Reputatiescore
Belangrijk
Op 30 juni 2024 is de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender-portal of met Microsoft Copilot voor Beveiliging. Meer informatie
Microsoft Defender-bedreigingsinformatie (Defender TI) biedt eigen reputatiescores voor elke host, domein of IP-adres. Of u nu de reputatie van een bekende of onbekende entiteit valideert, deze score helpt u snel inzicht te verkrijgen in gedetecteerde banden met schadelijke of verdachte infrastructuur. Defender TI biedt snelle informatie over de activiteit van deze entiteiten (bijvoorbeeld eerste en laatst gezien tijdstempels, autonome systeemnummers en bijbehorende infrastructuur) en een lijst met regels die van invloed zijn op de reputatiescore, indien van toepassing.
Reputatiegegevens zijn belangrijk voor het begrijpen van de betrouwbaarheid van uw eigen aanvalsoppervlak en zijn ook nuttig bij het beoordelen van onbekende hosts, domeinen of IP-adressen die in onderzoeken worden weergegeven. Deze scores onthullen alle eerdere schadelijke of verdachte activiteiten die van invloed waren op de entiteit, of andere bekende indicatoren van inbreuk (IOC's) die moeten worden overwogen.
Inzicht in reputatiescores
Reputatiescores worden bepaald door een reeks algoritmen die zijn ontworpen om het risico dat aan een entiteit is gekoppeld, snel te kwantificeren. We ontwikkelen reputatiescores op basis van onze eigen gegevens met behulp van onze verkenningsinfrastructuur en op IP-gegevens die zijn verzameld van externe bronnen.
Detectiemethoden
Een reeks factoren bepaalt reputatiescores, waaronder bekende koppelingen naar entiteiten op de lijst met geblokkeerde entiteiten en een reeks machine learning-regels die worden gebruikt om risico's te beoordelen.
Scorehaakjes
Reputatiescores worden weergegeven als een numerieke score met een bereik van nul tot 100. Een entiteit met een score van 0
heeft geen koppelingen naar verdachte activiteiten of bekende IOC's; een score van 100
geeft aan dat de entiteit schadelijk is. Hosts, domeinen en IP-adressen worden gegroepeerd in de volgende categorieën, afhankelijk van hun numerieke score:
Score | Categorie | Beschrijving |
---|---|---|
75+ | Kwaadaardig | De entiteit heeft bevestigd dat er koppelingen zijn met bekende schadelijke infrastructuur die wordt weergegeven op onze blokkeringslijst en overeenkomt met machine learning-regels waarmee verdachte activiteiten worden gedetecteerd. |
50 – 74 | Achterdochtig | De entiteit is waarschijnlijk gekoppeld aan een verdachte infrastructuur op basis van overeenkomsten met drie of meer machine learning-regels. |
25 – 49 | Neutraal | De entiteit komt overeen met ten minste twee machine learning-regels. |
0 – 24 | Onbekend (groen) | De entiteit heeft ten minste één overeenkomende regel geretourneerd. |
0 – 24 | Onbekend (grijs) | De entiteit heeft geen regelovereenkomsten geretourneerd. |
Detectieregels
Reputatiescores zijn gebaseerd op veel factoren waarnaar u kunt verwijzen om de relatieve kwaliteit van een domein of adres te bepalen. Deze factoren worden weerspiegeld in de machine learning-regels waaruit de reputatiescores bestaan. Domeinen op het hoogste niveau (TLD's) zijn bijvoorbeeld .xyz
.cc
verdachter dan .com
tld's .org
. Een autonoom systeemnummer (ASN) dat wordt gehost door een goedkope of gratis hostingprovider, is waarschijnlijker gekoppeld aan schadelijke activiteiten, net als een zelfondertekend TLS-certificaat. Dit reputatiemodel is ontwikkeld door te kijken naar relatieve exemplaren van deze functies bij zowel schadelijke als goedaardige indicatoren om de algehele reputatie van een entiteit te beoordelen.
Raadpleeg de volgende tabel voor voorbeelden van regels die worden gebruikt om te bepalen of een host, domein of IP-adres verdacht is.
Belangrijk
Deze lijst is niet volledig en verandert voortdurend; onze detectielogica en de daaruit voortvloeiende mogelijkheden zijn dynamisch omdat ze het veranderende bedreigingslandschap weerspiegelen. Daarom publiceren we geen uitgebreide lijst met machine learning-regels die worden gebruikt om de reputatie van een entiteit te beoordelen.
Regelnaam | Beschrijving |
---|---|
Zelfondertekend TLS-certificaat | Zelfondertekende certificaten kunnen duiden op schadelijk gedrag |
Getagd als schadelijk | Gelabeld als schadelijk door een lid binnen uw organisatie |
Waargenomen webonderdelen | Het aantal waargenomen webonderdelen kan duiden op kwaadwilligheid |
Naamserver | Domein maakt gebruik van een naamserver die waarschijnlijk wordt gebruikt door schadelijke infrastructuur |
Griffier | Domeinen die zijn geregistreerd bij deze registrar, zijn waarschijnlijk schadelijke |
Registrar e-mailprovider | Domein is geregistreerd bij een e-mailprovider die waarschijnlijk schadelijke domeinen registreert |
Het is belangrijk om te onthouden dat deze factoren holistisch moeten worden beoordeeld om een nauwkeurige beoordeling te kunnen maken van de reputatie van een entiteit. De specifieke combinatie van indicatoren, in plaats van een afzonderlijke indicator, kan voorspellen of een entiteit waarschijnlijk schadelijk of verdacht is.
Ernst
Voor regels die zijn gemaakt voor het machine learning-detectiesysteem wordt een ernstclassificatie toegepast. Aan elke regel wordt de ernst Hoog, Gemiddeld of Laag toegewezen op basis van het risiconiveau dat aan de regel is gekoppeld.
Gebruiksvoorbeelden
Incident triage, respons en opsporing van bedreigingen
De reputatiescore, classificatie, regels en beschrijving van regels van Defender TI kunnen worden gebruikt om snel te beoordelen of een IP-adres of domeinindicator goed, verdacht of schadelijk is. Op andere momenten zien we mogelijk onvoldoende infrastructuur die is gekoppeld aan een IP-adres of domein om af te maken of de indicator goed of slecht is. Als een indicator een onbekende of neutrale classificatie heeft, wordt u aangemoedigd om een dieper onderzoek uit te voeren door onze gegevenssets te bekijken om af te maken of de indicator goed of slecht is. Als de reputatie van een indicator een artikelkoppeling bevat, wordt u aangemoedigd om die vermelde artikelen te bekijken voor meer informatie over hoe de indicator is gekoppeld aan de campagne van een potentiële bedreigingsacteur; op welke sectoren of landen ze zich kunnen richten; en welke bijbehorende technieken, tactieken en procedures (TTLP's) ze kunnen hebben; en identificeer andere gerelateerde IOC's om het bereik van de reactie en opsporing van uw incident te verruimen.
Inlichtingen verzamelen
U kunt alle bijbehorende artikelen delen met uw team voor bedreigingsinformatie, zodat ze beter begrijpen wie zich op hun organisatie richt.