適用於 Office 365 的 Microsoft Defender 中的威脅分類
有效威脅分類是網路安全性的重要元件,可讓組織快速識別、評估及降低潛在風險。 適用於 Office 365 的 Microsoft Defender 中的威脅分類系統會使用像是大型語言模型 (LLM) 、小型語言模型 (SLM) ,以及機器學習服務 (ML) 模型,來自動偵測和分類電子郵件型威脅。 這些模型會一起運作,以提供全方位、可調整且彈性的威脅分類,協助安全性小組隨時掌握新興攻擊。
藉由將電子郵件威脅分類為特定類型,例如網路釣魚、惡意代碼和商務電子郵件入侵 (BEC) ,我們的系統可為組織提供可採取動作的深入解析,以防範惡意活動。
威脅類型
威脅類型 是指根據基本特性或攻擊方法來分類威脅的主要類別。 在過去,這些廣泛的類別是在攻擊生命週期早期識別,並協助組織瞭解攻擊的本質。 常見的威脅類型包括:
- 網路釣魚:攻擊者模擬受信任的實體,以將收件者揭露敏感性資訊,例如登入認證或財務數據。
- 惡意代碼:設計來損毀或惡意探索系統、網路或裝置的惡意軟體。
- 垃圾郵件:未經請求且通常不相關的電子郵件會大量傳送,通常是基於惡意或促銷目的。
威脅偵測
_Threat偵測是指用來識別電子郵件訊息或通訊內特定指標或可疑活動的技術和方法。 威脅偵測可藉由識別訊息中的異常或特性,協助找出威脅是否存在。 常見的威脅偵測包括:
- 詐騙:識別寄件者的電子郵件位址偽造成看起來像受信任的來源。
- 模擬:偵測電子郵件訊息何時模擬合法實體,例如主管或受信任的商業夥伴,以誘使收件者採取有害的動作。
- URL 信譽:評估電子郵件中包含的 URL 信譽,以判斷這些 URL 是否會導致惡意網站。
- 其他篩選
威脅分類
威脅分類 是根據意圖和攻擊的特定本質來分類威脅的程式。 威脅分類系統會使用 LLM、ML 模型和其他進階技術來瞭解威脅背後的意圖,並提供更精確的分類。 隨著系統的發展,您可以預期新的威脅分類會與新興的攻擊方法保持同步。
下列清單描述不同的威脅類別:
預付費用詐騙:攻擊者承諾支付大量財務獎勵、合約或獎品,以換取預付款項或一系列付款,攻擊者永遠不會提供這些款項。
商業智慧:要求有關廠商或發票的資訊,攻擊者會使用這些資訊來建置配置檔以進行進一步的目標式攻擊,通常來自模擬受信任來源的類似外觀網域。
回呼網路釣魚:攻擊者會使用電話或其他通道來操作個人,以揭露機密資訊或執行危害安全性的動作。
聯繫人建立:Email 訊息 (通常是一般文字) ,以確認收件匣是否作用中並起始交談。 這些訊息旨在略過安全性篩選條件,併為未來惡意訊息建立信任的信譽。
認證網路釣魚:攻擊者嘗試竊取使用者名稱和密碼,方法是誘使個人在詐騙網站上或透過操作性電子郵件提示輸入其認證。
信用卡收集:攻擊者企圖透過假的電子郵件訊息、網站或看似合法的郵件來提供個人付款資訊,來竊取信用卡資訊和其他個人詳細數據。
惡意:除非支付勒索,否則攻擊者會想要釋放敏感性資訊、入侵系統或採取惡意動作。 這種類型的攻擊通常牽涉到操縱,以強制犧牲者符合規範。
美金卡:攻擊者模擬受信任的個人或組織,並利用社交工程策略來協助收件者購買及傳送饋金卡代碼。
發票詐騙:變更現有發票的詳細數據或提交詐騙發票,以誘使收件者向攻擊者付款,而看起來合法的發票。
薪資詐騙:管理使用者更新薪資或個人帳戶詳細數據,以將資金轉移至攻擊者的控制。
PII) 收集的個人標識資訊 (:攻擊者模擬高階個人,例如 CEO,以要求個人資訊。 這些電子郵件訊息通常會接著移轉至外部通道,例如 WhatsApp 或文字訊息,以規避偵測。
社交 OAuth 網路釣魚:攻擊者會使用單一登錄 (SSO) 或 OAuth 服務,以攻擊使用者提供其登入認證,取得未經授權的個人帳戶存取權。
工作詐騙:簡短且看似安全的電子郵件訊息,要求協助處理特定工作。 這些要求的設計目的是要收集資訊或引發可能會危害安全性的動作。
威脅分類結果可用的位置
威脅分類的結果可在下列 適用於 Office 365 的 Defender 體驗中取得: