使用標籤
重要事項
在 2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI) 獨立入口網站 (https://ti.defender.microsoft.com) 已淘汰,無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。
深入了解
Microsoft Defender 威脅情報 (Defender TI) 標籤可讓您快速深入瞭解成品,無論是由系統衍生或由其他使用者所產生。 標籤可協助分析師連結目前事件和調查之間的點,以及其歷史內容,以改善分析。
Defender TI 提供兩種類型的標記: 系統標籤 和 自定義標籤。
先決條件
Microsoft Entra ID 或個人 Microsoft 帳戶。 登入或建立帳戶
Defender TI 進階授權。
注意事項
沒有 Defender TI 進階授權的使用者仍然可以使用我們的免費 Defender TI 優惠。
系統標籤
Defender TI 會自動產生系統標籤,讓您引導分析。 這些標記不需要輸入或投入任何心力。
系統標籤可以包括:
- 可路由: 表示成品可供存取。
- ASN: 將IP位址自發系統編號的縮寫部分 (ASN) 描述提取到標記中,讓分析師瞭解IP位址所屬的人員。
- 動態: 指出動態域名系統 (DNS) 服務,例如無IP或變更IP,是否擁有網域。
- 接收孔: 指出IP位址是安全性組織用來調查攻擊活動的研究接收洞。 因此,相關聯的網域不會直接彼此連線。
自訂標籤
自定義標籤會將內容帶入 (IOC) 的入侵指標,並藉由識別公開報告中已知不正確的網域或您分類的網域,讓分析變得更簡單。 您會根據自己的調查手動建立這些標籤,而這些標籤可讓您與租使用者內的其他Defender TI Premium授權使用者分享有關成品的重要見解。
新增、修改和移除自定義標籤
您可以將自訂標籤輸入標記列,以將自訂標籤新增至標籤叢集。 如果您的組織是 Defender TI 客戶,您和您的小組成員可以檢視這些標籤。 輸入系統中的標籤是私人的,不會與較大的社群共用。
您也可以修改或移除標記。 新增標籤之後,您或組織內的另一位付費授權使用者就可以修改或移除標籤,讓安全性小組能夠輕鬆共同作業。
存取 Defender入口網站 並完成 Microsoft 驗證流程。 深入了解 Defender 入口網站
流覽至 威脅情報>Intel 總管。
在 Intel 總管搜尋列中搜尋您想要新增標籤的指標。
選取頁面左上角的 [ 編輯卷標 ]。
在出現的 [ 自定義 標籤] 彈出視窗上,新增您想要與此指標相關聯的任何標記。 若要新增指標,請按 Tab 鍵以新增指標。
完成新增所有標籤后,選取 [ 儲存 ] 以儲存變更。
重複步驟 3 以編輯標記。 藉由選取結尾的 X 來移除標記,然後重複步驟 4 到 6 來新增標記。
儲存變更。
檢視和搜尋自定義標籤
您可以在搜尋IP位址、網域或主機成品之後,檢視您或其他人在租使用者中新增的標籤。
存取 Defender入口網站 並完成 Microsoft 驗證流程。
流覽至 威脅情報>Intel 總管。
在 Intel 總 管搜尋列 下拉式清單中選取 [捲標] 搜尋類型,然後搜尋標籤值,以識別所有其他共用相同標籤值的指標。
常見的標籤使用案例工作流程
假設您正在調查事件,並發現事件與網路釣魚有關。 您可以將 作為標籤新 phish 增至與該事件相關的 IOC。 稍後,您的事件回應和威脅搜捕小組可以進一步分析這些 IOC,並與其威脅情報對應專案合作,以識別哪個動作專案群組負責網路釣魚事件。 然後,他們可以將另一個 [actor name] 標籤新增至這些 IOC,或使用哪些基礎結構將它們連線到其他相關 IOC,例如 [SHA-1 hash] 自定義標籤。