مشاركة عبر

مجموعات البيانات

تقوم Microsoft بمركزية العديد من مجموعات البيانات في تحليل ذكي للمخاطر في Microsoft Defender (Defender TI)، ما يسهل على عملاء Microsoft ومجتمعها إجراء تحليل البنية الأساسية. ينصب تركيز Microsoft الأساسي على توفير أكبر قدر ممكن من البيانات حول البنية الأساسية للإنترنت لدعم حالات استخدام الأمان المختلفة.

تجمع Microsoft بيانات الإنترنت وتحللها وفهرستها لمساعدتك:

  • الكشف عن التهديدات والاستجابة لها
  • تحديد أولوية الأحداث
  • تحديد البنية الأساسية المرتبطة بمجموعات المستخدمين التي تستهدف مؤسستك بشكل استباقي

تجمع Microsoft بيانات الإنترنت من خلال شبكة مستشعر نظام أسماء المجالات (PDNS) الخاملة، وشبكة الوكيل العمومي للمستخدمين الظاهريين، ومسح المنفذ، ومصادر أخرى بحثا عن البرامج الضارة وبيانات DNS المضافة.

يتم تصنيف بيانات الإنترنت هذه إلى مجموعتين متميزتين: تقليدية ومتقدمة. تتضمن مجموعات البيانات التقليدية ما يلي:

تتضمن مجموعات البيانات المتقدمة ما يلي:

يتم جمع مجموعات البيانات المتقدمة من مراقبة نموذج عنصر المستند (DOM) لصفحات الويب التي تم تتبع ارتباطاتها. بالإضافة إلى ذلك، تتم ملاحظة المكونات وأجهزة التعقب أيضا من قواعد الكشف التي يتم تشغيلها استنادا إلى استجابات الشعار من عمليات فحص المنفذ أو تفاصيل شهادة TLS.

لقطة شاشة لفرز مجموعات البيانات.

القرارات

PDNS هو نظام سجلات يخزن بيانات دقة DNS لموقع وسجل وإطار زمني معين. تتيح لك مجموعة بيانات الدقة التاريخية هذه عرض المجالات التي تم حلها إلى عنوان IP والطريقة الأخرى. تسمح مجموعة البيانات هذه بالارتباط المستند إلى الوقت استنادا إلى تداخل المجال أو IP.

قد تمكن PDNS من تحديد البنية الأساسية لمستخدم التهديد غير المعروفة مسبقا أو التي تم الوقوف عليها حديثا. يمكن أن تؤدي الإضافة الاستباقية للمؤشرات إلى قوائم الحظر إلى قطع مسارات الاتصال قبل إجراء الحملات. تتوفر بيانات دقة السجل ضمن علامة التبويب Resolutions، الموجودة في صفحة Intel explorer في مدخل Microsoft Defender. يتوفر المزيد من أنواع سجلات DNS في علامة التبويب DNS .

تتضمن بيانات تحليل PDNS المعلومات التالية:

  • الحل: اسم كيان الحل (إما عنوان IP أو مجال)
  • الموقع: الموقع الذي تتم استضافة عنوان IP فيه
  • الشبكة: netblock أو الشبكة الفرعية المقترنة بعنوان IP
  • ASN: رقم النظام المستقل (ASN) واسم المؤسسة
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا الحل لأول مرة
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة هذا الحل
  • المصدر: المصدر الذي مكن الكشف عن العلاقة.
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI (تعرف على المزيد)

تحليلات علامة تبويب البيانات.

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

المجالات:

  • متى لاحظ Defender TI أولا حل المجال إلى عنوان IP؟

    تمت رؤية مجال مجموعات البيانات لأول مرة.

  • متى كانت آخر مرة رأى فيها Defender TI المجال يحل بنشاط إلى عنوان IP؟

  • ما هو عنوان IP أو عناوينه التي يحل المجال إليها حاليا؟

    تحليلات المجال النشطة لمجموعات البيانات.

عناوين IP:

  • هل عنوان IP قابل للتوجيه؟

    مجموعات البيانات عناوين IP القابلة للتوجيه.

  • ما هي الشبكة الفرعية التي يمثل عنوان IP جزءا منها؟

    الشبكة الفرعية لعنوان IP لمجموعات البيانات.

  • هل هناك مالك مقترن بالشبكة الفرعية؟

    مالك عنوان IP لمجموعات البيانات.

  • ما هو AS جزء عنوان IP؟

    عنوان IP لمجموعات البيانات ASN.

  • هل هناك موقع جغرافي؟

    تحديد الموقع الجغرافي لعنوان IP لمجموعات البيانات.

WHOIS

آلاف المرات في اليوم، يتم شراء المجالات و/أو نقلها بين الأفراد والمؤسسات. العملية سهلة، وتستغرق بضع دقائق فقط، ويمكن أن تكون منخفضة مثل 7 دولارات، اعتمادا على موفر المسجل. بالإضافة إلى تفاصيل الدفع، يجب على المرء توفير معلومات إضافية عن نفسه. يتم تخزين بعض هذه المعلومات كجزء من سجل WHOIS الذي تم إعداد المجال فيه. وسيعتبر هذا الإجراء تسجيلا للنطاق العام. ومع ذلك، هناك خدمات تسجيل المجال الخاص، حيث يمكن للمرء إخفاء معلوماته الشخصية من سجل WHOIS الخاص بمجاله. في هذه الحالات، تكون معلومات مالك المجال آمنة ويتم استبدالها بمعلومات المسجل. يقوم المزيد من مجموعات المستخدمين بإجراء تسجيلات المجال الخاص لجعل العثور على المجالات الأخرى التي يمتلكونها أكثر صعوبة بالنسبة للمحللين. يوفر Defender TI مجموعات بيانات مختلفة للعثور على البنية الأساسية المشتركة للمستخدمين عندما لا توفر سجلات WHOIS عملاء متوقعين.

WHOIS هو بروتوكول يتيح لأي شخص الاستعلام عن معلومات حول مجال أو عنوان IP أو شبكة فرعية. تتمثل إحدى الوظائف الأكثر شيوعا ل WHOIS في أبحاث البنية الأساسية للمخاطر في تحديد الكيانات المتباينة أو توصيلها استنادا إلى البيانات الفريدة المشتركة داخل سجلات WHOIS. إذا قمت بشراء مجال بنفسك، فربما لاحظت أنه لم يتم التحقق من المحتوى المطلوب من المسجلين. في الواقع، كنت قد وضعت أي شيء في السجل (والعديد من الناس تفعل)، والتي سيتم عرضها بعد ذلك للعالم.

يحتوي كل سجل WHOIS على عدة أقسام مختلفة، يمكن أن تتضمن جميعها معلومات مختلفة. تتضمن الأقسام التي تم العثور عليها بشكل شائع المسجلوالسجلوالمسؤولوالتقني، مع احتمال أن يكون كل منها مطابقا لجهة اتصال مختلفة للسجل. يتم تكرار هذه البيانات عبر الأقسام في معظم الحالات ولكن قد تكون هناك بعض الاختلافات الطفيفة، خاصة إذا ارتكب المستخدم خطأ. عند عرض معلومات WHOIS داخل Defender TI، سترى سجلا مكثفا يلغي تكرار أي بيانات ويلاحظ أي جزء من السجل الذي جاء منه. وجدنا أن هذه العملية تعمل بشكل كبير على تسريع سير عمل المحلل وتجنب أي تجاهل للبيانات. يتم تشغيل معلومات WHOIS الخاصة ب Defender TI بواسطة قاعدة بيانات WhoisIQ™.

تتضمن بيانات WHOIS المعلومات التالية:

  • تم تحديث السجل: طابع زمني يشير إلى اليوم الذي تم فيه آخر تحديث لسجل WHOIS
  • آخر مسح ضوئي: التاريخ الذي قام فيه نظام Defender TI آخر مرة بمسح السجل ضوئيا
  • انقضاء: تاريخ انتهاء صلاحية التسجيل، إذا كان متوفرا
  • انشاء: عمر سجل WHOIS الحالي
  • خادم WHOIS: الخادم الذي تم إعداده من قبل جهة تسجيل معتمدة من ICANN للحصول على معلومات محدثة حول المجالات المسجلة داخلها
  • المسجل: خدمة المسجل المستخدمة لتسجيل البيانات الاصطناعية
  • حالة المجال: الحالة الحالية للمجال؛ المجال "النشط" مباشر على الإنترنت
  • البريد الإلكتروني: أي عناوين بريد إلكتروني موجودة في سجل WHOIS ونوع جهة الاتصال المقترنة بكل منها (على سبيل المثال، المسؤول أو التقنية)
  • اسم: اسم أي جهات اتصال داخل السجل، ونوع جهة الاتصال المقترنة بكل منها
  • منظمة: اسم أي مؤسسات داخل السجل، ونوع جهة الاتصال المقترنة بكل منها
  • شارع: أي عناوين شارع مقترنة بالسجل ونوع جهة الاتصال المقابلة
  • مدينة: أي مدينة مدرجة في عنوان مقترن بالسجل ونوع جهة الاتصال المقابلة
  • حالة: أي حالات مدرجة في عنوان مقترن بالسجل ونوع جهة الاتصال المقابلة
  • التعليمات البرمجية البريدية: أي رموز بريدية مدرجة في عنوان مقترن بالسجل ونوع جهة الاتصال المقابلة
  • بلد: أي بلدان أو مناطق مدرجة في عنوان مقترن بالسجل ونوع جهة الاتصال المقابلة
  • الهاتف: أي أرقام هواتف مدرجة في السجل ونوع جهة الاتصال المقابلة
  • خوادم الأسماء: أي خوادم أسماء مقترنة بالوحدة المسجلة

عمليات بحث WHOIS الحالية

يسلط مستودع WHOIS الحالي ل Defender TI الضوء على جميع المجالات في مجموعة WHOIS من Microsoft المسجلة حاليا والمرتبطة بسمة WHOIS ذات الاهتمام. تسلط هذه البيانات الضوء على تاريخ تسجيل المجال وانتهاء صلاحيته، إلى جانب عنوان البريد الإلكتروني المستخدم لتسجيل المجال. يتم عرض هذه البيانات في علامة التبويب WHOIS Search في النظام الأساسي.

علامة تبويب البيانات WHOIS.

عمليات بحث WHOIS التاريخية

يوفر مستودع محفوظات WHOIS ل Defender TI للمستخدمين إمكانية الوصول إلى جميع اقترانات المجال التاريخي المعروفة إلى سمات WHOIS استنادا إلى ملاحظات النظام. تسلط مجموعة البيانات هذه الضوء على جميع المجالات المقترنة بسمة يقوم المستخدم بتمحورها من العرض في المرة الأولى وفي المرة الأخيرة التي لاحظنا فيها الاقتران بين المجال والسمات التي تم الاستعلام عنها. يتم عرض هذه البيانات في علامة تبويب منفصلة بجوار علامة التبويب WHOIS الحالية .

البحث في محفوظات WHOIS.

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما عمر المجال؟

    مجموعات البيانات عمر مجال WHOIS.

  • هل يبدو أن المعلومات محمية بالخصوصية؟

    مجموعات البيانات محمية بخصوصية WHOIS.

  • هل يبدو أن أي من البيانات فريدة من نوعها؟

    مجموعات البيانات WHOIS فريدة من نوعها.

  • ما هي خوادم الأسماء المستخدمة؟

    مجموعات البيانات خوادم أسماء WHOIS.

  • هل هذا المجال مجال متلقي؟

    مجموعات البيانات متلقي WHOIS.

  • هل هذا المجال مجال متوقف؟

    مجموعات البيانات الخاصة ب WHOIS المتوقفة عن العمل.

  • هل هذا المجال مجال نقطة العسل؟

    مجموعات البيانات مجال نقطة العسل WHOIS.

  • هل هناك أي تاريخ؟

    محفوظات WHOIS لمجموعات البيانات.

  • هل هناك أي رسائل بريد إلكتروني مزيفة لحماية الخصوصية؟

    مجموعات البيانات رسائل البريد الإلكتروني المزيفة لخصوصية WHOIS.

  • هل هناك أي أسماء مزيفة في سجل WHOIS؟

  • هل يتم تحديد IOCs الأخرى ذات الصلة من البحث مقابل قيم WHOIS التي يحتمل أن تكون مشتركة عبر المجالات؟

    مجموعات البيانات البحث عن القيمة المشتركة ل WHOIS.

    مجموعات البيانات لهاتف البحث عن القيمة المشتركة ل WHOIS.

الشهادات

بالإضافة إلى تأمين بياناتك، تعد شهادات TLS طريقة رائعة للمستخدمين لتوصيل البنية الأساسية المتباينة للشبكة. تتيح لنا تقنيات الفحص الحديثة إجراء طلبات البيانات مقابل كل عقدة على الإنترنت في غضون ساعات. بمعنى آخر، يمكننا إقران شهادة بعنوان IP يستضيفها بسهولة ومنتظمة.

مثل سجل WHOIS، تتطلب شهادات TLS معلومات ليتم توفيرها من قبل المستخدم لإنشاء المنتج النهائي. وبصرف النظر عن المجال، تتضمن شهادة TLS من يتم إنشاء الشهادة له (ما لم يتم توقيعها ذاتيا). يمكن للمستخدم تكوين المعلومات الإضافية. حيث يرى مستخدمو Microsoft أكبر قيمة من شهادات TLS ليست بالضرورة البيانات الفريدة التي قد يستخدمها شخص ما عند إنشاء الشهادة، ولكن حيث تتم استضافتها.

للوصول إلى شهادة TLS، يجب أن تكون مقترنة بخادم ويب وعرضها من خلال منفذ معين (غالبا 443). باستخدام عمليات فحص الإنترنت الجماعية على أساس أسبوعي، من الممكن مسح جميع عناوين IP ضوئيا والحصول على أي شهادة تتم استضافتها لإنشاء مستودع تاريخي لبيانات الشهادة. يوفر لك وجود قاعدة بيانات عناوين IP لتعيينات شهادات TLS طريقة لتحديد التداخلات في البنية الأساسية.

لتوضيح هذا المفهوم بشكل أكبر، تخيل مستخدما يقوم بإعداد خادم بشهادة TLS موقعة ذاتيا. بعد عدة أيام، يصبح المدافعون حكيمين في بنيتهم الأساسية ويحظرون خادم الويب الذي يستضيف المحتوى الضار. بدلا من تدمير كل عملهم الشاق، يقوم المستخدم فقط بنسخ جميع المحتويات (بما في ذلك شهادة TLS) ووضعها على خادم جديد. بصفتك مستخدما، يمكنك الآن إجراء اتصال باستخدام قيمة SHA-1 الفريدة للشهادة والقول إن كلا خادمي الويب (أحدهما محظور والآخر غير معروف) متصلان بطريقة ما.

ما يجعل شهادات TLS أكثر قيمة هو أنها قادرة على إجراء اتصالات قد تفوتها بيانات DNS أو WHOIS السلبية. وهذا يعني المزيد من الطرق لربط البنية الأساسية الضارة المحتملة وتحديد حالات فشل الأمان التشغيلي المحتملة للجهات الفاعلة. جمع Defender TI أكثر من 30 مليون شهادة منذ عام 2013 ويوفر لك الأدوات اللازمة لإجراء ارتباطات على محتوى الشهادة وتاريخها.

شهادات TLS هي ملفات تربط مفتاح تشفير رقميا بمجموعة من التفاصيل التي يوفرها المستخدم. يستخدم Defender TI تقنيات فحص الإنترنت لجمع اقترانات شهادات TLS من عناوين IP على منافذ مختلفة. يتم تخزين هذه الشهادات داخل قاعدة بيانات محلية وتسمح لنا بإنشاء مخطط زمني للمكان الذي ظهرت فيه شهادة TLS معينة على الإنترنت.

تتضمن بيانات الشهادة المعلومات التالية:

  • Sha1: تجزئة خوارزمية SHA-1 لأصل شهادة TLS
  • أول ظهور: طابع زمني يعرض التاريخ الذي لاحظنا فيه هذه الشهادة لأول مرة على أداة
  • آخر ظهور: طابع زمني يعرض التاريخ الذي لاحظنا فيه هذه الشهادة آخر مرة على أداة
  • بنية تحتية: أي بنية أساسية ذات صلة مرتبطة بالشهادة

قائمة شهادات علامة تبويب البيانات

عند التوسع على تجزئة SHA-1، سترى التفاصيل التالية:

  • الرقم التسلسلي: الرقم التسلسلي المقترن بشهادة TLS
  • صادر: التاريخ الذي تم فيه إصدار شهادة
  • تنتهي: التاريخ الذي تنتهي فيه صلاحية الشهادة
  • الاسم الشائع للموضوع: الاسم الشائع للموضوع لأي شهادات TLS مقترنة
  • الاسم الشائع لمصدر الإصدار: الاسم الشائع لمصدر الشهادة لأي شهادات TLS مقترنة
  • الاسم (الأسماء) البديلة للموضوع: أي أسماء شائعة بديلة للشهادة
  • الاسم (الأسماء) البديلة المصدر: أي أسماء أخرى للمصدر
  • اسم مؤسسة الموضوع: المؤسسة المرتبطة بتسجيل شهادة TLS
  • اسم مؤسسة المصدر: اسم المؤسسة التي نسقت مشكلة الشهادة
  • إصدار SSL: إصدار SSL/TLS الذي تم تسجيل الشهادة به
  • وحدة تنظيم الموضوع: بيانات التعريف الاختيارية التي تشير إلى القسم داخل مؤسسة مسؤولة عن الشهادة
  • وحدة مؤسسة المصدر: معلومات إضافية حول المؤسسة التي تصدر الشهادة
  • عنوان الشارع الموضوع: عنوان الشارع حيث توجد المؤسسة
  • عنوان شارع المصدر: عنوان الشارع حيث توجد مؤسسة المصدر
  • موقع الموضوع: المدينة التي توجد بها المؤسسة
  • موقع المصدر: المدينة التي توجد بها مؤسسة المصدر
  • الولاية/المقاطعة الموضوع: الولاية أو المقاطعة التي توجد بها المؤسسة
  • ولاية/مقاطعة المصدر: الولاية أو المقاطعة التي توجد بها مؤسسة المصدر
  • البلد الموضوع: البلد أو المنطقة التي توجد بها المؤسسة
  • بلد المصدر: البلد أو المنطقة التي توجد فيها مؤسسة المصدر
  • البنية الأساسية ذات الصلة: أي بنية أساسية ذات صلة مرتبطة بالشهادة

