Построение цепочек инфраструктуры
Важно!
30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) будет прекращен и больше не будет доступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Copilot для безопасности. Подробнее
Цепочка инфраструктуры использует связи между высоко связанными наборами данных для построения исследования. Этот процесс является основой анализа инфраструктуры угроз и позволяет организациям устанавливать новые подключения, группировать аналогичные действия по атакам и обосновать предположения во время реагирования на инциденты.
Предварительные условия
Ознакомьтесь со следующими статьями По ti Defender:
Все, что вам нужно, это отправная точка
Мы видим, что кампании атак используют широкий спектр методов маскации - от простой геофильтрации до сложных тактик, таких как пассивные отпечатки пальцев ОС. Эти методы потенциально могут остановить исследование на определенный момент времени в своих направлениях. На предыдущем изображении выделена концепция цепочки инфраструктуры. Благодаря возможности обогащения данных мы могли бы начать с вредоносной программы, которая пытается подключиться к IP-адресу (возможно, к серверу управления и команд). На этом IP-адресе мог размещаться сертификат TLS с общим именем, например доменным именем. Этот домен может быть подключен к странице, содержащей уникальный трекер в коде, например NewRelicID или другой аналитический идентификатор, который мы могли наблюдать в другом месте. Или, возможно, предметная область исторически была связана с другой инфраструктурой, которая могла бы пролить свет на наше расследование. Main вывод заключается в том, что одна точка данных, выведенная из контекста, может быть не особенно полезной, но когда мы наблюдаем естественную связь со всеми другими техническими данными, мы можем начать сшивать историю.
Внешняя перспектива противника
Внешняя перспектива злоумышленника позволяет ему воспользоваться преимуществами постоянно расширяющегося присутствия в Интернете и мобильных устройствах, которые работают за пределами брандмауэра.
Подход и взаимодействие с веб-свойствами и мобильными свойствами в качестве реального пользователя позволяет технологии обхода контента, сканирования и машинного обучения корпорации Майкрософт обезоружить методы уклонения злоумышленников путем сбора данных сеанса пользователя и обнаружения фишинга, вредоносных программ, изгоев приложений, нежелательного содержимого и нарушения прав домена в большом масштабе. Такой подход помогает предоставлять практические оповещения об угрозах и рабочие процессы на основе событий в виде аналитики угроз, системных тегов, аналитиков и оценки репутации , связанных с инфраструктурой злоумышленников.
По мере того как становится доступно больше данных об угрозах, аналитикам требуется больше инструментов, образования и усилий, чтобы понять наборы данных и соответствующие им угрозы. Аналитика угроз Microsoft Defender (Defender TI) объединяет эти усилия, предоставляя одно представление в нескольких источниках данных.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по