Gegevens delen en uitwisselen

  • Artikel

De missie van microsoft's Government Security Program (GSP) is het opbouwen van vertrouwen door middel van transparantie. Sinds het begin van het programma in 2003 heeft Microsoft inzicht gegeven in onze technologie- en beveiligingsartefacten, die overheden en internationale organisaties kunnen gebruiken om zichzelf en hun burgers te beschermen. Met de aanbieding Voor het delen van gegevens en Exchange kan Microsoft materialen delen en uitwisselen over beveiligingsrisico's, beveiligingsproblemen, afwijkend gedrag, informatie over malware en beveiligingsproblemen tegen of gerelateerd aan Microsoft-producten en -services.

Dit aanbod brengt groepen en resources samen in de Microsoft-omgeving om overheden te helpen burgers, infrastructuur en organisaties te beschermen.

Het isE-aanbod (Information Sharing and Exchange) biedt

Naam Details
Geavanceerde kennisgeving van beveiligingsproblemen
  • 5-daagse geavanceerde kennisgeving van beveiligingsproblemen met releaseopmerkingen en betrokken softwaretabellen
  • Geavanceerde kennisgeving van 24 uur, inclusief exploitabiliteitsindex
    		•
    Schadelijke URL's
  • Feed van mogelijk kwaadwillende openbaar gerichte servers en services gedetecteerd door Bing-crawlers
  • Elke drie uur wordt de gegevenscyclus van 5 dagen bijgewerkt
    		•
    CTIP-botnetfeeds
  • Geleverd door de Digital Crimes Unit (DCU) Cyber Threat Intelligence Program (CTIP)
  • Botnet-gegevens zijn afgestemd op het agentschap (of het domein op het hoogste niveau van landcode in het geval van CERT's)
  • 4 feeds: Geïnfecteerd apparaat, Command & Control, IoT en domeinen
  • Bijna realtime, elk uur of dagelijks geleverd (ontdubbeld)
    		•
    Metagegevens van schone bestanden
  • Clean file hash data vaak gebruikt voor allow-listing en forensische gegevens
  • Elke 3 uur bijgewerkt
  • Behandelt alle binaire Microsoft-bestanden in het Microsoft Downloadcentrum
    		•
    Partnerschap
  • Informatie-uitwisseling via verschillende forums
  • Toegang tot de DCU-portal (Digital Crimes Community)
  • Gegevens over bedreigingsinformatie delen met de Digital Crimes Unit (DCU)
  • Directe betrokkenheid met technische groepen en andere Microsoft-teams, waaronder het Microsoft Security Response Center (MSRC) en Windows Defender Security Intelligence
    		•

    Levering van gegevensfeeds

    De feeds die worden aangeboden onder de ISE-autorisatie bevinden zich in verschillende groepen, waaronder het Microsoft Security Response Center (MSRC), de Digital Crimes Unit (DCU), Bing en Product Release and Security Services (PRSS).

    Het GSP-team biedt een webtoepassing waarmee GSP-instanties toegang hebben tot de ISE-gegevensfeeds vanuit één interface. Alle communicatie met gevoelige gegevens wordt versleuteld.

    Data Feed delivery

    Beschrijvingen van gegevensgebruik

    Advanced Security Update Notification Het kennisgevingspakket vermeldt alle CVE's (Common Vulnerabilities and Exposures) die in de release worden behandeld. Elke CVE bevat een set informatie, waaronder de beschrijving van beveiligingsproblemen (inclusief metrische gegevens), exploitabiliteitsindex en beïnvloede software.

    Content for each CVE

    Bing Schadelijke URL's De Bing Schadelijke URL-feed bevat openbaar gerichte servers of services die zijn geïdentificeerd als mogelijk schadelijk. Nieuwe bestanden worden elke drie uur geüpload; volledige gegevenssets worden binnen 5 dagen gegenereerd. Veel agentschappen importeren de JSON-bestanden rechtstreeks in hun bestaande hulpprogramma's voor bedreigingsinformatieanalyse.

    Geo map of IPs

    Threat types

    Clean File Meta Data (CFMD)

    De CFMD-feed (Clean File Meta Data) bevat cryptografische handtekeningen (SHA256 hashes) voor de bestanden in Microsoft-producten. Deze worden vaak gebruikt bij forensisch onderzoek van mogelijk aangetaste apparaten en voor het toestaan/weigeren van bestandsuitvoering in kritieke systemen.

    Clean File Metadata

    CTIP Botnet-feeds: Geïnfecteerde gegevensfeed

    De DCU biedt gecompromitteerde botnetgegevens van slachtoffers via de CTIP threat intelligence-service Geïnfecteerde apparaatgegevensfeed van de DCU, om netwerkbeveiligingsscenario's voor CTIP-abonnees mogelijk te maken en om het herstel van de aangetaste systemen te vergemakkelijken met het doel het aantal geïnfecteerde systemen op internet te verminderen. Andere feeds zijn onder andere de lijsten Command and Control (C2), IoT en Domains die vaak worden gebruikt om de verkeersstroom te beperken tot bekende malwarenetwerken via firewalls en beschermende DNS.

    CTIP data 1

    CTIP data 2

    Contact opnemen

    Neem contact op met uw lokale Microsoft-vertegenwoordiger voor meer informatie over het Government Security Program.