什么是 Microsoft Defender 威胁智能 (Defender TI)?
重要
2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 将停用,不再可访问。 客户可以在Microsoft Defender门户中继续使用 Defender TI,也可以使用Microsoft 安全 Copilot。 了解更多
Microsoft Defender 威胁智能 (Defender TI) 是一个平台,可在执行威胁基础结构分析和收集威胁情报时简化会审、事件响应、威胁搜寻、漏洞管理和威胁情报分析工作流。 随着安全组织在其环境中采取行动的情报和警报量不断增加,拥有一个能够准确、及时地评估警报的情报平台的威胁分析非常重要。
分析师将大量时间花在数据发现、收集和分析上,而不是专注于真正帮助组织自我保护的内容—通过分析和关联来获取有关参与者的见解。 通常,这些分析师必须转到多个存储库,以获取评估可疑域、主机或 IP 地址所需的关键数据集。 DNS 数据、WHOIS 信息、恶意软件和 SSL 证书为泄露指标提供了重要的上下文 (IOC) ,但这些存储库分布广泛,并不总是共享通用数据结构。
存储库的这种广泛分布使得分析师很难确保他们拥有所需的所有相关数据,以便对可疑基础结构进行适当而及时的评估。 与这些数据集交互也可能很麻烦,在这些存储库之间切换非常耗时,并会耗尽需要不断重新设置其响应工作优先级的安全操作组的资源。
威胁情报分析师很难平衡威胁情报引入的广度与分析哪些威胁情报对其组织和/或行业构成最大威胁。 同样,漏洞情报分析师将资产清单与常见漏洞和风险 (CVE) 信息相关联,以优先调查和修正与其组织相关的最关键漏洞。
Microsoft 通过开发 Defender TI 来重新构想分析工作流,该工作流聚合和扩充关键数据源,并在一个易于使用的创新界面中显示这些数据源,用户可以将泄露指标 (IOC) 相关文章、参与者配置文件和漏洞相关联。 Defender TI 还允许分析师与其租户中的其他 Defender TI 许可用户协作进行调查。
下面是 Microsoft Defender 门户中 Defender TI 的 Intel 资源管理器页的屏幕截图。 分析师可以快速扫描新的特色文章,并执行关键字 (keyword) 、指示器或 CVE ID 搜索,以开始其情报收集、会审、事件响应和搜寻工作。
Defender TI 文章
文章是提供有关威胁参与者、工具、攻击和漏洞的见解的叙述。 Defender TI 文章不是有关威胁情报的博客文章;虽然这些文章汇总了不同的威胁,但它们还链接到可操作的内容和关键 IOC,以帮助用户采取措施。 在威胁摘要中提供此技术信息可让用户在威胁参与者、工具、攻击和漏洞更改时持续跟踪它们。
特别推荐的文章
搜索栏正下方 (Intel Explorer 页面的 “特色文章 ”部分) 显示值得注意的 Microsoft 内容的横幅图像:
选择特色文章横幅将加载其完整文章内容。 通过文章的 快照 ,你可以快速了解文章。 指标标注显示与本文关联的公共和 Defender TI 指标数量。
文章
所有文章 ((包括特色文章) )都根据发布日期列在 “最近文章 ”部分中,最近的文章位于顶部。
文章的 “说明 ”部分包含有关分析的攻击或威胁参与者的信息。 内容可以是简短的(例如开源智能 (OSINT) 公告),也可以是用于长格式报告的长 (,尤其是当 Microsoft 使用自己的分析) 来扩充报表时。 较长的说明可能包含图像、指向基础内容的链接、指向 Defender TI 内搜索的链接、攻击者代码片段以及用于阻止攻击的防火墙规则。
“ 公共指标 ”部分列出了与文章相关的已知指标。 这些指标中的链接将你带到相关的 Defender TI 数据或外部源。
Defender TI 指标部分涵盖 Defender TI 自己的研究团队发现与文章相关的指标。 这些指标中的链接还会将你带到相关的 Defender TI 数据或外部源。
这些链接还会转入相关的 Defender TI 数据或相应的外部源。
漏洞文章
Defender TI 提供 CVE ID 搜索,以帮助你识别有关 CVE 的关键信息。 CVE ID 搜索会生成漏洞文章。
每个漏洞文章都包含:
- CVE 的说明
- 受影响的组件列表
- 定制的缓解程序和策略
- 相关智能文章
- 深层和深色 Web 聊天中的引用
- 其他关键观察结果
