Infrastrukturlänkning
Viktigt
Den 30 juni 2024 drogs den fristående portalenhttps://ti.defender.microsoft.com Microsoft Defender Threat Intelligence (Defender TI) tillbaka och är inte längre tillgänglig. Kunder kan fortsätta använda Defender TI i Microsoft Defender-portalen eller med Microsoft Copilot for Security. Läs mer
Infrastrukturlänkning använder relationerna mellan mycket anslutna datauppsättningar för att bygga upp en undersökning. Den här processen är kärnan i analys av hotinfrastrukturen och gör det möjligt för organisationer att visa nya anslutningar, gruppera liknande attackaktivitet och underbygga antaganden under incidenthantering.
Förhandskrav
Läs följande Defender TI-artiklar:
Allt du behöver är en startpunkt
Vi ser att attackkampanjer använder en mängd olika fördunklingstekniker – från enkel geofiltrering till komplexa taktiker som passiva OS-fingeravtryck. Dessa tekniker kan potentiellt stoppa en tidpunktsundersökning i dess spår. Föregående bild belyser begreppet infrastrukturlänkning. Med vår funktion för databerikning kan vi börja med en del skadlig kod som försöker ansluta till en IP-adress (eventuellt en kommando- och kontrollserver). Ip-adressen kan ha varit värd för ett TLS-certifikat som har ett eget namn, till exempel ett domännamn. Domänen kan vara ansluten till en sida som innehåller en unik spårare i koden, till exempel ett NewRelicID eller något annat analys-ID som vi kan ha observerat någon annanstans. Eller så kanske domänen historiskt sett har anslutits till annan infrastruktur som kan kasta ljus över vår undersökning. Det viktigaste är att en datapunkt som tas ur sitt sammanhang kanske inte är särskilt användbar, men när vi observerar den naturliga anslutningen till alla dessa andra tekniska data kan vi börja sy ihop en berättelse.
En angripares perspektiv utifrån
En angripares externa perspektiv gör det möjligt för dem att dra nytta av din ständigt expanderande webb- och mobilnärvaro som fungerar utanför brandväggen.
När du närmar dig och interagerar med webb- och mobilegenskaper som en verklig användare kan Microsofts crawlnings-, genomsöknings- och maskininlärningsteknik avväpna angripares metoder för undvikande genom att samla in användarsessionsdata och identifiera nätfiske, skadlig kod, oseriösa appar, oönskat innehåll och domänintrång i stor skala. Den här metoden hjälper till att leverera åtgärdsbaserade, händelsebaserade hotaviseringar och arbetsflöden i form av hotinformation, systemtaggar, analytikerinsikter och ryktespoäng som är associerade med angripares infrastruktur.
I takt med att fler hotdata blir tillgängliga krävs fler verktyg, utbildning och arbete för att analytikerna ska förstå datamängderna och deras motsvarande hot. Microsoft Defender Threat Intelligence (Defender TI) förenar dessa ansträngningar genom att tillhandahålla en enda vy i flera datakällor.