Punteggio della reputazione
Importante
Il 30 giugno 2024 il portale autonomo Microsoft Defender Threat Intelligence (Defender TI) (https://ti.defender.microsoft.com) è stato ritirato e non è più accessibile. I clienti possono continuare a usare Defender TI nel portale di Microsoft Defender o con Microsoft Security Copilot.
Altre informazioni
Microsoft Defender Threat Intelligence (Defender TI) fornisce punteggi di reputazione proprietari per qualsiasi host, dominio o indirizzo IP. Che si tratti di convalidare la reputazione di un'entità nota o sconosciuta, questo punteggio consente di comprendere rapidamente eventuali legami rilevati a un'infrastruttura dannosa o sospetta. Defender TI fornisce informazioni rapide sull'attività di queste entità (ad esempio timestamp di prima e ultima visualizzazione, numeri di sistema autonomi e infrastruttura associata) e un elenco di regole che influiscono sul punteggio di reputazione, se applicabile.
I dati sulla reputazione sono importanti per comprendere l'attendibilità della propria superficie di attacco ed è utile anche quando si valutano host, domini o indirizzi IP sconosciuti visualizzati nelle indagini. Questi punteggi individuano eventuali attività dannose o sospette precedenti che hanno interessato l'entità o altri indicatori noti di compromissione (IOC) che devono essere considerati.
Informazioni sui punteggi di reputazione
I punteggi di reputazione sono determinati da una serie di algoritmi progettati per quantificare rapidamente il rischio associato a un'entità. Sviluppiamo punteggi di reputazione basati sui dati proprietari usando l'infrastruttura di ricerca per indicizzazione e le informazioni IP raccolte da origini esterne.
Metodi di rilevamento
Una serie di fattori determina i punteggi di reputazione, incluse le associazioni note alle entità bloccate e una serie di regole di Machine Learning usate per valutare i rischi.
Parentesi di punteggio
I punteggi di reputazione vengono visualizzati come punteggio numerico con un intervallo compreso tra zero e 100. Un'entità con un punteggio di 0 non ha associazioni ad attività sospette o IIC note. Un punteggio di 100 indica che l'entità è dannosa. Host, domini e indirizzi IP sono raggruppati nelle categorie seguenti a seconda del punteggio numerico:
| Punteggio | Categoria | Descrizione |
|---|---|---|
| 75+ | Dannosa | L'entità ha confermato le associazioni a un'infrastruttura dannosa nota che viene visualizzata nell'elenco blocchi e corrisponde alle regole di Machine Learning che rilevano attività sospette. |
| 50 – 74 | Sospetta | L'entità è probabilmente associata all'infrastruttura sospetta in base alle corrispondenze a tre o più regole di Machine Learning. |
| 25 – 49 | Neutrale | L'entità corrisponde ad almeno due regole di Machine Learning. |
| 0 – 24 | Sconosciuto (verde) | L'entità ha restituito almeno una regola corrispondente. |
| 0 – 24 | Sconosciuto (grigio) | L'entità non ha restituito alcuna corrispondenza di regole. |
Regole di rilevamento
I punteggi di reputazione si basano su molti fattori a cui è possibile fare riferimento per determinare la qualità relativa di un dominio o di un indirizzo. Questi fattori si riflettono nelle regole di Machine Learning che comprendono i punteggi di reputazione. Ad esempio, .xyz i .cc domini di primo livello (TTLD) sono più sospetti di .com o .org di tipo TTLD. È più probabile che un numero di sistema autonomo (ASN) ospitato da un provider di hosting gratuito o a basso costo sia associato ad attività dannose, così come un certificato TLS autofirma. Questo modello di reputazione è stato sviluppato esaminando le occorrenze relative di queste funzionalità tra indicatori dannosi e benigni per assegnare un punteggio alla reputazione complessiva di un'entità.
Fare riferimento alla tabella seguente per esempi di regole usate per determinare se un host, un dominio o un indirizzo IP è sospetto.
Importante
Questo elenco non è completo ed è in continua evoluzione; la logica di rilevamento e le funzionalità conseguenti sono dinamiche in quanto riflettono l'evoluzione del panorama delle minacce. Per questo motivo, non viene pubblicato un elenco completo delle regole di Machine Learning usate per valutare la reputazione di un'entità.
| Nome regola | Descrizione |
|---|---|
| Certificato TLS autofirma | I certificati autofirmati potrebbero indicare comportamenti dannosi |
| Contrassegnato come dannoso | Contrassegnato come dannoso da un membro all'interno dell'organizzazione |
| Componenti Web osservati | Il numero di componenti Web osservati potrebbe indicare dannosità |
| Server dei nomi | Il dominio usa un server dei nomi che è più probabile che venga usato da un'infrastruttura dannosa |
| Segretario | È più probabile che i domini registrati con questo registrar siano dannosi |
| Provider di posta elettronica registrante | Il dominio è registrato con un provider di posta elettronica che ha maggiori probabilità di registrare domini dannosi |
È importante ricordare che questi fattori devono essere valutati in modo olistico per eseguire una valutazione accurata della reputazione di un'entità. La combinazione specifica di indicatori, anziché qualsiasi singolo indicatore, può prevedere se un'entità è probabilmente dannosa o sospetta.
Gravità
Alle regole create per il sistema di rilevamento di Machine Learning viene applicata una classificazione di gravità. A ogni regola viene assegnata una gravità elevata, media o bassa in base al livello di rischio associato alla regola.
Situazioni di utilizzo
Valutazione, risposta e ricerca delle minacce degli eventi imprevisti
Il punteggio di reputazione, la classificazione, le regole e la descrizione delle regole di Defender TI possono essere usati per valutare rapidamente se un indirizzo IP o un indicatore di dominio è buono, sospetto o dannoso. Altre volte, è possibile che l'infrastruttura associata a un indirizzo IP o a un dominio non sia sufficiente per dedurre se l'indicatore è buono o negativo. Se un indicatore ha una classificazione sconosciuta o neutra, è consigliabile eseguire un'indagine più approfondita esaminando i set di dati per dedurre se l'indicatore è buono o negativo. Se la reputazione di un indicatore include un'associazione di articoli, è consigliabile esaminare gli articoli elencati per altre informazioni su come l'indicatore è collegato alla campagna di un potenziale attore di minacce; quali industrie o nazioni potrebbero essere targeting; e quali tecniche, tattiche e procedure associate potrebbero avere; e identificare altre operazioni di I/O correlate per ampliare l'ambito della risposta e degli sforzi di ricerca dell'evento imprevisto.
Raccolta di informazioni
È possibile condividere tutti gli articoli associati con il team di intelligence sulle minacce, in modo che abbiano una comprensione più chiara di chi potrebbe essere destinato alla propria organizzazione.