Vad är Microsoft Defender Hotinformation (Defender TI)?

Microsoft Defender Threat Intelligence (Defender TI) är en plattform som effektiviserar sortering, incidenthantering, hotjakt, sårbarhetshantering och analysarbetsflöden för cyberhotinformation vid analys av hotinfrastruktur och insamling av hotinformation. Analytiker lägger mycket tid på dataidentifiering, insamling och parsning, i stället för att fokusera på vad som faktiskt hjälper deras organisation att försvara sig – härleda insikter om aktörerna genom analys och korrelation.

Analytiker måste ofta gå till flera lagringsplatser för att hämta de kritiska datauppsättningar de behöver för att utvärdera en misstänkt domän, värd eller IP-adress. DNS-data, WHOIS-information, skadlig kod och SSL-certifikat ger viktig kontext till indikatorer för kompromettering (IOCs), men dessa lagringsplatser är mycket distribuerade och delar inte alltid en gemensam datastruktur, vilket gör det svårt att se till att analytiker har alla relevanta data som behövs för att göra en korrekt och snabb utvärdering av misstänkt infrastruktur.

Att interagera med dessa datauppsättningar kan vara besvärligt och det är tidskrävande att pivotera mellan dessa lagringsplatser, vilket tömmer resurserna för säkerhetsåtgärdsgrupper som ständigt behöver prioritera om sina svarsåtgärder.

Cyber Threat Intelligence-analytiker har svårt att balansera en bredd av hotinformationsinmatning med analysen av vilka hotinformation som utgör de största hoten mot organisationen och/eller branschen.

I samma bredd bekämpar sårbarhetsinformationsanalytikerna korreleringen av sitt tillgångsinventering med CVE-information för att prioritera undersökningen och reparationen av de mest kritiska säkerhetsriskerna som är associerade med deras organisation.

Microsofts mål är att återskapa analytikerarbetsflödet genom att utveckla en plattform, Defender TI, som aggregerar och berikar kritiska datakällor och visar data i ett innovativt, lättanvänt gränssnitt för att korrelera när indikatorer är länkade till artiklar och sårbarheter, infrastrukturen länkar tillsammans indikatorer för kompromisser (IOPS) och samarbeta om undersökningar med andra Defender TI-licensierade användare i sin klientorganisation. Med säkerhetsorganisationer som vidtar en ständigt ökande mängd intelligens och aviseringar i sin miljö är det viktigt att ha en plattform för hotanalys och intelligens som möjliggör korrekta och lämpliga utvärderingar av aviseringar.

Nedan visas en skärmbild av Defender TI:s startsida för hotinformation. Analytiker kan snabbt genomsöka nya aktuella artiklar och påbörja sin intelligensinsamling, sortering, incidenthantering och jaktarbete genom att utföra en sökning med nyckelord, indikator eller CVE-ID.

Defender TI-artiklar

Artiklar är berättelser från Microsoft som ger insikter om hotaktörer, verktyg, attacker och sårbarheter. Aktuella Defender TI och artiklar är inte blogginlägg om hotinformation. de sammanfattar olika hot, men de länkar också till användbart innehåll och viktiga indikatorer för kompromisser som hjälper användarna att vidta åtgärder. Genom att inkludera den här tekniska informationen i hotsammanfattningarna gör vi det möjligt för användare att kontinuerligt spåra hotaktörer, verktyg, attacker och sårbarheter när de förändras.

Utvalda artiklar

Det aktuella artikelavsnittet på startsidan för Defender TI Threat Intelligence (direkt under sökfältet) visar det aktuella Microsoft-innehållet:

När du klickar på artikeln kommer du till det underliggande artikelinnehållet. Artikelsynopsisen ger användaren en snabb förståelse av artikeln. Pratbubbla indikatorer visar hur många offentliga indikatorer och Defender TI-indikatorer som är associerade med artikeln.

Artiklar

Alla artiklar (inklusive aktuella artiklar) visas under avsnittet Microsoft Defender TI-hotinformationsartiklar på startsidan, ordnade efter deras skapandedatum (fallande):

Artikelbeskrivningar

Beskrivningsavsnittet på artikelinformationsskärmen innehåller information om attacken eller den profilerade angriparen. Innehållet kan variera från mycket kort (när det gäller OSINT-bulletiner) eller ganska lång (för lång formulärrapportering – särskilt när Microsoft har utökat rapporten med innehåll). De längre beskrivningarna kan innehålla bilder, länkar till det underliggande innehållet, länkar till sökningar i Defender TI, kodfragment för angripare och brandväggsregler för att blockera attacken:

Offentliga indikatorer

Avsnittet offentliga indikatorer på skärmen visar de tidigare publicerade indikatorerna som är relaterade till artikeln. Länkarna i de offentliga indikatorerna tar en till underliggande Defender TI-data eller relevanta externa källor.

Defender TI-indikatorer

Avsnittet Defender TI-indikatorer beskriver de indikatorer som Defender TI:s forskningsteam har hittat och lagt till i artiklarna.

Dessa länkar pivoterar även till relevanta Defender TI-data eller motsvarande externa källa.

Sårbarhetsartiklar

Defender TI erbjuder CVE-ID-sökningar som hjälper användare att identifiera viktig information om CVE. CVE-ID-sökningar resulterar i sårbarhetsartiklar.

Sårbarhetsartiklar ger nyckelkontext bakom CVE:er av intresse. Varje artikel innehåller en beskrivning av CVE, en lista över berörda komponenter, skräddarsydda åtgärder och strategier, relaterade informationsartiklar, referenser i deep & dark web chatter och andra viktiga observationer. De här artiklarna ger djupare kontext och användbara insikter bakom varje CVE, vilket gör det möjligt för användare att snabbare förstå dessa sårbarheter och snabbt åtgärda dem.

Sårbarhetsartiklar innehåller även en Prioritetspoäng för Defender TI och allvarlighetsgradsindikator. Defender TI Priority Score är en unik algoritm som återspeglar prioriteten för en CVE baserat på CVSS-poäng, kryphål, prat och länkning till skadlig kod. Dessutom utvärderar Prioritetspoäng för Defender TI de här komponenterna så att användarna kan förstå vilka CVE:er som ska åtgärdas först.

Ryktesbedömning

Defender TI tillhandahåller egna ryktespoäng för alla värdar, domäner eller IP-adresser. Oavsett om du verifierar ryktet för en känd eller okänd entitet hjälper den här poängen användarna att snabbt förstå eventuella identifierade kopplingar till skadlig eller misstänkt infrastruktur. Plattformen innehåller snabb information om aktiviteten för dessa entiteter, till exempel tidsstämplar för första och sista sedda, ASN, land/region, associerad infrastruktur och en lista över regler som påverkar ryktespoängen när det är tillämpligt.

IP-ryktesdata är viktiga för att förstå tillförlitligheten hos din egen attackyta och är också användbart när du utvärderar okända värdar, domäner eller IP-adresser som visas i undersökningar. Dessa poäng avslöjar all skadlig eller misstänkt aktivitet som har påverkat entiteten eller andra kända indikatorer på kompromisser som bör övervägas.

Mer information finns i Bedömning av rykte.

Analysinsikter

Analytikerinsikter destillera Microsofts stora datamängd till en handfull observationer som förenklar undersökningen och gör den mer lättillgänglig för analytiker på alla nivåer.

Insikter är avsedda att vara små fakta eller observationer om en domän eller IP-adress och ge Defender TI-användare möjlighet att göra en bedömning av indikatorn som efterfrågas och förbättra en användares möjlighet att avgöra om en indikator som undersöks är skadlig, misstänkt eller godartad.

Mer information finns i Analytikerinsikter.

Datauppsättningar

Microsoft centraliserar flera datamängder till en enda plattform, Defender TI, vilket gör det enklare för Microsofts community och kunder att utföra infrastrukturanalyser. Microsofts primära fokus är att tillhandahålla så mycket data som möjligt om Internetinfrastruktur för att stödja en mängd olika säkerhetsanvändningsfall.

Microsoft samlar in, analyserar och indexerar Internetdata via passiva DNS-sensorer, portgenomsökning, URL och fildetonering och andra källor för att hjälpa användare att identifiera hot, prioritera incidenter och identifiera infrastruktur som är associerad med hotskådespelaregrupper. Användarnas URL-sökningar kan användas för att automatiskt initiera detonationer om det inte finns några tillgängliga detonationsdata för en URL vid tidpunkten för begäran. De data som samlas in från sådana detonationer används för att fylla i resultat för framtida sökningar efter webbadressen från den användare som skickade den ursprungliga sökningen eller andra användare av plattformen.

Internetdatauppsättningar som stöds är resolutioner, WHOIS, SSL-certifikat, underdomäner, DNS, omvänd DNS och detonationsanalys, samt härledda datauppsättningar som samlats in från dokumentobjektmodellen (DOM) för detonerade URL:er, inklusive spårare, komponenter, värdpar och cookies. Dessutom observeras komponenter och spårare från identifieringsregler som utlöses baserat på banderollsvar från portgenomsökningar eller SSL-certifikatinformation. Många av dessa datauppsättningar har olika metoder för att sortera, filtrera och ladda ned data, vilket gör det enklare att komma åt information som kan associeras med en viss indikatortyp eller tid i historiken.

Mer information finns i:

• Sortera, filtrera och ladda ned data
• Datauppsättningar

Taggar

Defender TI-taggar används för att ge snabba insikter om en indikator, oavsett om den härleds av systemet eller genereras av andra användare. Taggar hjälper analytiker att ansluta punkterna mellan aktuella incidenter och undersökningar och deras historiska kontext för förbättrad analys.

Defender TI-plattformen erbjuder två typer av taggar: systemtaggar och anpassade taggar.

Mer information finns i Använda taggar.

Projekt

Microsoft Defender TI-plattformen gör det möjligt för användare att utveckla flera projekttyper för att organisera indikatorer av intresse och indikatorer för kompromisser från en undersökning. Projekt innehåller en lista över alla associerade indikatorer och en detaljerad historik som behåller namn, beskrivningar och medarbetare.

När en användare söker i en IP-adress, domän eller värd i Defender TI, om indikatorn visas i ett projekt som användaren har åtkomst till, kan användaren se en länk till projektet från avsnitten Projekt på fliken Sammanfattning samt fliken Data. Härifrån kan användaren navigera till information om projektet för mer kontext om indikatorn innan de andra datauppsättningarna granskas för mer information. Detta hjälper analytiker att undvika att återuppfinna hjulet för en undersökning som en av deras Defender TI-klientanvändare kanske redan har startat eller lägga till i undersökningen genom att lägga till nya indikatorer (indikatorer för kompromettering) relaterade till projektet (om de har lagts till som samarbetspartner i projektet).

Mer information finns i Använda projekt.

Datahemvist, tillgänglighet och sekretess

Microsoft Defender Threat Intelligence innehåller både globala data och kundspecifika data. Underliggande Internetdata är globala Microsoft-data. etiketter som tillämpas av kunder betraktas som kunddata. Alla kunddata lagras i den region som kunden väljer.

Av säkerhetsskäl samlar Microsoft in användarnas IP-adresser när de loggar in. Dessa data lagras i upp till 30 dagar men kan lagras längre om det behövs för att undersöka potentiellt bedräglig eller skadlig användning av produkten.

När det gäller ett scenario med regionavbrott bör kunderna inte se någon stilleståndstid eftersom Defender TI använder tekniker som replikerar data till en säkerhetskopieringsregion.

Defender TI bearbetar kunddata. Som standard replikeras kunddata till den länkade regionen.

Nästa steg

Mer information finns i:

• Snabbstart: Lär dig hur du kommer åt Microsoft Defender Threat Intelligence och gör anpassningar i portalen
• Datauppsättningar
• Söka och pivotera
• Sortera, filtrera och ladda ned data
• Infrastrukturlänkning
• Ryktesbedömning
• Analysinsikter
• Använda projekt
• Använda taggar