实施 Microsoft Defender 威胁情报以进行威胁分析

2025年6月1日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师实施和使用 Microsoft Defender 威胁情报 (MDTI)，以改善组织的威胁分析和安全状况。在日益复杂和不断发展的网络威胁环境中，获取最新的、可操作的威胁情报对于有效检测、调查和响应攻击至关重要。 MDTI 提供了强大的威胁情报数据存储库，使安全团队能够更好地了解对手及其策略 [1]。

简介

威胁情报 (IT) 是基于证据的知识，包括有关现有或新兴威胁的背景、机制、指标、影响和可行建议，可用于为事件响应决策提供信息。如果没有有效的威胁情报，安全团队就会处于劣势，只能对攻击做出反应，而不是预测和预防攻击。 IT 可以帮助识别妥协指标 (IoC)、了解攻击者的动机并主动加强防御 [2]。

Microsoft Defender 威胁情报 (MDTI) 是一个综合平台，整合了 Microsoft 从全球数十亿个信号中收集的大量威胁情报。它提供对对手、恶意基础设施和漏洞的深入洞察，使安全专业人员能够简化分类、事件响应、威胁搜寻和漏洞管理。 MDTI 与其他 Microsoft Defender 解决方案和 Microsoft Sentinel 集成，为更具弹性的安全生态系统提供统一视图和自动化功能 [3]。

本实用指南将涵盖先决条件、威胁情报概念、如何使用 MDTI 门户和 API、如何与其他 Microsoft 解决方案集成、如何执行威胁分析、解释危害指标 (IoC) 以及应用最佳实践。将提供分步说明、实际示例和简洁的解释，以便读者可以实现、测试和验证这些功能。此外，还将讨论安全提示、合规性检查和最佳实践，以确保威胁情报得到自主、专业和可靠的使用。

为什么 Microsoft Defender 威胁情报对于威胁分析至关重要？

• 全面的威胁可见性：访问世界上最大的威胁情报数据集之一，涵盖广泛的 IoC、攻击者基础设施和恶意活动。
• 深度上下文：提供有关威胁的丰富上下文，包括有关威胁参与者、策略、技术和程序 (TTP) 以及相关漏洞的信息。
• 与 Microsoft 生态系统集成：与 Microsoft Defender XDR、Microsoft Sentinel 和其他解决方案本机集成，从而实现协调和自动化响应。
• 加速事件响应：帮助安全团队快速识别事件的根本原因，确定威胁的优先级，并实施有效的对策。
• 主动威胁追踪：使威胁追踪者能够在其环境中的恶意活动造成重大损害之前识别该活动。
• 增强的漏洞管理：提供对攻击者利用的漏洞的洞察，使组织能够确定修复的优先级。

先决条件

要使用 Microsoft Defender 威胁情报，您将需要以下项目：

1. Microsoft 365 E5 或 Defender for Cloud 许可：MDTI 包含在某些 Microsoft 365 E5 许可证中，并且作为 Microsoft Defender for Cloud 的一部分，也可以单独购买 [4]。
2. Microsoft Defender 门户访问：具有访问 Microsoft Defender 门户 (https://security.microsoft.com) 的适当权限的帐户。
3. Microsoft Defender 威胁情报门户访问：用于探索 MDTI 数据的专用门户 (https://ti.defender.microsoft.com)。
4. 基础知识o 网络安全：熟悉威胁概念、IoC 和安全操作。

分步：实施和使用 Microsoft Defender 威胁情报

让我们探索 MDTI 门户、搜索 IoC 并与 Microsoft Sentinel 集成。

1. 访问 Microsoft Defender 威胁情报门户

MDTI 门户是访问和探索威胁情报的中心点。

1. 打开浏览器并导航到 Microsoft Defender 威胁情报门户：“https://ti.defender.microsoft.com”。
2. 使用具有必要许可证和权限的 Microsoft 帐户登录。

3. 浏览主页，该主页通常显示包含最新威胁新闻、研究文章和特色 IoC 的仪表板。

   • 说明：该门户提供直观的界面，用于浏览大量威胁情报数据，包括研究文章、妥协指标、基础设施数据等。

2. 研究和分析妥协指标 (IoC)

您可以搜索特定 IoC（IP 地址、域、文件哈希）以获取上下文和见解。

1. 在 MDTI 门户中，使用顶部的搜索栏输入 IoC。例如，搜索可疑的 IP 地址（例如“192.0.2.1”）。

2. 结果页面将显示IoC的详细信息，包括：

   • 声誉：IoC 是否已知为恶意或可疑。
   • 关联：与此 IoC 关联的其他 IoC、域、哈希值或证书。
   • 历史：IoC 基础设施或行为随时间的变化。
   • 研究文章：提及此 IoC 的 MDTI 文章，提供有关攻击活动或威胁行为者的背景信息。

   • 服务和端口：此 IP 上打开或观察哪些服务和端口。

   • 说明：通过分析 MDTI 中的 IoC，安全分析师可以快速了解威胁的性质、其基础设施以及它与其他恶意活动的关系。这在分类和调查事件时至关重要。

3. 探索研究论文和威胁参与者

MDTI 发表有关威胁行为者、他们的 TTP 和特定活动的深入研究文章。

1. 在 MDTI 门户的左侧导航窗格中，选择 研究文章 或 威胁参与者。
2. 浏览文章以查找与您的组织或行业相关的威胁信息。

3. 每篇文章都提供了详细的分析，包括 IoC、TTP、缓解建议以及其他来源的链接。

   • 说明：这些文章是战略和战术情报的宝贵来源，可帮助安全团队了解威胁形势并制定主动防御措施。

4. 将 MDTI 与 Microsoft Sentinel 集成

与 Microsoft Sentinel 集成允许您将 MDTI 数据直接提取到 SIEM 和 SOAR 中，将其与其他安全日志关联并自动响应。

1. 打开 Azure 门户并导航到 Microsoft Sentinel。
2. 在左侧导航窗格中，选择“数据连接器”。
3. 在搜索字段中，输入“Microsoft Defender 威胁情报”。
4. 选择“Microsoft Defender 威胁情报”数据连接器，然后单击“打开连接器页面”。

5. 单击“连接”。

   • 说明：此连接允许 Sentinel 自动从 MDTI 获取 IoC 和其他威胁情报数据，这些数据可用于检测规则、监视列表和自动化剧本。

5. 在 Azure Sentinel 检测规则中使用 MDTI 数据

借助 Sentinel 中的 MDTI 数据，您可以创建自定义检测规则来识别恶意活动。

1. 在 Azure Sentinel 中，导航到 分析 > 计划规则。
2. 点击“+创建”>“定时查询规则”。

3. 配置规则，在“查询逻辑”部分，可以使用MDTI数据。例如，要检测防火墙日志中的任何 IP 是否与 MDTI 已知的恶意 IP 进行通信： ``库斯托 让恶意IP = ThreatIntelligenceIndicator |其中 Active == true 且 NetworkIP != "" |按 T​​hreatType 汇总 make_list(NetworkIP)；

   通用安全日志|其中 DestinationIP 在 (maliciousIPs) |按 DestinationIP、DeviceVendor、DeviceProduct 汇总 count() ```` * 说明：此 Kusto 查询会搜索您的安全日志（例如防火墙），以查找与 MDTI 威胁情报列为恶意 IP 的通信。您可以优化查询以包含其他类型的 IoC 或日志源。

验证和测试

验证 MDTI 是否提供相关威胁情报以及集成是否有效至关重要。

1. 验证 Azure Sentinel 中的数据引入

1. 场景：将 MDTI 连接到 Azure Sentinel 后，验证是否正在摄取威胁情报数据。
2. 预期操作：MDTI 数据应显示在 Log Analytics 的“ThreatIntelligenceIndicator”表中。
3. 验证：
   • 在 Microsoft Sentinel 中，导航至 日志。
   • 运行查询ThreatIntelligenceIndicator |取10。
   • 检查表明数据正在被摄取的结果。

2. 使用 MDTI 测试 IoC 检测

注意：在隔离的测试环境中或在适当的授权和监督下执行此测试。

1. 场景：使用已知恶意的 IoC（例如已知的恶意软件命令和控制 IP）并尝试从 Sentinel 监控的设备（例如测试虚拟机）访问它。
2. 预期操作：如果检测规则配置正确，Sentinel 应根据与恶意 IoC 的通信生成事件。
3. 验证：
   • 在 Microsoft Sentinel 中，导航至事件。
   • 搜索与您的测试活动相匹配的新事件。

安全提示和最佳实践

• 持续的 IT 消耗：及时了解 MDTI 发布的研究文章和最新威胁，以了解不断变化的威胁形势。
• 全面集成：将 MDTI 与所有 Microsoft 安全解决方案（Defender for Endpoint、Defender for Cloud Apps、Defender for Identity）和 Microsoft Sentinel 集成，以最大限度地提高可见性和响应能力。
• 使用 Playbook 实现自动化：使用 Microsoft Sentinel 中的 playbook 自动响应 MDTI IoC 触发的事件，例如在防火墙中阻止恶意 IP 或隔离受感染的设备。
• 主动威胁搜寻：在 Microsoft Sentinel 中的威胁搜寻查询中使用 MDTI 数据，主动查找日志中的恶意活动。
• 定期验证：定期测试基于 IT 的检测规则，以确保它们按预期工作并且 IoC 是最新的。
• IoC 的情境化：不要仅仅依赖于孤立的 IoC。使用 MDTI 提供的上下文来了解 IoC 背后的攻击活动、TTP 和威胁参与者。

常见故障排除

• MDTI 数据不会出现在 Sentinel 中：
  • 验证 Azure Sentinel 中是否启用了 MDTI 数据连接器。
  • 确认您的 Microsoft 许可证支持 MDTI 与 Sentinel 集成。
  • 初始数据摄取可能会出现延迟。等几个小时。
  • 检查 Azure 审核日志中是否有与数据连接器相关的错误。
• 基于 MDTI 的检测规则不会生成警报：
  • 检查 Kusto 查询的语法。确保正确引用“ThreatIntelligenceIndicator”表。
  • 确认测试活动确实符合您的规则标准。
  • 检查分析规则设置（警报阈值、调度）。
• MDTI 门户上的 IoC 未更新：
  • MDTI 不断更新。如果您发现数据过时，可能是浏览器缓存问题或临时服务延迟。
  • 在 Azure 状态页面上检查 MDTI 服务状态。
• 访问 MDTI 门户时出现问题：
  • 验证您的帐户是否具有访问 MDTI 的正确许可证和权限。
  • 清除浏览器缓存或尝试以隐身模式访问它。

结论

Microsoft Defender 威胁情报是加强任何组织网络防御不可或缺的工具。通过提供接触广阔而丰富的资源的机会作为威胁情报的来源，它使安全团队能够从被动转变为主动，以更快的速度和准确性检测和响应威胁。 MDTI 与 Microsoft Defender 生态系统和 Microsoft Sentinel 的集成创建了一个强大的统一安全解决方案，能够防御最复杂的威胁。通过本实用指南，安全专业人员和 IT 管理员将能够配置、验证和管理 Microsoft Defender 威胁情报，从而增强组织抵御网络攻击的能力。

参考资料：

[1] 微软安全。 Microsoft Defender 威胁情报。网址：https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] 微软学习。 什么是 Microsoft Defender 威胁情报 (Defender IT)？。网址：https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3] 微软学习。 Microsoft Defender XDR 中的威胁分析。网址：https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] 微软学习。 启用 Microsoft 威胁情报数据连接器。位于：https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] 微软学习。 Microsoft Defender XDR 与 Microsoft Sentinel 集成。位于：https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] 微软学习。 使用 Microsoft Graph API 进行 Microsoft Defender 威胁情报。网址：https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] 微软学习。 Microsoft Defender 门户中的 Microsoft Sentinel。位于：https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal