Microsoft Defender for Office 365中的威胁分类
有效的威胁分类是网络安全的重要组成部分,使组织能够快速识别、评估和缓解潜在风险。 Microsoft Defender for Office 365中的威胁分类系统使用高级技术,例如大型语言模型 (LLM) 、小型语言模型 (SLM) ,以及机器学习 (ML) 模型,以自动检测和分类基于电子邮件的威胁。 这些模型协同工作,提供全面、可缩放和自适应的威胁分类,帮助安全团队在新兴攻击之前保持领先。
通过将电子邮件威胁分类为特定类型(例如钓鱼、恶意软件和企业电子邮件入侵 (BEC) ),我们的系统为组织提供了可操作的见解来防范恶意活动。
威胁类型
威胁类型 是指基于基本特征或攻击方法的威胁的主要分类。 从历史上看,这些广泛的类别是在攻击生命周期的早期确定的,可帮助组织了解攻击的性质。 常见威胁类型包括:
- 网络钓鱼:攻击者模拟受信任的实体来欺骗收件人泄露敏感信息,例如登录凭据或财务数据。
- 恶意软件:旨在破坏或利用系统、网络或设备的恶意软件。
- 垃圾邮件:未经请求且通常不相关的电子邮件批量发送,通常出于恶意或促销目的。
威胁检测
_Threat检测是指用于识别电子邮件或通信中特定指标或可疑活动的技术和方法。 威胁检测通过识别消息中的异常或特征来帮助发现威胁的存在。 常见的威胁检测包括:
- 欺骗:标识发件人的电子邮件地址何时被伪造为受信任来源。
- 模拟:检测电子邮件何时模拟合法实体(如高管或受信任的业务合作伙伴),以欺骗收件人采取有害操作。
- URL 信誉:评估电子邮件中包含的 URL 的信誉,以确定它们是否会导致恶意网站。
- 其他筛选器
威胁分类
威胁分类 是根据攻击的意图和特定性质对威胁进行分类的过程。 威胁分类系统使用 LLM、ML 模型和其他高级技术来了解威胁背后的意图,并提供更准确的分类。 随着系统的发展,你可以期待新的威胁分类与新兴的攻击方法保持同步。
以下列表中介绍了不同的威胁类:
预付费用骗局:向受害者承诺巨额经济奖励、合同或奖品,以换取预付付款或一系列付款,攻击者从未提供过这些费用。
商业智能:请求有关供应商或发票的信息,攻击者使用这些信息来构建用于进一步定向攻击的配置文件,通常来自模拟受信任源的类似域。
回调钓鱼:攻击者使用电话呼叫或其他通信渠道操纵个人泄露敏感信息或执行危害安全性的操作。
联系人建立:Email邮件通常 (通用文本) 来验证收件箱是否处于活动状态并启动对话。 这些消息旨在绕过安全筛选器,为将来的恶意消息建立受信任的信誉。
凭据钓鱼:攻击者试图通过欺骗个人在欺诈性网站上输入其凭据或通过操纵性电子邮件提示来窃取用户名和密码。
信用卡收集:攻击者试图通过欺骗个人通过虚假电子邮件、网站或看似合法的消息来提供其付款信息,从而窃取信用卡信息和其他个人信息。
敲诈勒索:攻击者威胁要释放敏感信息、入侵系统或采取恶意操作,除非支付赎金。 这种类型的攻击通常涉及心理操纵,以强迫受害者合规。
礼品卡:攻击者冒充受信任的个人或组织,说服接收者购买和发送礼品卡代码,通常使用社会工程策略。
发票欺诈:通过更改现有发票的详细信息或提交欺诈性发票来欺骗收件人向攻击者付款而看起来合法的发票。
工资欺诈:操纵用户更新工资单或个人帐户详细信息,将资金转移到攻击者的控制中。
个人身份信息 (PII) 收集:攻击者冒充高级个人(如 CEO)来请求个人信息。 这些电子邮件通常随后转移到外部通信通道(如 WhatsApp 或短信)以逃避检测。
社交 OAuth 钓鱼:攻击者使用单一登录 (SSO) 或 OAuth 服务来欺骗用户提供其登录凭据,从而获得对个人帐户的未经授权的访问。
任务欺诈:请求特定任务的帮助的简短、看似安全的电子邮件。 这些请求旨在收集信息或诱发可能危及安全性的操作。
提供威胁分类结果的位置
Defender for Office 365的以下体验中提供了威胁分类结果: