Поделиться через


Использование проектов

Важно!

30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) был прекращен и больше недоступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Security Copilot. Подробнее

Аналитика угроз Microsoft Defender (Defender TI) позволяет разрабатывать частные личные или командные проекты для организации индикаторов интереса и индикаторов компрометации (МОК) из исследования. Проекты содержат список всех связанных артефактов и подробный журнал, в котором хранятся имена, описания, участники совместной работы и профили мониторинга.

Если вы выполняете поиск по IP-адресу, домену или узлу в Intel Explorer на портале Microsoft Defender и если этот индикатор указан в проекте, к которому у вас есть доступ, перейдите на вкладку Проекты и перейдите к сведениям о проекте, чтобы получить дополнительные сведения о индикаторе, прежде чем просматривать другие наборы данных для получения дополнительных сведений. Вы также можете просмотреть частные командные проекты на портале Defender, перейдя в разделеПроекты Intelаналитики> угроз.

При посещении сведений о проекте отображается список всех связанных артефактов и подробный журнал, в котором хранится весь контекст, описанный ранее. Вам и другим пользователям в организации больше не нужно тратить время на общение взад и вперед. Вы можете создавать профили субъектов угроз в DEFENDER TI, которые могут служить "живым" набором индикаторов. При обнаружении или поиске новых сведений ее можно добавить в этот проект.

Платформа DEFENDER TI позволяет разрабатывать несколько типов проектов для организации интересующих индикаторов и МОК из исследования.

Владелец проекта может добавлять участников совместной работы (пользователей, перечисленных в клиенте Azure с лицензией Premium на Defender TI), которые могут вносить любые изменения в проект, как если бы они были владельцами проекта. Однако участники совместной работы не могут удалять проекты. Участники совместной работы могут просматривать проекты, к которым им предоставлен доступ, на вкладке Общие проекты на странице проектов Intel.

Вы также можете скачать артефакты в проекте, щелкнув значок Скачать . Эта функция позволяет командам по охоте за угрозами использовать результаты исследования для блокировки операций ввода-вывода или создания дополнительных правил обнаружения в приложениях управления информационной безопасностью и событиями безопасности (SIEM).

Ответы на вопросы могут помочь в проектах:

  • Создал ли один из моих коллег проект, включающий этот индикатор?

    • Если да, то какие другие связанные операции ввода-вывода были записаны этим участником команды, а также какие описания и теги они включали для описания типа исследования?
  • Когда этот участник команды в последний раз редактировал проект?

Снимок экрана со сведениями о проекте.

Предварительные условия

  • Учетная запись Microsoft Entra ID или личная учетная запись Майкрософт. Войдите или создайте учетную запись

  • Лицензия Defender TI премиум.

    Примечание.

    Пользователи, у которых нет лицензии Defender TI премиум, по-прежнему могут использовать бесплатное предложение TI.

Откройте страницу проектов Defender TI Intel на портале Microsoft Defender

На странице проектов Intel отображаются проекты, которыми вы владеете или которыми поделились другие пользователи Defender TI в вашем клиенте.

  1. Перейдите на портал Defender и пройдите процесс проверки подлинности Майкрософт. Подробнее о портале Defender
  2. Перейдите в разделПроекты Intelдля аналитики> угроз.

Создание проекта

Создать проект на портале Defender можно двумя способами:

  1. Чтобы создать проект на странице проекты Intel , выберите Новый проект.

    Создание проекта на странице проектов Intel.

  2. Чтобы создать новый проект при выполнении исследования на странице Intel Explorer , выполните поиск индикаторов из поиска Intel Explorer, а затем выберите Добавить в проект>Добавить новый проект в результатах поиска.

    Создайте проект из результатов поиска.

На появившемся боковой панели Новый проект заполните обязательные поля и нажмите кнопку Сохранить.

Добавьте новый проект.

Управление проектами

После создания проекта вы можете управлять им на странице проектов Intel . На этой странице отображаются все проекты, к которые можно получить доступ, и предоставляются механизмы фильтрации на основе свойств проекта.

По умолчанию на странице проектов Intel отображаются командные проекты, связанные со всеми пользователями Defender TI в вашем клиенте. Вы можете просмотреть только личные проекты, которые вы создали, или проекты, к которым вы предоставили общий доступ для участия.

Управление проектами.

  • Чтобы просмотреть сведения о проекте, выберите имя проекта.
  • Чтобы внести изменения в проект напрямую, выберите Изменить в правом верхнем углу страницы проекта. Вы можете редактировать проекты только при наличии достаточного уровня доступа к ним.
  • Чтобы вручную добавить артефакты в проект, выберите Добавить артефакт в правом верхнем углу страницы проекта.
  • Чтобы удалить проект, выберите Удалить проект. Вы можете удалить только принадлежащие вам проекты.

Лучшие методики

Когда дело доходит до использования Defender TI для исследования потенциальных угроз, мы рекомендуем выполнить следующие рабочие процессы, так как эти шаги позволяют собрать стратегические и оперативные сведения, прежде чем углубляться в тактическую разведку.

Вы выполняете различные типы поисковых запросов в Defender TI. Таким образом, важно подойти к методу сбора информации таким образом, чтобы вы получите широкие результаты, прежде чем углубляться в изучение конкретных показателей. Например, если вы ищете IP-адрес на странице Intel Explorer, какие статьи связаны с этим IP-адресом? Какие сведения содержатся в этих статьях об IP-адресе, которые вы не нашли бы в противном случае, перейдя непосредственно на вкладку "Данные IP-адреса" для обогащения набора данных. Например, определен ли этот IP-адрес как возможный сервер управления (C2)? Кто является субъектом угрозы? Какие еще связанные ИЦОП перечислены в статье, какие тактики, методы и процедуры (TTP) использует субъект угроз и на кого они нацелены?

Помимо выполнения различных типов поиска в Defender TI, вы можете сотрудничать с другими пользователями над исследованиями. Тем не менее, вам рекомендуется создавать проекты, добавлять в проект индикаторы, связанные с исследованием, и добавлять в проект участников совместной работы, если над одним исследованием работает несколько человек. Это помогает сократить время, затрачиваемое на анализ одних и того же iocs, и приведет к более быстрому рабочему процессу.