Řetězení infrastruktury
Důležité
30. června 2024 bude samostatný portálhttps://ti.defender.microsoft.com Analýza hrozeb v programu Microsoft Defender (Defender TI) vyřazen a nebude už přístupný. Zákazníci můžou dál používat Defender TI na portálu Microsoft Defender nebo pomocí Microsoft Copilot pro Security. Další informace
Řetězení infrastruktury využívá vztahy mezi vysoce propojenými datovými sadami k vytvoření šetření. Tento proces je základem analýzy infrastruktury hrozeb a umožňuje organizacím vynořit nová připojení, seskupit podobné aktivity útoku a zdůvodnit předpoklady během reakce na incidenty.
Požadavky
Projděte si následující články o Defenderu TI:
Vše, co potřebujete, je výchozí bod
Vidíme, že útočné kampaně využívají širokou škálu technik obfuskace – od jednoduchého geografického filtrování až po složité taktiky, jako je pasivní otisky prstů operačního systému. Tyto techniky by potenciálně mohly zastavit zkoumání bodu v čase v jeho stopách. Předchozí obrázek zvýrazňuje koncept zřetězování infrastruktury. S naší schopností rozšiřování dat bychom mohli začít s malwarem, který se pokouší připojit k IP adrese (případně k příkazovému a řídicímu serveru). Tato IP adresa mohla hostovat certifikát TLS, který má běžný název, například název domény. Tato doména může být připojená ke stránce, která v kódu obsahuje jedinečný sledovací modul, například NewRelicID nebo jiné analytické ID, které jsme mohli pozorovat jinde. Nebo mohla být doména historicky připojená k jiné infrastruktuře, která by mohla osvětlit naše šetření. Hlavním poznatkem je, že jeden datový bod vytržený z kontextu nemusí být zvlášť užitečný, ale když zjistíme přirozené spojení se všemi ostatními technickými daty, můžeme začít spojovat dohromady příběh.
Perspektiva nežádoucího člověka zvenčí
Perspektiva nežádoucího člověka z vnějšku mu umožňuje využít neustále se rozšiřujícího webového a mobilního stavu, který funguje mimo bránu firewall.
Přístup k webovým a mobilním vlastnostem a interakce s nimi jako skutečný uživatel umožňuje technologiím Microsoftu pro procházení, skenování a strojové učení odzbrojit techniky úniku nežádoucích uživatelů shromažďováním dat uživatelských relací a detekcí útoků phishing, malwaru, podvodných aplikací, nežádoucího obsahu a narušení domén ve velkém měřítku. Tento přístup pomáhá poskytovat užitečná upozornění na hrozby a pracovní postupy založené na událostech ve formě analýzy hrozeb, systémových značek, přehledů analytiků a skóre reputace spojené s infrastrukturou nežádoucích uživatelů.
S tím, jak bude k dispozici více dat o hrozbách, je pro analytiky potřeba více nástrojů, vzdělávání a úsilí, aby porozuměli datovým sadám a jejich odpovídajícím hrozbám. Analýza hrozeb v programu Microsoft Defender (Defender TI) tyto snahy sjednocuje tím, že poskytuje jediné zobrazení více zdrojů dat.
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro