Mi az a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI)?

  • Cikk

Fontos

2024. június 30-án a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) önálló portálja (https://ti.defender.microsoft.com) megszűnik, és többé nem lesz elérhető. Az ügyfelek továbbra is használhatják a Defender TI-t az Microsoft Defender portálon vagy a Microsoft Copilot a biztonságért. További információ

A Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) egy olyan platform, amely leegyszerűsíti a osztályozást, az incidensmegoldást, a veszélyforrás-keresést, a biztonságirés-kezelést és a fenyegetésfelderítési elemzői munkafolyamatokat a fenyegetésinfrastruktúra elemzése és a fenyegetésfelderítés összegyűjtése során. Mivel a biztonsági szervezetek egyre nagyobb mennyiségű intelligenciát és riasztást hajtanak végre a környezetükön belül, fontos, hogy egy fenyegetéselemzési platform segítségével pontos és időben értékeljék a riasztásokat.

Az elemzők jelentős mennyiségű időt töltenek az adatfelderítéssel, -gyűjtéssel és -elemzéssel, ahelyett, hogy arra összpontosítanak, hogy valójában mi segít a szervezetüknek megvédeni magukat – elemzéssel és korrelációval kinyerik a szereplőkre vonatkozó megállapításokat. Ezeknek az elemzőknek gyakran több adattárba kell menniük ahhoz, hogy megkapják a gyanús tartomány, gazdagép vagy IP-cím értékeléséhez szükséges kritikus adatkészleteket. A DNS-adatok, a WHOIS-információk, a kártevők és az SSL-tanúsítványok fontos kontextust biztosítanak a biztonsági rések (IOC-k) jelzéseihez, de ezek az adattárak széles körben el vannak osztva, és nem mindig osztanak meg közös adatstruktúrát.

Az adattárak ezen széles körű eloszlása megnehezíti az elemzők számára annak biztosítását, hogy minden olyan releváns adatuk legyen, amely a gyanús infrastruktúra megfelelő és időben történő értékeléséhez szükséges. Az adathalmazok használata is nehézkes lehet, és az adattárak közötti váltás időigényes, és kiüríti azoknak a biztonsági műveleti csoportoknak az erőforrásait, amelyeknek folyamatosan újra kell ismételniük a válaszlépéseiket.

A fenyegetésintelligencia-elemzők nehezen tudják kiegyensúlyozni a fenyegetésfelderítési adatbetöltést azzal az elemzéssel, hogy melyik fenyegetésfelderítés jelenti a legnagyobb fenyegetést a szervezetre és/vagy az iparágra nézve. A biztonságirés-intelligencia-elemzők ugyanakkor közös biztonsági résekkel és kitettségekkel (CVE) kapcsolatos információkkal korrelálják az eszközleltárukat a szervezetükhöz kapcsolódó legkritikusabb biztonsági rések vizsgálatának és elhárításának rangsorolása érdekében.

A Microsoft újragondolja az elemzői munkafolyamatot a Defender TI fejlesztésével, amely összesíti és gazdagítja a kritikus adatforrásokat, és egy innovatív, könnyen használható felületen jeleníti meg őket, ahol a felhasználók korrelálhatják a biztonsági rések mutatóit a kapcsolódó cikkekkel, aktorprofilokkal és biztonsági résekkel. A Defender TI azt is lehetővé teszi, hogy az elemzők együttműködjenek a Bérlőn belüli Defender TI-licenccel rendelkező felhasználókkal a vizsgálatok során.

Az alábbi képernyőképen a Defender TI Intel Explorer-oldala látható a Microsoft Defender portálon. Az elemzők gyorsan beolvashatják az új kiemelt cikkeket, és kulcsszavakat, mutatókat vagy CVE-azonosítókat kereshetnek, hogy megkezdhessék az intelligencia összegyűjtését, osztályozását, incidensmegoldását és veszélyforrás-keresését.

ti Áttekintés Kezdőlap Chrome képernyőképe.

Defender TI-cikkek

A cikkek olyan elbeszélések, amelyek betekintést nyújtanak a fenyegetések szereplőibe, eszközeibe, támadásaiba és biztonsági réseibe. A Defender TI-cikkek nem blogbejegyzések a fenyegetésfelderítésről; bár ezek a cikkek összefoglalják a különböző fenyegetéseket, a felhasználók beavatkozását segítő, végrehajtható tartalmakra és kulcsfontosságú IOC-kre is hivatkoznak. Ha ezek a technikai információk szerepelnek a fenyegetésösszegzőkben, a felhasználók folyamatosan nyomon követhetik a fenyegetési szereplőket, az eszközöket, a támadásokat és a biztonsági réseket, ahogy változnak.

Az Intel Explorer oldal Kiemelt cikkek szakasza (közvetlenül a keresősáv alatt) megjeleníti a figyelemre méltó Microsoft-tartalmak szalagcímképeit:

A TI kiemelt áttekintő cikkei

A kiemelt cikk szalagcímének kiválasztása betölti a teljes cikktartalmat. A cikk pillanatképe gyors áttekintést nyújt a cikkről. A Jelzők kitárcsázással látható, hogy hány nyilvános és Defender TI-mutató van társítva a cikkhez.

TI kiemelt áttekintő cikk

Cikkek

Az összes cikk (beleértve a kiemelt cikkeket is) a Legutóbbi cikkek szakaszban szerepel a közzététel dátuma szerint, a legfrissebbvel a tetején.

A TI áttekintő cikkei

A cikk Leírás szakasza információkat tartalmaz a profilkészítés alatt álló támadásról vagy fenyegetési szereplőről. A tartalom lehet rövid – például nyílt forráskódú intelligencia (OSINT) – vagy hosszú (hosszú formátumú jelentésekhez, különösen akkor, ha a Microsoft saját elemzéssel bővíti a jelentést). A hosszabb leírások tartalmazhatnak képeket, a mögöttes tartalomra mutató hivatkozásokat, a Defender TI-n belüli keresésekre mutató hivatkozásokat, a támadó kódrészleteit és a támadást blokkoló tűzfalszabályokat.

TI áttekintő cikk leírása

A Nyilvános mutatók szakasz a cikkhez kapcsolódó ismert mutatókat sorolja fel. Az ezekben a mutatókban található hivatkozások a megfelelő Defender TI-adatokra vagy külső forrásokra mutatnak.

TI áttekintő cikk nyilvános mutatói

A Defender TI mutatói szakasz azokat a mutatókat ismerteti, amelyeket a Defender TI saját kutatócsoportja talál a cikkekhez kapcsolódóan. Az ezekben a mutatókban található hivatkozások a megfelelő Defender TI-adatokhoz vagy külső forrásokhoz is elviszik.

Ezek a hivatkozások a megfelelő Defender TI-adatokra vagy a megfelelő külső forrásra is hatással vannak.

TI áttekintő cikk Defender TI-mutatói

Biztonsági résekkel kapcsolatos cikkek

A Defender TI CVE-azonosító kereséseket kínál a CVE-ről szóló kritikus információk azonosításához. A CVE-azonosító keresések biztonsági résekkel kapcsolatos cikkeket eredményeznek.

Minden biztonsági résről szóló cikk a következőket tartalmazza:

  • A CVE leírása
  • Az érintett összetevők listája
  • Testreszabott kockázatcsökkentési eljárások és stratégiák
  • Kapcsolódó intelligenciával kapcsolatos cikkek
  • Hivatkozások a mély és sötét webcsevegésben
  • Egyéb főbb megfigyelések

Ezek a cikkek mélyebb kontextust és gyakorlatban hasznosítható megállapításokat nyújtanak az egyes CVE-k mögött, így a felhasználók gyorsabban megérthetik és kezelhetik ezeket a biztonsági réseket.

A biztonsági résekkel kapcsolatos cikkek a Defender TI prioritási pontszámát és súlyossági mutatót is tartalmazzák. A Defender TI prioritási pontszáma egy egyedi algoritmus, amely tükrözi a CVE prioritását a gyakori sebezhetőségi pontozási rendszer (CVSS) pontszáma, a biztonsági rések kihasználása, a csevegés és a kártevőkhöz való kapcsolódás alapján. Kiértékeli ezeknek az összetevőknek a megfelelőségét, így ön is megértheti, hogy mely CVE-ket kell először kijavítani.

Hírnévpontozás

Az IP-hírnévre vonatkozó adatok fontosak a saját támadási felület megbízhatóságának megértéséhez, és akkor is hasznosak, ha ismeretlen gazdagépeket, tartományokat vagy IP-címeket mérnek fel, amelyek a vizsgálatok során megjelennek. A Defender TI minden gazdagéphez, tartományhoz vagy IP-címhez saját hírnévpontszámot biztosít. Akár egy ismert, akár ismeretlen entitás jó hírnevét ellenőrzi, ezek a pontszámok segítenek gyorsan megérteni a rosszindulatú vagy gyanús infrastruktúrával kapcsolatos észlelt problémákat.

Hírnév összegzése kártya

A Defender TI gyors információt nyújt ezen entitások tevékenységéről, például az első és utolsóként látott időbélyegekről, az autonóm rendszerszámról (ASN), az országról vagy régióról, a társított infrastruktúráról, valamint a hírnévpontszámot befolyásoló szabályok listájáról, ha vannak ilyenek.

További információ a hírnévpontozásról

Elemzői betekintések

Az elemzői megállapítások a Microsoft hatalmas adatkészletét néhány megfigyeléssé alakítják, amelyek leegyszerűsítik a vizsgálatot, és minden szinten könnyebben kezelhetővé teszik azokat az elemzők számára.

Az elemzések egy tartományra vagy IP-címre vonatkozó kis tények vagy megfigyelések. Ezekkel felmérheti a lekérdezett mutatót, és javíthatja annak a képességét, hogy megállapítsa, hogy egy vizsgált mutató rosszindulatú, gyanús vagy jóindulatú-e.

Összegző lap elemzői betekintések

További információ az elemzői megállapításokról

Adatkészletek

A Microsoft számos adatkészletet központosít a Defender TI-ben, így a Microsoft közössége és ügyfelei könnyebben végezhetnek infrastruktúra-elemzést. A Microsoft elsődleges célja, hogy a lehető legtöbb adatot adja meg az internetes infrastruktúráról a különböző biztonsági használati esetek támogatásához.

A Microsoft passzív tartománynévrendszerek (DNS) érzékelők, portszkennelések, URL-címek és fájlok detonációja és egyéb források használatával gyűjti, elemzi és indexeli az internetes adatokat, hogy segítse a felhasználókat a fenyegetések észlelésében, az incidensek rangsorolásában és a fenyegetési szereplők csoportjaihoz kapcsolódó infrastruktúra azonosításában. Az URL-keresésekkel automatikusan indíthat detonációkat, ha a kérés időpontjában nem érhetők el detonációs adatok egy URL-címhez. Az ilyen detonációkból gyűjtött adatokat arra használjuk, hogy öntől vagy bármely más Defender TI-felhasználótól származó, az adott URL-címre irányuló jövőbeli keresések eredményeit feltöltsük.

A támogatott internetes adathalmazok a következők:

  • Határozat
  • WHOIS
  • SSL-tanúsítványok
  • Aldomain
  • DNS
  • Fordított DNS
  • Detonációelemzés
  • A robbantott URL-címek dokumentumobjektum-modelljéből (DOM) gyűjtött származtatott adatkészletek, beleértve a következőket:
    • Nyomozó
    • Összetevők
    • Gazdagéppárok
    • Süti

Az összetevőket és a követőket az észlelési szabályok is megfigyelik, amelyek a portkeresések vagy AZ SSL-tanúsítvány részleteinek szalagcímre adott válaszai alapján aktiválódnak. Ezen adatkészletek közül számos különböző módszerrel rendezheti, szűrheti és töltheti le az adatokat, így könnyebben hozzáférhet azokhoz az információkhoz, amelyek egy adott mutatótípushoz vagy időponthoz tartozhatnak az előzményekben.

ti Áttekintő adatkészletek

További információ:

Címkék

A Defender TI-címkék gyors betekintést nyújtanak egy mutatóba, akár a rendszer, akár más felhasználók generálják. A címkék segítik az elemzőket abban, hogy összekapcsolják a jelenlegi incidensek és vizsgálatok közötti kapcsokat és azok előzményeit a jobb elemzés érdekében.

A Defender TI kétféle címkét kínál: rendszercímkéket és egyéni címkéket.

Egyéni címkék

További információ a címkék használatáról

Projektek

A Defender TI lehetővé teszi, hogy a felhasználók több projekttípust fejlesszenek ki az érdeklődésre számot tartó mutatók és a vizsgálatból származó biztonsági rések mutatóinak rendszerezéséhez. A projektek tartalmazzák az összes kapcsolódó mutató listáját, valamint egy részletes előzményt, amely megőrzi a neveket, a leírásokat és a közreműködőket.

Amikor a Defender TI-ben keres egy IP-címet, tartományt vagy gazdagépet, és ez a mutató egy olyan projektben szerepel, amelyhez hozzáféréssel rendelkezik, az Összegzés és adatok lap Projektek szakaszában láthatja a projektre mutató hivatkozást. Innen a projekt részleteihez navigálva további információt kaphat a mutatóval kapcsolatban, mielőtt további információért áttekintené a többi adatkészletet. Ezért elkerülheti egy olyan vizsgálat kerekének újragondolását, amelyet az egyik Defender TI-bérlő felhasználója már megkezdett. Ha valaki közreműködőként hozzáadja Önt egy projekthez, új IOC-k hozzáadásával is hozzáadhatja a vizsgálathoz.

A Defender TI áttekintő projektjei

További információ a projektek használatáról

Adatok tárolási helye, rendelkezésre állása és adatvédelme

A Defender TI globális és ügyfélspecifikus adatokat is tartalmaz. A mögöttes internetes adatok globális Microsoft-adatok; az ügyfelek által alkalmazott címkék ügyféladatoknak minősülnek. Minden ügyféladat az ügyfél által választott régióban van tárolva.

Biztonsági okokból a Microsoft a bejelentkezéskor gyűjti a felhasználók IP-címét. Ezek az adatok legfeljebb 30 napig tárolódnak, de szükség esetén hosszabb ideig is tárolhatók a termék lehetséges csalárd vagy rosszindulatú felhasználásának kivizsgálásához.

A régió leállása esetén az ügyfeleknek nem kell állásidőt tapasztalnia, mivel a Defender TI olyan technológiákat használ, amelyek adatokat replikálnak a biztonsági mentési régiókba.

A Defender TI ügyféladatokat dolgoz fel. Alapértelmezés szerint az ügyféladatok a párosított régióba lesznek replikálva.

Lásd még