Ryktesbedömning
Viktigt
Den 30 juni 2024 drogs den fristående portalen Microsoft Defender Hotinformation (Defender TI) tillbaka ochhttps://ti.defender.microsoft.com är inte längre tillgänglig. Kunder kan fortsätta att använda Defender TI i Microsoft Defender-portalen eller med Microsoft Security Copilot.
Läs mer
Microsoft Defender Hotinformation (Defender TI) ger patentskyddade ryktespoäng för alla värdar, domäner eller IP-adresser. Oavsett om du verifierar ryktet för en känd eller okänd entitet hjälper den här poängen dig att snabbt förstå eventuella identifierade kopplingar till skadlig eller misstänkt infrastruktur. Defender TI tillhandahåller snabb information om aktiviteten för dessa entiteter (till exempel tidsstämplar för första och sista gången, autonoma systemnummer och tillhörande infrastruktur) och en lista över regler som påverkar ryktespoängen när det är tillämpligt.
Ryktesdata är viktiga för att förstå tillförlitligheten hos din egen attackyta och är också användbart när du utvärderar okända värdar, domäner eller IP-adresser som visas i undersökningar. Dessa poäng avslöjar all tidigare skadlig eller misstänkt aktivitet som påverkade entiteten eller andra kända indikatorer för kompromettering (IOPS) som bör övervägas.
Förstå ryktespoäng
Ryktespoäng bestäms av en serie algoritmer som är utformade för att snabbt kvantifiera den risk som är associerad med en entitet. Vi utvecklar ryktespoäng baserat på våra egna data med hjälp av vår crawlningsinfrastruktur och på IP-information som samlas in från externa källor.
Detektionsmetoder
En serie faktorer avgör ryktespoäng, inklusive kända associationer till blockerade entiteter och en serie maskininlärningsregler som används för att bedöma risker.
Bedömningsparenteser
Ryktespoäng visas som en numerisk poäng med ett intervall från noll till 100. En entitet med poängen 0 har inte associationer till misstänkt aktivitet eller kända IOP:er. Poängen 100 anger att entiteten är skadlig. Värdar, domäner och IP-adresser grupperas i följande kategorier beroende på deras numeriska poäng:
| Poäng | Kategori | Beskrivning |
|---|---|---|
| 75+ | Skadlig | Entiteten har bekräftat associationer till känd skadlig infrastruktur som visas i vår blockeringslista och matchar maskininlärningsregler som identifierar misstänkt aktivitet. |
| 50 – 74 | Misstänksam | Entiteten är troligen kopplad till misstänkt infrastruktur baserat på matchningar till tre eller fler maskininlärningsregler. |
| 25 – 49 | Neutral | Entiteten matchar minst två maskininlärningsregler. |
| 0 – 24 | Okänd (grön) | Entiteten returnerade minst en matchad regel. |
| 0 – 24 | Okänd (grå) | Entiteten returnerade inga regelmatchningar. |
Identifieringsregler
Ryktespoäng baseras på många faktorer som du kan referera till för att fastställa den relativa kvaliteten på en domän eller adress. Dessa faktorer återspeglas i de maskininlärningsregler som utgör ryktespoängen. Till exempel .xyz , eller .cc toppnivådomäner (TLD) är mer misstänkta än .com eller .org TLD: er. Ett autonomt systemnummer (ASN) som värdhanteras av en billig eller kostnadsfri värdleverantör är mer sannolikt associerat med skadlig aktivitet, liksom ett självsignerat TLS-certifikat. Den här ryktesmodellen utvecklades genom att titta på relativa förekomster av dessa funktioner bland både skadliga och godartade indikatorer för att bedöma en entitets övergripande rykte.
I följande tabell finns exempel på regler som används för att avgöra om en värd, domän eller IP-adress är misstänkt.
Viktigt
Den här listan är inte omfattande och förändras hela tiden. vår identifieringslogik och följdfunktioner är dynamiska eftersom de återspeglar det växande hotlandskapet. Därför publicerar vi inte en omfattande lista över de maskininlärningsregler som används för att utvärdera en entitets rykte.
| Regelnamn | Beskrivning |
|---|---|
| Självsignerat TLS-certifikat | Självsignerade certifikat kan tyda på skadligt beteende |
| Taggad som skadlig | Taggas som skadlig av en medlem i din organisation |
| Webbkomponenter har observerats | Antalet webbkomponenter som observerats kan tyda på skadlighet |
| Namnserver | Domänen använder en namnserver som är mer sannolikt att användas av skadlig infrastruktur |
| Registrar | Domäner som registrerats med den här registratorn är mer benägna att vara skadliga |
| E-postprovider för registrant | Domänen är registrerad hos en e-postleverantör som är mer sannolikt att registrera skadliga domäner |
Det är viktigt att komma ihåg att dessa faktorer måste bedömas holistiskt för att göra en korrekt bedömning av en entitets rykte. Den specifika kombinationen av indikatorer, snarare än någon enskild indikator, kan förutsäga om en entitet sannolikt är skadlig eller misstänkt.
Allvarlighetsgrad
Regler som skapats för identifieringssystemet för maskininlärning har en allvarlighetsgrad tillämpad. Varje regel tilldelas hög, medel eller låg allvarlighetsgrad baserat på den risknivå som är associerad med regeln.
Användningsfall
Incidenttriage, svar och hotjakt
Defender TI:s ryktespoäng, klassificering, regler och beskrivning av regler kan användas för att snabbt bedöma om en IP-adress eller domänindikator är bra, misstänkt eller skadlig. Andra gånger kanske vi inte observerar tillräckligt med infrastruktur som är associerad med en IP-adress eller domän för att härleda om indikatorn är bra eller dålig. Om en indikator har en okänd eller neutral klassificering rekommenderar vi att du utför en djupare undersökning genom att granska våra datauppsättningar för att dra slutsatsen om indikatorn är bra eller dålig. Om en indikators rykte inkluderar en artikelassociation uppmanas du att granska de listade artiklarna för att lära dig mer om hur indikatorn är kopplad till en potentiell hotskådespelares kampanj; vilka branscher eller nationer de kan rikta in sig på; och vilka tillhörande tekniker, taktiker och procedurer (TTP: er) de kan ha; och identifiera andra relaterade IOCs för att bredda omfattningen av din incident svars- och jaktinsatser.
Insamling av intelligens
Du kan dela alla associerade artiklar med ditt hotinformationsteam, så att de har en tydligare förståelse för vem som kan rikta in sig på deras organisation.