Поделиться через

Обмен информацией и общий доступ к ней

  • Статья

Задача программы безопасности государственных организаций Майкрософт (GSP) заключается в создании доверия с помощью прозрачности. С момента создания программы в 2003 году Корпорация Майкрософт предоставила представление о наших технологических артефактах и артефактах безопасности, которые правительства и международные организации могут использовать для защиты себя и своих граждан. Предложение по совместному использованию информации и Обмен данными позволяет корпорации Майкрософт предоставлять и обмениваться материалами о угрозах безопасности, уязвимостях, аномальном поведении, вредоносных программах и проблемах безопасности, связанных с продуктами и службами Майкрософт.

Это предложение объединяет группы и ресурсы в среде Майкрософт для защиты граждан, инфраструктуры и организаций.

Предложение по совместному использованию информации и exchange (ISE) предоставляет

Имя. Подробности
Расширенное уведомление об уязвимостях системы безопасности
  • 5-дневное расширенное уведомление об уязвимостях с заметками о выпуске и затронутыми таблицами программного обеспечения
  • 24-часовое расширенное уведомление, включая индекс эксплойтации
    		•
    Вредоносные URL-адреса
  • Веб-канал потенциально вредоносных общедоступных серверов и служб, обнаруженных обходчиками Bing
  • Обновляется каждые три часа, 5-дневный цикл данных
    		•
    Каналы Botnet CTIP
  • Предоставляется программой аналитики киберугрышных угроз (CTIP) отдела цифровых преступлений (DCU)
  • Данные Botnet адаптированы к агентству (или домену верхнего уровня кода страны в случае certs)
  • 4 веб-канала: зараженное устройство, command & Control, IoT и Домены
  • Доставлено почти в режиме реального времени, почасовой или ежедневной (дедупликации)
    		•
    Очистка метаданных файлов
  • Очистка хэш-данных файлов часто используется для разрешения и судебной экспертизы
  • Обновляется каждые 3 часа
  • Охватывает все двоичные файлы Майкрософт в центре загрузки Майкрософт
    		•
    Партнерства
  • Обмен информацией с помощью различных форумов
  • Доступ к порталу сообщества цифровых преступлений (DCU)
  • Обмен данными аналитики угроз с помощью отдела цифровых преступлений (DCU)
  • Прямое взаимодействие с инженерными группами и другими командами Майкрософт, включая Центр реагирования майкрософт (MSRC) и аналитику безопасности Защитника Windows
    		•

    Доставка веб-каналов данных

    Веб-каналы, предлагаемые в рамках авторизации ISE, находятся в нескольких группах, включая Центр реагирования майкрософт (MSRC), подразделение цифровых преступлений (DCU), Bing и выпуск продукта и службы безопасности (PRSS).

    Команда GSP предоставляет веб-приложение , которое позволяет агентствам GSP получать доступ к веб-каналам данных ISE из одного интерфейса. Все сообщения, содержащие конфиденциальные данные, шифруются.

    Data Feed delivery

    Описания использования данных

    Уведомление о расширенном обновлении системы безопасности В пакете уведомлений перечислены все cvEs (распространенные уязвимости и уязвимости), которые рассматриваются в выпуске. Каждый CVE содержит набор сведений, включая описание уязвимостей (включая метрики), индекс эксплойтации и затронутое программное обеспечение.

    Content for each CVE

    Вредоносные URL-адреса Bing, веб-канал вредоносных URL-адресов Bing содержит общедоступные серверы или службы, которые были идентифицированы как потенциально вредоносные. Новые файлы отправляются каждые три часа; полные наборы данных создаются в 5 дней. Многие учреждения импортируют ФАЙЛЫ JSON непосредственно в существующие средства анализа аналитики угроз.

    Geo map of IPs

    Threat types

    Очистка метаданных файлов (CFMD)

    Веб-канал метаданных чистых файлов (CFMD) содержит криптографические подписи (хэши SHA256) для файлов, содержащихся в продуктах Майкрософт. Они часто используются в судебно-медицинских экспертизах потенциально скомпрометированных устройств и для разрешения или запрета выполнения файлов в критически важных системах.

    Clean File Metadata

    Каналы Botnet CTIP: инфицированный веб-канал данных

    DCU предоставляет скомпрометированные данные ботнета жертв с помощью службы аналитики угроз CTCU, зараженной веб-каналом данных устройства, для включения сценариев защиты сети для подписчиков CTIP, а также для упрощения исправления скомпрометированных систем с целью уменьшения числа инфицированных систем в Интернете. Другие веб-каналы включают списки команд и управления (C2), Интернета вещей и доменов, которые часто используются для ограничения потока трафика известными вредоносными сетями через брандмауэры и защитные DNS.

    CTIP data 1

    CTIP data 2

    Связаться с нами

    Обратитесь к своему местному представителю Майкрософт, чтобы узнать больше о программе безопасности для государственных организаций.