什麼是 Microsoft Defender 威脅情報 (Defender TI)?

Microsoft Defender 威脅情報 (Defender TI) 是一個平台,可在進行威脅基礎結構分析和收集威脅情報時,簡化分級、事件回應、威脅搜捕、弱點管理和網路威脅情報分析師工作流程。 分析師會花費大量時間在數據探索、收集和剖析上,而非著重於實際協助其組織自行防禦的專案--透過分析和相互關聯衍生有關動作專案的深入解析。

通常,分析師必須前往多個存放庫以獲取評估可疑網域、主機或 IP 位址所需的關鍵資料集。 DNS 資料、WHOIS 資訊、惡意程式碼和 SSL 憑證會提供重要內容給入侵指標 (IOC),但這些存放庫分佈的非常廣泛,而且不一定會共用一般資料結構,因此很難確保分析師擁有適當且及時評估可疑基礎結構所需的所有相關資料。

與這些資料集互動可能會很麻煩,而且在這些存放庫之間進行轉換相當耗時,進而耗盡了不斷需要重新確定回應工作優先順序的安全作業小組的資源。

網路威脅情報分析師需耗費心力,以平衡威脅情報攝取的廣度並分析哪些威脅情報對其組織和/或產業構成最大威脅。

在相同的廣度中,弱點情報分析師努力將他們的資產清單與 CVE 資訊相關聯,以優先調查和修復與其組織相關的最關鍵弱點。

Microsoft 的目標是透過開發一個平台 Defender TI 來重新構想分析師的工作流程,該平台彙整並強化關鍵資料來源,並在一個創新、易於使用的介面中顯示資料,當指標與文章和弱點相關聯時,基礎架構將危害指標 (IOC) 串連在一起,並與租用戶內的 Defender TI 授權使用者合作展開調查。 由於安全性組織在其環境中採取的情報和警示數量不斷增加,擁有一個能夠準確和及時地評估警報的威脅分析和情報平台非常重要。

以下是 Defender TI 威脅情報首頁的螢幕擷取畫面。 分析師可以執行關鍵詞、指標或 CVE 標識符搜尋,快速掃描新的精選文章,以及開始其情報收集、分級、事件回應和搜尋工作。

TI 概觀 Edge 螢幕擷取畫面

Defender TI 文章

文章由 Microsoft 敘述,提供對威脅行為者、工具、攻擊和弱點的深入解析。 Defender TI 精選和文章不是有關威脅情報的部落格文章;當摘要說明不同的威脅時,文章也會連結至可採取動作的內容和重要的入侵指標,協助使用者採取動作。 藉由在威脅摘要中包含這項技術資訊,我們可讓使用者在威脅行為者、工具、攻擊和弱點變更時持續追蹤威脅行為者、工具、攻擊和弱點。

Defender TI 威脅情報首頁的精選文章區段 (位於搜尋行下方) 會顯示精選 Microsoft 內容:

TI 概觀精選文章

按一下文章會帶您前往基礎文章內容。 文章摘要可讓使用者快速了解該文章。 指標標註會顯示有多少公共和 Defender TI 指標與文章相關聯。

TI 概觀精選文章

文章

所有文章 (包括精選文章) 都會列在 Microsoft Defender TI 威脅情報首頁文章區段下,依其建立日期排序 (遞減):

TI 概觀文章

文章描述

文章詳細資料畫面的描述區段包含已分析攻擊或攻擊者的相關資訊。 內容可以很短 (OSINT 公告) 或很長 (長篇報告,尤其是當 Microsoft 以內容擴充報告時)。 較長的描述可能包含影像、基礎內容的連結、在 Defender TI 內的搜尋連結、攻擊者程式碼片段,以及用來封鎖攻擊的防火牆規則:

TI 概觀文章描述

公用指標

畫面的 [公用指標] 區段會顯示先前發佈的文章相關指標。 公用指標中的連結會將一個連結移至基礎 Defender TI 資料或相關的外部來源。

TI 概觀文章公用指標

Defender TI 指標

Defender TI 指標區段涵蓋 Defender TI 的研究團隊找到並新增至文章的指標。

這些連結也會轉至相關的 Defender TI 資料或對應的外部來源。

TI 概觀文章 Defender TI 指標

弱點文章

Defender TI 提供 CVE-ID 搜尋,協助使用者識別 CVE 的重要資訊。 CVE-ID 搜尋會尋找弱點文章。

弱點文章提供相關 CVE 背後的重要內容。 每篇文章都包含 CVE 的描述、受影響元件的清單、量身打造的風險降低程序和策略、相關的情報文章、深層網路和黑暗網路對話中的參考,以及其他重要觀察。 這些文章提供每個 CVE 背後的深入內容和可採取動作的深入解析,讓使用者能夠更快速地了解這些弱點,並快速緩解這些弱點。

弱點文章也包含 Defender TI 優先順序分數和嚴重性指標。 Defender TI 優先順序分數是一種獨特的演算法,可根據 CVSS 分數、惡意探索、聊天和惡意程式碼連結來反映 CVE 的優先順序。 此外,Defender TI 優先順序分數會評估這些元件的復原力,讓使用者可以先了解應該補救哪些 CVE。

信譽評分

Defender TI 提供任何主機、網域或 IP 位址的專屬信譽分數。 不論是驗證已知或未知實體的信譽,此分數都可協助使用者快速了解任何偵測到的惡意或可疑基礎結構關聯。 平臺提供這些實體活動的快速資訊,例如「第一個」和「上次看見的時間戳」、「ASN」、「國家/地區」、相關聯的基礎結構,以及在適用時會影響信譽分數的規則清單。

信譽摘要卡片

IP 信譽資料對於了解您自己的受攻擊面的可信度很重要,而且在評估調查中出現的未知主機、網域或 IP 位址時也很有用。 這些分數可揭露任何先前影響實體的惡意或可疑活動,或其他應該考量的已知入侵指示器。

如需詳細資訊,請參閱信譽評分

分析深入資訊

分析師深入解析會將 Microsoft 的大量資料集擷取成少量觀察結果,進而簡化調查並使其更容易為各級分析師所接受。

深入解析是關於網域或IP位址的小型事實或觀察,可讓Defender TI使用者對所查詢的指標進行評估,並改善用戶判斷所調查指標是否為惡意、可疑或良性的能力。

如需詳細資訊,請參閱分析師深入解析

摘要索引標籤分析師深入解析

資料集

Microsoft 將許多資料集集中化為單一平台 Defender TI,讓 Microsoft 的社群和客戶更容易進行基礎結構分析。 Microsoft 的主要重點是盡可能提供與網際網路基礎結構相關的資料,以支援各種安全性使用案例。

Microsoft 會透過被動 DNS 感測器、埠掃描、URL 和檔案擷取及其他來源收集、分析及編製因特網數據的索引,以協助使用者偵測威脅、排定事件優先順序,以及識別與威脅執行者群組相關聯的基礎結構。 如果要求時沒有 URL 的可用中斷數據,使用者的 URL 搜尋可能會用來自動起始入侵。 從這類搜集收集的數據可用來填入結果,以供提交原始搜尋的用戶或平臺的任何其他使用者未來搜尋該 URL。

支援的因特網數據集包括解決方法、WHOIS、SSL 憑證、子域、DNS、反向 DNS 和反向分析,以及從文件物件模型收集的衍生數據集, (DOM) 已遭中斷的 URL,包括追蹤器、元件、主機配對和 Cookie。 此外,也會根據連接埠掃描或 SSL 憑證詳細資料的橫幅回應,從觸發的偵測規則觀察元件和追蹤器。 這些數據集有許多可用來排序、篩選和下載數據的各種方法,可讓您更輕鬆地存取可能與特定指標類型或歷程記錄時間相關聯的資訊。

如需詳細資訊,請參閱:

ti 概觀資料集

標記

無論指標是由系統衍生或由其他用戶產生,Defender TI 標記都可用來提供指標的快速深入解析。 標籤可協助分析師連結目前事件和調查之間的點,以及其歷史內容,以改善分析。

Defender TI 平台提供兩種類型的標籤:系統標籤和自訂標籤。

如需詳細資訊,請參閱使用標籤

標籤自訂

專案

Microsoft Defender TI 平臺可讓使用者開發多種專案類型,以組織感興趣的指標,以及調查所提供的入侵指標。 專案包含所有相關聯指標的清單,以及保留名稱、描述和共同作業者的詳細歷程記錄。

當使用者在 Defender TI 中搜尋 IP 位址、網域或主機時,如果該指標列在使用者可存取的專案內,則使用者可以在 [摘要] 索引標籤和 [資料] 索引標籤的 [專案] 區段中看到專案的連結。使用者可以從這裡瀏覽至專案的詳細資料,以取得指標的更多內容,然後再檢閱其他資料集以取得詳細資訊。 這可協助分析師避免重新建立調查轉輪,其中一個 Defender TI 租使用者使用者可能已開始或加入調查,方法是新增新的指標 (與該專案相關的入侵指標) (如果他們已新增為專案) 的共同作業者。

如需詳細資訊,請參閱使用專案

Defender TI 概觀專案

資料落地、可用性和隱私權

Microsoft Defender 威脅情報包含全域資料和客戶特定資料。 基礎網際網路資料是一種全域 Microsoft 資料;客戶套用的標籤會被視為客戶資料。 所有客戶資料都會儲存在客戶選擇的區域中。

基於安全性目的,Microsoft 會在使用者登入時收集其 IP 位址。 此資料最多會儲存 30 天,但如果需要調查產品的潛在詐騙或惡意使用,可能會儲存更久。

在區域停機案例中,客戶應該不會發現停機,因為 Defender TI 會使用將資料複寫至備份區域的技術。

Defender TI 會處理客戶資料。 根據預設,客戶資料會複寫到配對的區域。

後續步驟

如需詳細資訊,請參閱: