Hotklassificering i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Effektiv hotklassificering är en viktig del av cybersäkerheten som gör det möjligt för organisationer att snabbt identifiera, utvärdera och minimera potentiella risker. Hotklassificeringssystemet i Microsoft Defender för Office 365 använder avancerade tekniker som stora språkmodeller (LLMs), små språkmodeller (SLM) och maskininlärningsmodeller (ML) för att automatiskt identifiera och klassificera e-postbaserade hot. Dessa modeller fungerar tillsammans för att tillhandahålla omfattande, skalbar och anpassningsbar hotklassificering, vilket hjälper säkerhetsteamen att ligga steget före nya attacker.

Genom att kategorisera e-posthot i specifika typer, till exempel nätfiske, skadlig kod och kompropromisser för affärsmeddelanden (BEC), ger vårt system organisationer användbara insikter för att skydda mot skadliga aktiviteter.

Hottyper

Hottyp avser den primära kategoriseringen av ett hot baserat på grundläggande egenskaper eller attackmetod. Historiskt sett identifieras dessa breda kategorier tidigt i attacklivscykeln och hjälper organisationer att förstå attackens natur. Vanliga hottyper är:

• Nätfiske: Angripare personifierar betrodda entiteter för att lura mottagare att avslöja känslig information, till exempel inloggningsuppgifter eller finansiella data.
• Skadlig kod: Skadlig programvara som utformats för att skada eller utnyttja system, nätverk eller enheter.
• Skräppost: Oönskad, ofta irrelevant e-post som skickas i grupp, vanligtvis i skadliga syften eller i marknadsföringssyfte.

Hotidentifieringar

Hotidentifieringar refererar till de tekniker och metoder som används för att identifiera specifika indikatorer eller misstänkta aktiviteter i ett e-postmeddelande eller kommunikation. Hotidentifieringar hjälper till att upptäcka förekomsten av hot genom att identifiera avvikelser eller egenskaper i meddelandet. Vanliga hotidentifieringar är:

• Förfalskning: Identifierar när avsändarens e-postadress förfalskas för att se ut som en betrodd källa.
• Personifiering: Identifierar när ett e-postmeddelande personifierar en legitim entitet, till exempel en chef eller betrodd affärspartner, för att lura mottagarna att vidta skadliga åtgärder.
• URL-rykte: Utvärderar ryktet för URL:er som ingår i ett e-postmeddelande för att avgöra om de leder till skadliga webbplatser.
• Andra filter

Hotklassificering

Hotklassificering är en process för att kategorisera ett hot baserat på avsikt och attackens specifika karaktär. Hotklassificeringssystemet använder LLMs, ML-modeller och andra avancerade tekniker för att förstå avsikten bakom hot och ge en mer exakt klassificering. När systemet utvecklas kan du förvänta dig att nya hotklassificeringar håller jämna steg med nya attackmetoder.

Olika hotklasser beskrivs i följande lista:

• Förskottsavgiftsbedrägeri: Offren utlovas stora ekonomiska belöningar, kontrakt eller priser i utbyte mot förskottsbetalningar eller en serie betalningar, som angriparen aldrig levererar.

• Business Intelligence: Begäranden om information om leverantörer eller fakturor, som används av angripare för att skapa en profil för ytterligare riktade attacker, ofta från en look-alike-domän som efterliknar en betrodd källa.

• Nätfiske efter återanrop: Angripare använder telefonsamtal eller andra kommunikationskanaler för att manipulera individer till att avslöja känslig information eller utföra åtgärder som äventyrar säkerheten.

• Kontaktetablering: Email meddelanden (ofta allmän text) för att kontrollera om en inkorg är aktiv och för att starta en konversation. Dessa meddelanden syftar till att kringgå säkerhetsfilter och skapa ett betrott rykte för skadliga framtida meddelanden.

• Nätfiske av autentiseringsuppgifter: Angripare försöker stjäla användarnamn och lösenord genom att lura enskilda användare att ange sina autentiseringsuppgifter på en bedräglig webbplats eller via manipulativa e-postmeddelanden.

• Kreditkortsinsamling: Angripare försöker stjäla kreditkortsinformation och annan personlig information genom att lura individer att tillhandahålla sin betalningsinformation via falska e-postmeddelanden, webbplatser eller meddelanden som verkar legitima.

• Utpressning: Angriparen hotar att släppa känslig information, kompromettera system eller vidta skadliga åtgärder om inte en lösensumma betalas. Den här typen av attack innebär vanligtvis psykologisk manipulering för att tvinga offret att följa reglerna.

• Presentkort: Angripare utger sig för att vara betrodda personer eller organisationer, vilket övertygar mottagaren att köpa och skicka presentkortskoder, ofta med hjälp av sociala tekniktaktiker.

• Fakturabedrägeri: Fakturor som ser legitima ut, antingen genom att ändra information om en befintlig faktura eller skicka en bedräglig faktura, med avsikt att lura mottagarna att göra betalningar till angriparen.

• Lönebedrägeri: Manipulera användare till att uppdatera löneuppgifter eller personliga kontouppgifter för att avleda pengar till angriparens kontroll.

• Personligt identifierbar information (PII) insamling: Angripare personifierar en högt uppsatt person, till exempel en VD, för att begära personlig information. Dessa e-postmeddelanden följs ofta av en övergång till externa kommunikationskanaler som WhatsApp eller textmeddelanden för att undvika identifiering.

• Nätfiske med social OAuth: Angripare använder enkel inloggning (SSO) eller OAuth-tjänster för att lura användare att ange sina inloggningsuppgifter och få obehörig åtkomst till personliga konton.

• Uppgiftsbedrägeri: Korta, till synes säkra e-postmeddelanden som ber om hjälp med en viss uppgift. Dessa begäranden är utformade för att samla in information eller inducera åtgärder som kan äventyra säkerheten.

Där hotklassificeringsresultat är tillgängliga

Resultaten av hotklassificering är tillgängliga i följande upplevelser i Defender för Office 365:

• Explorer (Threat Explorer)
• Incidenter och aviseringar
• Avancerad jakt
• Statusrapport för skydd mot hot
• Statusrapport för e-postflöde