تسلسل البنية الأساسية
يستخدم تسلسل البنية الأساسية العلاقات بين مجموعات البيانات عالية الاتصال لإنشاء تحقيق. هذه العملية هي جوهر تحليل البنية الأساسية للمخاطر وتسمح للمؤسسات بإقامة اتصالات جديدة وتجميع نشاط هجوم مماثل وإثبات الافتراضات أثناء الاستجابة للحوادث.
المتطلبات الأساسية
راجع مقالات Defender TI التالية:
كل ما تحتاجه هو نقطة بداية
نرى أن حملات الهجوم تستخدم مجموعة واسعة من تقنيات التعتيم - من التصفية الجغرافية البسيطة إلى التكتيكات المعقدة مثل بصمة نظام التشغيل الخاملة. من المحتمل أن توقف هذه التقنيات تحقيقا في نقطة زمنية في مساراتها. تسلط الصورة السابقة الضوء على مفهوم تسلسل البنية الأساسية. مع إمكانية إثراء البيانات لدينا، يمكننا البدء بقطعة من البرامج الضارة التي تحاول الاتصال بعنوان IP (ربما خادم الأوامر والتحكم). قد يكون عنوان IP هذا قد استضاف شهادة TLS لها اسم شائع، مثل اسم المجال. قد يكون هذا المجال متصلا بصفحة تحتوي على متعقب فريد في التعليمات البرمجية، مثل NewRelicID أو بعض المعرف التحليلي الآخر الذي ربما لاحظناه في مكان آخر. أو ربما كان المجال متصلا تاريخيا ببنية أساسية أخرى قد تضيء على تحقيقنا. الهروب الرئيسي هو أن نقطة بيانات واحدة مأخوذة من السياق قد لا تكون مفيدة بشكل خاص ولكن عندما نلاحظ الاتصال الطبيعي بكل هذه البيانات التقنية الأخرى، يمكننا البدء في تجميع قصة معا.
وجهة نظر الخصم الخارجية
يمكنهم منظور الخصم الخارجي من الاستفادة من وجودك المتوسع باستمرار على الويب والجوال الذي يعمل خارج جدار الحماية الخاص بك.
إن الاقتراب من خصائص الويب والجوال والتفاعل معها كمستخدم حقيقي يمكن تقنية تتبع الارتباطات والمسح الضوئي والتعلم الآلي من Microsoft من نزع سلاح تقنيات التهرب من الخصوم من خلال جمع بيانات جلسة عمل المستخدم والكشف عن التصيد الاحتيالي والبرامج الضارة والتطبيقات المارقة والمحتوى غير المرغوب فيه والتعدي على المجال على نطاق واسع. يساعد هذا النهج على تقديم تنبيهات وسير عمل قابلة للتنفيذ وقائمة على الأحداث في شكل تحليل ذكي للمخاطروعلامات النظامونتائج تحليلات المحللينودرجات السمعة المرتبطة بالبنية الأساسية للخصوم.
مع توفر المزيد من بيانات التهديد، يلزم توفير المزيد من الأدوات والتعليم والجهد للمحللين لفهم مجموعات البيانات والتهديدات المقابلة لها. يوحد تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) هذه الجهود من خلال توفير طريقة عرض واحدة في مصادر بيانات متعددة.