Score for omdømme
Microsoft Defender Threat Intelligence (Defender TI) giver scorer for beskyttet omdømme for alle værter, domæner eller IP-adresser. Uanset om du validerer omdømmet for en kendt eller ukendt enhed, hjælper denne score dig med hurtigt at forstå alle registrerede forbindelser til skadelig eller mistænkelig infrastruktur. Defender TI indeholder hurtige oplysninger om aktiviteten for disse enheder (f.eks. tidsstempler for første og sidst set, autonome systemnumre og tilhørende infrastruktur) og en liste over regler, der påvirker omdømmescoren, når det er relevant.
Omdømmedata er vigtige for at forstå troværdigheden af din egen angrebsoverflade og er også nyttige, når du skal vurdere ukendte værter, domæner eller IP-adresser, der vises i undersøgelser. Disse scorer afdækker tidligere ondsindet eller mistænkelig aktivitet, der påvirkede enheden, eller andre kendte indikatorer for kompromis (IOCs), der bør tages i betragtning.
Om omdømmescorer
Omdømmescorer bestemmes af en række algoritmer, der er designet til hurtigt at kvantificere den risiko, der er knyttet til en enhed. Vi udvikler omdømmescorer baseret på vores beskyttede data ved hjælp af vores gennemsøgningsinfrastruktur og ip-oplysninger, der indsamles fra eksterne kilder.
Påvisningsmetoder
En række faktorer bestemmer omdømmescores, herunder kendte tilknytninger til blokerede enheder og en række regler for maskinel indlæring, der bruges til at vurdere risikoen.
Resultatparenteser
Omdømmescorer vises som en numerisk score med et interval fra nul til 100. En enhed med en score på 0 har ikke tilknytninger til mistænkelig aktivitet eller kendte IOCs. En score på 100 angiver, at enheden er skadelig. Værter, domæner og IP-adresser er grupperet i følgende kategorier afhængigt af deres numeriske score:
| Score | Kategori | Beskrivelse |
|---|---|---|
| 75+ | Ondsindet | Enheden har bekræftet tilknytninger til kendt skadelig infrastruktur, der vises på vores blokeringsliste og matcher regler for maskinel indlæring, der registrerer mistænkelig aktivitet. |
| 50 – 74 | Mistænkelig | Enheden er sandsynligvis knyttet til mistænkelig infrastruktur baseret på match til tre eller flere regler for maskinel indlæring. |
| 25 – 49 | Neutral | Enheden stemmer overens med mindst to regler for maskinel indlæring. |
| 0 – 24 | Ukendt (grøn) | Enheden returnerede mindst én tilsvarende regel. |
| 0 – 24 | Ukendt (grå) | Enheden returnerede ikke nogen regelforekomster. |
Regler for registrering
Omdømmescorer er baseret på mange faktorer, som du kan referere til for at bestemme den relative kvalitet af et domæne eller en adresse. Disse faktorer afspejles i reglerne for maskinel indlæring, der udgør omdømmescorerne. Domæner på øverste niveau (TID'er) er f.eks .xyz.cc . mere mistænkelige end .com eller .org TID'er. Der er større sandsynlighed for, at et selvstændigt systemnummer (ASN), der hostes af en lavprisudbyder eller en gratis hostingudbyder, er forbundet med skadelig aktivitet, og det samme gælder et selvsigneret TLS-certifikat. Denne omdømmemodel blev udviklet ved at se på relative forekomster af disse funktioner blandt både ondsindede og godartede indikatorer for at score et objekts overordnede omdømme.
I følgende tabel kan du se eksempler på regler, der bruges til at bestemme, om en vært, et domæne eller en IP-adresse er mistænkelig.
Vigtigt!
Listen er ikke omfattende og ændrer sig hele tiden. vores registreringslogik og de deraf følgende funktioner er dynamiske, da de afspejler det stadigt stigende trusselslandskab. Derfor publicerer vi ikke en omfattende liste over de regler for maskinel indlæring, der bruges til at vurdere en enheds omdømme.
| Regelnavn | Beskrivelse |
|---|---|
| TLS-certifikat, selvsigneret | Selvsignerede certifikater kan indikere skadelig funktionsmåde |
| Mærket som skadelig | Mærket som skadelig af et medlem i din organisation |
| Webkomponenter blev observeret | Antallet af webkomponenter, der observeres, kan indikere ondsindethed |
| Navneserver | Domænet bruger en navneserver, der med større sandsynlighed vil blive brugt af skadelig infrastruktur |
| Registrator | Domæner, der er registreret hos denne registrator, er mere tilbøjelige til at være skadelige |
| Registrant e-mailudbyder | Domænet er registreret hos en mailudbyder, der er mere tilbøjelige til at registrere skadelige domæner |
Det er vigtigt at huske, at disse faktorer skal vurderes holistisk for at foretage en nøjagtig vurdering af en enheds omdømme. Den specifikke kombination af indikatorer i stedet for nogen enkelt indikator kan forudsige, om en enhed sandsynligvis er ondsindet eller mistænkelig.
Alvorlighed
Der er anvendt en alvorsgradklassifikation for de regler, der er oprettet for systemet til registrering af maskinel indlæring. Hver regel tildeles høj, mellem eller lav alvorsgrad baseret på det risikoniveau, der er knyttet til reglen.
Use cases
Hændelse triage, reaktion, og trussel jagt
Defender TI's omdømmescore, klassificering, regler og beskrivelse af regler kan bruges til hurtigt at vurdere, om en IP-adresse eller domæneindikator er god, mistænkelig eller ondsindet. Andre gange overvåger vi muligvis ikke tilstrækkelig infrastruktur, der er knyttet til en IP-adresse eller et domæne, til at udlede, om indikatoren er god eller dårlig. Hvis en indikator har en ukendt eller neutral klassificering, opfordres du til at udføre en dybere undersøgelse ved at gennemgå vores datasæt for at udlede, om indikatoren er god eller dårlig. Hvis en indikators omdømme omfatter en artikeltilknytning, opfordres du til at gennemse disse angivne artikler for at få mere at vide om, hvordan indikatoren er knyttet til en potentiel trusselsaktørs kampagne. hvilke industrier eller nationer de kan målrette mod; og hvilke tilknyttede teknikker, taktik og procedurer (TTP'er), de kan have; og identificere andre relaterede IOCs for at udvide omfanget af din hændelses indsats og jagtindsats.
Indsamling af intelligens
Du kan dele alle tilknyttede artikler med dit trusselsintelligensteam, så de har en tydeligere forståelse af, hvem der kan målrette deres organisation.