Gegevens sorteren, filteren en downloaden
Belangrijk
Op 30 juni 2024 is de zelfstandige portal van Microsoft Defender Threat Intelligence (Defender TI) buitenhttps://ti.defender.microsoft.com gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender-portal of met Microsoft Copilot voor Beveiliging. Meer informatie
Met Microsoft Defender Threat Intelligence (Defender TI) hebt u toegang tot onze uitgebreide verzameling verkenningsgegevens in een geïndexeerde en draaitabelindeling. Deze gegevenssets kunnen grote hoeveelheden historische en recente gegevens retourneren. Door u de gegevens op de juiste manier te laten sorteren en filteren, helpen we u eenvoudig de interessante verbindingen te laten zien.
In dit instructieartikel leert u hoe u gegevens sorteert en filtert voor de volgende gegevenssets:
- Oplossingen
- WHOIS-informatie
- Certificaten
- Subdomeinen
- Trackers
- Onderdelen
- Hostparen
- Cookies
- Services
- Domain Name System (DNS)
- Omgekeerde DNS
Meer informatie over gegevenssets
U leert ook hoe u indicatoren of artefacten downloadt via de volgende functies:
- Projecten
- Artikelen
- Gegevenssets
Vereisten
Een Microsoft Entra- ID of een persoonlijk Microsoft-account. Aanmelden of een account maken
Een Defender TI Premium-licentie.
Opmerking
Gebruikers zonder een Defender TI Premium-licentie hebben nog steeds toegang tot onze gratis Defender TI-aanbieding.
Defender TI openen in de Microsoft Defender-portal
- Open de Defender-portal en voltooi het Microsoft-verificatieproces. Meer informatie over de Defender-portal
- Navigeer naar Bedreigingsinformatie>Intel Explorer.
Gegevens sorteren
Met de sorteerfunctie op elk gegevenstabblad kunt u onze gegevenssets snel sorteren op de kolomwaarden. De meeste resultaten worden standaard gesorteerd op Laatst gezien (aflopend), zodat de meest recent waargenomen resultaten boven aan de lijst worden weergegeven. Deze standaardsorteervolgorde biedt onmiddellijk inzicht in de huidige infrastructuur van een artefact.
Op dit moment kunnen alle gegevenssets worden gesorteerd op de volgende waarden voor eerst gezien en laatst gezien :
- Laatst gezien (aflopend) - Standaard
- Laatst gezien (oplopend)
- Eerst gezien (oplopend)
- Eerst gezien (aflopend)
Gegevens kunnen worden gesorteerd op elk tabblad van de gegevensset voor elk IP-adres, domein of hostentiteit die wordt doorzocht of gepimpt.
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar het tabblad Resoluties en pas de sorteervoorkeuren toe op de kolommen First seen en Last seen .
Gegevens filteren
Met gegevensfiltering hebt u toegang tot een selecte groep gegevens op basis van een bepaalde metagegevenswaarde. U kunt er bijvoorbeeld voor kiezen om alleen IP-oplossingen te bekijken die zijn gedetecteerd vanuit een geselecteerde bron of onderdelen van een bepaald type (bijvoorbeeld servers of frameworks). Met gegevensfilters kunt u de queryresultaten beperken tot items van bijzonder belang.
Omdat Defender TI specifieke metagegevens biedt die samenvallen met bepaalde gegevenstypen, zijn de filteropties voor elke gegevensset verschillend.
Oplossingsfilters
De volgende filters zijn van toepassing op omzettingsgegevens:
- Systeemtag: Defender TI maakt deze tags op basis van inzichten die zijn ontdekt door ons onderzoeksteam. Meer informatie
- Tag: Aangepaste tags die Defender TI-gebruikers hebben toegepast. Meer informatie
- ASN: resultaten die betrekking hebben op een aangewezen autonoom systeemnummer (ASN).
- Netwerk: resultaten die betrekking hebben op het aangewezen netwerk.
- Bron: de gegevensbron die het resultaat heeft geproduceerd (bijvoorbeeld riskiq, emerging_threats).
Oplossingsgegevens filteren:
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar het tabblad Oplossingen
Pas filters toe op elk van de typen filteropties die eerder zijn genoteerd.
Trackerfilters
De volgende filters zijn van toepassing op trackergegevens:
- Type: Het geïdentificeerde trackertype voor elk artefact (bijvoorbeeld JarmFuzzyHash of GoogleAnalyticsID).
- Adres: het IP-adres dat de tracker rechtstreeks heeft waargenomen of een omzettende host heeft die de tracker heeft waargenomen. Dit filter wordt weergegeven wanneer u een IP-adres zoekt.
- Hostnaam: de host die deze trackerwaarde heeft waargenomen. Dit filter wordt weergegeven wanneer u zoekt in een domein of host.
Trackergegevens filteren:
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar het tabblad Trackers
Pas filters toe op elk van de typen filteropties die eerder zijn genoteerd.
Onderdeelfilters
De volgende filters zijn van toepassing op onderdeelgegevens:
- Ipaddressraw: Het IP-adres dat samenvalt met de geretourneerde hostnaam.
- Type: Het aangewezen onderdeeltype (bijvoorbeeld externe toegang of besturingssysteem).
- Naam: De naam van het gedetecteerde onderdeel (bijvoorbeeld Cobalt Strike of PHP).
Onderdeelgegevens filteren:
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar het tabblad Onderdelen
Pas filters toe op elk van de typen filteropties die eerder zijn genoteerd.
Hostpaarfilters
De volgende filters zijn van toepassing op hostpaargegevens:
- Richting: De richting van de waargenomen verbinding, die aangeeft of de bovenliggende verbinding omleidt naar het onderliggende element of andersom.
- Bovenliggende hostnaam: De hostnaam van het bovenliggende artefact.
- Oorzaak: De gedetecteerde oorzaak van de bovenliggende en onderliggende relatie van de host (bijvoorbeeld omleiding of iframe.src).
- Onderliggende hostnaam: De hostnaam van het onderliggende artefact.
Ga als volgt te werk om hostpaargegevens te filteren:
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar het tabblad Hostparen
Pas filters toe op elk van de typen filteropties die eerder zijn genoteerd.
DNS- en omgekeerde DNS-filters
De volgende filters zijn van toepassing op DNS- en omgekeerde DNS-gegevens:
- Recordtype: Het type record dat is gedetecteerd in de DNS-record (bijvoorbeeld NS of CNAME).
- Waarde: De opgegeven waarde van de record (bijvoorbeeld nameserver.host.com).
DNS- en omgekeerde DNS-gegevens filteren:
Zoek een domein, IP-adres of host in de zoekbalk van Intel Explorer .
Ga naar de tabbladen DNS en Reverse DNS
Pas filters toe op elk van de typen filteropties die eerder zijn genoteerd.
Gegevens downloaden
Er zijn verschillende secties in Defender TI waar u gegevens als een CSV-bestand kunt exporteren. Kijk uit naar en selecteer Downloadpictogram
in de volgende secties:
- De meeste tabbladen voor gegevenssets
- Projecten
- Intel-artikelen
Wanneer u gegevens downloadt van de Resoluties, DNS en Omgekeerde DNS , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| Oplossen | Een record die is gekoppeld aan het doorzochte domein (ip-adres omzetten) of domein dat wordt omgezet in een IP-adres wanneer het IP-adres wordt doorzocht |
| Locatie | Land of regio waarin het IP-adres wordt gehost |
| Netwerk | Netblock of subnet |
| autonomousSystemNumber | ASN |
| firstSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) toen Microsoft voor het eerst de resolutie heeft waargenomen |
| lastSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) waarop Microsoft de resolutie voor het laatst heeft waargenomen |
| Source | Bron die deze resolutie heeft waargenomen |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u gegevens downloadt van het tabblad Subdomeinen , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| hostnaam | Subdomein van het doorzochte domein |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u gegevens downloadt van het tabblad Trackers , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| hostnaam | Hostnaam die de tracker heeft waargenomen of momenteel observeert |
| firstSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) toen Microsoft voor het eerst zag dat de hostnaam de tracker gebruikte |
| lastSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) toen Microsoft voor het laatst heeft waargenomen dat de hostnaam gebruikmaakte van de tracker |
| attributeType | Type tracker |
| attributeValue | Trackerwaarde |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u gegevens downloadt van het tabblad Onderdelen , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| hostnaam | Hostnaam die het onderdeel heeft waargenomen of momenteel observeert |
| firstSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) toen Microsoft voor het eerst zag dat de hostnaam het onderdeel gebruikte |
| lastSeen | Datum en tijd (in mm/dd/jjjj uu:mm-indeling ) toen Microsoft voor het laatst heeft vastgesteld dat de hostnaam het onderdeel gebruikte |
| categorie | Onderdeeltype |
| naam | Onderdeelnaam |
| Versie | Onderdeelversie |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u gegevens downloadt van het tabblad Hostparen , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| parentHostname | De hostnaam die de onderliggende hostnaam bereikt |
| childHostname | De hostnaam die assets invoert die ze hosten voor de bovenliggende hostnaam. |
| firstSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) waarop Microsoft voor het eerst de relatie tussen de bovenliggende en onderliggende hostnaam heeft waargenomen |
| lastSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) waarop Microsoft de relatie tussen de bovenliggende en onderliggende hostnaam voor het laatst heeft waargenomen |
| attributeCause | De oorzaak van de relatie tussen de bovenliggende en onderliggende hostnaam |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u gegevens downloadt van het tabblad Cookies , worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| hostnaam | Hostnaam die de cookienaam heeft waargenomen |
| firstSeen | Datum en tijd (in mm/dd/jjjj uu:mm-notatie ) waarop de cookienaam voor het eerst werd waargenomen bij de hostnaam die afkomstig is van het cookiedomein |
| lastSeen | Datum en tijd (in de notatie mm/dd/jjjj uu:mm ) waarop de cookienaam voor het laatst is waargenomen bij de hostnaam die afkomstig is van het cookiedomein |
| cookieName | Cookienaam |
| cookieDomain | De server van de domeinnaam waar de cookienaam vandaan komt |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
Wanneer u projectlijsten downloadt van Intel-projecten (Mijn projecten, Teamprojecten en Gedeelde projecten), worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| naam | Projectnaam |
| artefacten (aantal) | Aantal artefacten binnen het project |
| gemaakt door (gebruiker) | Gebruiker die het project heeft gemaakt |
| gemaakt op | Wanneer het project is gemaakt |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
| Medewerkers | Wie zijn toegevoegd als samenwerkers aan het project; deze header is alleen zichtbaar voor projecten die zijn gedownload van de pagina's Mijn projecten en Gedeelde projecten |
Wanneer u projectdetails (artefacten) van een project downloadt, worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| artefact | Artefactwaarde (bijvoorbeeld IP-adres, domein, host, WHOIS-waarde of certificaat SHA-1) |
| type | Artefacttype (bijvoorbeeld IP, domein, host, WHOIS-organisatie, WHOIS-telefoon of certificaat SHA-1) |
| geschapen | Datum en tijd (in de notatie mm/dd/jjjj uu:mm ) waarop het artefact aan het project is toegevoegd |
| schepper | E-mailadres van de gebruiker die het artefact heeft toegevoegd |
| context | Hoe het artefact is toegevoegd aan het project |
| Tags | Systeem- of aangepaste tags die zijn gekoppeld aan het artefact |
| Medewerkers | Wie zijn toegevoegd als samenwerkers aan het project; deze header is alleen zichtbaar voor projecten die zijn gedownload van de pagina's Mijn projecten en Gedeelde projecten |
Als u openbare of riskiq-indicatoren voor bedreigingsinformatie downloadt, worden de volgende headers geëxporteerd:
| Header | Beschrijving |
|---|---|
| type | Indicatortype (bijvoorbeeld IP-adres, certificaat, domein of SHA-256) |
| waarde | Indicatorwaarde (bijvoorbeeld IP-adres, domein of hostnaam) |
| bron | Indicatorbron (RiskIQ of OSINT) |