Altyapı zincirleme
Altyapı zinciri, araştırma oluşturmak için yüksek oranda bağlı veri kümeleri arasındaki ilişkileri kullanır. Bu işlem, tehdit altyapısı analizinin temelini oluşturur ve kuruluşların yeni bağlantıları ortaya çıkarmalarına, benzer saldırı etkinliklerini gruplandırmalarına ve olay yanıtı sırasında varsayımları doğrulamalarına olanak tanır.
Önkoşullar
Aşağıdaki Defender TI makalelerini gözden geçirin:
Tek ihtiyacınız olan bir başlangıç noktasıdır
Saldırı kampanyalarında basit coğrafi filtrelemeden pasif işletim sistemi parmak izi gibi karmaşık taktiklere kadar çok çeşitli karartma teknikleri uygulandığını görüyoruz. Bu teknikler, belirli bir noktaya kadar olan araştırmayı durdurabilir. Yukarıdaki görüntüde altyapı zincirleme kavramı vurgulanır. Veri zenginleştirme özelliğimizle, bir IP adresine (muhtemelen bir komut ve denetim sunucusu) bağlanmaya çalışan bir kötü amaçlı yazılım parçasıyla başlayabiliriz. Bu IP adresi, etki alanı adı gibi ortak bir ada sahip bir TLS sertifikası barındırmış olabilir. Bu etki alanı, kodda benzersiz izleyici içeren bir sayfaya bağlı olabilir; örneğin NewRelicID veya başka bir yerde gözlemlediğimiz başka bir analiz kimliği. Ya da etki alanı tarihsel olarak araştırmamıza ışık talan eden başka bir altyapıyla bağlantılı olabilir. Asıl önemli nokta, bağlam dışına alınan bir veri noktasının özellikle yararlı olmayabileceğidir, ancak diğer tüm teknik verilere doğal bağlantıyı gözlemlediğimizde, bir hikaye birleştirmeye başlayabiliriz.
Saldırganların dışarıdan bakış açısı
Bir saldırganın dışarıdan bakış açısı, güvenlik duvarınızın dışında çalışan sürekli olarak genişleyen web ve mobil iletişim durumunuzdan yararlanmalarını sağlar.
Gerçek bir kullanıcı olarak web ve mobil özelliklere yaklaşmak ve bunlarla etkileşime geçmek, Microsoft'un gezinme, tarama ve makine öğrenmesi teknolojisinin kullanıcı oturumu verilerini toplayarak ve kimlik avı, kötü amaçlı yazılım, sahte uygulamalar, istenmeyen içerik ve etki alanı ihlalini büyük ölçekte algılayarak saldırganların kaçınma tekniklerini etkisiz hale getirilmesini sağlar. Bu yaklaşım tehdit bilgileri, sistem etiketleri, analist içgörüleri ve saldırganların altyapısıyla ilişkili itibar puanları biçiminde eyleme dönüştürülebilir, olay tabanlı tehdit uyarıları ve iş akışları sunmaya yardımcı olur.
Daha fazla tehdit verisi kullanıma sunuldukça analistlerin veri kümelerini ve buna karşılık gelen tehditleri anlaması için daha fazla araç, eğitim ve çaba gerekir. Microsoft Defender Tehdit Analizi (Defender TI), birden çok veri kaynağına tek bir görünüm sağlayarak bu çabaları birleştirir.