Поделиться через

Сведения о концепциях Threat Intelligence

  • Статья

Область применения:

Примечание.

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Несколько сложных вредоносных событий, атрибутов и контекстной информации включают в себя расширенные атаки кибербезопасности. Определение и определение того, какое из этих действий квалифицируется как подозрительное, может быть сложной задачей. Знание известных атрибутов и аномальных действий, характерных для вашей отрасли, имеет основополагающее значение для того, чтобы знать, когда следует вызывать наблюдаемое поведение как подозрительное.

С помощью Microsoft Defender XDR можно создавать настраиваемые оповещения об угрозах, которые помогут отслеживать возможные атаки в организации. Вы можете пометить подозрительные события, чтобы объединить подсказки и, возможно, остановить цепочку атак. Эти настраиваемые оповещения об угрозах будут отображаться только в вашей организации и помечать события, которые вы задали для отслеживания.

Перед созданием пользовательских оповещений об угрозах важно знать основные понятия, лежащие в основе определений оповещений и индикаторов компрометации (IOC), а также связь между ними.

Определения оповещений

Определения оповещений — это контекстные атрибуты, которые можно совместно использовать для выявления ранних подсказок возможной атаки кибербезопасности. Эти индикаторы обычно представляют собой сочетание действий, характеристик и действий, выполняемых злоумышленником для успешного достижения цели атаки. Мониторинг этих сочетаний атрибутов имеет решающее значение для получения точки зрения против атак и, возможно, вмешательства в цепочку событий до достижения цели злоумышленника.

Индикаторы компрометации (МОК)

IoCs — это отдельные известные вредоносные события, которые указывают на то, что сеть или устройство уже нарушены. В отличие от определений оповещений, эти индикаторы считаются свидетельством нарушения. Они часто встречаются после того, как нападение уже было совершено и цель была достигнута, например, кражи. Отслеживание МОК также важно во время судебно-медицинских расследований. Хотя он не сможет вмешаться в цепочку атак, сбор этих индикаторов может быть полезен для создания более эффективной защиты от возможных будущих атак.

Связь между определениями оповещений и ioCs

В контексте Microsoft Defender XDR и Microsoft Defender для конечной точки определения оповещений являются контейнерами для ioC и определяют оповещение, включая метаданные, создаваемые для определенного соответствия IOC. Различные метаданные предоставляются в составе определений оповещений. Метаданные, такие как имя определения оповещения об атаке, серьезность и описание, предоставляются вместе с другими параметрами.

Каждый IOC определяет конкретную логику обнаружения на основе ее типа, значения и действия, которая определяет, как она соответствует. Он привязан к определенному определению оповещения, которое определяет, как обнаружение отображается в качестве оповещения на консоли Microsoft Defender XDR.

Ниже приведен пример IOC:

  • Тип: Sha1
  • Значение: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Действие: равно

IoCs имеют связь "многие к одному" с определениями оповещений таким образом, что определение оповещения может иметь много операций ввода-вывода, соответствующих ему.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.