ניקוד מוניטין
חשוב
ב- 30 ביוני 2024, פורטל בינת איומים של Microsoft Defender (Defender TI) העצמאי (https://ti.defender.microsoft.com) יצא משימוש ולא יהיה נגיש עוד. לקוחות יכולים להמשיך להשתמש ב- Defender TI בפורטל Microsoft Defender או באמצעות Microsoft Copilot לאבטחה. מידע נוסף
בינת איומים של Microsoft Defender (Defender TI) מספק דירוגי מוניטין קנייניים עבור כל מארח, תחום או כתובת IP. בין אם מבוצע אימות המוניטין של ישות ידועה או לא ידועה, ניקוד זה עוזר למשתמשים להבין במהירות כל קשר שזוהה לתשתית זדונית או חשודה. הפלטפורמה מספקת מידע מהיר אודות הפעילות של ישויות אלה (לדוגמה, חותמות זמן של First ו- Last Seen, ASN, תשתית משויכת) ורשימה של כללים המשפיעים על ניקוד המוניטין כאשר הדבר ישים.
נתוני מוניטין חשובים להבנת המהימנים של משטח התקיפה שלך, והוא שימושי גם בעת הערכה של מארחים, תחומים או כתובות IP לא ידועים המופיעים בחקירות. ציונים אלה חושפים כל פעילות זדונית או חשודה קודמת שהשפיעה על הישות, או מחוונים ידועים אחרים לסכנה שיש לשקול.
הבנת הציונים במוניטין
דירוגי מוניטין נקבעים על-ידי סידרה של אלגוריתמים שנועדו לכמת במהירות את הסיכון המשויך לישות. אנו מפתחים דירוגי מוניטין בהתבסס על הנתונים הקיניים שלנו באמצעות תשתית הסריקה שלנו, ומידע IP שנאסף ממקורות חיצוניים.
שיטות זיהוי
סידרת גורמים קובעת את ניקודי המוניטין, כולל שיוכי ידועים לחסימת ישויות ברשימה וסידרה של כללי למידת מכונה המשמשים להערכת סיכונים.
סוגריים מרובעים של ניקוד
דירוגי מוניטין מוצגים כציון מספרי עם טווח בין 0 ל- 100. לישות עם ציון של "0" אין שיוך ידוע לפעילות חשודה או למחוונים ידועים של פשרה; ציון של "100" מציין שהישות זדונית. מארחים, תחומים וכתובות IP מקובצים לקטגוריות הבאות בהתאם לקוד המספרי שלהם:
| ניקוד | קטגוריה | תיאור |
|---|---|---|
| 75+ | זדוני | הישות אישרה שיוכי תשתית זדונית ידועה המופיעה ברשימת החסימה שלנו ותואם לכללי למידת מכונה שמאתרים פעילות חשודה. |
| 50 – 74 | חשוד | ייתכן שהישות משויכת לתשתית חשודה בהתבסס על התאמות לשלושה כללים או יותר של למידת מכונה. |
| 25 – 49 | נייטרלי | הישות תואמת לפחות לשני כללים של למידת מכונה. |
| 0 – 24 | לא ידוע (ירוק) | אם הניקוד הוא "לא ידוע" וירוק, הישות החזירה כלל תואם אחד לפחות. |
| 0 – 24 | לא ידוע (אפור) | אם הניקוד הוא "לא ידוע" ואפור, הישות לא החזירה התאמות כלל. |
כללי זיהוי
דירוגי המוניטין מבוססים על גורמים רבים שאנליסט עשוי להפנות כדי לקבוע את האיכות היחסית של תחום או כתובת. גורמים אלה משתקפים בכללי למידת המכונה שמרכיבים את צוני המוניטין. לדוגמה, .xyz או .cc תחומים ברמה העליונה (TLD) בדרך כלל חשודים יותר מ- .com.org או מ- TLD. ASN (מספר מערכת אוטונום) המתארח על-ידי ספק אירוח בעלות נמוכה או ללא תשלום עשוי להיות משויך לפעילות זדונית, בדומה לאישור TLS בחתימה עצמית. מודל מוניטין זה פותח על-ידי התסתכלות על מופעים יחסיים של תכונות אלה בין מחוונים זדוניים ובינויים כדי להבקיע את המוניטין הכולל של ישות.
עיין בטבלה הבאה לקבלת דוגמאות לכללים המשמשים כדי לקבוע אם מארח, תחום או כתובת IP הם חשודים.
עצה
רשימה זו אינה מקיפה והיא משתנה כל הזמן; לוגיקת הזיהוי שלנו והיכולות כתוצאה מכך הן דינאמיות כפי שהן משקפות את נוף האיומים המתפתח. מסיבה זו, איננו מפרסמים רשימה מקיפה של כללי למידת המכונה המשמשים להערכת המוניטין של ישות.
| שם כלל | תיאור |
|---|---|
| SSL-Certificate Self-Signed | אישורים בחתימה עצמית עשויים להצביע על אופן פעולה זדוני |
| מתויג כברירת זדונית | תיוג זדוני על-ידי חבר בארגון שלך |
| נצפו רכיבי אינטרנט | מספר רכיבי האינטרנט שנצפה עשוי להצביע על זדון |
| Name server | תחום משתמש בשרת שמות שתשתית זדונית עשויה להשתמש בו |
| רשם | תחומים הרשומים אצל רשם זה עשויים להיות זדוניים יותר |
| ספק דואר אלקטרוני רשום | התחום רשום אצל ספק דואר אלקטרוני שעשוי לרשום תחומים זדוניים |
חשוב לזכור כי יש להעריך גורמים אלה באופן הולסטי כדי לבצע הערכה מדויקת על המוניטין של ישות. השילוב הספציפי של המחוונים, ולא כל מחוון בודד, יכול לחזות אם ישות כלשהי עשויה להיות זדונית או חשודה.
חומרת
כללים שנוצרו עבור מערכת זיהוי למידת מכונה חלים דירוג חומרה. לכל כלל מוקצית חומרהגבוהה, בינונית או נמוכה בהתבסס על רמת הסיכון המשויכת לכלל.
מקרי שימוש
סדר עדיפויות לתקריות, תגובה ציד ואיומים
ניתן להשתמש בדירוג המוניטין, הסיווג, הכללים והתיאור של הכללים של Defender TI כדי להעריך במהירות אם כתובת IP או מחוון תחום טובים, חשודים או זדוניים. במקרים אחרים, ייתכן שלא הבחנו במספיק תשתית המשויכת לכתובת IP או לתחום כדי להסיק אם המחוון טוב או רע. אם למחוון יש סיווג לא ידוע או ניטרלי, מומלץ למשתמשים לבצע חקירה עמוקה יותר על-ידי סקירת ערכות הנתונים שלנו כדי להסיק אם המחוון טוב או רע. אם המוניטין של מחוון כולל שיוך למאמר, מומלץ למשתמשים לסקור מאמרים אלה המפורטים כדי לקבל מידע נוסף על האופן שבו המחוון מקושר לקמפיין של מעורר איומים פוטנציאליים, באילו תעשיות או מדינות הם עשויים לייעד, TTP משויכים ולזהות מחוונים קשורים אחרים לפשרה כדי להרחיב את היקף התגובה ומאמצי הציד של האירוע.
איסוף מודיעין
ניתן לשתף מאמרים משויכים עם צוות בינת האיומים של האנליסטים, כך שהם מבינים טוב יותר מי עשוי לייעד את הארגון שלהם.
למידע נוסף
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור