Verileri sıralama, filtreleme ve indirme
Önemli
30 Haziran 2024'te Microsoft Defender Tehdit Analizi (Defender TI) tek başına portalı (https://ti.defender.microsoft.com) kullanımdan kaldırıldı ve artık erişilebilir değil. Müşteriler Microsoft Defender portalında veya Güvenlik için Microsoft Copilot ile Defender TI kullanmaya devam edebilir. Daha fazla bilgi edinin
Microsoft Defender Tehdit Analizi (Defender TI), geniş gezinme verileri koleksiyonumuza dizinlenmiş ve özet tablo biçiminde erişmenizi sağlar. Bu veri kümeleri büyük olabilir ve büyük miktarlarda geçmiş ve son veriler döndürebilir. Verileri uygun şekilde sıralamanıza ve filtrelemenize izin vererek, ilgi çekici bağlantıları kolayca ortaya çıkarmanıza yardımcı olacağız.
Bu nasıl yapılır makalesinde, aşağıdaki veri kümeleri için verileri sıralamayı ve filtrelemeyi öğreneceksiniz:
- Çözümler
- WHOIS bilgileri
- Sertifikalar
- Alt
- Izci
- Bileşen
- Konak çiftleri
- Tanımlama bilgileri
- Hizmetler
- Etki Alanı Adı Sistemi (DNS)
- DNS'i ters çevir
Veri kümeleri hakkında daha fazla bilgi edinin
Ayrıca aşağıdaki özelliklerden göstergeleri veya yapıtları indirmeyi de öğrenirsiniz:
- Projeler
- Makaleler
- Veri kümeleri
Önkoşullar
Microsoft Entra ID veya kişisel Microsoft hesabı. Oturum açma veya hesap oluşturma
Defender TI premium lisansı.
Not
Defender TI premium lisansı olmayan kullanıcılar ücretsiz Defender TI teklifimize erişmeye devam edebilir.
Microsoft Defender portalında Defender TI’yi açma
- Defender portalına erişin ve Microsoft kimlik doğrulama işlemini tamamlayın. Defender portalı hakkında daha fazla bilgi edinin
- Tehdit bilgileri>Intel gezginine gidin.
Verileri sıralama
Her veri sekmesindeki sıralama işlevi, veri kümelerimizi sütun değerlerine göre hızlı bir şekilde sıralamanıza olanak tanır. Varsayılan olarak, çoğu sonuç En son gözlemlenen sonuçların listenin en üstünde görünmesi için Son görülen (azalan) değerine göre sıralanır. Bu varsayılan sıralama düzeni, bir yapıtın geçerli altyapısı hakkında hemen içgörü sağlar.
Şu anda tüm veri kümeleri aşağıdaki İlk görülen ve Son görülen değerlere göre sıralanabilir:
- Son görülen (azalan) - Varsayılan
- Son görülen (artan)
- İlk kez görüldü (artan)
- İlk kez görüldü (azalan)
Veriler, aranan veya özetlenen her IP, etki alanı veya konak varlığı için her veri kümesi sekmesinde sıralanabilir.
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
Çözünürlükler sekmesine gidin ve sıralama tercihlerini İlk görülen ve Son görülen sütunlarına uygulayın.
Verileri filtreleme
Veri filtreleme, belirli bir meta veri değerine göre belirli bir veri grubuna erişmenizi sağlar. Örneğin, yalnızca belirli bir kaynaktan veya belirli bir türe (örneğin, sunucular veya çerçeveler) ait bileşenlerden bulunan IP çözümlemelerini görüntülemeyi seçebilirsiniz. Veri filtreleme, sorgu sonuçlarını belirli ilgi çekici öğelere daraltmanızı sağlar.
Defender TI belirli veri türleriyle çakışan belirli meta veriler sağladığından, filtre seçenekleri her veri kümesi için farklıdır.
Çözünürlük filtreleri
Çözümleme verileri için aşağıdaki filtreler geçerlidir:
- Sistem etiketi: Defender TI, araştırma ekibimiz tarafından bulunan içgörülere göre bu etiketleri oluşturur. Daha fazla bilgi edinin
- Etiket: Defender TI kullanıcılarının uyguladığı özel etiketler. Daha fazla bilgi edinin
- ASN: Belirlenen otonom sistem numarasıyla (ASN) ilgili sonuçlar.
