Compartilhar via

Usando projetos

  • Artigo

Importante

Em 30 de junho de 2024, o portalhttps://ti.defender.microsoft.com autônomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) será desativado e não estará mais acessível. Os clientes podem continuar usando o Defender TI no portal do Microsoft Defender ou com Microsoft Copilot para Segurança. Saiba Mais

Informações sobre Ameaças do Microsoft Defender (Defender TI) permite desenvolver projetos pessoais ou de equipe privados para organizar indicadores de interesse e indicadores de comprometimento (IOCs) de uma investigação. Os projetos contêm uma listagem de todos os artefatos associados e um histórico detalhado que mantém os nomes, descrições, colaboradores e perfis de monitoramento.

Ao pesquisar um endereço IP, domínio ou host no Gerenciador do Intel no portal Microsoft Defender e se esse indicador estiver listado em um projeto ao qual você tem acesso, você poderá acessar a guia Projetos e navegar até os detalhes do projeto para obter mais contexto sobre o indicador antes de revisar os outros conjuntos de dados para obter mais informações. Você também pode exibir seus projetos de equipe privada no portal do Defender acessandoprojetos intelde inteligência> contra ameaças.

Visitar os detalhes de um projeto mostra uma listagem de todos os artefatos associados e um histórico detalhado que mantém todo o contexto descrito anteriormente. Você e outros usuários da sua organização não precisam mais gastar tempo se comunicando para frente e para trás. Você pode criar perfis de ator de ameaça no Defender TI, que podem servir como um conjunto "vivo" de indicadores. Ao descobrir ou encontrar novas informações, você pode adicioná-la a esse projeto.

A plataforma Defender TI permite desenvolver vários tipos de projeto para organizar indicadores de interesse e IOCs de uma investigação.

O proprietário do projeto pode adicionar colaboradores (usuários listados em seu locatário do Azure com uma licença premium do Defender TI), que podem fazer alterações no projeto como se fossem o proprietário do projeto. No entanto, os colaboradores não podem excluir projetos. Os colaboradores podem exibir os projetos compartilhados com eles na guia Projetos compartilhados na página projetos intel.

Você também pode baixar artefatos em um projeto selecionando o ícone Baixar . Esse recurso é uma ótima maneira de as equipes de busca de ameaças usarem suas descobertas de uma investigação para bloquear IOCs ou criar mais regras de detecção em seus aplicativos SIEM (gerenciamento de eventos e informações de segurança).

Projetos de perguntas podem ajudar a responder:

  • Um dos meus colegas de equipe criou um projeto de equipe que inclui esse indicador?

    • Em caso afirmativo, quais outros IOCs relacionados capturaram esse membro da equipe e quais descrição e marcas incluíram para descrever o tipo de investigação?

  • Quando esse membro da equipe editou o projeto pela última vez?

Captura de tela de detalhes do projeto.

Pré-requisitos

  • Uma conta da Microsoft Microsoft Entra ID ou pessoal. Entrar ou criar uma conta

  • Uma licença premium do Defender TI.

    Observação

    Usuários sem uma licença premium do Defender TI ainda podem acessar nossa oferta gratuita do Defender TI.

Página Abrir projetos do Defender TI Intel no portal do Microsoft Defender

A página projetos intel mostra os projetos que você possui ou que foram compartilhados com você por outros usuários do Defender TI em seu locatário.

  1. Acesse o portal do Defender e conclua o processo de autenticação da Microsoft. Saiba mais sobre o portal do Defender
  2. Navegue até projetos intel de inteligência>contra ameaças.

Criando um projeto

Você pode criar um projeto no portal do Defender de duas maneiras:

  1. Para criar um projeto na página projetos intel, selecione Novo projeto.

    Create novo projeto da página projetos intel.

  2. Para criar um novo projeto durante a execução de uma investigação na página do Explorador intel, execute uma pesquisa de indicadores na pesquisa do explorador intel e selecione Adicionar ao projeto>Adicionar novo projeto nos resultados da pesquisa.

    Create novo projeto dos resultados da pesquisa.

No painel Novo lado do projeto exibido, preencha os campos necessários e selecione Salvar.

Adicionar novo projeto.

Gerenciando projetos

Depois de criar um projeto, você pode gerenciá-lo na página projetos intel. Esta página exibe todos os projetos que você pode acessar e fornece mecanismos de filtragem com base nas propriedades do projeto.

Por padrão, a página projetos intel exibe os projetos de equipe associados a todos os usuários do Defender TI em seu locatário. Você pode optar por exibir apenas os projetos pessoais que você criou ou os projetos compartilhados com você para contribuir.

Gerenciando projetos.

  • Para exibir os detalhes de um projeto, selecione o nome do projeto.
  • Para fazer alterações diretamente no projeto, selecione Editar no canto superior direito da página do projeto. Você só pode editar projetos se tiver o nível de acesso suficiente para eles.
  • Para adicionar artefatos manualmente em um projeto, selecione Adicionar artefato no canto superior direito da página do projeto.
  • Para excluir um projeto, selecione Remover projeto. Você só pode excluir os projetos que possui.

Práticas recomendadas

Quando se trata de usar o Defender TI para investigar possíveis ameaças, recomendamos executar os fluxos de trabalho a seguir, pois essas etapas permitem que você colete inteligência estratégica e operacional antes de mergulhar na inteligência tática.

Você executa vários tipos de pesquisas no Defender TI. Como tal, é importante abordar seu método de coleta de informações de uma maneira que lhe apresente resultados amplos antes de investigar indicadores específicos. Por exemplo, se você pesquisar um endereço IP na página do Explorador intel, quais artigos estão associados a esse endereço IP? Quais informações esses artigos apresentam sobre o endereço IP que você não encontraria navegando diretamente na guia Dados do endereço IP para enriquecimento do conjunto de dados. Por exemplo, esse endereço IP foi identificado como um possível servidor C2 (comando e controle)? Quem é o ator de ameaças? Quais outros IOCs relacionados estão listados no artigo, quais táticas, técnicas e procedimentos (TTPs) são o ator de ameaças usando e quem eles estão mirando?

Além de executar vários tipos de pesquisas no Defender TI, você pode colaborar com outras pessoas em investigações. Dito isso, você é incentivado a criar projetos, adicionar indicadores relacionados a uma investigação a um projeto e adicionar colaboradores a um projeto se mais de uma pessoa estiver trabalhando na mesma investigação. Isso ajuda a reduzir o tempo gasto analisando os mesmos IOCs e deve resultar em um fluxo de trabalho mais rápido observado.