Hodnocení reputace
Analýza hrozeb v programu Microsoft Defender (Defender TI) poskytuje skóre reputace pro každého hostitele, doménu nebo IP adresu. Toto skóre vám pomůže rychle pochopit zjištěné vazby na škodlivou nebo podezřelou infrastrukturu bez ohledu na to, jestli ověřuje pověst známé nebo neznámé entity. Defender TI poskytuje rychlé informace o aktivitě těchto entit (například první a poslední časová razítka, čísla autonomních systémů a přidružená infrastruktura) a seznam pravidel, která ovlivňují skóre reputace, pokud je to možné.
Data o reputaci jsou důležitá k pochopení důvěryhodnosti vašeho vlastního prostoru pro útoky a jsou také užitečná při posuzování neznámých hostitelů, domén nebo IP adres, které se objevují při vyšetřování. Tato skóre odhalí všechny předchozí škodlivé nebo podezřelé aktivity, které ovlivnily danou entitu, nebo jiné známé indikátory ohrožení zabezpečení (IOC), které by měly být vzaty v úvahu.
Vysvětlení skóre reputace
Skóre reputace se určuje řadou algoritmů navržených tak, aby rychle kvantifikoval riziko spojené s entitou. Vytváříme skóre reputace na základě našich vlastnických dat pomocí naší infrastruktury procházení a na informacích o IP adresách shromážděných z externích zdrojů.
Metody detekce
Skóre reputace určuje řada faktorů, včetně známých přidružení k entitám zařazeným na seznam blokovaných položek a řady pravidel strojového učení používaných k posouzení rizik.
Bodovací hranaté závorky
Skóre reputace se zobrazuje jako číselné skóre s rozsahem od nuly do 100. Entita se skóre 0 nemá přidružení k podezřelé aktivitě nebo známým IOC. Skóre 100 značí, že je entita škodlivá. Hostitelé, domény a IP adresy jsou seskupené do následujících kategorií v závislosti na jejich číselném skóre:
| Skóre | Kategorie | Popis |
|---|---|---|
| 75+ | Zlomyslný | Entita má potvrzené přidružení ke známé škodlivé infrastruktuře, která se zobrazuje na našem seznamu blokovaných, a odpovídá pravidlům strojového učení, která detekují podezřelou aktivitu. |
| 50 – 74 | Podezřívavý | Entita je pravděpodobně přidružená k podezřelé infrastruktuře na základě shody se třemi nebo více pravidly strojového učení. |
| 25 – 49 | Neutrální | Entita splňuje alespoň dvě pravidla strojového učení. |
| 0 – 24 | Neznámé (zelená) | Entita vrátila aspoň jedno odpovídající pravidlo. |
| 0 – 24 | Neznámé (šedá) | Entita nevrátila žádné shody pravidel. |
Pravidla detekce
Skóre reputace je založeno na mnoha faktorech, na které můžete odkazovat při určování relativní kvality domény nebo adresy. Tyto faktory se odrážejí v pravidlech strojového učení, která tvoří skóre reputace. Například .xyz.cc domény nejvyšší úrovně (TLD) jsou podezřelejší než .com domény nebo .org TLD. Číslo autonomního systému (ASN) hostované nízkonákladovým nebo bezplatným poskytovatelem hostingu je s větší pravděpodobností spojené se škodlivou aktivitou, stejně jako certifikát TLS podepsaný svým držitelem. Tento model reputace byl vyvinut tak, že se na základě relativních výskytů těchto funkcí mezi škodlivými i neškodnými indikátory ohodnotilo celkovou reputaci entity.
Příklady pravidel používaných k určení, jestli je hostitel, doména nebo IP adresa podezřelá, najdete v následující tabulce.
Důležité
Tento seznam není vyčerpávající a neustále se mění; naše logika detekce a následné schopnosti jsou dynamické, protože odrážejí vyvíjející se prostředí hrozeb. Z tohoto důvodu nepublikujeme úplný seznam pravidel strojového učení používaných k posouzení reputace entity.
| Název pravidla | Popis |
|---|---|
| Certifikát TLS podepsaný svým držitelem | Certifikáty podepsané svým držitelem můžou indikovat škodlivé chování |
| Označeno jako škodlivé | Označení člena ve vaší organizaci jako škodlivého |
| Zjištěné webové komponenty | Počet pozorovaných webových komponent může naznačovat škodlivost. |
| Názvový server | Doména používá názvový server, u kterého je pravděpodobnější, že ho bude používat škodlivá infrastruktura. |
| Registrátor | U domén zaregistrovaných u tohoto registrátora je větší pravděpodobnost, že budou škodlivé. |
| Poskytovatel e-mailu registrovaného | Doména je zaregistrovaná u poskytovatele e-mailu, u kterého je větší pravděpodobnost registrace škodlivých domén |
Je důležité si uvědomit, že tyto faktory musí být posouzeny holisticky, aby bylo možné provést přesné posouzení reputace entity. Konkrétní kombinace indikátorů, nikoli jakéhokoli jednotlivého ukazatele, může předpovědět, jestli je entita pravděpodobně škodlivá nebo podezřelá.
Závažnost
Pravidla vytvořená pro systém detekce strojového učení mají použité hodnocení závažnosti. Každému pravidlu se přiřadí vysoká, střední nebo nízká závažnost na základě úrovně rizika přidruženého k pravidlu.
Případy použití
Posouzení incidentů, reakce a proaktivní vyhledávání hrozeb
Skóre reputace, klasifikaci, pravidla a popis pravidel defenderu TI můžete použít k rychlému posouzení, jestli je IP adresa nebo indikátor domény dobrý, podezřelý nebo škodlivý. Jindy nemusíme pozorovat dostatečnou infrastrukturu přidruženou k IP adrese nebo doméně, abychom mohli odvodit, jestli je indikátor dobrý nebo špatný. Pokud má indikátor neznámou nebo neutrální klasifikaci, doporučujeme provést hlubší šetření tím, že si prohlédnete naše sady dat, abyste odvodili, jestli je indikátor dobrý nebo špatný. Pokud reputace indikátoru zahrnuje přidružení článku, doporučujeme, abyste si uvedené články prostudovali, abyste se dozvěděli více o tom, jak je indikátor propojený s kampaní potenciálního aktéra hrozby. na která odvětví nebo státy by mohly cílit; a jaké související techniky, taktiky a postupy mohou mít; a identifikovat další související IOC, aby se rozšířil rozsah reakcí na incidenty a proaktivního vyhledávání.
Shromažďování informací
Jakékoli přidružené články můžete sdílet se svým týmem analýzy hrozeb, aby měli jasnější představu o tom, kdo může cílit na svoji organizaci.