Поделиться через

Использование тегов

  • Статья

Важно!

30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) был прекращен и больше недоступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Security Copilot. Подробнее

теги Аналитика угроз Microsoft Defender (Defender TI) предоставляют быструю информацию об артефакте, полученном системой или созданным другими пользователями. Теги помогают аналитикам навести связи между текущими инцидентами, исследованиями и их историческим контекстом для улучшения анализа.

Defender TI предлагает два типа тегов: системные и настраиваемые теги.

Предварительные условия

  • Учетная запись Microsoft Entra ID или личная учетная запись Майкрософт. Войдите или создайте учетную запись

  • Лицензия Defender TI премиум.

    Примечание.

    Пользователи, у которых нет лицензии Defender TI премиум, по-прежнему могут использовать бесплатное предложение TI.

Системные теги

Defender TI автоматически создает системные теги, чтобы вы руководствоваться анализом. Эти теги не требуют ввода или усилий с вашей стороны.

Системные теги могут включать:

  • Маршрутизируемый: Указывает, что артефакт доступен.
  • ASN: Извлекает сокращенную часть описания номера автономной системы IP-адреса (ASN) в тег, чтобы предоставить аналитикам контекст, к которому принадлежит IP-адрес.
  • Динамический: Указывает, принадлежит ли домен службе динамической системы доменных имен (DNS), например No-IP или Change IP.
  • Воронка: Указывает, что IP-адрес является воронкой исследования, используемой организациями безопасности для исследования кампаний атак. Таким образом, связанные домены не связаны друг с другом напрямую.

Системные теги.

Пользовательские теги  

Пользовательские теги добавляют контекст к индикаторам компрометации (IOCs) и упрощают анализ, определяя домены, которые известны как недопустимые из общедоступной отчетности или которые вы классифицировали как таковые. Эти теги создаются вручную на основе собственных исследований, и эти теги позволяют делиться ключевыми сведениями об артефакте с другими пользователями премиум-лицензии Defender TI в вашем клиенте.

Пользовательские теги.

Добавление, изменение и удаление пользовательских тегов

Вы можете добавить собственные настраиваемые теги в кластер тегов, введя их на панели тегов. Вы и члены команды, если ваша организация является клиентом Defender TI, можете просматривать эти теги. Теги, введенные в систему, являются частными и не предоставляются более широкому сообществу.

Вы также можете изменять или удалять теги. После добавления тега вы или другой пользователь с платной лицензией в организации сможете изменить или удалить его, что упрощает совместную работу команды безопасности.

  1. Перейдите на портал Defender и пройдите процесс проверки подлинности Майкрософт. Подробнее о портале Defender

  2. Перейдите в раздел Аналитика> угрозIntel Explorer.

  3. Найдите индикатор, для который вы хотите добавить теги, в строке поиска Intel Explorer.

    Поиск тегов.

  4. Выберите Изменить теги в верхнем левом углу страницы.

    Поиск тегов Изменение тегов.

  5. Добавьте все теги, которые вы хотите связать с этим индикатором, во всплывающем окне Настраиваемые теги . Чтобы добавить новый индикатор, нажмите клавишу TAB , чтобы добавить новый индикатор.

    Поиск тегов Добавление тегов.

  6. После добавления всех тегов нажмите кнопку Сохранить , чтобы сохранить изменения.

    Поиск тегов Сохранить теги.

  7. Повторите шаг 3, чтобы изменить теги. Удалите тег, выбрав X в его конце, а затем добавьте новые, повторив шаги 4–6.

  8. Сохраните изменения.

Просмотр и поиск пользовательских тегов

Вы можете просмотреть теги, добавленные вами или другими пользователями в клиенте, после поиска IP-адреса, домена или артефакта узла.

Поиск пользовательских тегов.

  1. Перейдите на портал Defender и пройдите процесс проверки подлинности Майкрософт.

  2. Перейдите в раздел Аналитика> угрозIntel Explorer.

  3. Выберите тип поиска Тег в раскрывающемся списке панели поиска Intel Explorer, а затем выполните поиск по значению тега, чтобы определить все другие индикаторы, которые используют то же значение тега.

    Выполните поиск тегов в обозревателе Intel.

Рабочий процесс распространенных вариантов использования тегов

Предположим, вы расследуете инцидент и обнаружите, что он связан с фишингом. Вы можете добавить phish в качестве тега в ioCs, связанные с этим инцидентом. Позже группа реагирования на инциденты и охоты на угрозы сможет дополнительно проанализировать эти ИЦО и поработать со своими коллегами по аналитике угроз, чтобы определить, какая группа субъектов несет ответственность за фишинговый инцидент. Затем они могут добавить еще один [actor name] тег в эти МВЦ или используемую инфраструктуру, которая подключила их к другим связанным ioCs, например к пользовательскому тегу [SHA-1 hash] .

См. также