{"id":280009,"date":"2023-04-23T00:17:00","date_gmt":"2023-04-22T22:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280009"},"modified":"2023-04-21T11:12:06","modified_gmt":"2023-04-21T09:12:06","slug":"microsoft-defender-threat-intelligence-nun-mit-hash-und-url-suche","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/23\/microsoft-defender-threat-intelligence-nun-mit-hash-und-url-suche\/","title":{"rendered":"Microsoft Defender Threat Intelligence nun mit Hash- und URL-Suche"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=29400\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kleiner Nachtrag: Microsoft hat die Woche sein Microsoft Defender Threat Intelligence (Defender TI) erweitert. Das Defender TI enth\u00e4lt nun Funktionen, \u00fcber die angemeldete Nutzer jetzt Datei-Hash-Werte \u00fcberpr\u00fcfen k\u00f6nnen. Zudem wird eine URL-Suche unterst\u00fctzt. So sollen Sicherheitsverantwortliche oder Sicherheitsforscher pr\u00fcfen k\u00f6nnen, ob URLs oder Dateien sch\u00e4dlich sind. Microsoft versucht Googles Virustotal etwas entgegen zu setzen, verlangt aber eine Benutzeranmeldung, um Defender TI verwenden zu k\u00f6nnen. Ich habe mal einige kurze Tests gemacht, war aber irgendwie schnell ern\u00fcchtert.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/15ad8802a0c14581ad02788c77b412b0\" alt=\"\" width=\"1\" height=\"1\" \/>Das Thema w\u00e4re an mir vorbei gegangen, wenn ich nicht <a href=\"https:\/\/www.theregister.com\/2023\/04\/18\/microsoft_threat_intelligence_search\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> von The Register gesehen h\u00e4tte. Microsoft hat die Neuerungen zum 17. April 2023 im Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/microsoft-defender-threat\/what-s-new-hash-and-url-search-intelligence\/ba-p\/3781430\" target=\"_blank\" rel=\"noopener\">What's New: Hash and URL Search Intelligence<\/a> vorgestellt.<\/p>\n<p><img decoding=\"async\" title=\"Microsoft Defender Threat Intelligence \" src=\"https:\/\/i.imgur.com\/4bjgZuG.png\" alt=\"Microsoft Defender Threat Intelligence \" \/><\/p>\n<p>Ich habe mich mal mit meinem Microsoft-Konto am Defender TI angemeldet und bekam obige Darstellung zu sehen. Das Men\u00fc des Suchfelds l\u00e4sst die Auswahl diverser Kategorien wie die Suche nach Zertifikaten oder in der Whois-Datenbank zu. Zudem werden einige Sicherheitsartikel in der Suchseite eingeblendet.<\/p>\n<p>Microsoft schreibt im Techcommunity-Artikel, dass das Defender TI die Bedrohungsdaten von Microsoft durch statische und dynamische Analyse von Dateien und URLs innerhalb und au\u00dferhalb des \u00d6kosystems verwendet und so eine umfassende Abdeckung potenzieller Bedrohungen bietet.<\/p>\n<ul>\n<li>Bei der statischen Analyse wird der Code der Datei untersucht, ohne sie auszuf\u00fchren,<\/li>\n<li>w\u00e4hrend bei der dynamischen Analyse die Datei in einer kontrollierten Umgebung ausgef\u00fchrt wird, um ihr Verhalten zu beobachten.<\/li>\n<\/ul>\n<p>Dieser duale Ansatz des Defender TI soll es erm\u00f6glichen, potenzielle Bedrohungen mit statischen Analysetechniken zu identifizieren und zu kategorisieren und das tats\u00e4chliche Verhalten mit dynamischen Analysetechniken zu erkennen und zu analysieren. Benutzer k\u00f6nnen mit der angezeigten Suchleiste jeden Hash oder jede URL durchsuchen.<\/p>\n<p>Auf der Registerkarte \"Zusammenfassung\" werden der Reputationswert und grundlegende Informationen f\u00fcr den Datei-Hash oder die URL-Entit\u00e4ten angezeigt. Auf einer Registerkarte \"Daten\" liefert das Defender TI detaillierte Einblicke, schreibt Microsoft in seinem Beitrag. Die Integration von Hash- und URL-Werten im Defender TI zur Nutzung statischer und dynamischer Analysen sei eine der am h\u00e4ufigsten von Kunden geforderten Funktionen gewesen, schreibt Microsoft. Die Neuerung soll es Sicherheitsexperten erm\u00f6glichen, detaillierte Informationen \u00fcber bestimmte Hashes oder URLs zu erhalten, die in einem Netzwerk oder im Internet gefunden wurden.<\/p>\n<p>Ich habe mal versucht, einige URLs zu \u00fcberpr\u00fcfen, war dann aber mehr als ern\u00fcchtert. Bei zwei URLs erhielt ich keine Treffer (gut, die waren noch frisch). Dann habe ich versucht, die im Artikel <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/19\/lka-warnung-vor-sms-phishing-wegen-gescheiterter-dhl-paketzustellung-mrz-2023\/\" target=\"_blank\" rel=\"noopener\">LKA-Warnung vor SMS-Phishing wegen gescheiterter DHL-Paketzustellung (M\u00e4rz 2023)<\/a> erw\u00e4hnte URL parcel-delivered[.]com zu \u00fcberpr\u00fcfen. Mir ist die Kinnlade heruntergefallen, als ich folgendes Ergebnis sah.<\/p>\n<p><img decoding=\"async\" title=\"Testing Defender TI\" src=\"https:\/\/i.imgur.com\/GGcviJ2.png\" alt=\"Testing Defender TI\" \/><\/p>\n<p>L\u00e4sst sich mit \"gehen sie weiter, hier gibt es nichts zu sehen\" \u00fcbersetzen &#8211; und wer etwas n\u00e4heres zur Analyse unter \"Reputation\" sehen will, muss ein lizenzierter Abonnent sein. Nur mal zum Vergleich die<em> virustotal.com<\/em>-Ergebnisseite bei der gleichen URL, die ohne Anmeldung angezeigt wird.<\/p>\n<p><img decoding=\"async\" title=\"Virustotal result\" src=\"https:\/\/i.imgur.com\/m4cyA4P.png\" alt=\"Virustotal result\" \/><\/p>\n<p>Ich glaube, mehr muss man eigentlich nicht ausf\u00fchren. Vielleicht enth\u00e4lt das Defender TI noch irgendwelche versteckten Goodies &#8211; aber ich bleibe bei virustotal.com, wenn ich mal schnell eine URL oder eine Datei \u00fcberpr\u00fcfen m\u00f6chte. Oder habe ich jetzt ad-hoc was wichtiges \u00fcbersehen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Nachtrag: Microsoft hat die Woche sein Microsoft Defender Threat Intelligence (Defender TI) erweitert. Das Defender TI enth\u00e4lt nun Funktionen, \u00fcber die angemeldete Nutzer jetzt Datei-Hash-Werte \u00fcberpr\u00fcfen k\u00f6nnen. Zudem wird eine URL-Suche unterst\u00fctzt. So sollen Sicherheitsverantwortliche oder Sicherheitsforscher pr\u00fcfen k\u00f6nnen, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/23\/microsoft-defender-threat-intelligence-nun-mit-hash-und-url-suche\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-280009","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280009","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280009"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280009\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280009"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280009"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280009"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}