Encadeamento de infraestrutura
Importante
Em 30 de junho de 2024, o portalhttps://ti.defender.microsoft.com autônomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) será desativado e não estará mais acessível. Os clientes podem continuar usando o Defender TI no portal do Microsoft Defender ou com Microsoft Copilot para Segurança. Saiba Mais
O encadeamento de infraestrutura usa as relações entre conjuntos de dados altamente conectados para criar uma investigação. Esse processo é o núcleo da análise da infraestrutura de ameaças e permite que as organizações criem novas conexões, agrupam atividades de ataque semelhantes e comprovem suposições durante a resposta a incidentes.
Pré-requisitos
Examine os seguintes artigos do Defender TI:
Tudo o que você precisa é de um ponto de partida
Vemos campanhas de ataque empregar uma ampla gama de técnicas de ofuscação - desde filtragem geográfica simples até táticas complexas como impressão digital passiva do sistema operacional. Essas técnicas poderiam potencialmente parar uma investigação pontual em seus rastros. A imagem anterior destaca o conceito de encadeamento de infraestrutura. Com nossa funcionalidade de enriquecimento de dados, podemos começar com um pedaço de malware que tenta se conectar a um endereço IP (possivelmente um servidor de comando e controle). Esse endereço IP pode ter hospedado um certificado TLS que tem um nome comum, como um nome de domínio. Esse domínio pode estar conectado a uma página que contém um rastreador exclusivo no código, como um NewRelicID ou alguma outra ID analítica que poderíamos ter observado em outro lugar. Ou talvez o domínio possa ter sido historicamente conectado a outras infraestruturas que possam lançar luz sobre nossa investigação. O main takeaway é que um ponto de dados retirado do contexto pode não ser especialmente útil, mas quando observamos a conexão natural com todos esses outros dados técnicos, podemos começar a costurar uma história.
A perspectiva externa de um adversário
A perspectiva externa de um adversário permite que eles aproveitem sua presença web e móvel em constante expansão que opera fora do firewall.
Abordar e interagir com as propriedades web e móvel como um usuário real permite que a tecnologia de rastreamento, verificação e aprendizado de máquina da Microsoft desarme as técnicas de evasão dos adversários coletando dados de sessão do usuário e detectando phishing, malware, aplicativos desonestos, conteúdo indesejado e violação de domínio em escala. Essa abordagem ajuda a fornecer alertas e fluxos de trabalho acionáveis, baseados em eventos, na forma de inteligência contra ameaças, marcas de sistema, insights de analistas e pontuações de reputação associadas à infraestrutura dos adversários.
À medida que mais dados de ameaças se tornam disponíveis, mais ferramentas, educação e esforço são necessários para que os analistas entendam os conjuntos de dados e suas ameaças correspondentes. Informações sobre Ameaças do Microsoft Defender (Defender TI) unifica esses esforços fornecendo uma única exibição em várias fontes de dados.