Maineen pisteytys
Tärkeää
30. kesäkuuta 2024 erillinen Microsoft Defender Threat Intelligence (Defender TI) -portaali (https://ti.defender.microsoft.com) poistettiin käytöstä, eikä sitä voi enää käyttää. Asiakkaat voivat jatkaa Defender TI:n käyttöä Microsoft Defender portaalissa tai Microsoft Security Copilot.
Lisätietoja
Microsoft Defender Threat Intelligence (Defender TI) tarjoaa isännän, toimialueen tai IP-osoitteen mainepisteet. Tämä pistemäärä auttaa ymmärtämään nopeasti kaikki havaitut siteet haitalliseen tai epäilyttävään infrastruktuuriin riippumatta tunnetun tai tuntemattoman entiteetin maineen vahvistamisesta. Defender TI tarjoaa nopeita tietoja näiden entiteettien toiminnasta (esimerkiksi ensimmäisen ja edellisen kerran nähdyt aikaleimat, autonomiset järjestelmänumerot ja niihin liittyvät infrastruktuurit) sekä luettelon säännöistä, jotka vaikuttavat mainepisteisiin soveltuvissa tapauksissa.
Mainetiedot ovat tärkeitä oman hyökkäysalueen luotettavuuden ymmärtämiseksi, ja niistä on hyötyä myös arvioitaessa tuntemattomia isäntiä, toimialueita tai IP-osoitteita, jotka näkyvät tutkimuksissa. Nämä pisteet paljastavat mahdollisen aiemman vahingollisen tai epäilyttävän toiminnan, joka vaikutti entiteettiin, tai muita tunnettuja kompromissi-indikaattorit, jotka tulee ottaa huomioon.
Mainepisteiden ymmärtäminen
Mainepisteet määräytyvät sarjan algoritmeilla, jotka on suunniteltu määrittämään entiteettiin liittyvä riski nopeasti. Kehitämme mainepisteitä omistusoikeudellisen tietomme perusteella käyttämällä indeksointiinfrastruktuuriamme ja ulkoisista lähteistä kerättyjä IP-tietoja.
Tunnistusmenetelmät
Joukko tekijöitä määrittää mainepisteet, mukaan lukien tunnetut kytkennät estettyjen entiteettien estämiseksi ja sarja koneoppimissääntöjä, joita käytetään riskien arviointiin.
Pisteytyssulkeet
Mainepisteet näytetään numeerisena pistemääränä nollan ja 100:n väliltä. Entiteetillä, jonka pistemäärä on , 0 ei ole suhteita epäilyttävään toimintaan tai tunnettuihin IOC-yhdisteisiin. Pisteytys 100 ilmaisee, että entiteetti on haitallinen. Isännät, toimialueet ja IP-osoitteet ryhmitellään seuraaviin luokkiin niiden numeerisen pistemäärän mukaan:
| Tulos | Luokka | Kuvaus |
|---|---|---|
| 75+ | Ilkeä | Entiteetti on vahvistanut yhteydet tunnettuun haitalliseen infrastruktuuriin, joka näkyy estoluettelossamme ja vastaa koneoppimissääntöjä, jotka havaitsevat epäilyttävän toiminnan. |
| 50 – 74 | Epäluuloinen | Entiteetti liittyy todennäköisesti epäilyttävään infrastruktuuriin kolmen tai useamman koneoppimissäännön vastaavuuksien perusteella. |
| 25 – 49 | Neutraali | Entiteetti vastaa vähintään kahta koneoppimisen sääntöä. |
| 0 – 24 | Tuntematon (vihreä) | Entiteetti palautti vähintään yhden vastaavan säännön. |
| 0 – 24 | Tuntematon (harmaa) | Entiteetti ei palauttanut säännön vastaavuuksia. |
Tunnistussäännöt
Mainepisteet perustuvat useisiin tekijöihin, joihin saatat viitata toimialueen tai osoitteen suhteellisen laadun määrittämiseksi. Nämä tekijät näkyvät koneoppimisen säännöissä, jotka koostuvat mainepisteistä. Esimerkiksi .xyz.cc ylimmän tason toimialueet (TLD) ovat epäilyttävämpiä kuin .com tai .org TLD:t. Edullisen tai maksuttoman isännöintipalvelun isännöimä autonominen järjestelmänumero (ASN) liittyy todennäköisemmin haitalliseen toimintaan, kuten myös itse allekirjoitettu TLS-varmenne. Tämä mainemalli kehitettiin tarkastelemalla näiden ominaisuuksien suhteellisia esiintymiä sekä haitallisten että hyväntahtoisten ilmaisimien joukossa entiteetin yleisen maineen pisteytykseen.
Katso seuraavasta taulukosta esimerkkejä säännöistä, joiden avulla määritetään, onko isäntäosoite, toimialue tai IP-osoite epäilyttävä.
Tärkeää
Tämä luettelo ei ole kattava ja muuttuu jatkuvasti. havaitsemislogiikkamme ja seurannaiset toimintomme ovat dynaamisia, kun ne heijastavat kehittyvää uhkamaisemaa. Tästä syystä emme julkaise kattavaa luetteloa koneoppimissäännöistä, joita käytetään entiteetin maineen arviointiin.
| Säännön nimi | Kuvaus |
|---|---|
| TLS-varmenne on itse allekirjoitettu | Itse allekirjoitetut varmenteet saattavat olla merkki haitallisista toiminnoista |
| Merkitty haitallisiksi | Organisaation jäsenen haitallisiksi merkitsemät merkinnät |
| Havaitut verkko-osat | Havaittujen verkkokomponenttien määrä saattaa olla merkki haitallisuudesta |
| Nimipalvelin | Toimialue käyttää nimipalvelinta, jota haitallinen infrastruktuuri todennäköisimmin käyttää |
| Kirjaaja | Tähän rekisteröijään rekisteröidyt toimialueet ovat todennäköisemmin haitallisia |
| Rekisteröijän sähköpostipalvelu | Toimialue on rekisteröity sähköpostipalvelussa, joka todennäköisemmin rekisteröi haitallisia toimialueita |
On tärkeää muistaa, että näitä tekijöitä on arvioitava kokonaisvaltaisesti, jotta entiteetin maineesta voidaan tehdä tarkka arviointi. Indikaattorien erityinen yhdistelmä yksittäisen ilmaisimen sijaan voi ennustaa, onko entiteetti todennäköisesti vahingollinen vai epäilyttävä.
Vakavuus
Koneoppimisen tunnistusjärjestelmälle luoduissa säännöissä sovelletaan vakavuusluokitusta. Jokaiselle säännölle määritetään suuri, keskikokoinen tai pieni vakavuus sääntöön liittyvän riskitason perusteella.
Käyttötapaukset
Tapahtumien triage, vastaus ja uhkien metsästys
Defender TI:n maineen pistemäärää, luokitusta, sääntöjä ja sääntöjen kuvausta voidaan käyttää nopeasti arvioimaan, onko IP-osoite tai toimialueen ilmaisin hyvä, epäilyttävä vai haitallinen. Toisinaan IP-osoitteeseen tai toimialueeseen liitetty infrastruktuuri ei ehkä riitä päättelemään, onko ilmaisin hyvä vai huono. Jos ilmaisimen luokitus on tuntematon tai neutraali, sinua kehotetaan tekemään syvällisempi tutkimus tarkistamalla tietojoukkomme ja päättelemällä, onko ilmaisin hyvä vai huono. Jos ilmaisimen maine sisältää artikkeliyhdistyksen, sinua kehotetaan tarkastelemaan listattuja artikkeleita saadaksesi lisätietoja siitä, miten ilmaisin on linkitetty mahdollisen uhkatoimijan kampanjaan. mihin teollisuudenaloihin tai maihin ne mahdollisesti kohdistuvat; ja mitä niihin liittyviä tekniikoita, taktiikoita ja menettelytapoja (TTP) niillä voi olla; ja tunnista muut liittyvät IOC:t, jotta voit laajentaa tapahtuman vastaus- ja metsästystoimien laajuutta.
Tietojen kerääminen
Voit jakaa mitä tahansa siihen liittyviä artikkeleita uhkatietotiimillesi, jotta he ymmärtävät paremmin, kuka heidän organisaatioonsa kohdistuu.