İtibar puanlaması
Önemli
30 Haziran 2024'te Microsoft Defender Tehdit Bilgileri (Defender TI) tek başına portalı (https://ti.defender.microsoft.com) kullanımdan kaldırıldı ve artık erişilebilir değil. Müşteriler Microsoft Defender portalında veya Güvenlik için Microsoft Copilot ile Defender TI kullanmaya devam edebilir. Daha fazla bilgi edinin
Microsoft Defender Tehdit Bilgileri (Defender TI), herhangi bir konak, etki alanı veya IP adresi için özel itibar puanları sağlar. Bu puan, bilinen veya bilinmeyen bir varlığın itibarını doğrulayarak kötü amaçlı veya şüpheli altyapıyla ilgili algılanan tüm bağları hızla anlamanıza yardımcı olur. Defender TI, bu varlıkların etkinliği (örneğin, ilk ve son görülen zaman damgaları, otonom sistem numaraları ve ilişkili altyapı) hakkında hızlı bilgiler ve uygun olduğunda saygınlık puanını etkileyen kuralların bir listesini sağlar.
Saygınlık verileri, kendi saldırı yüzeyinizin güvenilirliğini anlamak için önemlidir ve araştırmalarda görünen bilinmeyen konakları, etki alanlarını veya IP adreslerini değerlendirirken de yararlıdır. Bu puanlar varlığı etkileyen önceki kötü amaçlı veya şüpheli etkinlikleri veya dikkate alınması gereken diğer bilinen risk göstergelerini (ICS) ortaya çıkarır.
Saygınlık puanlarını anlama
Saygınlık puanları, bir varlıkla ilişkili riski hızla ölçmek için tasarlanmış bir dizi algoritma tarafından belirlenir. Gezinme altyapımızı ve dış kaynaklardan toplanan IP bilgilerini kullanarak mülkiyet verilerimize dayalı olarak itibar puanları geliştiririz.
Algılama yöntemleri
Engellenen varlıklarla bilinen ilişkilendirmeler ve riski değerlendirmek için kullanılan bir dizi makine öğrenmesi kuralı dahil olmak üzere bir dizi faktör saygınlık puanlarını belirler.
Puanlama köşeli ayraçları
Saygınlık puanları, sıfırdan 100'e kadar olan bir aralıkla sayısal puan olarak görüntülenir. Puanı olan bir varlığın 0 şüpheli etkinlik veya bilinen IC'lerle ilişkisi yoktur; puanı 100 varlığın kötü amaçlı olduğunu gösterir. Konaklar, etki alanları ve IP adresleri, sayısal puanlarına bağlı olarak aşağıdaki kategorilerde gruplandırılır:
| Puan | Kategori | Açıklama |
|---|---|---|
| 75+ | Kötü niyetli | Varlık, engellenenler listemizde görünen ve şüpheli etkinliği algılayan makine öğrenmesi kurallarıyla eşleşen bilinen kötü amaçlı altyapıyla ilişkilendirmeleri onayladı. |
| 50 – 74 | Şüpheli | Varlık büyük olasılıkla üç veya daha fazla makine öğrenmesi kuralıyla eşleşmelere göre şüpheli altyapıyla ilişkilendirilir. |
| 25 – 49 | Nötr | Varlık en az iki makine öğrenmesi kuralıyla eşleşir. |
| 0 – 24 | Bilinmiyor (Yeşil) | Varlık en az bir eşleşen kural döndürdü. |
| 0 – 24 | Bilinmiyor (Gri) | Varlık hiçbir kural eşleşmesi döndürmedi. |
Algılama kuralları
Saygınlık puanları, bir etki alanının veya adresin göreli kalitesini belirlemek için başvurabileceğiniz birçok faktöre dayanır. Bu faktörler, itibar puanlarını oluşturan makine öğrenmesi kurallarına yansıtılır. Örneğin, .xyz.cc üst düzey etki alanları (TD) veya .org TD'lerden .com daha şüphelidir. Düşük maliyetli veya ücretsiz bir barındırma sağlayıcısı tarafından barındırılan otonom sistem numarasının (ASN), otomatik olarak imzalanan TLS sertifikası gibi kötü amaçlı etkinliklerle ilişkilendirilmesi daha olasıdır. Bu saygınlık modeli, bir varlığın genel itibarını puanlama amacıyla bu özelliklerin hem kötü amaçlı hem de zararsız göstergeler arasındaki göreli oluşumlarına bakılarak geliştirilmiştir.
Konak, etki alanı veya IP adresinin şüpheli olup olmadığını belirlemek için kullanılan kural örnekleri için aşağıdaki tabloya bakın.
Önemli
Bu liste kapsamlı değildir ve sürekli olarak değişmektedir; algılama mantığımız ve sonuç özelliklerimiz, gelişen tehdit ortamını yansıttıkça dinamiktir. Bu nedenle, bir varlığın itibarını değerlendirmek için kullanılan makine öğrenmesi kurallarının kapsamlı bir listesini yayımlamayız.
| Kural Adı | Açıklama |
|---|---|
| TLS sertifikası otomatik olarak imzalandı | Otomatik olarak imzalanan sertifikalar kötü amaçlı davranışa işaret edebilir |
| Kötü amaçlı olarak etiketlendi | Kuruluşunuzdaki bir üye tarafından kötü amaçlı olarak etiketlendi |
| Gözlemlenen web bileşenleri | Gözlemlenen web bileşeni sayısı kötü amaçlılığa işaret edebilir |
| Ad sunucusu | Etki alanı, kötü amaçlı altyapı tarafından kullanılma olasılığı daha yüksek olan bir ad sunucusu kullanıyor |
| Kayıt | Bu kayıt şirketine kayıtlı etki alanlarının kötü amaçlı olma olasılığı daha yüksektir |
| Kayıt olan e-posta sağlayıcısı | Etki alanı, kötü amaçlı etki alanlarını kaydetme olasılığı daha yüksek olan bir e-posta sağlayıcısına kaydedilir |
Bir varlığın saygınlığı hakkında doğru bir değerlendirme yapmak için bu faktörlerin bütünsel olarak değerlendirilmesi gerektiğini unutmayın. Herhangi bir gösterge yerine belirli gösterge birleşimi, bir varlığın kötü amaçlı mı yoksa şüpheli mi olacağını tahmin edebilir.
Önem derecesi
Makine öğrenmesi algılama sistemi için oluşturulan kuralların önem derecesi uygulanır. Her kurala, kuralla ilişkili risk düzeyine bağlı olarak Yüksek, Orta veya Düşük önem derecesi atanır.
Kullanım örnekleri
Olay önceliklendirme, yanıt ve tehdit avcılığı
Defender TI'nin saygınlık puanı, sınıflandırması, kuralları ve kuralların açıklaması, bir IP adresinin veya etki alanı göstergesinin iyi, şüpheli veya kötü amaçlı olup olmadığını hızla değerlendirmek için kullanılabilir. Diğer durumlarda, göstergenin iyi veya kötü olup olmadığını tahmin etmek için bir IP adresi veya etki alanıyla ilişkili yeterli altyapıyı gözlemleyemeyebiliriz. Bir göstergenin bilinmeyen veya nötr sınıflandırması varsa, göstergenin iyi veya kötü olup olmadığını belirlemek için veri kümelerimizi gözden geçirerek daha derin bir araştırma yapmanız teşvik edilir. Bir göstergenin saygınlığı bir makale ilişkilendirmesi içeriyorsa, göstergenin olası bir tehdit aktörünün kampanyasına nasıl bağlı olduğu hakkında daha fazla bilgi edinmek için bu listelenen makaleleri gözden geçirmeniz teşvik edilir; hedefledikleri sektörler veya ülkeler; ve hangi tekniklere, taktiklere ve yordamlara (TTP) sahip olabilecekleri; ve olayınızın yanıt ve tehdit avcılığı çalışmalarının kapsamını genişletmek için diğer ilgili GÇ'leri belirleyin.
Zeka toplama
Tehdit bilgileri ekibinizle ilişkili tüm makaleleri paylaşabilirsiniz, böylece kuruluşlarını kimlerin hedeflediklerini daha net bir şekilde anlayabilirler.