |
| 도메인 WHOIS 레코드는 언제 업데이트되었나요? | |
| 하위 도메인 IP 수 | 도메인의 하위 도메인과 연결된 IP 주소는 몇 개입니까? |
| 새 하위 도메인 관찰 | Microsoft가 문제의 도메인에 대한 새 하위 도메인을 마지막으로 관찰한 시기는 언제인가요? |
| 등록 및 해결 | 쿼리된 도메인이 있나요? |
| 도메인이 IP 주소에 resolve? | |
| WHOIS 레코드를 공유하는 도메인 수 | 동일한 WHOIS 레코드를 공유하는 다른 도메인은 무엇인가요? |
| 이름 서버를 공유하는 도메인 수 | 동일한 이름 서버 레코드를 공유하는 다른 도메인은 무엇인가요? |
| RiskIQ에 의해 크롤링됨 | 이 호스트 또는 도메인이 Microsoft에서 마지막으로 크롤링된 시기는 언제인가요? |
| 국제 도메인 | 도메인이 IDN(국제 도메인 이름)에 대해 쿼리되나요? |
| 타사에 의해 차단 목록 | 이 표시기가 타사에 의해 차단 목록에 있습니까? |
| 토르 종료 노드 상태 | Onion Router(Tor) 네트워크와 관련된 질문의 IP 주소인가요? |
| 포트 열기가 검색됨 | Microsoft 마지막 포트는 언제 이 IP 주소를 검사했나요? |
| 프록시 상태 | 이 표시기의 프록시 상태 무엇인가요? |
| 마지막으로 관찰된 호스트 | 문제의 IP 주소가 인터넷에 액세스할 수 있나요? |
| 웹 서버 호스트 | IP 주소에 해당 리소스를 사용하여 해당 웹 서버에 이름을 resolve DNS(Domain Name System) 서버가 있나요? |