- Ağ: Belirlenen ağ ile ilgili sonuçlar.
- Kaynak: Sonucu oluşturan veri kaynağı (örneğin, riskq, emerging_threats).
Çözümleme verilerini filtrelemek için:
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
Çözümler sekmesine gidin
Daha önce belirtilen filtre seçenekleri türlerinin her birine filtre uygulayın.
İzleyici filtreleri
aşağıdaki filtreler izleyici verileri için geçerlidir:
- Tür: Her yapıt için tanımlanan izleyici türü (örneğin, JarmFuzzyHash veya GoogleAnalyticsID).
- Adres: İzleyiciyi doğrudan gözlemleyen veya izleyiciyi gözlemleyen bir çözümleyici konağı olan IP adresi. Bir IP adresinde arama yaptığınızda bu filtre görüntülenir.
- Konak adı: Bu izleyici değerini gözlemleyen konak. Bir etki alanı veya konakta arama yaptığınızda bu filtre görüntülenir.
İzleyici verilerini filtrelemek için:
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
İzleyiciler sekmesine gidin
Daha önce belirtilen filtre seçenekleri türlerinin her birine filtre uygulayın.
Bileşen filtreleri
Aşağıdaki filtreler bileşen verilerine uygulanır:
- Ipaddressraw: Döndürülen ana bilgisayar adıyla çakışan IP adresi.
- Tür: Belirlenen bileşen türü (örneğin, uzaktan erişim veya işletim sistemi).
- Ad: Algılanan bileşenin adı (örneğin, Cobalt Strike veya PHP).
Bileşen verilerini filtrelemek için:
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
Bileşenler sekmesine gidin
Daha önce belirtilen filtre seçenekleri türlerinin her birine filtre uygulayın.
Konak çifti filtreleri
Konak çifti verileri için aşağıdaki filtreler geçerlidir:
- Yön: Gözlemlenen bağlantının yönü, üst öğesinin alt öğeye mi yoksa başka bir yöne mi yönlendirdiğini gösterir.
- Üst konak adı: Üst yapıtın konak adı.
- Neden: Konak üst-alt ilişkisinin algılanan nedeni (örneğin, yeniden yönlendirme veya iframe.src).
- Alt konak adı: Alt yapıtın konak adı.
Konak çifti verilerini filtrelemek için:
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
Konak çiftleri sekmesine gidin
Daha önce belirtilen filtre seçenekleri türlerinin her birine filtre uygulayın.
DNS ve ters DNS filtreleri
Dns ve ters DNS verileri için aşağıdaki filtreler geçerlidir:
- Kayıt Türü: DNS kaydında algılanan kayıt türü (örneğin, NS veya CNAME).
- Değer: Kaydın belirlenen değeri (örneğin, nameserver.host.com).
DNS'yi filtrelemek ve DNS verilerini tersine çevirmek için:
Intel gezgini arama çubuğunda bir etki alanı, IP adresi veya ana bilgisayar arayın.
DNS ve Ters DNS sekmelerine gidin
Daha önce belirtilen filtre seçenekleri türlerinin her birine filtre uygulayın.
Verileri indirme
Defender TI'de verileri CSV dosyası olarak dışarı aktarabileceğiniz çeşitli bölümler vardır. Aşağıdaki bölümlerde İndir
dikkat edin ve seçin:
- Çoğu veri kümesi sekmesi
- Projeler
- Intel makaleleri
Çözümlemeler, DNS ve Ters DNS'den veri indirdiğinizde aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| Çözmek | Arama yapılan etki alanı (IP adresini çözümleme) veya IP adresi arandığında ip adresine çözümlenen etki alanıyla ilişkilendirilmiş bir kayıt |
| Yer | IP adresinin barındırılıyor olduğu ülke veya bölge |
| Ağ | Netblock veya alt ağ |
| autonomousSystemNumber | ÖSB |
| firstSeen | Microsoft'un çözünürlüğü ilk gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| lastSeen | Microsoft'un çözünürlüğü son gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| Kaynak | Bu çözümü gözlemleyen kaynak |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
Alt Etki Alanları sekmesinden veri indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| ana bilgisayar adı | Arama yapılan etki alanının alt etki alanı |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
İzleyiciler sekmesinden veri indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| ana bilgisayar adı | İzleyiciyi gözlemleyen veya şu anda gözlemleyen ana bilgisayar adı |
| firstSeen | Microsoft'un ana bilgisayar adının izleyiciyi kullandığını ilk gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| lastSeen | Microsoft'un ana bilgisayar adının izleyiciyi kullandığını son gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| attributeType | İzleyici türü |
| attributeValue | İzleyici değeri |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
Bileşenler sekmesinden veri indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| ana bilgisayar adı | Bileşeni gözlemleyen veya şu anda gözlemleyen ana bilgisayar adı |
| firstSeen | Microsoft'un ana bilgisayar adının bileşeni kullandığını ilk gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| lastSeen | Microsoft'un ana bilgisayar adının bileşeni kullandığını son gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| kategori | Bileşen türü |
| ad | Bileşen adı |
| Sürüm | Bileşen sürümü |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
Konak çiftleri sekmesinden veri indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| parentHostname | Alt konak adına ulaşan ana bilgisayar adı |
| childHostname | Barındırdıkları varlıkları üst konak adına besleyen konak adı. |
| firstSeen | Microsoft'un üst ve alt konak adı arasındaki ilişkiyi ilk gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| lastSeen | Microsoft'un üst ve alt konak adı arasındaki ilişkiyi son gözlemlediği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| attributeCause | Üst ve alt konak adı arasındaki ilişkinin nedeni |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
Tanımlama Bilgileri sekmesinden veri indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| ana bilgisayar adı | Tanımlama bilgisi adını gözlemleyen ana bilgisayar adı |
| firstSeen | Tanımlama bilgisi adının tanımlama bilgisi etki alanından kaynaklanan ana bilgisayar adına ilk kez gözlemlendiği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| lastSeen | Tanımlama bilgisi adının tanımlama bilgisi etki alanından kaynaklanan ana bilgisayar adına son gözlemlendiği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| cookieName | Tanımlama bilgisi adı |
| cookieDomain | Tanımlama bilgisi adının kaynaklandığı etki alanı adının sunucusu |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
Intel projelerinden (Projelerim, Ekip projeleri ve Paylaşılan projeler) proje listelerini indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| ad | Proje adı |
| yapıtlar (sayı) | Proje içindeki yapıt sayısı |
| oluşturan (kullanıcı) | Projeyi oluşturan kullanıcı |
| tarihinde oluşturuldu | Proje oluşturulduğunda |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
| Işbirlikçi | Projeye ortak çalışanlar olarak eklenenler; Bu üst bilgi yalnızca Projelerim ve Paylaşılan projeler sayfalarından indirilen projeler için görünür |
Proje ayrıntılarını (yapıtları) bir projeden indirdiğinizde, aşağıdaki üst bilgiler dışarı aktarılır:
| Üstbilgi | Açıklama |
|---|---|
| artefakt | Yapıt değeri (örneğin, IP adresi, etki alanı, konak, WHOIS değeri veya sha-1 sertifikası) |
| tür | Yapıt türü (örneğin, IP, etki alanı, konak, WHOIS kuruluşu, WHOIS telefonu veya sha-1 sertifikası) |
| Oluşturulan | Yapıtın projeye eklendiği tarih ve saat ( aa/gg/yy ss:mm biçiminde) |
| yaratıcı | Yapıtı ekleyen kullanıcının Email adresi |
| Bağlam | Yapıtın projeye nasıl eklendiği |
| Etiketler | Yapıtla ilişkilendirilmiş sistem veya özel etiketler |
| Işbirlikçi | Projeye ortak çalışanlar olarak eklenenler; Bu üst bilgi yalnızca Projelerim ve Paylaşılan projeler sayfalarından indirilen projeler için görünür |
Tehdit bilgileri genel veya riskq göstergelerinin indirilmesi aşağıdaki üst bilgileri dışarı aktarır:
| Üstbilgi | Açıklama |
|---|---|
| tür | Gösterge türü (örneğin, IP adresi, sertifika, etki alanı veya SHA-256) |
| değer | Gösterge değeri (örneğin, IP adresi, etki alanı veya konak adı) |
| kaynak | Gösterge kaynağı (RiskIQ veya OSINT) |