Share via

Wat is Microsoft Defender Bedreigingsinformatie (Defender TI)?

  • Artikel

Belangrijk

Op 30 juni 2024 wordt de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender portal of met Microsoft Copilot voor Beveiliging. Meer informatie

Microsoft Defender-bedreigingsinformatie (Defender TI) is een platform dat de werkstromen voor triage, incidentrespons, opsporing van bedreigingen, beheer van beveiligingsproblemen en bedreigingsinformatieanalisten stroomlijnt bij het uitvoeren van analyse van bedreigingsinfrastructuur en het verzamelen van bedreigingsinformatie. Nu beveiligingsorganisaties een steeds grotere hoeveelheid intelligentie en waarschuwingen in hun omgeving uitvoeren, is het belangrijk om een bedreigingsanalyse te maken met een intelligence-platform dat nauwkeurige en tijdige evaluaties van waarschuwingen mogelijk maakt.

Analisten besteden een aanzienlijke hoeveelheid tijd aan het detecteren, verzamelen en parseren van gegevens, in plaats van zich te richten op wat hun organisatie daadwerkelijk helpt zichzelf te verdedigen en inzichten over de actoren af te leiden door middel van analyse en correlatie. Vaak moeten deze analisten naar meerdere opslagplaatsen gaan om de kritieke gegevenssets te verkrijgen die ze nodig hebben om een verdacht domein, host of IP-adres te beoordelen. DNS-gegevens, WHOIS-informatie, malware en SSL-certificaten bieden belangrijke context voor indicatoren van inbreuk (IOC's), maar deze opslagplaatsen worden wijd verspreid en delen niet altijd een gemeenschappelijke gegevensstructuur.

Deze brede distributie van opslagplaatsen maakt het voor analisten moeilijk om ervoor te zorgen dat ze over alle relevante gegevens beschikken die ze nodig hebben om een juiste en tijdige evaluatie van verdachte infrastructuur te maken. Interactie met deze gegevenssets kan ook omslachtig zijn en het draaien tussen deze opslagplaatsen is tijdrovend en verbruikt de resources van beveiligingsgroepen die hun reactie-inspanningen voortdurend opnieuw moeten herhalen.

Bedreigingsinformatieanalisten hebben moeite met het afwegen van een breed scala aan bedreigingsinformatieopname met de analyse van welke bedreigingsinformatie de grootste bedreigingen vormt voor hun organisatie en/of branche. In dezelfde breedte moeten analisten van beveiligingsinformatie hun inventaris van activa correleren met cve-informatie (Common Vulnerabilities and Exposures) om prioriteit te geven aan het onderzoek en herstel van de meest kritieke beveiligingsproblemen die aan hun organisatie zijn gekoppeld.

Microsoft hernieuwt de analistenwerkstroom door Defender TI te ontwikkelen, waarmee kritieke gegevensbronnen worden samengevoegd en verrijkt en weergegeven in een innovatieve, gebruiksvriendelijke interface waar gebruikers indicatoren van inbreuk (IOC's) kunnen correleren met gerelateerde artikelen, actorprofielen en beveiligingsproblemen. Met Defender TI kunnen analisten ook samenwerken met andere gebruikers met een Defender TI-licentie binnen hun tenant aan onderzoeken.

Hier volgt een schermopname van de Intel Explorer-pagina van Defender TI in de Microsoft Defender portal. Analisten kunnen snel nieuwe aanbevolen artikelen scannen en een trefwoord, indicator of CVE-id zoeken om te beginnen met het verzamelen, triageen, reageren op incidenten en opsporingsinspanningen.

ti Overzicht Startpagina Chrome Schermopname.

Defender TI-artikelen

Artikelen zijn verhalen die inzicht bieden in bedreigingsactoren, hulpprogramma's, aanvallen en beveiligingsproblemen. Defender TI-artikelen zijn geen blogberichten over bedreigingsinformatie; Hoewel deze artikelen verschillende bedreigingen samenvatten, zijn ze ook gekoppeld aan inhoud die kan worden uitgevoerd en belangrijke IOC's om gebruikers te helpen actie te ondernemen. Met deze technische informatie in de bedreigingssamenvattingen kunnen gebruikers voortdurend bedreigingsactoren, hulpprogramma's, aanvallen en beveiligingsproblemen bijhouden wanneer ze veranderen.

In de sectie Aanbevolen artikelen van de Intel Explorer-pagina (direct onder de zoekbalk) worden de bannerafbeeldingen van opmerkelijke Microsoft-inhoud weergegeven:

TI-overzicht: aanbevolen artikelen

Als u een aanbevolen artikelbanner selecteert, wordt de volledige inhoud van het artikel geladen. De momentopname van het artikel geeft u een snel inzicht in het artikel. In de call-out Indicatoren ziet u hoeveel openbare en Defender TI-indicatoren aan het artikel zijn gekoppeld.

