Hva er Microsoft Defender trusselinformasjon (Defender TI)?

  • Artikkel

Viktig

30. juni 2024 trekkes den frittstående Microsoft Defender trusselinformasjon (Defender TI)-portalen (https://ti.defender.microsoft.com) tilbake og vil ikke lenger være tilgjengelig. Kunder kan fortsette å bruke Defender TI i Microsoft Defender portalen eller med Microsoft Copilot for sikkerhet. Finn ut mer

Microsoft Defender trusselinformasjon (Defender TI) er en plattform som effektiviserer triage, hendelsesrespons, trusseljakt, sårbarhetsstyring og trusselintelligensanalytikerarbeidsflyter ved gjennomføring av analyse av trusselinfrastruktur og innsamling av trusselintelligens. Med sikkerhetsorganisasjoner som utfører en stadig økende mengde intelligens og varsler i miljøet, er det viktig å ha en trusselanalyse av en etterretningsplattform som muliggjør nøyaktige og rettidige vurderinger av varsling.

Analytikere bruker mye tid på dataoppdagelse, innsamling og analyse, i stedet for å fokusere på hva som faktisk hjelper organisasjonen med å forsvare seg – og utlede innsikt om aktørene gjennom analyse og korrelasjon. Disse analytikerne må ofte gå til flere repositorier for å få tak i de kritiske datasettene de trenger for å vurdere et mistenkelig domene, en vert eller en IP-adresse. DNS-data, WHOIS-informasjon, skadelig programvare og SSL-sertifikater gir viktig kontekst til indikatorer for kompromiss (IOCer), men disse repositoriene er bredt distribuert og deler ikke alltid en felles datastruktur.

Denne brede distribusjonen av repositorier gjør det vanskelig for analytikere å sikre at de har alle relevante data de trenger for å gjøre en riktig og rettidig vurdering av mistenkelig infrastruktur. Samhandling med disse datasettene kan også være tungvint, og pivotering mellom disse repositoriene er tidkrevende og drenerer ressursene til sikkerhetsoperasjonsgrupper som stadig trenger å omprioritere responsarbeidet.

Trusseletterretningsanalytikere sliter med å balansere en bredde av trusselintelligensinntak med analysen som trusselintelligens utgjør de største truslene mot organisasjonen og/eller industrien. I samme bredde kjemper sikkerhetsetterretningsanalytikere med å relatere aktivabeholdningen sin med common vulnerabilities and Exposures (CVE)-informasjon for å prioritere undersøkelsen og utbedringen av de mest kritiske sårbarhetene knyttet til organisasjonen.

Microsoft reimagines the analyst workflow by developing Defender TI, which aggregates and enriches critical data sources and displays them in an innovative, easy-to-use interface where users can correlate indicators of compromise (IOCs) with related articles, actor profiles, and vulnerabilities. Defender TI lar også analytikere samarbeide med andre Defender TI-lisensierte brukere i leieren om undersøkelser.

Nedenfor finner du et skjermbilde av Intel Explorer-siden til Defender TI i Microsoft Defender-portalen. Analytikere kan raskt skanne nye aktuelle artikler og utføre et nøkkelord- eller indikator- eller CVE ID-søk for å starte etterretningsinnsamling, triage, hendelsesrespons og jaktinnsats.

Skjermbilde av Ti-oversiktskant

Defender TI-artikler

Artikler er fortellinger som gir innsikt i trusselaktører, verktøy, angrep og sårbarheter. Defender TI-artikler er ikke blogginnlegg om trusselintelligens; selv om disse artiklene oppsummerer ulike trusler, kobler de også til handlingsbart innhold og viktige IOCer for å hjelpe brukere med å iverksette tiltak. Hvis du har denne tekniske informasjonen i trusselsammendragene, kan brukere kontinuerlig spore trusselaktører, verktøy, angrep og sårbarheter etter hvert som de endres.

Delen Om utvalgte artikler på Intel Explorer-siden (rett under søkefeltet) viser bannerbildene av bemerkelsesverdig Microsoft-innhold:

Anbefalte artikler om TI-oversikt

Når du velger et anbefalt artikkelbanner, lastes det inn fullstendig artikkelinnhold. Øyeblikksbildet av artikkelen gir deg en rask forståelse av artikkelen. Indikatorene viser hvor mange offentlige indikatorer og Defender TI-indikatorer som er knyttet til artikkelen.

Ti oversikt utvalgt artikkel

Artikler

Alle artikler (inkludert de utvalgte artiklene) er oppført i avsnittet Nylig brukte artikler i henhold til publiseringsdatoen, med den nyeste øverst.

Ti oversiktsartikler

Beskrivelse-delen av en artikkel inneholder informasjon om det profilerte angrepet eller trusselaktøren. Innholdet kan være kort , for eksempel åpen kildekode intelligens (OSINT) bulletiner - eller lang (for lang-form rapportering, spesielt når Microsoft forsterker rapporten med sin egen analyse). De lengre beskrivelsene kan inneholde bilder, koblinger til det underliggende innholdet, koblinger til søk i Defender TI, kodesnutter for angripere og brannmurregler for å blokkere angrepet.

Beskrivelse av ti-oversiktsartikkel

Delen Offentlige indikatorer viser kjente indikatorer som er relatert til artikkelen. Koblingene i disse indikatorene tar deg til relevante Defender TI-data eller eksterne kilder.

Offentlige indikatorer for TI-oversiktsartikkel

Indikatordelen for Defender TI dekker indikatorene som Defender Ti sin egen forskningsgruppe finner relatert til artiklene. Koblingene i disse indikatorene tar deg også til relevante Defender TI-data eller eksterne kilder.

Disse koblingene dreier seg også om relevante Defender TI-data eller den tilsvarende eksterne kilden.

Ti oversikt artikkel Defender TI indikatorer

Artikler om sikkerhetsproblemer

Defender TI tilbyr CVE ID-søk for å hjelpe deg med å identifisere kritisk informasjon om CVE. CVE-ID-søk resulterer i sikkerhetsartikler.

Hver artikkel om sikkerhetsproblemer inneholder:

  • En beskrivelse av CVE
  • En liste over berørte komponenter
  • Skreddersydde utbedringsprosedyrer og strategier
  • Relaterte etterretningsartikler
  • Referanser i dyp og mørk nettprat
  • Andre viktige observasjoner

Disse artiklene gir dypere kontekst og praktisk innsikt bak hver CVE, slik at brukerne kan forstå og redusere disse sårbarhetene raskere.

Artikler om sikkerhetsproblemer inkluderer også en defender TI prioritetspoengsum og alvorsgradindikator. Defender TI-prioritetspoengsummen er en unik algoritme som gjenspeiler prioriteten til en CVE basert på CVSS-poengsummen (Common Vulnerability Scoring System), utnyttelser, chatter og kobling til skadelig programvare. Den evaluerer recency av disse komponentene slik at du kan forstå hvilke CVEer som bør utbedres først.

Omdømmepoeng

Data om IP-omdømme er viktig for å forstå påliteligheten til din egen angrepsoverflate og er også nyttig når du vurderer ukjente verter, domener eller IP-adresser som vises i undersøkelser. Defender TI gir rettighetsbeskyttede omdømmeresultater for alle verter, domener eller IP-adresser. Enten du validerer omdømmet til en kjent eller ukjent enhet, hjelper disse resultatene deg med å forstå eventuelle oppdagede bånd til skadelig eller mistenkelig infrastruktur raskt.

Kort for omdømmesammendrag

Defender TI gir rask informasjon om aktiviteten til disse enhetene, for eksempel første- og sist sett tidsstempel, autonomt systemnummer (ASN), land eller område, tilknyttet infrastruktur og en liste over regler som påvirker omdømmepoengsummen, når det er aktuelt.

Les mer om omdømmepoeng

Analytikerinnsikt

Analytikerinnsikt destillerer Microsofts enorme datasett til en håndfull observasjoner som forenkler undersøkelsen og gjør den mer imøtekommende for analytikere på alle nivåer.

Innsikt er ment å være små fakta eller observasjoner om et domene eller en IP-adresse. De gir deg muligheten til å vurdere den forespurte indikatoren og forbedre muligheten til å avgjøre om en indikator du undersøker, er ondsinnet, mistenkelig eller godartet.

Innsikt i sammendragsfaneanalytiker

Les mer om analytikerinnsikt

Datasett

Microsoft sentraliserer en rekke datasett i Defender TI, noe som gjør det enklere for Microsofts fellesskap og kunder å utføre infrastrukturanalyse. Microsofts hovedfokus er å gi så mye data som mulig om Internett-infrastruktur for å støtte ulike sikkerhetsbrukstilfeller.

Microsoft samler inn, analyserer og indekserer Internett-data ved hjelp av dns-sensorer (passive domenenavnsystemer), portskanning, nettadresse og fildetonasjon og andre kilder for å hjelpe brukere med å oppdage trusler, prioritere hendelser og identifisere infrastruktur knyttet til trusselaktørgrupper. Nettadressesøkene kan brukes til å starte detonasjoner automatisk hvis det ikke finnes noen tilgjengelige detonasjonsdata for en nettadresse på tidspunktet for forespørselen. Dataene som samles inn fra slike detonasjoner, brukes til å fylle ut resultater for fremtidige søk etter denne nettadressen fra deg eller andre Defender TI-brukere.

Støttede Internett-datasett inkluderer:

  • Oppløsninger
  • WHOIS
  • SSL-sertifikater
  • Underdomener
  • DNS
  • Reverser DNS
  • Detonasjonsanalyse
  • Avledede datasett som samles inn fra Document Object Model (DOM) av detonerte URL-adresser, inkludert:
    • Bane
    • Komponenter
    • Vertspar
    • Informasjonskapsler

Komponenter og sporinger observeres også fra gjenkjenningsregler som utløses basert på bannersvar fra portskanninger eller SSL-sertifikatdetaljer. Mange av disse datasettene har ulike metoder for å sortere, filtrere og laste ned data, noe som gjør det enklere å få tilgang til informasjon som kan være knyttet til en bestemt indikatortype eller tid i loggen.

ti Oversiktsdatasett

Finn ut mer:

Tags

Defender TI-koder gir rask innsikt om en indikator, enten avledet av systemet eller generert av andre brukere. Merker hjelpeanalytikere med å koble sammen prikkene mellom aktuelle hendelser og undersøkelser og deres historiske kontekst for forbedret analyse.

Defender TI tilbyr to typer koder: systemkoder og egendefinerte koder.

Egendefinerte koder

Mer informasjon om bruk av koder

Prosjekter

Defender TI lar brukere utvikle flere prosjekttyper for å organisere indikatorer av interesse og indikatorer på kompromiss fra en undersøkelse. Prosjekter inneholder en liste over alle tilknyttede indikatorer og en detaljert logg som beholder navnene, beskrivelsene og samarbeidspartnerne.

Når du søker etter en IP-adresse, et domene eller en vert i Defender TI, og hvis denne indikatoren er oppført i et prosjekt du har tilgang til, kan du se en kobling til prosjektet fra Prosjekter-delen i fanene Sammendrag og Data . Derfra kan du navigere til detaljene i prosjektet for mer kontekst om indikatoren før du ser gjennom de andre datasettene for mer informasjon. Du kan derfor unngå å gjenoppfinne hjulet i en undersøkelse som en av defender TI-leierbrukerne dine kanskje allerede har startet. Hvis noen legger deg til som samarbeidspartner i et prosjekt, kan du også legge til i denne undersøkelsen ved å legge til nye IOCer.

Oversiktsprosjekter for Defender TI

Mer informasjon om bruk av prosjekter

Datalagring, tilgjengelighet og personvern

Defender TI inneholder både globale data og kundespesifikke data. De underliggende Internett-dataene er globale Microsoft-data. etiketter som brukes av kunder, regnes som kundedata. Alle kundedata lagres i området kunden velger.

Av sikkerhetshensyn samler Microsoft inn brukernes IP-adresser når de logger på. Disse dataene lagres i opptil 30 dager, men kan lagres lenger om nødvendig for å undersøke potensiell uredelig eller ondsinnet bruk av produktet.

I det er et scenario der nede, bør kundene ikke se nedetid, da Defender TI bruker teknologier som replikerer data til sikkerhetskopieringsområder.

Defender TI behandler kundedata. Kundedata replikeres som standard til det parvise området.

Se også