สวัสดีครับทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ Service ใหม่ใน Microsoft Defender Family ครับ โดย Service นี้มีชื่อว่า "Microsoft Defender Threat Intelligence" หรือเรียกสั้นๆ ว่า MDTI ครับ และก่อนที่จะพาทุกท่านเข้าสู่เรื่องราวของ Microsoft Defender Threat Intelligence ขออนุญาตอธิบายคำว่า "Threat Intelligence" หรือเรียกสั้นๆ ว่า TI ก่อนครับ โดย TI หรือจะมีอีกคำหนึ่งที่คล้ายกันคือ Open Source Intelligence (OSINT) ครับ คือ กระบวนการที่ทำการรวบรวมข้อมูลมาเพื่อมาทำประมวลผล, วิเคราะห์, เพื่อทำความเข้าใจถึง Threat Actors, Behaviors, และอื่นๆ โดยองค์กรสามารถใช้ TI เข้ามาช่วยในการสร้างความปลอดภัยให้กับ IT Environments ขององค์กรครับ
Microsoft Defender Threat Intelligence คืออะไร?
MDTI เป็น Service ที่อยู่ใน Microsoft Defender Family ครับ ก่อนหน้านี้ก็จะมี Microsoft 365 Defender, Microsoft Defender for Cloud, และอื่นๆ ครับ โดย MDTI จะเป็น Service ทำหน้าที่เป็น TI Solution (โดย Microsoft ใช้เทคนิคจาก RiskIQ ใส่เข้ามาใน MDTI รวมถึงมีการนำเอาเทคโนโลยี AI และ Machine Learning เข้ามาใช้งานใน MDTI อีกด้วย) ที่จะมาช่วยองค์กรให้รู้จักตลอดจนทำการป้องกันภัยคุกคามต่างๆ (Threats) ซึ่งช่วงที่ผ่านมาจนถึงปัจจุบัน มีการปรับเปลี่ยนและพัฒนาอยู่ตลอดเวลา เพื่อที่จะหาหนทางหรือช่องโหว่ในการจู่โจมไปยังเป้าหมาย (เช่น ระบบ IT ขององค์กร) โดยองค์กรสามารถใช้ MDTI เพื่อเข้าถึงข้อมูลและ Signals ต่างๆ แบบ Real-Time เพื่อใช้ในการทำ Hunting ภายในองค์กร สำหรับการใช้งาน MDTI เราสามารถใช้งาน MDTI ได้หลากหลายรูปแบบ เช่น Standalone หรือจะเป็นใช้ในรูปแบบที่ไป Integrate ทำงานร่วมกับ Services ใน Microsoft Defender Family เช่น Microsoft 365 Defender, Microsoft Defender for Cloud, Microsoft Sentinel, และอื่นๆ
และทุกๆ วันตัวของ MDTI จะมีการรวบรวมข้อมูลต่างๆ จาก Sources (เช่น RiskIQ, Microsoft Threat Intelligence Center (MSTIC), และอื่นๆ) ผ่านทาง Internet เพื่อช่วย SOC หรือ Security Teams ในการค้นหา, ทำความเข้าใจกับ Threat Actors, Attack Techniques, และอื่นๆ โดยสามารถเข้าถึงข้อมูลดังกล่าวนั้นใน 2 แบบ คือ ไม่มีค่าใช้จ่าย (Defender TI Community มีข้อจำกัด) กับเสียค่าใช้จ่าย (Defender TI Premium) ครับ
รูปด้านล่างคือ Portal ของ Microsoft Defender Threat Intelligence (MDTI) ครับ
และใน Portal ดังกล่าวนี้ Security หรือ SOC Teams สามารถทำการค้นหาข้อมูลต่างๆ เช่น ฟีเจอร์ใหม่ๆ, Incident Response, Hunting, และอื่นๆ นอกจากนี้แล้ว MDTI ยังมีบทความต่างๆ มานำเสนอให้กับ Security หรือ SOC Teams ได้ศึกษาและเรียนรู้ข้อมูลต่างๆ เช่น Threat Actors, Attacks, Vulnerabilities, และอื่นๆ จากรูปด้านล่าง ผมได้ลองคลิ๊กเลือก TI Article ใน MDTI
TI Article ดังกล่าวมาพร้อมกับข้อมูลต่างๆ มากมาย ตามที่อธิบายไว้ข้างต้นครับ โดย เริ่มตั้งแต่ Article Descriptions, Public Indicators, Defender TI Indicators, และอื่นๆ ข้อมูลต่างๆ จะเกี่ยวข้องกับ Licenses การใช้งาน MDTI ด้วยครับ ถ้าเป็นแบบไม่มีค่าใช้จ่ายหรือฟรี ก็จะมีข้อมูลจำกัดครับ
รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Defender Threat Intelligence หรือ MDTI สามารถไปที่ Link นี้ได้เลยครับ, What is Microsoft Defender Threat Intelligence (Defender TI)? | Microsoft Learn
และนี่คือเรื่องราวเบื้องต้นของ Microsoft Defender Threat Intelligence, ที่ผมอยากนำเสนอให้ทุกท่านรู้จักครับผม.....
