Del via

Forstå konsepter for trusselintelligens

  • Artikkel

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Flere komplekse ondsinnede hendelser, attributter og kontekstuell informasjon omfatter avanserte angrep på cybersikkerhet. Identifisering og avgjørelse av hvilke av disse aktivitetene som er kvalifisert som mistenkelige, kan være en utfordrende oppgave. Din kunnskap om kjente attributter og unormale aktiviteter som er spesifikke for din bransje, er grunnleggende når du skal vite når du skal kalle en observert oppførsel som mistenkelig.

Med Microsoft Defender XDR kan du opprette egendefinerte trusselvarsler som kan hjelpe deg med å holde oversikt over mulige angrepsaktiviteter i organisasjonen. Du kan flagge mistenkelige hendelser for å sette sammen ledetråder og muligens stoppe en angrepskjede. Disse egendefinerte trusselvarslingene vises bare i organisasjonen, og flagger hendelser som du angir for sporing.

Før du oppretter egendefinerte trusselvarsler, er det viktig å vite konseptene bak varslingsdefinisjoner og indikatorer for kompromiss (IOCer) og forholdet mellom dem.

Varslingsdefinisjoner

Varslingsdefinisjoner er kontekstuelle attributter som kan brukes samlet for å identifisere tidlige ledetråder om et mulig cybersikkerhetsangrep. Disse indikatorene er vanligvis en kombinasjon av aktiviteter, egenskaper og handlinger som er utført av en angriper for å oppnå målet om et angrep. Overvåking av disse kombinasjonene av attributter er avgjørende for å få et ståsted mot angrep og muligens forstyrre hendelseskjeden før en angripers mål er nådd.

Indikatorer for kompromiss (IOC)

IOCer er enkeltvis kjente ondsinnede hendelser som angir at et nettverk eller en enhet allerede har blitt brutt. I motsetning til varslingsdefinisjoner anses disse indikatorene som bevis på et brudd. De blir ofte sett etter at et angrep allerede er utført, og målet er nådd, for eksempel eksfiltrering. Å holde oversikt over IOCer er også viktig under rettsmedisinske undersøkelser. Selv om det kanskje ikke er i stand til å gripe inn med en angrepskjede, kan innsamling av disse indikatorene være nyttig for å skape bedre forsvar for mulige fremtidige angrep.

Forholdet mellom varseldefinisjoner og IOCer

I sammenheng med Microsoft Defender XDR og Microsoft Defender for endepunkt er varslingsdefinisjoner beholdere for IOCer og definerer varselet, inkludert metadataene som er hevet for et bestemt IOC-samsvar. Ulike metadata er angitt som en del av varslingsdefinisjonene. Metadata, for eksempel varseldefinisjonsnavnet for angrep, alvorsgrad og beskrivelse, leveres sammen med andre alternativer.

Hver IOC definerer logikken for betongdeteksjon basert på type, verdi og handling, som bestemmer hvordan den samsvarer. Den er bundet til en bestemt varslingsdefinisjon som definerer hvordan en gjenkjenning vises som et varsel på Microsoft Defender XDR-konsollen.

Her er et eksempel på en IOC:

  • Type: Sha1
  • Verdi: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Handling: Er lik

IOCer har en mange-til-én-relasjon med varseldefinisjoner, slik at en varslingsdefinisjon kan ha mange IOCer som samsvarer med den.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.