Che cos'è Threat Intelligence di Microsoft Defender (Defender TI)?

Microsoft Defender Threat Intelligence (Defender TI) è una piattaforma che semplifica la valutazione, la risposta agli eventi imprevisti, la ricerca delle minacce, la gestione delle vulnerabilità e i flussi di lavoro degli analisti di intelligence sulle minacce informatiche quando si esegue l'analisi dell'infrastruttura delle minacce e si raccolgono informazioni sulle minacce. Gli analisti dedicano molto tempo all'individuazione, alla raccolta e all'analisi dei dati, anziché concentrarsi su ciò che aiuta effettivamente la propria organizzazione a difendersi, derivando informazioni dettagliate sugli attori tramite analisi e correlazione.

Spesso, gli analisti devono accedere a più repository per ottenere i set di dati critici necessari per valutare un dominio, un host o un indirizzo IP sospetto. I dati DNS, le informazioni WHOIS, il malware e i certificati SSL forniscono un contesto importante per gli indicatori di compromissione, ma questi repository sono ampiamente distribuiti e non sempre condividono una struttura di dati comune, rendendo difficile assicurarsi che gli analisti dispongano di tutti i dati pertinenti necessari per eseguire una valutazione corretta e tempestiva dell'infrastruttura sospetta.

L'interazione con questi set di dati può essere complessa e l'interazione tra questi repository richiede molto tempo, svuotando le risorse dei gruppi di operazioni di sicurezza che necessitano costantemente di assegnare nuovamente priorità alle loro attività di risposta.

Gli analisti di Cyber Threat Intelligence hanno difficoltà a bilanciare un'ampia gamma di inserimento di intelligence sulle minacce con l'analisi di cui l'intelligence per le minacce rappresenta le minacce più grandi per l'organizzazione e/o il settore.

Nella stessa ampiezza, gli analisti di Intelligence sulla vulnerabilità si battono per correlare l'inventario degli asset con le informazioni CVE per classificare in ordine di priorità l'indagine e la correzione delle vulnerabilità più critiche associate all'organizzazione.

L'obiettivo di Microsoft’è quello di ricreare il flusso di lavoro degli analisti sviluppando una piattaforma, Defender TI, che aggrega e arricchisce le origini dati critiche e visualizza i dati in un'interfaccia innovativa e facile da usare per correlare quando gli indicatori sono collegati ad articoli e vulnerabilità, concatenare l'infrastruttura tra gli indicatori di compromissione e collaborare alle indagini con altri utenti con licenza defender TI all'interno del tenant. Con le organizzazioni di sicurezza che operano su una quantità sempre crescente di intelligence e avvisi all'interno del proprio ambiente, è importante avere una piattaforma di analisi delle minacce e intelligence che consenta valutazioni accurate e tempestive degli avvisi.

Di seguito è riportato uno screenshot della home page di Intelligence sulle minacce di Defender TI’. Gli analisti possono analizzare rapidamente i nuovi articoli in primo piano e iniziare la raccolta, la valutazione, la risposta agli eventi imprevisti e le attività di ricerca eseguendo una ricerca con parola chiave, indicatore o CVE-ID.

TI Overview Edge Screenshot

Articoli di Defender TI

Gli articoli sono narrazioni di Microsoft che forniscono informazioni dettagliate su attori di minacce, strumenti, attacchi e vulnerabilità. Gli articoli e le funzionalità di Defender TI non sono post di blog sull'intelligence sulle minacce; mentre riepilogano le diverse minacce, si collegano anche a contenuto di utilità pratica e indicatori chiave di compromissione per aiutare gli utenti ad agire. Includendo queste informazioni tecniche nei riepiloghi delle minacce, gli utenti possono tenere traccia continuamente degli attori delle minacce, degli strumenti, degli attacchi e delle vulnerabilità man mano che cambiano.

La sezione dell'articolo in primo piano della home page di Defender TI Threat Intelligence (direttamente sotto la barra di ricerca) mostra il contenuto Microsoft in primo piano:

Articoli in primo piano sulla panoramica di TI

Facendo clic sull'articolo si passa al contenuto dell'articolo sottostante. Il riepilogo dell'articolo offre all'utente una rapida comprensione dell'articolo. La call-out Degli indicatori mostra il numero di indicatori TI pubblici e Defender associati all'articolo.

Articolo in primo piano sulla panoramica di TI

Articoli

Tutti gli articoli (inclusi gli articoli in primo piano) sono elencati nella sezione degli articoli della home page di Microsoft Defender TI Threat Intelligence, ordinati in base alla data di creazione (decrescente):

Articoli di panoramica di TI

Descrizioni degli articoli

La sezione della descrizione della schermata dei dettagli dell'articolo contiene informazioni sull'attacco o sull'utente malintenzionato profilato. Il contenuto può variare da molto breve (nel caso di bollettini OSINT) o piuttosto lungo (per la creazione di report – in formato lungo, soprattutto quando Microsoft ha aumentato il report con il contenuto). Le descrizioni più lunghe possono contenere immagini, collegamenti al contenuto sottostante, collegamenti a ricerche all'interno di Defender TI, frammenti di codice malintenzionati e regole del firewall per bloccare l'attacco:

Descrizione dell'articolo panoramica TI

Indicatori pubblici

La sezione indicatori pubblici della schermata mostra gli indicatori pubblicati in precedenza correlati all'articolo. I collegamenti negli indicatori pubblici accettano uno dei dati di Defender TI sottostanti o delle origini esterne pertinenti.

Panoramica di TI Articolo Indicatori pubblici

Indicatori TI di Defender

La sezione degli indicatori di Defender TI illustra gli indicatori trovati e aggiunti dal team di ricerca di Defender TI agli articoli.

Questi collegamenti si trasformano anche nei dati di Defender TI pertinenti o nell'origine esterna corrispondente.

Panoramica TI - Indicatori TI di Defender

Articoli sulla vulnerabilità

Defender TI offre ricerche CVE-ID per aiutare gli utenti a identificare le informazioni critiche su CVE. Le ricerche con ID CVE generano articoli sulla vulnerabilità.

Gli articoli sulla vulnerabilità forniscono un contesto chiave dietro le CVE di interesse. Ogni articolo contiene una descrizione della CVE, un elenco di componenti interessati, procedure e strategie di mitigazione personalizzate, articoli di intelligence correlati, riferimenti in Deep & Chatter Dark Web e altre osservazioni chiave. Questi articoli forniscono un contesto più approfondito e informazioni dettagliate di utilità pratica dietro ogni CVE, consentendo agli utenti di comprendere più rapidamente queste vulnerabilità e attenuarle rapidamente.

Gli articoli sulla vulnerabilità includono anche un punteggio di priorità e un indicatore di gravità di Defender TI. Defender TI Priority Score è un algoritmo univoco che riflette la priorità di un CVE in base al punteggio CVSS, agli exploit, al chatter e al collegamento al malware. Inoltre, defender TI Priority Score valuta la recency di questi componenti in modo che gli utenti possano comprendere quali CVE devono essere corretti per primi.

Punteggio della reputazione

Defender TI fornisce punteggi di reputazione proprietari per qualsiasi host, dominio o indirizzo IP. Se si convalida la reputazione di un'entità nota o sconosciuta, questo punteggio consente agli utenti di comprendere rapidamente eventuali collegamenti rilevati a un'infrastruttura dannosa o sospetta. La piattaforma fornisce informazioni rapide sull'attività di queste entità, ad esempio timestamp first e last seen, ASN, paese/area geografica, infrastruttura associata e un elenco di regole che influiscono sul punteggio di reputazione, se applicabile.

Scheda di riepilogo reputazione

I dati della reputazione IP sono importanti per comprendere l'attendibilità della propria superficie di attacco ed è utile anche per la valutazione di host, domini o indirizzi IP sconosciuti visualizzati nelle indagini. Questi punteggi indicheranno eventuali attività dannose o sospette precedenti che hanno influito sull'entità o altri indicatori noti di compromissione che devono essere considerati.

Per altre informazioni, vedere Assegnazione dei punteggi alla reputazione.

Insights degli analisti

Le informazioni dettagliate degli analisti trasformano l'ampio set di dati di Microsoft in una serie di osservazioni che semplificano l'indagine e la rendono più accessibili agli analisti di tutti i livelli.

Le informazioni dettagliate sono concepite per essere piccoli fatti o osservazioni su un dominio o un indirizzo IP e offrono agli utenti di Defender TI la possibilità di effettuare una valutazione sull'indicatore sottoposto a query e migliorare la capacità di un utente di determinare se un indicatore indagato è dannoso, sospetto o non dannoso.

Per altre informazioni, vedere Informazioni dettagliate sugli analisti.

Informazioni dettagliate dell'analista della scheda Riepilogo

Set di dati

Microsoft centralizza numerosi set di dati in un'unica piattaforma, Defender TI, semplificando la gestione dell'analisi dell'infrastruttura da parte della community e dei clienti Microsoft. L'obiettivo principale di Microsoft è fornire il maggior numero possibile di dati sull'infrastruttura Internet per supportare un'ampia gamma di casi d'uso della sicurezza.

Microsoft raccoglie, analizza e indicizza i dati Internet tramite sensori DNS passivi, analisi delle porte, detonazione di URL e file e altre origini per aiutare gli utenti a rilevare le minacce, assegnare priorità agli eventi imprevisti e identificare l'infrastruttura associata ai gruppi di attori delle minacce. Le ricerche URL degli utenti possono essere usate per avviare automaticamente le detonazioni se non sono disponibili dati di detonazione per un URL al momento della richiesta. I dati raccolti da tali detonazioni vengono usati per popolare i risultati per eventuali ricerche future per tale URL da parte dell'utente che ha inviato la ricerca originale o di qualsiasi altro utente della piattaforma.

I set di dati Internet supportati includono risoluzioni, WHOIS, certificati SSL, sottodomini, DNS, DNS inverso e analisi della detonazione, nonché set di dati derivati raccolti dal DOM (Document Object Model) di URL detonati, tra cui tracker, componenti, coppie host e cookie. Inoltre, i componenti e i tracker vengono osservati anche dalle regole di rilevamento attivate in base alle risposte del banner dalle analisi delle porte o dai dettagli del certificato SSL. Molti di questi set di dati hanno vari metodi per ordinare, filtrare e scaricare i dati, semplificando l'accesso alle informazioni che possono essere associate a un tipo di indicatore o a un tempo specifico nella cronologia.

Per altre informazioni, vedere:

set di dati di panoramica ti

Tag

I tag TI di Defender vengono usati per fornire informazioni rapide su un indicatore, derivato dal sistema o generato da altri utenti. I tag consentono agli analisti di connettere i punti tra gli eventi imprevisti e le indagini correnti e il relativo contesto cronologico per migliorare l'analisi.

La piattaforma Defender TI offre due tipi di tag: tag di sistema e tag personalizzati.

Per altre informazioni, vedere Uso dei tag.

Tag personalizzati

Progetti

Microsoft Defender piattaforma TI consente agli utenti di sviluppare più tipi di progetto per organizzare indicatori di interesse e indicatori di compromissione da un'indagine. I progetti contengono un elenco di tutti gli indicatori associati e una cronologia dettagliata che conserva i nomi, le descrizioni e i collaboratori.

Quando un utente cerca un indirizzo IP, un dominio o un host in Defender TI, se tale indicatore è elencato all'interno di un progetto a cui l'utente ha accesso, l'utente può visualizzare un collegamento al progetto dalle sezioni Progetti nella scheda Riepilogo e nella scheda Dati. Da qui, l'utente può passare ai dettagli del progetto per ottenere più contesto sull'indicatore prima di esaminare gli altri set di dati per altre informazioni. Ciò consente agli analisti di evitare di reinventare la ruota di un'indagine che uno degli utenti del tenant di Defender TI potrebbe aver già avviato o aggiungere a tale indagine aggiungendo nuovi indicatori (indicatori di compromissione) correlati a tale progetto (se sono stati aggiunti come collaboratore al progetto).

Per altre informazioni, vedere Uso di progetti.

Progetti di panoramica di Defender TI

Residenza, disponibilità e privacy dei dati

Microsoft Defender Threat Intelligence contiene sia dati globali che dati specifici del cliente. I dati Internet sottostanti sono dati Microsoft globali; le etichette applicate dai clienti sono considerate dati dei clienti. Tutti i dati dei clienti vengono archiviati nell'area scelta dal cliente.

Per motivi di sicurezza, Microsoft raccoglie gli indirizzi IP degli utenti quando accedono. Questi dati vengono archiviati per un massimo di 30 giorni, ma possono essere archiviati più a lungo se necessario per indagare su un potenziale uso fraudolento o dannoso del prodotto.

Nel caso di uno scenario di inattività di un'area, i clienti non dovrebbero visualizzare tempi di inattività perché Defender TI usa tecnologie che replicano i dati in aree di backup.

Defender TI elabora i dati dei clienti. Per impostazione predefinita, i dati dei clienti vengono replicati nell'area abbinata.

Passaggi successivi

Per ulteriori informazioni, vedere: