Omdømmepoeng
Microsoft Defender trusselinformasjon (Defender TI) gir rettighetsbeskyttede omdømmeresultater for alle verter, domener eller IP-adresser. Uansett om du validerer omdømmet til en kjent eller ukjent enhet, kan du raskt forstå eventuelle oppdagede bånd til skadelig eller mistenkelig infrastruktur. Defender TI gir rask informasjon om aktiviteten til disse enhetene (for eksempel tidsstempler for første og siste sett, autonome systemnumre og tilknyttet infrastruktur) og en liste over regler som påvirker omdømmepoengsummen når det er aktuelt.
Omdømmedata er viktig for å forstå påliteligheten til din egen angrepsoverflate og er også nyttig når du vurderer ukjente verter, domener eller IP-adresser som vises i undersøkelser. Disse resultatene avdekker eventuelle tidligere skadelige eller mistenkelige aktiviteter som påvirket enheten, eller andre kjente indikatorer for kompromiss (IOCer) som bør vurderes.
Forstå omdømmeresultater
Omdømmeresultater bestemmes av en rekke algoritmer som er utformet for å kvantifisere risikoen knyttet til en enhet raskt. Vi utvikler omdømmeresultater basert på våre proprietære data ved hjelp av infrastrukturen for kravlesøk og ip-informasjon som samles inn fra eksterne kilder.
Oppdagelsesmetoder
En rekke faktorer bestemmer omdømmepoengsummene, inkludert kjente tilknytninger til blokklistede enheter og en rekke maskinlæringsregler som brukes til å vurdere risiko.
Hakeparenteser
Omdømmeresultater vises som en numerisk poengsum med et område fra null til 100. En enhet med en poengsum 0 har ikke tilknytninger til mistenkelig aktivitet eller kjente IOCer. En poengsum 100 indikerer at enheten er skadelig. Verter, domener og IP-adresser grupperes i følgende kategorier avhengig av den numeriske poengsummen:
| Score | Kategori | Beskrivelse |
|---|---|---|
| 75+ | Ondsinnet | Enheten har bekreftet tilknytninger til kjent skadelig infrastruktur som vises på blokklisten vår og samsvarer med maskinlæringsregler som oppdager mistenkelig aktivitet. |
| 50 – 74 | Mistenksom | Enheten er sannsynligvis knyttet til mistenkelig infrastruktur basert på samsvar med tre eller flere maskinlæringsregler. |
| 25 – 49 | Nøytral | Enheten samsvarer med minst to maskinlæringsregler. |
| 0 – 24 | Ukjent (grønn) | Enheten returnerte minst én samsvarende regel. |
| 0 – 24 | Ukjent (grå) | Enheten returnerte ingen regelsamsvar. |
Gjenkjenningsregler
Omdømmeresultater er basert på mange faktorer som du kan referere til for å fastslå den relative kvaliteten på et domene eller en adresse. Disse faktorene gjenspeiles i maskinlæringsreglene som utgjør omdømmeresultatene. For eksempel, .xyz eller .cc domener på øverste nivå (TLDer) er mer mistenkelige enn .com eller .org TLD-er. Et autonomt systemnummer (ASN) driftet av en rimelig eller gratis vertsleverandør er mer sannsynlig å være forbundet med ondsinnet aktivitet, som et selvsignert TLS-sertifikat. Denne omdømmemodellen ble utviklet ved å se på relative forekomster av disse funksjonene blant både ondsinnede og godartede indikatorer for å score det generelle omdømmet til en enhet.
Se tabellen nedenfor for eksempler på regler som brukes til å avgjøre om en vert, et domene eller en IP-adresse er mistenkelig.
Viktig
Denne listen er ikke fullstendig og er i stadig endring. Vår oppdagelseslogikk og påfølgende egenskaper er dynamiske når de gjenspeiler trussellandskapet som utvikler seg. Derfor publiserer vi ikke en fullstendig liste over maskinlæringsreglene som brukes til å vurdere enhetens omdømme.
| Regelnavn | Beskrivelse |
|---|---|
| Selvsignert TLS-sertifikat | Selvsignerte sertifikater kan indikere skadelig atferd |
| Merket som ondsinnet | Merket som ondsinnet av et medlem i organisasjonen |
| Webkomponenter observert | Antallet nettkomponenter som er observert, kan indikere ondsinnethet |
| Navneserver | Domenet bruker en navneserver som er mer sannsynlig å bli brukt av skadelig infrastruktur |
| Registrar | Domener som er registrert hos denne registratoren, har større sannsynlighet for å være skadelige |
| E-postleverandør for registrant | Domenet er registrert hos en e-postleverandør som er mer sannsynlig å registrere ondsinnede domener |
Det er viktig å huske at disse faktorene må vurderes helhetlig for å gjøre en nøyaktig vurdering av omdømmet til en enhet. Den spesifikke kombinasjonen av indikatorer, i stedet for noen individuell indikator, kan forutsi om en enhet sannsynligvis er ondsinnet eller mistenkelig.
Alvorlighetsgraden
Regler som er opprettet for systemet for maskinlæringsgjenkjenning, har en alvorlighetsgrad. Hver regel tilordnes høy, middels eller lav alvorlighetsgrad basert på risikonivået som er knyttet til regelen.
Brukstilfeller
Hendelses-triage, respons og trusseljakt
Defender Ti sin omdømmepoengsum, klassifisering, regler og beskrivelse av regler kan brukes til raskt å vurdere om en IP-adresse eller domeneindikator er god, mistenkelig eller ondsinnet. Andre ganger ser vi kanskje ikke nok infrastruktur knyttet til en IP-adresse eller et domene for å utlede om indikatoren er god eller dårlig. Hvis en indikator har en ukjent eller nøytral klassifisering, oppfordres du til å utføre en dypere undersøkelse ved å se gjennom datasettene våre for å utlede om indikatoren er god eller dårlig. Hvis en indikators omdømme inneholder en artikkelforening, oppfordres du til å se gjennom disse oppførte artiklene for å finne ut mer om hvordan indikatoren er knyttet til en potensiell trusselaktørs kampanje. hvilke bransjer eller nasjoner de kanskje retter seg mot; og hvilke tilknyttede teknikker, taktikker og prosedyrer (TTP-er) de kan ha, og identifisere andre relaterte IOCer for å utvide omfanget av hendelsens respons- og jaktinnsats.
Etterretningsinnsamling
Du kan dele alle tilknyttede artikler med trusseletterretningsteamet, slik at de har en tydeligere forståelse av hvem som kan være rettet mot organisasjonen.