Punteggio della reputazione
Importante
Il 30 giugno 2024 il portale autonomo Microsoft Defender Threat Intelligence (Defender TI) (https://ti.defender.microsoft.com) verrà ritirato e non sarà più accessibile. I clienti possono continuare a usare Defender TI nel portale di Microsoft Defender o con Microsoft Copilot per la sicurezza. Altre informazioni
Microsoft Defender Threat Intelligence (Defender TI) fornisce punteggi di reputazione proprietari per qualsiasi host, dominio o indirizzo IP. Se si convalida la reputazione di un'entità nota o sconosciuta, questo punteggio consente agli utenti di comprendere rapidamente eventuali collegamenti rilevati a un'infrastruttura dannosa o sospetta. La piattaforma fornisce informazioni rapide sull'attività di queste entità (ad esempio timestamp first e last seen, ASN, infrastruttura associata) e un elenco di regole che influiscono sul punteggio di reputazione, se applicabile.
I dati sulla reputazione sono importanti per comprendere l'attendibilità della propria superficie di attacco ed è utile anche quando si valutano host, domini o indirizzi IP sconosciuti visualizzati nelle indagini. Questi punteggi individuano eventuali attività dannose o sospette precedenti che hanno interessato l'entità o altri indicatori noti di compromissione che devono essere considerati.
Informazioni sui punteggi di reputazione
I punteggi di reputazione sono determinati da una serie di algoritmi progettati per quantificare rapidamente il rischio associato a un'entità. I punteggi di reputazione vengono sviluppati in base ai dati proprietari usando l'infrastruttura di ricerca per indicizzazione e le informazioni IP raccolte da origini esterne.
Metodi di rilevamento
Una serie di fattori determinano i punteggi di reputazione, incluse le associazioni note alle entità bloccate e una serie di regole di Machine Learning usate per valutare i rischi.
Parentesi di punteggio
I punteggi di reputazione vengono visualizzati come punteggio numerico con un intervallo compreso tra 0 e 100. Un'entità con punteggio "0" non ha associazioni note ad attività sospette o indicatori noti di compromissione; un punteggio di "100" indica che l'entità è dannosa. Host, domini e indirizzi IP sono raggruppati nelle categorie seguenti a seconda del punteggio numerico:
| Punteggio | Categoria | Descrizione |
|---|---|---|
| 75+ | Dannosa | L'entità ha confermato le associazioni a un'infrastruttura dannosa nota che viene visualizzata nell'elenco blocchi e corrisponde alle regole di Machine Learning che rilevano attività sospette. |
| 50 – 74 | Sospetta | L'entità è probabilmente associata all'infrastruttura sospetta in base alle corrispondenze a tre o più regole di Machine Learning. |
| 25 – 49 | Neutro | L'entità corrisponde ad almeno due regole di Machine Learning. |
| 0 – 24 | Sconosciuto (verde) | Se il punteggio è "Sconosciuto" e verde, l'entità ha restituito almeno una regola corrispondente. |
| 0 – 24 | Sconosciuto (grigio) | Se il punteggio è "Sconosciuto" e grigio, l'entità non ha restituito alcuna corrispondenza di regola. |
Regole di rilevamento
I punteggi di reputazione si basano su molti fattori a cui un analista può fare riferimento per determinare la qualità relativa di un dominio o di un indirizzo. Questi fattori si riflettono nelle regole di Machine Learning che comprendono i punteggi di reputazione. Ad esempio, .xyz o .cc i domini di primo livello sono in genere più sospetti rispetto .com ai .org domini TTLD. Un ASN (Numero di sistema autonomo) ospitato da un provider di hosting gratuito o a basso costo è più probabile che sia associato ad attività dannose, così come un certificato TLS autofirma. Questo modello di reputazione è stato sviluppato esaminando le occorrenze relative di queste funzionalità tra indicatori dannosi e benigni per assegnare un punteggio alla reputazione complessiva di un'entità.
Fare riferimento alla tabella seguente per esempi di regole usate per determinare se un host, un dominio o un indirizzo IP è sospetto.
Consiglio
Questo elenco non è completo ed è in continua evoluzione; la logica di rilevamento e le funzionalità conseguenti sono dinamiche in quanto riflettono l'evoluzione del panorama delle minacce. Per questo motivo, non viene pubblicato un elenco completo delle regole di Machine Learning usate per valutare la reputazione di un'entità.
| Nome regola | Descrizione |
|---|---|
| SSL-Certificate Self-Signed | I certificati autofirmati potrebbero indicare comportamenti dannosi |
| Contrassegnato come dannoso | Contrassegnato come dannoso da un membro all'interno dell'organizzazione |
| Componenti Web osservati | Il numero di componenti Web osservati potrebbe indicare dannosità |
| Server dei nomi | Il dominio usa un server dei nomi che è più probabile che venga usato da un'infrastruttura dannosa |
| Registrar | È più probabile che i domini registrati con questo registrar siano dannosi |
| Provider di posta elettronica registrante | Il dominio è registrato con un provider di posta elettronica che ha maggiori probabilità di registrare domini dannosi |
È importante ricordare che questi fattori devono essere valutati in modo olistico per eseguire una valutazione accurata della reputazione di un'entità. La combinazione specifica di indicatori, anziché qualsiasi singolo indicatore, può prevedere se un'entità è probabilmente dannosa o sospetta.
Gravità
Alle regole create per il sistema di rilevamento di Machine Learning viene applicata una classificazione di gravità. A ogni regola viene assegnata una gravità elevata, media o bassa in base al livello di rischio associato alla regola.
Situazioni di utilizzo
Valutazione, risposta e ricerca delle minacce degli eventi imprevisti
Il punteggio di reputazione, la classificazione, le regole e la descrizione delle regole di Defender TI possono essere usati per valutare rapidamente se un indirizzo IP o un indicatore di dominio è buono, sospetto o dannoso. Altre volte, potrebbe non essere stata osservata un'infrastruttura sufficiente associata a un indirizzo IP o a un dominio da dedurre se l'indicatore è buono o negativo. Se un indicatore ha una classificazione sconosciuta o neutra, gli utenti sono invitati a eseguire un'indagine più approfondita esaminando i set di dati per dedurre se l'indicatore è buono o negativo. Se la reputazione di un indicatore include un'associazione di articoli, gli utenti sono invitati a rivedere gli articoli elencati per saperne di più su come l'indicatore è collegato alla campagna di un potenziale attore di minacce, quali settori o nazioni potrebbero essere destinati, I PROVIDER di servizi di gestione delle minacce associati e identificare altri indicatori correlati di compromissione per ampliare l'ambito della risposta dell'evento imprevisto e gli sforzi di ricerca.
Raccolta di informazioni
Tutti gli articoli associati possono essere condivisi con il team di intelligence sulle minacce dell'analista, in modo da avere una comprensione più chiara di chi potrebbe essere destinato alla propria organizzazione.
Vedere anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per