在以冠状病毒为主题的攻击数量持续增加的同时,微软宣布将开放其COVID-19威胁情报的来源,以帮助企业消除这些威胁。
“微软每天在身份,端点,云,应用程序和电子邮件中处理数万亿个信号,从而提供对以COVID-19主题的广泛攻击的可见性,从而使我们能够在整个安全范围内对其进行检测,保护和响应堆。” 阅读Microsoft发布的帖子。“今天,我们通过将我们自己的一些指标公开提供给那些尚未受到我们解决方案保护的指标,使我们的COVID-19威胁情报更进一步了。“
共享信息可以使社区更全面地了解攻击者的战术,技术和程序。
Microsoft专家已经在分享恶意诱饵的示例,并通过Azure Sentinel Notebook提供了以COVID主题的攻击的指导性狩猎。
微软将公开发布其某些威胁指标,该公司指出,微软威胁防护(MTP)已保护其用户免受这些攻击。
Microsoft已在Azure Sentinel GitHub存储库中以及通过 Microsoft Graph Security API提供了指标 。
这些指标现在可以通过两种方式获得。它们可在 Azure Sentinel GitHub 和 Microsoft Graph Security API中获得。对于使用MISP 存储和共享威胁情报的企业客户, 可以通过MISP feed轻松使用这些指标。” 微软继续。
“该威胁情报已为更广泛的安全社区以及希望执行更多狩猎活动的客户提供了使用,因为我们都抵御试图利用COVID危机的恶意行为者。”
这仅仅是与冠状病毒相关的IOC的威胁情报共享的开始,它将在爆发的高峰期提供。
Microsoft将发布与活动中使用的恶意电子邮件附件相关的文件哈希指示符。
Azure Sentinel客户可以使用Playbook导入指标或直接从查询访问指标。微软补充说,Office 365 ATP和Microsoft Defender ATP已经阻止了与上述指标相关的攻击。
*编译:Domino
*来自:securityaffairs