共用方式為

使用專案

  • 發行項

重要事項

在 2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI) 獨立入口網站 (https://ti.defender.microsoft.com) 已淘汰,無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。 深入了解

Microsoft Defender 威脅情報 (Defender TI) 可讓您開發私人個人或小組專案,以組織調查) 的相關指標和入侵指標 (IOC。 專案包含所有相關聯成品的清單,以及保留名稱、描述、共同作業者和監視配置檔的詳細歷程記錄。

當您在 Microsoft Defender 入口網站內的 Intel 總管中搜尋 IP 位址、網域或主機時,如果該指標列在您有權存取的專案內,您可以移至 [專案] 索引標籤並流覽至專案的詳細數據,以取得指標的詳細內容,然後再檢閱其他數據集以取得詳細資訊。 您也可以移至 威脅情報>Intel 專案,在Defender入口網站中檢視私人小組專案。

造訪專案的詳細數據會顯示所有相關聯成品的清單,以及保留先前所述之所有內容的詳細歷程記錄。 您和組織內的其他使用者不再需要花時間來回通訊。 您可以在 Defender TI 內建置威脅執行者設定檔,以做為一組「即時」指標。 當您探索或尋找新資訊時,您可以將它新增至該專案。

Defender TI 平臺可讓您開發多個項目類型,以組織調查中感興趣的指標和 IOC。

項目擁有者可以新增共同作業者, (使用Defender TI Premium授權) 在其 Azure 租使用者中列出的使用者,然後他們可以對專案進行任何變更,就像是專案的擁有者一樣。 不過,共同作業者無法刪除專案。 共同作業者可以在 Intel 專案頁面的 [ 共享專案 ] 索引標籤中,檢視與他們共用的專案。

您也可以選取 [下載] 圖示,在專案內 下載成 品。 這項功能是威脅搜捕小組使用其調查結果來封鎖 IOC,或在其安全性資訊和事件管理 (SIEM) 應用程式內建置更多偵測規則的絕佳方式。

問題專案可能有助於回答:

  • 我的其中一個小組成員是否已建立包含此指標的小組專案?

    • 如果是,其他哪些相關的IOC已擷取此小組成員,以及其包含哪些描述和標記來描述調查類型?

  • 此小組成員上次編輯項目的時機為何?

[項目詳細數據] 螢幕快照。

先決條件

  • Microsoft Entra ID 或個人 Microsoft 帳戶。 登入或建立帳戶

  • Defender TI 進階授權。

    注意事項

    沒有 Defender TI 進階授權的使用者仍然可以使用我們的免費 Defender TI 優惠。

在 Microsoft Defender 入口網站中開啟Defender TI Intel項目頁面

Intel 專案頁面會顯示您擁有的專案,或由租使用者中的其他 Defender TI 使用者與您共用的專案。

  1. 存取 Defender入口網站 並完成 Microsoft 驗證流程。 深入了解 Defender 入口網站
  2. 流覽至 威脅情報>Intel 專案

建立專案

您可以透過兩種方式在 Defender 入口網站中建立專案:

  1. 若要從 Intel 專案 頁面建立專案,請選取 [ 新增專案]

    從 Intel 專案頁面建立新專案。

  2. 若要在 Intel 總管頁面中執行調查時建立新專案,請從 Intel 總管搜尋執行指標搜尋,然後選取 [新增至專案]> [在搜尋結果上新增專案]。

    從搜尋結果建立新專案。

在出現的 [ 新增專案 ] 側邊面板上,填寫必要的字段,然後選取 [ 儲存]

新增專案。

管理專案

建立項目之後,您可以在 Intel 專案 頁面中加以管理。 此頁面會顯示您可以存取的所有專案,並根據專案屬性提供篩選機制。

根據預設,Intel 專案頁面會顯示與租使用者中所有 Defender TI 使用者相關聯的 Team 專案。 您可以選擇只檢視您建立的個人專案或與您共享的專案。

管理專案。

  • 若要檢視專案的詳細數據,請選取項目的名稱。
  • 若要直接變更專案,請選取項目頁面右上角的 [ 編輯 ]。 只有當您有足夠的存取層級時,才能編輯專案。
  • 若要在專案上手動新增成品,請選取項目頁面右上角的 [ 新增 成品]。
  • 若要刪除專案,請選取 [移除專案]。 您只能刪除您擁有的專案。

最佳做法

當您使用 Defender TI 調查潛在威脅時,建議您執行下列工作流程,因為這些步驟可讓您先收集策略性情報和營運情報,再深入探討戰術情報。

您會在 Defender TI 內執行各種類型的搜尋。 因此,在深入調查特定指標之前,請務必以提供廣泛結果的方式來處理您的情報收集方法。 例如,如果您在 Intel 總管頁面中搜尋 IP 位址,哪些文章與該 IP 位址相關聯? 這些文章提供哪些資訊,說明您找不到直接流覽至IP位址的 [ 數據 ] 索引標籤以進行數據集擴充的IP位址。 例如,此IP位址是否已識別為 C2) 伺服器 (可能的命令和控制? 威脅執行者是誰? 本文列出哪些其他相關 IOC、 (TTP 的策略、技術和程式) 使用的威脅執行者及其目標物件?

除了在 Defender TI 中執行各種類型的搜尋之外,您還可以與其他人共同調查。 也就是說,我們鼓勵您建立專案、將調查相關的指標新增至專案,並在有多人正在處理相同的調查時,將共同作業者新增至專案。 這有助於減少分析相同 IOC 所花費的時間,而且應該會產生更快速的工作流程。