Del via


Score for omdømme

Microsoft Defender Threat Intelligence (Defender TI) giver scorer for beskyttet omdømme for alle værter, domæner eller IP-adresser. Uanset om du validerer omdømmet for en kendt eller ukendt enhed, hjælper denne score dig med hurtigt at forstå alle registrerede forbindelser til skadelig eller mistænkelig infrastruktur. Defender TI indeholder hurtige oplysninger om aktiviteten for disse enheder (f.eks. tidsstempler for første og sidst set, autonome systemnumre og tilhørende infrastruktur) og en liste over regler, der påvirker omdømmescoren, når det er relevant.

Omdømmedata er vigtige for at forstå troværdigheden af din egen angrebsoverflade og er også nyttige, når du skal vurdere ukendte værter, domæner eller IP-adresser, der vises i undersøgelser. Disse scorer afdækker tidligere ondsindet eller mistænkelig aktivitet, der påvirkede enheden, eller andre kendte indikatorer for kompromis (IOCs), der bør tages i betragtning.

Skærmbillede af omdømmescore.

Om omdømmescorer

Omdømmescorer bestemmes af en række algoritmer, der er designet til hurtigt at kvantificere den risiko, der er knyttet til en enhed. Vi udvikler omdømmescorer baseret på vores beskyttede data ved hjælp af vores gennemsøgningsinfrastruktur og ip-oplysninger, der indsamles fra eksterne kilder.

Kort over omdømmeoversigt.

Påvisningsmetoder

En række faktorer bestemmer omdømmescores, herunder kendte tilknytninger til blokerede enheder og en række regler for maskinel indlæring, der bruges til at vurdere risikoen.

Resultatparenteser

Omdømmescorer vises som en numerisk score med et interval fra nul til 100. En enhed med en score på 0 har ikke tilknytninger til mistænkelig aktivitet eller kendte IOCs. En score på 100 angiver, at enheden er skadelig. Værter, domæner og IP-adresser er grupperet i følgende kategorier afhængigt af deres numeriske score:

Score Kategori Beskrivelse
75+ Ondsindet Enheden har bekræftet tilknytninger til kendt skadelig infrastruktur, der vises på vores blokeringsliste og matcher regler for maskinel indlæring, der registrerer mistænkelig aktivitet.
50 – 74 Mistænkelig Enheden er sandsynligvis knyttet til mistænkelig infrastruktur baseret på match til tre eller flere regler for maskinel indlæring.
25 – 49 Neutral Enheden stemmer overens med mindst to regler for maskinel indlæring.
0 – 24 Ukendt (grøn) Enheden returnerede mindst én tilsvarende regel.
0 – 24 Ukendt (grå) Enheden returnerede ikke nogen regelforekomster.

Regler for registrering

Omdømmescorer er baseret på mange faktorer, som du kan referere til for at bestemme den relative kvalitet af et domæne eller en adresse. Disse faktorer afspejles i reglerne for maskinel indlæring, der udgør omdømmescorerne. Domæner på øverste niveau (TID'er) er f.eks .xyz.cc . mere mistænkelige end .com eller .org TID'er. Der er større sandsynlighed for, at et selvstændigt systemnummer (ASN), der hostes af en lavprisudbyder eller en gratis hostingudbyder, er forbundet med skadelig aktivitet, og det samme gælder et selvsigneret TLS-certifikat. Denne omdømmemodel blev udviklet ved at se på relative forekomster af disse funktioner blandt både ondsindede og godartede indikatorer for at score et objekts overordnede omdømme.

I følgende tabel kan du se eksempler på regler, der bruges til at bestemme, om en vært, et domæne eller en IP-adresse er mistænkelig.

Vigtigt!

Listen er ikke omfattende og ændrer sig hele tiden. vores registreringslogik og de deraf følgende funktioner er dynamiske, da de afspejler det stadigt stigende trusselslandskab. Derfor publicerer vi ikke en omfattende liste over de regler for maskinel indlæring, der bruges til at vurdere en enheds omdømme.

Regelnavn Beskrivelse
TLS-certifikat, selvsigneret Selvsignerede certifikater kan indikere skadelig funktionsmåde
Mærket som skadelig Mærket som skadelig af et medlem i din organisation
Webkomponenter blev observeret Antallet af webkomponenter, der observeres, kan indikere ondsindethed
Navneserver Domænet bruger en navneserver, der med større sandsynlighed vil blive brugt af skadelig infrastruktur
Registrator Domæner, der er registreret hos denne registrator, er mere tilbøjelige til at være skadelige
Registrant e-mailudbyder Domænet er registreret hos en mailudbyder, der er mere tilbøjelige til at registrere skadelige domæner

Det er vigtigt at huske, at disse faktorer skal vurderes holistisk for at foretage en nøjagtig vurdering af en enheds omdømme. Den specifikke kombination af indikatorer i stedet for nogen enkelt indikator kan forudsige, om en enhed sandsynligvis er ondsindet eller mistænkelig.

Alvorlighed

Der er anvendt en alvorsgradklassifikation for de regler, der er oprettet for systemet til registrering af maskinel indlæring. Hver regel tildeles høj, mellem eller lav alvorsgrad baseret på det risikoniveau, der er knyttet til reglen.

Use cases

Hændelse triage, reaktion, og trussel jagt

Defender TI's omdømmescore, klassificering, regler og beskrivelse af regler kan bruges til hurtigt at vurdere, om en IP-adresse eller domæneindikator er god, mistænkelig eller ondsindet. Andre gange overvåger vi muligvis ikke tilstrækkelig infrastruktur, der er knyttet til en IP-adresse eller et domæne, til at udlede, om indikatoren er god eller dårlig. Hvis en indikator har en ukendt eller neutral klassificering, opfordres du til at udføre en dybere undersøgelse ved at gennemgå vores datasæt for at udlede, om indikatoren er god eller dårlig. Hvis en indikators omdømme omfatter en artikeltilknytning, opfordres du til at gennemse disse angivne artikler for at få mere at vide om, hvordan indikatoren er knyttet til en potentiel trusselsaktørs kampagne. hvilke industrier eller nationer de kan målrette mod; og hvilke tilknyttede teknikker, taktik og procedurer (TTP'er), de kan have; og identificere andre relaterede IOCs for at udvide omfanget af din hændelses indsats og jagtindsats.

Indsamling af intelligens

Du kan dele alle tilknyttede artikler med dit trusselsintelligensteam, så de har en tydeligere forståelse af, hvem der kan målrette deres organisation.

Se også