تفاصيل شهادة علامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما هي البنية الأساسية الأخرى التي تمت ملاحظة هذه الشهادة مقترنة بها؟

    البنية الأساسية المتعلقة بشهادة مجموعات البيانات

  • هل هناك أي نقاط بيانات فريدة في الشهادة من شأنها أن تكون بمثابة نقاط محورية جيدة؟

    نقاط محورية لشهادة مجموعات البيانات

  • هل الشهادة موقعة ذاتيا؟

    شهادة مجموعات البيانات الموقعة ذاتيا

  • هل الشهادة من موفر مجاني؟

    موفر CertificateFree لمجموعات البيانات

  • على أي إطار زمني تمت ملاحظة الشهادة قيد الاستخدام؟

    تواريخ مراقبة شهادات مجموعات البيانات.

المجالات الفرعية

المجال الفرعي هو مجال إنترنت يشكل جزءا من مجال أساسي. يشار إلى المجالات الفرعية أيضا باسم "المضيفين". على سبيل المثال، learn.microsoft.com هو مجال فرعي ل microsoft.com. لكل مجال فرعي، قد تكون هناك مجموعة جديدة من عناوين IP التي يحل المجال إليها، والتي يمكن أن تكون مصادر بيانات رائعة للعثور على البنية الأساسية ذات الصلة.

تتضمن بيانات المجال الفرعي المعلومات التالية:

  • اسم المضيف: المجال الفرعي المقترن بالمجال الذي تم البحث فيه
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

المجالات الفرعية لعلامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • هل هناك المزيد من المجالات الفرعية المرتبطة بالمجال ذي المستوى الأعلى؟

    المجالات الفرعية لمجموعات البيانات.

  • هل أي من المجالات الفرعية مقترنة بنشاط ضار؟

    المجالات الفرعية لمجموعات البيانات الضارة.

  • إذا كنت أملك هذا المجال، فهل يبدو أي من المجالات الفرعية غير مألوف؟

  • هل هناك أي نمط للمجالات الفرعية المدرجة المرتبطة بالمجالات الضارة الأخرى؟

  • هل يكشف العرض المحوري لكل مجال فرعي عن مساحة عنوان IP جديدة غير مقترنة مسبقا بالهدف؟

  • ما هي البنية الأساسية الأخرى غير المرتبطة التي يمكنني العثور عليها والتي لا تتطابق مع المجال الجذر؟

المقتفون

أدوات التعقب هي رموز أو قيم فريدة موجودة داخل صفحات الويب وغالبا ما تستخدم لتتبع تفاعل المستخدم. يمكن استخدام هذه الرموز لربط مجموعة متباينة من مواقع الويب بوحدة مركزية. في كثير من الأحيان، ينسخ مستخدمو التهديد التعليمات البرمجية المصدر لموقع الضحية على الويب الذي يتطلعون إلى انتحال شخصية حملة تصيد احتيالي. نادرا ما تستغرق وقتا لإزالة هذه المعرفات، ما قد يسمح للمستخدمين بتحديد هذه المواقع الاحتيالية باستخدام مجموعة بيانات Defender TI's Trackers . قد يقوم المستخدمون أيضا بنشر معرفات المتعقب لمعرفة مدى نجاح حملات الهجوم الخاصة بهم. يشبه هذا النشاط كيفية استخدام المسوقين لمعرفات SEO، مثل معرف تعقب Google Analytics، لتتبع نجاح حملتهم التسويقية.

تتضمن مجموعة بيانات المتعقب الخاصة بنا معرفات من موفرين مثل Google وYandex و Mixpanel و New Relic و Clicky، وتستمر في النمو. ويتضمن المعلومات التالية:

  • اسم المضيف: اسم المضيف الذي يستضيف البنية الأساسية حيث تم الكشف عن المتعقب
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا المتعقب لأول مرة على البيانات الاصطناعية
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة هذا المتعقب على البيانات الاصطناعية
  • النوع: نوع المتعقب الذي تم اكتشافه (على سبيل المثال، GoogleAnalyticsID أو JarmHash)
  • القيمة: قيمة تعريف المتعقب
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

أدوات تعقب علامات تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • هل هناك موارد أخرى تستخدم نفس معرفات التحليلات؟

    Data Sets Trackers Pivot Analytics Account.

  • هل هذه الموارد مرتبطة بالمؤسسة، أم أنها تحاول تنفيذ هجوم انتهاك؟

  • هل هناك أي تداخل بين أدوات التعقب - هل تتم مشاركتها مع مواقع ويب أخرى؟

  • ما هي أنواع أدوات التعقب الموجودة في صفحة الويب؟

    أنواع أدوات تعقب مجموعات البيانات.

  • ما هو طول الوقت للمتعقبين؟

    مدة تعقب مجموعات البيانات.

  • ما هو تكرار التغيير لقيم المتعقب - هل تأتي أو تذهب أو تبقى؟

  • هل هناك أي أدوات تعقب ترتبط ببرامج استنساخ مواقع الويب (على سبيل المثال، MarkOfTheWeb أو HTTrack

    Data Sets Trackers HtTrack.

  • هل هناك أي أدوات تعقب ترتبط بالبرامج الضارة لخادم الأوامر والتحكم (C2) (على سبيل المثال، JARM

    Data Sets Trackers JARM.

مكونات

مكونات الويب هي تفاصيل تصف صفحة ويب أو البنية الأساسية للخادم التي تم جمعها من Microsoft التي تقوم بتتبع ارتباطات الويب أو فحصها. تتيح لك هذه المكونات فهم بنية صفحة الويب أو التكنولوجيا والخدمات التي تقود جزءا معينا من البنية الأساسية. يمكن أن يعثر العرض المحوري على المكونات الفريدة على البنية الأساسية للجهات الفاعلة أو المواقع الأخرى المخترقة. يمكنك أيضا فهم ما إذا كان موقع الويب عرضة لهجوم أو اختراق معين استنادا إلى التقنيات التي يقوم بتشغيلها.

تتضمن بيانات المكون الخاصة بنا المعلومات التالية:

  • اسم المضيف: اسم المضيف الذي يستضيف البنية الأساسية حيث تم الكشف عن المكون
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا المكون لأول مرة على البيانات الاصطناعية
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة هذا المكون على البيانات الاصطناعية
  • باب: نوع المكون الذي تم اكتشافه (على سبيل المثال، نظام التشغيل أو إطار العمل أو الوصول عن بعد أو الخادم)
  • الاسم + الإصدار: اسم المكون والإصدار الذي يعمل على البيانات الاصطناعية (على سبيل المثال، Microsoft IIS (v8.5))
  • العلامات: أي علامات مطبقة على هذه الأداة في Defender TI

مكونات علامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما هي البنية الأساسية الضعيفة التي أستخدمها؟

    مكونات مجموعات البيانات المكونات الضعيفة

    إصدار Js الضعيف لمكونات مجموعات البيانات الأولية

    تم تحديث Magento v1.9 لدرجة أن Microsoft لم تتمكن من تحديد موقع الوثائق الموثوقة لهذا الإصدار المحدد.

  • ما هي مكونات الويب الفريدة التي يستخدمها ممثل التهديد الذي يمكنه تعقبها إلى مجالات أخرى؟

  • هل تم وضع علامة على أي مكونات على أنها ضارة؟

  • كم عدد مكونات الويب التي تم تحديدها؟

    عدد مكونات مجموعات البيانات

  • هل هناك أي تقنيات فريدة أو غريبة لا ينظر إليها في كثير من الأحيان؟

    المكونات الفريدة لمكونات مجموعات البيانات

  • هل هناك أي إصدارات مزيفة من تقنيات محددة؟

  • ما هو تكرار التغييرات في مكونات الويب - غالبا أو نادرا ما يتم ذلك؟

  • هل هناك أي مكتبات مشبوهة من المعروف أنها قد تم إساءة استخدامها؟

  • هل هناك أي تقنيات ذات ثغرات أمنية مرتبطة بها؟

أزواج المضيف

أزواج المضيف هي قطعتان من البنية الأساسية (أصل وطفل) تشتركان في اتصال تمت ملاحظته من تتبع ارتباطات الويب للمستخدم الظاهري. يمكن أن يتراوح الاتصال من إعادة توجيه من المستوى الأعلى (HTTP 302) إلى شيء أكثر تعقيدا مثل مرجع مصدر iFrame أو البرنامج النصي.

تتضمن بيانات زوج المضيف لدينا المعلومات التالية:

  • اسم المضيف الأصل: المضيف الذي يشير إلى أصل أو "الوصول إلى" المضيف التابع
  • اسم المضيف التابع: المضيف الذي يتم استدعاؤه بواسطة المضيف الأصل
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft لأول مرة علاقة مع المضيف
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة وجود علاقة مع المضيف
  • السبب: نوع الاتصال بين اسم المضيف الأصل واسم المضيف التابع؛ وتشمل الأسباب المحتملة ما يلي:
    • script.src
    • link.href
    • اعاده توجيه
    • img.src
    • مجهول
    • xmlhttprequest
    • a.href
    • finalRedirect
    • css.import
    • صفحة الأصل
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

أزواج مضيف علامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • هل تم حظر أي من البيانات الاصطناعية المتصلة؟

  • هل تم وضع علامة على أي من البيانات الاصطناعية المتصلة (على سبيل المثال، التصيد الاحتيالي، APT، ضار، مريب، ممثل تهديد محدد)؟

  • هل يقوم هذا المضيف بإعادة توجيه المستخدمين إلى محتوى ضار؟

    مجموعات البيانات أزواج المضيف إعادة توجيه ضارة.

  • هل تسحب الموارد CSS أو الصور لإعداد هجمات التعدي؟

    هجوم انتهاك أزواج المضيفين لمجموعات البيانات.

  • هل تسحب الموارد في برنامج نصي أو تشير إلى link.href لإعداد هجوم Magecart أو التزحلق؟

    مجموعات البياناتمرجع المزلاج لأزواج المضيفين.

  • أين تتم إعادة توجيه المستخدمين من/إلى؟

  • ما نوع إعادة التوجيه الذي يحدث؟

الكوكيز

ملفات تعريف الارتباط هي أجزاء صغيرة من البيانات المرسلة من خادم إلى عميل أثناء استعراض المستخدم للإنترنت. تحتوي هذه القيم أحيانا على حالة للتطبيق أو أجزاء صغيرة من تعقب البيانات. يسلط Defender TI الضوء على أسماء ملفات تعريف الارتباط التي تمت ملاحظتها عند تتبع ارتباطات موقع ويب ويسمح لك بالتعمق في كل مكان لاحظنا فيه أسماء ملفات تعريف ارتباط محددة عبر تتبع الارتباطات وجمع البيانات. يستخدم المستخدمون الضارون أيضا ملفات تعريف الارتباط لتتبع الضحايا المصابين أو تخزين البيانات التي قد يستخدمونها لاحقا.

تتضمن بيانات ملفات تعريف الارتباط الخاصة بنا المعلومات التالية:

  • اسم المضيف: البنية الأساسية للمضيف المقترنة بملفات تعريف الارتباط
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft ملف تعريف الارتباط هذا لأول مرة على البيانات الاصطناعية
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة ملف تعريف الارتباط هذا على البيانات الاصطناعية
  • اسم: اسم ملف تعريف الارتباط (على سبيل المثال، JSESSIONID أو SEARCH_NAMESITE).
  • المجال: المجال المقترن بملفات تعريف الارتباط
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

ملفات تعريف الارتباط لعلامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما هي مواقع الويب الأخرى التي تصدر نفس ملفات تعريف الارتباط؟

    مجالات ملفات تعريف الارتباط لمجموعات البيانات التي تصدر ملف تعريف الارتباط نفسه.

  • ما هي مواقع الويب الأخرى التي تتعقب ملفات تعريف الارتباط نفسها؟

    مجالات ملفات تعريف الارتباط لمجموعات البيانات تتعقب ملف تعريف الارتباط نفسه.

  • هل يتطابق مجال ملف تعريف الارتباط مع استعلامي؟

  • كم عدد ملفات تعريف الارتباط المقترنة بالبيانات الاصطناعية؟

    رقم ملفات تعريف الارتباط لمجموعات البيانات المقترنة ب Artifact.

  • هل هناك أسماء أو مجالات فريدة لملفات تعريف الارتباط؟

  • ما هي الفترات الزمنية المرتبطة بملفات تعريف الارتباط؟

  • ما هو تكرار ملفات تعريف الارتباط أو التغييرات التي تمت ملاحظتها حديثا المرتبطة بملفات تعريف الارتباط؟

الخدمات

يتم استخدام أسماء الخدمة وأرقام المنافذ لتمييز الخدمات المختلفة التي تعمل عبر بروتوكولات النقل مثل TCP وUDP و DCCP و SCTP. يمكن أن تشير أرقام المنافذ إلى نوع التطبيق الذي يعمل على منفذ معين. ومع ذلك، يمكن تغيير التطبيقات أو الخدمات لاستخدام منفذ مختلف لتعتيم أو إخفاء التطبيق أو الخدمة على عنوان IP. يمكن أن تحدد معرفة معلومات المنفذ والرأس/الشعار التطبيق/الخدمة الحقيقية ومجموعة المنافذ المستخدمة. يظهر Defender TI 14 يوما من المحفوظات ضمن علامة التبويب Services ، ويعرض استجابة الشعار الأخيرة المقترنة بالمنفذ الذي تمت ملاحظته.

تتضمن بيانات خدماتنا المعلومات التالية:

  • المنافذ المفتوحة التي تمت ملاحظتها
  • أرقام المنافذ
  • مكونات
  • عدد المرات التي تمت فيها ملاحظة الخدمة
  • عندما تم مسح المنفذ آخر مرة ضوئيا
  • اتصال البروتوكول
  • حالة المنفذ
    • مفتوح
    • تصفيه
    • مغلق
  • استجابة الشعار

خدمات علامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما هي التطبيقات التي تعمل على منفذ معين لعنوان IP معين؟

    تطبيقات خدمات مجموعات البيانات قيد التشغيل.

  • ما هو إصدار التطبيقات قيد الاستخدام؟

  • هل هناك تغييرات حديثة في الحالة المفتوحة أو المصفاة أو المغلقة لمنفذ معين؟

    حالات منفذ خدمات مجموعات البيانات.

  • هل كانت الشهادة مقترنة بالاتصال؟

    اقترانات شهادات خدمات مجموعات البيانات.

  • هل التقنيات الضعيفة أو المهملة قيد الاستخدام على أصل معين؟

    تطبيقات خدمات مجموعات البيانات قيد التشغيل

    خدمة خدمات مجموعات البيانات الضعيفة

  • هل يتم الكشف عن المعلومات بواسطة خدمة قيد التشغيل يمكن استخدامها لأغراض شائنة؟

  • هل تتبع أفضل ممارسات الأمان؟

DNS

تقوم Microsoft بجمع سجلات DNS على مر السنين، مما يوفر لك نظرة ثاقبة حول تبادل البريد (MX) وخادم الأسماء (NS) والنص (TXT) وبدء السلطة (SOA) والاسم المتعارف عليه (CNAME) وسجلات المؤشر (PTR). يمكن أن تساعد مراجعة سجلات DNS في تحديد البنية الأساسية المشتركة التي يستخدمها المستخدمون عبر المجالات التي يمتلكونها. على سبيل المثال، يميل مستخدمو التهديد إلى استخدام نفس خوادم الأسماء لتقسيم بنيتهم الأساسية أو نفس خوادم تبادل البريد لإدارة أوامرهم والتحكم فيها.

تتضمن بيانات DNS الخاصة بنا المعلومات التالية:

  • القيمة: سجل DNS المقترن بالمضيف
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا السجل لأول مرة على البيانات الاصطناعية
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft آخر مرة هذا السجل على البيانات الاصطناعية
  • النوع: نوع البنية الأساسية المقترنة بالسجل؛ تتضمن الخيارات المحتملة ما يلي:
    • MX
    • النص
    • NS
    • CNAMES
    • SOA
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

DNS لعلامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما هي أجزاء البنية الأساسية الأخرى المرتبطة مباشرة بالمؤشر الذي أبحث عنه؟
  • كيف تغيرت البنية الأساسية بمرور الوقت؟
  • هل يستخدم مالك المجال خدمات شبكة تسليم المحتوى أو خدمة حماية العلامة التجارية؟
  • ما التقنيات الأخرى التي قد تستخدمها المؤسسة المرتبطة داخل شبكتها؟

عكس DNS

بينما يستعلم بحث DNS للأمام عن عنوان IP لاسم مضيف معين، يستعلم بحث DNS العكسي عن اسم مضيف معين لعنوان IP. تعرض مجموعة البيانات هذه نتائج مماثلة لنتائج DNS. يمكن أن تساعد مراجعة سجلات DNS في تحديد البنية الأساسية المشتركة التي يستخدمها المستخدمون عبر المجالات التي يمتلكونها. على سبيل المثال، تميل مجموعات المستخدمين إلى استخدام نفس خوادم الأسماء لتقسيم بنيتها الأساسية أو نفس خوادم تبادل البريد لإدارة أوامرها والتحكم فيها.

تتضمن بيانات DNS العكسية المعلومات التالية:

  • القيمة: قيمة سجل DNS العكسي
  • أول ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا السجل لأول مرة على البيانات الاصطناعية
  • آخر ظهور: طابع زمني للتاريخ الذي لاحظت فيه Microsoft هذا السجل لأول مرة على البيانات الاصطناعية
  • النوع: نوع البنية الأساسية المقترنة بالسجل؛ تتضمن الخيارات المحتملة ما يلي:
    • MX
    • النص
    • NS
    • CNAMES
    • SOA
  • العلامات: أي علامات يتم تطبيقها على هذه الأداة في Defender TI

DNS العكسي لعلامة تبويب البيانات

الأسئلة التي قد تساعد مجموعة البيانات هذه في الإجابة عليها:

  • ما سجلات DNS التي لاحظت هذا المضيف؟
  • كيف تغيرت البنية الأساسية التي لاحظت هذا المضيف بمرور الوقت؟

راجع أيضًا