Analiza informacji szczegółowych
Ważna
30 czerwca 2024 r. autonomiczny portalhttps://ti.defender.microsoft.com Microsoft Defender Threat Intelligence (Defender TI) został wycofany i nie jest już dostępny. Klienci mogą nadal korzystać z usługi Defender TI w portalu Microsoft Defender lub w Microsoft Security Copilot.
Dowiedz się więcej
W Microsoft Defender Threat Intelligence (Defender TI) sekcja Analizy analityków zawiera szybki wgląd w artefakt, który może pomóc w określeniu następnego kroku w badaniu. W tej sekcji wymieniono wszystkie szczegółowe informacje dotyczące artefaktu oraz szczegółowe informacje, które nie mają zastosowania do dodatkowego wglądu.
W poniższym przykładzie można szybko określić, że adres IP jest routable, hostuje serwer internetowy i miał otwarty port w ciągu ostatnich pięciu dni. Ponadto system wyświetla reguły, które nie zostały wyzwolone, co może być równie pomocne podczas rozpoczynania badania.
Typy analiz analityków i pytania, które mogą rozwiązać
| Typy analiz analityków | Pytania, które mogą rozwiązać |
|---|---|
| Lista zablokowanych | Czy/Kiedy domena, host lub adres IP zostały zablokowane? |
| Ile razy usługa Defender TI zablokowała domenę, hosta lub adres IP? | |
| Zarejestrowane i zaktualizowane | Ile dni, miesięcy i lat temu zarejestrowano domenę? |
| Kiedy zaktualizowano rekord WHOIS domeny? | |
| Liczba adresów IP poddomeny | Ile różnych adresów IP jest skojarzonych z poddomenami domeny? |
| Obserwacje nowej poddomeny | Kiedy ostatni raz firma Microsoft zaobserwowała nową poddomenę dla danej domeny? |
| Zarejestrowano i rozwiązano problem | Czy kwerenda domeny istnieje? |
| Czy domena jest rozpoznawana jako adres IP? | |
| Liczba domen udostępniających rekord WHOIS | Jakie inne domeny mają ten sam rekord WHOIS? |
| Liczba domen udostępnianych na serwerze nazw | Jakie inne domeny mają ten sam rekord serwera nazw? |
| Przeszukane przez platformę RiskIQ | Kiedy ten host lub domena była ostatnio przeszukiwana przez firmę Microsoft? |
| Domena międzynarodowa | Czy domena jest wysyłana w poszukiwaniu międzynarodowej nazwy domeny (IDN)? |
| Lista zablokowanych przez inną firmę | Czy ten wskaźnik jest blokowany przez inną firmę? |
| Stan węzła wyjścia tor | Czy adres IP w pytaniach jest skojarzony z siecią routera cebulowego (Tor)? |
| Wykryto otwarte porty | Kiedy ostatni port firmy Microsoft przeskanuje ten adres IP? |
| Stan serwera proxy | Jaki jest stan serwera proxy tego wskaźnika? |
| Ostatnio zaobserwowano hosta | Czy dany adres IP jest dostępny w Internecie? |
| Hostuje serwer internetowy | Czy adres IP ma serwer systemu nazw domen (DNS), który używa swoich zasobów do rozpoznawania nazwy dla odpowiedniego serwera internetowego? |