Bewertung der Reputation
Wichtig
Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence -Portal (Defender TI) (https://ti.defender.microsoft.com) eingestellt und ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Copilot für Security nutzen. Weitere Informationen
Microsoft Defender Threat Intelligence (Defender TI) bietet proprietäre Reputationsbewertungen für alle Hosts, Domänen oder IP-Adressen. Unabhängig davon, ob der Ruf einer bekannten oder unbekannten Entität überprüft wird, hilft Ihnen diese Bewertung dabei, alle erkannten Verbindungen mit einer schädlichen oder verdächtigen Infrastruktur schnell zu verstehen. Defender TI bietet schnelle Informationen zur Aktivität dieser Entitäten (z. B. zeitstempel der ersten und letzten Anzeige, autonome Systemnummern und zugehörige Infrastruktur) sowie eine Liste von Regeln, die sich ggf. auf die Zuverlässigkeitsbewertung auswirken.
Reputationsdaten sind wichtig, um die Vertrauenswürdigkeit Ihrer eigenen Angriffsfläche zu verstehen und sind auch nützlich bei der Bewertung unbekannter Hosts, Domänen oder IP-Adressen, die bei Untersuchungen angezeigt werden. Diese Bewertungen decken alle vorherigen schädlichen oder verdächtigen Aktivitäten auf, die sich auf die Entität auswirkten, oder andere bekannte Gefährdungsindikatoren (IOCs), die berücksichtigt werden sollten.
Grundlegendes zu Reputationsbewertungen
Reputationsbewertungen werden durch eine Reihe von Algorithmen bestimmt, die entwickelt wurden, um das risiko einer Entität schnell zu quantifizieren. Wir entwickeln Reputationsbewertungen basierend auf unseren proprietären Daten, indem wir unsere Durchforstungsinfrastruktur und IP-Informationen verwenden, die aus externen Quellen gesammelt werden.
Erkennungsmethoden
Eine Reihe von Faktoren bestimmt die Zuverlässigkeitsbewertungen, einschließlich bekannter Zuordnungen zu entitäten, die in der Sperrliste enthalten sind, und eine Reihe von Machine Learning-Regeln, die zum Bewerten des Risikos verwendet werden.
Bewertungsklammern
Reputationsbewertungen werden als numerische Bewertung mit einem Bereich von 0 bis 100 angezeigt. Eine Entität mit einer Bewertung von 0 weist keine Zuordnungen zu verdächtigen Aktivitäten oder bekannten IOCs auf. Eine Bewertung von 100 gibt an, dass die Entität böswillig ist. Hosts, Domänen und IP-Adressen werden je nach numerischer Bewertung in die folgenden Kategorien gruppiert:
| Bewertung | Kategorie | Beschreibung |
|---|---|---|
| 75+ | Bösartig | Die Entität hat Zuordnungen zu bekannter schädlicher Infrastruktur bestätigt, die auf unserer Sperrliste angezeigt wird und Machine Learning-Regeln entspricht, die verdächtige Aktivitäten erkennen. |
| 50 – 74 | Verdächtig | Die Entität ist wahrscheinlich einer verdächtigen Infrastruktur zugeordnet, basierend auf Übereinstimmungen mit drei oder mehr Machine Learning-Regeln. |
| 25 – 49 | Neutral | Die Entität entspricht mindestens zwei Machine Learning-Regeln. |
| 0 – 24 | Unbekannt (grün) | Die Entität hat mindestens eine übereinstimmende Regel zurückgegeben. |
| 0 – 24 | Unbekannt (grau) | Die Entität hat keine Regel-Übereinstimmungen zurückgegeben. |
Erkennungsregeln
Reputationsbewertungen basieren auf vielen Faktoren, auf die Sie verweisen können, um die relative Qualität einer Domäne oder Adresse zu bestimmen. Diese Faktoren spiegeln sich in den Machine Learning-Regeln wider, aus denen die Reputationsbewertungen bestehen. Beispielsweise .xyz sind oder .cc Domänen der obersten Ebene (TLDs) verdächtiger als .com oder .org TLDs. Eine autonome Systemnummer (ASN), die von einem kostengünstigen oder kostenlosen Hostinganbieter gehostet wird, ist wahrscheinlicher als ein selbstsigniertes TLS-Zertifikat böswilligen Aktivitäten zugeordnet. Dieses Reputationsmodell wurde entwickelt, indem relative Vorkommen dieser Features sowohl unter schädlichen als auch gutartigen Indikatoren betrachtet wurden, um den allgemeinen Ruf einer Entität zu ermitteln.
In der folgenden Tabelle finden Sie Beispiele für Regeln, mit denen ermittelt wird, ob ein Host, eine Domäne oder eine IP-Adresse verdächtig ist.
Wichtig
Diese Liste ist nicht umfassend und ändert sich ständig. unsere Erkennungslogik und daraus resultierenden Funktionen sind dynamisch, da sie die sich entwickelnde Bedrohungslandschaft widerspiegeln. Aus diesem Grund veröffentlichen wir keine umfassende Liste der Machine Learning-Regeln, die zum Bewerten des Rufs einer Entität verwendet werden.
| Regelname | Beschreibung |
|---|---|
| Selbstsigniertes TLS-Zertifikat | Selbstsignierte Zertifikate können auf böswilliges Verhalten hinweisen |
| Als böswillig gekennzeichnet | Von einem Mitglied in Ihrem organization als böswillig gekennzeichnet |
| Beobachtete Webkomponenten | Die Anzahl der beobachteten Webkomponenten kann auf Böswilligkeit hindeuten. |
| Nameserver | Die Domäne verwendet einen Namenserver, der wahrscheinlicher von böswilliger Infrastruktur verwendet wird. |
| Registrator | Domänen, die bei dieser Registrierungsstelle registriert sind, sind wahrscheinlicher bösartig. |
| Registrant-E-Mail-Anbieter | Die Domäne ist bei einem E-Mail-Anbieter registriert, der mit größerer Wahrscheinlichkeit böswillige Domänen registriert. |
Es ist wichtig, daran zu denken, dass diese Faktoren ganzheitlich bewertet werden müssen, um eine genaue Bewertung des Rufs eines Unternehmens zu treffen. Die spezifische Kombination von Indikatoren anstelle eines einzelnen Indikators kann vorhersagen, ob eine Entität wahrscheinlich böswillig oder verdächtig ist.
Severity
Für regeln, die für das Machine Learning-Erkennungssystem erstellt wurden, wird eine Schweregradbewertung angewendet. Jeder Regel wird der Schweregrad "Hoch", " Mittel" oder " Niedrig " zugewiesen, basierend auf der Risikostufe, die der Regel zugeordnet ist.
Anwendungsfälle
Selektierung, Reaktion und Bedrohungssuche
Die Zuverlässigkeitsbewertung, Klassifizierung, Regeln und Die Beschreibung von Regeln von Defender TI können verwendet werden, um schnell zu bewerten, ob eine IP-Adresse oder ein Domänenindikator gut, verdächtig oder böswillig ist. In anderen Situationen beobachten wir möglicherweise nicht genügend Infrastruktur, die einer IP-Adresse oder Domäne zugeordnet ist, um abzuleiten, ob der Indikator gut oder schlecht ist. Wenn ein Indikator eine unbekannte oder neutrale Klassifizierung aufweist, werden Sie aufgefordert, eine eingehendere Untersuchung durchzuführen, indem Sie unsere Datasets überprüfen, um zu ermitteln, ob der Indikator gut oder schlecht ist. Wenn die Reputation eines Indikators eine Artikelzuordnung umfasst, werden Sie aufgefordert, die aufgeführten Artikel zu lesen, um mehr darüber zu erfahren, wie der Indikator mit der Kampagne eines potenziellen Bedrohungsakteurs verknüpft ist. welche Branchen oder Nationen sie ins Visier haben könnten; und welche zugehörigen Techniken, Taktiken und Verfahren (TTPs) sie haben könnten; und identifizieren Sie andere verwandte IOCs, um den Umfang der Reaktions- und Hunting-Bemühungen Ihres Incidents zu erweitern.
Sammeln von Informationen
Sie können alle zugehörigen Artikel für Ihr Threat Intelligence-Team freigeben, damit es besser versteht, wer seine organization anvisieren könnte.