Ocenianie reputacji
Ważna
30 czerwca 2024 r. autonomiczny portalhttps://ti.defender.microsoft.com Microsoft Defender Threat Intelligence (Defender TI) został wycofany i nie jest już dostępny. Klienci mogą nadal korzystać z usługi Defender TI w portalu Microsoft Defender lub w Microsoft Security Copilot.
Dowiedz się więcej
Microsoft Defender Threat Intelligence (Defender TI) udostępnia zastrzeżone wyniki reputacji dla dowolnego hosta, domeny lub adresu IP. Niezależnie od tego, czy sprawdzasz reputację znanej lub nieznanej jednostki, ten wynik pomaga szybko zrozumieć wszelkie wykryte powiązania ze złośliwą lub podejrzaną infrastrukturą. Usługa Defender TI udostępnia szybkie informacje o działaniach tych jednostek (na przykład sygnatury czasowe pierwszej i ostatniej oceny, autonomiczne numery systemów i skojarzoną infrastrukturę) oraz listę reguł, które wpływają na ocenę reputacji, jeśli ma to zastosowanie.
Dane dotyczące reputacji są ważne dla zrozumienia wiarygodności własnej powierzchni ataków, a także są przydatne podczas oceny nieznanych hostów, domen lub adresów IP, które są wyświetlane w badaniach. Wyniki te ujawniają wszelkie wcześniejsze złośliwe lub podejrzane działania, które wpłynęły na jednostkę, lub inne znane wskaźniki naruszenia zabezpieczeń (IOCs), które powinny być brane pod uwagę.
Omówienie wyników reputacji
Wyniki reputacji są określane przez szereg algorytmów mających na celu szybkie określenie ryzyka związanego z jednostką. Opracowujemy wyniki reputacji na podstawie naszych zastrzeżonych danych przy użyciu infrastruktury przeszukiwania i informacji o adresach IP zebranych ze źródeł zewnętrznych.
Metody wykrywania
Szereg czynników określa wyniki reputacji, w tym znane skojarzenia z jednostkami z listy zablokowanych oraz szereg reguł uczenia maszynowego używanych do oceny ryzyka.
Nawiasy oceniania
Wyniki reputacji są wyświetlane jako wynik liczbowy z zakresem od zera do 100. Jednostka o wyniku 0 nie ma skojarzeń z podejrzanymi działaniami ani znanymi 100 we/wy; wynik wskazuje, że jednostka jest złośliwa. Hosty, domeny i adresy IP są pogrupowane w następujące kategorie w zależności od ich wyniku liczbowego:
| Wynik | Kategoria | Opis |
|---|---|---|
| 75+ | Złośliwy | Jednostka potwierdziła skojarzenia ze znaną złośliwą infrastrukturą, która jest wyświetlana na naszej liście zablokowanych i jest zgodna z regułami uczenia maszynowego, które wykrywają podejrzane działania. |
| 50 – 74 | Podejrzany | Jednostka jest prawdopodobnie skojarzona z podejrzaną infrastrukturą na podstawie dopasowań do co najmniej trzech reguł uczenia maszynowego. |
| 25 – 49 | Neutralny | Jednostka jest zgodna z co najmniej dwiema regułami uczenia maszynowego. |
| 0 – 24 | Nieznany (zielony) | Jednostka zwróciła co najmniej jedną dopasowaną regułę. |
| 0 – 24 | Nieznany (szary) | Jednostka nie zwróciła żadnych dopasowań reguł. |
Reguły wykrywania
Wyniki reputacji są oparte na wielu czynnikach, do których można odwoływać się w celu określenia względnej jakości domeny lub adresu. Te czynniki są odzwierciedlane w regułach uczenia maszynowego, które składają się na wyniki reputacji. Na przykład .xyz lub .cc domeny najwyższego poziomu (TLD) są bardziej podejrzane niż .com lub .org TLD. Autonomiczny numer systemu (ASN) hostowany przez taniego lub bezpłatnego dostawcę hostingu jest bardziej prawdopodobne, że zostanie skojarzony ze złośliwym działaniem, podobnie jak certyfikat protokołu TLS z podpisem własnym. Ten model reputacji został opracowany przez analizę względnych wystąpień tych funkcji zarówno wśród złośliwych, jak i niegroźnych wskaźników w celu oceny ogólnej reputacji jednostki.
Zapoznaj się z poniższą tabelą, aby uzyskać przykłady reguł używanych do określenia, czy host, domena lub adres IP są podejrzane.
Ważna
Ta lista nie jest kompleksowa i ciągle się zmienia; Nasza logika wykrywania i wynikające z tego możliwości są dynamiczne, ponieważ odzwierciedlają zmieniające się krajobrazy zagrożeń. Z tego powodu nie publikujemy kompleksowej listy reguł uczenia maszynowego używanych do oceny reputacji jednostki.
| Nazwa reguły | Opis |
|---|---|
| Certyfikat protokołu TLS z podpisem własnym | Certyfikaty z podpisem własnym mogą wskazywać na złośliwe zachowanie |
| Oznaczone jako złośliwe | Oznakowane jako złośliwe przez członka w organizacji |
| Zaobserwowano składniki sieci Web | Liczba zaobserwowanych składników sieci Web może wskazywać na złośliwość |
| Serwer nazw | Domena używa serwera nazw, który jest bardziej prawdopodobne, że będzie używany przez złośliwą infrastrukturę |
| Rejestratora | Domeny zarejestrowane u tego rejestratora są bardziej narażone na złośliwe |
| Dostawca poczty e-mail rejestrujący | Domena jest zarejestrowana u dostawcy poczty e-mail, który jest bardziej skłonny do rejestrowania złośliwych domen |
Należy pamiętać, że te czynniki należy ocenić całościowo, aby dokonać dokładnej oceny reputacji jednostki. Konkretna kombinacja wskaźników, a nie jakikolwiek indywidualny wskaźnik, może przewidzieć, czy jednostka może być złośliwa czy podejrzana.
Waga
Reguły utworzone dla systemu wykrywania uczenia maszynowego mają zastosowaną ocenę ważności. Każda reguła ma przypisaną ważność wysoką, średnią lub niską na podstawie poziomu ryzyka skojarzonego z regułą.
Przypadki użycia
Klasyfikacja incydentów, reagowanie i wyszukiwanie zagrożeń
Ocena reputacji, klasyfikacja, reguły i opis reguł usługi Defender TI mogą służyć do szybkiej oceny, czy adres IP lub wskaźnik domeny są dobre, podejrzane lub złośliwe. Innym razem możemy nie obserwować wystarczającej infrastruktury skojarzonej z adresem IP lub domeną, aby wywnioskować, czy wskaźnik jest dobry czy zły. Jeśli wskaźnik ma nieznaną lub neutralną klasyfikację, zachęcamy do dokładniejszego zbadania, przeglądając nasze zestawy danych, aby wywnioskować, czy wskaźnik jest dobry czy zły. Jeśli reputacja wskaźnika zawiera skojarzenie artykułu, zachęcamy do zapoznania się z tymi wymienionymi artykułami, aby dowiedzieć się więcej o tym, jak wskaźnik jest powiązany z kampanią potencjalnego aktora zagrożeń; jakie branże lub kraje mogą być ukierunkowane; oraz jakie mogą mieć powiązane techniki, taktykę i procedury; i zidentyfikowanie innych powiązanych operacji we/wy w celu rozszerzenia zakresu działań związanych z reagowaniem na zdarzenia i wyszukiwaniem zagrożeń.
Zbieranie danych wywiadowczych
Możesz udostępnić wszystkie skojarzone artykuły zespołowi analizy zagrożeń, aby lepiej zrozumieć, kto może być przeznaczony dla ich organizacji.