Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Łańcuch infrastruktury używa relacji między wysoce połączonymi zestawami danych do kompilowania badania. Ten proces jest rdzeniem analizy infrastruktury zagrożeń i umożliwia organizacjom wykrywanie nowych połączeń, grupowanie podobnych działań związanych z atakiem i potwierdzanie założeń podczas reagowania na zdarzenia.
Wymagania wstępne
Zapoznaj się z następującymi artykułami usługi Defender TI:
Wszystko, czego potrzebujesz, to punkt początkowy
Widzimy, że kampanie ataków wykorzystują szeroką gamę technik zaciemniania — od prostego filtrowania geograficznego po złożone taktyki, takie jak pasywne odciski palców systemu operacyjnego. Techniki te mogą potencjalnie zatrzymać badanie punktu w czasie w jego śladach. Na powyższym obrazie wyróżniono koncepcję tworzenia łańcuchów infrastruktury. Dzięki możliwości wzbogacania danych możemy zacząć od złośliwego oprogramowania, które próbuje połączyć się z adresem IP (prawdopodobnie serwerem poleceń i kontroli). Ten adres IP mógł być hostowanym certyfikatem protokołu TLS o nazwie pospolitej, takiej jak nazwa domeny. Ta domena może być połączona ze stroną zawierającą unikatowy tracker w kodzie, taki jak NewRelicID lub inny identyfikator analityczny, który mogliśmy zaobserwować gdzie indziej. Być może domena mogła być historycznie połączona z inną infrastrukturą, która może rzucić światło na nasze dochodzenie. Głównym wnioskiem jest to, że jeden punkt danych wyjęty z kontekstu może nie być szczególnie przydatny, ale gdy obserwujemy naturalne połączenie z wszystkimi innymi danymi technicznymi, możemy zacząć łączyć historię.
Perspektywa zewnętrzna przeciwnika
Zewnętrzna perspektywa przeciwnika umożliwia im korzystanie z stale rozwijającej się obecności sieci Web i urządzeń przenośnych, która działa poza zaporą.
Podejście do właściwości sieci Web i urządzeń przenośnych oraz interakcja z nimi jako rzeczywistym użytkownikiem umożliwia firmie Microsoft przeszukiwanie, skanowanie i uczenie maszynowe w celu rozbrojenia technik uchylania się od oszustw przez przeciwników przez zbieranie danych sesji użytkownika i wykrywanie wyłudzania informacji, złośliwego oprogramowania, nieautoryzowanych aplikacji, niechcianej zawartości i naruszenia domeny na dużą skalę. Takie podejście pomaga dostarczać możliwe do działania alerty i przepływy pracy dotyczące zagrożeń oparte na zdarzeniach w postaci analizy zagrożeń, tagów systemowych, szczegółowych informacji analityków i wyników reputacji związanych z infrastrukturą przeciwników.
W miarę udostępniania większej ilości danych o zagrożeniach analitycy muszą uzyskać więcej narzędzi, edukacji i nakładu pracy, aby zrozumieć zestawy danych i odpowiadające im zagrożenia. Microsoft Defender Threat Intelligence (Defender TI) ujednolica te wysiłki, zapewniając jeden widok wielu źródeł danych.