这些文章提供了每个 CVE 背后的更深入的上下文和可操作的见解,让用户能够更快地了解和缓解这些漏洞。
漏洞文章还包括 Defender TI 优先级分数 和严重性指示器。 Defender TI 优先级分数是一种独特的算法,它基于常见漏洞评分系统 (CVSS) 评分、攻击、聊天和与恶意软件的链接来反映 CVE 的优先级。 它会评估这些组件的一致性,以便你可以了解应首先修正哪些 CVE。
信誉评分
IP 信誉数据对于了解你自己的攻击面的可信度非常重要,在评估调查中出现的未知主机、域或 IP 地址时也很有用。 Defender TI 为任何主机、域或 IP 地址提供专有信誉分数。 无论是验证已知实体的信誉还是未知实体的信誉,这些分数都有助于快速了解检测到与恶意或可疑基础结构的任何关联。
Defender TI 提供有关这些实体活动的快速信息,例如首次看到和最后一次查看的时间戳、自治系统编号 (ASN) 、国家或地区、关联的基础结构,以及影响信誉评分的规则列表(如果适用)。
分析师见解
分析师见解将 Microsoft 的庞大数据集提炼成一些观察结果,这些观察结果简化了调查,使所有级别的分析师更易接近。
见解是指有关域或 IP 地址的小事实或观察结果。 它们使你能够评估所查询的指标,并提高你确定正在调查的指标是恶意、可疑还是良性的能力。
数据集
Microsoft 将大量数据集集中到 Defender TI 中,使 Microsoft 社区和客户能够更轻松地进行基础结构分析。 Microsoft 的主要重点是提供尽可能多的有关 Internet 基础结构的数据,以支持各种安全用例。
Microsoft 使用被动域名系统 (DNS) 传感器、端口扫描、URL 和文件引爆和其他源收集、分析和索引 Internet 数据,以帮助用户检测威胁、确定事件优先级,并确定与威胁参与者组关联的基础结构。 如果请求时 URL 没有可用的引爆数据,则 URL 搜索可能用于自动启动引爆。 从此类引爆收集的数据用于填充结果,以便将来从你或任何其他 Defender TI 用户搜索该 URL。
支持的 Internet 数据集包括:
- 解决方案
- Whois
- SSL 证书
- 子域
- DNS
- 反向 DNS
- 引爆分析
- 从文档对象模型收集的派生数据集 (DOM) 引爆 URL,包括:
- 跟踪
- 组件
- 主机对
- Cookie
还可以从基于端口扫描或 SSL 证书详细信息的横幅响应触发的检测规则中观察到组件和跟踪器。 其中许多数据集具有各种方法来对数据进行排序、筛选和下载,以便更轻松地访问可能与历史记录中的特定指示器类型或时间关联的信息。
了解更多:
标记
Defender TI 标记提供有关指示器的快速见解,无论是由系统派生还是由其他用户生成。 标记有助于分析人员将当前事件和调查及其历史上下文之间的点连接起来,以便改进分析。
Defender TI 提供两种类型的标记:系统标记和自定义标记。
项目
Defender TI 允许用户开发多种项目类型,用于组织调查中感兴趣的指标和泄露指标。 项目 包含所有关联指标的列表,以及保留名称、说明和协作者的详细历史记录。
在 Defender TI 中搜索 IP 地址、域或主机时,如果该指示器在有权访问的项目中列出,则可以在“摘要和数据”选项卡中的“项目”部分看到指向该项目的链接。 在查看其他数据集以获取详细信息之前,可以导航到项目的详细信息,了解有关指标的更多上下文。 因此,可以避免重新创建一个 Defender TI 租户用户可能已经开始的调查。 如果有人将你作为协作者添加到项目中,你也可以通过添加新的 IOC 来添加到该调查中。
数据驻留、可用性和隐私
Defender TI 包含全局数据和特定于客户的数据。 基础 Internet 数据是全局 Microsoft 数据;客户应用的标签被视为客户数据。 所有客户数据存储在客户选择的区域。
出于安全目的,Microsoft 会在用户登录时收集用户的 IP 地址。 此数据的存储时间最长为 30 天,但如果需要调查产品的潜在欺诈性或恶意使用,可能会存储更长时间。
在区域关闭方案中,客户应该不会看到停机,因为 Defender TI 使用将数据复制到备份区域的技术。
Defender TI 处理客户数据。 默认情况下,客户数据将复制到配对区域。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