Qu’est-ce que Microsoft Defender Threat Intelligence (Defender TI) ?

  • Article

Microsoft Defender Threat Intelligence (Defender TI) est une plateforme qui simplifie le triage, la réponse aux incidents, la chasse aux menaces, la gestion des vulnérabilités et les flux de travail des analystes de cybermenaces lors de l’analyse de l’infrastructure des menaces et de la collecte de renseignements sur les menaces. Les analystes consacrent beaucoup de temps à la découverte, à la collecte et à l’analyse des données, au lieu de se concentrer sur ce qui aide réellement leurs organization à se défendre, en dérivant des insights sur les acteurs par l’analyse et la corrélation.

Souvent, les analystes doivent accéder à plusieurs référentiels pour obtenir les jeux de données critiques dont ils ont besoin pour évaluer un domaine, un hôte ou une adresse IP suspects. Les données DNS, les informations WHOIS, les programmes malveillants et les certificats SSL fournissent un contexte important pour les indicateurs de compromission ( IOC), mais ces référentiels sont largement distribués et ne partagent pas toujours une structure de données commune, ce qui rend difficile la garantie que les analystes disposent de toutes les données pertinentes nécessaires pour effectuer une évaluation appropriée et en temps opportun de l’infrastructure suspecte.

L’interaction avec ces jeux de données peut être fastidieuse et pivoter entre ces référentiels prend beaucoup de temps, drainant les ressources des groupes d’opérations de sécurité qui doivent constamment hiérarchiser à nouveau leurs efforts de réponse.

Les analystes cybermenaces ont du mal à trouver un équilibre entre l’ingestion des renseignements sur les menaces et l’analyse des menaces qui constituent les menaces les plus importantes pour leur organisation et/ou leur secteur d’activité.

Dans la même étendue, les analystes d’intelligence des vulnérabilités se bat pour mettre en corrélation leur inventaire des ressources avec des informations CVE pour hiérarchiser l’investigation et la correction des vulnérabilités les plus critiques associées à leur organisation.

L’objectif de Microsoft est de ré-imaginer le flux de travail d’analyste en développant une plateforme, Defender TI, qui agrège et enrichit les sources de données critiques et affiche les données dans une interface innovante et facile à utiliser pour établir une corrélation lorsque les indicateurs sont liés à des articles et des vulnérabilités, à une chaîne d’infrastructure entre des indicateurs de compromission (IOC) et à collaborer sur des enquêtes avec d’autres utilisateurs sous licence Defender TI au sein de leur locataire. Avec les organisations de sécurité qui appliquent une quantité croissante d’informations et d’alertes au sein de leur environnement, il est important de disposer d’une plateforme d’analyse des menaces et d’intelligence qui permet des évaluations précises et opportunes des alertes.

Voici une capture d’écran de la page d’accueil Threat Intelligence de Defender TI. Les analystes peuvent rapidement analyser les nouveaux articles proposés et commencer leurs efforts de collecte de renseignements, de triage, de réponse aux incidents et de repérage en effectuant une recherche de mot clé, d’indicateur ou d’ID CVE.

Capture d’écran de la vue d’ensemble de TI Edge

Articles Defender TI

Les articles sont des narrations de Microsoft qui fournissent des insights sur les acteurs des menaces, les outils, les attaques et les vulnérabilités. Defender TI proposé et les articles ne sont pas des billets de blog sur les renseignements sur les menaces ; bien qu’ils résument les différentes menaces, ils lient également du contenu actionnable et des indicateurs clés de compromission pour aider les utilisateurs à prendre des mesures. En incluant ces informations techniques dans les résumés des menaces, nous permettons aux utilisateurs de suivre en permanence les acteurs des menaces, les outils, les attaques et les vulnérabilités à mesure qu’ils changent.

La section de l’article recommandé de la page d’accueil De Defender TI Threat Intelligence (juste en dessous de la barre de recherche) affiche le contenu Microsoft proposé :

Articles proposés de vue d’ensemble de TI

Cliquez sur l’article pour accéder au contenu de l’article sous-jacent. Les résumés de l’article donnent à l’utilisateur une compréhension rapide de l’article. La légende Indicateurs indique le nombre d’indicateurs Publics et Defender TI associés à l’article.

Article proposé vue d’ensemble de TI

Articles

Tous les articles (y compris les articles recommandés) sont répertoriés dans la section Des articles de la page d’accueil de Microsoft Defender TI Threat Intelligence, classés par date de création (décroissant) :

Articles de vue d’ensemble de TI

Descriptions de l’article

La section description de l’écran détaillé de l’article contient des informations sur l’attaque ou l’attaquant profilé. Le contenu peut être très court (dans le cas des bulletins OSINT) ou assez long (pour les rapports – longs, en particulier lorsque Microsoft a augmenté le rapport avec du contenu). Les descriptions plus longues peuvent contenir des images, des liens vers le contenu sous-jacent, des liens vers des recherches dans Defender TI, des extraits de code d’attaquant et des règles de pare-feu pour bloquer l’attaque :

Description de l’article vue d’ensemble de TI

Indicateurs publics

La section Indicateurs publics de l’écran affiche les indicateurs précédemment publiés liés à l’article. Les liens dans les indicateurs publics mènent aux données Defender TI sous-jacentes ou aux sources externes pertinentes.

Indicateurs publics de l’article vue d’ensemble de TI

Indicateurs de Defender TI

La section Indicateurs de TI Defender couvre les indicateurs que l’équipe de recherche Defender TI a trouvés et ajoutés aux articles.

Ces liens pivotent également dans les données Defender TI pertinentes ou dans la source externe correspondante.

Article vue d’ensemble de TI Indicateurs Defender TI

Articles sur les vulnérabilités

Defender TI propose des recherches CVE-ID pour aider les utilisateurs à identifier les informations critiques sur la CVE. Les recherches CVE-ID aboutissent à des articles sur les vulnérabilités.

Les articles sur les vulnérabilités fournissent un contexte clé derrière les CVE d’intérêt. Chaque article contient une description de la CVE, une liste des composants concernés, des procédures et des stratégies d’atténuation personnalisées, des articles d’intelligence connexes, des références dans les conversations du web profond et caché et d’autres observations clés. Ces articles fournissent un contexte plus approfondi et des insights actionnables derrière chaque CVE, ce qui permet aux utilisateurs de comprendre plus rapidement ces vulnérabilités et de les atténuer rapidement.

Les articles sur les vulnérabilités incluent également un score de priorité et un indicateur de gravité Defender TI. Le score de priorité de Defender TI est un algorithme unique qui reflète la priorité d’une CVE en fonction du score CVSS, des exploits, des exploitations et de la liaison aux programmes malveillants. En outre, le score de priorité Defender TI évalue la récurrence de ces composants afin que les utilisateurs puissent comprendre quels CVE doivent être corrigés en premier.

Score de réputation

Defender TI fournit des scores de réputation propriétaires pour n’importe quel hôte, domaine ou adresse IP. Qu’il s’agisse de valider la réputation d’une entité connue ou inconnue, ce score permet aux utilisateurs de comprendre rapidement les liens détectés avec une infrastructure malveillante ou suspecte. La plateforme fournit des informations rapides sur l’activité de ces entités, telles que les horodatages First et Last Seen, l’ASN, le pays/la région, l’infrastructure associée et une liste de règles qui ont un impact sur le score de réputation, le cas échéant.

Carte récapitulative de réputation

Les données de réputation IP sont importantes pour comprendre la fiabilité de votre propre surface d’attaque et sont également utiles lors de l’évaluation d’hôtes, de domaines ou d’adresses IP inconnus qui apparaissent dans les enquêtes. Ces scores découvriront toute activité malveillante ou suspecte antérieure qui a affecté l’entité, ou d’autres indicateurs connus de compromission qui doivent être pris en compte.

Pour plus d’informations, consultez Score de réputation.

Insights des analystes

Les insights des analystes condensent le vaste jeu de données de Microsoft en quelques observations qui simplifient l’examen et le rendent plus accessible aux analystes de tous niveaux.

Les insights sont censés être de petits faits ou des observations sur un domaine ou une adresse IP et fournir aux utilisateurs defender TI la possibilité d’effectuer une évaluation de l’indicateur interrogé et d’améliorer la capacité d’un utilisateur à déterminer si un indicateur examiné est malveillant, suspect ou bénin.

Pour plus d’informations, consultez Insights de l’analyste.

Insights de l’analyste de l’onglet Résumé

Jeux de données

Microsoft centralise de nombreux jeux de données en une seule plateforme, Defender TI, ce qui permet à la communauté Microsoft et aux clients de mener plus facilement l’analyse de l’infrastructure. L’objectif principal de Microsoft est de fournir autant de données que possible sur l’infrastructure Internet pour prendre en charge divers cas d’utilisation de la sécurité.

Microsoft collecte, analyse et indexe des données Internet via des capteurs DNS passifs, l’analyse des ports, la détonation d’URL et de fichiers, et d’autres sources pour aider les utilisateurs à détecter les menaces, à hiérarchiser les incidents et à identifier l’infrastructure associée aux groupes d’acteurs de menace. Les recherches d’URL des utilisateurs peuvent être utilisées pour lancer automatiquement des détonations si aucune donnée de détonation n’est disponible pour une URL au moment de la demande. Les données collectées à partir de ces détonations sont utilisées pour remplir les résultats de toute recherche future de cette URL auprès de l’utilisateur qui a soumis la recherche d’origine ou de tout autre utilisateur de la plateforme.

Les jeux de données Internet pris en charge incluent les résolutions, WHOIS, certificats SSL, sous-domaines, DNS, DNS inversé et analyse de la détonation, ainsi que les jeux de données dérivés collectés à partir du modèle DOM (Document Object Model) des URL détonées, y compris les suivis, les composants, les paires d’hôtes et les cookies. En outre, les composants et les dispositifs de suivi sont également observés à partir de règles de détection déclenchées en fonction des réponses de bannière des analyses de port ou des détails du certificat SSL. La plupart de ces jeux de données ont différentes méthodes pour trier, filtrer et télécharger des données, ce qui facilite l’accès aux informations qui peuvent être associées à un type d’indicateur spécifique ou à une heure dans l’historique.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Vue d’ensemble des jeux de données de TI

Tags

Les balises DEFENDER TI sont utilisées pour fournir des informations rapides sur un indicateur, qu’il soit dérivé du système ou généré par d’autres utilisateurs. Les balises aident les analystes à connecter les points entre les incidents et investigations actuels et leur contexte historique pour une analyse améliorée.

La plateforme Defender TI offre deux types d’étiquettes : les balises système et les balises personnalisées.

Pour plus d’informations, consultez Utilisation des balises.

Balises personnalisées

Projets

Microsoft Defender plateforme TI permet aux utilisateurs de développer plusieurs types de projets pour organiser des indicateurs d’intérêt et des indicateurs de compromission à partir d’une investigation. Les projets contiennent une liste de tous les indicateurs associés et un historique détaillé qui conserve les noms, les descriptions et les collaborateurs.

Lorsqu’un utilisateur effectue une recherche dans une adresse IP, un domaine ou un hôte dans Defender TI, si cet indicateur est répertorié dans un projet auquel l’utilisateur a accès, il peut voir un lien vers le projet à partir des sections Projets de l’onglet Résumé, ainsi que de l’onglet Données. À partir de là, l’utilisateur peut accéder aux détails du projet pour obtenir plus de contexte sur l’indicateur avant de consulter les autres jeux de données pour plus d’informations. Cela permet aux analystes d’éviter de réinventer la roue d’une enquête que l’un de leurs utilisateurs de locataire Defender TI a peut-être déjà commencé ou à ajouter à cette investigation en ajoutant de nouveaux indicateurs (indicateurs de compromission) liés à ce projet (s’ils ont été ajoutés en tant que collaborateur au projet).

Pour plus d’informations, consultez Utilisation de projets.

Projets de vue d’ensemble de Defender TI

Résidence, disponibilité et confidentialité des données

Microsoft Defender Threat Intelligence contient des données globales et des données spécifiques au client. Les données Internet sous-jacentes sont des données Microsoft globales ; Les étiquettes appliquées par les clients sont considérées comme des données client. Toutes les données client sont stockées dans la région de votre choix.

À des fins de sécurité, Microsoft collecte les adresses IP des utilisateurs lorsqu’ils se connectent. Ces données sont stockées jusqu’à 30 jours, mais peuvent être stockées plus longtemps si nécessaire pour examiner l’utilisation potentielle frauduleuse ou malveillante du produit.

Dans le cas d’un scénario d’arrêt de région, les clients ne doivent voir aucun temps d’arrêt, car Defender TI utilise des technologies qui répliquent des données dans des régions de sauvegarde.

Defender TI traite les données client. Par défaut, les données client sont répliquées dans la région jumelée.

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :