Insights degli analisti
In Microsoft Defender Threat Intelligence (Defender TI), la sezione Analyst Insights offre informazioni rapide su un artefatto che potrebbe aiutare a determinare il passaggio successivo di un'indagine. Questa sezione elenca tutte le informazioni dettagliate applicabili all'artefatto e le informazioni dettagliate che non si applicano per una maggiore visibilità.
Nell'esempio seguente è possibile determinare rapidamente che l'indirizzo IP è instradabile, ospita un server Web e ha una porta aperta negli ultimi cinque giorni. Inoltre, il sistema visualizza regole che non sono state attivate, il che può essere ugualmente utile quando si avvia un'indagine.
Tipi di informazioni dettagliate degli analisti e domande che possono essere indirizzate
| Tipi di informazioni dettagliate degli analisti | Domande che possono essere poste |
|---|---|
| Blocklisted | Is/When was the domain, host, or IP address blocklisted? |
| Quante volte Defender TI ha bloccato il dominio, l'host o l'indirizzo IP? | |
| Registrato e aggiornato | Quanti giorni, mesi e anni fa è stato registrato il dominio? |
| Quando è stato aggiornato il record WHOIS del dominio? | |
| Conteggio IP sottodominio | Quanti indirizzi IP diversi sono associati ai sottodomini del dominio? |
| Osservazioni del nuovo sottodominio | Quando è stata l'ultima volta che Microsoft ha osservato un nuovo sottodominio per il dominio in questione? |
| Registrazione e risoluzione | Il dominio sottoposto a query esiste? |
| Il dominio viene risolto in un indirizzo IP? | |
| Numero di domini che condividono il record WHOIS | Quali altri domini condividono lo stesso record WHOIS? |
| Numero di domini che condividono il server dei nomi | Quali altri domini condividono lo stesso record del server con lo stesso nome? |
| Ricerca per indicizzazione in base a RiskIQ | Quando è stata eseguita l'ultima ricerca per indicizzazione dell'host o del dominio da parte di Microsoft? |
| Dominio internazionale | Viene eseguita una query sul dominio per un nome di dominio internazionale (IDN)? |
| Blocklisted by third party | Questo indicatore è bloccato da terze parti? |
| Stato del nodo di uscita tor | L'indirizzo IP nelle domande è associato alla rete The Onion Router (Tor)? |
| Porte aperte rilevate | Quando l'ultima porta di Microsoft ha eseguito l'analisi di questo indirizzo IP? |
| Stato proxy | Qual è lo stato del proxy di questo indicatore? |
| Ultima osservazione dell'host | L'indirizzo IP in questione è accessibile a Internet? |
| Ospita un server Web | L'indirizzo IP dispone di un server DNS (Domain Name System) che usa le risorse per risolverlo per il server Web appropriato? |