Compartilhar via

O que é a Inteligência contra Ameaças do Microsoft Defender (Defender TI)?

  • Artigo

Importante

Em 30 de junho de 2024, o portalhttps://ti.defender.microsoft.com autônomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) será desativado e não estará mais acessível. Os clientes podem continuar usando o Defender TI no portal do Microsoft Defender ou com Microsoft Copilot para Segurança. Saiba Mais

Informações sobre Ameaças do Microsoft Defender (Defender TI) é uma plataforma que simplifica a triagem, a resposta a incidentes, a busca de ameaças, o gerenciamento de vulnerabilidades e os fluxos de trabalho de analistas de inteligência contra ameaças ao conduzir a análise da infraestrutura de ameaças e coletar inteligência contra ameaças. Com as organizações de segurança acionando uma quantidade cada vez maior de inteligência e alertas em seu ambiente, ter uma análise de ameaças uma plataforma de inteligência que permite avaliações precisas e oportunas de alertas é importante.

Analistas gastam um tempo significativo em descoberta, coleta e análise de dados, em vez de se concentrar no que realmente ajuda sua organização a se defender — derivando insights sobre os atores por meio da análise e correlação. Geralmente, esses analistas devem ir a vários repositórios para obter os conjuntos de dados críticos necessários para avaliar um domínio suspeito, host ou endereço IP. Dados DNS, informações do WHOIS, malware e certificados SSL fornecem um contexto importante para indicadores de comprometimento (IOCs), mas esses repositórios são amplamente distribuídos e nem sempre compartilham uma estrutura de dados comum.

Essa ampla distribuição de repositórios dificulta que os analistas garantam que eles tenham todos os dados relevantes necessários para fazer uma avaliação adequada e oportuna da infraestrutura suspeita. Interagir com esses conjuntos de dados também pode ser complicado, e o pivotamento entre esses repositórios é demorado e drena os recursos de grupos de operações de segurança que precisam constantemente repriorizar seus esforços de resposta.

Analistas de inteligência contra ameaças lutam para equilibrar uma amplitude de ingestão de inteligência contra ameaças com a análise da qual a inteligência contra ameaças representa as maiores ameaças à sua organização e/ou indústria. Na mesma amplitude, analistas de inteligência de vulnerabilidade lutam contra a correlação de seu inventário de ativos com informações CVE (Vulnerabilidades Comuns e Exposições) para priorizar a investigação e a correção das vulnerabilidades mais críticas associadas à sua organização.

A Microsoft reimagina o fluxo de trabalho do analista desenvolvendo o Defender TI, que agrega e enriquece fontes de dados críticas e as exibe em uma interface inovadora e fácil de usar, na qual os usuários podem correlacionar indicadores de comprometimento (IOCs) com artigos relacionados, perfis de ator e vulnerabilidades. O Defender TI também permite que analistas colaborem com outros usuários licenciados pelo Defender TI em seu locatário em investigações.

Veja a seguir uma captura de tela da página do Gerenciador intel do Defender TI no portal do Microsoft Defender. Os analistas podem examinar rapidamente novos artigos em destaque e executar uma pesquisa de ID de palavra-chave, indicador ou CVE para iniciar seus esforços de coleta, triagem, resposta a incidentes e caça.

ti Visão geral Home Page Chrome Captura de tela.

Artigos do Defender TI

Artigos são narrativas que fornecem insights sobre atores de ameaças, ferramentas, ataques e vulnerabilidades. Os artigos do Defender TI não são postagens de blog sobre inteligência contra ameaças; enquanto esses artigos resumem ameaças diferentes, eles também vinculam a conteúdo acionável e IOCs principais para ajudar os usuários a agir. Ter essas informações técnicas nos resumos de ameaças permite que os usuários acompanhem continuamente atores de ameaças, ferramentas, ataques e vulnerabilidades à medida que mudam.

A seção Artigos em destaque da página do Explorador intel (logo abaixo da barra de pesquisa) exibe as imagens de faixa de conteúdo notável da Microsoft:

Artigos em destaque de visão geral da TI

Selecionar um banner de artigo em destaque carrega o conteúdo completo do artigo. O Instantâneo do artigo fornece uma compreensão rápida do artigo. A chamada Indicadores mostra quantos indicadores públicos e do Defender TI estão associados ao artigo.

Artigo de Visão Geral da TI em Destaque

Artigos

Todos os artigos (incluindo os artigos em destaque) são listados na seção Artigos recentes de acordo com a data de publicação, com o mais recente na parte superior.

Artigos de visão geral da TI.

A seção Descrição de um artigo contém informações sobre o ator de ataque ou ameaça perfilado. O conteúdo pode ser curto, como boletins OSINT (inteligência de software livre) ou longo (para relatórios de forma longa, especialmente quando a Microsoft aumenta o relatório com sua própria análise). As descrições mais longas podem conter imagens, links para o conteúdo subjacente, links para pesquisas no Defender TI, snippets de código de invasor e regras de firewall para bloquear o ataque.

Descrição do artigo visão geral da TI.

A seção Indicadores públicos lista os indicadores conhecidos relacionados ao artigo. Os links nesses indicadores levam você a dados relevantes do Defender TI ou fontes externas.

Visão geral da TI Artigo Indicadores públicos.

A seção Indicadores do Defender TI aborda os indicadores que a própria equipe de pesquisa do Defender TI encontra relacionados aos artigos. Os links nesses indicadores também levam você a dados relevantes do Defender TI ou fontes externas.

Esses links também se dinamizem nos dados relevantes do Defender TI ou na fonte externa correspondente.

Visão geral da TI Artigo Indicadores de TI do Defender.

Artigos de vulnerabilidade

O Defender TI oferece pesquisas de ID CVE para ajudá-lo a identificar informações críticas sobre a CVE. Pesquisas de ID CVE resultam em artigos de vulnerabilidade.

Cada artigo de vulnerabilidade contém:

  • Uma descrição da CVE
  • Uma lista de componentes afetados
  • Procedimentos e estratégias de mitigação personalizados
  • Artigos de inteligência relacionados
  • Referências em conversas profundas e escuras na web
  • Outras observações importantes

Esses artigos fornecem contexto mais profundo e insights acionáveis por trás de cada CVE, permitindo que os usuários entendam e reduzam essas vulnerabilidades mais rapidamente.

Os artigos de vulnerabilidade também incluem uma pontuação de prioridade do Defender TI e um indicador de gravidade. A pontuação de prioridade do Defender TI é um algoritmo exclusivo que reflete a prioridade de uma CVE com base na pontuação do CVSS (Common Vulnerability Score System), explorações, conversas e vinculação ao malware. Ele avalia a recência desses componentes para que você possa entender quais CVEs devem ser corrigidos primeiro.

Pontuação de reputação

Os dados de reputação de IP são importantes para entender a confiabilidade de sua própria superfície de ataque e também são úteis ao avaliar hosts, domínios ou endereços IP desconhecidos que aparecem em investigações. O Defender TI fornece pontuações de reputação proprietárias para qualquer host, domínio ou endereço IP. Se validar a reputação de uma entidade conhecida ou desconhecida, essas pontuações ajudam você a entender os laços detectados com infraestruturas mal-intencionadas ou suspeitas rapidamente.

Cartão de resumo de reputação.

O Defender TI fornece informações rápidas sobre a atividade dessas entidades, como carimbos de data/hora, ASN (Número do Sistema Autônomo), país ou região, infraestrutura associada e uma lista de regras que afetam a pontuação de reputação, quando aplicável.

Leia mais sobre pontuação de reputação

Insights de analistas

Os insights dos analistas destilam o vasto conjunto de dados da Microsoft em um punhado de observações que simplificam a investigação e a tornam mais acessível para analistas de todos os níveis.

Os insights devem ser pequenos fatos ou observações sobre um domínio ou endereço IP. Eles fornecem a você a capacidade de avaliar o indicador consultado e melhorar sua capacidade de determinar se um indicador que você está investigando é mal-intencionado, suspeito ou benigno.

Resumo de insights de analistas cartão.

Leia mais sobre insights de analista

Conjuntos de dados

A Microsoft centraliza vários conjuntos de dados no Defender TI, facilitando a realização de análises de infraestrutura para a comunidade e os clientes da Microsoft. O foco principal da Microsoft é fornecer o máximo de dados possível sobre infraestrutura de Internet para dar suporte a vários casos de uso de segurança.

A Microsoft coleta, analisa e indexa dados da Internet usando sensores DNS (sistemas de nomes de domínio passivos), verificação de porta, detonação de URL e arquivos e outras fontes para ajudar os usuários a detectar ameaças, priorizar incidentes e identificar a infraestrutura associada a grupos de atores de ameaças. Suas pesquisas de URL poderão ser usadas para iniciar detonações automaticamente se não houver dados de detonação disponíveis para uma URL no momento da solicitação. Os dados coletados dessas detonações são usados para preencher resultados de quaisquer pesquisas futuras para essa URL de você ou de qualquer outro usuário do Defender TI.

Os conjuntos de dados da Internet com suporte incluem:

  • Resoluções
  • WHOIS
  • Certificados SSL
  • Subdomínios
  • DNS
  • DNS reverso
  • Análise de detonação
  • Conjuntos de dados derivados coletados do DOM (Modelo de Objeto de Documento) de URLs detonadas, incluindo:
    • Trackers
    • Componentes
    • Pares de host
    • Cookies

Componentes e rastreadores também são observados a partir de regras de detecção que são disparadas com base nas respostas de faixa de verificações de porta ou detalhes do certificado SSL. Muitos desses conjuntos de dados têm vários métodos para classificar, filtrar e baixar dados, facilitando o acesso a informações que possam estar associadas a um tipo de indicador específico ou tempo no histórico.

Captura de tela dos conjuntos de dados de classificação.

Saiba mais:

Marcações

As marcas de TI do Defender fornecem uma visão rápida sobre um indicador, seja derivado pelo sistema ou gerado por outros usuários. As marcas ajudam os analistas a conectar os pontos entre incidentes atuais e investigações e seu contexto histórico para uma análise aprimorada.

O Defender TI oferece dois tipos de marcas: marcas de sistema e marcas personalizadas.

Marcas Personalizadas

Saiba mais sobre como usar marcas

Projetos

O Defender TI permite que os usuários desenvolvam vários tipos de projeto para organizar indicadores de interesse e indicadores de comprometimento de uma investigação. Os projetos contêm uma lista de todos os indicadores associados e um histórico detalhado que retém os nomes, descrições e colaboradores.

Ao pesquisar um endereço IP, domínio ou host no Defender TI e se esse indicador estiver listado em um projeto ao qual você tem acesso, você poderá ver um link para o projeto na página projetos intel, nas guiasResumo e Dados . A partir daí, você pode navegar até os detalhes do projeto para obter mais contexto sobre o indicador antes de revisar os outros conjuntos de dados para obter mais informações. Portanto, você pode evitar reinventar a roda de uma investigação que um de seus usuários locatários do Defender TI pode já ter iniciado. Se alguém adicionar você como colaborador a um projeto, você também poderá adicionar a essa investigação adicionando novos IOCs.

Captura de tela de detalhes do projeto.

Saiba mais sobre como usar projetos

Residência, disponibilidade e privacidade de dados

O Defender TI contém dados globais e dados específicos do cliente. Os dados subjacentes da Internet são dados globais da Microsoft; os rótulos aplicados pelos clientes são considerados dados do cliente. Todos os dados do cliente são armazenados na região de escolha do cliente.

Para fins de segurança, a Microsoft coleta os endereços IP dos usuários ao entrar. Esses dados são armazenados por até 30 dias, mas podem ser armazenados por mais tempo se necessário para investigar possíveis usos fraudulentos ou mal-intencionados do produto.

Em um cenário de down de região, os clientes não devem ver tempo de inatividade, pois o Defender TI usa tecnologias que replicam dados em regiões de backup.

O Defender TI processa dados do cliente. Por padrão, os dados do cliente são replicados para a região emparelhada.

Confira também