Veiligheidsonderzoekers kunnen nu de database van Microsoft Defender raadplegen, onder andere via file hashes en URL’s.
Via Defender Threat Intelligence kunnen onderzoekers zowel statische als dynamische analyses van bestanden en URL’s uitvoeren, zowel binnen een Microsoft-omgeving als daarbuiten. Deze dubbele aanpak maakt het mogelijk om potentiële gevaren sneller te identificeren en categoriseren.
Volgens Microsoft bieden DNS-data, WHOIS-informatie, malware en SSL-certificaten belangrijke context om analyses te doen, maar deze repositories zitten verspreid en delen niet dezelfde datastructuur. Dat maakt het moeilijk voor onderzoekers om alle relevante data ter beschikking te hebben om een juiste analyse te maken.
Met Defender TI wil Microsoft die informatie bundelen en eigen waarde toevoegen, iets wat Google al jaren doet met VirusTotal. Binnen Defender TI kunnen onderzoekers een hash-waarde of URL in de zoekbalk invoeren, waarna Microsoft een resultaat geeft. Op het eerste zicht is die summier met de reputatiescore en basisinformatie, maar onder het Data-tabblad kan je terugvinden welke regels in actie schoten om de weergegeven score te rechtvaardigen.
lees ook
Windows Defender for Business nu ook op Mac, Android en iOS beschikbaar
De database van Defender TI is als aanvulling op andere tools potentieel interessant voor veiligheidsonderzoekers. Als softwaregigant verzamelt Microsoft enorm veel data rond malwaresignalen en andere gevaren uit securityproducten en Azure-gegevens. Defender TI is het resultaat van de RiskIQ-overname vorig jaar en analyseert dagelijks 43.000 miljard signalen.