プロジェクトの使用

  • [アーティクル]

重要

2024 年 6 月 30 日に、Microsoft Defender 脅威インテリジェンス (Defender TI) スタンドアロン ポータル (https://ti.defender.microsoft.com) は廃止され、アクセスできなくなります。 お客様は、Microsoft Defender ポータルまたはMicrosoft Copilot for Securityで Defender TI を引き続き使用できます。 詳細情報

Microsoft Defender 脅威インテリジェンス (Defender TI) を使用すると、個人プロジェクトまたはチーム プロジェクトを開発して、調査から関心のあるインジケーターと侵害のインジケーター (IOC) を整理できます。 プロジェクトには、関連付けられているすべての成果物の一覧と、名前、説明、コラボレーター、監視プロファイルを保持する詳細な履歴が含まれています。

Microsoft Defender ポータル内の Intel Explorer で IP アドレス、ドメイン、またはホストを検索し、そのインジケーターがアクセスできるプロジェクト内に一覧表示されている場合は、[プロジェクト] タブに移動し、プロジェクトの詳細に移動してインジケーターに関する詳細なコンテキストを確認してから、他のデータ セットの詳細を確認できます。 また、Defender ポータルでプライベート チーム プロジェクトを表示するには、 脅威インテリジェンス>Intel プロジェクトに移動します。

プロジェクトの詳細にアクセスすると、関連するすべての成果物の一覧と、前に説明したすべてのコンテキストを保持する詳細な履歴が表示されます。 ユーザーとorganization内の他のユーザーは、通信に時間を費やす必要がなくなりました。 Defender TI 内に脅威アクター プロファイルを構築できます。これは、"生きている" インジケーターのセットとして機能します。 新しい情報を見つけたり見つけたりすると、そのプロジェクトに追加できます。

Defender TI プラットフォームを使用すると、調査から関心のあるインジケーターと IOC を整理するための複数のプロジェクトの種類を開発できます。

プロジェクト所有者は、プロジェクトの所有者であるかのようにプロジェクトに変更を加えることができるコラボレーター (Defender TI Premium ライセンスを持つ Azure テナントにリストされているユーザー) を追加できます。 ただし、コラボレーターはプロジェクトを削除できません。 コラボレーターは、Intel プロジェクト ページの [ 共有プロジェクト ] タブで、共有されているプロジェクトを表示できます。

[ダウンロード] アイコンを選択して、プロジェクト内の成果物を ダウンロード することもできます。 この機能は、脅威ハンティング チームが調査結果を使用して IOC をブロックしたり、セキュリティ情報とイベント管理 (SIEM) アプリケーション内でより多くの検出ルールを構築したりするための優れた方法です。

質問プロジェクトは、次の回答に役立つ場合があります。

  • 仲間のチーム メンバーの 1 人がこのインジケーターを含むチーム プロジェクトを作成しましたか?

    • その場合、このチーム メンバーがキャプチャしたその他の関連 IOC と、調査の種類を説明するために含めた説明とタグは何ですか?

  • このチーム メンバーがプロジェクトを最後に編集したのはいつですか?

プロジェクトの詳細のスクリーンショット。

前提条件

  • Microsoft Entra IDまたは個人の Microsoft アカウント。 サインインまたはアカウントの作成

  • Defender TI Premium ライセンス。

    注:

    Defender TI Premium ライセンスを持たないユーザーは、引き続き無料の Defender TI オファリングにアクセスできます。

Microsoft Defender ポータルで Defender TI Intel プロジェクト ページを開く

[Intel projects]\(Intel プロジェクト\) ページには、所有しているプロジェクト、またはテナント内の他の Defender TI ユーザーによって共有されたプロジェクトが表示されます。

  1. Defender ポータルにアクセスし、Microsoft 認証プロセスを完了します。 Defender ポータルの詳細
  2. 脅威インテリジェンス>Intel プロジェクトに移動します。

プロジェクトの作成

Defender ポータルでは、次の 2 つの方法でプロジェクトを作成できます。

  1. [Intel projects]\(Intel プロジェクト\) ページからプロジェクトを作成するには、[新しいプロジェクト] を選択します。

    [Intel プロジェクト] ページから新しいプロジェクトをCreateします。

  2. Intel エクスプローラー ページで調査中に新しいプロジェクトを作成するには、Intel エクスプローラー検索からインジケーター検索を実行し、検索結果で [プロジェクトに追加] [新しいプロジェクト>の追加] を選択します。

    検索結果から新しいプロジェクトをCreateします。

表示された [ 新しいプロジェクト ] サイド パネルで、必要なフィールドに入力し、[保存] を選択 します

新しいプロジェクトを追加します。

プロジェクトの管理

プロジェクトを作成したら、 Intel プロジェクト ページでプロジェクトを管理できます。 このページには、アクセスできるすべてのプロジェクトが表示され、プロジェクトのプロパティに基づいてフィルター処理メカニズムが提供されます。

既定では、Intel プロジェクト ページには、テナント内のすべての Defender TI ユーザーに関連付けられているチーム プロジェクトが表示されます。 作成した個人用プロジェクト、または投稿先として共有されたプロジェクトのみを表示できます。

プロジェクトの管理。

  • プロジェクトの詳細を表示するには、プロジェクトの名前を選択します。
  • プロジェクトを直接変更するには、プロジェクト ページの右上隅にある [編集] を選択します。 プロジェクトに対する十分なアクセス レベルがある場合にのみ、プロジェクトを編集できます。
  • プロジェクトに成果物を手動で追加するには、プロジェクト ページの右上隅にある [成果物の追加 ] を選択します。
  • プロジェクトを削除するには、[ プロジェクトの削除] を選択します。 削除できるのは、所有するプロジェクトのみです。

ベスト プラクティス

Defender TI を使用して潜在的な脅威を調査する場合は、戦術インテリジェンスに飛び込む前に戦略および運用インテリジェンスを収集できるように、次のワークフローを実行することをお勧めします。

Defender TI 内でさまざまな種類の検索を実行します。 そのため、特定のインジケーターの調査に進む前に、広範な結果を表示する方法でインテリジェンス収集方法にアプローチすることが重要です。 たとえば、Intel エクスプローラー ページで IP アドレスを検索した場合、その IP アドレスに関連付けられている記事は何ですか? これらの記事では、データセット エンリッチメント用の IP アドレスの [ データ ] タブに直接移動する場合に見つからない IP アドレスに関する情報が表示されます。 たとえば、この IP アドレスは、可能なコマンド アンド コントロール (C2) サーバーとして識別されていますか? 脅威アクターは誰ですか? この記事に記載されているその他の関連 IOC、脅威アクターが使用している戦術、手法、手順 (TCP) と、その対象は誰ですか?

Defender TI でさまざまな種類の検索を実行するだけでなく、調査に関する他のユーザーと共同作業を行うことができます。 つまり、複数の人が同じ調査に取り組んでいる場合は、プロジェクトを作成し、調査に関連するインジケーターをプロジェクトに追加し、プロジェクトにコラボレーターを追加することをお勧めします。 これにより、同じ IOC の分析に費やす時間が短縮され、より迅速なワークフローが観察されます。