Microsoft Defender Threat Intelligence nun mit Hash- und URL-Suche

Sicherheit (Pexels, allgemeine Nutzung)[English]Kleiner Nachtrag: Microsoft hat die Woche sein Microsoft Defender Threat Intelligence (Defender TI) erweitert. Das Defender TI enthält nun Funktionen, über die angemeldete Nutzer jetzt Datei-Hash-Werte überprüfen können. Zudem wird eine URL-Suche unterstützt. So sollen Sicherheitsverantwortliche oder Sicherheitsforscher prüfen können, ob URLs oder Dateien schädlich sind. Microsoft versucht Googles Virustotal etwas entgegen zu setzen, verlangt aber eine Benutzeranmeldung, um Defender TI verwenden zu können. Ich habe mal einige kurze Tests gemacht, war aber irgendwie schnell ernüchtert.


Anzeige

Das Thema wäre an mir vorbei gegangen, wenn ich nicht diesen Beitrag von The Register gesehen hätte. Microsoft hat die Neuerungen zum 17. April 2023 im Techcommunity-Beitrag What's New: Hash and URL Search Intelligence vorgestellt.

Microsoft Defender Threat Intelligence

Ich habe mich mal mit meinem Microsoft-Konto am Defender TI angemeldet und bekam obige Darstellung zu sehen. Das Menü des Suchfelds lässt die Auswahl diverser Kategorien wie die Suche nach Zertifikaten oder in der Whois-Datenbank zu. Zudem werden einige Sicherheitsartikel in der Suchseite eingeblendet.

Microsoft schreibt im Techcommunity-Artikel, dass das Defender TI die Bedrohungsdaten von Microsoft durch statische und dynamische Analyse von Dateien und URLs innerhalb und außerhalb des Ökosystems verwendet und so eine umfassende Abdeckung potenzieller Bedrohungen bietet.


Anzeige

  • Bei der statischen Analyse wird der Code der Datei untersucht, ohne sie auszuführen,
  • während bei der dynamischen Analyse die Datei in einer kontrollierten Umgebung ausgeführt wird, um ihr Verhalten zu beobachten.

Dieser duale Ansatz des Defender TI soll es ermöglichen, potenzielle Bedrohungen mit statischen Analysetechniken zu identifizieren und zu kategorisieren und das tatsächliche Verhalten mit dynamischen Analysetechniken zu erkennen und zu analysieren. Benutzer können mit der angezeigten Suchleiste jeden Hash oder jede URL durchsuchen.

Auf der Registerkarte "Zusammenfassung" werden der Reputationswert und grundlegende Informationen für den Datei-Hash oder die URL-Entitäten angezeigt. Auf einer Registerkarte "Daten" liefert das Defender TI detaillierte Einblicke, schreibt Microsoft in seinem Beitrag. Die Integration von Hash- und URL-Werten im Defender TI zur Nutzung statischer und dynamischer Analysen sei eine der am häufigsten von Kunden geforderten Funktionen gewesen, schreibt Microsoft. Die Neuerung soll es Sicherheitsexperten ermöglichen, detaillierte Informationen über bestimmte Hashes oder URLs zu erhalten, die in einem Netzwerk oder im Internet gefunden wurden.

Ich habe mal versucht, einige URLs zu überprüfen, war dann aber mehr als ernüchtert. Bei zwei URLs erhielt ich keine Treffer (gut, die waren noch frisch). Dann habe ich versucht, die im Artikel LKA-Warnung vor SMS-Phishing wegen gescheiterter DHL-Paketzustellung (März 2023) erwähnte URL parcel-delivered[.]com zu überprüfen. Mir ist die Kinnlade heruntergefallen, als ich folgendes Ergebnis sah.

Testing Defender TI

Lässt sich mit "gehen sie weiter, hier gibt es nichts zu sehen" übersetzen – und wer etwas näheres zur Analyse unter "Reputation" sehen will, muss ein lizenzierter Abonnent sein. Nur mal zum Vergleich die virustotal.com-Ergebnisseite bei der gleichen URL, die ohne Anmeldung angezeigt wird.

Virustotal result

Ich glaube, mehr muss man eigentlich nicht ausführen. Vielleicht enthält das Defender TI noch irgendwelche versteckten Goodies – aber ich bleibe bei virustotal.com, wenn ich mal schnell eine URL oder eine Datei überprüfen möchte. Oder habe ich jetzt ad-hoc was wichtiges übersehen?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Microsoft Defender Threat Intelligence nun mit Hash- und URL-Suche

  1. Dolly sagt:

    In Zukunft: Nur URLs/Dateien mit behördlich genehmigter Wahrheit können aufgerufen/geöffnet werden, Rest ist böse und wird standardmässig geblockt. Whitelist statt Hase/Igel. Und viele Lemminge werden es lieben und verteidigen, ohne zu verstehen, dass es das Ende des freien Internet bedeutet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.