Projecten gebruiken
Belangrijk
Op 30 juni 2024 is de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender-portal of met Microsoft Copilot voor Beveiliging. Meer informatie
met Microsoft Defender-bedreigingsinformatie (Defender TI) kunt u persoonlijke persoonlijke projecten of teamprojecten ontwikkelen om indicatoren van interesse en indicatoren van inbreuk (IOC's) van een onderzoek te organiseren. Projecten bevatten een lijst met alle bijbehorende artefacten en een gedetailleerde geschiedenis waarin de namen, beschrijvingen, samenwerkers en bewakingsprofielen behouden blijven.
Wanneer u een IP-adres, domein of host zoekt in Intel Explorer in de Microsoft Defender portal, en als die indicator wordt vermeld in een project waartoe u toegang hebt, kunt u naar het tabblad Projecten gaan en naar de details van het project navigeren voor meer context over de indicator voordat u de andere gegevenssets bekijkt voor meer informatie. U kunt uw privéteamprojecten ook bekijken in de Defender-portal door naarIntel-projecten voor bedreigingsinformatie> te gaan.
Als u de details van een project bezoekt, ziet u een lijst met alle bijbehorende artefacten en een gedetailleerde geschiedenis die alle eerder beschreven context behoudt. U en andere gebruikers binnen uw organisatie hoeven geen tijd meer te besteden aan het heen en weer communiceren. U kunt profielen voor bedreigingsacteuren maken in Defender TI, die kunnen fungeren als een 'levende' set indicatoren. Wanneer u nieuwe informatie ontdekt of vindt, kunt u deze toevoegen aan dat project.
Met het Defender TI-platform kunt u meerdere projecttypen ontwikkelen voor het organiseren van indicatoren van interesse en IOC's uit een onderzoek.
De projecteigenaar kan samenwerkers (gebruikers die worden vermeld in hun Azure-tenant met een Defender TI Premium-licentie) toevoegen die vervolgens eventuele wijzigingen in het project kunnen aanbrengen alsof ze de eigenaar van het project zijn. Samenwerkers kunnen echter geen projecten verwijderen. Samenwerkers kunnen de met hen gedeelde projecten bekijken op het tabblad Gedeelde projecten op de pagina Intel-projecten.
U kunt ook artefacten binnen een project downloaden door het pictogram Downloaden te selecteren. Deze functie is een uitstekende manier voor teams voor het opsporen van bedreigingen om hun bevindingen uit een onderzoek te gebruiken om IOC's te blokkeren of meer detectieregels te bouwen in hun SIEM-toepassingen (Security Information and Event Management).
Vragen die projecten kunnen helpen bij het beantwoorden van:
Heeft een van mijn collega-teamleden een teamproject gemaakt dat deze indicator bevat?
- Zo ja, welke andere gerelateerde IOC's hebben dit teamlid vastgelegd en welke beschrijving en tags bevatten ze om het type onderzoek te beschrijven?
Wanneer heeft dit teamlid het project voor het laatst bewerkt?
Vereisten
Een Microsoft Entra- ID of een persoonlijk Microsoft-account. Aanmelden of een account maken
Een Defender TI Premium-licentie.
Opmerking
Gebruikers zonder een Defender TI Premium-licentie hebben nog steeds toegang tot onze gratis Defender TI-aanbieding.
De pagina Defender TI Intel-projecten openen in de Microsoft Defender-portal
Op de pagina Intel-projecten ziet u de projecten die u bezit of die met u zijn gedeeld door andere Defender TI-gebruikers in uw tenant.
- Open de Defender-portal en voltooi het Microsoft-verificatieproces. Meer informatie over de Defender-portal
- Navigeer naar Intel-projecten voor bedreigingsinformatie>.
Een project maken
U kunt op twee manieren een project maken in de Defender-portal:
Als u een project wilt maken op de pagina Intel-projecten , selecteert u Nieuw project.
Als u een nieuw project wilt maken tijdens het uitvoeren van een onderzoek op de pagina Intel Explorer , voert u een indicatorzoekopdracht uit vanuit de Intel Explorer-zoekopdracht en selecteert u vervolgens Toevoegen aan project>Nieuw project toevoegen in de zoekresultaten.
Vul in het deelvenster Nieuw project dat wordt weergegeven de vereiste velden in en selecteer Opslaan.
Projecten beheren
Zodra u een project hebt gemaakt, kunt u het beheren op de pagina Intel-projecten . Op deze pagina worden alle projecten weergegeven die u kunt openen en biedt filtermechanismen op basis van projecteigenschappen.
Standaard worden op de pagina Intel-projecten de teamprojecten weergegeven die zijn gekoppeld aan alle Defender TI-gebruikers in uw tenant. U kunt ervoor kiezen om alleen de persoonlijke projecten weer te geven die u hebt gemaakt of de projecten die met u zijn gedeeld om aan bij te dragen.
- Als u de details van een project wilt weergeven, selecteert u de naam van het project.
- Als u rechtstreeks wijzigingen in het project wilt aanbrengen, selecteert u Bewerken in de rechterbovenhoek van de projectpagina. U kunt projecten alleen bewerken als u het juiste toegangsniveau hebt.
- Als u artefacten handmatig wilt toevoegen aan een project, selecteert u Artefact toevoegen in de rechterbovenhoek van de projectpagina.
- Als u een project wilt verwijderen, selecteert u Project verwijderen. U kunt alleen de projecten verwijderen die u bezit.
Aanbevolen procedures
Als het gaat om het gebruik van Defender TI om potentiële bedreigingen te onderzoeken, raden we u aan de volgende werkstromen uit te voeren, omdat u met deze stappen strategische en operationele intelligentie kunt verzamelen voordat u in tactische intelligentie duikt.
U voert verschillende typen zoekopdrachten uit binnen Defender TI. Daarom is het belangrijk om uw methode voor het verzamelen van informatie te benaderen op een manier die u brede resultaten geeft voordat u specifieke indicatoren gaat onderzoeken. Als u bijvoorbeeld zoekt naar een IP-adres op de Intel Explorer-pagina, welke artikelen zijn dan gekoppeld aan dat IP-adres? Welke informatie bevatten deze artikelen over het IP-adres dat u anders niet zou vinden als u rechtstreeks naar het tabblad Gegevens van het IP-adres navigeert voor gegevenssetverrijking. Is dit IP-adres bijvoorbeeld geïdentificeerd als een mogelijke C2-server (command-and-control)? Wie is de bedreigingsacteur? Welke andere gerelateerde IOC's worden vermeld in het artikel, welke tactieken, technieken en procedures (TTLP's) gebruikt de bedreigingsacteur en wie richten ze zich op?
Naast het uitvoeren van verschillende typen zoekopdrachten in Defender TI, kunt u met anderen samenwerken aan onderzoeken. Dat gezegd hebbende, wordt u aangemoedigd om projecten te maken, indicatoren met betrekking tot een onderzoek toe te voegen aan een project en medewerkers toe te voegen aan een project als meer dan één persoon aan hetzelfde onderzoek werkt. Dit helpt bij het verminderen van de tijd die wordt besteed aan het analyseren van dezelfde IOC's en moet resulteren in een snellere waargenomen werkstroom.