了解威脅情報概念

適用於：

注意事項

想要體驗適用於端點的 Microsoft Defender 嗎？注册免費試用版。

多個複雜的惡意事件、屬性和內容相關信息包含進階網路安全性攻擊。找出並決定哪些活動符合可疑資格可能是一項挑戰性工作。您對於已知屬性和您產業特有異常活動的知識，是瞭解何時將觀察到的行為呼叫為可疑的基礎。

透過 Microsoft Defender 全面偵測回應，您可以建立自定義威脅警示，協助您追蹤組織中可能的攻擊活動。您可以標示可疑事件，以將線索組合在一起，並可能停止攻擊鏈結。這些自定義威脅警示只會出現在您的組織中，並將您設定為要追蹤的事件加上旗標。

在建立自定義威脅警示之前，請務必先瞭解警示定義背後的概念，以及入侵 (IOC) 的指標，以及它們之間的關聯性。

警示定義

警示定義是內容相關屬性，可共同用來識別可能的網路安全性攻擊的早期線索。這些指標通常是攻擊者為了成功達成攻擊目標而採取的活動、特性和動作的組合。在達到攻擊者的目標之前，監視這些屬性組合對於取得攻擊的有利點，以及可能干擾事件鏈結非常重要。

IOC 是個別已知的惡意事件，表示網路或裝置已遭入侵。不同於警示定義，這些指標會被視為缺口的辨識項。在攻擊已執行且達到目標之後，通常會看到它們，例如外洩。在鑑識調查期間，追蹤IOC也很重要。雖然它可能無法介入攻擊鏈結，但收集這些指標有助於為未來可能的攻擊建立更好的防禦。

在 Microsoft Defender 全面偵測回應和適用於端點的 Microsoft Defender 的內容中，警示定義是 IOC 的容器，並定義警示，包括針對特定 IOC 比對所引發的元數據。在警示定義中提供各種元數據。提供元數據，例如攻擊的警示定義名稱、嚴重性和描述，以及其他選項。

每個 IOC 都會根據其類型、值和動作來定義具體的偵測邏輯，以決定其比對方式。它會系結至特定的警示定義，定義偵測在 Microsoft Defender 全面偵測回應控制台上顯示為警示的方式。

以下是IOC的範例：

IOC 與警示定義具有多對一關聯性，因此警示定義可以有許多對應的 IOC。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。