מהי בינת איומים של Microsoft Defender (‏Defender Intelligence)?

בינת איומים של Microsoft Defender‏ (Defender TI) היא פלטפורמה שמייעלת את סדר העדיפויות, את התגובה לתקריות, ציד איומים, ניהול פגיעויות וזרימות עבודה של אנליסט בינת איומי סייבר בעת ביצוע ניתוח תשתית איומים ואיסוף בינת איומים. אנליסטים מקדישים זמן רב לגילוי נתונים, לאיסוף ולניתוח נתונים, במקום להתמקד במה ש למעשה עוזר לארגון שלהם להגן על תובנות שמקורן בעצמם לגבי השחקנים באמצעות ניתוח ומתאם.

לעתים קרובות, אנליסטים חייבים לעבור למאגרים מרובים כדי להשיג את ערכות הנתונים הקריטיות הדרושות להם כדי להעריך תחום, מארח או כתובת IP חשודים. נתוני DNS, פרטי WHOIS, תוכנות זדוניות ואישורים של SSL מספקים הקשר חשוב למחווני פשרה (IOCs), אך מאגרים אלה מפוזרים בצורה נרחבת ואינם תמיד חולקים מבנה נתונים משותף, כך שקשה לוודא שלאנליסטים יש את כל הנתונים הרלוונטיים הדרושים כדי לבצע הערכה נכונה ובזמן של תשתית חשודה.

האינטראקציה עם ערכות נתונים אלה עשויה להיות מסורבלת ולבצע סידור ציר בין מאגרים אלה צורך זמן רב, התרוקנות המשאבים של קבוצות פעולות אבטחה שיש לתעדף מחדש ללא הרף את המאמצים שלהן לתגובה.

אנליסטים של בינת איומי סייבר מתקשים באיזון רמת בינה של איומים בעזרת הניתוח של איזו בינת סייבר כוללת את האיומים הגדולים ביותר לארגון ו/או לתעשייה שלהם.

באותו עומק, אנליסטים של בינת פגיעויות נאבקים בתיאום מלאי הנכסים שלהם עם מידע CVE כדי לתעדף את החקירה ותיקון של הפגיעויות הקריטיות ביותר המשויכות לארגון שלהם.

המטרה של Microsoft היא לדמיין מחדש את זרימת העבודה של האנליסטים על-ידי פיתוח פלטפורמה, Defender TI, שצובר ומעשיר מקורות נתונים קריטיים ומציג נתונים בממשק חדשני וקל לשימוש כדי לתאם כאשר מחוונים מקושרים למאמרים ולפגיעות יוצרים שרשרת תשתית עם מחווני פשרה (IOCs) ושיתוף פעולה בחקירות עם משתמשים מורשים אחרים של Defender TI בתוך הדייר שלהם. באמצעות ארגוני אבטחה שפועלים בכמות הולכת וגדלה של בינה והתראות בתוך הסביבה שלהם, חשוב ליצור פלטפורמת ניתוח איומים ובינה המאפשרת הערכות מדויקות ומדויקות של התראות.

להלן צילום מסך של דף הבית של 'בינת איומים' של Defender TI. אנליסטים יכולים לסרוק במהירות מאמרים מוצגים חדשים ולהתחיל את איסוף הבינה, קביעת סדר העדיפויות, התגובה לתקריות ומאמצי הציד על-ידי ביצוע חיפוש של מילת מפתח, מחוון או מזהה CVE.

צילום מסך של קצה מבט כולל על TI

מאמרי Defender TI

מאמרים הם מלל נלווה של Microsoft המספקים תובנות לגבי שחקני איומים, כלי עבודה, תקיפות ופגיעויות. מאמרים מוצגים ומאמרים של Defender TI אינם פרסומי בלוג בנושא בינה מפני איומים; בעוד שהם מסכמים איומים שונים, הם גם מקשרים לתוכן המאפשר פעולה ולמחווני מפתח של סכנה כדי לעזור למשתמשים לבצע פעולה. על-ידי הכללת מידע טכני בסיכומי איומים, אנו מאפשרים למשתמשים לעקוב ללא הרף אחר שחקני איומים, כלי עבודה, תקיפות ופגיעויות בזמן שהם משתנים.

מקטע המאמר המוצג בדף הבית של בינת איומים של Defender TI (ממש מתחת לשורת החיפוש) מציג את התוכן המוצג של Microsoft:

מאמרים מוצגים של TI Overview

לחיצה על המאמר מעבירה אותך לתוכן המאמר המשמש כפתרון. תקציר מאמר מספר למשתמש יכולת להבין במהירות את המאמר. קריאת המחוונים מראה כמה מחווני ציבוריים ומחווני Defender TI משויכים למאמר.

