Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Fontos
Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) megszűnik, és Microsoft Defender egyesül a hatékony egységes élmény érdekében. A meglévő ügyfelek 2026. augusztus 1-jén kivezetéséig továbbra is teljes hozzáféréssel rendelkeznek a jelenlegi Defender TI-élményükhöz. További információ
A Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) minden gazdagéphez, tartományhoz vagy IP-címhez saját hírnévpontszámot biztosít. Akár egy ismert, akár ismeretlen entitás jó hírnevét ellenőrzi, ez a pontszám segít gyorsan megérteni a rosszindulatú vagy gyanús infrastruktúrával kapcsolatos észlelt problémákat. A Defender TI gyors információt nyújt ezen entitások tevékenységéről (például az első és utolsóként látott időbélyegekről, az autonóm rendszerszámokról és a kapcsolódó infrastruktúráról), valamint azoknak a szabályoknak a listáját, amelyek hatással vannak a hírnévpontszámra, ha alkalmazható.
A hírnévadatok fontosak a saját támadási felület megbízhatóságának megértéséhez, és a vizsgálatok során megjelenő ismeretlen gazdagépek, tartományok vagy IP-címek értékelésekor is hasznosak. Ezek a pontszámok felfednek minden korábbi rosszindulatú vagy gyanús tevékenységet, amely hatással volt az entitásra, vagy más ismert biztonsági réseket (IOK-okat), amelyeket figyelembe kell venni.
A hírnévpontszám megértése
A hírnévpontszámokat algoritmusok sorozata határozza meg, amelyek az entitásokhoz kapcsolódó kockázat gyors számszerűsítésére szolgálnak. A saját adataink alapján fejlesztünk hírnévpontszámokat a bejárási infrastruktúránk és a külső forrásokból gyűjtött IP-adatok alapján.
Észlelési módszerek
Számos tényező határozza meg a hírnévpontszámokat, beleértve a letiltott entitásokhoz való ismert társításokat, valamint a kockázat felméréséhez használt gépi tanulási szabályok sorozatát.
Pontozó szögletes zárójelek
A hírnévpontszám numerikus pontszámként jelenik meg, nullától 100-ig terjedő tartománnyal. A pontszámmal 0 rendelkező entitások nem társíthatók gyanús tevékenységekhez vagy ismert IOC-khez; a pontszám 100 azt jelzi, hogy az entitás rosszindulatú. A gazdagépek, tartományok és IP-címek a numerikus pontszámuktól függően a következő kategóriákba vannak csoportosítva:
| Pontszám | Kategória | Leírás |
|---|---|---|
| 75+ | Rosszindulatú | Az entitás megerősítette, hogy társítja az ismert kártékony infrastruktúrát, amely megjelenik a tiltólistán, és megfelel a gyanús tevékenységet észlelő gépi tanulási szabályoknak. |
| 50 – 74 | Gyanús | Az entitás valószínűleg gyanús infrastruktúrához van társítva három vagy több gépi tanulási szabály egyezése alapján. |
| 25 – 49 | Semleges | Az entitás legalább két gépi tanulási szabálynak megfelel. |
| 0 – 24 | Ismeretlen (zöld) | Az entitás legalább egy egyező szabályt adott vissza. |
| 0 – 24 | Ismeretlen (szürke) | Az entitás nem adott vissza szabály egyezést. |
Észlelési szabályok
A hírnévpontszám számos olyan tényezőn alapul, amelyekre hivatkozhat egy tartomány vagy cím relatív minőségének meghatározásához. Ezek a tényezők a hírnévpontszámokat alkotó gépi tanulási szabályokban is tükröződnek. Például a .xyz legfelső .cc szintű tartományok (TLD-k) gyanúsabbak, mint .com a vagy .org a TLD-k. Az alacsony költségű vagy ingyenes szolgáltató által üzemeltetett autonóm rendszerszámok (ASN) nagyobb valószínűséggel kapcsolódnak rosszindulatú tevékenységekhez, mint egy önaláírt TLS-tanúsítvány. Ezt a hírnévmodellt úgy fejlesztették ki, hogy megvizsgálták ezeknek a jellemzőknek a relatív előfordulásait a rosszindulatú és jóindulatú mutatók között, hogy egy entitás általános hírnevét értékelje.
