Zoeken en draaien

Belangrijk

Op 30 juni 2024 wordt de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender portal of met Microsoft Copilot voor Beveiliging. Meer informatie

Microsoft Defender-bedreigingsinformatie (Defender TI) biedt een robuuste en flexibele zoekmachine om het onderzoeksproces te stroomlijnen. Defender TI is ontworpen om u te laten draaien tussen verschillende indicatoren van verschillende gegevensbronnen, zodat u gemakkelijker dan ooit relaties tussen verschillende infrastructuur kunt detecteren.

Dit artikel helpt u te begrijpen hoe u een zoekopdracht uitvoert en draait op verschillende gegevenssets om relaties tussen verschillende artefacten te detecteren.

Vereisten

• Een Microsoft Entra ID of persoonlijk Microsoft-account. Aanmelden of een account maken

• Een Defender TI Premium-licentie.

  Opmerking

  Gebruikers zonder een Defender TI Premium-licentie hebben nog steeds toegang tot onze gratis Defender TI-aanbieding.

Defender TI openen in de Microsoft Defender-portal

1. Open de Defender-portal en voltooi het Microsoft-verificatieproces. Meer informatie over de Defender-portal
2. Navigeer naar Bedreigingsinformatie>Intel Explorer.

Zoekopdrachten en draaipunten voor bedreigingsinformatie uitvoeren

De Intel Explorer-zoekopdracht van Defender TI is zowel eenvoudig als krachtig, ontworpen om direct belangrijke inzichten te verkrijgen, terwijl u ook rechtstreeks kunt communiceren met de gegevenssets waaruit deze inzichten bestaan. De zoekbalk ondersteunt verschillende invoer; u kunt zoeken naar specifieke artefacten en artikel- of projectnamen.

Zoekartefacttypen

1. IP-adres: Zoeken 195.161.141[.] 65 in de zoekbalk van Intel Explorer. Deze actie resulteert in een IP-adreszoekactie.

2. Domein: Zoek fabrikam.com in de zoekbalk van Intel Explorer. Deze actie resulteert in een domeinzoekactie.

3. Host: Zoek canary.fabrikam.com in de zoekbalk van Intel Explorer. Deze actie resulteert in een hostzoekactie.

4. Trefwoord: Zoek apt29 in de zoekbalk van Intel Explorer. Deze actie resulteert in een zoekopdracht op trefwoorden. Trefwoordzoekopdrachten hebben betrekking op elk type trefwoord, waaronder een term of e-mailadres, en ze resulteren in koppelingen met artikelen, projecten en gegevenssets.

5. Veelvoorkomende CVE-id (beveiligingsproblemen en blootstellingen): Zoek CVE-2021-40444 in de zoekbalk van Intel Explorer. Deze actie resulteert in een zoekopdracht naar cve-id-trefwoorden.

6. Artikel: Search Commodity Skimming & Magecart Trends in het eerste kwartaal van 2022 in de zoekbalk van Intel Explorer. Deze actie resulteert in een artikelzoekactie.

7. Tag: Kies Tag in het vervolgkeuzemenu van de Intel Explorer-zoekbalk en zoek vervolgens naar magecart. Deze actie resulteert in een tagzoekactie.

   Opmerking

   Deze zoekopdracht retourneert geen artikelen die die tagwaarde delen.

8. Component: Kies Onderdeel in de vervolgkeuzelijst van de Intel Explorer-zoekbalk en zoek vervolgens kobalt strike Deze actie resulteert in een zoekactie voor onderdelen.

9. Tracker: Kies Trackers in de vervolgkeuzelijst intel explorer-zoekbalk en zoek vervolgens 07d14d16d21d21d00042d41d00041d47e4e0ae17960b2a5b4fd6107fbb0926. Deze actie resulteert in een trackerzoekactie.

   Opmerking

   Dit voorbeeld is een JarmHash-trackertype .

10. WHOIS-e-mail: Kies WHOIS>Email in de vervolgkeuzelijst van de Zoekbalk van Intel Explorer en zoek vervolgens .domains@microsoft.com Deze actie resulteert in een WHOIS-e-mailzoekactie.

11. WHOIS-naam: Kies WHOIS-naam> in het vervolgkeuzemenu van de zoekbalk van Intel Explorer en zoek vervolgens msn Hostmaster. Deze actie resulteert in een WHOIS-naamzoekactie.

12. WHOIS-organisatie: Kies WHOIS>Organization in het vervolgkeuzemenu van de zoekbalk van Intel Explorer en zoek vervolgens in Microsoft Corporation. Deze actie resulteert in een WHOIS-organisatiezoekactie.

13. WHOIS-adres: Kies WHOIS-adres> in het vervolgkeuzemenu van de zoekbalk van Intel Explorer en zoek vervolgens in One Microsoft Way. Deze actie resulteert in een WHOIS-adreszoekactie.

14. WHOIS stad: Kies WHOIS>City in de vervolgkeuzelijst van de zoekbalk van Intel Explorer en zoek vervolgens in Redmond. Deze actie resulteert in een WHOIS-zoekopdracht in plaats.

15. WHOIS-status: Kies WHOIS-status> in de vervolgkeuzelijst van de zoekbalk van Intel Explorer en zoek vervolgens naar WA. Deze actie resulteert in een WHOIS-statuszoekactie.

16. WHOIS-postcode: Kies WHOIS>Postcode in de vervolgkeuzelijst van de Intel Explorer-zoekbalk en zoek vervolgens in 98052. Deze actie resulteert in een WHOIS-postcodezoekactie.

17. WHOIS-land: Kies WHOIS>Country in de vervolgkeuzelijst van de Zoekbalk van Intel Explorer en zoek vervolgens in US. Deze actie resulteert in een WHOIS-zoekopdracht voor land/regio.

18. WHOIS-telefoon: Kies WHOIS>Phone in de vervolgkeuzelijst intel explorer-zoekbalk en zoek vervolgens +1.425882808080. Deze actie resulteert in een WHOIS-telefoonzoekactie.

19. WHOIS-naamserver: Kies WHOIS>Nameserver in de vervolgkeuzelijst van de Intel Explorer-zoekbalk en zoek ns1-03.azure-dns.comvervolgens . Deze actie resulteert in een WHOIS-naamserverzoekactie.

20. Certificaat SHA-1: Kies Certificaat>SHA-1 in het vervolgkeuzemenu van de zoekbalk van Intel Explorer en zoek vervolgens 35cd04a03ef86664623581cbd56e45ed07729678. Deze actie resulteert in een SHA-1-zoekopdracht voor certificaten.

21. Serienummer van certificaat: Kies Serienummervan certificaat> in de vervolgkeuzelijst van de Intel Explorer-zoekbalk en zoek vervolgens 1137354899731266880939192213383415094395905558. Deze actie resulteert in een zoekopdracht naar het serienummer van het certificaat.

22. Algemene naam van certificaatverlener: Kies Algemene>naam certificaatverlener in het vervolgkeuzemenu van de zoekbalk van Intel Explorer en zoek vervolgens in Microsoft Azure TLS Issuing CA 05. Deze actie resulteert in een algemene naamzoekactie voor certificaatverleners.

23. Alternatieve naam van certificaatverlener: Kies alternatieve>naam certificaatverlener in de vervolgkeuzelijst van de zoekbalk van Intel Explorer en zoek vervolgens naar een alternatieve naam van een certificaatverlener. Deze actie resulteert in een alternatieve naamzoekactie voor certificaatverleners.

24. Algemene naam van certificaatonderwerp: KiesAlgemene naam van certificaatonderwerp> in de vervolgkeuzelijst van de Zoekbalk van Intel Explorer en zoek *.oneroute.microsoft.comvervolgens . Deze actie resulteert in een algemene zoekopdracht naar een certificaatonderwerp.

25. Alternatieve naam voor certificaatonderwerp: Kies Alternatieve>naam certificaatonderwerp in de vervolgkeuzelijst van de zoekbalk van Intel Explorer en zoek oneroute.microsoft.comvervolgens . Deze actie resulteert in een alternatieve naam zoeken voor certificaatonderwerp.

26. Cookienaam: Kies Cookienaam> in de vervolgkeuzelijst van de Zoekbalk van Intel Explorer en zoek vervolgens in ARRAffinity. Deze actie resulteert in een zoekopdracht naar een cookienaam.

27. Cookiedomein: Kies Cookie>Domain in de vervolgkeuzelijst van de Intel Explorer-zoekbalk en zoek portal.fabrikam.comvervolgens . Deze actie resulteert in een zoekopdracht naar een cookiedomein.

Pivots

Voor alle zoekopdrachten die in de vorige stappen zijn uitgevoerd, zijn er artefacten met hyperlinks die u kunt uitschakelen om verdere verrijkte resultaten te ontdekken die aan deze indicatoren zijn gekoppeld. U kunt zelf experimenteren met draaipunten.

Zoekresultaten

De resultaten van een zoekopdracht in bedreigingsinformatie kunnen worden gegroepeerd in de volgende secties:

• Belangrijke inzichten
• Samenvatting
• Gegevenssets

Belangrijke inzichten

Defender TI bevat enkele basisinformatie over het artefact bovenaan de pagina met zoekresultaten. Deze informatie kan een van de volgende zaken bevatten, afhankelijk van het type artefact.

• Land/regio: De vlag naast het IP-adres geeft het land of de regio van oorsprong voor het artefact aan, wat kan helpen bij het bepalen van de betrouwbaarheid of beveiligingsstatus. In de vorige voorbeeldschermafbeelding wordt het IP-adres gehost op de infrastructuur binnen de Verenigde Staten.
• Reputatie: In het voorbeeld heeft het IP-adres de tag Schadelijk, wat aangeeft dat Defender TI verbindingen heeft gedetecteerd tussen dit artefact en bekende kwaadwillende infrastructuur. Artefacten kunnen ook worden getagd als Verdacht, Neutraal of Onbekend.
• Voor het eerst gezien: Deze tijdstempel geeft aan wanneer Defender TI het artefact voor het eerst heeft waargenomen. Inzicht in de levensduur van een artefact kan helpen bij het bepalen van de betrouwbaarheid ervan.
• Laatst gezien: Deze tijdstempel geeft aan wanneer Defender TI het artefact voor het laatst heeft waargenomen. Met deze informatie kunt u bepalen of het artefact nog steeds actief wordt gebruikt.
• IP-blok: Het IP-blok dat het opgevraagde IP-adresartefact bevat.
• Registrar: De registrar die is gekoppeld aan de WHOIS-record voor het opgevraagde domeinartefact.
• Registrant: De naam van de registrant in de WHOIS-gegevens voor een artefact.
• ASN: Het autonome systeemnummer (ASN) dat is gekoppeld aan het artefact.
• OS: Het besturingssysteem dat is gekoppeld aan het artefact.
• Host: De hostingprovider voor het artefact. Sommige hostingproviders zijn betrouwbaarder dan andere, dus deze waarde kan helpen de geldigheid van een artefact aan te geven.

In deze sectie worden ook tags weergegeven die zijn toegepast op het artefact of op projecten die het bevatten. U kunt ook een tag toevoegen aan het artefact of deze toevoegen aan een project. Meer informatie over het gebruik van tags

Samenvatting

Op het tabblad Samenvatting worden belangrijke bevindingen weergegeven over een artefact dat Defender TI afleidt van onze uitgebreide gegevenssets om een nieuw onderzoek te starten.

• Reputatie: Defender TI biedt eigen reputatiescores voor elke host, domein of IP-adres. Of u nu de reputatie van een bekende of onbekende entiteit valideert, deze score helpt u snel inzicht te verkrijgen in gedetecteerde banden met schadelijke of verdachte infrastructuur.

  Defender TI geeft reputatiescores weer als een numerieke waarde tussen nul en 100. Een entiteit met een score van 0 heeft geen koppelingen met verdachte activiteit of bekende indicatoren van inbreuk (IOC's), terwijl een score van 100 aangeeft dat de entiteit schadelijk is. Defender TI biedt ook een lijst met regels met bijbehorende beschrijvingen en ernstclassificaties. In het volgende voorbeeld zijn vier regels met hoge ernst van toepassing op het domein.

  

  Meer informatie over reputatiescores

• Inzichten van analisten: Deze sectie biedt snelle inzichten over het artefact dat kan helpen bij het bepalen van de volgende stap in een onderzoek. In deze sectie vindt u alle inzichten die van toepassing zijn op het artefact. Er worden ook inzichten weergegeven die niet van toepassing zijn voor meer zichtbaarheid.

  In de volgende schermopname kunnen we snel vaststellen dat het IP-adres routeerbaar is, als host fungeert voor een webserver en de afgelopen vijf dagen een open poort had. Bovendien geeft de Defender TI regels weer die niet zijn geactiveerd, wat net zo handig kan zijn bij het starten van een onderzoek.

