신뢰도 점수 매기기
Microsoft Defender 위협 인텔리전스(Defender TI)는 호스트, 도메인 또는 IP 주소에 대한 독점 평판 점수를 제공합니다. 알려진 엔터티 또는 알 수 없는 엔터티의 평판의 유효성을 검사하든, 이 점수는 악의적이거나 의심스러운 인프라에 대한 검색된 모든 관계를 빠르게 이해하는 데 도움이 됩니다. Defender TI는 이러한 엔터티의 활동(예: 처음 및 마지막으로 본 타임스탬프, 자율 시스템 번호 및 관련 인프라)에 대한 빠른 정보와 해당하는 경우 평판 점수에 영향을 주는 규칙 목록을 제공합니다.
평판 데이터는 자체 공격 표면의 신뢰성을 이해하는 데 중요하며 조사에 표시되는 알 수 없는 호스트, 도메인 또는 IP 주소를 평가할 때도 유용합니다. 이러한 점수는 엔터티에 영향을 주거나 고려해야 하는 기타 알려진 IOC(손상 지표)에 영향을 주는 이전의 악의적이거나 의심스러운 활동을 발견합니다.
평판 점수 이해
평판 점수는 엔터티와 관련된 위험을 신속하게 정량화하도록 설계된 일련의 알고리즘에 의해 결정됩니다. 크롤링 인프라 및 외부 원본에서 수집된 IP 정보를 사용하여 독점 데이터를 기반으로 평판 점수를 개발합니다.
검색 방법
차단 목록에 있는 엔터티에 대한 알려진 연결 및 위험을 평가하는 데 사용되는 일련의 기계 학습 규칙을 포함하여 일련의 요인에 따라 평판 점수가 결정됩니다.
점수 매기기 대괄호
평판 점수는 0에서 100까지의 범위가 있는 숫자 점수로 표시됩니다. 점수가 인 0
엔터티에는 의심스러운 활동 또는 알려진 IOC에 대한 연결이 없습니다. 의 점수 100
는 엔터티가 악의적임을 나타냅니다. 호스트, 도메인 및 IP 주소는 숫자 점수에 따라 다음 범주로 그룹화됩니다.
점수 | 범주 | 설명 |
---|---|---|
75+ | 악성 | 엔터티는 차단 목록에 표시되고 의심스러운 활동을 감지하는 기계 학습 규칙과 일치하는 알려진 악성 인프라에 대한 연결을 확인했습니다. |
50 – 74 | 의심스러움 | 엔터티는 3개 이상의 기계 학습 규칙과 일치하는 항목을 기반으로 의심스러운 인프라에 연결될 수 있습니다. |
25 – 49 | 중립의 | 엔터티는 두 개 이상의 기계 학습 규칙과 일치합니다. |
0 – 24 | 알 수 없음(녹색) | 엔터티는 하나 이상의 일치하는 규칙을 반환했습니다. |
0 – 24 | 알 수 없음(회색) | 엔터티가 규칙 일치 항목을 반환하지 않았습니다. |
검색 규칙
평판 점수는 도메인 또는 주소의 상대적 품질을 결정하기 위해 참조할 수 있는 여러 요인을 기반으로 합니다. 이러한 요소는 평판 점수를 구성하는 기계 학습 규칙에 반영됩니다. 예를 들어 .xyz
또는 .cc
최상위 도메인(TLD)은 또는 .org
TLLD보다 .com
더 의심스럽습니다. 저가 또는 무료 호스팅 공급자가 호스트하는 ASN(자치 시스템 번호)은 자체 서명된 TLS 인증서와 마찬가지로 악의적인 활동과 연결될 가능성이 높습니다. 이 평판 모델은 악의적인 지표와 양성 지표 모두에서 이러한 기능의 상대적 발생을 조사하여 엔터티의 전반적인 평판을 채점하여 개발되었습니다.
호스트, 도메인 또는 IP 주소가 의심스러운지 확인하는 데 사용되는 규칙의 예는 다음 표를 참조하세요.
중요
이 목록은 포괄적이지 않으며 지속적으로 변경되고 있습니다. 검색 논리와 그에 따른 기능은 진화하는 위협 환경을 반영하므로 동적입니다. 따라서 엔터티의 평판을 평가하는 데 사용되는 기계 학습 규칙의 포괄적인 목록을 게시하지 않습니다.
규칙 이름 | 설명 |
---|---|
TLS 인증서 자체 서명 | 자체 서명된 인증서는 악의적인 동작을 나타낼 수 있습니다. |
악의적인 태그 지정 | organization 내의 멤버가 악의적으로 태그를 지정합니다. |
관찰된 웹 구성 요소 | 관찰된 웹 구성 요소의 수는 악의적인 것으로 표시될 수 있습니다. |
이름 서버 | 도메인이 악의적인 인프라에서 사용할 가능성이 높은 이름 서버를 사용하고 있습니다. |
기록원 | 이 등록 기관에 등록된 도메인은 악의적일 가능성이 더 높습니다. |
등록자 전자 메일 공급자 | 도메인은 악성 도메인을 등록할 가능성이 더 높은 전자 메일 공급자에 등록됩니다. |
엔터티의 평판을 정확하게 평가하려면 이러한 요소를 전체적으로 평가해야 합니다. 개별 지표가 아닌 특정 지표 조합은 엔터티가 악의적이거나 의심스러운지 여부를 예측할 수 있습니다.
심각도
기계 학습 검색 시스템에 대해 만들어진 규칙에는 심각도 등급이 적용됩니다. 각 규칙에는 규칙과 관련된 위험 수준에 따라 높음, 중간 또는 낮은 심각도가 할당됩니다.
사용 사례
인시던트 심사, 대응 및 위협 헌팅
Defender TI의 평판 점수, 분류, 규칙 및 규칙 설명은 IP 주소 또는 도메인 표시기가 양호하거나 의심스럽거나 악의적인지 신속하게 평가하는 데 사용할 수 있습니다. 지표가 양수인지 나쁜지 유추할 수 있는 IP 주소 또는 도메인과 연결된 인프라가 충분하지 않은 경우도 있습니다. 지표에 알 수 없거나 중립적인 분류가 있는 경우 지표가 양수인지 나쁜지 유추하기 위해 데이터 세트를 검토하여 더 심층적인 조사를 수행하는 것이 좋습니다. 지표의 평판에 기사 연결이 포함된 경우 나열된 문서를 검토하여 지표가 잠재적 위협 행위자의 캠페인과 어떻게 연결되는지에 대해 자세히 알아보는 것이 좋습니다. 대상으로 삼을 수 있는 산업 또는 국가 및 관련 기술, 전술 및 절차(TTP)가 있을 수 있습니다. 및 기타 관련 IOC를 식별하여 인시던트 대응 및 헌팅 작업의 scope 확대합니다.
인텔리전스 수집
연결된 문서를 위협 인텔리전스 팀과 공유할 수 있으므로 해당 organization 대상으로 지정할 수 있는 사용자를 보다 명확하게 이해할 수 있습니다.