搜索和透视
重要
2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 将停用,不再可访问。 客户可以在Microsoft Defender门户中继续使用 Defender TI,也可以使用Microsoft 安全 Copilot。 了解更多
Microsoft Defender 威胁智能 (Defender TI) 提供了一个强大而灵活的搜索引擎来简化调查过程。 该平台旨在使用户能够跨不同数据源的各种指标进行透视,使发现不同基础结构之间的关系变得比以往更容易。 本文将帮助用户了解如何跨不同的数据集执行搜索和透视,以发现不同项目之间的关系。
先决条件
- Microsoft Entra ID或个人 Microsoft 帐户。 登录或创建帐户
- Microsoft Defender 威胁智能 (Defender TI) Premium 许可证。
注意
没有 Defender TI Premium 许可证的用户仍能够登录到 Defender 威胁情报门户并访问我们的免费 Defender TI 产品/服务。
打开 Defender TI 的威胁情报主页
- 访问 Defender 威胁情报门户。
- 完成 Microsoft 身份验证以访问门户。
执行威胁情报搜索和透视
Defender TI 的威胁情报搜索既简单又强大,旨在显示即时关键见解,同时允许用户直接与构成这些见解的数据集进行交互。 搜索栏支持各种不同的输入;用户可以搜索特定项目以及项目或项目名称。
搜索项目类型
IP 地址:搜索 '195.161.141[.]威胁情报搜索栏中的 65'。 此操作会导致 IP 地址搜索。
域:威胁情报搜索
fabrikam.com栏中的搜索。 此操作会导致域搜索。
主机:威胁情报搜索
canary.fabrikam.com栏中的搜索。 此操作会导致主机搜索。
关键字:威胁情报搜索栏中搜索“apt29”。 此操作会导致关键字搜索。 关键字搜索涵盖任何类型的关键字 (keyword) ,其中可能包括术语、电子邮件地址等。关键字搜索会导致与文章、项目和数据集相关联。
CVE-ID:威胁情报搜索栏中搜索“CVE-2021-40444”。 此操作会导致 CVE-ID 关键字搜索。
文章:威胁情报搜索酒吧搜索“2022年第一季度商品掠 & 马杰卡特趋势”。 此操作会导致文章搜索。
标记:从“威胁情报搜索”下拉列表中选择“标记”,然后在“威胁情报搜索”栏中键入 magecart。 按 Enter 或选择右箭头执行搜索。 此操作会导致标记搜索。
注意
这不会返回共享该标记值的文章。
组件:从“威胁情报搜索”下拉列表中选择“组件”,然后在“威胁情报搜索”栏中键入“钴打击”。 按 Enter 或选择右箭头执行搜索。 此操作会导致组件搜索。
跟踪:从威胁情报搜索下拉列表中选择“跟踪器”,然后在威胁情报搜索栏中键入“07d14d16d21d00042d41d00041d47e4e0ae17960b2a5b4fd6107fbb0926”。 按 Enter 或选择右箭头执行搜索。 此操作会导致跟踪器搜索。 注意:在此示例中,这是 JarmHash 跟踪器类型。
注意
在此示例中,这是一个 JarmHash 跟踪器类型。
WHOIS Email:选择“WHOIS” >威胁情报搜索下拉列表中的domains@microsoft.com“Email”,并在“威胁情报搜索”栏中键入。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS Email搜索。
WHOIS 名称:从威胁情报搜索下拉列表中选择“WHOIS > ”“名称”,然后在威胁情报搜索栏中键入“MSN Hostmaster”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 名称搜索。
WHOIS 组织:从威胁情报搜索下拉列表中选择“WHOIS > ”“组织”,然后在威胁情报搜索栏中键入“Microsoft Corporation”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 组织搜索。
WHOIS 地址:从威胁情报搜索下拉列表中选择“WHOIS > ”“地址”,然后在威胁情报搜索栏中键入“One Microsoft Way”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 地址搜索。
WHOIS 城市:从威胁情报搜索下拉列表中选择“WHOIS > ”“城市”,然后在威胁情报搜索栏中键入“Redmond”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 城市搜索。
WHOIS 状态:从“威胁情报搜索”下拉列表中选择“WHOIS > ”“状态”,然后在“威胁情报搜索”栏中键入“WA”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 状态搜索。
WHOIS 邮政编码:从威胁情报搜索下拉列表中选择“WHOIS > ”“邮政编码”,然后在“威胁情报搜索”栏中键入“98052”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 邮政编码搜索。
WHOIS 国家/地区:从威胁情报搜索下拉列表中选择“WHOIS > ”“国家/地区”,然后在威胁情报搜索栏中键入“US”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 国家/地区搜索。
WHOIS 电话:从威胁情报搜索下拉列表中选择“WHOIS > ”“电话”,然后在威胁情报搜索栏中键入“+1.4258828080”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 电话搜索。
WHOIS 名称服务器:从威胁情报搜索下拉列表中选择“WHOIS > ”“名称服务器”,然后在“威胁情报搜索”栏中键入
ns1-03.azure-dns.com。 按 Enter 或选择右箭头执行搜索。 此操作会导致 WHOIS 名称服务器搜索。
证书 SHA-1:从威胁情报搜索下拉列表中选择“证书 > ”“SHA-1”,然后在威胁情报搜索栏中键入“35cd04a03ef86664623581cbd56e45ed07729678”。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书 SHA-1 搜索。
证书序列号:从威胁情报搜索下拉列表中选择“证书 > ”“序列号”,然后在威胁情报搜索栏中键入“1137354899731266880939192213383415094395905558”。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书序列号搜索。
证书颁发者公用名:从威胁情报搜索下拉列表中选择“证书 > ”“颁发者公用名”,然后在威胁情报搜索栏中键入“Microsoft Azure TLS 颁发 CA 05”。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书颁发者公用名搜索。
证书颁发者可选名称:从威胁情报搜索下拉列表中选择“证书 > ”“颁发者可选名称”,并在威胁情报搜索栏中键入证书颁发者可选名称。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书颁发者备用名称搜索。
证书使用者公用名:从威胁情报搜索下拉列表中选择“证书 > ”“使用者公用名”,然后在“威胁情报搜索”栏中键入
*.oneroute.microsoft.com。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书使用者公用名搜索。
证书使用者可选名称:从威胁情报搜索下拉列表中选择“证书 > ”“使用者可选名称”,然后在“威胁情报搜索”栏中键入
oneroute.microsoft.com。 按 Enter 或选择右箭头执行搜索。 此操作会导致证书使用者可选名称搜索。
Cookie 名称:从威胁情报搜索下拉列表中选择“Cookie > ”“名称”,然后在威胁情报搜索栏中键入“ARRAffinity”。 按 Enter 或选择右箭头执行搜索。 此操作会导致 Cookie 名称搜索。
Cookie 域:从“威胁情报搜索”下拉列表中选择
portal.fabrikam.com“Cookie > ”“域”,然后在“威胁情报搜索”栏中键入 。 按 Enter 或选择右箭头执行搜索。 此操作会导致 Cookie 域搜索。
支点: 对于在上述步骤中执行的任何搜索,可以使用带有超链接的项目进行透视,以发现与这些指标关联的进一步扩充结果。 可以自行试用。
搜索结果
关键见解
在页面顶部,平台提供了有关项目的一些基本信息。 此信息可以包括以下内容,具体取决于项目类型:
- 国家/地区: IP 地址旁边的标志指示项目的来源国家/地区,这有助于确定其信誉或安全状况。 此 IP 地址托管在美国内的基础结构上。
- 信誉: 在此示例中,IP 地址标记为“恶意”,指示平台检测到此项目与已知咨询基础结构之间的连接。 项目还可以标记为“可疑”、“中性”或“未知”。
- First Seen: 此时间戳指示平台的检测系统首次观察到项目时。 了解项目的生命周期有助于确定其信誉。
- 上次查看时间: 此时间戳指示平台的检测系统上次观察到项目时间。 这有助于确定项目是否仍在积极使用。
- IP 块: 包含查询的 IP 地址项目的 IP 块。
- 注册机构: 与所查询域项目的 WHOIS 记录关联的注册机构。
- 注册者: 项目的 WHOIS 数据中注册者的名称。
- ASN: 与项目关联的 ASN。
- OS: 与项目关联的操作系统。
- 主机: 项目的托管提供程序。 某些托管提供程序比其他托管提供程序更有信誉,因此此值可以帮助指示项目的有效性。
本部分还显示应用于项目的任何标记或包含该项目的任何项目。 用户还可以添加标记或将项目添加到项目。
“摘要”选项卡
概述
威胁情报搜索结果分为两个选项卡:“摘要”和“数据”。“摘要”选项卡提供有关平台从我们的扩展数据集派生的项目的关键见解。 本部分旨在显示有助于启动调查的关键发现。
信誉
Defender TI 为任何主机、域或 IP 地址提供专有信誉分数。 无论是验证已知实体还是未知实体的信誉,此分数都可帮助用户快速了解检测到的任何与恶意或可疑基础结构的关联。 信誉分数显示为数字分数,范围为 0 到 100。 分数为“0”的实体与可疑活动或已知泄露指标没有已知关联;分数为“100”表示实体是恶意实体。 平台提供规则列表,其中包含说明和严重性分级。 在下面的示例中,我们看到了适用于此域的四个“高严重性”规则。
有关详细信息,请参阅信誉评分。
分析师见解
“分析师见解”部分提供有关项目的快速见解,可能有助于确定调查的下一步。 本部分将列出适用于项目的任何见解,以及不适用于更多可见性的见解。 在下面的示例中,我们可以快速确定 IP 地址是可路由的,托管 Web 服务器,并且在过去五天内有一个开放端口。 此外,系统显示未触发的规则,这在启动调查时同样有用。
有关详细信息,请参阅分析员见解。
文章
“文章”部分显示可能提供有关如何最好地调查并最终解除受影响项目的见解的任何文章。 这些文章由研究人员撰写,他们研究已知威胁参与者的行为及其基础结构,并发现了可以帮助其他人降低组织风险的关键发现。 在此示例中,已将搜索的 IP 地址标识为与文章中的发现相关的 IOC。
有关详细信息,请参阅什么是 Microsoft Defender 威胁智能 (Defender TI) ?
服务
本部分列出了在 IP 地址项目上运行的任何检测到的服务。 在尝试了解实体的预期用途时,这非常有用。 调查恶意基础结构时,此信息可帮助确定项目的功能,使用户能够基于此信息主动保护其组织
解决方案
分辨率是使用分布在世界各地的被动传感器捕获的单个 DNS 记录。 这些值显示域或 IP 地址如何随时间推移更改基础结构的历史记录。 它们可用于发现其他基础结构,并根据连接级别衡量风险。 对于每个解决方法,我们都会提供“首次看到”和“上次查看”时间戳,以展示解决方案的生命周期。
证书
除了保护数据之外,TLS 证书也是用户连接不同网络基础结构的绝佳方式。 TLS 证书可以建立被动 DNS 或 WHOIS 数据可能会丢失的连接。 这意味着可以通过更多方法关联潜在的恶意基础结构并识别参与者的潜在操作安全故障。 对于每个 TLS 证书,我们提供了证书名称、到期日期、使用者公用名和使用者组织名称。
项目
Defender TI 平台允许用户创建项目来组织调查中的兴趣或危害指标。 还会创建项目来监视连接项目以提高可见性。 项目包含所有关联项目的列表以及保留名称、说明、协作者和监视配置文件的详细历史记录。
当用户搜索 IP 地址、域或主机时,如果该指示器在用户有权访问的项目内列出,则用户可以选择“项目”选项卡并导航到项目的详细信息,以获取有关该指示器的更多上下文,然后再查看其他数据集以获取详细信息。
有关详细信息,请参阅使用项目。
“数据”选项卡
概述
“数据”选项卡可帮助用户深入了解 Defender TI 平台观察到的有形连接。 虽然“摘要”选项卡会显示关键发现,以提供项目的相关即时上下文,但“数据”选项卡使分析师能够更精细地研究这些连接。 用户可以选择任何返回的值来透视任何相关的元数据。
数据类型
Defender TI 中提供了以下数据集:
- 解决方案
- Whois
- 证书
- 跟踪
- 子域
- 组件
- 主机对
- Cookie
- 服务
- DNS
- 反向 DNS
提交搜索后,这些单独的数据集将显示在单独的选项卡中。 结果可单击,使用户能够快速跨相关基础结构进行透视,以揭示传统调查方法可能错过的见解。
解决方案
被动 DNS 是一种记录系统,用于存储给定位置、记录和时间范围的 DNS 解析数据。 此历史解析数据集允许用户查看解析为 IP 地址的域,反之亦然。 此数据集允许基于域或 IP 重叠进行基于时间的关联。
PDNS 可以识别以前未知或新站立的威胁参与者基础结构。 主动向阻止列表添加指示器可以在市场活动开始之前切断通信路径。 用户将在“解析数据集”选项卡中找到记录解析数据,并在“DNS 数据集”选项卡中找到更多类型的 DNS 记录。
我们的 PDNS 分辨率数据包括:
- 解析: 解析实体的名称 (IP 地址或域)
- 位置: 托管 IP 地址的位置。
- 网络: 与 IP 地址关联的 netblock 或子网。
- ASN: 自治系统编号和组织名称
- First Seen: 一个时间戳,显示我们首次观察到此分辨率的日期。
- Last Seen: 一个时间戳,显示我们上次观察到此分辨率的日期。
- 源: 启用关系检测的源。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
Whois
WHOIS 是一种协议,任何人都可以查询有关域、IP 地址或子网所有权的信息。 在威胁基础结构研究中,WHOIS 最常见的功能之一是基于 WHOIS 记录中共享的唯一数据来识别或连接不同的实体。
每个 WHOIS 记录都有几个不同的部分,所有这些都可能包含不同的信息。 常见的部分包括“注册机构”、“注册人”、“管理员”和“技术”,每个部分都可能对应于记录的不同联系人。 通常跨部分复制此数据,但在某些情况下,可能存在细微差异,尤其是在执行组件犯了错误时。 查看 Defender TI 中的 WHOIS 信息时,你将看到一条压缩的记录,该记录删除重复数据,并记下它来自记录的哪一部分。
用户还可以查看历史 WHOIS 记录,以了解注册数据如何随时间变化。
我们的 WHOIS 数据包括以下内容:
- 记录已更新: 指示 WHOIS 记录上次更新的日期的时间戳。
- 上次扫描: Defender TI 系统上次扫描记录的日期。
- 过期: 注册的到期日期(如果可用)。
- 已创建: 当前 WHOIS 记录的年龄。
- WHOIS 服务器: 服务器由 ICANN 认可的注册机构设置,以获取有关在其中注册的域的最新信息。
- 注册器: 用于注册项目的注册机构服务。
- 域状态: 域的当前状态。 “活动”域在 Internet 上实时显示。
- Email:在 WHOIS 记录中找到的任何电子邮件地址,以及每个地址的联系人类型都与 ((例如管理员、技术) )相关联。
- 名称: 记录中任何联系人的名称,以及每个联系人关联的联系人类型。
- 组织: 记录中任何组织的名称,以及每个组织关联的联系人类型。
- 街道: 与记录关联的任何街道地址及其关联的联系人类型。
- 城市: 与记录关联的地址中列出的任何城市及其关联的联系人类型。
- 状态: 与记录关联的地址中列出的任何状态,以及与之关联的联系人类型。
- 邮政编码: 与记录关联的地址中列出的任何邮政编码,以及与之关联的联系人类型。
- 国家/地区: 与记录关联的地址中列出的任何国家/地区及其关联的联系人类型。
- 电话: 记录中列出的任何电话号码及其关联的联系人类型。
- 名称服务器: 与已注册实体关联的任何名称服务器。
证书
除了保护数据之外,TLS 证书也是用户连接不同网络基础结构的绝佳方式。 新式扫描技术允许我们在几个小时内针对 Internet 上的每个节点执行数据请求,这意味着我们可以轻松地将证书关联到定期托管证书的 IP 地址。
与 WHOIS 记录非常类似,TLS 证书要求用户提供的信息才能生成最终产品。 除了域之外,除了为 (创建 TLS 证书,除非自签名) ,否则用户可以创建任何其他信息。 用户从 TLS 证书中看到的最大价值不一定是某人在生成证书时可能使用的唯一数据,而是证书的托管位置。
TLS 证书更有价值之处是,它们可以建立被动 DNS 或 WHOIS 数据可能错过的连接。 这意味着可以通过更多方法关联潜在的恶意基础结构并识别参与者的潜在操作安全故障。 从 2013 年到现在,Microsoft 已收集了超过 3000 万个证书,并为用户提供了相关证书内容和历史记录的工具。
我们的证书数据包括:
- Sha1: TLS 证书资产的 SHA1 算法哈希。
- First Seen: 一个时间戳,显示我们在项目上首次观察到此证书的日期。
- Last Seen: 一个时间戳,显示上次在项目上观察到此证书的日期。
- 基础结构: 与证书关联的任何相关基础结构。
当用户选择 SHA-1 哈希时,用户将能够查看右侧窗格中有关证书的详细信息,其中包括:
- 序列号: 与 TLS 证书关联的序列号。
- 发出: 颁发证书的日期。
- 到期: 证书过期的日期。
- 使用者公用名: 任何关联的 TLS 证书的使用者公用名。
- 颁发者公用名: 任何关联的 TLS 证书的颁发者公用名。
- 使用者可选名称 () : TLS 证书的任何可选公用名称。
- 颁发者可选名称 () : 颁发者的任何其他名称。
- 使用者组织名称: 链接到 TLS 证书注册的组织。
- 颁发者组织名称: 协调证书颁发的组织的名称。
- SSL 版本: 证书注册到的 TLS 版本。
- 主题组织单位: 可选元数据,用于指示组织中负责证书的部门。
- 颁发者组织单位: 有关颁发证书的组织的其他信息。
- 主题街道地址: 组织所在的街道地址。
- 颁发者街道地址: 颁发者组织所在的街道地址。
- 主题位置: 组织所在的城市。
- 颁发者位置: 颁发者组织所在的城市。
- 主题州/省: 组织所在的州或省。
- 颁发者州/省: 颁发者组织所在的州或省。
- 主题国家/地区: 组织所在的国家/地区。
- 颁发者国家/地区: 颁发者组织所在的国家/地区。
- 相关基础结构: 与证书关联的任何相关基础结构。
子域
子域是一个 Internet 域,它是主域的一部分。 子域也称为“主机”。 例如, learn.microsoft.com 是 的 microsoft.com子域。 对于每个子域,域可以解析为的一组新的 IP 地址,这可能是查找相关基础结构的绝佳数据源。
我们的子域数据包括以下内容:
- 主机名: 与搜索的域关联的子域。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
跟踪
跟踪器是在网页中找到的唯一代码或值,通常用于跟踪用户交互。 这些代码可用于将不同的网站组关联到中心实体。 通常,参与者会复制他们希望模拟钓鱼活动的受害者网站的源代码。 参与者很少会花时间删除这些 ID,这些 ID 允许用户使用我们的跟踪器数据集识别这些欺诈网站。
Microsoft 的跟踪器数据集包括来自 Google、Yandex、Mixpanel、New Relic、Clicky 等提供商的 ID,并且将继续定期增长。
我们的跟踪器数据包括:
- 主机名: 托管检测到跟踪器的基础结构的主机名。
- First Seen: 一个时间戳,显示我们在项目上首次观察到此跟踪器的日期。
- Last Seen: 一个时间戳,显示我们上次在项目上观察到此跟踪器的日期。
- 类型: (检测到的跟踪器类型,例如 GoogleAnalyticsID、JarmHash) 。
- 值: 跟踪器的标识值。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
组件
Web 组件是描述从 Microsoft 收集的网页或服务器基础结构的详细信息,用于执行 Web 爬网或扫描。 这些组件允许用户了解网页的构成或驱动特定基础结构的技术和服务。
透视唯一组件可以找到参与者的基础结构或其他遭到入侵的网站。 用户还可以根据正在运行的技术了解网站是否容易受到特定攻击或入侵。
我们的组件数据包括:
- 主机名: 托管检测到组件的基础结构的主机名。
- First Seen: 我们首次在项目上观察到此组件的日期的时间戳。
- Last Seen: 上次在项目上观察到此组件的日期的时间戳。
- 类别: (检测到的组件类型,例如操作系统、框架、远程访问、服务器) 。
- 名称 + 版本: 组件名称和项目上运行的版本 (例如 Microsoft IIS (v8.5) 。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
主机对
主机对是两个基础结构, (父级和子) ,它们共享从 Microsoft 虚拟用户的 Web 爬网观察到的连接。 连接范围从顶级重定向 (HTTP 302) 到更复杂的内容(如 iframe 或脚本源引用)。
主机对数据包括:
- 父主机名: 重定向或以其他方式连接到任何子主机名的主机名。
- 子主机名: 连接到父主机名的主机名。 此值是重定向或其他更复杂的连接的结果。
- First Seen: 首次在项目上观察到此主机对关系的日期。
- 上次查看: 上次在项目上观察到此主机对关系的日期。
- 原因: 父主机名和子主机名之间的连接类型。 潜在原因包括重定向、img.src、css.import 或 script.src 连接。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
Cookie
Cookie 是在用户浏览 Internet 时从服务器发送到客户端的一小部分数据。 这些值有时包含应用程序的状态或跟踪数据的少量位。 我们突出显示和索引在爬网网站时观察到的 Cookie 名称,并允许用户深入了解系统在其爬网和数据收集中观察到的特定 Cookie 名称的所有位置。
我们的 Cookie 数据包括:
- 主机名: 与 Cookie 关联的主机基础结构。
- First Seen: 我们第一次在项目上观察到此 Cookie 的日期的时间戳。
- Last Seen: 上次在项目上观察到此 Cookie 的日期的时间戳。
- 名称: cookie (的名称,例如 JSESSIONID SEARCH_NAMESITE) 。
- 域: 与 Cookie 关联的域。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
服务
服务名称和端口号用于区分通过传输协议(如 TCP、UDP、DCCP 和 SCTP)运行的不同服务。 端口号可以建议在特定端口上运行的应用程序类型。 但是,可以更改应用程序或服务,以使用不同的端口来模糊处理或隐藏 IP 地址上的服务或应用程序。 了解端口和标头/横幅信息可以识别真正的应用程序/服务以及正在使用的端口的组合。 Defender TI 在“服务”选项卡中显示 14 天的历史记录,显示与观察到的端口关联的最后一个横幅响应。
我们的服务数据包括:
- 观察到的打开端口
- 端口号
- 组件
- 观察到服务的次数
- 上次扫描端口时
- 协议连接
- 端口的状态
- 打开
- Filtered
- 已结束
- 横幅响应
DNS
多年来,Microsoft 一直在收集 DNS 记录,让用户深入了解邮件交换 (MX) 记录、名称服务器 (NS) 记录、文本 (TXT) 记录、权威 (SOA) 记录、规范名称 (CNAME) 记录以及指针 (PTR) 记录。 查看 DNS 记录有助于识别参与者在拥有的域中使用的共享基础结构。 例如,执行组件组倾向于使用相同的名称服务器来分段其基础结构或相同的邮件交换服务器来管理其命令和控制。
我们的 DNS 数据包括:
- 值: DNS 记录的值。
- First Seen: 我们首次在项目上观察到此记录的日期的时间戳。
- Last Seen: 上次在项目上观察到此记录的日期的时间戳。
- 类型: 与记录关联的基础结构类型。 可能的选项包括邮件服务器 (MX) 、文本文件 (TXT) 、名称服务器 (NS) 、CNAMES 和颁发机构启动 (SOA) 记录。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
反向 DNS
当正向 DNS 查找查询特定主机名的 IP 地址时,反向 DNS 查找会查询 IP 地址的特定主机名。 此数据集将显示与 DNS 数据集相当的结果。 查看 DNS 记录有助于识别参与者在拥有的域中使用的共享基础结构。 例如,执行组件组倾向于使用相同的名称服务器来分段其基础结构或相同的邮件交换服务器来管理其命令和控制。
反向 DNS 数据包括:
- 值: 反向 DNS 记录的值。
- First Seen: 我们首次在项目上观察到此记录的日期的时间戳。
- Last Seen: 上次在项目上观察到此记录的日期的时间戳。
- 类型: 与记录关联的基础结构类型。 可能的选项包括邮件服务器 (MX) 、文本文件 (TXT) 、名称服务器 (NS) 、CNAMES 和颁发机构启动 (SOA) 记录。
- 标记: 在 Defender TI 系统中应用于此项目的任何标记。
智能
智能部分重点介绍 Defender TI 平台中的任何特选见解,无论是通过文章派生自我们的研究团队,还是通过项目派生自你自己的团队。 “智能”部分可帮助用户了解所查询项目背后的关键附加上下文;分析师可以从大型安全社区的调查工作中吸取教训,以快速启动自己的工作。
文章
“文章”部分显示可能提供有关如何最好地调查并最终解除受影响项目的见解的任何文章。 这些文章由研究人员撰写,他们研究已知威胁参与者的行为及其基础结构,并发现了可以帮助其他人降低组织风险的关键发现。 在此示例中,已将搜索的 IP 地址标识为与文章中的发现相关的 IOC。
有关详细信息,请参阅什么是 Microsoft Defender 威胁智能 (Defender TI) ?
项目
基础结构分析的主要副产品之一几乎总是一组指标,这些指标与威胁参与者或参与者组挂钩。 这些指标用作在威胁参与者发起攻击活动时识别其身份的方法。 深入了解攻击者的策略、技术和过程, (TTPs) 威胁参与者的工作方式。 项目提供了一种按其 TTP 标识攻击者的方法,并跟踪攻击者的基础结构如何随时间而变化。
当用户在 Defender TI 中搜索 IP 地址、域或主机时,如果该指示器在用户有权访问的项目中列出,则用户可以在“智能”部分中选择“项目”边栏选项卡,并导航到项目的详细信息,了解有关该指标的更多上下文,然后再查看其他数据集以获取详细信息。
访问项目的详细信息会显示所有相关项目的列表以及保留上述所有上下文的详细历史记录。 同一组织中的用户不再需要花费时间来回通信。 威胁参与者配置文件可以在 Defender TI 中构建,并充当一组“活体”指标。 发现或发现新信息后,可以将其添加到该项目。
Defender TI 平台允许用户开发多种项目类型,用于组织调查中感兴趣的指标和泄露指标。
有关详细信息,请参阅使用项目。
后续步骤
有关更多信息,请参阅:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