Infrastructuurkoppeling
Belangrijk
Op 30 juni 2024 is de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender-portal of met Microsoft Copilot voor Beveiliging. Meer informatie
Infrastructuurketens maken gebruik van de relaties tussen sterk verbonden gegevenssets om een onderzoek uit te bouwen. Dit proces vormt de kern van de analyse van de bedreigingsinfrastructuur en stelt organisaties in staat om nieuwe verbindingen aan te leggen, vergelijkbare aanvalsactiviteiten te groeperen en veronderstellingen te onderbouwen tijdens het reageren op incidenten.
Vereisten
Bekijk de volgende Defender TI-artikelen:
Het enige wat u nodig hebt, is een beginpunt
We zien dat aanvalscampagnes een breed scala aan verduisteringstechnieken gebruiken, van eenvoudige geo-filtering tot complexe tactieken zoals passieve vingerafdruk van het besturingssysteem. Deze technieken kunnen mogelijk een onderzoek naar een bepaald tijdstip stoppen. In de voorgaande afbeelding wordt het concept van infrastructuurkoppeling gemarkeerd. Met onze mogelijkheid voor gegevensverrijking kunnen we beginnen met een stukje malware dat probeert verbinding te maken met een IP-adres (mogelijk een opdracht- en besturingsserver). Dat IP-adres heeft mogelijk een TLS-certificaat gehost dat een gemeenschappelijke naam heeft, zoals een domeinnaam. Dat domein is mogelijk verbonden met een pagina die een unieke tracker in de code bevat, zoals een NewRelicID of een andere analytische id die we mogelijk ergens anders hebben waargenomen. Of misschien is het domein historisch verbonden geweest met andere infrastructuur die licht kan werpen op ons onderzoek. Het belangrijkste voordeel is dat één gegevenspunt dat uit de context is gehaald, misschien niet echt nuttig is, maar wanneer we de natuurlijke verbinding met al deze andere technische gegevens zien, kunnen we beginnen met het samenvoegen van een verhaal.
Het buiten-in-perspectief van een kwaadwillende persoon
Dankzij het buiten-in-perspectief van een kwaadwillende persoon kunnen ze profiteren van uw voortdurend groeiende aanwezigheid op internet en mobiel die buiten uw firewall werkt.
Het benaderen van en interactie met de web- en mobiele eigenschappen als een echte gebruiker stelt de verkennings-, scan- en machine learning-technologie van Microsoft in staat om de ontduikingstechnieken van aanvallers te ontwapenen door gebruikerssessiegegevens te verzamelen en phishing, malware, rogue apps, ongewenste inhoud en domeinschendingen op schaal te detecteren. Deze aanpak helpt bij het leveren van bruikbare, op gebeurtenissen gebaseerde bedreigingswaarschuwingen en werkstromen in de vorm van bedreigingsinformatie, systeemtags, analisteninzichten en reputatiescores die zijn gekoppeld aan de infrastructuur van kwaadwillende personen.
Naarmate er meer bedreigingsgegevens beschikbaar komen, zijn er meer hulpprogramma's, opleiding en inspanning vereist voor analisten om inzicht te krijgen in de gegevenssets en de bijbehorende bedreigingen. Microsoft Defender-bedreigingsinformatie (Defender TI) integreert deze inspanningen door één weergave te bieden in meerdere gegevensbronnen.