Jeux de données

Microsoft centralise de nombreux jeux de données dans une plateforme unique, Microsoft Defender Threat Intelligence (Defender TI), ce qui permet à la communauté et aux clients de Microsoft d’effectuer plus facilement l’analyse de l’infrastructure. L’objectif principal de Microsoft est de fournir autant de données que possible sur l’infrastructure Internet afin de prendre en charge de nombreux cas d’usage de sécurité.

Microsoft collecte, analyse et indexe les données Internet pour aider les utilisateurs à effectuer les tâches suivantes :

• Détection et réponse aux menaces
• Hiérarchisation des incidents.
• Identification proactive de l’infrastructure associée aux groupes d’acteurs ciblant leurs organization.

Microsoft collecte des données Internet via son réseau de capteurs PDNS, son réseau proxy mondial d’utilisateurs virtuels, ses analyses de port et utilise des sources tierces pour les programmes malveillants et les données DNS (Domain Name System) ajoutées.

Ces données Internet sont classées en deux groupes distincts : traditionnel et avancé. Les jeux de données traditionnels incluent résolutions, Whois, certificats TLS, sous-domaines, DNS, DNS inversé et services. Les jeux de données avancés incluent les dispositifs de suivi, les composants, les paires d’hôtes et les cookies. Les dispositifs de suivi, les composants, les paires d’hôtes et les jeux de données cookies sont collectés à partir de l’observation des Document Object Model (DOM) des pages web analysés. En outre, les composants et les suivis sont également observés à partir des règles de détection déclenchées en fonction des réponses de bannière des analyses de port ou des détails du certificat TLS.

Résolutions

Le DNS passif (PDNS) est un système d’enregistrement qui stocke les données de résolution DNS pour un emplacement, un enregistrement et une période donnés. Ce jeu de données de résolution historique permet aux utilisateurs d’afficher les domaines résolus en adresse IP et vice versa. Ce jeu de données permet une corrélation basée sur le temps en fonction du chevauchement de domaine ou d’adresses IP. LE PDNS peut permettre l’identification d’une infrastructure d’acteur de menace précédemment inconnue ou nouvellement mise en place. L’ajout proactif d’indicateurs aux listes de blocage peut couper les chemins de communication avant que les campagnes n’ont lieu. Les données de résolution d’enregistrements sont disponibles sous l’onglet Jeu de données Résolutions. D’autres types d’enregistrements DNS sont disponibles dans l’onglet Jeu de données DNS.

Nos données de résolution PDNS incluent les informations suivantes :

• Résoudre : nom de l’entité de résolution (adresse IP ou domaine)
• Emplacement : emplacement dans lequel l’adresse IP est hébergée.
• Réseau : netblock ou sous-réseau associé à l’adresse IP.
• ASN : numéro de système autonome et nom de organization
• First Seen : horodatage qui affiche la date à laquelle nous avons observé cette résolution pour la première fois.
• Last Seen : horodatage qui affiche la date à laquelle nous avons observé cette résolution pour la dernière fois.
• Source : source qui a activé la détection de la relation.
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre

Domaines

• Quand le domaine a-t-il été observé pour la première fois en résolution en adresse IP par Defender TI ?

  

• Quand a-t-il été vu pour la dernière fois qu’il a été activement résolu en adresse IP par Defender TI ?

  

• Quelles sont les adresses IP actuellement résolues ?

  

Adresses IP

• L’adresse IP est-elle routable ?

  

• De quel sous-réseau fait-il partie ?

  

• Un propriétaire est-il associé au sous-réseau ?

  

• De quel AS fait-il partie ?

  

• Quelle géolocalisation y a-t-il ?

  

Whois

Des milliers de fois par jour, des domaines sont achetés et/ou transférés entre des individus et des organisations. Le processus est facile, ne prend que quelques minutes et peut être aussi bas que 7 $, selon le fournisseur du bureau d’enregistrement. Au-delà des détails de paiement, vous devez fournir des informations supplémentaires sur vous-même. Certaines de ces informations sont stockées dans le cadre d’un enregistrement Whois que le domaine a été configuré. Cette action serait considérée comme une inscription de domaine public. Toutefois, il existe des services d’enregistrement de domaine privés, où vous pouvez masquer vos informations personnelles dans l’enregistrement Whois de votre domaine. Dans ces situations, les informations du propriétaire du domaine sont sécurisées et remplacées par les informations de leur bureau d’enregistrement. Davantage de groupes d’acteurs effectuent des inscriptions de domaine privé pour rendre plus difficile pour les analystes de trouver d’autres domaines dont ils sont propriétaires. Defender TI fournit une variété de jeux de données pour rechercher l’infrastructure partagée des acteurs lorsque les enregistrements Whois ne fournissent pas de prospects.

Whois est un protocole qui permet à toute personne d’interroger des informations sur un domaine, une adresse IP ou un sous-réseau. L’une des fonctions les plus courantes de Whois dans la recherche sur l’infrastructure des menaces consiste à identifier ou à connecter des entités disparates en fonction de données uniques partagées dans les enregistrements Whois. Si vous avez acheté un domaine vous-même, vous avez peut-être remarqué que le contenu demandé aux bureaux d’enregistrement n’est jamais vérifié. En fait, vous auriez pu mettre n’importe quoi dans le dossier (et beaucoup de gens le font) qui serait ensuite affiché au monde.

Chaque enregistrement Whois comporte plusieurs sections différentes, qui peuvent toutes inclure des informations différentes. Les sections fréquemment trouvées incluent « bureau d’enregistrement », « inscrit », « administrateur » et « technique », chacune pouvant correspondre à un contact différent pour l’enregistrement. Souvent, ces données sont dupliquées entre les sections, mais dans certains cas, il peut y avoir de légères différences, en particulier si un acteur a fait une erreur. Lorsque vous affichez des informations Whois dans Defender TI, vous voyez un enregistrement condensé qui déduplique toutes les données et indique la partie de l’enregistrement dont elles proviennent. Nous avons constaté que ce processus accélère considérablement le flux de travail des analystes et évite tout oubli des données. Les informations Whois de Defender TI sont alimentées par la base de données WhoisIQ™.

Nos données Whois incluent les informations suivantes :

• Enregistrement mis à jour : horodatage qui indique le jour de la dernière mise à jour d’un enregistrement Whois.
• Dernière analyse : date à laquelle le système Defender TI a analysé l’enregistrement pour la dernière fois.
• Expiration : date d’expiration de l’inscription, si disponible.
• Créé : âge de l’enregistrement Whois actuel.
• Serveur Whois : le serveur est configuré par un bureau d’enregistrement accrédité par l’ICANN pour acquérir des informations à jour sur les domaines qui y sont inscrits.
• Bureau d’enregistrement : service de bureau d’enregistrement utilisé pour inscrire l’artefact.
• État du domaine : status actuel du domaine. Un domaine « actif » est disponible sur Internet.
• Email : toutes les adresses e-mail trouvées dans l’enregistrement Whois, ainsi que le type de contact auquel chacune d’elles est associée (par exemple, administrateur, technologie).
• Nom : nom de tous les contacts dans l’enregistrement, ainsi que le type de contact auquel chacun est associé.
• Organisation : le nom de toutes les organisations dans l’enregistrement et le type de contact auquel chacune d’elles est associée.
• Rue : toutes les adresses postales associées à l’enregistrement et le type de contact correspondant.
• Ville : toute ville répertoriée dans une adresse associée à l’enregistrement et le type de contact correspondant.
• État : tous les états répertoriés dans une adresse associée à l’enregistrement et le type de contact correspondant.
• Code postal : tous les codes postaux répertoriés dans une adresse associée à l’enregistrement et le type de contact correspondant.
• Pays : tous les pays répertoriés dans une adresse associée à l’enregistrement et le type de contact correspondant.
• Téléphone : tous les numéros de téléphone répertoriés dans l’enregistrement et le type de contact correspondant.
• Serveurs de noms : tous les serveurs de noms associés à l’entité inscrite.

Recherches Whois actuelles

Le référentiel Whois actuel de Defender TI met en évidence tous les domaines de la collection Whois de Microsoft qui sont actuellement enregistrés et associés à l’attribut Whois d’intérêt. Ces données mettent en évidence la date d’inscription et d’expiration du domaine, ainsi que l’adresse e-mail utilisée pour inscrire le domaine. Ces données sont affichées sous l’onglet Whois Recherche de la plateforme.

Recherches whois historiques

Le dépôt Whois History de Defender TI permet aux utilisateurs d’accéder à toutes les associations de domaines historiques connues pour les attributs Whois en fonction des observations du système. Ce jeu de données met en évidence tous les domaines associés à un attribut qu’un utilisateur affiche la première fois et la dernière fois que nous avons observé l’association entre le domaine et l’attribut interrogé. Ces données sont affichées dans un onglet distinct en regard de l’onglet Whois Recherche actuel.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quelle est l’ancienneté du domaine ?

  

• Les informations semblent-elles protégées par la vie privée ?

  

• Les données semblent-elles uniques ?

  

• Quels serveurs de noms sont utilisés ?

  

• Ce domaine est-il un domaine de puits ?

  

• Ce domaine est-il un domaine parqué ?

  

• Ce domaine est-il un domaine honeypot ?

  

• Y a-t-il un historique ?

  

• Y a-t-il de faux e-mails de protection de la vie privée ?

  

• Y a-t-il de faux noms dans l’enregistrement Whois ?

• Avez-vous identifié d’autres E/S connexes en recherchant des valeurs Whois potentiellement partagées entre les domaines ?

  

Certificats

Au-delà de la sécurisation de vos données, les certificats TLS constituent un excellent moyen pour les utilisateurs de connecter une infrastructure réseau disparate. Les techniques d’analyse modernes nous permettent d’effectuer des demandes de données sur chaque nœud sur Internet en quelques heures. En d’autres termes, nous pouvons facilement et régulièrement associer un certificat à une adresse IP qui l’héberge.

À l’instar d’un enregistrement Whois, les certificats TLS nécessitent que les informations soient fournies par l’utilisateur pour générer le produit final. Outre le domaine, le certificat TLS inclut les personnes pour lesquelles le certificat est créé (sauf s’il est auto-signé). L’utilisateur peut créer les informations supplémentaires. Là où les utilisateurs de Microsoft voient le plus de valeur des certificats TLS, ce n’est pas nécessairement les données uniques que quelqu’un peut utiliser lors de la génération du certificat, mais l’emplacement où il est hébergé.

Pour accéder à un certificat TLS, il doit être associé à un serveur web et exposé via un port particulier (le plus souvent 443). À l’aide d’analyses Internet de masse sur une base hebdomadaire, il est possible d’analyser toutes les adresses IP et d’obtenir n’importe quel certificat hébergé pour créer un référentiel historique de données de certificat. Disposer d’une base de données d’adresses IP avec des mappages de certificats TLS permet aux utilisateurs d’identifier les chevauchements dans l’infrastructure.

Pour illustrer ce concept, imaginez qu’un acteur configure un serveur avec un certificat TLS auto-signé. Après plusieurs jours, les défenseurs deviennent sages pour leur infrastructure et bloquent le serveur web hébergeant du contenu malveillant. Au lieu de détruire tout leur travail acharné, l’acteur copie simplement tout le contenu (y compris le certificat TLS) et les place sur un nouveau serveur. En tant qu’utilisateur, une connexion peut maintenant être établie à l’aide de la valeur SHA-1 unique du certificat pour indiquer que les deux serveurs web (un bloqué, un inconnu) sont connectés d’une certaine manière.

Ce qui rend les certificats TLS plus précieux, c’est qu’ils sont capables d’établir des connexions que les données DNS ou Whois passives peuvent manquer. Cela signifie davantage de moyens de corrélater l’infrastructure malveillante potentielle et d’identifier les défaillances de sécurité opérationnelles potentielles des acteurs. Defender TI a collecté plus de 30 millions de certificats entre 2013 et aujourd’hui et fournit aux utilisateurs les outils nécessaires pour établir des corrélations sur le contenu et l’historique des certificats.

Les certificats TLS sont des fichiers qui lient numériquement une clé de chiffrement à un ensemble de détails fournis par l’utilisateur. Defender TI utilise des techniques d’analyse Internet pour collecter des associations de certificats TLS à partir d’adresses IP sur différents ports. Ces certificats sont stockés dans une base de données locale et nous permettent de créer un chronologie où un certificat TLS donné est apparu sur Internet.

Nos données de certificat incluent les informations suivantes :

• Sha1 : hachage de l’algorithme SHA1 pour une ressource de certificat TLS.
• First Seen : horodatage qui affiche la date à laquelle nous avons observé ce certificat pour la première fois sur un artefact.
• Last Seen : horodatage qui affiche la date à laquelle nous avons observé ce certificat pour la dernière fois sur un artefact.
• Infrastructure : toute infrastructure associée associée au certificat.

Lorsqu’un utilisateur développe un hachage SHA1, il voit les détails suivants** :

• Numéro de série : numéro de série associé à un certificat TLS.
• Émis : date à laquelle un certificat a été émis.
• Expire : date d’expiration d’un certificat.
• Nom commun de l’objet : nom commun de l’objet pour tous les certificats TLS associés.
• Nom commun de l’émetteur : nom commun de l’émetteur pour tous les certificats TLS associés.
• Autre(s) nom(s) de l’objet : tout autre nom commun pour le certificat TLS.
• Autre(s) nom(s) de l’émetteur : tous les noms supplémentaires de l’émetteur.
• Nom de l’organisation de l’objet : le organization lié à l’inscription du certificat TLS.
• Nom de l’organisation de l’émetteur : nom du organization qui a orchestré l’émission d’un certificat.
• Version SSL : version de SSL/TLS avec laquelle le certificat a été inscrit.
• Unité d’organisation de l’objet : métadonnées facultatives qui indiquent le service au sein d’un organization responsable du certificat.
• Unité d’organisation de l’émetteur : informations supplémentaires sur la organization émettrice du certificat.
• Adresse de la rue de l’objet : adresse postale où se trouve le organization.
• Adresse postale de l’émetteur : adresse postale où se trouve l’émetteur organization.
• Localité de l’objet : ville où se trouve le organization.
• Localité de l’émetteur : ville où se trouve l’émetteur organization.
• État/province de l’objet : État ou province où se trouve le organization.
• État/province de l’émetteur : état ou province où se trouve l’émetteur organization.
• Pays de l’objet : pays où se trouve le organization.
• Pays de l’émetteur : pays où se trouve l’émetteur organization.
• Infrastructure associée : toute infrastructure associée associée au certificat.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• À quelle autre infrastructure ce certificat a-t-il été observé ?

  

• Existe-t-il des points de données uniques dans le certificat qui serviraient de bons points de tableau croisé dynamique ?

  

• Le certificat est-il auto-signé ?

  

• Le certificat provient-il d’un fournisseur gratuit ?

  

• Pendant quelle période le certificat a-t-il été observé en cours d’utilisation ?

  

Sous-domaines

Un sous-domaine est un domaine Internet, qui fait partie d’un domaine principal. Les sous-domaines sont également appelés « hôtes ». Par exemple,learn.microsoft.com est un sous-domaine de microsoft.com. Pour chaque sous-domaine, il peut y avoir un nouvel ensemble d’adresses IP vers lesquelles le domaine est résolu, ce qui peut être une source de données idéale pour rechercher l’infrastructure associée.

Nos données de sous-domaine incluent les informations suivantes :

• Nom d’hôte : sous-domaine associé au domaine qui a fait l’objet d’une recherche.
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Existe-t-il d’autres sous-domaines associés au domaine de niveau supérieur ?

  

• Des sous-domaines sont-ils associés à une activité malveillante ?

  

• Si vous êtes propriétaire de ce domaine, les sous-domaines vous semblent-ils inconnus ?

• Existe-t-il un modèle pour les sous-domaines répertoriés associés à d’autres domaines malveillants ?

• Le tableau croisé dynamique hors de chaque sous-domaine révèle-t-il un nouvel espace IP qui n’est pas précédemment associé à la cible ?

• Quelle autre infrastructure non liée pouvez-vous trouver qui ne correspond pas au domaine racine ?

Trackers

Les traceurs sont des codes ou des valeurs uniques qui se trouvent dans les pages web et sont souvent utilisés pour suivre l’interaction de l’utilisateur. Ces codes peuvent être utilisés pour corréler un groupe disparate de sites web à une entité centrale. Souvent, les acteurs copient le code source du site web d’une victime qu’ils cherchent à emprunter l’identité pour une campagne d’hameçonnage. Les acteurs prennent rarement le temps de supprimer ces ID qui permettent aux utilisateurs d’identifier ces sites frauduleux à l’aide du jeu de données Trackers de Microsoft. Les acteurs peuvent également déployer des ID de suivi pour voir le succès de leurs campagnes de cyberattaque. Cette activité est similaire aux spécialistes du marketing lorsqu’ils tirent parti des ID SEO, tels qu’un ID de suivi Google Analytics, pour suivre le succès de leur campagne marketing.

Le jeu de données Tracker de Microsoft inclut des ID de fournisseurs tels que Google, Yandex, Mixpanel, New Relic, Clicky et continue de croître.

Nos données de suivi incluent les informations suivantes :

• Nom d’hôte : nom d’hôte qui héberge l’infrastructure dans laquelle le suivi a été détecté.
• First Seen : horodatage qui affiche la date à laquelle nous avons observé ce suivi pour la première fois sur l’artefact.
• Last Seen : horodatage qui affiche la date à laquelle nous avons observé ce suivi pour la dernière fois sur l’artefact.
• Type : type de suivi détecté (par exemple, GoogleAnalyticsID, JarmHash).
• Valeur : valeur d’identification du dispositif de suivi.
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Existe-t-il d’autres ressources utilisant les mêmes ID d’analytique ?

  

• Ces ressources sont-elles associées à l’organization ou tentent-elles de mener une attaque d’infraction ?

• Existe-t-il des chevauchements entre les suivis , qui sont-ils partagés avec d’autres sites web ?

• Quels sont les types de suivis trouvés dans la page web ?

  

• Quelle est la durée des suivis ?

  

• Quelle est la fréquence de modification des valeurs de suivi : arrivent-elles, partent-elles ou restent-elles ?

• Existe-t-il des traceurs qui se connectent à un logiciel de clonage de site web (MarkOfTheWeb ou HTTrack) ?

  

• Existe-t-il des suivis qui sont reliés à des programmes malveillants du serveur C2 (JARM) ?

  

Composants

Les composants web sont des détails décrivant une page web ou une infrastructure de serveur glanée à partir de Microsoft effectuant une analyse ou une analyse web. Ces composants permettent à un utilisateur de comprendre la composition d’une page web ou la technologie et les services qui pilotent un élément d’infrastructure spécifique. Le pivot sur des composants uniques peut trouver l’infrastructure des acteurs ou d’autres sites qui sont compromis. Les utilisateurs peuvent également comprendre si un site web peut être vulnérable à une attaque ou à une compromission spécifique en fonction des technologies qu’il exécute.

Nos données de composant incluent les informations suivantes :

• Nom d’hôte : nom d’hôte qui héberge l’infrastructure dans laquelle le composant a été détecté.
• First Seen : horodatage de la date à laquelle nous avons observé ce composant pour la première fois sur l’artefact.
• Last Seen : horodatage de la date à laquelle nous avons observé ce composant pour la dernière fois sur l’artefact.
• Catégorie : type de composant détecté (par exemple, système d’exploitation, infrastructure, accès à distance, serveur).
• Nom + Version : nom du composant et version en cours d’exécution sur l’artefact (par exemple, Microsoft IIS (v8.5).
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quelle infrastructure vulnérable utilisez-vous ?

  

  

  Magento v1.9 est tellement daté que Microsoft n’a pas pu trouver de documentation fiable pour cette version particulière.

• Quels composants web uniques l’acteur de menace utilise-t-il pour les suivre dans d’autres domaines ?

• Des composants sont-ils marqués comme malveillants ?

• Quel est le nombre de composants web identifiés ?

  

• Y a-t-il des technologies uniques ou étranges que l’on ne voit pas souvent ?

  

• Existe-t-il de fausses versions de technologies spécifiques ?

• Quelle est la fréquence des modifications apportées aux composants web, souvent ou rarement effectuées ?

• Existe-t-il des bibliothèques suspectes connues pour être abusées ?

• Existe-t-il des technologies avec des vulnérabilités associées ?

Paires d’hôtes

Les paires d’hôtes sont deux éléments d’infrastructure (un parent et un enfant) qui partagent une connexion observée à partir de l’analyse web d’un utilisateur virtuel. La connexion peut aller d’une redirection de niveau supérieur (HTTP 302) à quelque chose de plus complexe, comme une référence de source d’iframe ou de script.

Nos données de paire d’hôtes incluent les éléments suivants :

• Nom d’hôte parent : hôte qui référence une ressource ou « contacte » l’hôte enfant
• Nom d’hôte enfant : hôte appelé par l’hôte parent
• First Seen : horodatage de la date à laquelle nous avons observé pour la première fois une relation avec l’hôte.
• Last Seen : horodatage de la date à laquelle nous avons observé une relation avec l’hôte pour la dernière fois.
• Cause : type de connexion entre le nom d’hôte parent et le nom d’hôte enfant. Les causes potentielles incluent les connexions script.src, link.href, redirect, img.src, unknown, xmlhttprequest, a.href, finalRedirect, css.import ou parentPage.
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• L’un des artefacts connectés a-t-il été bloqué ?

• L’un des artefacts connectés a-t-il été marqué (hameçonnage, APT, malveillant, suspect, nom de l’acteur de menace) ?

• Cet hôte redirige-t-il les utilisateurs vers du contenu malveillant ?

  

• Les ressources sont-elles extraites dans des css ou des images pour configurer des attaques d’infraction ?

  

• Les ressources sont-elles extraites dans un script ou font référence à un fichier link.href pour configurer une attaque Magecart ou skimming ?

  

• Où les utilisateurs sont-ils redirigés depuis/vers ?

• Quel type de redirection a lieu ?

Cookies

Les cookies sont de petits éléments de données envoyés d’un serveur à un client lorsque l’utilisateur navigue sur Internet. Ces valeurs contiennent parfois un état pour l’application ou de petits bits de données de suivi. Defender TI met en évidence et indexe les noms de cookies observés lors de l’analyse d’un site web et permet aux utilisateurs d’explorer partout où nous avons observé des noms de cookies spécifiques dans son analyse et sa collecte de données. Les cookies sont également utilisés par des acteurs malveillants pour effectuer le suivi des victimes infectées ou stocker des données à utiliser ultérieurement.

Nos données de cookies incluent les informations suivantes :

• Nom d’hôte : infrastructure hôte associée au cookie.
• First Seen : horodatage de la date à laquelle nous avons observé ce cookie pour la première fois sur l’artefact.
• Last Seen : horodatage de la date à laquelle nous avons observé ce cookie pour la dernière fois sur l’artefact.
• Nom : nom du cookie (par exemple, JSESSIONID, SEARCH_NAMESITE).
• Domaine : domaine associé au cookie.
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quels autres sites web émettent les mêmes cookies ?

  

• Quels autres sites web effectuent le suivi des mêmes cookies ?

  

• Le domaine de cookie correspond-il à votre requête ?

• Quel est le nombre de cookies associés à l’artefact ?

  

• Existe-t-il des noms de cookies ou des domaines uniques ?

• Quelles sont les périodes associées aux cookies ?

• Quelle est la fréquence des cookies récemment observés ou des modifications associées aux cookies ?

Services

Les noms de service et les numéros de port sont utilisés pour faire la distinction entre les différents services qui s’exécutent sur des protocoles de transport tels que TCP, UDP, DCCP et SCTP. Les numéros de port peuvent suggérer le type d’application en cours d’exécution sur un port particulier. Toutefois, les applications ou les services peuvent être modifiés pour utiliser un port différent afin d’obfusquer ou de masquer le service ou l’application sur une adresse IP. Connaître les informations de port et d’en-tête/bannière peut identifier l’application/le service véritable et la combinaison de ports utilisés. Defender TI affiche 14 jours d’historique dans l’onglet Services, affichant la dernière réponse de bannière associée à un port observé.

Les données de nos services incluent les informations suivantes :

• Ports ouverts observés
• Numéros de port
• Composants
• Nombre de fois où le service a été observé
• Quand le port a été analysé pour la dernière fois
• Connexion de protocole
• État du port
  • Ouvrir
  • Filtrée
  • Fermé
• Réponse de bannière

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quelles applications s’exécutent sur un port particulier pour une adresse IP donnée ?

  

• Quelle est la version des applications en cours d’utilisation ?

  

• Y a-t-il des modifications récentes dans les status ouverts, filtrés ou fermés pour un port donné ?

  

• Un certificat a-t-il été associé à la connexion ?

  

• Les technologies vulnérables ou déconseillées sont-elles utilisées sur une ressource donnée ?

  

  

• Les informations sont-elles exposées par un service en cours d’exécution qui pourrait être utilisé à des fins néfastes ?

• Les meilleures pratiques en matière de sécurité sont-elles suivies ?

DNS

Microsoft a collecté des enregistrements DNS au fil des ans, fournissant aux utilisateurs des informations sur les enregistrements d’échange de courrier (MX), les enregistrements de serveur de noms (NS), les enregistrements texte (TXT), les enregistrements SOA (start of authority), les enregistrements CNAME (nom canonique) et les enregistrements de pointeur (PTR). L’examen des enregistrements DNS peut être utile pour identifier l’infrastructure partagée utilisée par les acteurs dans les domaines dont ils sont propriétaires. Par exemple, les groupes d’acteurs ont tendance à utiliser les mêmes serveurs de noms pour segmenter leur infrastructure ou les mêmes serveurs d’échange de courrier pour administrer leur commande et leur contrôle.

Nos données DNS incluent les informations suivantes :

• Valeur : enregistrement DNS associé à l’hôte.
• First Seen : horodatage qui affiche la date à laquelle nous avons observé cet enregistrement pour la première fois sur l’artefact.
• Last Seen : horodatage qui affiche la date à laquelle nous avons observé cet enregistrement pour la dernière fois sur l’artefact.
• Type : type d’infrastructure associé à l’enregistrement. Les options possibles incluent les enregistrements MX (Mail Servers), text files (TXT), NS (Name Servers), CNAMES et Start of Authority (SOA).
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quels autres éléments d’infrastructure sont directement liés à l’indicateur que je recherche ?
• Comment l’infrastructure a-t-elle changé au fil du temps ?
• Le propriétaire du domaine utilise-t-il les services d’un réseau de distribution de contenu ou d’un service de protection de la marque ?
• Quelles autres technologies les organization associées peuvent-elles utiliser au sein de leur réseau ?

DNS inversé

Alors qu’une recherche DNS directe interroge l’adresse IP d’un certain nom d’hôte, une recherche DNS inversée interroge un nom d’hôte spécifique d’une adresse IP. Ce jeu de données affiche des résultats similaires à ceux du jeu de données DNS. L’examen des enregistrements DNS peut être utile pour identifier l’infrastructure partagée utilisée par les acteurs dans les domaines dont ils sont propriétaires. Par exemple, les groupes d’acteurs ont tendance à utiliser les mêmes serveurs de noms pour segmenter leur infrastructure ou les mêmes serveurs d’échange de courrier pour administrer leur commande et leur contrôle.

Nos données DNS inversées incluent les informations suivantes :

• Valeur : valeur de l’enregistrement DNS inverse.
• First Seen : horodatage de la date à laquelle nous avons observé cet enregistrement pour la première fois sur l’artefact.
• Last Seen : horodatage de la date à laquelle nous avons observé cet enregistrement pour la première fois sur l’artefact.
• Type : type d’infrastructure associé à l’enregistrement. Les options possibles incluent les enregistrements MX (Mail Servers), text files (TXT), NS (Name Servers), CNAMES et Start of Authority (SOA).
• Tags : toutes les balises appliquées à cet artefact dans le système Defender TI.

Questions auxquelles ce jeu de données peut vous aider à répondre :

• Quels enregistrements DNS ont observé cet hôte ?
• Comment l’infrastructure qui a observé cet hôte a-t-elle changé au fil du temps ?

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Recherche et pivotage
• Tri, filtrage et téléchargement de données
• Chaînage d’infrastructure
• Tutoriel : Collecte de renseignements sur les menaces et chaînage d’infrastructure