Classificação de reputação
Importante
A 30 de junho de 2024, o portal autónomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) foihttps://ti.defender.microsoft.com
descontinuado e já não está acessível. Os clientes podem continuar a utilizar o Defender TI no portal do Microsoft Defender ou com Microsoft Security Copilot.
Saiba mais
Informações sobre Ameaças do Microsoft Defender (Defender TI) fornece classificações de reputação proprietárias para qualquer anfitrião, domínio ou endereço IP. Quer valide a reputação de uma entidade conhecida ou desconhecida, esta classificação ajuda-o a compreender rapidamente quaisquer ligações detetadas a infraestruturas maliciosas ou suspeitas. O Defender TI fornece informações rápidas sobre a atividade destas entidades (por exemplo, carimbos de data/hora primeiros e últimos vistos, números de sistema autónomos e infraestrutura associada) e uma lista de regras que afetam a classificação de reputação quando aplicável.
Os dados de reputação são importantes para compreender a fiabilidade da sua própria superfície de ataque e também são úteis para avaliar anfitriões, domínios ou endereços IP desconhecidos que aparecem nas investigações. Estas classificações detetam qualquer atividade maliciosa ou suspeita anterior que afetou a entidade ou outros indicadores conhecidos de comprometimento (IOCs) que devem ser considerados.
Compreender as classificações de reputação
As classificações de reputação são determinadas por uma série de algoritmos concebidos para quantificar rapidamente o risco associado a uma entidade. Desenvolvemos classificações de reputação com base nos nossos dados proprietários ao utilizar a nossa infraestrutura de pesquisa e informações de IP recolhidas de origens externas.
Métodos de deteção
Uma série de fatores determina as pontuações de reputação, incluindo associações conhecidas a entidades bloqueadas e uma série de regras de machine learning utilizadas para avaliar o risco.
Parênteses retos de classificação
As classificações de reputação são apresentadas como uma classificação numérica com um intervalo de zero a 100. Uma entidade com uma classificação de 0
não tem associações a atividades suspeitas ou IOCs conhecidos; uma classificação de 100
indica que a entidade é maliciosa. Os anfitriões, domínios e endereços IP são agrupados nas seguintes categorias, consoante a respetiva classificação numérica:
Classificação | Categoria | Descrição |
---|---|---|
75+ | Malicioso | A entidade confirmou associações a infraestruturas maliciosas conhecidas que aparecem na nossa lista de bloqueios e correspondem às regras de machine learning que detetam atividades suspeitas. |
50 – 74 | Suspeito | É provável que a entidade esteja associada a uma infraestrutura suspeita com base em correspondências com três ou mais regras de machine learning. |
25 – 49 | Neutro | A entidade corresponde, pelo menos, a duas regras de machine learning. |
0 – 24 | Desconhecido (Verde) | A entidade devolveu pelo menos uma regra correspondente. |
0 – 24 | Desconhecido (Cinzento) | A entidade não devolveu nenhuma correspondência de regra. |
Regras de deteção
As classificações de reputação baseiam-se em muitos fatores que pode referenciar para determinar a qualidade relativa de um domínio ou endereço. Estes fatores refletem-se nas regras de machine learning que compõem as classificações de reputação. Por exemplo, .xyz
ou .cc
os domínios de nível superior (TLDs) são mais suspeitos do que .com
ou .org
TLDs. É mais provável que um número de sistema autónomo (ASN) alojado por um fornecedor de alojamento gratuito ou de baixo custo esteja associado a atividades maliciosas, tal como um certificado TLS autoassinado. Este modelo de reputação foi desenvolvido ao analisar ocorrências relativas destas funcionalidades entre indicadores maliciosos e benignos para classificar a reputação geral de uma entidade.
Veja a tabela seguinte para obter exemplos de regras utilizadas para determinar se um anfitrião, domínio ou endereço IP é suspeito.
Importante
Esta lista não é abrangente e está em constante mudança; A nossa lógica de deteção e as capacidades consequentes são dinâmicas à medida que refletem o panorama das ameaças em evolução. Por este motivo, não publicamos uma lista abrangente das regras de machine learning utilizadas para avaliar a reputação de uma entidade.
Nome da Regra | Descrição |
---|---|
Certificado TLS autoassinado | Certificados autoassinados podem indicar comportamento malicioso |
Etiquetado como malicioso | Etiquetado como malicioso por um membro na sua organização |
Componentes Web observados | O número de componentes Web observados pode indicar malicioso |
Servidor de nomes | O domínio está a utilizar um servidor de nomes com maior probabilidade de ser utilizado por uma infraestrutura maliciosa |
Entidade de registo | Os domínios registados nesta entidade de registo de domínios são mais propensos a serem maliciosos |
Fornecedor de e-mail de registo | O domínio está registado num fornecedor de e-mail com maior probabilidade de registar domínios maliciosos |
É importante lembrar que estes fatores têm de ser avaliados de forma holística para fazer uma avaliação precisa sobre a reputação de uma entidade. A combinação específica de indicadores, em vez de qualquer indicador individual, pode prever se uma entidade é susceptível de ser maliciosa ou suspeita.
Gravidade
As regras criadas para o sistema de deteção de machine learning têm uma classificação de gravidade aplicada. A cada regra é atribuída gravidade Alta, Média ou Baixa com base no nível de risco associado à regra.
Casos de utilização
Triagem, resposta e investigação de ameaças de incidentes
A classificação de reputação, a classificação, as regras e a descrição das regras do Defender TI podem ser utilizadas para avaliar rapidamente se um endereço IP ou indicador de domínio é bom, suspeito ou malicioso. Outras vezes, podemos não observar infraestruturas suficientes associadas a um endereço IP ou domínio para inferir se o indicador é bom ou mau. Se um indicador tiver uma classificação desconhecida ou neutra, é encorajado a realizar uma investigação mais aprofundada ao rever os nossos conjuntos de dados para inferir se o indicador é bom ou mau. Se a reputação de um indicador incluir uma associação de artigos, recomendamos que reveja esses artigos listados para saber mais sobre como o indicador está ligado à campanha de um potencial ator de ameaças; que indústrias ou nações podem estar a visar; e que técnicas, táticas e procedimentos associados (TTPs) podem ter; e identifique outros IOCs relacionados para alargar o âmbito dos esforços de resposta e investigação do incidente.
Recolha de informações
Pode partilhar quaisquer artigos associados com a sua equipa de informações sobre ameaças, para que tenham uma compreensão mais clara de quem poderá estar a visar a sua organização.