Les chercheurs en sécurité peuvent désormais accéder à la base de données de Microsoft Defender, y compris les hachages de fichiers et les URL.
Grâce à Defender Threat Intelligence, les chercheurs peuvent effectuer des analyses statiques et dynamiques de fichiers et d’URL, tant à l’intérieur qu’à l’extérieur d’un environnement Microsoft. Cette approche duale accélère l’identification et la catégorisation des menaces potentielles.
Selon Microsoft, les données DNS, les informations WHOIS, les logiciels malveillants et les certificats SSL offrent un contexte important pour l’analyse, mais ces dépôts sont dispersés et ne partagent pas la même structure de données. Il est donc difficile pour les chercheurs de disposer de toutes les données pertinentes pour effectuer une analyse correcte.
Microsoft souhaite rassembler ces informations avec Defender TI et y ajouter sa propre valeur, comme le fait Google depuis des années avec VirusTotal. Dans Defender TI, les chercheurs peuvent saisir une valeur de hachage ou une URL dans la barre de recherche, et Microsoft renvoie ensuite un résultat. Le résultat est à première vue peu détaillé, avec un score de réputation et des informations de base, mais sous l’onglet Données, on trouve les règles appliquées pour justifier le score affiché.
La base de données de Defender TI, qui complète d’autres outils, est potentiellement intéressante pour les chercheurs en sécurité. En tant que géant du logiciel, Microsoft enregistre une grande quantité de données sur les signaux de logiciels malveillants et d’autres menaces à partir des produits de sécurité et des données Azure. Defender TI est le résultat de l’acquisition de RiskIQ l’année dernière et analyse 43 000 milliards de signaux par jour.