Microsoft Defender 위협 인텔리전스(Defender TI)란?

defender TI(Microsoft Defender 위협 인텔리전스)는 위협 인프라 분석을 수행하고 위협 인텔리전스를 수집할 때 심사, 인시던트 대응, 위협 헌팅, 취약성 관리 및 위협 인텔리전스 분석가 워크플로를 간소화하는 플랫폼입니다. 보안 조직이 환경 내에서 점점 더 많은 양의 인텔리전스 및 경고를 실행하므로 위협 분석을 통해 경고에 대한 정확하고 시기 적절한 평가를 허용하는 인텔리전스 플랫폼을 사용하는 것이 중요합니다.

분석가는 분석 및 상관 관계를 통해 작업자에 대한 인사이트를 도출하는 organization 실제로 자신을 방어하는 데 도움이 되는 것에 초점을 맞추는 대신 데이터 검색, 수집 및 구문 분석에 상당한 시간을 보냅니다. 종종 이러한 분석가는 의심스러운 도메인, 호스트 또는 IP 주소를 평가하는 데 필요한 중요한 데이터 집합을 얻기 위해 여러 리포지토리로 이동해야 합니다. DNS 데이터, WHOIS 정보, 맬웨어 및 SSL 인증서는 IOC(손상 지표)에 중요한 컨텍스트를 제공하지만 이러한 리포지토리는 널리 분산되며 항상 공통 데이터 구조를 공유하지는 않습니다.

이렇게 광범위한 리포지토리를 배포하면 분석가가 의심스러운 인프라에 대한 적절하고 시기 적절한 평가를 수행하는 데 필요한 모든 관련 데이터가 있는지 확인하기가 어렵습니다. 이러한 데이터 집합과 상호 작용하는 것도 번거로울 수 있으며, 이러한 리포지토리 간에 피벗하는 것은 시간이 오래 걸리며 응답 작업의 우선 순위를 지속적으로 다시 지정해야 하는 보안 작업 그룹의 리소스를 소모합니다.

위협 인텔리전스 분석가는 위협 인텔리전스가 organization 및/또는 업계에 가장 큰 위협이 되는 분석과 광범위한 위협 인텔리전스 수집의 균형을 맞추는 데 어려움을 겪고 있습니다. 동일한 범위에서 취약성 인텔리전스 분석가는 자산 인벤토리를 CVE(Common Vulnerabilities and Exposures) 정보와 상호 연결하여 organization 관련된 가장 중요한 취약성에 대한 조사 및 수정의 우선 순위를 지정합니다.

Microsoft는 중요한 데이터 원본을 집계 및 보강하고 사용자가 IOC(손상 지표)와 관련 문서, 행위자 프로필 및 취약성을 상호 연결할 수 있는 혁신적이고 사용하기 쉬운 인터페이스에 표시하는 Defender TI를 개발하여 분석가 워크플로를 다시 상상합니다. 또한 Defender TI를 사용하면 분석가가 조사에 대해 테넌트 내에서 동료 Defender TI 라이선스 사용자와 협업할 수 있습니다.

다음은 Microsoft Defender 포털에 있는 Defender TI의 Intel 탐색기 페이지 스크린샷입니다. 분석가는 새로운 주요 문서를 신속하게 검색하고 키워드(keyword), 지표 또는 CVE ID 검색을 수행하여 인텔리전스 수집, 심사, 인시던트 대응 및 헌팅 작업을 시작할 수 있습니다.

Defender TI 기사

문서는 위협 행위자, 도구, 공격 및 취약성에 대한 인사이트를 제공하는 설명입니다. Defender TI 문서는 위협 인텔리전스에 대한 블로그 게시물이 아닙니다. 이러한 문서에서는 다양한 위협을 요약하지만 사용자가 조치를 취할 수 있도록 실행 가능한 콘텐츠 및 주요 IOC에 연결됩니다. 위협 요약에 이 기술 정보를 사용하면 사용자가 변경되는 위협 행위자, 도구, 공격 및 취약성을 지속적으로 추적할 수 있습니다.

추천 문서

Intel 탐색기 페이지의 추천 문서 섹션(검색 창 바로 아래)에는 주목할 만한 Microsoft 콘텐츠의 배너 이미지가 표시됩니다.

추천 아티클 배너를 선택하면 전체 아티클 콘텐츠가 로드됩니다. 문서의 스냅샷 은 문서를 빠르게 이해할 수 있게 해줍니다. 표시기 콜아웃은 문서와 연결된 공용 및 Defender TI 표시기 수를 보여 줍니다.

