Dela via

Använda projekt

  • Artikel

Viktigt

Den 30 juni 2024 dras den fristående Microsoft Defender Hotinformation (Defender TI) fristående portalen (https://ti.defender.microsoft.com) tillbaka och kommer inte längre att vara tillgänglig. Kunder kan fortsätta använda Defender TI i Microsoft Defender-portalen eller med Microsoft Copilot for Security. Läs mer

Microsoft Defender Hotinformation (Defender TI) kan du utveckla privata personliga projekt eller teamprojekt för att organisera indikatorer av intresse och indikatorer för kompromettering (IOPS) från en undersökning. Projekt innehåller en lista över alla associerade artefakter och en detaljerad historik som behåller namn, beskrivningar, medarbetare och övervakningsprofiler.

När du söker i en IP-adress, domän eller värd i Intel Explorer i Microsoft Defender-portalen, och om indikatorn visas i ett projekt som du har åtkomst till, kan du gå till fliken Projekt och navigera till informationen i projektet för mer kontext om indikatorn innan du granskar de andra datauppsättningarna för mer information. Du kan också visa dina privata teamprojekt i Defender-portalen genom att gå tillIntel-projektför hotinformation>.

När du besöker ett projekts information visas en lista över alla associerade artefakter och en detaljerad historik som behåller all kontext som beskrevs tidigare. Du och andra användare i din organisation behöver inte längre ägna tid åt att kommunicera fram och tillbaka. Du kan skapa profiler för hotskådespelare i Defender TI, som kan fungera som en "levande" uppsättning indikatorer. När du upptäcker eller hittar ny information kan du lägga till den i projektet.

Med Defender TI-plattformen kan du utveckla flera projekttyper för att organisera indikatorer av intresse och IOPS från en undersökning.

Projektägaren kan lägga till medarbetare (användare som anges i deras Azure-klientorganisation med en Defender TI Premium-licens), som sedan kan göra ändringar i projektet som om de är ägare till projektet. Medarbetare kan dock inte ta bort projekt. Medarbetare kan visa de projekt som delas med dem på fliken Delade projekt på sidan Intel-projekt.

Du kan också ladda ned artefakter i ett projekt genom att välja ikonen Ladda ned . Den här funktionen är ett bra sätt för teamen för hotjakt att använda sina resultat från en undersökning för att blockera IOK:er eller skapa fler identifieringsregler i sina SIEM-program (säkerhetsinformation och händelsehantering).

Frågor som projekt kan hjälpa dig att besvara:

  • Har en av mina gruppmedlemmar skapat ett teamprojekt som innehåller den här indikatorn?

    • I så fall, vilka andra relaterade IOP:er har den här teammedlemmen hämtat och vilken beskrivning och vilka taggar inkluderade de för att beskriva typen av undersökning?

  • När redigerade den här gruppmedlemmen projektet senast?

Skärmbild av projektinformation.

Förutsättningar

  • Ett Microsoft Entra ID eller personligt Microsoft-konto. Logga in eller skapa ett konto

  • En Defender TI Premium-licens.

    Obs!

    Användare utan en Defender TI Premium-licens kan fortfarande komma åt vårt kostnadsfria Defender TI-erbjudande.

Öppna defender TI Intel-projektsidan i Microsoft Defender-portalen

På sidan Intel-projekt visas de projekt som du äger eller som har delats med dig av andra Defender TI-användare i din klientorganisation.

  1. Öppna Defender-portalen och slutför Microsoft-autentiseringsprocessen. Läs mer om Defender-portalen
  2. Gå till Intel-projekt för hotinformation>.

Skapa ett projekt

Du kan skapa ett projekt i Defender-portalen på två sätt:

  1. Om du vill skapa ett projekt på sidan Intel-projekt väljer du Nytt projekt.

    Skapa nytt projekt från Intel-projektsidan.

  2. Om du vill skapa ett nytt projekt när du utför en undersökning på Intel Explorer-sidan utför du en indikatorsökning från Intel Explorer-sökningen och väljer sedan Lägg till i projektet>Lägg till nytt projekt i sökresultaten.

    Skapa nytt projekt från sökresultat.

På panelen Nytt projekt som visas fyller du i de obligatoriska fälten och väljer Spara.

Lägg till nytt projekt.

Hantera projekt

När du har skapat ett projekt kan du hantera det på sidan Intel-projekt . Den här sidan visar alla projekt som du kan komma åt och tillhandahåller filtreringsmekanismer baserat på projektegenskaper.

Som standard visar Intel-projektsidan de teamprojekt som är associerade med alla Defender TI-användare i din klientorganisation. Du kan välja att bara visa de personliga projekt som du har skapat eller de projekt som har delats med dig för att bidra till.

Hantera projekt.

  • Om du vill visa information om ett projekt väljer du projektets namn.
  • Om du vill göra ändringar i projektet direkt väljer du Redigera i det övre högra hörnet på projektsidan. Du kan bara redigera projekt om du har tillräcklig åtkomstnivå till dem.
  • Om du vill lägga till artefakter manuellt i ett projekt väljer du Lägg till artefakt i det övre högra hörnet på projektsidan.
  • Om du vill ta bort ett projekt väljer du Ta bort projekt. Du kan bara ta bort de projekt som du äger.

Metodtips

När det gäller att använda Defender TI för att undersöka potentiella hot rekommenderar vi att du kör följande arbetsflöden eftersom de här stegen gör att du kan samla in strategisk och operativ intelligens innan du dyker in i taktisk intelligens.

Du utför olika typer av sökningar i Defender TI. Därför är det viktigt att du närmar dig din metod för insamling av intelligens på ett sätt som ger dig breda resultat innan du undersöker specifika indikatorer. Om du till exempel söker efter en IP-adress på Intel Explorer-sidan, vilka artiklar är associerade med den IP-adressen? Vilken information finns i de här artiklarna om IP-adressen som du annars inte skulle hitta när du navigerar direkt till FLIKEN IP-adressdata för datamängdsberikning. Har den här IP-adressen till exempel identifierats som en möjlig C2-server (command-and-control)? Vem är hotskådespelaren? Vilka andra relaterade IOK:er visas i artikeln, vilka taktiker, tekniker och procedurer (TTP:er) använder hotskådespelaren och vem riktar de in sig på?

Förutom att utföra olika typer av sökningar i Defender TI kan du samarbeta med andra om undersökningar. Med det sagt uppmuntras du att skapa projekt, lägga till indikatorer relaterade till en undersökning i ett projekt och lägga till medarbetare i ett projekt om fler än en person arbetar med samma undersökning. Detta bidrar till att minska tiden som ägnas åt att analysera samma IOPS och bör resultera i ett snabbare arbetsflöde som observeras.