Freigeben über

Informationsaustausch und -weitergabe

Die Mission des Microsoft Government Security Program (GSP) besteht darin, Vertrauen durch Transparenz zu schaffen. Seit der Gründung des Programms im Jahr 2003 bietet Microsoft Einblicke in unsere Technologie- und Sicherheitsartefakte, die Regierungen und internationale Organisationen verwenden können, um sich und ihre Bürger zu schützen. Das Angebot zum Teilen und Austauschen von Informationen ermöglicht Es Microsoft, Materialien über Sicherheitsbedrohungen, Sicherheitsrisiken, anomalienes Verhalten, Schadsoftwareinformationen und Sicherheitsprobleme gegen oder im Zusammenhang mit Microsoft-Produkten und -Diensten zu teilen und auszutauschen.

Dieses Angebot vereint Gruppen und Ressourcen in der gesamten Microsoft-Umgebung, um Regierungen dabei zu helfen, Bürger, Infrastruktur und Organisationen zu schützen.

Das Angebot für Informationsaustausch und Austauschsysteme (ISE) bietet

Name Einzelheit
Erweiterte Hinweise zu Sicherheitsrisiken
  • 5-tägige Vorankündigung von Schwachstellen mit Versionshinweisen und betroffenen Software-Tabellen
  • 24 Stunden im Voraus Benachrichtigung einschließlich Exploitability-Index
    		•
    Bösartige URLs
  • Feed von potenziell böswilligen öffentlich zugänglichen Servern und Diensten, die von Bing-Crawlern erkannt wurden
  • Alle drei Stunden aktualisiert, 5-tägiger Datenzyklus
    		•
    CTIP-Botnet-Feeds
  • Bereitgestellt vom Digital Crimes Unit (DCU) Cyber Threat Intelligence Program (CTIP)
  • Botnetdaten sind auf die Agentur (oder länderspezifische Domäne auf oberster Ebene im Falle von CERTs) zugeschnitten.
  • 4 Feeds: Infiziertes Gerät, Befehl & Kontrolle, IoT und Domains
  • In Echtzeit, stündlich oder täglich geliefert (dedupt)
    		•
    Dateimetadaten bereinigen
  • Bereinigte Dateihashdaten, die häufig für Freigabelisten und forensische Analysen verwendet werden
  • Alle 3 Stunden aktualisiert
  • Behandelt alle Microsoft-Binärdateien im Microsoft Download Center
    		•
    Partnerschaft
  • Informationsaustausch über eine Vielzahl von Foren
  • Zugang zum Portal der Digital Crimes Community (DCU)
  • Gemeinsame Nutzung von Threat Intelligence-Daten mit der Digital Crimes Unit (DCU)
  • Direktes Engagement mit Engineering-Gruppen und anderen Microsoft-Teams, einschließlich microsoft Security Response Center (MSRC) und Windows Defender Security Intelligence
    		•

    Übermittlung von Datenfeeds

    Die unter der ISE-Autorisierung angebotenen Feeds befinden sich in mehreren Gruppen, darunter das Microsoft Security Response Center (MSRC), die Digital Crimes Unit (DCU),Bingund Product Release and Security Services (PRSS).

    Das GSP-Team bietet eine webbasierte Anwendung , mit der GSP-Agenturen von einer einzigen Schnittstelle aus auf die ISE-Datenfeeds zugreifen können. Alle Kommunikationen, die vertrauliche Daten enthalten, werden verschlüsselt.

    Übermittlung von Datenfeeds

    Beschreibungen der Datenverwendung

    Benachrichtigung über erweiterte Sicherheitsupdates Das Benachrichtigungspaket listet alle CVEs (Common Vulnerabilities and Exposures) auf, die in der Version behandelt werden. Jedes CVE enthält eine Reihe von Informationen, einschließlich der Sicherheitsrisikobeschreibung (einschließlich Metriken), Exploitability Index und betroffener Software.

    Inhalt für jede CVE

    Bing Bösartige URLs Der Bing Bösartige URL-Feed enthält öffentlich zugängliche Server oder Dienste, die als potenziell böswillig identifiziert wurden. Neue Dateien werden alle drei Stunden hochgeladen; Vollständige Datensätze werden in 5 Tagen generiert. Viele Agenturen importieren die JSON-Dateien direkt in ihre vorhandenen Analysetools für die Bedrohungserkennung.

    Geo-Karte von IP-Adressen

    Bedrohungstypen

    Clean File Meta Data (CFMD)

    Der Feed "Clean File Meta Data" (CFMD) enthält kryptografische Signaturen (SHA256-Hashes) für die Dateien, die in Microsoft-Produkten enthalten sind. Diese werden häufig bei forensischen Untersuchungen potenziell kompromittierter Geräte und zur Zulassung/Unzulässigkeit der Dateiausführung in kritischen Systemen verwendet.

    Dateimetadaten bereinigen

    CTIP-Botnetfeeds: Infizierter Datenfeed

    Die DCU stellt kompromittierte Botnet-Daten über ihren CTIP Threat Intelligence-Dienst als Infiziertengeräte-Datenfeed zur Verfügung. Dadurch werden Netzwerkschutzszenarien für CTIP-Abonnenten ermöglicht und die Behebung der kompromittierten Systeme unterstützt, mit dem Ziel, die Anzahl der infizierten Systeme im Internet zu reduzieren. Andere Feeds umfassen die Listen "Command and Control" (C2), "IoT" und "Domänen", die häufig verwendet werden, um den Datenverkehr auf bekannte Schadsoftwarenetzwerke über Firewalls und schützende DNS einzuschränken.

    CTIP-Daten 1

    CTIP-Daten 2

    Kontaktaufnahme

    Wenden Sie sich an Ihren lokalen Microsoft-Vertreter, um mehr über das Government Security Program zu erfahren.

    • Last updated on