מאמר מוצג של מבט כולל על TI

מאמרים

כל המאמרים (כולל מאמרים מוצגים) מפורטים תחת המקטע מאמרי דף הבית של בינת איומים של Microsoft Defender TI, לפי תאריך היצירה שלהם (בסדר יורד):

מאמרי TI Overview

תיאורי מאמרים

מקטע התיאור של מסך פרטי המאמר מכיל מידע אודות התקיפה או התוקף שהפרופיל שלו נותח. התוכן יכול להיות קצר מאוד (במקרה של עלונים של OSINT) או ארוך למדי (לדיווח בתבנית ארוכה – במיוחד כאשר Microsoft הגדילה כמות התוכן בדוח). התיאורים עשויים להכיל תמונות, קישורים לתוכן המשמש בסיסי, קישורים לחיפושים בתוך Defender TI, מקטעי קוד תוקף וכללי חומת אש כדי לחסום את התקיפה:

תיאור מאמר TI Overview

מחוונים ציבוריים

מקטע המחוונים הציבוריים של המסך מציג את המחוונים שפורסמו בעבר הקשורים למאמר. הקישורים במחוונים הציבוריים לוקחים אחד אל נתוני ה- TI של Defender המשמשים כמקורות חיצוניים רלוונטיים.

מחוונים ציבוריים של מאמר TI Overview

מחווני Defender TI

המקטע מחווני Defender TI כולל מידע לגבי המחוונים שצוות המחקר של Defender TI מצא והוסיף למאמרים.

קישורים אלה גם מסתובבים סביב נתוני Defender TI הרלוונטיים או המקור החיצוני המתאים.

מחוונים Defender TI של מאמר TI Overview

מאמרי פגיעות

Defender TI מציע חיפושי CVE-ID כדי לעזור למשתמשים לזהות מידע קריטי אודות CVE. חיפושים ב- CVE-ID מובילים למאמרי פגיעות.

מאמרי פגיעויות מספקים הקשר מפתח מאחורי CVEs של תחומי עניין. כל מאמר מכיל תיאור של ה- CVE, רשימה של רכיבים מושפעים, הליכים ואסטרטגיות מותאמים לצמצום סיכונים, מאמרי בינה קשורים, הפניות בפטפוט אינטרנט כהה ועמוק ותצפיות עיקריות אחרות. מאמרים אלה מספקים הקשר עמוק יותר ותובנות המאפשרות פעולה מאחורי כל CVE, ומאפשרים למשתמשים להבין פגיעויות אלה במהירות רבה יותר ולצמצם אותן במהירות.

מאמרי פגיעות כוללים גם את ניקוד העדיפות של Defender TI ואת מחוון החומרה. ניקוד עדיפות של Defender TI הוא אלגוריתם ייחודי שמשקף את העדיפות של CVE בהתבסס על הניקוד של CVSS, ניצול לרעה, פטפוט וקישור לתוכנות זדוניות. יתר על כן, ניקוד העדיפות של Defender TI מעריך את העקביות של רכיבים אלה כדי שהמשתמשים יוכלו להבין אילו CVEs יש לתקן תחילה.

ניקוד מוניטין

Defender TI מספק ניקודי מוניטין קנייניים עבור כל מארח, תחום או כתובת IP. בין אם מבוצע אימות המוניטין של ישות ידועה או לא ידועה, ניקוד זה עוזר למשתמשים להבין במהירות כל קשר שזוהה לתשתית זדונית או חשודה. הפלטפורמה מספקת מידע מהיר על הפעילות של ישויות אלה, כגון חותמות זמן של First ו- Last Seen, ASN, country/region, תשתית משויכת ורשימה של כללים המשפיעים על ניקוד המוניטין כאשר הדבר ישים.

כרטיס סיכום מוניטין

נתוני המוניטין של כתובת IP חשובים לצורך הבנת המהימנות של שטח התקיפה שלך וכן הם שימושיים בעת הערכת מארחים, תחומים או כתובות IP לא ידועים שמופיעים בחקירות. ניקודים אלה יחשפו את הפעילות הזדונית או החשודה הראשית שהשפיעה על הישות או מחוונים ידועים אחרים של סכנה שצריך להביא בחשבון.

לקבלת מידע נוסף, ראה ניקוד מוניטין.

תובנות של אנליסטים

תובנות האנליסטים מזקקות את ערכת הנתונים הרחבה של Microsoft לכדי קומץ תצפיות שמפשטות את החקירה והופכות אותה לנגישה יותר לאנליסטים מכל הרמות.

תובנות נועדו להיות עובדות או תצפיות קטנות לגבי תחום או כתובת IP ולספק למשתמשי Defender TI את היכולת לבצע הערכה לגבי המחוון שנחקר ולשפר את היכולת של משתמש לקבוע אם מחוון שנחקר הוא זדוני, חשוד או טוב.

לקבלת מידע נוסף, ראה תובנות של אנליסטים.

תובנות אנליסט של כרטיסיית סיכום

ערכות נתונים

Microsoft מרכזת ערכות נתונים רבות בפלטפורמה אחת, Defender TI, שמקלה על הקהילה והלקוחות של Microsoft לבצע ניתוח תשתית. ההתמקדות העיקרית של Microsoft היא לספק נתונים רבים ככל האפשר לגבי תשתית האינטרנט כדי לתמוך במגוון מקרי שימוש אבטחה.

Microsoft אוספת, מנתחת ואינדקסה נתוני אינטרנט באמצעות חיישני DNS פאסיביים, סריקת יציאות, נפץ של כתובות URL וקבצים ומקורות אחרים כדי לסייע למשתמשים לזהות איומים, לתעדף אירועים ולזהות תשתית המשויכת לקבוצות מעוררי איומים. חיפושים של כתובות URL של משתמשים עשויים לשמש ליזום פעולות באופן אוטומטי אם אין נתוני נפץ זמינים עבור כתובת URL במועד הבקשה. הנתונים שנאספו מפעולות כאלה משמשים לאכלוס תוצאות בחיפושים עתידיים אחר כתובת URL זו מהמשתמש ששלח את החיפוש המקורי או כל משתמש אחר בפלטפורמה.

ערכות נתונים נתמכות של אינטרנט כוללות פתרונות, WHOIS, אישורי SSL, תחומי משנה, DNS, היפוך DNS וניתוח נפץ, וכן ערכות נתונים נגזרות שנאספו ממודל אובייקטי המסמך (DOM) של כתובות URL מופעלות, כולל עוקבים, רכיבים, זוגות מארחים וקבצי Cookie. בנוסף, רכיבים ועוקבים נצפו גם מתוך כללי זיהוי המופעלים בהתבסס על תגובות כרזה מסריקה יציאה או פרטי אישור SSL. רבות מערכות נתונים אלה כוללות שיטות שונות למיון, לסינון ולהורדה של נתונים, כך שיהיה קל יותר לגשת למידע שעשוי להיות משויך לסוג מחוון ספציפי או לזמן ספציפי בהיסטוריה.

לקבלת מידע נוסף, ראה:

ערכות נתונים של ti Overview

תגיות

תגיות TI של Defender משמשות כדי לספק תובנות מהירות לגבי מחוון, בין אם הוא נגזר על-ידי המערכת או נוצר על-ידי משתמשים אחרים. תגיות מסייעות לאנליסטים לחבר בין הנקודות בין מקרים וחקירות נוכחיים לבין ההקשר ההיסטורי שלהם לצורך ניתוח משופר.

פלטפורמת Defender TI מציעה שני סוגים של תגיות: תגיות מערכת ותגיות מותאמות אישית.

לקבלת מידע נוסף, ראה שימוש בתגיות.

התאמה אישית של תגיות

פרויקטים

Microsoft Defender TI מאפשרת למשתמשים לפתח סוגי פרוייקטים מרובים לארגון מחוונים של תחומי עניין ומחווני פשרה בחקירה. פרוייקטים מכילים רישום של כל המחוונים המשויכים והיסטוריה מפורטת השומרת על השמות, התיאורים משתפי הפעולה.

כאשר משתמש מחפש כתובת IP, תחום או מארח ב- Defender TI, אם מחוון זה מופיע בתוך פרויקט שלמשתמש יש גישה אליו, המשתמש יכול לראות קישור לפרויקט מתוך המקטעים 'פרויקטים' בכרטיסיה 'סיכום' וכן בכרטיסיה 'נתונים'. מכאן, המשתמש יכול לנווט אל פרטי הפרויקט לקבלת הקשר נוסף אודות המחוון לפני עיון בערכות הנתונים האחרות לקבלת מידע נוסף. פעולה זו מסייעת לאנליסטים להימנע מהמציאה מחדש של גלגל חקירה שייתכן שמשתמשי דייר ה- TI של Defender כבר התחילו או הוסיפו לחקירה זו על-ידי הוספת מחוונים חדשים (מחווני פשרה) הקשורים לפרוייקט זה (אם הם נוספו כמשתף פעולה לפרוייקט).

לקבלת מידע נוסף, ראה שימוש בפרויקטים.

פרויקטים של Defender TI Overview

מיקום נתונים, זמינות ופרטיות

בינת איומים של Microsoft Defender מכילה נתונים כלליים ונתונים ספציפיים ללקוח. נתוני האינטרנט המשמשים כבסיס הם נתונים מוסתרים של Microsoft; תוויות שהוחלו על-ידי לקוחות נחשבות לנתונים של לקוחות. כל נתוני הלקוחות מאוחסנים באזור לבחירת הלקוח.

למטרות אבטחה, Microsoft אוספת כתובות IP של משתמשים כאשר הם מתחברים. נתונים אלה מאוחסנים למשך עד 30 יום, אך עשויים להיות מאוחסנים זמן רב יותר אם יש צורך לחקור שימוש פוטנציאלי של במרמה או זדוני במוצר.

במקרה של תרחיש של הורדות אזורים, הלקוחות לא אמורים לראות זמן ביטול כאשר Defender TI משתמש בטכנולוגיות המשכפלות נתונים לאזורי גיבוי.

Defender TI מעבד נתוני לקוחות. כברירת מחדל, נתוני הלקוח משוכפלים לאזור המשויך.

השלבים הבאים

לקבלת מידע נוסף, ראה: