ערכות נתונים

  • מאמר

חשוב

ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף

Microsoft מרכזת ערכות נתונים רבות לתוך בינת איומים של Microsoft Defender (Defender TI) ומקלה על הלקוחות והקהילה של Microsoft לבצע ניתוח תשתית. ההתמקדות העיקרית של Microsoft היא לספק נתונים רבים ככל האפשר לגבי תשתית האינטרנט כדי לתמוך במקרים שונים של שימושי אבטחה.

Microsoft אוספת, מנתחת ואינדקסה נתוני אינטרנט כדי לעזור לך:

  • זיהוי איומים ומענה לאיומים
  • קביעת סדרי עדיפויות של אירועים
  • זיהוי יזום של תשתית המשויכת לקבוצות מעוררים הממקדות את הארגון שלך

Microsoft אוספת נתוני אינטרנט באמצעות רשת חיישן מערכת שמות התחומים הספקטיבית שלה (PDNS), רשת Proxy כללית של משתמשים וירטואליים, סריקות יציאה ומקורות אחרים לאיתור תוכנות זדוניות והוספת נתוני DNS.

נתוני אינטרנט אלה מחולקים לשתי קבוצות נפרדות: מסורתיות ומתקדמות. ערכות נתונים מסורתיות כוללות:

ערכות נתונים מתקדמות כוללות:

ערכות נתונים מתקדמות נאספות מצופים במודל אובייקטי המסמך (DOM) של דפי אינטרנט סרוקים. בנוסף, רכיבים ועוקבים נצפו גם מתוך כללי זיהוי המופעלים בהתבסס על תגובות כרזה מסריקה יציאה או פרטי אישור TLS.

צילום מסך של מיון ערכות נתונים.

החלטות

PDNS היא מערכת רשומות המאחסנת נתוני זיהוי DNS עבור מיקום, רשומה ומסגרת זמן מסוימים. ערכת נתונים זו של פתרון היסטורי מאפשרת לך להציג אילו תחומים זוהו לכתובת IP ולהיפך. ערכת נתונים זו מאפשרת מיתאם מבוסס זמן בהתבסס על תחום או חפיפה של IP.

PDNS עשוי לאפשר זיהוי של תשתית מעוררים שהוצגה בעבר כ'לא ידוע' או 'חדש'. תוספת יזומה של מחוונים לרשימת חסימות יכולה לגזור נתיבי תקשורת לפני ביצוע קמפיינים. נתוני רזולוציית רשומה זמינים בכרטיסיה רזולוציות, הממוקמת בדף של סייר Intel בפורטל Microsoft Defender. סוגים נוספים של רשומות DNS זמינים בכרטיסיה DNS .

נתוני פתרון PDNS שלנו כוללים את המידע הבא:

  • זיהוי: שם הישות לפתרון (כתובת IP או תחום)
  • מיקום: המיקום שבו מתארחת כתובת ה- IP
  • רשת: ה- netblock או רשת המשנה המשויכים לכתובת ה- IP
  • ASN: מספר המערכת האוטומטית (ASN) ואת שם הארגון
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התצפתה לראשונה ברזולוציה זו
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התצפתה לאחרונה ברזולוציה זו
  • מקור: המקור ש אפשר את הזיהוי של קשר הגומלין.
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI (מידע נוסף)

פתרונות כרטיסיית נתונים.

שאלות שערכת נתונים זו עשויה להשיב עליהן

תחומים

  • מתי התבוננו לראשונה ב- TI של Defender לפתרון התחום לכתובת IP?

    תחום ערכות הנתונים נראה לראשונה.

  • מתי הייתה הפעם האחרונה ש- Defender TI ראה את התחום בפתרון פעיל של כתובת IP?

  • לאילו כתובות IP התחום מציין כעת?

    פתרונות פעילים של תחום ערכות נתונים.

כתובות IP

  • האם כתובת ה- IP ניתנת לניתוב?

    ערכות נתונים של IP הניתנות לניתוב.

  • באיזו רשת משנה נמצא חלק כתובת ה- IP?

    רשת משנה של כתובת IP של ערכות נתונים.

  • האם יש בעלים המשויך אל רשת המשנה?

    בעלי כתובת ה- IP של ערכות הנתונים.

  • מהו חלק כתובת ה- IP?

    ASN של כתובת IP של ערכות נתונים.

  • האם יש מיקום גיאוגרפי?

    מיקום גיאוגרפי של כתובת IP של ערכות נתונים.

WHOIS

אלפי פעמים ביום, תחומים נקנים ו/או מועברים בין אנשים וארגונים. התהליך קל, אורכת דקות ספורות בלבד, והתהליך יכול להיות נמוך עד $7, בהתאם לספק הרשם. מעבר לפרטי התשלום, יש לספק מידע נוסף אודות עצמם. חלק ממידע זה מאוחסן כחלק מרשומת WHOIS שהתחום הוגדר. פעולה זו תיחשב לרישום תחום ציבורי. עם זאת, קיימים שירותי רישום תחומים פרטיים, שבהם ניתן להסתיר את המידע האישי שלהם מרשומת ה- WHOIS של התחום שלהם. במצבים אלה, פרטי בעלי התחום בטוחים מוחלפים על-ידי פרטי הרשם שלהם. קבוצות מעוררים נוספות מבצעות רישומי תחומים פרטיים כדי להקל על האנליסטים למצוא תחומים אחרים בבעלותם. Defender TI מספק ערכות נתונים שונות לאיתור תשתית משותפת של השחקנים כאשר רשומות WHOIS אינן מספקות הפניות.

WHOIS הוא פרוטוקול המאפשר לכל אחד לבצע שאילתה במידע אודות תחום, כתובת IP או רשת משנה. אחת מהפונקציות הנפוצות ביותר עבור WHOIS במחקר תשתית איומים היא לזהות או לחבר ישויות נפרדות בהתבסס על נתונים ייחודיים ששותפו ברהרשומות של WHOIS. אם אי פעם רכשת תחום בעצמך, ייתכן שהבחנו שהתוכן המבוקש מהרשם לעולם לא מאומת. למעשה, אתה יכול לשים כל דבר ברשומה (ואנשים רבים עושים), אשר לאחר מכן יוצג לעולם.

כל רשומת WHOIS כוללת כמה מקטעים שונים, אשר כולם עשויים לכלול מידע שונה. מקטעים שנמצאים בדרך כלל כוללים רשם, רישום, מנהל מערכת וט טכנית, כאשר כל אחד מהם עשוי להיות תואם איש קשר אחר עבור הרשומה. נתונים אלה משוכפלים בין מקטעים ברוב המקרים, אך עשויים להיות כמה אי התאמות, במיוחד אם שחקן עשה טעות. בעת הצגת מידע WHOIS בתוך Defender TI, תראה רשומה דחוסה המשכפלת נתונים כלשהם ומציין באיזה חלק של הרשומה הם הגיעו. מצאנו שתהליך זה מאי המהיר ביעילות את זרימת העבודה של האנליסטים וימנע התתעלם מנתונים. המידע WHOIS של Defender TI מופעל באמצעות מסד הנתונים WhoisIQ™.

נתוני WHOIS שלנו כוללים את המידע הבא:

  • רשומה עודכנה: חותמת זמן המציינת את היום שבו רשומת WHOIS עודכנה לאחרונה
  • סריקה אחרונה: התאריך שבו מערכת ה- TI של Defender סרקה לאחרונה את הרשומה
  • התפוגה: תאריך התפוגה של הרישום, אם זמין
  • שנוצרו: הגיל של רשומת WHOIS הנוכחית
  • שרת WHOIS: השרת הוגדר על-ידי רשם מוכר של ICANN כדי להשיג מידע מעודכן אודות תחומים הרשומים בתוכו
  • רשם: שירות הרשם המשמש לרישום החפץ
  • מצב תחום: המצב הנוכחי של התחום; תחום "פעיל" נמצא בשידור חי באינטרנט
  • דוא ל: כל כתובות הדואר האלקטרוני שנמצאו ברשומת WHOIS וסוג איש הקשר שכל אחת מהן משויכת לו (לדוגמה, מנהל מערכת או טכנולוגיה)
  • שם: השם של אנשי קשר כלשהם בתוך הרשומה וסוג איש הקשר שכל אחד מהם משויך
  • הארגון: השם של ארגונים בתוך הרשומה וסוג איש הקשר שכל אחד מהם משויך
  • רחוב: כל כתובת רחוב המשויכת לרשומה וסוג איש הקשר המתאים
  • העיר: כל עיר שמופיעה בכתובת המשויכת לרשומה וסוג איש הקשר המתאים
  • המדינה: כל המדינות המפורטות בכתובת המשויכת לרשומה וסוג איש הקשר המתאים
  • מיקוד: כל קודי המיקוד המפורטים בכתובת המשויכת לרשומה וסוג איש הקשר המתאים
  • המדינה: כל המדינות או האזורים המפורטים בכתובת המשויכת לרשומה וסוג איש הקשר המתאים
  • הטלפון: כל מספרי הטלפון הרשומים ברשומה וסוג איש הקשר המתאים
  • שרתי שמות: כל שרתי השמות המשויכים לישות הרשומה

בדיקות מידע נוכחיות של WHOIS

מאגר WHOIS הנוכחי של Defender TI מסמן את כל התחומים באוסף WHOIS של Microsoft הרשום כעת, המשויך לתכונה WHOIS של תחום עניין. נתונים אלה מדגישים את תאריך הרישום והתפוגה של התחום, יחד עם כתובת הדואר האלקטרוני המשמשת לרישום התחום. נתונים אלה מוצגים בכרטיסיה WHOIS חיפוש של הפלטפורמה.

הכרטיסיה 'נתונים', WHOIS.

בדיקות מידע היסטוריות של WHOIS

מאגר ההיסטוריה WHOIS של Defender TI מספק למשתמשים גישה לכל שיוכי התחומים ההיסטוריים הידועים לתכונות WHOIS בהתבסס על תצפיות המערכת. ערכת נתונים זו מסמנת את כל התחומים המשויכים לתכונה שמציגה המשתמש את התצוגה הראשונה והאחרונה שבה נתקלנו בשיוך בין התחום לתכונה שנערכה שאילתה. נתונים אלה מוצגים בכרטיסיה נפרדת לצד הכרטיסיה הנוכחית WHOIS .

חיפוש WHOIS.

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • בן כמה התחום?

    ערכות נתונים גיל תחום WHOIS.

  • האם נראה שהמידע מוגן על-ידי פרטיות?

    ערכות נתונים מוגנות על-ידי WHOIS.

  • האם נראה שהנתונים הם ייחודיים?

    ערכות נתונים WHOIS ייחודיות.

  • באילו שרתי שמות נעשה שימוש?

    ערכות נתונים של שרתי שמות WHOIS.

  • האם תחום זה הוא תחום בור בור?

    בור כיור של WHOIS של ערכות נתונים.

  • האם תחום זה הוא תחום חניה?

    ערכות נתונים, WHOIS, החנה תחום.

  • האם תחום זה הוא תחום של נקודה חלת דבש?

    Data sets WHOIS honeypot domain.

  • האם יש היסטוריה כלשהי?

    היסטוריית WHOIS של ערכות נתונים.

  • האם יש הודעות דואר אלקטרוני מזויפות להגנה על פרטיות?

    ערכות נתונים הודעות דואר אלקטרוני מזויפות של WHOIS בנושא פרטיות.

  • האם יש שמות מזויפים ברשומת WHOIS?

  • האם רכיבי IOC קשורים אחרים מזוהים מחיפוש מול ערכי WHOIS העשויים להיות משותפים בין תחומים?

    חיפוש ערכים משותפים של WHOIS בערכות נתונים.

    ערכות נתונים, טלפון חיפוש ערך משותף של WHOIS.

אישורים

מעבר לאבטחת הנתונים שלך, אישורי TLS הם דרך נפלאה לחיבור תשתית רשת שונה. טכניקות סריקה מודרניות מאפשרות לנו לבצע בקשות נתונים כנגד כל צומת באינטרנט בתוך שעות. במילים אחרות, אנו יכולים לשייך אישור לכתובת IP המארחת אותו בקלות וב קבועה.

בדומה לאותה רשומת WHOIS, אישורי TLS דורשים שהמשתמש יספק מידע כדי ליצור את המוצר הסופי. מלבד התחום, אישור ה- TLS כולל את האנשים שעבורם נוצר האישור (אלא אם כן הוא בחתימה עצמית). המשתמש יכול ליצור את המידע הנוסף. כאשר המשתמשים של Microsoft רואים את הערך הרב ביותר מתוך אישורי TLS אינם בהכרח הנתונים הייחודיים שבהם משתמש המשתמש עשוי להשתמש בעת יצירת האישור, אלא היכן הוא מתארח.

כדי לגשת לאישור TLS, יש לשייך אותו לשרת אינטרנט ולחשוף אותו באמצעות יציאה מסוימת (לרוב 443). באמצעות סריקות אינטרנט במונים על בסיס שבועי, ניתן לסרוק את כל כתובות ה- IP ולהשגת כל אישור המתארח כדי לבנות מאגר היסטורי של נתוני אישורים. מסד נתונים של כתובות IP למיפויי אישורי TLS מספק לך דרך לזיהוי חפיפה בתשתית.

כדי להמחיש רעיון זה, תאר לעצמך שחקן שמגדיר שרת עם אישור TLS בחתימה עצמית. לאחר כמה ימים, המגנים נבון לתשתית שלהם וחסום את שרת האינטרנט המארח תוכן זדוני. במקום להרוס את כל העבודה הקשה שלהם, המעומעון רק מעתיק את כל התוכן (כולל אישור TLS) ומציב אותו בשרת חדש. כמשתמש, כעת באפשרותך ליצור חיבור באמצעות ערך SHA-1 הייחודי של האישור ואמור ששני שרתי האינטרנט (אחד חסום, אחד לא ידוע) מחוברים בדרך מסוימת.

מה שגורם לאישורי TLS להיות בעלי ערך רב יותר הוא שהם מסוגלים ליצור חיבורים שנתונים פאסיביים של DNS או WHOIS עלולים להחמיץ. משמעות הדבר היא דרכים נוספות לתיאום תשתית זדונית פוטנציאלית ולזיהוי כשלים פוטנציאליים באבטחה תפעולית של השחקנים. Defender TI אספה למעלה מ- 30 מיליון אישורים מאז 2013 ומספקת לך את הכלים להתאמה על תוכן אישור והיסטוריה.

אישורי TLS הם קבצים המאגדים באופן דיגיטלי מפתח הצפנה לערכה של פרטים שסופקו על-ידי המשתמש. Defender TI משתמש בטכניקות לסריקת אינטרנט כדי לאסוף שיוכי אישור TLS מכתובות IP ביציאות שונות. אישורים אלה מאוחסנים בתוך מסד נתונים מקומי ומאפשרים לנו ליצור ציר זמן שבו הופיע אישור TLS נתון באינטרנט.

נתוני האישורים שלנו כוללים את המידע הבא:

  • ש1: קוד ה- Hash של האלגוריתם SHA-1 עבור נכס אישור TLS
  • נראה לראשונה: חותמת זמן המציגה את התאריך שבו הבחנו לראשונה באישור זה בפריט ממצא
  • נראה לאחרונה: חותמת זמן המציגה את התאריך האחרון שבו הבחנו באישור זה בפריט ממצא
  • תשתית: כל תשתית קשורה המשויכת לאישור

רשימת אישורי כרטיסיית נתונים

בעת הרחבת קוד Hash של SHA-1, תראה את הפרטים הבאים:

  • מספר סידורי: המספר הסידורי המשויך לאישור TLS
  • שהונפקו: התאריך שבו הונפק אישור
  • יפוג: התאריך שבו פג תוקפו של אישור
  • שם נפוץ של נושא: השם הנפוץ של הנושא עבור אישורי TLS משויכים
  • שם נפוץ של הנפפיק: השם הנפוץ של הנפפיק עבור אישורי TLS משויכים
  • שמות חלופיים של נושא: שמות נפוצים חלופיים עבור האישור
  • שמות חלופיים של הנפפיק: שמות אחרים של הנפפיק
  • שם ארגון הנושא: הארגון המקושר לרישום אישור TLS
  • שם ארגון הנפפיק: שם הארגון שתכנן את בעיית האישור
  • גירסת SSL: גירסת SSL/TLS שבה נרשם האישור
  • יחידה ארגונית נושאת: מטה-נתונים אופציונליים המציינת את המחלקה בארגון שאחראי על האישור
  • יחידה ארגונית של נושא: מידע נוסף אודות הארגון הנפקת האישור
  • כתובת רחוב של נושא: כתובת הרחוב שבה ממוקם הארגון
  • כתובת רחוב של הנפפיק: כתובת הרחוב שבה ממוקם ארגון הנפפיק
  • אזור נושא: העיר שבה ממוקם הארגון
  • אזור הבעייתיות: העיר שבה ממוקם ארגון הנפפיק
  • מחוז נושא: המדינה או המחוז שבהם ממוקם הארגון
  • מדינה/מחוז של הנפפיק: המדינה או המחוז שבהם ממוקם ארגון הנפפיק
  • מדינה נושא: המדינה או האזור שבהם ממוקם הארגון
  • ארץ הנפפיק: המדינה או האזור שבהם ממוקם ארגון הנפפיק
  • תשתית קשורה: כל תשתית קשורה המשויכת לאישור

פרטי אישור כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • לאילו תשתית אחרת נצפה אישור זה?

    תשתית אישורים הקשורה לערכות נתונים

  • האם יש נקודות נתונים ייחודיות באישור שישמש כנקודות ציר טובות?

    נקודות ציר של אישור ערכות נתונים

  • האם האישור בחתימה עצמית?

    אישור ערכות נתונים בחתימה עצמית

  • האם האישור הוא מספק ללא תשלום?

    ספק הקפאת אישורים של ערכות נתונים

  • באיזו מסגרת זמן האישור נצפה בשימוש?

    ערכות נתונים של תאריכי תצפית של אישורים.

תחומי משנה

תחום משנה הוא תחום אינטרנט שהוא חלק מתחום ראשי. תחומי משנה נקראים גם "מארחים". כדוגמה, learn.microsoft.com הוא תחום משנה של microsoft.com. עבור כל תחום משנה, יכולה להיות קבוצה חדשה של כתובות IP שהתחום פותר להן, שעשויות להיות מקורות נתונים נהדרים לאיתור תשתית קשורה.

נתוני תחום המשנה שלנו כוללים את המידע הבא:

  • Hostname: תחום המשנה המשויך לתחום שבו התבצע חיפוש
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

תחומי משנה של כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • האם קיימים תחומי משנה נוספים המשויכים לתחום ברמה גבוהה יותר?

    תחומי משנה של ערכות נתונים.

  • האם אחד תחומי המשנה המשויכים לפעילות זדונית?

    תחומי משנה של ערכות נתונים זדוניים.

  • אם תחום זה נמצא בבעלותי, האם תחום משנה כלשהו נראה לא מוכר?

  • האם קיימת תבנית כלשהי עבור תחומי המשנה המפורטים המשויכים לתחום זדוני אחר?

  • האם סידור בטבלת ציר של כל תחום משנה חושף שטח כתובות IP חדש שלא שויך בעבר ליעד?

  • איזו תשתית לא תואם אחרת שאני מוצא שאינה תואמת לתחום הבסיס?

עוקבים

עוקבים הם קודים או ערכים ייחודיים שנמצאים בתוך דפי אינטרנט ומשמשים לעתים קרובות למעקב אחר אינטראקציה עם המשתמשים. ניתן להשתמש בקודים אלה כדי לתאם קבוצה של אתרי אינטרנט שאינם זהים לישות מרכזית. לעתים קרובות, שחקני איומים מעתיקים את קוד המקור של אתר האינטרנט של הקורבן שהם מחפשים להתחזות לקמפיין דיוג. לעתים רחוקות הן לוקחות את הזמן להסרת מזהים אלה, מה שעשוי לאפשר למשתמשים לזהות אתרים אלה שמקורם בהונאה באמצעות ערכת הנתונים 'עוקבים' של Defender TI. השחקנים עשויים גם לפרוס זהות מעקב כדי לראות כמה מוצלחים מסעות התקיפה שלהם. פעילות זו דומה לאופן בו משווקים משתמשים במזהי SEO, כגון מזהה מעקב אחר Google Analytics, כדי לעקוב אחר הצלחת הקמפיין השיווקי שלהם.

ערכת נתוני המעקב שלנו כוללת זהויות של ספקים כמו Google, Yandex, Mixpanel, New Relic ו- Clicky וממשיך לגדול. הוא כולל את המידע הבא:

  • Hostname: שם המארח המארח את התשתית שבה זוהה המעקב
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננות לראשונה במעקב זה על החפץ
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לאחרונה במעקב זה על החפץ
  • סוג: סוג המעקב שזוהה (לדוגמה, GoogleAnalyticsID או JarmHash)
  • ערך: ערך הזיהוי עבור כלי המעקב
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

מעקב אחר כרטיסיות נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • האם קיימים משאבים אחרים המשתמשים באותם זהים לניתוח?

    חשבון Pivot Analytics של כלי מעקב של ערכות נתונים.

  • האם משאבים אלה משויכים לארגון, או שהם מנסים לבצע התקפה על הפרה?

  • האם יש חפיפה בין עוקבים – האם הם משותפים עם אתרי אינטרנט אחרים?

  • מהם סוגי העוקבים שנמצאו בדף האינטרנט?

    סוגי עוקבים של ערכות נתונים.

  • מהו משך הזמן עבור עוקבים?

    אורך הזמן של כלי מעקב של ערכות נתונים.

  • מהו תדירות השינוי עבור ערכי מעקב – האם הם באים, הולכים או נשארים?

  • האם קיימים עוקבים המקשרים לתוכנות שכפול אתרי אינטרנט (לדוגמה, MarkOfTheWeb או HTTrack)?

    Data Sets Trackers HtTrack.

  • האם קיימים עוקבים המקשרים לתוכנות זדוניות של שרת Command-and-control (C2) (לדוגמה, JARM)?

    Data Sets Trackers JARM.

רכיבים

רכיבי אינטרנט הם פרטים המתארים דף אינטרנט או תשתית שרת ש- Microsoft מבצעת סריקה או סריקה באינטרנט. רכיבים אלה מאפשרים לך להבין את ההפיך של דף אינטרנט או את הטכנולוגיה והשירותים הנהיגה פיסת תשתית ספציפית. סידור ציר ברכיבים ייחודיים יכול למצוא את תשתית השחקנים או אתרים אחרים שנחשף לסכנה. תוכל גם להבין אם אתר אינטרנט עשוי להיות פגיע למתקפה ספציפית או לפשרה בהתבסס על הטכנולוגיות שפועלות בו.

נתוני הרכיב שלנו כוללים את המידע הבא:

  • שם מחשב מארח: שם המחשב המארח המארח את התשתית שבה זוהה הרכיב
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננת לראשונה ברכיב זה בפריט
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לאחרונה ברכיב זה בפריט
  • קטגוריה: סוג הרכיב שזוהה (לדוגמה, מערכת הפעלה, מסגרת, גישה מרחוק או שרת)
  • שם + גירסה: שם הרכיב והגירסה הפועלים על הממצא (לדוגמה, Microsoft IIS (v8.5))
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

רכיבי כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • באיזו תשתית פגיע אני משתמש?

    רכיבי ערכות נתונים רכיבים פגיעים

    גירסה פגיע של אב טיפוס Js של רכיבי ערכות נתונים

    Magento v1.9 הוא כל כך מיושן כי Microsoft לא הצליח לאתר תיעוד מהימן עבור גירסה מסוימת זו.

  • באילו רכיבי אינטרנט ייחודי משתמש מעורר האיום, ה יכולים לעקוב אחריהם אל תחומים אחרים?

  • האם רכיבים כלשהם מסומנים כד זדוניים?

  • כמה רכיבי אינטרנט זוהו?

    מספר הרכיבים של ערכות נתונים

  • האם קיימות טכנולוגיות ייחודיות או מוזרות שלא נראה לעתים קרובות?

    רכיבים ייחודיים של רכיבי ערכות נתונים

  • האם יש גירסאות מזויפות של טכנולוגיות ספציפיות?

  • מהו תדירות השינויים ברכיבי אינטרנט - לעתים קרובות או לעתים נדירות מתבצעים?

  • האם ידוע כי קיימות ספריות חשודות שנוצלות לרעה?

  • האם קיימות טכנולוגיות עם פגיעויות המשויכות אליהן?

זוגות מארחים

זוגות מארחים הם שתי פיסות של תשתית (אב וצאצא) המשתףות חיבור שנצפה מסריקה באינטרנט של משתמש וירטואלי. החיבור יכול להיות בטווח מניתוב מחדש ברמה העליונה (HTTP 302) למשהו מורכב יותר, כגון הפניה למקור iFrame או Script.

נתוני הזוג המארח שלנו כוללים את המידע הבא:

  • שם מארח אב: המארח המפנה אל נכס או "מפנה" למארח הצאצא
  • שם מארח של צאצא: המחשב המארח שנקרא על-ידי מארח האב
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננות לראשונה בקשר גומלין עם המארח
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לאחרונה בקשר עם המארח
  • סיבה: סוג החיבור בין שם המחשב המארח של האב והצאצא; הגורמים הפוטנציאליים כוללים:
    • script.src
    • link.href
    • לנתב מחדש
    • img.src
    • ידוע
    • xmlhttprequest
    • a.href
    • סיום תיקון מחדש
    • css.import
    • parentPage
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

זוגות מארחים של כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • האם אחד מהפריטים הממצאים המחוברים נחסם?

  • האם אחד מהפריטים הממצאים המחוברים תויג (לדוגמה, דיוג, APT, מעורר איומים זדוני, חשוד ומסוים)?

  • האם מארח זה מנתב מחדש משתמשים לתוכן זדוני?

    זוגות מארחים של ערכות נתונים קושרים לניתוב מחדש זדוני.

  • האם משאבים מושטים ב- CSS או בתמונות כדי להגדיר תקיפות הפרה?

    התקפה על הפרת זוגות מארחים של ערכות נתונים.

  • האם משאבים משיטים קובץ Script או מפנים לקישור.href כדי להגדיר מתקפה מסוג Magecart או Skimming?

    חומר עזר ל- Skimmer עבור זוגות מארחים של ערכות נתונים.

  • מהיכן משתמשים מנותב מחדש/אל?

  • איזה סוג של ניתוב מחדש קורה?

עוגיות

קבצי Cookie הם חלקים קטנים של נתונים הנשלחים משרת ללקוח בזמן שהמשתמש גולש באינטרנט. ערכים אלה מכילים לעתים מצב עבור היישום או סיביות מועטות של נתוני מעקב. ה- TI של Defender מסמן ואינדקס שמות קבצי Cookie שנצפה בעת סריקת אתר אינטרנט ומאפשר לך לחפור לתוך כל מקום שבו הבחנו בשמות קבצי Cookie ספציפיים בסריקה ובאיסוף הנתונים שלו. שחקנים זדוניים משתמשים בקבצי Cookie גם כדי לעקוב אחר קורבנות נגועים או לאחסן נתונים שבהם הם עשויים להשתמש במועד מאוחר יותר.

נתוני ה- Cookie שלנו כוללים את המידע הבא:

  • שם מחשב מארח: תשתית המארח המשויכת לקובץ ה- Cookie
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננת לראשונה בקובץ Cookie זה בפריט
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לאחרונה בקובץ Cookie זה בפריט
  • שם: שם קובץ ה- Cookie (לדוגמה, JSESSIONIDאו SEARCH_NAMESITE).
  • תחום: התחום המשויך לקובץ ה- Cookie
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

קבצי Cookie של כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • אילו אתרי אינטרנט אחרים הנפקים את אותם קבצי Cookie?

    ערכות נתונים קבצי Cookie תחומים הנפקת קובץ Cookie זהה.

  • אילו אתרי אינטרנט אחרים עוקבים אחר אותם קבצי Cookie?

    ערכות נתונים קבצי Cookie תחומים עוקבים אחר אותו קובץ Cookie.

  • האם תחום קובץ ה- Cookie תואם לשאילתה שלי?

  • כמה קבצי Cookie משויכים לחפץ?

    מספר קבצי Cookie של ערכות נתונים המשויך לממצא.

  • האם קיימים שמות ייחודיים של קבצי Cookie או תחומים?

  • מהן תקופות הזמן המשויכות לקבצי Cookie?

  • מהי התדירות של קבצי Cookie חדשים שנצפתו או שינויים המשויכים לקובצי Cookie?

שירותי

שמות שירות ומספרי יציאות משמשים להבחנה בין השירותים השונים הפועלים בפרוטוקולי תעבורה כגון TCP, UDP, DCCP ו- SCTP. מספרי יציאות יכולים להציע את סוג היישום הפועל ביציאה מסוימת. עם זאת, ניתן לשנות יישומים או שירותים כדי להשתמש ביציאה אחרת כדי להסתיר או להסתיר את היישום או השירות בכתובת IP. ידיעת פרטי היציאה והכותרת/כרזה יכולה לזהות את היישום/השירות האמיתי ואת שילוב היציאות הנמצאות בשימוש. ה- TI של Defender מציין 14 ימים של היסטוריה בכרטיסיה שירותים, ומציג את תגובת הכרזה האחרונה המשויכת ליציאה שנצפתה.

נתוני השירותים שלנו כוללים את המידע הבא:

  • התבוננות ביציאות פתוחות
  • מספרי יציאות
  • רכיבים
  • מספר הפעמים שהשירות נצפה
  • כאשר היציאה נסרקה לאחרונה
  • חיבור פרוטוקול
  • מצב היציאה
    • לפתוח
    • מסוננים
    • סגור
  • תגובת כרזה

שירותי כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • אילו יישומים פועלים ביציאה מסוימת עבור כתובת IP נתונה?

    יישומי שירותים של ערכות נתונים פועלים.

  • באיזו גירסה של יישומים אתה משתמש?

  • האם קיימים שינויים שבוצעו לאחרונה במצב פתוח, מסונן או סגור עבור יציאה נתונה?

    מצבים של יציאות של שירותי ערכות נתונים.

  • האם האישור משויך לחיבור?

    שיוכי אישורים של שירותי ערכות נתונים.

  • האם טכנולוגיות פגיעות או טכנולוגיות שהופחתו נמצאות בשימוש על נכס נתון?

    יישומי שירותים של ערכות נתונים הפועלים

    שירות פגיע של שירותי ערכות נתונים

  • האם מידע שנחשף על-ידי שירות פועל שיכול לשמש למטרות רוע?

  • האם מתבצעות שיטות עבודה מומלצות לאבטחה?

Dns

Microsoft אוספת רשומות DNS לאורך השנים ומספקת לך תובנות לגבי חילופי דואר (MX), שרת שמות (NS), טקסט (TXT), התחלת רשות (SOA), שם קנוני (CNAME) ורשומות מצביע (PTR). סקירת רשומות DNS עשויה לסייע בזיהוי תשתית משותפת המשמשת את השחקנים בכל התחומים בבעלותם. לדוגמה, שחקני איום נוטים להשתמש באותו שרת שמות כדי למקטע את התשתית שלהם או את אותם שרתי Mail Exchange כדי לנהל את הפקודות והשליטה שלהם.

נתוני ה- DNS שלנו כוללים את המידע הבא:

  • ערך: רשומת ה- DNS המשויכת למארח
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננות לראשונה ברשומה זו בפריט
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לאחרונה ברשומה זו בפריט
  • סוג: סוג התשתית המשויכת לרשומה; האפשרויות האפשריות כוללות:
    • MX
    • TXT
    • Ns
    • CNAMES
    • Soa
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

DNS של כרטיסיית נתונים

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • אילו פיסות אחרות של תשתית קשורות ישירות למציין שאני מחפש?
  • כיצד התשתית השתנתה עם הזמן?
  • האם בעל התחום משתמש בשירותים של רשת אספקת תוכן או שירות הגנת מותג?
  • אילו טכנולוגיות אחרות הארגון המשויך משתמש ברשת שלהם?

היפוך DNS

בעוד שבדיקת מידע של DNS קדימה בשאילתות כתובת ה- IP של שם מארח מסוים, שאילתת בדיקת DNS הפוכה השאילתה שם מארח ספציפי של כתובת IP. ערכת נתונים זו מציגה תוצאות דומות כמו ערכת ה- DNS. סקירת רשומות DNS יכולה לעזור לזהות תשתית משותפת המשמשת את השחקנים בכל התחומים בבעלותם. לדוגמה, קבוצות מעוררים נוטות להשתמש באותו שרת שמות כדי למקטע את התשתית שלהן או באותם שרתי Mail Exchange כדי לנהל את הפקודות והשליטה שלהם.

נתוני ה- DNS ההפוך שלנו כוללים את המידע הבא:

  • ערך: הערך של רשומת ה- DNS ההפוך
  • נראה לראשונה: חותמת זמן של התאריך שבו Microsoft התבוננות לראשונה ברשומה זו בפריט
  • נראה לאחרונה: חותמת זמן של התאריך שבו Microsoft התבוננות לראשונה ברשומה זו בפריט
  • סוג: סוג התשתית המשויכת לרשומה; האפשרויות האפשריות כוללות:
    • MX
    • TXT
    • Ns
    • CNAMES
    • Soa
  • תגיות: כל תגים המוחלים על ממצא זה ב- Defender TI

הכרטיסיה 'נתונים' הפוך DNS

שאלות שערכת נתונים זו עשויה להשיב עליהן

  • אילו רשומות DNS נצפו במארח זה?
  • כיצד התשתית שנצפתה במארח זה השתנתה לאורך זמן?

למידע נוסף