기사

모든 문서(추천 문서 포함)는 게시 날짜에 따라 최근 문서 섹션에 나열되며, 가장 최근 문서가 맨 위에 표시됩니다.

문서의 설명 섹션에는 프로파일된 공격 또는 위협 행위자 관련 정보가 포함되어 있습니다. 콘텐츠는 OSINT(오픈 소스 인텔리전스) 게시판과 같이 짧거나 길거나 길 수 있습니다(특히 Microsoft가 자체 분석으로 보고서를 보강하는 경우 긴 형식 보고의 경우). 더 긴 설명에는 이미지, 기본 콘텐츠에 대한 링크, Defender TI 내 검색 링크, 공격자 코드 조각 및 공격을 차단하는 방화벽 규칙이 포함될 수 있습니다.

공개 표시기 섹션에는 문서와 관련된 알려진 지표가 나열됩니다. 이러한 지표의 링크는 관련 Defender TI 데이터 또는 외부 원본으로 연결됩니다.

Defender TI 표시기 섹션에서는 Defender TI의 자체 연구 팀이 문서와 관련하여 발견한 지표를 다룹니다. 이러한 지표의 링크는 관련 Defender TI 데이터 또는 외부 원본으로도 연결됩니다.

이러한 링크는 관련 Defender TI 데이터 또는 해당 외부 소스로도 연결됩니다.

취약성 문서

Defender TI는 CVE에 대한 중요한 정보를 식별하는 데 도움이 되는 CVE ID 검색을 제공합니다. CVE ID 검색은 취약성 문서를 생성합니다.

각 취약성 문서에는 다음이 포함됩니다.

• CVE에 대한 설명
• 영향을 받는 구성 요소 목록
• 맞춤형 완화 절차 및 전략
• 관련 인텔리전스 문서
• 깊고 어두운 웹 대화의 참조
• 기타 주요 관찰

이러한 문서는 각 CVE 뒤에 더 심층적인 컨텍스트와 실행 가능한 인사이트를 제공하여 사용자가 이러한 취약성을 더 빨리 이해하고 완화할 수 있도록 합니다.

취약성 문서에는 Defender TI 우선 순위 점수 및 심각도 지표도 포함됩니다. Defender TI 우선 순위 점수는 CVSS(Common Vulnerability Scoring System) 점수, 악용, 대화 및 맬웨어에 대한 연결을 기반으로 CVE의 우선 순위를 반영하는 고유한 알고리즘입니다. 먼저 수정해야 하는 CVE를 이해할 수 있도록 이러한 구성 요소의 재진입을 평가합니다.

신뢰도 점수 매기기

IP 평판 데이터는 자체 공격 표면의 신뢰성을 이해하는 데 중요하며 조사에 표시되는 알 수 없는 호스트, 도메인 또는 IP 주소를 평가할 때도 유용합니다. Defender TI는 호스트, 도메인 또는 IP 주소에 대한 독점 평판 점수를 제공합니다. 알려진 엔터티 또는 알 수 없는 엔터티의 평판을 확인하든, 이러한 점수는 악의적이거나 의심스러운 인프라와의 검색된 관계를 빠르게 이해하는 데 도움이 됩니다.

Defender TI는 첫 번째 및 마지막으로 본 타임스탬프, ASN(자치 시스템 번호), 국가 또는 지역, 관련 인프라 및 평판 점수에 영향을 주는 규칙 목록과 같은 이러한 엔터티의 활동에 대한 빠른 정보를 제공합니다.

평판 점수 매기기 자세히 알아보기

분석가 인사이트

분석가 인사이트는 Microsoft의 방대한 데이터 집합을 조사를 간소화하고 모든 수준의 분석가에게 더 쉽게 접근할 수 있도록 하는 소수의 관찰로 증류합니다.

인사이트는 도메인 또는 IP 주소에 대한 작은 사실 또는 관찰을 의미합니다. 쿼리된 지표를 평가하고 조사 중인 지표가 악의적이거나 의심스럽거나 양성인지 확인하는 기능을 향상시킬 수 있습니다.

분석가 인사이트에 대해 자세히 알아보기

데이터 집합

Microsoft는 다양한 데이터 세트를 Defender TI로 중앙 집중화하여 Microsoft 커뮤니티와 고객이 인프라 분석을 더 쉽게 수행할 수 있도록 합니다. Microsoft의 주요 초점은 다양한 보안 사용 사례를 지원하기 위해 인터넷 인프라에 대해 가능한 한 많은 데이터를 제공하는 것입니다.

Microsoft는 수동 DNS(도메인 이름 시스템) 센서, 포트 검사, URL 및 파일 폭발 및 기타 원본을 사용하여 인터넷 데이터를 수집, 분석 및 인덱싱하여 사용자가 위협을 감지하고, 인시던트 우선 순위를 지정하고, 위협 행위자 그룹과 연결된 인프라를 식별할 수 있도록 지원합니다. 요청 시 URL에 사용할 수 있는 폭발 데이터가 없는 경우 URL 검색을 사용하여 자동으로 폭발을 시작할 수 있습니다. 이러한 폭발에서 수집된 데이터는 사용자 또는 다른 Defender TI 사용자로부터 해당 URL에 대한 향후 검색 결과를 채우는 데 사용됩니다.

지원되는 인터넷 데이터 세트는 다음과 같습니다.

• 해결 방법:
• Whois
• SSL 인증서
• 하위 도메인
• DNS
• 역방향 DNS
• 폭발 분석
• 다음을 포함하여 폭발된 URL의 DOM(문서 개체 모델)에서 수집된 파생 데이터 집합
  • 추적기
  • 구성 요소
  • 호스트 쌍
  • 쿠키

구성 요소 및 추적기는 포트 검색 또는 SSL 인증서 세부 정보의 배너 응답에 따라 트리거되는 검색 규칙에서도 관찰됩니다. 이러한 데이터 집합에는 데이터를 정렬, 필터링 및 다운로드하는 다양한 메서드가 있으므로 기록의 특정 표시기 유형 또는 시간과 연결될 수 있는 정보에 더 쉽게 액세스할 수 있습니다.

자세한 정보:

• 데이터 정렬, 필터링, 다운로드
• 데이터 집합

태그

Defender TI 태그는 시스템에서 파생되거나 다른 사용자가 생성한 지표에 대한 빠른 인사이트를 제공합니다. 태그는 분석가가 현재 사건과 조사, 그리고 향상된 분석을 위해 과거 상황을 연결하는 데 도움이 됩니다.

Defender TI는 시스템 태그와 사용자 지정 태그라는 두 가지 유형의 태그를 제공합니다.

태그 사용에 대해 자세히 알아보기

프로젝트

Defender TI를 사용하면 사용자가 관심 지표와 조사로부터의 손상 지표를 구성하기 위한 여러 프로젝트 유형을 개발할 수 있습니다. 프로젝트에 는 모든 관련 표시기 목록과 이름, 설명 및 협력자를 유지하는 자세한 기록이 포함됩니다.

Defender TI에서 IP 주소, 도메인 또는 호스트를 검색할 때 해당 표시기가 액세스할 수 있는 프로젝트 내에 나열된 경우 Intel 프로젝트 페이지의 요약 및 데이터 탭에서 프로젝트 링크를 볼 수 있습니다. 여기에서 다른 데이터 세트를 검토하기 전에 지표에 대한 자세한 컨텍스트를 보려면 프로젝트의 세부 정보로 이동하여 자세한 내용을 확인할 수 있습니다. 따라서 Defender TI 테넌트 사용자 중 한 명이 이미 시작했을 수 있는 조사 휠을 재창조하지 않도록 할 수 있습니다. 누군가가 사용자를 프로젝트에 공동 작업자로 추가하는 경우 새 IOC를 추가하여 해당 조사에 추가할 수도 있습니다.

프로젝트 사용에 대해 자세히 알아보기

데이터 상주, 가용성 및 개인 정보 보호

Defender TI에는 글로벌 데이터와 고객별 데이터가 모두 포함됩니다. 기본 인터넷 데이터는 글로벌 Microsoft 데이터입니다. 고객이 적용한 레이블은 고객 데이터로 간주됩니다. 모든 고객 데이터는 고객이 선택한 지역에 저장됩니다.

보안을 위해 Microsoft는 로그인할 때 사용자의 IP 주소를 수집합니다. 이 데이터는 최대 30일 동안 저장되지만 제품의 잠재적 사기성 또는 악의적인 사용을 조사하는 데 필요한 경우 더 오래 저장될 수 있습니다.

지역 다운 시나리오에서는 Defender TI가 백업 지역에 데이터를 복제하는 기술을 사용하므로 고객에게 가동 중지 시간이 표시되지 않아야 합니다.

Defender TI는 고객 데이터를 처리합니다. 기본적으로 고객 데이터는 페어링된 지역에 복제됩니다.

참고 항목

• 빠른 시작: Microsoft Defender 위협 인텔리전스 액세스하고 사용자 지정을 만드는 방법 알아보기
• 데이터 집합
• 검색 및 피벗
• 데이터 정렬, 필터링, 다운로드
• 인프라 연결
• 신뢰도 점수 매기기
• 분석가 인사이트
• 프로젝트 사용
• 태그 사용