什么是 Microsoft Defender 威胁智能 (Defender TI)?
Microsoft Defender 威胁智能 (Defender TI) 是一个平台,可在执行威胁基础结构分析和收集威胁智能时简化会审、事件响应、威胁搜寻、漏洞管理和网络威胁智能分析员工作流。 分析师将大量时间花在数据发现、收集和分析上,而不是专注于真正帮助组织为自己辩护的内容,即通过分析和关联来获取有关参与者的见解。
通常,分析员必须转到多个存储库才能获取评估可疑域、主机或 IP 地址所需的关键数据集。 DNS 数据、WHOIS 信息、恶意软件和 SSL 证书为 (IOC) 的入侵指标提供重要上下文,但这些存储库分布广泛,并不总是共享通用数据结构,因此很难确保分析员拥有对可疑基础结构进行适当和及时评估所需的所有相关数据。
与这些数据集进行交互可能很麻烦,并且在这些存储库之间进行转换非常耗时,会耗尽安全操作组的资源,这些组经常需要重新确定其响应工作的优先级。
网络威胁智能分析员努力平衡威胁智能引入的广度,并分析哪些威胁智能对其组织和/或行业构成最大威胁。
在同一广度中,漏洞智能分析员会将资产清单与 CVE 信息相关联,以确定与其组织关联的最严重漏洞的调查和修正的优先级。
Microsoft 的目标是通过开发平台 Defender TI 来重新构想分析员工作流,该平台聚合和扩充关键数据源,并在一个创新的、易于使用的界面中显示数据,以便在指标链接到文章和漏洞时进行关联,将基础结构链接到入侵指标 (IOC),并与租户内的 Defender TI 许可用户协作进行调查。 由于安全组织在其环境中处理越来越多的智能和警报,因此拥有一个威胁分析和智能平台以便准确、及时地评估警报非常重要。
下面是 Defender TI 的威胁智能主页的屏幕截图。 分析人员可以通过执行关键字 (keyword) 、指示器或 CVE-ID 搜索来快速扫描新的特色文章,并开始其情报收集、会审、事件响应和搜寻工作。
Defender TI 文章
文章是 Microsoft 的叙述,提供有关威胁行动者、工具、攻击和漏洞的见解。 Defender TI 精选文章不是关于威胁智能的博客文章;在汇总不同威胁的同时,它们还会链接到可操作的内容和关键入侵指标,以帮助用户采取行动。 通过在威胁摘要中包含此技术信息,我们使用户能够在威胁行动者、工具、攻击和漏洞发生更改时持续跟踪它们。
特别推荐的文章
Defender TI 威胁智能主页的精选文章部分(搜索栏正下方)显示精选 Microsoft 内容:
单击文章可转到基础文章内容。 文章摘要使用户能够快速了解文章内容。 指标标注显示有多少公共和 Defender TI 指标与文章相关联。
文章
所有文章(包括精选文章)都列在 Microsoft Defender TI 威胁智能主页文章部分下,按其创建日期(降序)排序:
文章说明
文章详细信息屏幕的说明部分包含有关所分析的攻击或攻击者的信息。 内容可以很短(对于 OSINT 公告)或很长(对于长篇报告,尤其是当 Microsoft 用内容扩充报告时)。 较长的说明可能包含图像、基础内容的链接、Defender TI 中搜索的链接、攻击者代码片段以及阻止攻击的防火墙规则:
公共指标
屏幕的公共指标部分显示与文章相关的以前发布的指标。 公共指标中的链接获取一个指向 Defender TI 基础数据或相关外部源的链接。
Defender TI 指标
Defender TI 指标部分涵盖 Defender TI 研究团队已找到并添加到文章中的指标。
这些链接还会转入相关的 Defender TI 数据或相应的外部源。
漏洞文章
Defender TI 提供 CVE-ID 搜索,以帮助用户识别有关 CVE 的关键信息。 CVE-ID 搜索会产生漏洞文章。
漏洞文章提供相关 CVE 背后的关键背景。 每篇文章都包含 CVE 的说明、受影响组件的列表、定制的缓解过程和策略、相关智能文章、Deep & Dark Web 聊天中的引用以及其他关键观察。 这些文章提供每个 CVE 背后的更深入的上下文和可操作的见解,使用户能够更快地了解这些漏洞并快速缓解这些漏洞。
漏洞文章还包括 Defender TI 优先级分数和严重性指标。 Defender TI 优先级分数是一种独特的算法,它基于 CVSS 分数、攻击、聊天和恶意软件链接反映 CVE 的优先级。 此外,Defender TI 优先级分数会评估这些组件的新近程度,以便用户能够了解应先修正哪些 CVE。
信誉评分
Defender TI 为任何主机、域或 IP 地址提供专有信誉分数。 无论是验证已知实体还是未知实体的信誉,此分数都可帮助用户快速了解检测到的任何与恶意或可疑基础结构的关联。 该平台提供有关这些实体的活动的快速信息,例如“首次查看”和“上次查看”时间戳、ASN、国家/地区、关联的基础结构,以及影响信誉分数(如果适用)的规则列表。
IP 信誉数据对于了解你自己的攻击面的可信度非常重要,并且在评估调查中显示的未知主机、域或 IP 地址时也很有用。 这些分数将揭示任何以前影响实体的恶意或可疑活动,或应考虑的其他已知的入侵指标。
有关详细信息,请参阅信誉评分。
分析员见解
分析员见解将 Microsoft 的大量数据集提取成一些观察结果,从而简化调查并使其更易于所有级别的分析员使用。
见解旨在对域或 IP 地址进行小事实或观察,使 Defender TI 用户能够评估所查询的指标,并提高用户确定被调查的指标是恶意、可疑还是良性的能力。
有关详细信息,请参阅分析员见解。
数据集
Microsoft 将大量数据集集中到单个平台 Defender TI 中,使 Microsoft 社区和客户能够更轻松地进行基础结构分析。 Microsoft 的主要重点是提供尽可能多的有关 Internet 基础结构的数据,以支持各种安全用例。
Microsoft 通过被动 DNS 传感器、端口扫描、URL 和文件引爆以及其他源收集、分析和索引 Internet 数据,以帮助用户检测威胁、确定事件优先级以及识别与威胁参与者组关联的基础结构。 如果在请求时 URL 没有可用的引爆数据,则用户的 URL 搜索可用于自动启动引爆。 从此类引爆收集的数据用于填充来自提交原始搜索的用户或平台的任何其他用户对该 URL 的任何未来搜索的结果。
支持的 Internet 数据集包括解析、WHOIS、SSL 证书、子域、DNS、反向 DNS 和引爆分析,以及从文档对象模型 (DOM) 引爆 URL(包括跟踪器、组件、主机对和 Cookie)收集的派生数据集。 此外,还会从基于端口扫描或 SSL 证书详细信息的横幅响应触发的检测规则中观察到组件和跟踪器。 其中许多数据集具有各种方法来对数据进行排序、筛选和下载,以便更轻松地访问可能与历史记录中的特定指示器类型或时间关联的信息。
有关更多信息,请参阅:
标记
Defender TI 标记用于提供有关指示器的快速见解,无论是由系统派生还是由其他用户生成。 标记有助于分析人员将当前事件和调查及其历史上下文之间的点连接起来,以便改进分析。
Defender TI 平台提供两种类型的标记:系统标记和自定义标记。
有关详细信息,请参阅使用标记。
项目
Microsoft Defender TI 平台允许用户开发多种项目类型,以组织调查中的兴趣指标和泄露指标。 项目包含所有关联指标的列表,以及保留名称、说明和协作者的详细历史记录。
当用户在 Defender TI 中搜索 IP 地址、域或主机时,如果该指标在用户有权访问的项目中列出,则用户可以在“摘要”选项卡和“数据”选项卡的“项目”部分看到指向项目的链接。从这里,用户可以导航到项目的详细信息以获取有关指标的更多上下文,然后再查看其他数据集以获取更多信息。 这有助于分析师避免重新发明调查轮子,他们的 Defender TI 租户用户可能已经开始或添加到调查,方法是添加新指标 (与该项目相关的泄露) 指标 (,如果他们已作为协作者添加到项目) 。
有关详细信息,请参阅使用项目。
数据驻留、可用性和隐私
Microsoft Defender 威胁智能包含全局数据和客户特定的数据。 基础 Internet 数据是全局 Microsoft 数据;客户应用的标签被视为客户数据。 所有客户数据都存储在客户选择的区域中。
出于安全考虑,Microsoft 会在用户登录时收集其 IP 地址。 此数据最多存储 30 天,但如果需要调查产品的潜在欺诈或恶意使用,则存储时间可能更长。
在发生区域停机情况时,客户不应看到停机时间,因为 Defender TI 使用将数据复制到备份区域的技术。
Defender TI 处理客户数据。 默认情况下,客户数据将复制到配对区域。
后续步骤
有关更多信息,请参阅: