Аналитические сведения
Важно!
30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) был прекращен и больше недоступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Security Copilot.
Подробнее
В Аналитика угроз Microsoft Defender (Defender TI) раздел Аналитика содержит краткие сведения об артефакте, который может помочь определить следующий шаг в исследовании. В этом разделе перечислены все аналитические сведения, которые применяются к артефакту, и аналитические сведения, которые не применяются для дополнительной видимости.
В следующем примере можно быстро определить, что IP-адрес является маршрутизируемым, размещает веб-сервер и имеет открытый порт в течение последних пяти дней. Кроме того, система отображает правила, которые не были активированы, что может быть в равной степени полезно при запуске расследования.
Типы аналитических сведений и вопросы аналитика, которые они могут решить
| Аналитические типы аналитики | Вопросы, которые они могут ответить |
|---|---|
| Список заблокированных | Был ли или когда заблокирован домен, узел или IP-адрес? |
| Сколько раз Блокировались в Defender TI домен, узел или IP-адрес? | |
| Зарегистрировано и обновлено | Сколько дней, месяцев и лет назад был зарегистрирован домен? |
| Когда была обновлена запись WHOIS домена? | |
| Число IP-адресов поддоменов | Сколько различных IP-адресов связано с поддоменами домена? |
| Новые наблюдения за поддоменами | Когда корпорация Майкрософт в последний раз наблюдала новый поддомен для соответствующего домена? |
| Регистрация и разрешение | Существует ли запрашиваемая доменная область? |
| Разрешается ли домен в IP-адрес? | |
| Количество доменов, совместно используемых записью WHOIS | Какие другие домены используют одну и ту же запись WHOIS? |
| Количество доменов, совместно используемых сервером имен | Какие другие домены используют одну и ту же запись сервера имен? |
| Обход по RiskIQ | Когда корпорация Майкрософт в последний раз обходила этот узел или домен? |
| Международный домен | Запрашивается ли в домене международное доменное имя (IDN)? |
| Список заблокирован третьими лицами | Этот индикатор заблокирован третьей стороной? |
| Состояние узла выхода tor | Ip-адрес в вопросах, связанных с сетью Onion Router (Tor)? |
| Открытые порты обнаружены | Когда корпорация Майкрософт проверяла последний порт этого IP-адреса? |
| Состояние прокси-сервера | Каково состояние прокси-сервера этого индикатора? |
| Последнее наблюдаемое состояние узла | Доступен ли рассматриваемый IP-адрес в Интернете? |
| Размещение веб-сервера | Имеет ли IP-адрес dns-сервер, который использует свои ресурсы для разрешения имени в него для соответствующего веб-сервера? |