데이터 집합

중요

2024년 6월 30일에 Defender TI(Microsoft Defender Threat Intelligence) 독립 실행형 포털 https://ti.defender.microsoft.com 이 사용 중지되고 더 이상 액세스할 수 없게 됩니다. 고객은 Microsoft Defender 포털에서 또는 Microsoft Copilot for Security와 함께 Defender TI를 계속 사용할 수 있습니다. 자세한 정보

Microsoft는 수많은 데이터 세트를 Microsoft Defender TI(Defender Threat Intelligence)로 중앙 집중화하여 Microsoft의 고객과 커뮤니티가 인프라 분석을 더 쉽게 수행할 수 있도록 합니다. Microsoft의 주요 초점은 다양한 보안 사용 사례를 지원하기 위해 인터넷 인프라에 대해 가능한 한 많은 데이터를 제공하는 것입니다.

Microsoft는 인터넷 데이터를 수집, 분석 및 인덱싱하여 다음을 지원합니다.

• 위협 감지 및 대응
• 인시던트 우선 순위 지정
• 조직을 대상으로 하는 행위자 그룹과 연결된 인프라를 사전에 식별

Microsoft는 수동 PDNS(Domain Name System) 센서 네트워크, 가상 사용자의 글로벌 프록시 네트워크, 포트 검사 및 맬웨어 및 추가된 DNS 데이터에 대한 기타 원본을 통해 인터넷 데이터를 수집합니다.

이 인터넷 데이터는 기존 및 고급의 두 가지 그룹으로 분류됩니다. 기존 데이터 세트는 다음과 같습니다.

• 해결 방법:
• WHOIS 정보
• TLS/SSL 인증서
• 하위 도메인
• DNS
• 역방향 DNS
• 서비스

고급 데이터 세트는 다음과 같습니다.

• 추적기
• 구성 요소
• 호스트 쌍
• 쿠키

고급 데이터 세트는 크롤링된 웹 페이지의 DOM(문서 개체 모델)을 관찰하여 수집됩니다. 또한 구성 요소 및 추적기는 포트 검색 또는 TLS 인증서 세부 정보의 배너 응답에 따라 트리거되는 검색 규칙에서도 관찰됩니다.

해결 방법:

PDNS는 지정된 위치, 레코드 및 기간의 DNS 확인 데이터를 저장하는 레코드 시스템입니다. 이 기록 확인 데이터 집합을 사용하면 IP 주소로 확인된 도메인과 그 반대로 확인된 도메인을 볼 수 있습니다. 이 데이터 집합을 사용하면 도메인 또는 IP 겹침을 기반으로 시간 기반 상관 관계를 설정할 수 있습니다.

PDNS를 사용하면 이전에 알 수 없거나 새로 강화된 위협 행위자 인프라를 식별할 수 있습니다. 차단 목록에 지표를 사전에 추가하면 캠페인이 발생하기 전에 통신 경로가 차단됩니다. 레코드 확인 데이터는 Microsoft Defender 포털의 Intel 탐색기 페이지에 있는 해결 방법 탭 내에서 사용할 수 있습니다. DNS 탭에서 더 많은 유형의 DNS 레코드를 사용할 수 있습니다.

PDNS 확인 데이터에는 다음 정보가 포함됩니다.

• 해결: 확인 엔터티의 이름(IP 주소 또는 도메인)
• 위치: IP 주소가 호스트되는 위치
• 네트워크: IP 주소와 연결된 netblock 또는 서브넷
• ASN: ASN(자치 시스템 번호) 및 조직 이름
• 처음 본 날짜: Microsoft에서 이 해결 방법을 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본 날짜: Microsoft에서 이 해결 방법을 마지막으로 관찰한 날짜의 타임스탬프
• 원본: 관계 검색을 사용하도록 설정한 원본입니다.
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그(자세한 정보)

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

도메인:

• Defender TI는 언제 먼저 도메인이 IP 주소로 확인되는 것을 관찰했나요?

  

• Defender TI가 도메인이 IP 주소로 적극적으로 확인되는 것을 마지막으로 본 시기는 언제인가요?

• 도메인이 현재 확인되는 IP 주소 또는 주소는 무엇인가요?

  

IP 주소:

• IP 주소를 라우팅할 수 있나요?

  

• IP 주소 부분은 어떤 서브넷인가요?

  

• 서브넷과 연결된 소유자가 있나요?

  

• IP 주소의 일부인 AS는 무엇인가요?

  

• 지리적 위치가 있나요?

  

WHOIS

하루에 수천 번, 도메인은 개인과 조직 간에 구입 및/또는 전송됩니다. 프로세스는 쉽고 몇 분밖에 걸리지 않으며 등록 기관 공급자에 따라 $7까지 낮을 수 있습니다. 결제 세부 정보 외에도 자신에 대한 추가 정보를 제공해야 합니다. 이 정보 중 일부는 도메인이 설정된 WHOIS 레코드의 일부로 저장됩니다. 이 작업은 공용 도메인 등록으로 간주됩니다. 그러나 도메인의 WHOIS 레코드에서 개인 정보를 숨길 수 있는 프라이빗 도메인 등록 서비스가 있습니다. 이러한 상황에서 도메인 소유자의 정보는 안전하며 등록 기관의 정보로 대체됩니다. 더 많은 행위자 그룹이 프라이빗 도메인 등록을 수행하여 분석가가 소유한 다른 도메인을 찾기 어렵게 만듭니다. Defender TI는 WHOIS 레코드가 잠재 고객을 제공하지 않는 경우 행위자 공유 인프라를 찾기 위한 다양한 데이터 세트를 제공합니다.

WHOIS는 누구나 도메인, IP 주소 또는 서브넷에 대한 정보를 쿼리할 수 있는 프로토콜입니다. 위협 인프라 연구에서 WHOIS의 가장 일반적인 기능 중 하나는 WHOIS 레코드 내에서 공유되는 고유한 데이터를 기반으로 서로 다른 엔터티를 식별하거나 연결하는 것입니다. 도메인을 직접 구매한 적이 있는 경우 등록 기관에서 요청한 콘텐츠가 확인되지 않은 것으로 확인되었을 수 있습니다. 사실, 당신은 기록에 아무것도 넣을 수 있습니다 (그리고 많은 사람들이 할), 다음 세계에 표시 될 것입니다.

각 WHOIS 레코드에는 여러 섹션이 있으며, 모두 서로 다른 정보를 포함할 수 있습니다. 일반적으로 발견되는 섹션에는 등록 기관, 등록자, 관리자 및 기술이 포함되며, 각 섹션은 레코드에 대한 다른 연락처에 잠재적으로 해당합니다. 이 데이터는 대부분의 경우 섹션 간에 중복되지만, 특히 행위자가 실수를 한 경우 약간의 불일치가 있을 수 있습니다. Defender TI 내에서 WHOIS 정보를 볼 때 데이터를 중복 제거하고 레코드의 어느 부분을 기록했는지를 표시하는 압축된 레코드가 표시됩니다. 이 프로세스는 분석가 워크플로의 속도를 크게 향상시키고 데이터가 간과되는 것을 방지합니다. Defender TI의 WHOIS 정보는 WhoisIQ™ 데이터베이스에서 제공합니다.

WHOIS 데이터에는 다음 정보가 포함됩니다.

• 레코드 업데이트됨: WHOIS 레코드가 마지막으로 업데이트된 날을 나타내는 타임스탬프
• 마지막으로 검사한 날짜: Defender TI 시스템에서 마지막으로 레코드를 검사한 날짜
• 만료: 등록 만료 날짜(사용 가능한 경우)
• 만든: 현재 WHOIS 레코드의 나이
• WHOIS 서버: ICANN 공인 등록 기관에서 설정한 서버는 해당 도메인 내에 등록된 도메인에 대한 최신 정보를 획득합니다.
• 기록원: 아티팩트 등록에 사용되는 등록자 서비스
• 도메인 상태: 도메인의 현재 상태입니다. "활성" 도메인이 인터넷에 있습니다.
• 메일 주소: WHOIS 레코드에 있는 전자 메일 주소와 각 연락처 유형이 연결되어 있습니다(예: 관리자 또는 기술).
• 이름: 레코드 내의 연락처 이름 및 각 연락처 유형이 연결됩니다.
• 조직: 레코드 내의 모든 조직의 이름 및 각 연락처 유형이 연결됩니다.
• 거리: 레코드와 연결된 모든 거리 주소 및 해당 연락처의 유형
• 도시: 레코드와 연결된 주소에 나열된 모든 도시 및 해당 연락처의 유형
• 상태: 레코드와 연결된 주소에 나열된 모든 상태 및 해당 연락처의 유형
• 우편번호: 레코드와 연결된 주소에 나열된 우편 번호 및 해당 연락처의 유형
• 나라: 레코드와 연결된 주소에 나열된 모든 국가 또는 지역 및 해당 연락처의 유형
• 전화: 레코드에 나열된 전화 번호 및 해당 연락처의 유형
• 이름 서버: 등록된 엔터티에 연결된 모든 이름 서버

현재 WHOIS 조회

Defender TI의 현재 WHOIS 리포지토리는 현재 등록되어 관심 있는 WHOIS 특성과 연결된 Microsoft WHOIS 컬렉션의 모든 도메인을 강조 표시합니다. 이 데이터는 도메인 등록에 사용되는 이메일 주소와 함께 도메인의 등록 및 만료 날짜를 강조 표시합니다. 이 데이터는 플랫폼의 WHOIS 검색 탭에 표시됩니다.

기록 WHOIS 조회

Defender TI의 WHOIS 기록 리포지토리는 시스템의 관찰에 따라 WHOIS 특성에 대한 알려진 모든 기록 도메인 연결에 대한 액세스 권한을 사용자에게 제공합니다. 이 데이터 집합은 사용자가 처음으로 표시에서 피벗하는 특성과 쿼리된 도메인과 특성 간의 연결을 마지막으로 관찰한 특성과 연결된 모든 도메인을 강조 표시합니다. 이 데이터는 WHOIS 현재 탭 옆에 있는 별도의 탭에 표시됩니다.

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 도메인은 몇 살인가요?

  

• 정보가 개인 정보 보호로 표시되나요?

  

• 데이터가 고유한 것처럼 보이나요?

  

• 어떤 이름 서버가 사용됩니까?

  

• 이 도메인이 싱크홀 도메인인가요?

  

• 이 도메인이 주차된 도메인인가요?

  

• 이 도메인이 허니팟 도메인인가요?

  

• 역사가 있습니까?

  

• 가짜 개인 정보 보호 이메일이 있습니까?

  

• WHOIS 레코드에 가짜 이름이 있나요?

• 다른 관련 IOC가 도메인 간에 잠재적으로 공유된 WHOIS 값을 검색하여 식별되나요?

  

  

인증서

TLS 인증서는 데이터 보안 외에도 사용자가 서로 다른 네트워크 인프라를 연결하는 환상적인 방법입니다. 최신 검사 기술을 사용하면 몇 시간 만에 인터넷의 모든 노드에 대해 데이터 요청을 수행할 수 있습니다. 즉, 인증서를 쉽고 정기적으로 호스트하는 IP 주소에 연결할 수 있습니다.

WHOIS 레코드와 마찬가지로 TLS 인증서는 최종 제품을 생성하기 위해 사용자가 정보를 제공해야 합니다. 도메인 외에도 TLS 인증서에는 자체 서명되지 않은 경우 인증서를 만드는 사람이 포함됩니다. 사용자는 추가 정보를 구성할 수 있습니다. Microsoft 사용자가 TLS 인증서에서 가장 많은 값을 볼 수 있는 위치는 인증서를 생성할 때 누군가가 사용할 수 있는 고유한 데이터가 아니라 호스트되는 위치입니다.

TLS 인증서에 액세스하려면 웹 서버와 연결하고 특정 포트(대부분 443)를 통해 노출해야 합니다. 매주 대량 인터넷 검사를 사용하면 모든 IP 주소를 검색하고 호스팅되는 인증서를 가져와서 인증서 데이터의 기록 리포지토리를 빌드할 수 있습니다. TLS 인증서 매핑에 대한 IP 주소 데이터베이스를 사용하면 인프라의 겹침을 식별할 수 있습니다.

이 개념을 자세히 설명하기 위해 행위자가 자체 서명된 TLS 인증서를 사용하여 서버를 설정하는 것을 상상해 보세요. 며칠 후, 수비수는 인프라에 현명해지고 악성 콘텐츠를 호스팅하는 웹 서버를 차단합니다. 작업자는 모든 작업을 삭제하는 대신 모든 내용(TLS 인증서 포함)을 복사하여 새 서버에 배치합니다. 이제 사용자는 인증서의 고유한 SHA-1 값을 사용하여 연결을 만들고 두 웹 서버(하나의 차단됨, 알 수 없음)가 어떤 방식으로든 연결되어 있다고 말할 수 있습니다.

TLS 인증서를 더 중요하게 만드는 것은 수동 DNS 또는 WHOIS 데이터가 누락될 수 있는 연결을 만들 수 있다는 것입니다. 이는 잠재적인 악성 인프라를 상호 연결하고 행위자의 잠재적 운영 보안 오류를 식별하는 더 많은 방법을 의미합니다. Defender TI는 2013년부터 3천만 개 이상의 인증서를 수집했으며 인증서 콘텐츠 및 기록에 대한 상관 관계를 만드는 도구를 제공합니다.

TLS 인증서는 암호화 키를 사용자가 제공한 세부 정보 집합에 디지털로 바인딩하는 파일입니다. Defender TI는 인터넷 검사 기술을 사용하여 다양한 포트의 IP 주소에서 TLS 인증서 연결을 수집합니다. 이러한 인증서는 로컬 데이터베이스 내부에 저장되며 지정된 TLS 인증서가 인터넷에 표시되는 타임라인을 만들 수 있습니다.

인증서 데이터에는 다음 정보가 포함됩니다.

• Sha1: TLS 인증서 자산에 대한 SHA-1 알고리즘 해시
• 처음 본 것: 아티팩트에서 이 인증서를 처음 관찰한 날짜를 표시하는 타임스탬프
• 마지막으로 본: 아티팩트에서 이 인증서를 마지막으로 관찰한 날짜를 표시하는 타임스탬프
• 인프라: 인증서와 연결된 모든 관련 인프라

SHA-1 해시를 확장하면 다음 세부 정보가 표시됩니다.

• 일련 번호: TLS 인증서와 연결된 일련 번호
• 발급: 인증서를 발급한 날짜
• 만료: 인증서가 만료되는 날짜
• 주체 일반 이름: 연결된 TLS 인증서의 주체 일반 이름
• 발급자 일반 이름: 연결된 TLS 인증서의 발급자 일반 이름
• 주체 대체 이름: 인증서에 대한 다른 일반 이름
• 발급자 대체 이름: 발급자의 다른 이름
• 주체 조직 이름: TLS 인증서 등록에 연결된 조직
• 발급자 조직 이름: 인증서 문제를 오케스트레이션한 조직의 이름
• SSL 버전: 인증서가 등록된 SSL/TLS 버전
• 주체 조직 구성 단위: 인증서를 담당하는 조직 내의 부서를 나타내는 선택적 메타데이터
• 발급자 조직 구성 단위: 인증서를 발급하는 조직에 대한 추가 정보
• 주체 거리 주소: 조직이 있는 거리 주소
• 발급자 주소: 발급자 조직이 있는 거리 주소
• 주체 지역: 조직이 있는 도시
• 발급자 지역: 발급자 조직이 있는 도시
• 주/주: 조직이 있는 주 또는 주
• 발급자 주/주: 발급자 조직이 있는 주 또는 주
• 주체 국가: 조직이 있는 국가 또는 지역
• 발급자 국가: 발급자 조직이 있는 국가 또는 지역
• 관련 인프라: 인증서와 연결된 모든 관련 인프라

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 이 인증서가 연결된 다른 인프라는 무엇인가요?

  

• 인증서에 좋은 피벗 지점으로 사용할 수 있는 고유한 데이터 요소가 있나요?

  

• 인증서가 자체 서명되어 있나요?

  

• 무료 공급자의 인증서인가요?

  

• 어떤 기간 동안 인증서가 사용 중으로 관찰되었나요?

  

하위 도메인

하위 도메인은 기본 도메인의 일부인 인터넷 도메인입니다. 하위 도메인을 "호스트"라고도 합니다. 예를 들어 는 learn.microsoft.com 의 하위 도메인입니다 microsoft.com. 모든 하위 도메인에 대해 도메인이 확인하는 새 IP 주소 집합이 있을 수 있으며, 이는 관련 인프라를 찾는 데 유용한 데이터 원본이 될 수 있습니다.

하위 도메인 데이터에는 다음 정보가 포함됩니다.

• 호스트 이름: 검색된 도메인과 연결된 하위 도메인
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 상위 수준 도메인과 연결된 하위 도메인이 더 있나요?

  

• 하위 도메인이 악의적인 활동과 연결되어 있나요?

  

• 이 도메인을 소유하고 있는 경우 하위 도메인이 생소해 보이나요?

• 나열된 하위 도메인에 다른 악성 도메인과 연결된 패턴이 있나요?

• 각 하위 도메인을 피벗하면 이전에 대상과 연결되지 않은 새 IP 주소 공간이 표시됩니까?

• 루트 도메인과 일치하지 않는 다른 관련 없는 인프라는 무엇인가요?

추적기

추적기는 웹 페이지 내에서 발견되는 고유한 코드 또는 값이며 사용자 상호 작용을 추적하는 데 자주 사용됩니다. 이러한 코드는 서로 다른 웹 사이트 그룹을 중앙 엔터티와 상호 연결하는 데 사용할 수 있습니다. 종종 위협 행위자는 피싱 캠페인을 위해 가장하려는 피해자 웹 사이트의 소스 코드를 복사합니다. 이러한 ID를 제거하는 데 시간이 거의 걸리지 않으므로 사용자가 Defender TI의 추적기 데이터 세트를 사용하여 이러한 사기 사이트를 식별할 수 있습니다. 또한 행위자는 추적기 ID를 배포하여 공격 캠페인이 얼마나 성공적인지 확인할 수 있습니다. 이 활동은 마케터가 Google Analytics 추적기 ID와 같은 SEO ID를 사용하여 마케팅 캠페인의 성공을 추적하는 방법과 유사합니다.

추적기 데이터 세트에는 Google, Yandex, Mixpanel, New Relic 및 Clicky와 같은 공급자의 ID가 포함되어 있으며 계속 성장하고 있습니다. 여기에는 다음 정보가 포함됩니다.

• 호스트 이름: 추적기가 검색된 인프라를 호스트하는 호스트 이름입니다.
• 처음 본 날짜: Microsoft에서 아티팩트에서 이 추적기를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본 날짜: Microsoft에서 아티팩트에서 이 추적기를 마지막으로 관찰한 날짜의 타임스탬프
• 형식: 검색된 추적기의 유형(예: GoogleAnalyticsID 또는 JarmHash)
• 값: 추적기 식별 값
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 동일한 분석 ID를 사용하는 다른 리소스가 있나요?

  

• 이러한 리소스가 조직과 연결되어 있습니까, 아니면 침해 공격을 수행하려고 합니까?

• 추적기 간에 겹치는 내용이 있나요- 다른 웹 사이트와 공유하나요?

• 웹 페이지에서 찾을 수 있는 추적기의 유형은 무엇인가요?

  

• 추적기의 기간은 얼마인가요?

  

• 추적기 값의 변경 빈도는 무엇인가요?

• 웹 사이트 복제 소프트웨어(예: MarkOfTheWeb 또는 HTTrack)에 연결되는 추적기가 있나요?

  

• 악의적인 C2(명령 및 제어) 서버 맬웨어(예: JARM)에 연결되는 추적기가 있나요?

  

구성 요소

웹 구성 요소는 웹 크롤링 또는 검사를 수행하는 Microsoft에서 수집한 웹 페이지 또는 서버 인프라를 설명하는 세부 정보입니다. 이러한 구성 요소를 사용하면 웹 페이지의 구성 또는 특정 인프라를 구동하는 기술 및 서비스를 이해할 수 있습니다. 고유한 구성 요소를 피벗하면 행위자 인프라 또는 기타 손상된 사이트를 찾을 수 있습니다. 웹 사이트가 실행 중인 기술에 따라 특정 공격이나 손상에 취약할 수 있는지도 이해할 수 있습니다.

구성 요소 데이터에는 다음 정보가 포함됩니다.

• 호스트 이름: 구성 요소가 검색된 인프라를 호스트하는 호스트 이름
• 처음 본 것: Microsoft가 아티팩트에서 이 구성 요소를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본: Microsoft가 아티팩트에서 이 구성 요소를 마지막으로 관찰한 날짜의 타임스탬프
• 범주: 검색된 구성 요소 유형(예: 운영 체제, 프레임워크, 원격 액세스 또는 서버)
• 이름 + 버전: 아티팩트에서 실행되는 구성 요소 이름 및 버전(예: Microsoft IIS(v8.5))
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 어떤 취약한 인프라를 사용하고 있나요?

  

  

  Magento v1.9는 날짜가 너무 오래되어 Microsoft에서 해당 특정 버전에 대한 신뢰할 수 있는 설명서를 찾을 수 없습니다.

• 다른 도메인으로 추적할 수 있는 위협 행위자가 사용하는 고유한 웹 구성 요소는 무엇인가요?

• 구성 요소가 악성으로 표시되어 있나요?

• 식별된 웹 구성 요소는 몇 개입니까?

  

• 자주 볼 수 없는 독특하거나 이상한 기술이 있나요?

  

• 특정 기술의 가짜 버전이 있나요?

• 웹 구성 요소의 변경 빈도(자주 또는 거의 수행되지 않는 경우)는 무엇인가요?

• 악용된 것으로 알려진 의심스러운 라이브러리가 있나요?

• 관련 취약성이 있는 기술이 있나요?

호스트 쌍

호스트 쌍은 가상 사용자의 웹 크롤링에서 관찰된 연결을 공유하는 두 가지 인프라(부모 및 자식)입니다. 연결 범위는 최상위 리디렉션(HTTP 302)부터 iFrame 또는 스크립트 원본 참조와 같은 더 복잡한 항목까지 다양할 수 있습니다.

호스트 쌍 데이터에는 다음 정보가 포함됩니다.

• 부모 호스트 이름: 자산을 참조하거나 자식 호스트에 "도달"하는 호스트입니다.
• 자식 호스트 이름: 부모 호스트에서 호출되는 호스트입니다.
• 처음 본 날짜: Microsoft가 호스트와의 관계를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본 날짜: Microsoft가 호스트와의 관계를 마지막으로 관찰한 날짜의 타임스탬프
• 원인: 부모 호스트 이름과 자식 호스트 이름 간의 연결 유형입니다. 잠재적 원인은 다음과 같습니다.
  • script.src
  • link.href
  • 리디렉션할
  • img.src
  • 알려지지 않은
  • xmlhttprequest
  • a.href
  • finalRedirect
  • css.import
  • parentPage
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 연결된 아티팩트가 차단 목록에 포함되었나요?

• 연결된 아티팩트에 태그가 지정되어 있나요(예: 피싱, APT, 악의적인, 의심스러운 특정 위협 행위자)?

• 이 호스트가 사용자를 악의적인 콘텐츠로 리디렉션하고 있나요?

  

• 리소스가 CSS 또는 이미지를 끌어와서 침해 공격을 설정하나요?

  

• 리소스가 스크립트를 끌어들이거나 link.href 를 참조하여 Magecart 또는 스키밍 공격을 설정합니까?

  

• 사용자가 리디렉션되는 위치는 어디인가요?

• 어떤 유형의 리디렉션이 발생합니까?

쿠키

쿠키는 사용자가 인터넷을 탐색할 때 서버에서 클라이언트로 전송되는 작은 데이터 조각입니다. 이러한 값은 경우에 따라 애플리케이션에 대한 상태 또는 약간의 추적 데이터를 포함합니다. Defender TI는 웹 사이트를 크롤링할 때 관찰되는 쿠키 이름을 강조 표시하고 인덱싱하며 크롤링 및 데이터 수집에서 특정 쿠키 이름을 관찰한 모든 곳을 자세히 살펴볼 수 있습니다. 또한 악의적인 행위자는 쿠키를 사용하여 감염된 피해자를 추적하거나 나중에 사용할 수 있는 데이터를 저장합니다.

쿠키 데이터에는 다음 정보가 포함됩니다.

• 호스트 이름: 쿠키와 연결된 호스트 인프라
• 처음 본 것: Microsoft가 아티팩트에서 이 쿠키를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본: Microsoft가 아티팩트에서 이 쿠키를 마지막으로 관찰한 날짜의 타임스탬프
• 이름: 쿠키 이름(예: JSESSIONID 또는 SEARCH_NAMESITE)입니다.
• 도메인: 쿠키와 연결된 도메인
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 동일한 쿠키를 발급하는 다른 웹 사이트는 무엇인가요?

  

• 동일한 쿠키를 추적하는 다른 웹 사이트는 무엇인가요?

  

• 쿠키 도메인이 내 쿼리와 일치하나요?

• 아티팩트와 연결된 쿠키는 몇 개입니까?

  

• 고유한 쿠키 이름 또는 도메인이 있나요?

• 쿠키와 관련된 기간은 무엇인가요?

• 새로 관찰된 쿠키 또는 쿠키와 관련된 변경의 빈도는 무엇인가요?

서비스

서비스 이름 및 포트 번호는 TCP, UDP, DCCP 및 SCTP와 같은 전송 프로토콜을 통해 실행되는 다양한 서비스를 구분하는 데 사용됩니다. 포트 번호는 특정 포트에서 실행되는 애플리케이션 유형을 제안할 수 있습니다. 그러나 다른 포트를 사용하여 IP 주소에서 애플리케이션 또는 서비스를 난독 처리하거나 숨기도록 애플리케이션 또는 서비스를 변경할 수 있습니다. 포트 및 헤더/배너 정보를 알면 실제 애플리케이션/서비스 및 사용 중인 포트 조합을 식별할 수 있습니다. Defender TI는 서비스 탭 내에서 14일간의 기록을 표시하며 관찰된 포트와 연결된 마지막 배너 응답을 표시합니다.

서비스 데이터에는 다음 정보가 포함됩니다.

• 관찰된 열린 포트
• 포트 번호
• 구성 요소
• 서비스가 관찰된 횟수
• 포트가 마지막으로 검사된 경우
• 프로토콜 연결
• 포트 상태
  • 열기
  • 필터링
  • 종료됨
• 배너 응답

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 지정된 IP 주소의 특정 포트에서 실행되는 애플리케이션은 무엇인가요?

  

• 사용 중인 애플리케이션 버전은 무엇인가요?

• 지정된 포트에 대한 열려 있거나 필터링되거나 닫힌 상태의 최근 변경 내용이 있나요?

  

• 인증서가 연결과 연결되었나요?

  

• 지정된 자산에서 취약하거나 사용되지 않는 기술이 사용 중입니까?

  

  

• 악의적인 목적으로 사용할 수 있는 실행 중인 서비스에 의해 정보가 노출되고 있나요?

• 보안 모범 사례를 따르고 있나요?

DNS

Microsoft는 수년에 걸쳐 DNS 레코드를 수집하여 MX(메일 교환), NS(이름 서버), 텍스트(TXT), SOA(권한 시작), CNAME(정식 이름) 및 포인터(PTR) 레코드에 대한 인사이트를 제공합니다. DNS 레코드를 검토하면 사용자가 소유한 도메인에서 행위자가 사용하는 공유 인프라를 식별하는 데 도움이 될 수 있습니다. 예를 들어 위협 행위자가 동일한 이름 서버를 사용하여 인프라 또는 동일한 메일 교환 서버를 분할하여 명령 및 제어를 관리하는 경향이 있습니다.

DNS 데이터에는 다음 정보가 포함됩니다.

• 값: 호스트와 연결된 DNS 레코드
• 처음 본 날짜: Microsoft에서 아티팩트에서 이 레코드를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본 날짜: Microsoft가 아티팩트에서 이 레코드를 마지막으로 관찰한 날짜의 타임스탬프
• 형식: 레코드와 연결된 인프라의 형식입니다. 가능한 옵션은 다음과 같습니다.
  • MX
  • TXT
  • NS(NS)
  • CNAMES
  • SOA
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 검색하는 지표와 직접 관련된 다른 인프라는 무엇인가요?
• 시간이 지남에 따라 인프라가 어떻게 변경되었나요?
• 도메인 소유자가 콘텐츠 배달 네트워크 또는 브랜드 보호 서비스의 서비스를 사용 중입니까?
• 연결된 조직이 네트워크 내에서 사용할 수 있는 다른 기술은 무엇인가요?

역방향 DNS

정방향 DNS 조회가 특정 호스트 이름의 IP 주소를 쿼리하는 동안 역방향 DNS 조회는 IP 주소의 특정 호스트 이름을 쿼리합니다. 이 데이터 집합은 DNS와 유사한 결과를 표시합니다. DNS 레코드를 검토하면 사용자가 소유한 도메인에서 행위자가 사용하는 공유 인프라를 식별하는 데 도움이 될 수 있습니다. 예를 들어 행위자 그룹은 동일한 이름 서버를 사용하여 인프라 또는 동일한 메일 교환 서버를 분할하여 명령 및 제어를 관리하는 경향이 있습니다.

역방향 DNS 데이터에는 다음 정보가 포함됩니다.

• 값: 역방향 DNS 레코드의 값입니다.
• 처음 본 날짜: Microsoft에서 아티팩트에서 이 레코드를 처음 관찰한 날짜의 타임스탬프
• 마지막으로 본 날짜: Microsoft에서 아티팩트에서 이 레코드를 처음 관찰한 날짜의 타임스탬프
• 형식: 레코드와 연결된 인프라의 형식입니다. 가능한 옵션은 다음과 같습니다.
  • MX
  • TXT
  • NS(NS)
  • CNAMES
  • SOA
• 태그: Defender TI에서 이 아티팩트에 적용된 모든 태그

이 데이터 집합에 대한 질문이 답변에 도움이 될 수 있습니다.

• 이 호스트를 관찰한 DNS 레코드는 무엇입니까?
• 이 호스트를 관찰한 인프라는 시간이 지남에 따라 어떻게 변경되었나요?

참고 항목

• 검색 및 피벗
• 데이터 정렬, 필터링, 다운로드
• 인프라 연결
• 자습서: 위협 인텔리전스 및 인프라 체인 수집