Az alábbi táblázatban példákat találhat arra, hogy egy gazdagép, tartomány vagy IP-cím gyanús-e.
Fontos
Ez a lista nem átfogó, és folyamatosan változik; az észlelési logika és a következményi képességek dinamikusak, mivel tükrözik a változó fenyegetési környezetet. Ezért nem tesszük közzé az entitások jó hírnevének értékeléséhez használt gépi tanulási szabályok átfogó listáját.
| Szabály neve | Leírás |
|---|---|
| Önaláírt TLS-tanúsítvány | Az önaláírt tanúsítványok rosszindulatú viselkedést jelezhetnek |
| Rosszindulatúként címkézve | A szervezet egy tagja rosszindulatúként címkézte meg |
| Megfigyelt webösszetevők | A megfigyelt webösszetevők száma rosszindulatúságot jelezhet |
| Névkiszolgáló | A tartomány olyan névkiszolgálót használ, amelyet a rosszindulatú infrastruktúra nagyobb valószínűséggel használ |
| Anyakönyvvezető | A regisztrálónál regisztrált tartományok nagyobb valószínűséggel rosszindulatúak |
| Regisztráló e-mail-szolgáltató | A tartomány olyan e-mail-szolgáltatónál van regisztrálva, amely nagyobb valószínűséggel regisztrál rosszindulatú tartományokat |
Fontos megjegyezni, hogy ezeket a tényezőket holisztikusan kell értékelni, hogy pontos értékelést lehessen készíteni egy entitás jó hírnevéről. Az egyes mutatók helyett a mutatók adott kombinációja előrejelezheti, hogy egy entitás valószínűleg rosszindulatú vagy gyanús-e.
Súlyosság
A gépi tanulási észlelési rendszerhez létrehozott szabályok súlyossági minősítéssel rendelkeznek. Minden szabályhoz magas, közepes vagy alacsony súlyosság van rendelve a szabályhoz társított kockázati szint alapján.
Használati esetek
Incidensek osztályozása, reagálás és veszélyforrás-keresés
A Defender TI hírnévpontszáma, besorolása, szabályai és leírása alapján gyorsan felmérhető, hogy egy IP-cím vagy tartomány mutatója jó, gyanús vagy rosszindulatú-e. Máskor előfordulhat, hogy nem figyelünk meg elegendő infrastruktúrát egy IP-címhez vagy tartományhoz ahhoz, hogy kikövetkezeljük, hogy a mutató jó vagy rossz. Ha egy mutató ismeretlen vagy semleges besorolással rendelkezik, javasoljuk, hogy végezzen mélyebb vizsgálatot az adathalmazok áttekintésével, hogy a mutató jó vagy rossz-e. Ha egy mutató hírnevének része egy cikktársítás, javasoljuk, hogy tekintse át a felsorolt cikkeket, hogy többet tudjon meg arról, hogyan kapcsolódik a mutató egy potenciális fenyegetést jelentő szereplő kampányához; milyen iparágakat vagy nemzeteket célozhatnak meg; és milyen technikákkal, taktikával és eljárásokkal (TTP-kkel) rendelkezhetnek; és azonosítsa az egyéb kapcsolódó IOC-ket az incidensre való reagálási és vadászati erőfeszítések hatókörének bővítése érdekében.
Intelligenciagyűjtés
A kapcsolódó cikkeket megoszthatja a fenyegetésfelderítési csapattal, így jobban megérthetik, hogy ki célozhatja a szervezetét.