.
Pesquisadores e analistas de segurança agora podem pesquisar o banco de dados do Threat Intelligence Defender da Microsoft usando hashes de arquivo e URLs ao reunir informações para investigações de invasão de rede e outros enfeites.
As capacidades, revelado na segunda-feira, são os mais recentes de uma plataforma projetada para agregar informações sobre malware e outras coisas maliciosas de vários fluxos díspares para fornecer aos pesquisadores um único local para analisar resmas de inteligência de ameaças.
Você sabe, meio que de propriedade do Google VirusTotal.
“Muitas vezes, os analistas devem ir a vários repositórios para obter os conjuntos de dados críticos de que precisam para avaliar um domínio, host ou endereço IP suspeito”, Redmond escreveu anteriormente sobre o Defender Threat Intelligence, também conhecido como Defender TI.
“Dados DNS, informações WHOIS, malware e certificados SSL fornecem contexto importante para indicadores de comprometimento (IOCs), mas esses repositórios são amplamente distribuídos e nem sempre compartilham uma estrutura de dados comum, dificultando a garantia de que os analistas tenham todos os dados relevantes necessários para fazer uma avaliação adequada e oportuna da infraestrutura suspeita.”
O Defender Threat Intelligence, observamos, pode executar análises estáticas (examinando o código do arquivo sem executá-lo) e dinâmicas (executando o código em um ambiente controlado) de arquivos e URLs dentro e fora do ambiente da Microsoft.
“Essa abordagem dupla permite que o Defender TI identifique e categorize ameaças potenciais usando técnicas de análise estática e detecte e analise o comportamento real usando técnicas de análise dinâmica”, disse Dennis Mercer, gerente sênior de programas da Microsoft, sobre o serviço.
Com o recurso de pesquisa adicionado, os pesquisadores podem colocar um valor de hash para um arquivo ou URL para um arquivo na barra de pesquisa e o sistema da Microsoft retornará qualquer inteligência de ameaça mantida ou que possa ser verificada por meio da análise sobre esses dados específicos, exibindo-os no Resumo guia, que inclui a pontuação de reputação do documento e informações básicas.
A guia Dados fornece mais detalhes do Defender Threat Intelligence, como quais regras foram acionadas para contribuir com a pontuação de reputação maliciosa.
“Isso fornece uma maneira direta de obter informações sobre o hash ou URL do arquivo e quaisquer links associados a artigos de inteligência em que o hash ou URL do arquivo foi listado como um indicador de comprometimento”, descreveu Mercer, acrescentando que o novo recurso foi um ” principal recurso solicitado pelo cliente.”
“Com esta informação, os profissionais de segurança podem entender melhor as ameaças potenciais e tomar as medidas adequadas para proteger sua organização.”
Microsoft lançado O Defender Threat Intelligence, juntamente com o Defender External Attack Surface Management, em agosto, com ambas as plataformas incluindo tecnologia da empresa de segurança cibernética RiskIQ, que Redmond comprei um ano antes por US$ 500 milhões.
O gigante do software, por meio de suas ferramentas de segurança e base de sistema operacional, reúne grandes quantidades de inteligência de sinais e ameaças. Redmond está usando cada vez mais seus produtos e recursos de segurança em nuvem no Azure para processar a inteligência e torná-la mais facilmente disponível para caçadores de ameaças e centros de operação de segurança (SOCs). ®
.
