Mikä on Microsoft Defender Threat Intelligence (Defender TI)?

Microsoft Defender Threat Intelligence (Defender TI) on ympäristö, joka virtaviivaistaa tärkeysjärjestystä, tapauksiin reagointia, uhkien etsintää, haavoittuvuuden hallintaa ja kyberuhkien hallinnan analyytikkotyönkulkuja suorittaessaan uhkainfrastruktuurianalyysia ja kerätessään uhkatietoja. Analyytikot käyttävät paljon aikaa tietojen etsimiseen, keräämiseen ja jäsentämiseen sen sijaan, että keskittyisivät siihen, mikä todella auttaa heidän organisaatiotaan puolustamaan itsestään johdettuja merkityksellisiä tietoja toimijoista analyysin ja korrelaation kautta.

Analyytikoiden on usein siirryttävä useisiin säilöihin saadakseen kriittiset tietojoukot, joita he tarvitsevat epäilyttävän toimialueen, isännän tai IP-osoitteen arvioimiseen. DNS-tiedot, WHOIS-tiedot, haittaohjelmat ja SSL-varmenteet tarjoavat tärkeän kontekstin vaarantumisen ilmaisimiin, mutta nämä säilöt ovat laajalti hajautettuja, eivätkä ne aina jaa yhteistä tietorakennetta, mikä vaikeuttaa sen varmistamista, että analyytikoilla on kaikki tarvittavat tiedot epäilyttävän infrastruktuurin asianmukaisen ja oikea-aikaisen arvioinnin tekemiseen.

Näiden tietojoukkojen käsitteleminen voi olla hankalaa, ja näiden säilöjen pivotointi on aikaa vievää, mikä kuluttaa sellaisten käyttöoikeusryhmien resursseja, joiden on jatkuvasti priorisoitava vastaustoimiaan uudelleen.

Kyberuhkatietämysanalyytikot yrittävät tasapainottaa uhkatietojen käsittelyn laajuuden analysoimalla, mitkä uhkatiedot aiheuttavat suurimmat uhat organisaatiolle ja/tai toimialalle.

Samalla laajuudella haavoittuvuustietoanalyytikkojen taistelu korreloi resurssiluettelonsa CVE-tietojen kanssa priorisoidakseen organisaatioonsa liittyvien tärkeimpien haavoittuvuuksien tutkimisen ja korjaamisen.

Microsoftin tavoitteena on kuvitella analyytikon työnkulku uudelleen kehittämällä Defender TI -ympäristö, joka koostaa ja täydentää kriittisiä tietolähteitä ja näyttää tiedot innovatiivisessa, helppokäyttöisessä käyttöliittymässä korreloidakseen, kun ilmaisimet on linkitetty artikkeleihin ja haavoittuvuuksiin, infrastruktuuriketju yhdessä vaarantumisen ilmaisimien (IOC) kanssa ja tehdä yhteistyötä muiden Defender TI -lisensoitujen käyttäjien kanssa vuokraajassaan. Koska tietoturvaorganisaatiot käyttävät yhä enemmän älykkyyttä ja hälytyksiä ympäristössään, on tärkeää, että uhkien analysointi- ja tietoympäristö mahdollistaa hälytysten tarkat ja oikea-aikaiset arvioinnit.

Alla on näyttökuva Defender TI’s Threat Intelligence -aloitussivusta. Analyytikot voivat nopeasti lukea uusia suositeltuja artikkeleita sekä aloittaa tiedustelutietojen keräämisen, triagen, tapausten käsittelyn ja metsästystoimet suorittamalla avainsanan, ilmaisimen tai CVE-ID-haun.

TI-yleiskatsauksen Edge-näyttökuva

Defender TI -artikkelit

Artikkelit ovat Microsoftin kertomuksia, jotka antavat tietoja uhkatoimijoista, työkaluista, hyökkäyksistä ja haavoittuvuuksista. Defender TI esitellyt ja artikkelit eivät ole uhkatietoja koskevia blogikirjoituksia; samalla kun he tekevät yhteenvedon erilaisista uhista, ne myös linkittävät toiminnalliseen sisältöön ja tärkeisiin vaarantumisen ilmaisimiin, jotta käyttäjät voivat ryhtyä toimiin. Sisällyttämällä nämä tekniset tiedot uhkayhteenvetoihin, annamme käyttäjien seurata jatkuvasti uhkatoimijoita, työkaluja, hyökkäyksiä ja haavoittuvuuksia niiden muuttuessa.

Defender TI Threat Intelligence -aloitussivun esittelyssä oleva artikkeliosa (hakupalkin alapuolella) näyttää esitellyn Microsoft-sisällön:

Ti:n yleiskatsaus esitellyt artikkelit

Napsauttamalla artikkelia pääset artikkelin pohjana olevaan sisältöön. Artikkelin synopsis antaa käyttäjälle nopean käsityksen artikkelista. Ilmaisimet-kutsu näyttää, kuinka monta julkista ilmaisinta ja Defender TI -ilmaisinta artikkeliin liittyy.

TI:n yleiskatsauksen esitelty artikkeli

Artikkelit

Kaikki artikkelit (mukaan lukien esitellyt artikkelit) on lueteltu Microsoft Defender TI Threat Intelligence -aloitussivun artikkelit -osassa niiden luontipäivämäärän mukaan (laskevasti):

TI:n yleiskatsausartikkelit

Artikkelin kuvaukset

Artikkelin tietonäytön kuvausosa sisältää tietoja hyökkäyksen tai hyökkääjän profiloimista. Sisältö voi vaihdella hyvin lyhyestä (OSINT-ilmoitusten tapauksessa) tai melko pitkästä (pitkämuotoiseen raportointiin – erityisesti silloin, kun Microsoft on lisännyt raporttiin sisältöä). Pidemmät kuvaukset voivat sisältää kuvia, linkkejä pohjana olevaan sisältöön, linkkejä Defender TI:n sisäisiin hakuihin, hyökkääjän koodikatkelmia ja palomuurisääntöjä hyökkäyksen estämiseksi:

TI-yleiskatsausartikkelin kuvaus

Julkiset ilmaisimet

Näytön julkisten ilmaisimien osiossa näkyvät artikkeliin liittyvät aiemmin julkaistut ilmaisimet. Julkisten indikaattoreiden linkit vievät yhden Defender ti -tietoihin tai oleellisia ulkoisia lähteitä.

TI-yleiskatsausartikkelin julkiset ilmaisimet

Defender TI -ilmaisimet

Defender TI -ilmaisimet-osiossa käsitellään ilmaisimia, jotka Defender TI:n tutkimustiimi on löytänyt ja lisännyt artikkeleihin.

Nämä linkit myös pivotoivat asianmukaisiin Defender TI -tietoihin tai vastaavaan ulkoiseen lähteeseen.

TI:n yleiskatsausartikkeli Defender TI -ilmaisimet

Haavoittuvuusartikkelit

Defender TI tarjoaa CVE-ID-hakuja, joiden avulla käyttäjät voivat tunnistaa tärkeitä tietoja CVE:stä. CVE-ID-haut johtavat haavoittuvuusartikkeleihin.

Haavoittuvuusartikkelit tarjoavat avainkontekstin kiinnostavien CVE:iden taustalla. Jokaisessa artikkelissa on CVE:n kuvaus, luettelo osista, joihin tämä vaikuttaa, räätälöidyt lievennysmenettelyt ja strategiat, aiheeseen liittyvät tietoartikkelit, viittaukset Deep ja Dark web -keskusteluun ja muut tärkeät havainnot. Nämä artikkelit tarjoavat syvempiä kontekstitietoja ja toiminnallisia merkityksellisiä tietoja kunkin CVE:n taustalla, joten käyttäjät voivat ymmärtää nämä haavoittuvuudet nopeammin ja lieventää niitä nopeasti.

Haavoittuvuusartikkelit sisältävät myös Defender TI Priority Scoren ja vakavuusilmaisimen. Defender TI Priority Score on yksilöllinen algoritmi, joka kuvastaa CVE:n prioriteettia CVSS-pistemäärän, hyökkäysten, keskustelun ja haittaohjelmien linkityksen perusteella. Lisäksi Defender TI Priority Score arvioi näiden komponenttien rekvanssin, jotta käyttäjät voivat ymmärtää, mitkä CVE:t tulisi korjata ensin.

Maineen pisteytys

Defender TI tarjoaa isännän, toimialueen tai IP-osoitteen omat mainepisteet. Riippumatta siitä, vahvistetaanko tunnetun tai tuntemattoman entiteetin maine, tämä pistemäärä auttaa käyttäjiä ymmärtämään nopeasti havaitut siteet haitalliseen tai epäilyttävään infrastruktuuriin. Käyttöympäristö tarjoaa nopeita tietoja näiden entiteettien toiminnasta, kuten First- ja Last Seen -aikaleimat, ASN:n, maan/alueen, liittyvän infrastruktuurin, sekä luettelon säännöistä, jotka vaikuttavat mainepisteisiin soveltuvissa tapauksissa.

Maineen yhteenvetokortti

IP-mainetiedot ovat tärkeitä oman hyökkäysalueen luotettavuuden ymmärtämiseksi, ja niistä on hyötyä myös arvioitaessa tuntemattomia isäntiä, toimialueita tai IP-osoitteita, jotka näkyvät tutkimuksissa. Nämä pisteet paljastavat kaikki aikaisemmat haitalliset tai epäilyttävät toimet, jotka vaikuttivat entiteettiin, tai muita tunnettuja merkkejä vaarantumisesta, joka tulee ottaa huomioon.

Lisätietoja on kohdassa Maine-pisteytys.

Analyytikon merkitykselliset tiedot

Analyytikon merkitykselliset tiedot tuovat Microsoftin laajan tietojoukon muutamaan havaintoon, jotka yksinkertaistavat tutkimusta ja tekevät siitä helpommin lähestyttävän kaikkien tasojen analyytikoille.

Merkityksellisten tietojen on tarkoitus olla pieniä faktoja tai havaintoja toimialue- tai IP-osoitteesta ja antaa Defender TI -käyttäjille mahdollisuuden tehdä arviointi kyselyistä ilmaisimesta ja parantaa käyttäjän kykyä määrittää, onko tutkittava ilmaisin haitallinen, epäilyttävä vai hyvänlaatuinen.

Lisätietoja on kohdassa Analyytikon merkitykselliset tiedot.

Yhteenvetovälilehden analyytikon tiedot

Tietojoukot

Microsoft keskittää useita tietojoukkoja yhdeksi Defender TI -ympäristöksi, mikä helpottaa Microsoftin yhteisön ja asiakkaiden infrastruktuurianalyysien tekemistä. Microsoftin ensisijaisena painopisteenä on tarjota mahdollisimman paljon tietoja Internet-infrastruktuurista erilaisten tietoturvatapausten tukemiseksi.

Microsoft kerää, analysoi ja indeksoi Internet-tietoja passiivisten DNS-tunnistimien, porttien tarkistuksen, URL-osoitteen ja tiedostojen räjähdyksen kautta auttaakseen käyttäjiä havaitsemaan uhkia, priorisoimaan tapauksia ja tunnistamaan uhkien toimijaryhmiin liittyvän infrastruktuurin. Käyttäjien URL-hakuja voidaan käyttää käynnistämään räjähdykset automaattisesti, jos URL-osoitteeseen ei ole saatavilla räjähdystietoja pyynnön aikana. Tällaisista räjähdyksistä kerättyjä tietoja käytetään kyseisen URL-osoitteen mahdollisten tulevien hakujen tulosten täyttämiseen alkuperäisen haun lähettäneeltä käyttäjältä tai muilta käyttöympäristön käyttäjiltä.

Tuettuja Internet-tietojoukkoja ovat ratkaisut, WHOIS, SSL-varmenteet, alitoimialue, DNS, käänteinen DNS ja räjähdysanalyysi, sekä johdetut tietojoukot, jotka on kerätty räjähtävien URL-osoitteiden Asiakirjaobjektimallista (DOM), mukaan lukien jäljittimet, osat, isäntäparit ja evästeet. Lisäksi komponentit ja seurannat havaitaan myös havaitsemissäännöistä, jotka käynnistetään porttitarkistusten bannerivastausten tai SSL-varmenteen tietojen perusteella. Monissa näistä tietojoukoista on useita menetelmiä tietojen lajittelemiseen, suodattamiseen ja lataamiseen, mikä helpottaa tietojen käyttöä, jotka voivat liittyä tiettyyn ilmaisintyyppiin tai aikaan historiassa.

Lisätietoja on seuraavissa artikkeleissa:

TI:n yleiskatsaus -tietojoukot

Tunnisteet

Defender TI -tunnisteiden avulla saadaan nopeasti merkityksellisiä tietoja ilmaisimesta, joko järjestelmän johtamista tai muiden käyttäjien luomista. Tunnisteet auttavat analyytikoita yhdistämään nykyisten tapausten ja tutkimusten väliset pisteet ja niiden historiallisen kontekstin analyysin parantamiseksi.

Defender TI -ympäristö tarjoaa kahdentyyppisiä tunnisteita: järjestelmätunnisteita ja mukautettuja tunnisteita.

Lisätietoja on artikkelissa Tunnisteiden käyttäminen.

Mukautetut tunnisteet

Projektit

Microsoft Defender TI -ympäristön avulla käyttäjät voivat kehittää useita projektityyppejä kiinnostuksenilmaisimien ja kompromissien indikaattorien järjestämiseksi tutkimuksen perusteella. Projektit sisältävät luettelon kaikista liittyvistä indikaattoreista sekä yksityiskohtaisen historian, joka säilyttää nimet, kuvaukset ja yhteistyökumppanit.

Kun käyttäjä etsii IP-osoitetta, toimialuetta tai isäntää Defender TI:ssä ja jos ilmaisin on luettelossa projektissa, johon käyttäjällä on käyttöoikeus, käyttäjä näkee linkin projektiin Yhteenveto-välilehden Projektit-osioista sekä Tiedot-välilehdestä. Tästä käyttäjä voi siirtyä projektin tietoihin, jos haluat lisätietoja ilmaisimesta, ennen kuin tarkistat muut tietojoukot saadaksesi lisätietoja. Tämä auttaa analyytikoita välttämään tutkimuksen pyörän uudistamisen, kun yksi defender ti -vuokraajan käyttäjistä on jo aloittanut tutkimuksen, tai lisäämään sen tutkimukseen lisäämällä uusia kyseiseen projektiin liittyviä ilmaisimia (kompromissiindikaattorit), jos heidät on lisätty projektiin yhteistyökumppaniksi.

Lisätietoja on artikkelissa Projektien käyttäminen.

Defender TI:n yleiskatsausprojektit

Tietojen sijainti, käytettävyys ja tietosuoja

Microsoft Defender Threat Intelligence sisältää sekä yleisiä tietoja että asiakaskohtaisia tietoja. Pohjana olevat Internet-tiedot ovat yleisiä Microsoft-tietoja; asiakkaiden lisäämiä tunnisteita pidetään asiakastietoina. Kaikki asiakastiedot tallennetaan asiakkaan valitsemalle alueelle.

Suojaussyistä Microsoft kerää käyttäjien IP-osoitteet, kun he kirjautuvat sisään. Nämä tiedot tallennetaan enintään 30 päivän ajaksi, mutta ne voidaan tallentaa pidempään, jos niitä tarvitaan tuotteen mahdollisen vilpillisen tai haitallisen käytön tutkimiseen.

Jos kyseessä on alueen käyttökatkosskenaario, asiakkaiden ei pitäisi nähdä käyttökatkoja, koska Defender TI käyttää tekniikoita, jotka replikoivat tietoja varmuuskopioalueisiin.

Defender TI käsittelee asiakastiedot. Asiakastiedot replikoidaan oletusarvoisesti pariksi liitettyihin alueeseen.

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa: