Hva er Microsoft Defender trusselinformasjon (Defender TI)?

  • Artikkel

Microsoft Defender trusselinformasjon (Defender TI) er en plattform som effektiviserer triage, hendelsesrespons, trusseljakt, sårbarhetsstyring og arbeidsflyter for cybertrusselintelligens ved gjennomføring av analyse av trusselinfrastruktur og innsamling av trusselintelligens. Analytikere bruker mye tid på dataoppdagelse, innsamling og analyse, i stedet for å fokusere på hva som faktisk hjelper organisasjonen med å forsvare seg – utledende innsikt om aktørene gjennom analyse og korrelasjon.

Analytikere må ofte gå til flere repositorier for å få tak i de kritiske datasettene de trenger for å vurdere et mistenkelig domene, en vert eller en IP-adresse. DNS-data, WHOIS-informasjon, skadelig programvare og SSL-sertifikater gir viktig kontekst til indikatorer for kompromiss (IOCer), men disse repositoriene er bredt distribuert og deler ikke alltid en felles datastruktur, noe som gjør det vanskelig å sikre at analytikere har alle relevante data som trengs for å gjøre en riktig og rettidig vurdering av mistenkelig infrastruktur.

Samhandling med disse datasettene kan være tungvint, og pivotering mellom disse repositoriene er tidkrevende, og det å tømme ressursene til sikkerhetsoperasjonsgrupper som hele tiden trenger å prioritere responsarbeidet på nytt.

Cyber Threat Intelligence Analytikere sliter med å balansere en bredde av trusselintelligensinntak med analysen som trusselintelligens utgjør de største truslene mot organisasjonen og/eller industrien.

I samme bredde kjemper Vulnerability Intelligence Analysts i samsvar med deres aktivabeholdning med CVE-informasjon for å prioritere undersøkelsen og utbedringen av de mest kritiske sårbarhetene knyttet til organisasjonen.

Microsofts mål er å forestille seg analytikerarbeidsflyten på nytt ved å utvikle en plattform, Defender TI, som aggregerer og beriker kritiske datakilder og viser data i et innovativt, brukervennlig grensesnitt for å koordinere når indikatorer er knyttet til artikler og sårbarheter, infrastrukturkjeder sammen indikatorer for kompromiss (IOCer), og samarbeider om undersøkelser med andre Defender TI-lisensierte brukere i leieren. Det er viktig å ha en trusselanalyse-& etterretningsplattform som muliggjør nøyaktige og rettidige vurderinger av varslinger, med sikkerhetsorganisasjoner som utfører en stadig økende mengde intelligens og varsler i miljøet.

Nedenfor finner du et skjermbilde av Defender TIs hjemmeside for trusselintelligens. Analytikere kan raskt skanne nye utvalgte artikler samt begynne sin etterretningsinnsamling, triage, hendelsesrespons og jaktinnsats ved å utføre et nøkkelord, indikator eller CVE-ID-søk.

Skjermbilde av Ti-oversiktskant

Defender TI-artikler

Artikler er fortellinger fra Microsoft som gir innsikt i trusselaktører, verktøy, angrep og sårbarheter. Defender TI utvalgt og artikler er ikke blogginnlegg om trusselintelligens; mens de oppsummerer ulike trusler, kobler de også til handlingsbart innhold og viktige indikatorer for kompromiss for å hjelpe brukerne med å iverksette tiltak. Ved å inkludere denne tekniske informasjonen i trusselsammendragene, gjør vi det mulig for brukere å kontinuerlig spore trusselaktører, verktøy, angrep og sårbarheter etter hvert som de endrer seg.

Delen om anbefalt artikkel på hjemmesiden til Defender TI Threat Intelligence (rett under søkefeltet) viser deg det utvalgte Microsoft-innholdet:

Anbefalte artikler om TI-oversikt

Når du klikker artikkelen, kommer du til det underliggende artikkelinnholdet. Artikkelsynopsis gir brukeren en rask forståelse av artikkelen. Indikatorene viser hvor mange offentlige indikatorer og Defender TI-indikatorer som er knyttet til artikkelen.

Ti oversikt utvalgt artikkel

Artikler

Alle artikler (inkludert utvalgte artikler) er oppført under avsnittet Microsoft Defender artikler om ti trusselintelligens på hjemmesiden, sortert etter opprettelsesdato (synkende):

Ti oversiktsartikler

Artikkelbeskrivelser

Beskrivelsesdelen av detaljskjermen for artikkelen inneholder informasjon om angrepet eller angriperen som er profilert. Innholdet kan variere fra svært kort (når det gjelder OSINT-bulletiner) eller ganske lang (for rapportering i lang form – spesielt når Microsoft har utvidet rapporten med innhold). De lengre beskrivelsene kan inneholde bilder, koblinger til det underliggende innholdet, koblinger til søk i Defender TI, kodesnutter for angripere og brannmurregler for å blokkere angrepet:

Beskrivelse av ti-oversiktsartikkel

Offentlige indikatorer

Delen med offentlige indikatorer på skjermen viser de tidligere publiserte indikatorene som er relatert til artikkelen. Koblingene i de offentlige indikatorene tar én til de underliggende Defender TI-dataene eller relevante eksterne kilder.

Offentlige indikatorer for TI-oversiktsartikkel

Defender TI-indikatorer

Indikatordelen for Defender TI dekker indikatorene som Defender Tis forskningsteam har funnet og lagt til i artiklene.

Disse koblingene dreier seg også om relevante Defender TI-data eller den tilsvarende eksterne kilden.

Ti oversikt artikkel Defender TI indikatorer

Artikler om sikkerhetsproblemer

Defender TI tilbyr CVE-ID-søk for å hjelpe brukere med å identifisere kritisk informasjon om CVE. CVE-ID-søk resulterer i artikler om sikkerhetsproblemer.

Sikkerhetsartikler gir viktig kontekst bak CVE-er av interesse. Hver artikkel inneholder en beskrivelse av CVE, en liste over berørte komponenter, skreddersydde utbedringsprosedyrer og strategier, relaterte etterretningsartikler, referanser i Deep & Dark Web chatter og andre viktige observasjoner. Disse artiklene gir dypere kontekst og handlingsvennlig innsikt bak hver CVE, slik at brukerne raskere kan forstå disse sikkerhetsproblemene og redusere dem raskt.

Artikler om sikkerhetsproblemer inkluderer også en indikator for defender TI-prioritetspoengsum og alvorlighetsgrad. Defender TI Priority Score er en unik algoritme som gjenspeiler prioriteten til en CVE basert på CVSS-poengsum, utnyttelser, chatter og kobling til skadelig programvare. I tillegg evaluerer defender TI prioritetspoengsummen recency av disse komponentene slik at brukerne kan forstå hvilke CVE-er som bør utbedres først.

Omdømmepoeng

Defender TI gir rettighetsbeskyttede omdømmeresultater for alle verter, domener eller IP-adresser. Hvis du validerer omdømmet til en kjent eller ukjent enhet, hjelper denne poengsummen brukerne raskt med å forstå eventuelle oppdagede bånd til skadelig eller mistenkelig infrastruktur. Plattformen gir rask informasjon om aktiviteten til disse enhetene, for eksempel tidsstempler for første og siste sett, ASN, land/område, tilknyttet infrastruktur og en liste over regler som påvirker omdømmepoengsummen når det er aktuelt.

Kort for omdømmesammendrag

Data om IP-omdømme er viktig for å forstå påliteligheten til din egen angrepsoverflate og er også nyttig når du vurderer ukjente verter, domener eller IP-adresser som vises i undersøkelser. Disse resultatene vil avdekke eventuell tidligere skadelig eller mistenkelig aktivitet som påvirket enheten, eller andre kjente indikatorer for kompromiss som bør vurderes.

Hvis du vil ha mer informasjon, kan du se Omdømmepoengvurdering.

Analytikerinnsikt

Analytikerinnsikt destillerer Microsofts enorme datasett til en håndfull observasjoner som forenkler undersøkelsen og gjør den mer imøtekommende for analytikere på alle nivåer.

Innsikt er ment å være små fakta eller observasjoner om et domene eller en IP-adresse og gi Defender TI-brukere muligheten til å foreta en vurdering om indikatoren som spørres, og forbedre en brukers evne til å avgjøre om en indikator som undersøkes, er ondsinnet, mistenkelig eller godartet.

Hvis du vil ha mer informasjon, kan du se Analytikerinnsikt.

