Что такое Аналитика угроз Microsoft Defender (Defender TI)?
Аналитика угроз Microsoft Defender (Defender TI) — это платформа, которая упрощает рассмотрение, реагирование на инциденты, охоту на угрозы, управление уязвимостями и рабочие процессы аналитики киберугроз при анализе инфраструктуры угроз и сборе аналитики угроз. Аналитики тратят значительное количество времени на обнаружение, сбор и анализ данных вместо того, чтобы сосредоточиться на том, что на самом деле помогает их организации защитить себя— получать аналитические сведения об субъектах с помощью анализа и корреляции.
Часто аналитикам приходится переходить в несколько репозиториев, чтобы получить критически важные наборы данных, необходимые для оценки подозрительного домена, узла или IP-адреса. Данные DNS, сведения WHOIS, вредоносные программы и SSL-сертификаты предоставляют важный контекст для индикаторов компрометации (IOC), но эти репозитории широко распределены и не всегда имеют общую структуру данных, что затрудняет предоставление аналитикам всех необходимых данных для правильной и своевременной оценки подозрительной инфраструктуры.
Взаимодействие с этими наборами данных может быть обременительным, а переключение между этими репозиториями требует много времени, истощая ресурсы групп операций по обеспечению безопасности, которым постоянно необходимо перераспределять приоритеты своих усилий по реагированию.
Аналитики киберугроз пытаются сбалансировать объем поступающих данных об угрозах с анализом того, какие данные об угрозах представляют наибольшую угрозу для их организации и/или отрасли.
Аналогичным образом аналитики уязвимостей сопоставляют данные инвентаризации активов с информацией CVE, чтобы расставить приоритеты в исследовании и устранении наиболее критических уязвимостей, связанных с их организацией.
Цель Microsoft — переосмыслить рабочий процесс аналитика путем разработки платформы Defender TI, которая объединяет и обогащает источники критических данных, а также отображает данные в инновационном, простом в использовании интерфейсе, и служит для корреляции индикаторов, связанных со статьями и уязвимостями, объединения индикаторов компрометации инфраструктуры (IOC) и совместной работы над исследованиями с другими лицензированными пользователями Defender TI в своем клиенте. В связи с тем, что организации по обеспечению безопасности обрабатывают в своей среде постоянно растущий объем данных и оповещений, важно иметь платформу аналитики угроз, которая позволяет проводить точную и своевременную оценку оповещений.
Ниже приведен снимок экрана домашней страницы Аналитики угроз в Defender TI. Аналитики могут быстро сканировать новые популярные статьи, а также начать сбор информации, рассмотрение, реагирование на инциденты и охоту, выполнив ключевое слово, индикатор или поиск CVE-ID.
Статьи о Defender TI
Статьи — это описания Microsoft, которые дают представление об участниках угроз, инструментах, атаках и уязвимостях. Рекомендуемые материалы и статьи Defender TI не являются сообщениями в блогах об аналитике угроз. Хотя они обобщают различные угрозы, они также ссылаются на интерактивный контент и ключевые индикаторы компрометации, чтобы помочь пользователям в принятии мер. Включая эту техническую информацию в сводки об угрозах, мы даем пользователям возможность постоянно отслеживать участников угроз, инструменты, атаки и уязвимости по мере их изменения.
Рекомендуемые статьи
В разделе рекомендуемых статей на домашней странице Аналитики угроз Defender TI (под строкой поиска) отображаются рекомендуемые материалы Microsoft:
Нажав на статью, вы перейдете к ее содержанию. Краткое описание статьи дает пользователю быстрое понимание о ее содержании. Выноска "Индикаторы" показывает, сколько индикаторов Public и Defender TI связано со статьей.
Статьи
Все статьи (включая рекомендуемые) перечислены в разделе статей домашней страницы Аналитики угроз Defender TI в Microsoft Defender, и упорядоченные по дате их создания (по убыванию):
Описания статей
Раздел описания на экране сведений о статье содержит информацию об атаке или профиле злоумышленника. Содержимое может варьироваться от очень короткого (в случае бюллетеней OSINT) и до довольно длинного (для длинных отчетов, особенно когда Microsoft дополняет отчет содержимым). Более подробные описания могут содержать изображения, ссылки на основное содержимое, ссылки на поиск в Defender TI, фрагменты кода злоумышленника и правила брандмауэра для блокировки атаки:
Общедоступные индикаторы
В разделе "Общедоступные индикаторы" отображаются ранее опубликованные индикаторы, связанные со статьей. Ссылки в общедоступных индикаторах принимают один на базовые данные TI Defender или соответствующие внешние источники.
Индикаторы Defender TI
Раздел индикаторов Defender TI охватывает индикаторы, которые исследовательская группа Defender TI нашла и добавила в статьи.
Эти ссылки также ведут к соответствующим данным Defender TI или соответствующему внешнему источнику.
Статьи об уязвимостях
Платформа Defender TI предлагает поиск CVE-ID, чтобы помочь пользователям находить важные сведения о CVE. Запрос CVE-ID ищет результаты в статьях об уязвимостях.
Статьи об уязвимостях содержат ключевой контекст интересующих CVE. Каждая статья содержит описание CVE, список затронутых компонентов, индивидуальные процедуры и стратегии устранения рисков, соответствующие аналитические статьи, ссылки в обсуждениях Deep & Dark Web и другие ключевые наблюдения. В этих статьях содержатся более подробные сведения о контексте и практическая аналитика о каждом CVE, что позволяет пользователям быстрее понять эти уязвимости и быстро их устранить.
Статьи об уязвимостях также включают оценку приоритета Defender TI и индикатор серьезности. Оценка приоритета Defender TI — это уникальный алгоритм, который отражает приоритет CVE на основе оценки CVSS, эксплойтов, обсуждений и связи с вредоносным ПО. Кроме того, оценка приоритета в Defender TI оценивает целостность этих компонентов, чтобы пользователи могли понять, какие CVE следует исправить в первую очередь.
Оценка репутации
Платформа Defender TI предоставляет собственные оценки репутации для любого узла, домена или IP-адреса. Независимо от того, проверяется ли репутация известной или неизвестной сущности, эта оценка помогает пользователям быстро понять все обнаруженные связи с вредоносной или подозрительной инфраструктурой. Платформа предоставляет быструю информацию о действиях этих сущностей, таких как метки времени первого и последнего просмотренного, ASN, страна или регион, связанная инфраструктура, а также список правил, влияющих на оценку репутации, если это применимо.
Данные о репутации IP-адресов важны для понимания надежности вашей области атак, а также полезны при оценке неизвестных узлов, доменов или IP-адресов, которые отображаются в исследованиях. Эти оценки выявят любые предыдущие вредоносные или подозрительные действия, которые повлияли на сущность, или другие известные индикаторы компрометации, которые следует учитывать.
Дополнительные сведения см. в разделе Оценка репутации.
Аналитика
Аналитические идеи превращают обширный набор данных Microsoft в несколько наблюдений, которые упрощают исследование и делают его более доступным для аналитиков всех уровней.
Аналитика предназначена для того, чтобы быть небольшими фактами или наблюдениями о домене или IP-адресе и предоставлять пользователям Defender TI возможность оценить запрашиваемый индикатор и улучшить способность пользователя определять, является ли исследуемый индикатор вредоносным, подозрительным или неопасным.
Дополнительные сведения см. в разделе Аналитика.
Наборы данных
Корпорация Microsoft централизует многочисленные наборы данных на единой платформе Defender TI, упрощая сообществу и клиентам Microsoft анализ инфраструктуры. Основная цель Microsoft — предоставить как можно больше данных об инфраструктуре Интернета для поддержки различных вариантов использования системы безопасности.
Корпорация Майкрософт собирает, анализирует и индексирует интернет-данные с помощью пассивных датчиков DNS, сканирования портов, детонации URL-адресов и файлов и других источников, чтобы помочь пользователям в обнаружении угроз, определении приоритетов инцидентов и определении инфраструктуры, связанной с группами субъектов угроз. Поиск по URL-адресу пользователей может использоваться для автоматического запуска детонации, если на момент запроса отсутствуют доступные данные детонации для URL-адреса. Данные, собранные в результате таких детонаций, используются для заполнения результатов для любого последующего поиска этого URL-адреса от пользователя, отправившего исходный поиск, или других пользователей платформы.
Поддерживаемые наборы данных Интернета включают в себя разрешения, WHOIS, SSL-сертификаты, поддомены, DNS, обратный DNS и анализ детонации, а также производные наборы данных, собранные из модели DOM для детонированных URL-адресов, включая средства отслеживания, компоненты, пары узлов и файлы cookie. Кроме того, компоненты и средства отслеживания также отслеживаются с помощью правил обнаружения, которые запускаются на основе ответов баннера при сканировании портов или сведений о сертификате SSL. Многие из этих наборов данных имеют различные методы сортировки, фильтрации и скачивания данных, что упрощает доступ к информации, которая может быть связана с определенным типом индикатора или временем в истории.
Дополнительные сведения см. в указанных ниже статьях.
Tags
Теги TI Defender используются для быстрого получения сведений о индикаторе, полученном системой или созданным другими пользователями. Теги помогают аналитикам навести связи между текущими инцидентами, исследованиями и их историческим контекстом для улучшения анализа.
Платформа Defender TI предлагает два типа тегов: системные и настраиваемые теги.
Дополнительные сведения см. в статье Использование тегов.
Projects
платформа Microsoft Defender TI позволяет пользователям разрабатывать несколько типов проектов для организации индикаторов интереса и индикаторов компрометации из исследования. Проекты содержат список всех связанных индикаторов и подробный журнал, в котором хранятся имена, описания и участники совместной работы.
Когда пользователь ищет IP-адрес, домен или узел в Defender TI, если этот индикатор указан в проекте, к которому у пользователя есть доступ, он может увидеть ссылку на проект в разделах "Проекты" на вкладке "Сводка", а также на вкладке "Данные". Отсюда пользователь может перейти к деталям проекта для получения информации об индикаторе, прежде чем просматривать другие наборы данных на предмет дополнительных сведений. Это помогает аналитикам избежать повторного создания колесика исследования один из пользователей клиента Defender TI, возможно, уже начал или добавил к этому исследованию, добавив новые индикаторы (индикаторы компрометации), связанные с этим проектом (если они были добавлены в качестве участника совместной работы в проекте).
Дополнительные сведения см. в разделе Использование проектов.
Место расположения данных, доступность и конфиденциальность
Аналитика угроз Microsoft Defender содержит как глобальные данные, так и данные, относящиеся к конкретному клиенту. Базовые данные Интернета — это глобальные данные Microsoft. Метки, применяемые клиентами, считаются данными клиентов. Все данные клиента хранятся в выбранном клиентом регионе.
В целях безопасности Microsoft собирает IP-адреса пользователей при входе в систему. Эти данные хранятся в течение 30 дней, но могут храниться дольше, если это необходимо для изучения возможного мошеннического или вредоносного использования продукта.
В случае отключения региона клиенты не столкнутся с простоями, поскольку Defender TI использует технологии, которые реплицируют данные в резервные регионы.
Defender TI обрабатывает данные клиентов. По умолчанию данные клиентов реплицируются в парный регион.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.