정보 공유 및 교환

  • 아티클

Microsoft의 GSP(정부 보안 프로그램)의 임무는 투명성을 통해 신뢰를 구축하는 것입니다. 2003년 프로그램이 시작된 이래 Microsoft는 정부와 국제기구가 자신과 시민을 보호하는 데 사용할 수 있는 기술 및 보안 아티팩트의 가시성을 제공했습니다. 정보 공유 및 Exchange 제품을 통해 Microsoft는 Microsoft 제품 및 서비스에 대한 보안 위협, 취약성, 비정상적인 동작, 맬웨어 정보 및 보안 문제에 대한 자료를 공유하고 교환할 수 있습니다.

이 제품은 Microsoft 환경 전반에 걸쳐 그룹 및 리소스를 결합하여 정부가 시민, 인프라 및 조직을 보호할 수 있도록 지원합니다.

ISE(정보 공유 및 교환) 제품은

이름 세부 정보
보안 취약성에 대한 고급 알림
  • 릴리스 정보 및 영향을 받는 소프트웨어 테이블이 있는 취약성에 대한 5일 고급 알림
  • 악용 가능성 인덱스 등 24시간 고급 알림
    		•
    악의적인 URL
  • Bing 크롤러가 감지한 잠재적으로 악의적인 공개적으로 연결 서버 및 서비스의 피드
  • 데이터의 3시간, 5일 주기마다 업데이트됨
    		•
    CTIP Botnet 피드
  • DCU(디지털 범죄 단위) CTIP(사이버 위협 인텔리전스 프로그램)에서 제공
  • Botnet 데이터는 CERT의 경우 기관(또는 국가 코드 최상위 기본)에 맞게 조정됩니다.
  • 4개의 피드: 감염된 디바이스, 명령 및 제어, IoT 및 Do기본s
  • 거의 실시간, 매시간 또는 매일 배달(중복 제거)
    		•
    파일 메타 데이터 정리
  • 허용 목록 및 포렌식에 자주 사용되는 파일 해시 데이터 정리
  • 3시간마다 업데이트됨
  • Microsoft 다운로드 센터의 모든 Microsoft 이진 파일에 대해 설명합니다.
    		•
    파트너 관계
  • 다양한 포럼을 통한 정보 교환
  • DCU(디지털 범죄 커뮤니티) 포털에 대한 액세스
  • DCU(디지털 범죄 단위)와 위협 인텔리전스 데이터 공유
  • MSRC(Microsoft Security Response Center) 및 Windows Defender 보안 인텔리전스를 비롯한 엔지니어링 그룹 및 기타 Microsoft 팀과의 직접 계약
    		•

    데이터 피드 배달

    ISE 권한 부여에 따라 제공되는 피드는 MSRC(Microsoft 보안 대응 센터), DCU(디지털 범죄 단위), BingPRSS(제품 릴리스 및 보안 서비스)를 포함한 여러 그룹에 상주합니다.

    GSP 팀은 GSP 기관이 단일 인터페이스에서 ISE 데이터 피드에 액세스할 수 있도록 하는 웹 기반 애플리케이션을 제공합니다. 중요한 데이터를 포함하는 모든 통신이 암호화됩니다.

    Data Feed delivery

    데이터 사용 설명

    고급 보안 업데이트 알림 알림 패키지는 릴리스에서 해결되는 모든 CVE(일반적인 취약성 및 노출)를 나열합니다. 각 CVE에는 취약성 설명(메트릭 포함), 악용 가능성 인덱스 및 영향을 받는 소프트웨어를 포함한 정보 집합이 포함되어 있습니다.

    Content for each CVE

    Bing 악성 URL Bing 악성 URL 피드에는 잠재적으로 악의적인 것으로 확인된 공개적으로 연결되는 서버 또는 서비스가 포함되어 있습니다. 새 파일은 3시간마다 업로드됩니다. 전체 데이터 집합은 5일 후에 생성됩니다. 많은 기관이 JSON 파일을 기존 위협 인텔리전스 분석 도구로 직접 가져옵니다.

    Geo map of IPs

    Threat types

    파일 메타 데이터 정리(CFMD)

    CFMD(클린 파일 메타 데이터) 피드에는 Microsoft 제품에 포함된 파일에 대한 암호화 서명(SHA256 해시)이 포함되어 있습니다. 이는 잠재적으로 손상될 수 있는 디바이스의 법의학 검사 및 중요한 시스템에서 파일 실행을 허용/허용하지 않는 경우에 자주 사용됩니다.

    Clean File Metadata

    CTIP 봇넷 피드: 감염된 데이터 피드

    DCU는 DCU의 CTIP 위협 인텔리전스 서비스 감염된 디바이스 데이터 피드를 통해 손상된 피해자 봇넷 데이터를 제공하여 CTIP 구독자에 대한 네트워크 보호 시나리오를 활성화하고 인터넷에서 감염된 시스템의 수를 줄이는 것을 목표로 손상된 시스템의 수정을 용이하게 합니다. 다른 피드에는 방화벽 및 보호 DNS를 통해 알려진 맬웨어 네트워크에 대한 트래픽 흐름을 제한하는 데 자주 사용되는 C2(명령 및 제어), IoT 및 Do기본 목록이 포함됩니다.

    CTIP data 1

    CTIP data 2

    문의하기

    정부 보안 프로그램에 대한 자세한 내용은 로컬 Microsoft 담당자에게 문의하세요.