Share via


了解威脅情報概念

適用於:

注意事項

使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

多個複雜的惡意事件、屬性和內容相關信息包含進階網路安全性攻擊。 找出並決定哪些活動符合可疑資格可能是一項挑戰性工作。 您對於已知屬性和您產業特有異常活動的知識,是瞭解何時將觀察到的行為呼叫為可疑的基礎。

透過 Microsoft Defender 全面偵測回應,您可以建立自定義威脅警示,協助您追蹤組織中可能的攻擊活動。 您可以標示可疑事件,以將線索組合在一起,並可能停止攻擊鏈結。 這些自定義威脅警示只會出現在您的組織中,並將您設定為要追蹤的事件加上旗標。

在建立自定義威脅警示之前,請務必先瞭解警示定義背後的概念,以及入侵 (IOC) 的指標,以及它們之間的關聯性。

警示定義

警示定義是內容相關屬性,可共同用來識別可能的網路安全性攻擊的早期線索。 這些指標通常是攻擊者為了成功達成攻擊目標而採取的活動、特性和動作的組合。 在達到攻擊者的目標之前,監視這些屬性組合對於取得攻擊的有利點,以及可能干擾事件鏈結非常重要。

IOC) (入侵指標

IOC 是個別已知的惡意事件,表示網路或裝置已遭入侵。 不同於警示定義,這些指標會被視為缺口的辨識項。 在攻擊已執行且達到目標之後,通常會看到它們,例如外洩。 在鑑識調查期間,追蹤IOC也很重要。 雖然它可能無法介入攻擊鏈結,但收集這些指標有助於為未來可能的攻擊建立更好的防禦。

警示定義與IOC之間的關聯性

在 Microsoft Defender 全面偵測回應 和 適用於端點的 Microsoft Defender 的內容中,警示定義是 IOC 的容器,並定義警示,包括針對特定 IOC 比對所引發的元數據。 在警示定義中提供各種元數據。 提供元數據,例如攻擊的警示定義名稱、嚴重性和描述,以及其他選項。

每個 IOC 都會根據其類型、值和動作來定義具體的偵測邏輯,以決定其比對方式。 它會系結至特定的警示定義,定義偵測在 Microsoft Defender 全面偵測回應 控制台上顯示為警示的方式。

以下是IOC的範例:

  • 類型:Sha1
  • 值:92cfceb39d57d914ed8b14d0e37643de0797ae56
  • 動作:等於

IOC 與警示定義具有多對一關聯性,因此警示定義可以有許多對應的 IOC。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。