Megosztás a következőn keresztül:

Adatkészletek

  • Cikk

Fontos

2024. június 30-án a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) önálló portálja (https://ti.defender.microsoft.com) megszűnik, és többé nem lesz elérhető. Az ügyfelek továbbra is használhatják a Defender TI-t az Microsoft Defender portálon vagy a Microsoft Copilot a biztonságért. További információ

A Microsoft számos adatkészletet központosít a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI), így a Microsoft ügyfelei és a közösség könnyebben végezhet infrastruktúra-elemzést. A Microsoft elsődleges célja, hogy a lehető legtöbb adatot adja meg az internetes infrastruktúráról a különböző biztonsági használati esetek támogatásához.

A Microsoft internetes adatokat gyűjt, elemez és indexel, hogy segítsen Önnek:

  • Fenyegetések észlelése és elhárítása
  • Incidensek rangsorolása
  • A szervezetet megcélzó aktorcsoportokhoz társított infrastruktúra proaktív azonosítása

A Microsoft a passzív tartománynévrendszer (PDNS) érzékelőhálózatán, a virtuális felhasználók globális proxyhálózatán, a portvizsgálatokon és más forrásokon keresztül gyűjti az internetes adatokat a kártevők és a hozzáadott DNS-adatok alapján.

Ezek az internetes adatok két különböző csoportba sorolhatók: hagyományos és speciális. A hagyományos adatkészletek a következők:

A speciális adatkészletek a következők:

A speciális adatkészletek a bejárt weblapok dokumentumobjektum-modelljének (DOM) megfigyeléséből származnak. Emellett az összetevők és a követők is megfigyelhetők az észlelési szabályokból, amelyek a portvizsgálatok vagy a TLS-tanúsítvány részleteinek szalagcímre adott válaszai alapján aktiválódnak.

Adathalmazok rendezése képernyőkép.

Határozat

A PDNS egy olyan rekordrendszer, amely egy adott helyre, rekordra és időkeretre vonatkozó DNS-feloldási adatokat tárol. Ez az előzményfeloldási adatkészlet lehetővé teszi, hogy megtekintse, mely tartományok oldódtak fel IP-címre, és fordítva. Ez az adatkészlet időalapú korrelációt tesz lehetővé a tartomány- vagy IP-átfedés alapján.

A PDNS lehetővé teheti a korábban ismeretlen vagy újonnan létrehozott fenyegetéselektor-infrastruktúra azonosítását. A mutatók proaktív hozzáadása a tiltólistákhoz levághatja a kommunikációs útvonalakat a kampányok megkezdése előtt. A rekordfeloldási adatok a Felbontások lapon érhetők el, amely a Microsoft Defender portál Intel Explorer oldalán található. A DNS-rekordok további típusai a DNS lapon érhetők el.

A PDNS-feloldási adatok a következő információkat tartalmazzák:

  • Feloldás: A feloldó entitás neve (IP-cím vagy tartomány)
  • Hely: Az a hely, ahol az IP-cím található
  • Hálózat: Az IP-címhez társított netblock vagy alhálózat
  • ASN: Az autonóm rendszer száma (ASN) és a szervezet neve
  • Elsőként látható: A Microsoft által a megoldás első megfigyelésének dátumaként megadott időbélyeg
  • Utoljára látható: A microsoftos megoldás legutóbbi megfigyelésének időbélyege
  • Forrás: A kapcsolat észlelését lehetővé tevő forrás.
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben (további információ)

Adatok lapFelbontások.

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

Tartományok

  • Mikor észlelte először a Defender TI a tartomány IP-címre való feloldását?

    Az adathalmazok tartománya először látható.

  • Mikor látta utoljára a Defender TI, hogy a tartomány aktívan fel lett oldva egy IP-címre?

  • Jelenleg melyik IP-címre vagy címekre oldja fel a tartomány?

    Az adathalmazok aktív tartományfeloldásai.

IP-címek

  • Az IP-cím irányítható?

    Adatkészletek irányítható IP-címei.

  • Melyik alhálózat része az IP-cím?

    Adatkészletek IP-cím alhálózata.

  • Van tulajdonos társítva az alhálózathoz?

    Adatkészletek IP-címének tulajdonosa.

  • Milyen AS-nek része az IP-cím?

    Az adatkészletEK IP-címe ASN.

  • Van földrajzi hely?

    Adatkészletek IP-címének földrajzi helye.

WHOIS

Naponta több ezer alkalommal vásárolják meg és/vagy helyezik át a tartományokat magánszemélyek és szervezetek között. A folyamat egyszerű, csak néhány percet vesz igénybe, és a regisztráló szolgáltatójától függően akár 7 usd is lehet. A fizetési adatokon kívül további információkat is meg kell adnia magáról. Ezen információk egy része a tartományhoz beállított WHOIS-rekord részeként van tárolva. Ez a művelet nyilvános tartományregisztrációnak minősül. Vannak azonban privát tartományregisztrációs szolgáltatások, amelyekben elrejtheti személyes adatait a tartomány WHOIS rekordjából. Ezekben az esetekben a tartománytulajdonos adatai biztonságban vannak, és a tartományregisztrálójuk információi váltják fel őket. Több aktorcsoport végez privát tartományregisztrációkat, hogy az elemzők nehezebben találják meg az általuk birtokolt más tartományokat. A Defender TI különböző adatkészleteket biztosít az aktorok megosztott infrastruktúrájának megkereséséhez, ha a WHOIS-rekordok nem biztosítanak érdeklődőket.

A WHOIS egy olyan protokoll, amellyel bárki lekérdezheti egy tartomány, IP-cím vagy alhálózat adatait. A WHOIS fenyegetésinfrastruktúra-kutatásának egyik leggyakoribb funkciója a különböző entitások azonosítása vagy összekapcsolása a WHOIS-rekordokban megosztott egyedi adatok alapján. Ha saját maga vásárolt tartományt, észrevehette, hogy a regisztrálóktól kért tartalom soha nem lesz ellenőrizve. Sőt, lehet, hogy bármit a rekord (és sokan igen), amely akkor jelenik meg a világ.

Minden WHOIS-rekord több különböző szakaszból áll, amelyek mindegyike különböző információkat tartalmazhat. A gyakran használt szakaszok közé tartozik a regisztráló, a regisztráló, a rendszergazda és a műszaki, amelyek mindegyike egy másik kapcsolattartónak felel meg a rekordhoz. Ezek az adatok a legtöbb esetben több szakaszban ismétlődnek, de lehetnek kisebb eltérések, különösen akkor, ha egy színész hibát követett el. A WHOIS-információk Defender TI-n belüli megtekintésekor egy tömörített rekord jelenik meg, amely deduplikálja az adatokat, és jelzi, hogy a rekord melyik részéből származik. Megállapítottuk, hogy ez a folyamat jelentősen felgyorsítja az elemzői munkafolyamatot, és elkerüli az adatok figyelmen kívül hagyását. A Defender TI WHOIS-információit a WhoisIQ™ adatbázis működteti.

A WHOIS-adatok a következő információkat tartalmazzák:

  • Rekord frissítve: A WHOIS rekord utolsó frissítésének napját jelző időbélyeg
  • Utolsó vizsgálat: Az a dátum, amikor a Defender TI-rendszer utoljára megvizsgálta a rekordot
  • Lejárati: A regisztráció lejárati dátuma, ha elérhető
  • Létrehozott: Az aktuális WHOIS rekord kora
  • WHOIS-kiszolgáló: Az ICANN akkreditált regisztráló által létrehozott kiszolgáló, amely naprakész információkat szerez be a benne regisztrált tartományokról
  • Hivatalvezető: Az összetevő regisztrálásához használt regisztráló szolgáltatás
  • Tartomány állapota: A tartomány aktuális állapota; egy "aktív" tartomány élő az interneten
  • Email: A WHOIS rekordban található e-mail-címek, valamint az egyes kapcsolattartók típusa társítva van (például rendszergazdai vagy technikai)
  • Név: A rekordban szereplő névjegyek neve és az egyes névjegyek típusa
  • Szervezet: A rekordban szereplő szervezetek neve és az egyes kapcsolattartók típusa
  • Street: A rekordhoz társított utcacímek és a megfelelő kapcsolattartó típusa
  • Város: A rekordhoz társított címben felsorolt városok, valamint a megfelelő kapcsolattartó típusa
  • Állami: A rekordhoz társított címben felsorolt állapotok, valamint a megfelelő kapcsolattartó típusa
  • Irányítószám: A rekordhoz társított címben felsorolt irányítószámok, valamint a megfelelő kapcsolattartó típusa
  • Ország: A rekordhoz társított címeken felsorolt országok vagy régiók, valamint a megfelelő kapcsolattartó típusa
  • Telefon: A rekordban felsorolt telefonszámok és a megfelelő partner típusa
  • Névkiszolgálók: A regisztrált entitáshoz társított névkiszolgálók

Aktuális WHOIS-keresések

A Defender TI jelenlegi WHOIS-adattára kiemeli a Microsoft WHOIS-gyűjteményében található összes olyan tartományt, amely jelenleg regisztrálva van, és a whois attribútumhoz van társítva. Ezek az adatok kiemelik a tartomány regisztrációját és lejárati dátumát, valamint a tartomány regisztrálásához használt e-mail-címet. Ezek az adatok a platform WHOIS Keresés lapján jelennek meg.

Adatok lap WHOIS.

Korábbi WHOIS-keresések

A Defender TI WHOIS-előzménytárában a felhasználók a rendszer megfigyelései alapján hozzáférhetnek az összes ismert előzménytartomány-társításhoz a WHOIS-attribútumokhoz. Ez az adatkészlet kiemeli az összes olyan attribútumhoz társított tartományt, amelyet a felhasználó az első és az utolsó alkalommal megjelenített, amikor megfigyeltük a tartomány és a lekérdezett attribútum közötti társítást. Ezek az adatok egy külön lapon jelennek meg a WHOIS aktuális lapja mellett.

Keresés WHOIS előzményeit.

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Hány éves a tartomány?

    AdathalmazOK WHOIS-tartományának életkora.

  • Úgy tűnik, hogy az információ adatvédelemmel van ellátva?

    A WHOIS adatkészletei adatvédelemmel védettek.

  • Úgy tűnik, hogy bármelyik adat egyedi?

    A WHOIS egyedi adatkészletei.

  • Milyen névkiszolgálókat használ?

    AdatkészletEK WHOIS-névkiszolgálói.

  • Ez a tartomány egy víznyelő tartomány?

    AdatkészletEK WHOIS-víznyelőnyílása.

  • Ez a tartomány egy parkosított tartomány?

    A WHOIS által parkolt tartomány adatkészlete.

  • Ez a tartomány mézesmadaras tartomány?

    A WHOIS mézesmadaras tartomány adatkészlete.

  • Van valami előzménye?

    Adatkészletek WHOIS-előzményei.

  • Vannak hamis adatvédelmi e-mailek?

    A WHOIS hamis adatvédelmi e-maileket állítja be.

  • Vannak hamis nevek a WHOIS rekordban?

  • Más kapcsolódó IOC-k is azonosíthatók a tartományok között esetleg megosztott WHOIS-értékek keresése során?

    Adatkészletek – WHOIS megosztottérték-keresés.

    Az adatkészletek WHOIS közös értékének keresőtelefonja.

Tanúsítványok

Az adatok védelmén túl a TLS-tanúsítványok fantasztikus módot biztosítanak a felhasználók számára a különböző hálózati infrastruktúra összekapcsolására. A modern vizsgálati technikák lehetővé teszik, hogy néhány óra alatt adatkéréseket hajtsunk végre az internet minden csomópontján. Más szóval egyszerűen és rendszeresen társíthatunk tanúsítványt egy olyan IP-címhez, amely azt üzemelteti.

A WHOIS-rekordokhoz hasonlóan a TLS-tanúsítványokhoz is szükség van arra, hogy a felhasználó adatokat adjon meg a végtermék létrehozásához. A tartományon kívül a TLS-tanúsítvány azt is tartalmazza, hogy ki számára jön létre a tanúsítvány (kivéve, ha önaláírt). A felhasználó létrehozhatja a további információkat. Ha a Microsoft felhasználói a TLS-tanúsítványok közül a legtöbb értéket látják, nem feltétlenül azok az egyedi adatok, amelyeket valaki felhasználhat a tanúsítvány létrehozásakor, hanem az üzemeltetett helyet.

A TLS-tanúsítványok eléréséhez társítani kell egy webkiszolgálóhoz, és egy adott porton keresztül kell elérhetővé tenni (leggyakrabban 443). Heti rendszerességű tömeges internetes vizsgálatok használatával minden IP-címet megvizsgálhat, és beszerezheti az üzemeltetett tanúsítványokat a tanúsítványadatok előzményadat-tárházának létrehozásához. A TLS-tanúsítványleképezések IP-címeit tartalmazó adatbázis lehetővé teszi az infrastruktúra átfedéseinek azonosítását.

Ennek a koncepciónak a további szemléltetéséhez képzeljen el egy aktort, aki önaláírt TLS-tanúsítvánnyal állít be egy kiszolgálót. Néhány nap elteltével a védelmezők bölcsen hatnak az infrastruktúrájukra, és blokkolják a kártékony tartalmakat üzemeltető webkiszolgálót. Ahelyett, hogy tönkretenné az összes kemény munkát, az aktor csupán átmásolja az összes tartalmat (beleértve a TLS-tanúsítványt is), és elhelyezi őket egy új kiszolgálón. Felhasználóként most már létrehozhat egy kapcsolatot a tanúsítvány egyedi SHA-1 értékével, és azt mondhatja, hogy mindkét webkiszolgáló (egy blokkolt, egy ismeretlen) valamilyen módon csatlakoztatva van.

A TLS-tanúsítványok értékét az teszi értékesebbé, hogy képesek olyan kapcsolatokat létesíteni, amelyeket a passzív DNS- vagy WHOIS-adatok kihagyhatnak. Ez több módszert jelent a potenciális rosszindulatú infrastruktúra korrelálására és a szereplők lehetséges működési biztonsági hibáinak azonosítására. A Defender TI 2013 óta több mint 30 millió tanúsítványt gyűjtött össze, és biztosítja a tanúsítványok tartalmával és előzményeivel kapcsolatos korrelációkhoz szükséges eszközöket.

A TLS-tanúsítványok olyan fájlok, amelyek digitálisan kötik a titkosítási kulcsot a felhasználó által megadott adatok egy készletéhez. A Defender TI internetes vizsgálati technikákkal gyűjtI össze a TLS-tanúsítványtársításokat a különböző portokon található IP-címekről. Ezek a tanúsítványok egy helyi adatbázisban vannak tárolva, és lehetővé teszik számunkra, hogy létrehozzunk egy idősort, amelyben egy adott TLS-tanúsítvány megjelent az interneten.

A tanúsítványadatok a következő információkat tartalmazzák:

  • Sha1: Az SHA-1 algoritmus kivonata egy TLS-tanúsítványobjektumhoz
  • Elsőként látható: Egy időbélyeg, amely azt a dátumot jeleníti meg, amikor először figyeltük meg ezt a tanúsítványt egy összetevőn
  • Utoljára látható: Egy időbélyegző, amely azt a dátumot jeleníti meg, amikor utoljára megfigyeltük ezt a tanúsítványt egy összetevőn
  • Infrastruktúra: A tanúsítvánnyal társított bármely kapcsolódó infrastruktúra

Data Tab Certificates List

Amikor kibont egy SHA-1 kivonatot, a következő részletek láthatók:

  • Sorszám: A TLS-tanúsítványhoz társított sorozatszám
  • Kiadott: A tanúsítvány kiállításának dátuma
  • Lejár: A tanúsítvány lejáratának dátuma
  • Tulajdonos köznapi neve: A társított TLS-tanúsítványok tulajdonosának köznapi neve
  • Kiállító köznapi neve: A kiállító köznapi neve a társított TLS-tanúsítványokhoz
  • Tulajdonos alternatív neve:: A tanúsítvány alternatív köznapi nevei
  • Kiállító alternatív neve(i): A kibocsátó egyéb nevei
  • Tulajdonos szervezetének neve: A TLS-tanúsítványregisztrációhoz csatolt szervezet
  • Kiállító szervezetének neve: A tanúsítvány kiállítását vezénylő szervezet neve
  • SSL-verzió: Az SSL/TLS azon verziója, amellyel a tanúsítvány regisztrálva lett
  • Tárgy szervezeti egység: Nem kötelező metaadatok, amelyek a tanúsítványért felelős szervezeti részleget jelzik
  • Kiállító szervezeti egysége: További információ a tanúsítványt kiállító szervezetről
  • Tárgy utcacíme: A szervezet lakcíme
  • Kiállító címe: Az a cím, ahol a kibocsátó szervezet található
  • Tárgy területi beállítása: Az a város, ahol a szervezet található
  • Kiállító területi beállítása: Az a város, ahol a kibocsátó szervezet található
  • Tulajdonos állapota/tartománya: Az az állam vagy tartomány, ahol a szervezet található
  • Kiállító állapota/tartománya: A kiállító szervezetének állama vagy tartománya
  • Tulajdonos országa: Az az ország vagy régió, ahol a szervezet található
  • Kibocsátó országa: Az az ország vagy régió, ahol a kibocsátó szervezet található
  • Kapcsolódó infrastruktúra: A tanúsítvánnyal társított bármely kapcsolódó infrastruktúra

Adatok lap tanúsítványának részletei

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Milyen egyéb infrastruktúrához van társítva ez a tanúsítvány?

    Adatkészletek tanúsítványával kapcsolatos infrastruktúra

  • Vannak olyan egyedi adatpontok a tanúsítványban, amelyek jó kimutatáspontokként szolgálnának?

    Adatkészletek tanúsítványának kimutatáspontjai

  • A tanúsítvány önaláírt?

    Önaláírt adatkészlet-tanúsítvány

  • A tanúsítvány ingyenes szolgáltatótól származik?

    Adatkészletek tanúsítványszolgáltatója

  • Milyen időkereten belül figyelték meg a tanúsítványt használatban?

    Adatkészlet-tanúsítványok megfigyelési dátumai.

Aldomain

Az altartomány egy elsődleges tartomány részét képező internetes tartomány. Az altartományokat "gazdagépeknek" is nevezik. Példaként learn.microsoft.com a altartománya microsoft.com. Minden altartományhoz lehet egy új IP-címkészlet, amelyre a tartomány fel van oldva, ami nagyszerű adatforrás lehet a kapcsolódó infrastruktúra megtalálásához.

Az altartományadatok a következő információkat tartalmazzák:

  • Állomásnév: A keresett tartományhoz társított altartomány
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Adat lap altartományai

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Vannak további altartományok társítva a magasabb szintű tartományhoz?

    Adatkészletek altartományai.

  • Vannak rosszindulatú tevékenységgel társított altartományok?

    Az adatkészletek altartományai rosszindulatúak.

  • Ha ez a tartomány az enyém, valamelyik altartomány ismeretlennek tűnik?

  • Van olyan minta a felsorolt altartományokhoz, amelyek más rosszindulatú tartományokhoz vannak társítva?

  • Az egyes altartományok kifordításával megjelennek a célhoz korábban nem társított új IP-címtartományok?

  • Milyen egyéb nem kapcsolódó infrastruktúra található, amely nem felel meg a gyökértartománynak?

Nyomozó

A követők olyan egyedi kódok vagy értékek, amelyek a weboldalakon találhatók, és gyakran használják a felhasználói interakciók nyomon követésére. Ezekkel a kódokkal korrelálhatók a webhelyek egy különálló csoportja egy központi entitással. Gyakran előfordul, hogy a fenyegetést jelölő szereplők egy áldozat webhelyének forráskódját másolja, amit adathalász kampányhoz szeretnének megszemélyesíteni. Ritkán vesznek igénybe időt ezeknek az azonosítóknak a eltávolítására, ami lehetővé teheti a felhasználók számára, hogy azonosítsák ezeket a hamis webhelyeket a Defender TI Trackers adatkészletével. Az aktorok nyomkövető azonosítókat is üzembe helyezhetnek, hogy lássák, mennyire sikeresek a támadási kampányaik. Ez a tevékenység hasonló ahhoz, ahogyan a marketingesek seo azonosítókat, például a Google Analytics nyomkövető azonosítóját használják marketingkampányuk sikerének nyomon követésére.

A követő adatkészlet olyan szolgáltatók azonosítóit tartalmazza, mint a Google, a Yandex, a Mixpanel, a New Relic és a Clicky, és folyamatosan növekszik. A következő információkat tartalmazza:

  • Állomásnév: Az az állomásnév, amely a nyomkövetőt észlelő infrastruktúrát üzemelteti
  • Elsőként látható: Az a dátum időbélyege, amikor a Microsoft először észlelte ezt a nyomkövetőt az összetevőn
  • Utoljára látható: A Microsoft által az összetevőn utoljára megfigyelt dátum időbélyege
  • Típus: Az észlelt nyomkövető típusa (például GoogleAnalyticsID vagy JarmHash)
  • Érték: A követő azonosító értéke
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Adat tabulátorkövetők

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Vannak más erőforrások is, amelyek ugyanazokat az elemzési azonosítókat használják?

    Adatkészlet-követők – Pivot Analytics-fiók.

  • Ezek az erőforrások a szervezethez vannak társítva, vagy jogsértési támadást kísérelnek meg végrehajtani?

  • Van átfedés a követők között – meg vannak osztva más webhelyekkel?

  • Milyen típusú nyomkövetők találhatók a weblapon?

    Adatkészlet-követők típusai.

  • Mennyi ideig tart a követők számára?

    Az adatkészletek követőinek időtartama.

  • Milyen gyakorisággal változnak a követőértékek– jönnek, mennek vagy maradnak?

  • Vannak olyan követők, amelyek webhely-klónozási szoftverhez kapcsolódnak (például MarkOfTheWeb vagy HTTrack)?

    Adatkészlet-követők HtTrack.

  • Vannak olyan követők, amelyek rosszindulatú parancs- és vezérlési (C2) kiszolgálói kártevőkhez (például JARM) kapcsolódnak?

    Data Sets Trackers JARM.

Összetevők

A webösszetevők olyan részletek, amelyek leírják a Microsoft által a webbejárást vagy -vizsgálatot végző weblapot vagy kiszolgálói infrastruktúrát. Ezek az összetevők lehetővé teszik a weblapok, illetve az adott infrastruktúra részét képező technológiák és szolgáltatások megértését. Az egyedi összetevők kimutatása megkeresheti az aktorok infrastruktúráját vagy más feltört helyeket. Azt is megtudhatja, hogy egy webhely sebezhető-e egy adott támadással vagy biztonsági sérüléssel szemben az általa futtatott technológiák alapján.

Az összetevők adatai a következő információkat tartalmazzák:

  • Hostname: Az az állomásnév, amely az összetevőt észlelő infrastruktúrát üzemelteti
  • Elsőként látható: Annak a dátumnak az időbélyege, amikor a Microsoft először észlelte ezt az összetevőt az összetevőn
  • Utoljára látható: Annak a dátumnak az időbélyege, amikor a Microsoft utoljára megfigyelte ezt az összetevőt az összetevőn
  • Kategória: Az észlelt összetevő típusa (például operációs rendszer, keretrendszer, távelérés vagy kiszolgáló)
  • Név és verzió: Az összetevőn futó összetevő neve és verziója (például Microsoft IIS (8.5-ös verzió))
  • Címkék: az összetevőre alkalmazott címkék a Defender TI-ben

Adat lapösszetevők

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Milyen sebezhető infrastruktúrát használok?

    Adatkészlet-összetevők – Sebezhető összetevők

    Adatkészlet-összetevők – Js prototípus sebezhető verziója

    A Magento 1.9-es verziója annyira elavult, hogy a Microsoft nem talált megbízható dokumentációt az adott verzióhoz.

  • Milyen egyedi webes összetevőket használ a fenyegetéselktor, amely nyomon tudja követni őket más tartományokban?

  • Vannak kártevőként megjelölt összetevők?

  • Hány webösszetevőt azonosítottak?

    Adatkészlet-összetevők – Összetevők száma

  • Vannak olyan egyedi vagy furcsa technológiák, amelyeket nem gyakran látnak?

    Adatkészlet-összetevők – Egyedi összetevők

  • Léteznek bizonyos technológiák hamis verziói?

  • Milyen gyakran vagy ritkán történik változás a webes összetevőkben?

  • Vannak olyan gyanús kódtárak, amelyekről ismert, hogy visszaélnek?

  • Vannak olyan technológiák, amelyekhez biztonsági rések társulnak?

Gazdagéppárok

A gazdagéppárok az infrastruktúra két része (szülő és gyermek), amelyek egy virtuális felhasználó webes bejárásából megfigyelt kapcsolatot osztanak meg. A kapcsolat a legfelső szintű átirányítástól (HTTP 302) egy összetettebbig terjedhet, például egy iFrame-hez vagy egy szkript forráshivatkozásához.

A gazdagéppárok adatai a következő információkat tartalmazzák:

  • Szülő gazdagépneve: Az a gazdagép, amely egy objektumra hivatkozik vagy "eléri" a gyermek gazdagépet
  • Gyermek állomásneve: A szülő gazdagép által behívott gazdagép
  • Elsőként látható: Annak a dátumnak az időbélyege, amikor a Microsoft először észlelt kapcsolatot a gazdagéppel
  • Utoljára látható: Annak a dátumnak az időbélyege, amikor a Microsoft utoljára kapcsolatot észlelt a gazdagéppel
  • Ok: A szülő és a gyermek állomásneve közötti kapcsolat típusa; lehetséges okok többek között a következők:
    • script.src
    • link.href
    • Átirányítás
    • img.src
    • Ismeretlen
    • xmlhttprequest
    • a.href
    • finalRedirect
    • css.import
    • parentPage
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Adatfül gazdagéppárjai

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Letiltotta valamelyik csatlakoztatott összetevőt?

  • Felcímkézte valamelyik csatlakoztatott összetevőt (például adathalászat, APT, rosszindulatú, gyanús, konkrét fenyegetési szereplő)?

  • A gazdagép rosszindulatú tartalmakra irányítja át a felhasználókat?

    Az adatkészletek gazdagéppárjai rosszindulatú átirányítást párosítanak.

  • Lekért erőforrások css- vagy rendszerképeket a jogsértési támadások beállításához?

    Az adatkészletek gazdagéppárjai jogsértési támadást indítottak.

  • Az erőforrások lekértek egy szkriptet, vagy hivatkoznak egy link.href-ra magecart vagy skimming támadás beállításához?

    Adatkészletek gazdagéppárjai – Skimmer-referencia.

  • Hol vannak átirányítva a felhasználók a/a-ból?

  • Milyen típusú átirányítás történik?

Süti

A cookie-k a kiszolgálóról az ügyfélnek küldött kis méretű adatok, amikor a felhasználó az interneten böngészik. Ezek az értékek néha az alkalmazás állapotát vagy a nyomkövetési adatok kis részét tartalmazzák. A Defender TI kiemeli és indexeli a webhelyek bejárása során megfigyelt cookie-neveket, és lehetővé teszi, hogy mindenhol feltárja, ahol bizonyos cookie-neveket észleltünk a bejárás és az adatgyűjtés során. A rosszindulatú szereplők cookie-kat is használnak a fertőzött áldozatok nyomon követésére, vagy olyan adatok tárolására, amelyeket később felhasználhatnak.

Cookie-adataink a következő információkat tartalmazzák:

  • Hostname: A cookie-hoz társított gazdainfrastruktúra
  • Elsőként látható: Annak a dátumnak az időbélyege, amikor a Microsoft először észlelte ezt a cookie-t az összetevőn
  • Utoljára látható: Annak a dátumnak az időbélyege, amikor a Microsoft utoljára megfigyelte ezt a cookie-t az összetevőn
  • Név: A cookie neve (például JSESSIONID vagy SEARCH_NAMESITE).
  • Tartomány: A cookie-hoz társított tartomány
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Adatlap cookie-k

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Milyen más webhelyek bocsátják ki ugyanazokat a cookie-kat?

    Adatkészletek – Cookie-k – A tartományok ugyanazt a cookie-t bocsátják ki.

  • Milyen más webhelyek követik ugyanazokat a cookie-kat?

    Adatkészletek – A cookie-k tartományai követik ugyanazt a cookie-t.

  • A cookie-tartomány megfelel a lekérdezésemnek?

  • Hány cookie van társítva az összetevővel?

    Az összetevőhöz társított adatkészletek cookie-k száma.

  • Vannak egyedi cookie-k nevei vagy tartományai?

  • Milyen időtartamok kapcsolódnak a cookie-khoz?

  • Milyen gyakorisággal figyelhetők meg az újonnan megfigyelt cookie-k vagy a cookie-khoz kapcsolódó változások?

Szolgáltatások

A szolgáltatásnevek és portszámok az átviteli protokollokon (például TCP, UDP, DCCP és SCTP) futó különböző szolgáltatások megkülönböztetésére szolgálnak. A portszámok javasolhatják egy adott porton futó alkalmazás típusát. Az alkalmazások vagy szolgáltatások azonban módosíthatók úgy, hogy egy másik portot használjanak az alkalmazás vagy szolgáltatás elrejtéséhez vagy elrejtéséhez egy IP-címen. A port- és fejléc-/szalagcímadatok ismeretében azonosítható a valódi alkalmazás/szolgáltatás, valamint a használt portok kombinációja. A Defender TI 14 napnyi előzményt jelenít meg a Szolgáltatások lapon, és megjeleníti a megfigyelt porthoz társított utolsó transzparens-választ.

Szolgáltatásaink adatai a következő információkat tartalmazzák:

  • Megnyitott portok megfigyelve
  • Portszámok
  • Összetevők
  • A szolgáltatás megfigyeléseinek száma
  • A port utolsó vizsgálatának dátuma
  • Protokollkapcsolat
  • A port állapota
    • Nyit
    • Szűrt
    • Zárt
  • Szalagcímre adott válasz

Data Tab Services

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Milyen alkalmazások futnak egy adott IP-cím adott portján?

    Data Sets Services-alkalmazások futnak.

  • Az alkalmazások melyik verziója van használatban?

  • Történt mostanában változás egy adott port nyitott, szűrt vagy lezárt állapotában?

    Adatkészlet-szolgáltatások portállapotai.

  • Társított egy tanúsítványt a kapcsolathoz?

    Adatkészlet-szolgáltatások tanúsítványtársításai.

  • Vannak-e sebezhető vagy elavult technológiák egy adott eszközön?

    Data Sets Services-alkalmazások futnak

    Data Sets Services – Sebezhető szolgáltatás

  • Olyan futó szolgáltatás teszi közzé az információkat, amelyek neurális célokra használhatók?

  • Követik a biztonsági ajánlott eljárásokat?

DNS

A Microsoft évek óta gyűjti a DNS-rekordokat, így betekintést nyújt a levelezési exchange (MX), a névkiszolgáló (NS), a szöveg (TXT), a hitelesítés kezdete (SOA), a canonical name (CNAME) és a mutató (PTR) rekordjaiba. A DNS-rekordok áttekintése segíthet azonosítani az aktorok által a saját tartományaikban használt megosztott infrastruktúrát. A fenyegetést jelentő szereplők például általában ugyanazokat a névkiszolgálókat használják az infrastruktúrájuk szegmentálásához, vagy ugyanazokat a levelezési kiszolgálókat a parancsuk és vezérlésük felügyeletéhez.

DNS-adataink a következő információkat tartalmazzák:

  • Érték: A gazdagéphez társított DNS-rekord
  • Elsőként látható: Annak a dátumnak az időbélyege, amikor a Microsoft először észlelte ezt a rekordot az összetevőn
  • Utoljára látható: Az a dátum időbélyege, amikor a Microsoft utoljára megfigyelte ezt a rekordot az összetevőn
  • Típus: A rekordhoz társított infrastruktúra típusa; lehetséges lehetőségek:
    • MX
    • TXT
    • NS
    • CNAMES
    • SOA
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Data Tab DNS

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Milyen egyéb infrastruktúrarészek kapcsolódnak közvetlenül a keresett mutatóhoz?
  • Hogyan változott az infrastruktúra az idő múlásával?
  • A tartománytulajdonos tartalomkézbesítési hálózat vagy márkavédelmi szolgáltatás szolgáltatásait alkalmazza?
  • Milyen egyéb technológiákat alkalmazhat a társított szervezet a hálózatán belül?

Fordított DNS

Míg a továbbítási DNS-keresés lekérdezi egy adott állomásnév IP-címét, a fordított DNS-keresés egy IP-cím adott állomásnevét lekérdezéssel. Ez az adatkészlet a DNS-hez hasonló eredményeket jelenít meg. A DNS-rekordok áttekintése segíthet azonosítani az aktorok által a saját tartományaikban használt megosztott infrastruktúrát. Az aktorcsoportok például általában ugyanazokkal a névkiszolgálókkal szegmentálják az infrastruktúrájukat vagy ugyanazokat a levelezési exchange-kiszolgálókat a parancsuk és vezérlésük felügyeletéhez.

A fordított DNS-adatok a következő információkat tartalmazzák:

  • Érték: A fordított DNS-rekord értéke
  • Elsőként látható: Annak a dátumnak az időbélyege, amikor a Microsoft először észlelte ezt a rekordot az összetevőn
  • Utoljára látható: A Microsoft által az összetevőn először megfigyelt rekord időbélyege
  • Típus: A rekordhoz társított infrastruktúra típusa; lehetséges lehetőségek:
    • MX
    • TXT
    • NS
    • CNAMES
    • SOA
  • Címkék: Az összetevőre alkalmazott címkék a Defender TI-ben

Data Tab Reverse DNS

Az adatkészlettel kapcsolatos kérdések segíthetnek megválaszolni

  • Mely DNS-rekordok figyelték meg ezt a gazdagépet?
  • Hogyan változott meg a gazdagépet megfigyelt infrastruktúra az idő múlásával?

Lásd még