إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
هام
سيتم إيقاف تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) ودمجها في Microsoft Defender للحصول على تجربة موحدة قوية. سيستمر العملاء الحاليون في الوصول الكامل إلى تجربة Defender TI الحالية حتى يتم إيقاف المنتج في 1 أغسطس 2026. معرفة المزيد
يوفر تحليل ذكي للمخاطر في Microsoft Defender (Defender TI) درجات سمعة خاصة لأي مضيف أو مجال أو عنوان IP. سواء كان التحقق من صحة سمعة كيان معروف أو غير معروف، تساعدك هذه النتيجة على فهم أي روابط تم اكتشافها للبنية الأساسية الضارة أو المشبوهة بسرعة. يوفر Defender TI معلومات سريعة حول نشاط هذه الكيانات (على سبيل المثال، الطوابع الزمنية الأولى والأخيرة وأرقام النظام المستقل والبنية الأساسية المرتبطة بها) وقائمة القواعد التي تؤثر على درجة السمعة عند الاقتضاء.
بيانات السمعة مهمة لفهم موثوقية سطح الهجوم الخاص بك وهي مفيدة أيضا عند تقييم المضيفين أو المجالات أو عناوين IP غير المعروفة التي تظهر في التحقيقات. تكشف هذه الدرجات عن أي نشاط ضار أو مريب سابق يؤثر على الكيان، أو مؤشرات التسوية المعروفة الأخرى (IOCs) التي يجب النظر فيها.
فهم درجات السمعة
يتم تحديد درجات السمعة من خلال سلسلة من الخوارزميات المصممة لتحديد المخاطر المرتبطة بوحدة بسرعة. نقوم بتطوير درجات السمعة استنادا إلى بياناتنا الخاصة باستخدام بنيتنا الأساسية للزحف وعلى معلومات IP التي تم جمعها من مصادر خارجية.
طرق الكشف
تحدد سلسلة من العوامل درجات السمعة، بما في ذلك الاقترانات المعروفة للكيانات المدرجة في القائمة المحظورة وسلسلة من قواعد التعلم الآلي المستخدمة لتقييم المخاطر.
أقواس تسجيل النقاط
يتم عرض درجات السمعة كدرجات رقمية مع نطاق من صفر إلى 100. لا يحتوي الكيان الذي يحتوي على درجة من 0 على اقترانات لنشاط مشبوه أو IOCs معروفة؛ تشير درجة 100 إلى أن الكيان ضار. يتم تجميع المضيفين والمجالات وعناوين IP في الفئات التالية اعتمادا على درجاتهم الرقمية:
| النتيجة | الفئة | الوصف |
|---|---|---|
| 75+ | خبيث | أكد الكيان اقترانات بالبنية الأساسية الضارة المعروفة التي تظهر في قائمة الحظر الخاصة بنا ويطابق قواعد التعلم الآلي التي تكشف عن النشاط المشبوه. |
| 50 – 74 | مشبوه | من المحتمل أن يكون الكيان مرتبطا بالبنية الأساسية المشبوهة استنادا إلى التطابقات مع ثلاث قواعد أو أكثر من قواعد التعلم الآلي. |
| 25 – 49 | محايد | يطابق الكيان قاعدتين على الأقل من قواعد التعلم الآلي. |
| 0 – 24 | غير معروف (أخضر) | أرجع الكيان قاعدة مطابقة واحدة على الأقل. |
| 0 – 24 | غير معروف (رمادي) | لم يرجع الكيان أي تطابقات للقاعدة. |
قواعد الكشف
تستند درجات السمعة إلى العديد من العوامل التي قد تشير إليها لتحديد الجودة النسبية للمجال أو العنوان. وتنعكس هذه العوامل في قواعد التعلم الآلي التي تتضمن درجات السمعة. على سبيل المثال، .xyz أو .cc مجالات المستوى الأعلى (TLDs) أكثر مشبوهة من .com أو .org TLDs. من المرجح أن يقترن رقم النظام المستقل (ASN) الذي يستضيفه موفر استضافة منخفض التكلفة أو مجاني بنشاط ضار، وكذلك شهادة TLS موقعة ذاتيا. تم تطوير نموذج السمعة هذا من خلال النظر في التكرارات النسبية لهذه الميزات بين كل من المؤشرات الضارة وغير الحميدة لتسجيل السمعة العامة للكيان.
راجع الجدول التالي للحصول على أمثلة للقواعد المستخدمة لتحديد ما إذا كان المضيف أو المجال أو عنوان IP مريبا.
هام
هذه القائمة ليست شاملة وتتغير باستمرار؛ منطق الكشف لدينا وقدراتنا اللاحقة ديناميكية لأنها تعكس مشهد التهديد المتطور. لهذا السبب، لا ننشر قائمة شاملة بقواعد التعلم الآلي المستخدمة لتقييم سمعة الكيان.
| اسم القاعدة | الوصف |
|---|---|
| شهادة TLS موقعة ذاتيا | قد تشير الشهادات الموقعة ذاتيا إلى سلوك ضار |
| تم وضع علامة على أنها ضارة | تم وضع علامة على أنه ضار من قبل عضو داخل مؤسستك |
| تمت ملاحظة مكونات الويب | قد يشير عدد مكونات الويب التي تمت ملاحظتها إلى وجود خبيثة |
| خادم الاسم | يستخدم المجال خادم اسم من المرجح أن تستخدمه البنية الأساسية الضارة |
| المسجل | من المرجح أن تكون المجالات المسجلة لدى جهة التسجيل هذه ضارة |
| موفر البريد الإلكتروني المسجل | يتم تسجيل المجال مع موفر بريد إلكتروني من المرجح أن يسجل مجالات ضارة |
من المهم أن نتذكر أنه يجب تقييم هذه العوامل بشكل كلي لإجراء تقييم دقيق لسمعة الكيان. يمكن للجمع المحدد بين المؤشرات، بدلا من أي مؤشر فردي، التنبؤ بما إذا كان الكيان من المحتمل أن يكون ضارا أو مريبا.
شده
القواعد التي تم إنشاؤها لنظام الكشف عن التعلم الآلي لها تصنيف خطورة مطبق. يتم تعيين خطورة عالية أو متوسطة أو منخفضة لكل قاعدة استنادا إلى مستوى المخاطر المقترنة بالقاعدة.
حالات الاستخدام
فرز الحوادث والاستجابة لها وتعقب التهديدات
يمكن استخدام درجة سمعة Defender TI وتصنيفها وقواعدها ووصفها لتقييم ما إذا كان عنوان IP أو مؤشر المجال جيدا أو مشبوها أو ضارا بسرعة. في أوقات أخرى، قد لا نلاحظ بنية أساسية كافية مرتبطة بعنوان IP أو مجال للاستدلال على ما إذا كان المؤشر جيدا أو سيئا. إذا كان المؤشر يحتوي على تصنيف غير معروف أو محايد، يتم تشجيعك على إجراء تحقيق أعمق من خلال مراجعة مجموعات البيانات الخاصة بنا للاستدلال على ما إذا كان المؤشر جيدا أو سيئا. إذا كانت سمعة المؤشر تتضمن اقتران مقال، يتم تشجيعك على مراجعة تلك المقالات المدرجة لمعرفة المزيد حول كيفية ارتباط المؤشر بحملة ممثل التهديد المحتمل؛ ما هي الصناعات أو الأمم التي قد تستهدفها؛ وما هي التقنيات والتكتيكات والإجراءات المرتبطة بها (TTPs) التي قد تكون لديهم؛ وتحديد IOCs الأخرى ذات الصلة لتوسيع نطاق الاستجابة للحادث وجهود التتبع.
جمع المعلومات الاستخباراتية
يمكنك مشاركة أي مقالات مرتبطة مع فريق التحليل الذكي للمخاطر، بحيث يكون لديهم فهم أوضح لمن قد يستهدف مؤسستهم.