評判スコアリング
重要
2024 年 6 月 30 日、Microsoft Defender 脅威インテリジェンス (Defender TI) スタンドアロン ポータル (https://ti.defender.microsoft.com) は廃止され、アクセスできなくなります。 お客様は、Microsoft Defender ポータルまたはMicrosoft Security Copilotで Defender TI を引き続き使用できます。
詳細情報
Microsoft Defender 脅威インテリジェンス (Defender TI) は、ホスト、ドメイン、または IP アドレスに対して独自の評判スコアを提供します。 既知のエンティティまたは不明なエンティティの評判を検証するかどうかに関係なく、このスコアは、悪意のあるインフラストラクチャや疑わしいインフラストラクチャとの関係が検出された場合をすばやく理解するのに役立ちます。 Defender TI では、これらのエンティティのアクティビティ (最初と最後のタイムスタンプ、自律システム番号、関連するインフラストラクチャなど) と、該当する場合に評判スコアに影響を与えるルールの一覧に関する簡単な情報が提供されます。
評判データは、独自の攻撃対象領域の信頼性を理解するために重要であり、調査に表示される不明なホスト、ドメイン、または IP アドレスを評価する場合にも役立ちます。 これらのスコアは、エンティティに影響を与えた以前の悪意のあるアクティビティや疑わしいアクティビティ、または考慮する必要がある他の既知の侵害インジケーター (IOC) を明らかにします。
評判スコアについて
評判スコアは、エンティティに関連するリスクを迅速に定量化するように設計された一連のアルゴリズムによって決定されます。 クロール インフラストラクチャと外部ソースから収集された IP 情報を使用して、独自のデータに基づいて評判スコアを開発します。
検出方法
一連の要因により、ブロックリスト化されたエンティティへの既知の関連付けや、リスクの評価に使用される一連の機械学習ルールなど、評判スコアが決まります。
スコアリング 角かっこ
評判スコアは、0 から 100 までの範囲の数値スコアとして表示されます。 スコアが 0 のエンティティには、疑わしいアクティビティまたは既知の IOC との関連付けがありません。 100 スコアは、エンティティが悪意があることを示します。 ホスト、ドメイン、IP アドレスは、数値スコアに応じて次のカテゴリにグループ化されます。
| スコア | カテゴリ | 説明 |
|---|---|---|
| 75+ | 悪意がある | エンティティは、ブロックリストに表示され、疑わしいアクティビティを検出する機械学習ルールと一致する既知の悪意のあるインフラストラクチャへの関連付けを確認しました。 |
| 50 – 74 | 疑わしい | エンティティは、3 つ以上の機械学習規則との一致に基づいて、疑わしいインフラストラクチャに関連付けられている可能性があります。 |
| 25 – 49 | 中間 | エンティティは、少なくとも 2 つの機械学習ルールと一致します。 |
| 0 – 24 | 不明 (緑) | エンティティは、少なくとも 1 つの一致するルールを返しました。 |
| 0 – 24 | 不明 (灰色) | エンティティは、一致するルールを返しませんでした。 |
検出ルール
評判スコアは、ドメインまたはアドレスの相対的な品質を判断するために参照する可能性がある多くの要因に基づいています。 これらの要因は、評判スコアを構成する機械学習ルールに反映されます。 たとえば、 .xyz または .cc トップレベル ドメイン (TLD) は、 .com または .org TLD よりも疑わしいです。 低コストまたは無料のホスティング プロバイダーによってホストされる自律システム番号 (ASN) は、自己署名 TLS 証明書と同様に、悪意のあるアクティビティに関連付けられる可能性が高くなります。 この評判モデルは、エンティティの全体的な評判をスコア付けするために、悪意のあるインジケーターと無害なインジケーターの両方でこれらの機能の相対的な出現を調べることによって開発されました。
ホスト、ドメイン、または IP アドレスが疑わしいかどうかを判断するために使用される規則の例については、次の表を参照してください。
重要
このリストは包括的ではなく、絶えず変化しています。検出ロジックとその結果としての機能は、進化する脅威の状況を反映して動的です。 このため、エンティティの評判を評価するために使用される機械学習ルールの包括的な一覧は公開しません。
| [ルール名] | 説明 |
|---|---|
| TLS 証明書の自己署名 | 自己署名証明書は悪意のある動作を示している可能性があります |
| 悪意のあるとしてタグ付け | organization内のメンバーによって悪意のあるものとしてタグ付けされた |
| 観察された Web コンポーネント | 観察された Web コンポーネントの数は、悪意を示している可能性があります |
| ネーム サーバー | ドメインは、悪意のあるインフラストラクチャによって使用される可能性が高いネーム サーバーを使用しています |
| 記録係 | このレジストラーに登録されているドメインは、悪意のある可能性が高くなります |
| 登録者の電子メール プロバイダー | ドメインは、悪意のあるドメインを登録する可能性が高い電子メール プロバイダーに登録されます |
エンティティの評判を正確に評価するには、これらの要因を総合的に評価する必要があります。 個々のインジケーターではなく、インジケーターの特定の組み合わせによって、エンティティが悪意のあるものか疑わしいかを予測できます。
重要度
機械学習検出システム用に作成されたルールには、重大度の評価が適用されます。 各ルールには、ルールに関連付けられているリスクのレベルに基づいて、重要度が 高、 中、 または低 が割り当てられます。
ユース ケース
インシデントトリアージ、対応、脅威ハンティング
Defender TI の評判スコア、分類、規則、および規則の説明を使用して、IP アドレスまたはドメイン インジケーターが適切か、疑わしいか、悪意があるかどうかを迅速に評価できます。 また、IP アドレスまたはドメインに関連付けられている十分なインフラストラクチャが観察されず、インジケーターが良いか悪いかを推測できない場合があります。 インジケーターに不明な分類または中立的な分類がある場合は、インジケーターが適切か悪いかを推測するデータ セットを確認して、より詳細な調査を実行することをお勧めします。 インジケーターの評判に記事の関連付けが含まれている場合は、リストされている記事を確認して、インジケーターが潜在的な脅威アクターのキャンペーンにどのようにリンクされているかの詳細を確認することをお勧めします。どの業界や国を対象としている可能性があるか。関連する手法、戦術、および手順 (TCP)その他の関連 IOC を特定して、インシデントの対応と捜索活動の範囲を広げる。
インテリジェンスの収集
関連するすべての記事を脅威インテリジェンス チームと共有できるため、organizationをターゲットとする可能性があるユーザーをより明確に把握できます。