  

  Meer informatie over inzichten van analisten

• Artikelen: In deze sectie worden alle artikelen weergegeven die inzicht kunnen bieden in hoe u het betrokken artefact het beste kunt onderzoeken en uiteindelijk kunt ontwapenen. Onderzoekers die het gedrag van bekende bedreigingsactoren en hun infrastructuur bestuderen, schrijven deze artikelen, waarbij belangrijke bevindingen worden ontdekt die u en anderen kunnen helpen risico's voor hun organisatie te beperken.

  In het volgende voorbeeld wordt het gezochte IP-adres geïdentificeerd als een IOC die betrekking heeft op de bevindingen in het artikel.

  

  Meer informatie over Defender TI-artikelen

• Diensten: In deze sectie vindt u alle gedetecteerde services die worden uitgevoerd op het IP-adresartefact. Dit is handig als u het beoogde gebruik van de entiteit wilt begrijpen. Wanneer u een schadelijke infrastructuur onderzoekt, kan deze informatie helpen bij het bepalen van de mogelijkheden van een artefact, zodat u uw organisatie proactief kunt verdedigen op basis van deze informatie.

  

• Resoluties: Oplossingen zijn afzonderlijke DNS-records (Domain Name System) die zijn vastgelegd met behulp van passieve sensoren die over de hele wereld worden gedistribueerd. Deze waarden laten een geschiedenis zien van hoe een domein of IP-adres de infrastructuur in de loop van de tijd wijzigt. Ze kunnen worden gebruikt om andere infrastructuur te detecteren en risico's te meten op basis van verbindingsniveaus. Voor elke oplossing bieden we eerst gezien en laatst gezien tijdstempels om de levenscyclus van de oplossingen te laten zien.

  

• Certificaten: Naast het beveiligen van uw gegevens zijn TLS-certificaten een fantastische manier voor gebruikers om ongelijksoortige netwerkinfrastructuur te verbinden. TLS-certificaten kunnen verbindingen maken die passieve DNS- of WHOIS-gegevens mogelijk missen. Dit betekent meer manieren om potentiële schadelijke infrastructuur te correleren en potentiële operationele beveiligingsfouten van actoren te identificeren. Voor elk TLS-certificaat geven we de certificaatnaam, vervaldatum, algemene onderwerpnaam en de naam van de onderwerporganisatie op.

  

• Projecten: Met Defender TI kunt u projecten maken voor het organiseren van indicatoren van interesse of inbreuk op basis van een onderzoek. Er worden ook projecten gemaakt om verbindingsartefacten te bewaken voor een betere zichtbaarheid. Projecten bevatten een lijst met alle bijbehorende artefacten en een gedetailleerde geschiedenis waarin de namen, beschrijvingen, samenwerkers en bewakingsprofielen behouden blijven.

  Wanneer u een IP-adres, domein of host zoekt en als die indicator wordt vermeld in een project waartoe u toegang hebt, kunt u het tabblad Projecten selecteren en naar de projectdetails navigeren voor meer context over de indicator voordat u de andere gegevenssets bekijkt voor meer informatie.

  

  Meer informatie over het gebruik van projecten

Gegevenssets

Gegevenssets helpen u dieper in te gaan op de tastbare verbindingen die door Defender TI worden waargenomen. Op het tabblad Samenvatting worden belangrijke bevindingen weergegeven om direct context te bieden over een artefact, maar met de verschillende gegevenssets, die als afzonderlijke tabbladen in de zoekresultaten worden weergegeven, kunt u deze verbindingen veel gedetailleerder bestuderen.

U kunt een van de geretourneerde waarden selecteren om snel te draaien tussen gerelateerde metagegevens en inzichten te onthullen die u mogelijk mist met traditionele onderzoeksmethoden.

De volgende gegevenssets zijn beschikbaar in Defender TI:

• Oplossingen
• WHOIS-informatie
• TLS/SSL-certificaten
• Trackers
• Subdomeinen
• Onderdelen
• Hostparen
• Cookies
• Services
• DNS
• Omgekeerde DNS

Meer informatie over gegevenssets

Volgende stappen

Zie voor meer informatie:

• Gegevens sorteren, filteren en downloaden
• Gegevenssets
• Reputatiescore
• Inzichten van analisten
• Wat is Microsoft Defender-bedreigingsinformatie (Defender TI)?
• Projecten gebruiken