Innsikt i sammendragsfaneanalytiker

Datasett

Microsoft sentraliserer en rekke datasett i én enkelt plattform, Defender TI, noe som gjør det enklere for Microsofts fellesskap og kunder å utføre infrastrukturanalyser. Microsofts hovedfokus er å levere så mye data som mulig om Internett-infrastruktur for å støtte en rekke tilfeller av sikkerhetsbruk.

Microsoft samler inn, analyserer og indekserer Internett-data via passive DNS-sensorer, portskanning, nettadresse og fildetonasjon og andre kilder for å hjelpe brukere med å oppdage trusler, prioritere hendelser og identifisere infrastruktur knyttet til trusselaktørgrupper. Brukernes nettadressesøk kan brukes til automatisk å starte detonasjoner hvis det ikke finnes noen tilgjengelige detonasjonsdata for en nettadresse på tidspunktet for forespørselen. Dataene som samles inn fra slike detonasjoner, brukes til å fylle ut resultater for fremtidige søk etter nettadressen fra brukeren som sendte inn det opprinnelige søket eller andre brukere av plattformen.

Støttede Internett-datasett inkluderer oppløsninger, WHOIS, SSL-sertifikater, underdomener, DNS, omvendt DNS og detonasjonsanalyse, samt avledede datasett samlet inn fra Document Object Model (DOM) av detonerte nettadresser, inkludert trackere, komponenter, vertspar og informasjonskapsler. I tillegg blir komponenter og sporinger også observert fra gjenkjenningsregler som utløses basert på bannersvar fra portskanninger eller SSL-sertifikatdetaljer. Mange av disse datasettene har ulike metoder for å sortere, filtrere og laste ned data, noe som gjør det enklere å få tilgang til informasjon som kan være knyttet til en bestemt indikatortype eller tid i loggen.

Hvis du vil ha mer informasjon, kan du se:

ti Oversiktsdatasett

Tags

Defender TI-koder brukes til å gi rask innsikt om en indikator, enten avledet av systemet eller generert av andre brukere. Merker hjelpeanalytikere med å koble sammen prikkene mellom aktuelle hendelser og undersøkelser og deres historiske kontekst for forbedret analyse.

Defender TI-plattformen tilbyr to typer koder: systemkoder og egendefinerte koder.

Hvis du vil ha mer informasjon, kan du se Bruke koder.

Egendefinerte koder

Prosjekter

Microsoft Defender TI-plattformen gjør det mulig for brukere å utvikle flere prosjekttyper for å organisere indikatorer for interesse og indikatorer på kompromiss fra en undersøkelse. Prosjekter inneholder en liste over alle tilknyttede indikatorer og en detaljert logg som beholder navnene, beskrivelsene og samarbeidspartnerne.

Når en bruker søker etter en IP-adresse, et domene eller en vert i Defender TI, kan brukeren se en kobling til prosjektet fra Prosjekter-inndelingene i Sammendrag-fanen i tillegg til Data-fanen hvis denne indikatoren er oppført i et prosjekt som brukeren har tilgang til. Herfra kan brukeren navigere til detaljene i prosjektet for mer kontekst om indikatoren før de andre datasettene gjennomgås for mer informasjon. Dette hjelper analytikere til å unngå å gjenoppfinne hjulet i en undersøkelse en av deres Defender TI leierbrukere kan allerede ha startet eller lagt til i denne undersøkelsen ved å legge til nye indikatorer (indikatorer for kompromiss) knyttet til dette prosjektet (hvis de har blitt lagt til som en samarbeidspartner til prosjektet).

Hvis du vil ha mer informasjon, kan du se Bruke prosjekter.

Oversiktsprosjekter for Defender TI

Datalagring, tilgjengelighet og personvern

Microsoft Defender trusselinformasjon inneholder både globale data og kundespesifikke data. De underliggende Internett-dataene er globale Microsoft-data. etiketter som brukes av kunder, regnes som kundedata. Alle kundedata lagres i området kunden velger.

Av sikkerhetshensyn samler Microsoft inn brukernes IP-adresser når de logger på. Disse dataene lagres i opptil 30 dager, men kan lagres lenger om nødvendig for å undersøke potensiell uredelig eller ondsinnet bruk av produktet.

Når det gjelder et scenario for å redusere området, skal kundene ikke se nedetid, da Defender TI bruker teknologier som replikerer data til et sikkerhetskopiområde.

Defender TI behandler kundedata. Kundedata replikeres som standard til det parvise området.

Neste trinn

Hvis du vil ha mer informasjon, kan du se: