Förstå olika threat Intelligence-koncept

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Avancerade cybersäkerhetsattacker består av flera komplexa skadliga händelser, attribut och sammanhangsberoende information. Det kan vara svårt att identifiera och avgöra vilka av dessa aktiviteter som är misstänkta. Din kunskap om kända attribut och onormala aktiviteter som är specifika för branschen är grundläggande i att veta när ett observerat beteende ska anropas som misstänkt.

Med Microsoft 365 Defender kan du skapa anpassade hotvarningar som hjälper dig att hålla reda på möjliga attackaktiviteter i organisationen. Du kan flagga misstänkta händelser för att få ihop ledtrådar och eventuellt stoppa en attackkedja. Dessa anpassade hotaviseringar visas bara i organisationen och flaggar händelser som du ställer in på att spåras.

Innan du skapar anpassade varningar för hot är det viktigt att känna till begreppen bakom aviseringsdefinitioner och indikatorer på komprometteringar (IOCs) och förhållandet mellan dem.

Aviseringsdefinitioner

Aviseringsdefinitioner är sammanhangsberoende attribut som kan användas gemensamt för att identifiera tidiga ledtrådar om en möjlig cybersäkerhetsattack. Dessa indikatorer är vanligtvis en kombination av aktiviteter, egenskaper och åtgärder som vidtas av en attackerare för att nå syftet med en attack. Att övervaka de här kombinationerna av attribut är viktigt för att nå en bra punkt mot attacker och eventuellt störa händelseskedjan innan målet för en attackerare har uppnåtts.

Indikatorer på kompromett (IOC)

IOS är individuellt kända skadliga händelser som anger att ett nätverk eller en enhet redan har brutits. Till skillnad från definitioner av aviseringar betraktas dessa indikatorer som bevis för ett brott. De syns ofta efter att en attack redan har utförts och syftet har uppnåtts, till exempel en exfiltrering. Det är också viktigt att hålla reda på IOS under undersökningarna. Även om det kanske inte går att använda en attackkedja kan insamling av dessa indikatorer vara användbart för att skapa bättre skydd för möjliga framtida attacker.

Relation mellan aviseringsdefinitioner och ICS

I samband med Microsoft 365 Defender och Microsoft Defender för Endpoint är aviseringsdefinitioner behållare för IOCs och definierar aviseringen, inklusive metadata som höjs för en viss IOC-matchning. Olika metadata tillhandahålls som en del av aviseringsdefinitionerna. Metadata, till exempel namn för aviseringsdefinition för attack, allvarlighetsgrad och beskrivning, tillhandahålls tillsammans med andra alternativ.

Varje IOC definierar logik för betongidentifiering baserat på dess typ, värde och åtgärd, som avgör hur den matchas. Den är bunden till en viss aviseringsdefinition som definierar hur en identifiering visas som en avisering på Microsoft 365 Defender konsolen.

Här är ett exempel på en IOC:

  • Typ: Sha1
  • Värde: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Åtgärd: Lika med

IOS har en många-till-ett-relation med aviseringsdefinitioner så att en aviseringsdefinition kan ha många IOC som motsvarar den.