TI-overzicht: aanbevolen artikel

Artikelen

Alle artikelen (inclusief de aanbevolen artikelen) worden weergegeven in de sectie Recente artikelen op basis van de publicatiedatum, met de meest recente bovenaan.

TI-overzichtsartikelen.

De sectie Beschrijving van een artikel bevat informatie over de geprofileerde aanvals- of bedreigingsacteur. De inhoud kan kort zijn, zoals OSINT-bulletins (opensource intelligence) of lang (voor rapportage in lange vorm, met name wanneer Microsoft het rapport aan een eigen analyse toedeelt). De langere beschrijvingen bevatten mogelijk afbeeldingen, koppelingen naar de onderliggende inhoud, koppelingen naar zoekopdrachten in Defender TI, codefragmenten van aanvallers en firewallregels om de aanval te blokkeren.

Beschrijving van ti-overzichtsartikel.

De sectie Openbare indicatoren bevat de bekende indicatoren met betrekking tot het artikel. De koppelingen in deze indicatoren brengen u naar relevante Defender TI-gegevens of externe bronnen.

TI-overzichtsartikel Openbare indicatoren.

In de sectie Defender TI-indicatoren worden de indicatoren behandeld die het eigen onderzoeksteam van Defender TI vindt met betrekking tot de artikelen. De koppelingen in deze indicatoren brengen u ook naar relevante Defender TI-gegevens of externe bronnen.

Deze koppelingen verwijzen ook naar de relevante Defender TI-gegevens of de bijbehorende externe bron.

TI-overzichtsartikel Defender TI-indicatoren.

Artikelen over beveiligingsproblemen

Defender TI biedt cve-id-zoekopdrachten om u te helpen kritieke informatie over de CVE te identificeren. CVE ID-zoekopdrachten resulteren in artikelen over beveiligingsproblemen.

Elk artikel over beveiligingsproblemen bevat:

  • Een beschrijving van de CVE
  • Een lijst met betrokken onderdelen
  • Op maat gemaakte risicobeperkingsprocedures en -strategieën
  • Gerelateerde intelligence-artikelen
  • Verwijzingen in deep and dark web chatter
  • Andere belangrijke opmerkingen

Deze artikelen bieden diepere context en bruikbare inzichten achter elke CVE, zodat gebruikers deze beveiligingsproblemen sneller kunnen begrijpen en verhelpen.

Artikelen over beveiligingsproblemen bevatten ook een Defender TI-prioriteitsscore en ernst-indicator. De Defender TI-prioriteitsscore is een uniek algoritme dat de prioriteit van een CVE weergeeft op basis van de CVSS-score (Common Vulnerability Scoring System), exploits, chatter en koppeling met malware. Het evalueert de recency van deze onderdelen, zodat u begrijpt welke CVE's het eerst moeten worden hersteld.

Reputatiescore

IP-reputatiegegevens zijn belangrijk voor het begrijpen van de betrouwbaarheid van uw eigen aanvalsoppervlak en zijn ook nuttig bij het beoordelen van onbekende hosts, domeinen of IP-adressen die in onderzoeken worden weergegeven. Defender TI biedt eigen reputatiescores voor elke host, domein of IP-adres. Of u nu de reputatie van een bekende of onbekende entiteit valideert, deze scores helpen u snel inzicht te krijgen in gedetecteerde banden met schadelijke of verdachte infrastructuur.

Reputatieoverzichtskaart

Defender TI biedt snelle informatie over de activiteit van deze entiteiten, zoals eerste en laatst gezien tijdstempels, ASN (Autonomous System Number), land of regio, gekoppelde infrastructuur en een lijst met regels die van invloed zijn op de reputatiescore, indien van toepassing.

Meer informatie over reputatiescores

Inzichten van analisten

Inzichten van analisten destilleren de enorme gegevensset van Microsoft in een handvol waarnemingen die het onderzoek vereenvoudigen en beter benaderbaar maken voor analisten van alle niveaus.

Inzichten zijn bedoeld als kleine feiten of opmerkingen over een domein of IP-adres. Ze bieden u de mogelijkheid om de opgevraagde indicator te beoordelen en uw vermogen te verbeteren om te bepalen of een indicator die u onderzoekt schadelijk, verdacht of goedaardig is.

Overzichtstabblad Inzichten van analisten

Meer informatie over inzichten van analisten

Gegevenssets

Microsoft centraliseert talloze gegevenssets in Defender TI, zodat de community en klanten van Microsoft gemakkelijker infrastructuuranalyses kunnen uitvoeren. De primaire focus van Microsoft is om zoveel mogelijk gegevens over de internetinfrastructuur te verstrekken ter ondersteuning van verschillende beveiligingsgebruiksscenario's.

Microsoft verzamelt, analyseert en indexeert internetgegevens met behulp van DNS-sensoren (passieve domeinnaamsystemen), poortscans, URL- en bestandsontplozing en andere bronnen om gebruikers te helpen bij het detecteren van bedreigingen, het prioriteren van incidenten en het identificeren van infrastructuur die is gekoppeld aan bedreigingsgroepen. Uw URL-zoekopdrachten kunnen worden gebruikt om automatisch detonaties te initiëren als er op het moment van de aanvraag geen beschikbare detonatiegegevens voor een URL beschikbaar zijn. De gegevens die uit dergelijke ontploppingen worden verzameld, worden gebruikt om resultaten te vullen voor toekomstige zoekopdrachten naar die URL van u of andere Defender TI-gebruikers.

Ondersteunde internetgegevenssets zijn onder andere:

  • Oplossingen
  • WHOIS
  • SSL-certificaten
  • Subdomeinen
  • DNS
  • Omgekeerde DNS
  • Detonatieanalyse
  • Afgeleide gegevenssets die zijn verzameld op basis van het Document Object Model (DOM) van ontplofde URL's, waaronder:
    • Trackers
    • Onderdelen
    • Hostparen
    • Cookies

Onderdelen en trackers worden ook waargenomen op basis van detectieregels die worden geactiveerd op basis van de bannerreacties van poortscans of SSL-certificaatdetails. Veel van deze gegevenssets hebben verschillende methoden om gegevens te sorteren, te filteren en te downloaden, zodat u gemakkelijker toegang hebt tot informatie die mogelijk is gekoppeld aan een specifiek indicatortype of een bepaald tijdstip in de geschiedenis.

Schermopname van het sorteren van gegevenssets.

Meer informatie:

Tags

Defender TI-tags bieden snel inzicht in een indicator, afgeleid door het systeem of gegenereerd door andere gebruikers. Tags helpen analisten verband te leggen tussen huidige incidenten en onderzoeken en hun historische context voor een betere analyse.

Defender TI biedt twee typen tags: systeemtags en aangepaste tags.

Aangepaste tags

Meer informatie over het gebruik van tags

Projecten

Met Defender TI kunnen gebruikers meerdere projecttypen ontwikkelen voor het organiseren van indicatoren van interesse en indicatoren van inbreuk op basis van een onderzoek. Projecten bevatten een lijst met alle bijbehorende indicatoren en een gedetailleerde geschiedenis die de namen, beschrijvingen en samenwerkers behoudt.

Wanneer u zoekt naar een IP-adres, domein of host in Defender TI, en als die indicator wordt weergegeven in een project waartoe u toegang hebt, ziet u een koppeling naar het project in de sectie Projecten op de tabbladen Samenvatting en Gegevens . Van daaruit kunt u naar de details van het project navigeren voor meer context over de indicator voordat u de andere gegevenssets bekijkt voor meer informatie. U kunt daarom voorkomen dat u het wiel van een onderzoek opnieuw uitvindt dat een van uw Defender TI-tenantgebruikers mogelijk al is gestart. Als iemand u toevoegt als samenwerker aan een project, kunt u ook toevoegen aan dat onderzoek door nieuwe IOC's toe te voegen.

Defender TI: projectoverzicht

Meer informatie over het gebruik van projecten

Gegevenslocatie, beschikbaarheid en privacy

Defender TI bevat zowel globale gegevens als klantspecifieke gegevens. De onderliggende internetgegevens zijn globale Microsoft-gegevens; labels die door klanten worden toegepast, worden als klantgegevens beschouwd. Alle klantgegevens worden opgeslagen in de regio van de klant die de klant kiest.

Om veiligheidsredenen verzamelt Microsoft de IP-adressen van gebruikers wanneer ze zich aanmelden. Deze gegevens worden maximaal 30 dagen bewaard, maar kunnen langer worden opgeslagen als dat nodig is om mogelijk frauduleus of kwaadwillig gebruik van het product te onderzoeken.

In een scenario met regio-uitval moeten klanten geen downtime zien, omdat Defender TI gebruikmaakt van technologieën die gegevens repliceren naar back-upregio's.

Defender TI verwerkt klantgegevens. Klantgegevens worden standaard gerepliceerd naar de gekoppelde regio.

Zie ook