Aracılığıyla paylaş

Projeleri kullanma

  • Makale

Önemli

30 Haziran 2024'te Microsoft Defender Tehdit Bilgileri (Defender TI) tek başına portalı (https://ti.defender.microsoft.com) kullanımdan kaldırıldı ve artık erişilebilir değil. Müşteriler Microsoft Defender portalında veya Güvenlik için Microsoft Copilot ile Defender TI kullanmaya devam edebilir. Daha fazla bilgi edinin

Microsoft Defender Tehdit Zekası (Defender TI), ilgi göstergelerini ve bir araştırmadan kaynaklanan risk göstergelerini (ICS) düzenlemek için özel kişisel veya ekip projeleri geliştirmenize olanak tanır. Projeler, tüm ilişkili yapıtların listesini ve adları, açıklamaları, ortak çalışanları ve izleme profillerini koruyan ayrıntılı bir geçmiş içerir.

Microsoft Defender portalındaki Intel gezgininde bir IP adresi, etki alanı veya konakta arama yaptığınızda ve bu gösterge erişiminiz olan bir projede listeleniyorsa, daha fazla bilgi için diğer veri kümelerini gözden geçirmeden önce, gösterge hakkında daha fazla bağlam için Projeler sekmesine gidebilir ve projenin ayrıntılarına gidebilirsiniz. Özel ekip projelerinizi Defender portalında Tehdit bilgileri>Intel projeleri'ne giderek de görüntüleyebilirsiniz.

Bir projenin ayrıntılarını ziyaret etmeniz, tüm ilişkili yapıtların listesini ve daha önce açıklanan tüm bağlamı koruyan ayrıntılı bir geçmişi gösterir. Sizin ve kuruluşunuzdaki diğer kullanıcıların artık iletişim kurmak için zaman harcamanız gerekmez. Defender TI içinde tehdit aktörü profilleri oluşturabilir ve bu profiller "canlı" bir gösterge kümesi görevi görebilir. Yeni bilgiler bulur veya bulurken, bu bilgileri bu projeye ekleyebilirsiniz.

Defender TI platformu, bir araştırmadan ilgi çekici göstergeleri ve ICS'leri düzenlemek için birden çok proje türü geliştirmenizi sağlar.

Proje sahibi ortak çalışanları (Defender TI premium lisansına sahip Azure kiracısında listelenen kullanıcılar) ekleyebilir ve projede herhangi bir değişikliği projenin sahibi gibi yapabilir. Ancak, ortak çalışanlar projeleri silemez. Ortak çalışanlar, intel projeleri sayfasının Paylaşılan projeler sekmesinde kendileriyle paylaşılan projeleri görüntüleyebilir.

Ayrıca İndir simgesini seçerek proje içindeki yapıtları da indirebilirsiniz. Bu özellik, tehdit avcılığı ekiplerinin ioC'leri engellemek veya güvenlik bilgileri ve olay yönetimi (SIEM) uygulamaları içinde daha fazla algılama kuralı oluşturmak için araştırmadan elde ettikleri bulguları kullanması için harika bir yoldur.

Projelerin yanıtlamaya yardımcı olabileceği sorular:

  • Ekip üyelerimden biri bu göstergeyi içeren bir ekip projesi oluşturdu mu?

    • Öyleyse, bu ekip üyesinin yakaladığı diğer ilgili GÇ'ler ve araştırma türünü tanımlamak için hangi açıklamayı ve etiketleri içeriyor?

  • Bu ekip üyesi projeyi en son ne zaman düzenledi?

Proje ayrıntıları ekran görüntüsü.

Önkoşullar

  • Microsoft Entra ID veya kişisel Microsoft hesabı. Oturum açma veya hesap oluşturma

  • Defender TI premium lisansı.

    Not

    Defender TI premium lisansı olmayan kullanıcılar ücretsiz Defender TI teklifimize erişmeye devam edebilir.

Microsoft Defender portalında Defender TI Intel projeleri sayfasını açma

Intel projeleri sayfasında sahip olduğunuz veya kiracınızdaki diğer Defender TI kullanıcıları tarafından sizinle paylaşılan projeler gösterilir.

  1. Defender portalına erişin ve Microsoft kimlik doğrulama işlemini tamamlayın. Defender portalı hakkında daha fazla bilgi edinin
  2. Tehdit bilgileri>Intel projeleri'ne gidin.

Proje oluşturma

Defender portalında iki yolla proje oluşturabilirsiniz:

  1. Intel projeleri sayfasından proje oluşturmak için Yeni proje'yi seçin.

    Intel projeleri sayfasından yeni proje oluşturun.

  2. Intel gezgini sayfasında araştırma yaparken yeni bir proje oluşturmak için Intel gezgini aramasından bir gösterge araması yapın ve ardından Projeye > ekle Arama sonuçlarındaYeni proje ekle'yi seçin.

    Arama sonuçlarından yeni proje oluşturun.

Görüntülenen Yeni proje yan panelinde gerekli alanları doldurun ve Kaydet'i seçin.

Yeni proje ekleyin.

Projeleri yönetme

Projeyi oluşturduktan sonra Intel projeleri sayfasından yönetebilirsiniz. Bu sayfa, erişebileceğiniz tüm projeleri görüntüler ve proje özelliklerine göre filtreleme mekanizmaları sağlar.

Varsayılan olarak, Intel projeleri sayfasında kiracınızdaki tüm Defender TI kullanıcılarıyla ilişkilendirilmiş takım projeleri görüntülenir. Yalnızca oluşturduğunuz kişisel projeleri veya katkıda bulunmak üzere sizinle paylaşılan projeleri görüntülemeyi seçebilirsiniz.

Projeleri yönetme.

  • Bir projenin ayrıntılarını görüntülemek için projenin adını seçin.
  • Projede doğrudan değişiklik yapmak için proje sayfasının sağ üst köşesindeki Düzenle'yi seçin. Projeleri yalnızca yeterli erişim düzeyine sahipseniz düzenleyebilirsiniz.
  • Bir projeye el ile yapıt eklemek için proje sayfasının sağ üst köşesindeki Yapıt ekle'yi seçin.
  • Projeyi silmek için Projeyi kaldır'ı seçin. Yalnızca sahip olduğunuz projeleri silebilirsiniz.

En iyi uygulamalar

Olası tehditleri araştırmak için Defender TI'yi kullanmak söz konusu olduğunda, bu adımlar taktiksel zekaya geçmeden önce stratejik ve operasyonel zeka toplamanıza olanak sağladığından aşağıdaki iş akışlarını çalıştırmanızı öneririz.

Defender TI içinde çeşitli türlerde aramalar yaparsınız. Bu nedenle, belirli göstergeleri araştırmadan önce size geniş sonuçlar sunacak şekilde zeka toplama yönteminize yaklaşmak önemlidir. Örneğin, Intel gezgini sayfasında bir IP adresi ararsanız, bu IP adresiyle hangi makaleler ilişkilendirilir? Bu makalelerde IP adresi hakkında hangi bilgiler bulunur? Aksi takdirde veri kümesi zenginleştirmesi için doğrudan IP adresinin Veri sekmesine giderken bulamazsınız. Örneğin, bu IP adresi olası bir komut ve denetim (C2) sunucusu olarak tanımlandı mı? Tehdit aktörü kim? Makalede diğer hangi ilgili ICS'ler listelenmiştir, tehdit aktörü hangi taktikleri, teknikleri ve yordamları (TTP) kullanıyor ve kimi hedeflemektedir?

Defender TI'da çeşitli arama türlerini gerçekleştirmeye ek olarak, araştırmalarda başkalarıyla işbirliği yapabilirsiniz. Bu nedenle, aynı araştırma üzerinde birden fazla kişi çalışıyorsa projeler oluşturmanız, bir projeye araştırmayla ilgili göstergeler eklemeniz ve bir projeye ortak çalışanlar eklemeniz teşvik edilir. Bu, aynı GÇ'leri analiz etmek için harcanan süreyi azaltmaya yardımcı olur ve daha hızlı bir iş akışının gözlemlenmesine neden olur.