Pesquisando e girando

  • Artigo

Importante

Em 30 de junho de 2024, o portalhttps://ti.defender.microsoft.com autônomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) será desativado e não estará mais acessível. Os clientes podem continuar usando o Defender TI no portal do Microsoft Defender ou com Microsoft Copilot para Segurança. Saiba Mais

Informações sobre Ameaças do Microsoft Defender (Defender TI) oferece um mecanismo de pesquisa robusto e flexível para simplificar o processo de investigação. O Defender TI foi projetado para permitir que você pivote em vários indicadores de diferentes fontes de dados, tornando mais fácil do que nunca descobrir relações entre infraestruturas diferentes.

Este artigo ajuda você a entender como conduzir uma pesquisa e pivotar em diferentes conjuntos de dados para descobrir relações entre artefatos diferentes.

Captura de tela de pesquisa do Explorador intel.

Pré-requisitos

  • Uma conta da Microsoft Microsoft Entra ID ou pessoal. Entrar ou criar uma conta

  • Uma licença premium do Defender TI.

    Observação

    Usuários sem uma licença premium do Defender TI ainda podem acessar nossa oferta gratuita do Defender TI.

Abrir o Defender TI no portal do Microsoft Defender

  1. Acesse o portal do Defender e conclua o processo de autenticação da Microsoft. Saiba mais sobre o portal do Defender
  2. Navegue até oGerenciador intelde inteligência> contra ameaças.

Executando pesquisas e pivôs de inteligência contra ameaças

A pesquisa do Gerenciador intel do Defender TI é simples e poderosa, projetada para fornecer informações de chave imediatas e, ao mesmo tempo, permitir que você interaja diretamente com os conjuntos de dados que compõem esses insights. A barra de pesquisa dá suporte a entradas diferentes; você pode pesquisar artefatos específicos e nomes de artigo ou projeto.

Pesquisar tipos de artefato

  1. Endereço IP: Pesquisar 195.161.141[.] 65 na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de endereço IP.

  2. Domínio: Pesquise fabrikam.com na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de domínio.

  3. Host: Pesquise canary.fabrikam.com na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de host.

  4. Palavra:Pesquise apt29 na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de palavra-chave. As pesquisas de palavra-chave abrangem qualquer tipo de palavra-chave, que pode incluir um termo ou endereço de email, entre outros, e resultam em associações com artigos, projetos e conjuntos de dados.

  5. ID de CVE (Vulnerabilidades e Exposições Comuns): Pesquise CVE-2021-40444 na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de palavra-chave de ID CVE.

  6. Artigo: Pesquisar tendências de skimming de commodities & Magecart no primeiro trimestre de 2022 na barra de pesquisa do Explorador intel. Essa ação resulta em uma pesquisa de artigo.

  7. Tag: Escolha Marcar no menu suspenso da barra de pesquisa do Explorador intel e pesquise magecart. Essa ação resulta em uma pesquisa de marca.

    Observação

    Essa pesquisa não retorna artigos que compartilham esse valor de marca.

  8. Componente: Escolha Componente no menu suspenso da barra de pesquisa do Explorador intel e, em seguida, pesquise cobalt strike Essa ação resulta em uma pesquisa de componentes.

  9. Tracker: Escolha Rastreadores no menu suspenso da barra de pesquisa do Explorador intel e pesquise 07d14d16d21d21d21d00042d41d00041d47e4e0ae17960b2a5b4fd6107fbb0926. Essa ação resulta em uma pesquisa de rastreador.

    Observação

    Este exemplo é um tipo de rastreador JarmHash .

  10. Email do WHOIS: Escolha WHOIS>Email no menu suspenso da barra de pesquisa do Explorador intel e pesquise domains@microsoft.com. Essa ação resulta em uma pesquisa de email do WHOIS.

  11. Nome do WHOIS: EscolhaNomedo WHOIS> no menu suspenso da barra de pesquisa do Explorador intel e pesquise MSN Hostmaster. Essa ação resulta em uma pesquisa de nome whois.

  12. Organização WHOIS: EscolhaOrganizaçãoWHOIS> no menu suspenso da barra de pesquisa do Explorador intel e pesquise a Microsoft Corporation. Essa ação resulta em uma pesquisa da organização WHOIS.

  13. Endereço WHOIS: EscolhaEndereçoWHOIS> no menu suspenso da barra de pesquisa do Explorador intel e pesquise One Microsoft Way. Essa ação resulta em uma pesquisa de endereço WHOIS.

  14. Cidade do WHOIS: Escolha WHOIS>City no menu suspenso da barra de pesquisa do Explorador intel e pesquise Redmond. Essa ação resulta em uma pesquisa da cidade do WHOIS.

  15. Estado WHOIS: EscolhaEstadoWHOIS> no menu suspenso da barra de pesquisa do Explorador intel e pesquise WA. Essa ação resulta em uma pesquisa de estado whois.

  16. Código postal WHOIS: EscolhaCÓDIGO POSTALWHOIS> no menu suspenso da barra de pesquisa do Explorador intel e pesquise 98052. Essa ação resulta em uma pesquisa de código postal WHOIS.

  17. País WHOIS: Escolha WHOIS>Country no menu suspenso da barra de pesquisa do Explorador intel e pesquise nos EUA. Essa ação resulta em uma pesquisa de país/região do WHOIS.

  18. Telefone WHOIS: Escolha WHOIS>Phone no menu suspenso da barra de pesquisa do Explorador intel e pesquise +1.4258828080. Essa ação resulta em uma pesquisa telefônica whois.

  19. Nome do WHOIS: Escolha WhoIS>Nameserver no menu suspenso da barra de pesquisa do Explorador intel e pesquise ns1-03.azure-dns.com. Essa ação resulta em uma pesquisa de nomes do WHOIS.

  20. Certificado SHA-1: Escolha Certificado>SHA-1 no menu suspenso da barra de pesquisa do Explorador Intel e pesquise 35cd04a03ef866664623581cbd56e45ed07729678. Essa ação resulta em uma pesquisa sha-1 de certificado.

  21. Número de série de certificado: Escolha Númerode série de certificado> no menu suspenso da barra de pesquisa do Explorador intel e pesquise 1137354899731266880939192213383415094395905558. Essa ação resulta em uma pesquisa de número de série de certificado.

  22. Nome comum do emissor de certificado: Escolhao nome comum do Emissor de Certificados> no menu suspenso da barra de pesquisa do Explorador intel e pesquise a CA 05 emissora do Microsoft Azure TLS. Essa ação resulta em uma pesquisa de nome comum do emissor de certificado.

  23. Nome alternativo do emissor de certificado: Escolhao nome alternativo do Emissor de Certificados> no menu suspenso da barra de pesquisa do Explorador intel e pesquise um nome alternativo do emissor de certificado. Essa ação resulta em uma pesquisa de nome alternativo do emissor de certificado.

  24. Nome comum da entidade de certificado: EscolhaNome comum da entidade de certificado> no menu suspenso da barra de pesquisa do Explorador intel e pesquise *.oneroute.microsoft.com. Essa ação resulta em uma pesquisa de nome comum de entidade de certificado.

  25. Nome alternativo da entidade de certificado: EscolhaNome alternativo da entidade de certificado> no menu suspenso da barra de pesquisa do Explorador intel e pesquise oneroute.microsoft.com. Essa ação resulta em uma pesquisa de nome alternativo de entidade de certificado.

  26. Nome do cookie: EscolhaNome do Cookie> no menu suspenso da barra de pesquisa do Explorador intel e pesquise ARRAffinity. Essa ação resulta em uma pesquisa de nome de cookie.

  27. Domínio cookie: EscolhaDomínio de Cookie> no menu suspenso da barra de pesquisa do Explorador intel e pesquise portal.fabrikam.com. Essa ação resulta em uma pesquisa de domínio de cookie.

Pivôs

Para qualquer uma das pesquisas realizadas nas etapas anteriores, há artefatos com hiperlinks que podem ser dinâmicos para descobrir mais resultados enriquecidos associados a esses indicadores. Sinta-se à vontade para experimentar com pivôs por conta própria.

Resultados da pesquisa

Os resultados de uma pesquisa de inteligência contra ameaças podem ser agrupados nas seguintes seções:

Principais insights

O Defender TI fornece algumas informações básicas sobre o artefato na parte superior da página de resultados da pesquisa. Essas informações podem incluir qualquer um dos seguintes, dependendo do tipo de artefato.

Pesquisar resultados principais insights.

  • País/Região: O sinalizador ao lado do endereço IP indica o país ou a região de origem do artefato, o que pode ajudar a determinar sua reputação ou postura de segurança. Na captura de tela de exemplo anterior, o endereço IP é hospedado na infraestrutura no Estados Unidos.
  • Reputação: No exemplo, o endereço IP é marcado como Mal-intencionado, o que indica que o Defender TI detectou conexões entre esse artefato e a infraestrutura de adversário conhecida. Artefatos também podem ser marcados como Suspeitos, Neutros ou Desconhecidos.
  • Visto pela primeira vez: Esse carimbo de data/hora indica quando o Defender TI observou o artefato pela primeira vez. Entender o tempo de vida de um artefato pode ajudar a determinar sua reputação.
  • Visto pela última vez: Esse carimbo de data/hora indica quando o Defender TI observou o artefato pela última vez. Essas informações ajudam a determinar se o artefato ainda é usado ativamente.
  • Bloco IP: O bloco IP que inclui o artefato de endereço IP consultado.
  • Registrador: O registrador associado ao registro WHOIS para o artefato de domínio consultado.
  • Registante: O nome do registrador dentro dos dados whois de um artefato.
  • ASN: O ASN (número do sistema autônomo) associado ao artefato.
  • SISTEMA OPERACIONAL: O sistema operacional associado ao artefato.
  • Host: O provedor de hospedagem do artefato. Alguns provedores de hospedagem são mais respeitáveis do que outros, portanto, esse valor pode ajudar a indicar a validade de um artefato.

Esta seção também mostra todas as marcas aplicadas ao artefato ou a quaisquer projetos que o incluam. Você também pode adicionar uma marca ao artefato ou adicioná-la a um projeto. Saiba mais sobre como usar marcas

Resumo

A guia Resumo apresenta as principais descobertas sobre um artefato que o Defender TI deriva de nossos conjuntos de dados expansivos para ajudar a iniciar uma investigação.

  • Reputação: O Defender TI fornece pontuações de reputação proprietárias para qualquer host, domínio ou endereço IP. Se validar a reputação de uma entidade conhecida ou desconhecida, essa pontuação ajuda você a entender rapidamente quaisquer vínculos detectados com infraestrutura mal-intencionada ou suspeita.

    O Defender TI exibe pontuações de reputação como um valor numérico entre zero e 100. Uma entidade com uma pontuação de 0 não tem associações com atividades suspeitas ou indicadores conhecidos de comprometimento (IOCs), enquanto uma pontuação de 100 indica que a entidade é mal-intencionada. O Defender TI também fornece uma lista de regras com descrições correspondentes e classificações de gravidade. No exemplo a seguir, quatro regras de "alta gravidade" são aplicáveis ao domínio.

    Cartão de resumo de reputação.

    Saiba mais sobre a pontuação de reputação

  • Insights de analistas: Esta seção fornece informações rápidas sobre o artefato que podem ajudar a determinar a próxima etapa em uma investigação. Esta seção lista todos os insights que se aplicam ao artefato. Ele também lista insights que não se aplicam a mais visibilidade.

    Na captura de tela a seguir, podemos determinar rapidamente que o endereço IP é roteável, hospeda um servidor Web e tinha uma porta aberta nos últimos cinco dias. Além disso, o Defender TI exibe regras que não foram disparadas, o que pode ser igualmente útil ao iniciar uma investigação.

    Resumo de insights de analistas cartão.

    Saiba mais sobre insights de analistas

  • Artigos: Esta seção exibe todos os artigos que podem fornecer informações sobre como investigar melhor e, em última instância, desarmar o artefato afetado. Pesquisadores que estudam o comportamento de atores de ameaças conhecidos e sua infraestrutura escrevem esses artigos, apresentando descobertas importantes que podem ajudar você e outros a mitigar riscos para sua organização.

    No exemplo a seguir, o endereço IP pesquisado é identificado como um COI relacionado às descobertas no artigo.

    Artigos da Guia Resumo

    Saiba mais sobre artigos do Defender TI

  • Serviços: Esta seção lista todos os serviços detectados em execução no artefato de endereço IP, o que é útil ao tentar entender o uso pretendido da entidade. Quando você está investigando a infraestrutura mal-intencionada, essas informações podem ajudar a determinar as funcionalidades de um artefato, permitindo que você defenda proativamente sua organização com base nessas informações.

    Resumo Tab Services

  • Resoluções: As resoluções são registros DNS (Sistema de Nomes de Domínio) individuais capturados usando sensores passivos distribuídos por todo o mundo. Esses valores revelam um histórico de como um domínio ou endereço IP altera a infraestrutura ao longo do tempo. Eles podem ser usados para descobrir outra infraestrutura e medir o risco com base nos níveis de conexão. Para cada resolução, fornecemos carimbos de data/hora primeira eúltima vista para mostrar o ciclo de vida das resoluções.

    Soluções de Resumo Tab Re

  • Certificados: Além de proteger seus dados, os certificados TLS são uma maneira fantástica para os usuários conectarem uma infraestrutura de rede diferente. Os certificados TLS podem fazer conexões que os dados DNS passivos ou WHOIS podem perder. Isso significa mais maneiras de correlacionar a infraestrutura mal-intencionada potencial e identificar possíveis falhas de segurança operacional dos atores. Para cada certificado TLS, fornecemos o nome do certificado, a data de validade, o nome comum da entidade e o nome da organização do assunto.

    Certificados de Guia de Resumo

  • Projetos: O Defender TI permite criar projetos para organizar indicadores de interesse ou comprometimento de uma investigação. Os projetos também são criados para monitorar a conexão de artefatos para melhorar a visibilidade. Os projetos contêm uma listagem de todos os artefatos associados e um histórico detalhado que mantém os nomes, descrições, colaboradores e perfis de monitoramento.

    Ao pesquisar um endereço IP, domínio ou host e, se esse indicador estiver listado em um projeto ao qual você tem acesso, selecione a guia Projetos e navegue até os detalhes do projeto para obter mais contexto sobre o indicador antes de revisar os outros conjuntos de dados para obter mais informações.

    Projetos de Guia de Resumo

    Saiba mais sobre como usar projetos

Conjuntos de dados

Os conjuntos de dados ajudam você a mergulhar profundamente nas conexões tangíveis observadas pelo Defender TI. Enquanto a guia Resumo apresenta as principais descobertas para fornecer contexto imediato sobre um artefato, os vários conjuntos de dados, que aparecem como guias separadas nos resultados da pesquisa, permitem estudar essas conexões muito mais granularmente.

Você pode selecionar qualquer um dos valores retornados para girar rapidamente entre metadados relacionados e revelar insights que você pode perder com métodos investigativos tradicionais.

Captura de tela dos conjuntos de dados de classificação.

Os seguintes conjuntos de dados estão disponíveis no Defender TI:

  • Resoluções
  • Informações do WHOIS
  • Certificados TLS/SSL
  • Trackers
  • Subdomínios
  • Componentes
  • Pares de host
  • Cookies
  • Serviços
  • DNS
  • DNS reverso

Saiba mais sobre conjuntos de dados

Próximas etapas

Para saber mais, confira: