資料集

Microsoft將許多數據集集中到 Microsoft Defender 威脅情報 (Defender TI) ，讓Microsoft的客戶和社群更容易進行基礎結構分析。 Microsoft的主要重點是盡可能提供因特網基礎結構的相關數據，以支援各種安全性使用案例。

Microsoft收集、分析及編製因特網數據的索引，以協助您：

• 偵測和回應威脅
• 設定事件優先順序
• 主動識別與以您組織為目標之動作專案群組相關聯的基礎結構

Microsoft透過其被動功能變數名稱系統 (PDNS) 感測器網路、虛擬使用者的全域 Proxy 網路、埠掃描和其他惡意代碼來源，以及新增的 DNS 資料來收集因特網數據。

此網際網路資料分為兩個不同的群組：傳統和進階。 傳統資料集包括：

• 解決方案
• WHOIS 資訊
• TLS/SSL 憑證
• 子網域
• DNS
• 反向 DNS
• 服務

進階數據集包括：

• 跟蹤
• 元件
• 主機配對
• Cookie

從觀察檔物件模型 (編目網頁的 DOM) 收集進階數據集。 此外，也會根據來自埠掃描或 TLS 憑證詳細數據的橫幅回應，從觸發的偵測規則觀察到元件和追蹤器。

解決方案

PDNS 是一種記錄系統，可儲存指定位置、記錄和時間範圍的 DNS 解析數據。 此歷程記錄解析數據集可讓您檢視哪些網域已解析為IP位址，以及另一種方式。 此數據集允許根據網域或IP重疊進行以時間為基礎的相互關聯。

PDNS 可能會啟用識別先前未知或新加入的威脅執行者基礎結構。 主動將指標新增至封鎖清單，可以在活動進行之前，先截斷通訊路徑。 記錄解析數據可在 [解決方式] 索引卷標中取得，該索引卷標位於 Microsoft Defender 入口網站的 [Intel 總管] 頁面中。 DNS 索引標籤中提供更多類型的 DNS 記錄。

PDNS 解析資料包含下列資訊：

• 解決方式：解析實體的名稱 (IP 位址或網域)
• 位置：IP 位址裝載所在的位置
• 網路：與IP位址相關聯的 netblock 或子網
• ASN：ASN) 和組織名稱 (自發系統編號
• 第一次看到：Microsoft第一次觀察到此解析度的日期時間戳
• 上次看見時間：上次觀察到此解析Microsoft日期的時間戳
• 來源：啟用關聯性偵測的來源。
• 卷標：在 Defender TI 中套用至此成品的任何標記 (深入瞭解)

此資料集可能有助於回答的問題：

網域：

• Defender TI 第一次觀察到網域解析成IP地址的時機為何？

  

• Defender TI 上次看到網域主動解析為IP位址的時間為何？

• 網域目前解析的IP位址為何？

  

IP 位址：

• IP 位址是否可路由傳送？

  

• IP 位址屬於哪個子網？

  

• 是否有與子網相關聯的擁有者？

  

• IP 位址的一部分為何？

  

• 是否有地理位置？

  

WHOIS

一天數千次，網域會在個人與組織之間購買和/或轉移。 此程序很簡單，只需要幾分鐘的時間，而且可以低至 $7，視註冊機構提供者而定。 除了付款詳細數據之外，還必須提供自己的其他相關信息。 其中一些資訊會儲存為已設定網域之 WHOIS 記錄的一部分。 此動作會被視為公用網域註冊。 不過，有些私人網域註冊服務可以隱藏其個人資訊，並將其個人資訊從其網域的WHOIS記錄中隱藏。 在這些情況下，網域擁有者的資訊是安全的，並由其註冊機構的資訊取代。 更多動作專案群組正在執行私人網域註冊，讓分析師更難找到他們擁有的其他網域。 當WHOIS記錄未提供潛在客戶時，Defender TI 會提供各種數據集來尋找動作專案的共用基礎結構。

WHOIS 是一種通訊協定，可讓任何人查詢網域、IP 位址或子網的相關信息。 在威脅基礎結構研究中，WHOIS 最常見的功能之一，是根據WHOIS記錄中共用的唯一數據來識別或連線不同的實體。 如果您曾經自行購買網域，您可能已經注意到向註冊機構要求的內容永遠不會經過驗證。 事實上，您可能已將任何專案放在記錄 (，而許多人會) ，然後向全世界顯示。

每個WHOIS記錄都有數個不同的區段，這些區段都可能包含不同的資訊。 常找到的區段包括註冊機構、註冊機構、系統管理員和技術，每個可能對應至記錄的不同聯繫人。 在大部分情況下，此數據會在各區段之間重複，但可能會有些微差異，特別是當動作項目發生錯誤時。 在 Defender TI 中檢視 WHOIS 資訊時，您會看到一筆壓縮的記錄，該記錄會刪除任何數據，並指出其來自哪一部分的記錄。 我們發現此程式可大幅加速分析師工作流程，並避免任何數據被忽略。 Defender TI 的 WHOIS 資訊是由 WhoisIQ™ 資料庫提供技術支援。

我們的 WHOIS 資料包含下列資訊：

• 記錄已更新： 時間戳，指出WHOIS記錄上次更新的日期
• 上次掃描時間： Defender TI 系統上次掃描記錄的日期
• 呼氣： 註冊的到期日，如果有的話
• 創建： 目前 WHOIS 記錄的年齡
• WHOIS 伺服器： 由ICANN認證的註冊機構所設定的伺服器，以取得在其中註冊之網域的相關最新資訊
• 登記員： 用來註冊成品的註冊機構服務
• 網域狀態： 網域的目前狀態;因特網上有「作用中」網域
• Email：在 WHOIS 記錄中找到的任何電子郵件位址，以及每一個電子郵件地址的聯繫人類型都會與 (相關聯，例如系統管理員或技術)
• 名字： 記錄內任何聯繫人的名稱，以及每個聯繫人的關聯類型
• 組織： 記錄內任何組織的名稱，以及與每個組織相關聯的聯繫人類型
• 街： 與記錄相關聯的任何街地道址，以及對應聯繫人的類型
• 城市： 任何列在與記錄相關聯之位址中的城市，以及對應聯繫人的類型
• 州： 與記錄相關聯的位址中所列的任何狀態，以及對應聯繫人的類型
• 郵遞區號： 與記錄相關聯的位址中所列的任何郵遞區編碼，以及對應聯繫人的類型
• 國家： 任何列在與記錄相關聯之位址中的國家或地區，以及對應聯繫人的類型
• 電話： 記錄中列出的任何電話號碼，以及對應聯繫人的類型
• 名稱伺服器： 與已註冊實體相關聯的任何名稱伺服器

目前的 WHOIS 查閱

Defender TI 目前的 WHOIS 存放庫會醒目提示Microsoft的 WHOIS 集合中目前已註冊並與相關 WHOIS 屬性相關聯的所有網域。 此數據會醒目提示網域的註冊和到期日，以及用來註冊網域的電子郵件位址。 此資料會顯示在平臺的 [WHOIS 搜尋] 索引標籤中。

歷程記錄 WHOIS 查閱

Defender TI 的 WHOIS 歷程 記錄存放庫可讓使用者根據系統的觀察，存取與 WHOIS 屬性的所有已知歷程記錄網域關聯。 此數據集會醒目提示與屬性相關聯的所有網域，使用者會從第一次和上次觀察到網域與查詢屬性之間的關聯時進行樞紐分析。 此數據會顯示在 WHOIS 目前 索引標籤旁的個別索引標籤中。

此資料集可能有助於回答的問題：

• 網域有多舊？

  

• 資訊是否似乎受到隱私權保護？

  

• 是否有任何數據看起來是唯一的？

  

• 使用何種名稱伺服器？

  

• 此網域是否為接收孔網域？

  

• 此網域是否為已停駐的網域？

  

• 此網域是否為 Honeypot 網域？

  

• 是否有任何歷程記錄？

  

• 是否有任何假的隱私權保護電子郵件？

  

• WHOIS 記錄中是否有任何假名稱？

• 是否有從跨網域搜尋可能共用的 WHOIS 值中識別出其他相關 IOC？

  

  

憑證

除了保護您的數據之外，TLS 憑證是用戶連接不同網路基礎結構的絕佳方式。 新式掃描技術可讓我們在幾小時內對因特網上的每個節點執行數據要求。 換句話說，我們可以輕鬆且定期地將憑證與裝載該憑證的IP位址建立關聯。

與WHOIS記錄非常類似，TLS 憑證需要使用者提供資訊才能產生最終產品。 除了網域之外，TLS 憑證包含要為 (建立憑證的人員，除非自我簽署) 。 用戶可以組成其他資訊。 其中Microsoft的使用者從 TLS 憑證看到最多值，不一定是某人在產生憑證時可能使用的唯一數據，而是裝載該憑證的位置。

若要存取 TLS 憑證，它必須與網頁伺服器相關聯，並透過特定埠公開， (最常使用 443) 。 每周使用大量因特網掃描，可以掃描所有IP位址，並取得裝載的任何憑證，以建置憑證數據的歷史存放庫。 擁有IP位址資料庫與TLS憑證對應，可讓您識別基礎結構中的重疊。

若要進一步說明此概念，請想像一個動作專案使用自我簽署 TLS 憑證設定伺服器。 幾天之後，防禦者就會成為其基礎結構的明智物件，並封鎖裝載惡意內容的網頁伺服器。 動作專案只會複製所有內容 (包括 TLS 憑證) ，並將它們放在新的伺服器上，而不是終結其所有工作。 身為使用者，您現在可以使用憑證的唯一 SHA-1 值來建立連線，並假設這兩部網頁伺服器 (一部已封鎖、一個未知的) 以某種方式連線。

讓 TLS 憑證更有價值之處在於，它們能夠建立被動 DNS 或 WHOIS 數據可能會遺失的連線。 這表示讓潛在惡意基礎結構相互關聯，並識別動作專案可能的作業安全性失敗。 Defender TI 自 2013 年起已收集超過 3,000 萬個憑證，並提供您在憑證內容和歷程記錄上建立相互關聯的工具。

TLS 憑證是以數位方式將密碼編譯密鑰系結至一組使用者提供的詳細數據的檔案。 Defender TI 會使用因特網掃描技術，從各種埠上的IP位址收集 TLS 憑證關聯。 這些憑證會儲存在本機資料庫內，並允許我們建立指定 TLS 憑證出現在因特網上的時程表。

我們的憑證資料包含下列資訊：

• Sha1： TLS 憑證資產的SHA-1 演算法哈希
• 第一次看到： 時間戳，顯示我們第一次在成品上觀察到此憑證的日期
• 上次查看時間： 時間戳，顯示我們上次在成品上觀察到此憑證的日期
• 基礎設施： 與憑證相關聯的任何相關基礎結構

當您展開 SHA-1 哈希時，您會看到下列詳細數據：

• 序號： 與 TLS 憑證相關聯的序號
• 發出： 簽發憑證的日期
• 到期： 憑證到期的日期
• 主體通用名稱： 任何相關聯 TLS 憑證的主體通用名稱
• 簽發者一般名稱： 任何相關聯 TLS 憑證的簽發者通用名稱
• 主體別名 () ： 憑證的任何替代通用名稱
• 簽發者替代名稱 (的) ： 簽發者的任何其他名稱
• 主體組織名稱： 連結至 TLS 憑證註冊的組織
• 簽發者組織名稱： 協調憑證問題的組織名稱
• SSL 版本： 憑證註冊的 SSL/TLS 版本
• 主體組織單位： 選擇性元數據，指出負責憑證的組織內的部門
• 簽發者組織單位： 發行憑證之組織的詳細資訊
• 主旨街地道址： 組織所在的街地道址
• 簽發者街地道址： 簽發者組織所在的街地道址
• 主體位置： 組織所在的城市
• 簽發者位置： 簽發者組織所在的城市
• 主體州/省： 組織所在的州或省
• 簽發者州/省： 簽發者組織所在的州或省
• 主旨國家/地區： 組織所在的國家或地區
• 簽發者國家/地區： 簽發者組織所在的國家或地區
• 相關基礎結構： 與憑證相關聯的任何相關基礎結構

此資料集可能有助於回答的問題：

• 觀察到與此憑證相關聯的其他基礎結構為何？

  

• 憑證中是否有任何唯一的數據點可作為良好的樞紐點？

  

• 憑證是自我簽署的嗎？

  

• 憑證是否來自免費提供者？

  

• 在使用中觀察到憑證的時間範圍為何？

  

子網域

子域是屬於主域的因特網網域。 子域也稱為「主機」。例如， learn.microsoft.com 是 的 microsoft.com子域。 針對每個子域，網域可能會解析一組新的IP位址，這可能是尋找相關基礎結構的絕佳數據源。

我們的子域資料包含下列資訊：

• 主機名：與搜尋的網域相關聯的子域
• 卷標：在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 是否有更多子域與較高層級的網域相關聯？

  

• 是否有任何子域與惡意活動相關聯？

  

• 如果我擁有此網域，是否有任何子域看起來不熟悉？

• 列出的子域是否有任何與其他惡意網域相關聯的模式？

• 樞紐處理每個子域是否顯示先前未與目標相關聯的新IP位址空間？

• 我可以發現哪些其他不相關的基礎結構不符合根域？

跟蹤

追蹤器是網頁中唯一的程式代碼或值，通常用來追蹤用戶互動。 這些程式代碼可用來將不同的網站群組與中央實體相互關聯。 威脅執行者通常會複製他們想要模擬網路釣魚活動之犧牲者網站的原始程式碼。 他們很少會花時間移除這些標識碼，這可讓使用者使用Defender TI的 追蹤器 數據集來識別這些詐騙網站。 動作專案也可以部署追蹤器標識碼，以查看其攻擊活動的成功程度。 此活動類似於營銷人員如何使用 SEO 識別符，例如 Google Analytics 追蹤器標識碼，來追蹤行銷活動的成功。

我們的追蹤器數據集包含來自Google、消費者索引、Mixpanel、New Relic和 Clicky 等提供者的識別碼，並持續成長。 其中包含下列資訊：

• 主機名：裝載偵測到追蹤器之基礎結構的主機名
• 第一次看到：Microsoft第一次在成品上觀察到此追蹤器的日期時間戳
• 上次看見時間：Microsoft上次在成品上觀察到此追蹤器的日期時間戳
• 類型：偵測到的追蹤器類型 (例如 GoogleAnalyticsID 或 JarmHash)
• 值：追蹤器的識別值
• 卷標：在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 是否有其他資源使用相同的分析標識符？

  

• 這些資源是否與組織相關聯，或是嘗試進行侵權攻擊？

• 追蹤器之間是否有任何重疊，是否與其他網站共用？

• 在網頁中找到的追蹤器類型為何？

  

• 追蹤器的時間長度為何？

  

• 追蹤器值的變更頻率為何-它們是來、移還是保留？

• 是否有任何追蹤器連結至網站複製軟體 (例如 MarkOfTheWeb 或 HTTrack) ？

  

• 是否有任何追蹤器連結到惡意命令和控制 (C2) 伺服器惡意代碼 (例如 JARM) ？

  

元件

Web 元件是描述從執行 Web 編目或掃描Microsoft收集的網頁或伺服器基礎結構的詳細數據。 這些元件可讓您瞭解網頁的組成，或推動特定基礎結構的技術和服務。 在唯一元件上進行樞紐分析，可以尋找動作項目的基礎結構或其他遭入侵的網站。 您也可以根據網站執行的技術，了解網站是否容易遭受特定攻擊或入侵。

我們的元件資料報含下列資訊：

• 主機名： 裝載偵測到元件之基礎結構的主機名
• 第一次看到： Microsoft第一次在成品上觀察到此元件的日期時間戳
• 上次查看時間： Microsoft上次在成品上觀察到此元件的日期時間戳
• 類別： 偵測到的元件類型 (例如作業系統、架構、遠端訪問或伺服器)
• 名稱 + 版本： 在成品 (上執行的元件名稱和版本，例如 ，Microsoft IIS (v8.5) )
• 卷標： 在 Defender TI 中套用至此成品的任何標籤

此資料集可能有助於回答的問題：

• 我使用哪些易受攻擊的基礎結構？

  

  

  Magento v1.9 的日期太過期，Microsoft找不到該特定版本的可靠檔。

• 威脅執行者使用哪些唯一的 Web 元件可以追蹤這些元件到其他網域？

• 是否有任何元件標示為惡意？

• 識別了多少個 Web 元件？

  

• 是否有任何不常看到的獨特或奇怪的技術？

  

• 是否有任何假版本的特定技術？

• Web 元件的變更頻率為何？通常或很少執行？

• 已知是否有任何可疑的連結庫遭到濫用？

• 是否有任何技術有相關聯的弱點？

主機配對

主機配對是父系 (兩個基礎結構片段，以及共用從虛擬使用者 Web 編目觀察到之連線的子) 。 連線的範圍從最上層重新導向 (HTTP 302) 到更複雜的專案，例如 iFrame 或腳本來源參考。

我們的主機配對資料包含下列資訊：

• 父主機名：參考資產或「連絡」至子主機的主機
• 子主機名：父主機正在呼叫的主機
• 第一次看到：Microsoft第一次觀察到與主機關聯的日期時間戳
• 上次查看時間：Microsoft上次觀察到與主機關聯性的日期時間戳
• 原因：父主機名和子主機名之間的連接類型;可能的原因包括：
  • script.src
  • link.href
  • 重定向
  • img.src
  • 未知
  • xmlhttprequest
  • a.href
  • finalRedirect
  • css.import
  • parentPage
• 卷標：在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 是否有任何已連線的成品已列入封鎖清單？

• 是否有任何已連線的成品標記 (例如網路釣魚、APT、惡意、可疑的特定威脅執行者) ？

• 此主機是否將使用者重新導向至惡意內容？

  

• 資源是否會提取 CSS 或映像來設定侵權攻擊？

  

• 資源是提取腳本還是參考 link.href 來設定 Magecart 或略過攻擊？

  

• 用戶會從何處重新導向/從何處重新導向？

• 正在進行哪種類型的重新導向？

Cookie

Cookie 是用戶流覽因特網時，從伺服器傳送至用戶端的一小部分數據。 這些值有時會包含應用程式的狀態或追蹤數據的一些部分。 Defender TI 會醒目提示並編製編目網站時觀察到的 Cookie 名稱索引，並可讓您深入瞭解我們觀察到其編目和數據收集中特定 Cookie 名稱的任何地方。 惡意執行者也會使用 Cookie 來追蹤受感染的參與者，或儲存他們稍後可能會使用的數據。

我們的 Cookie 資料包含下列資訊：

• 主機名： 與 Cookie 相關聯的主機基礎結構
• 第一次看到： Microsoft第一次在成品上觀察到此 Cookie 的日期時間戳
• 上次查看時間： Microsoft上次在成品上觀察到此 Cookie 的日期時間戳
• 名字： Cookie 名稱 (例如 JSESSIONID 或 SEARCH_NAMESITE) 。
• 域： 與 Cookie 相關聯的網域
• 標籤： 在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 其他哪些網站會發出相同的 Cookie？

  

• 其他哪些網站正在追蹤相同的 Cookie？

  

• Cookie 網域是否符合我的查詢？

• 有多少 Cookie 與成品相關聯？

  

• 是否有唯一的 Cookie 名稱或網域？

• 與 Cookie 相關聯的時間周期為何？

• 新觀察到的 Cookie 或與 Cookie 相關聯的變更頻率為何？

服務

服務名稱和埠號碼可用來區分透過傳輸通訊協定執行的不同服務，例如 TCP、UDP、DCCP 和 SCTP。 埠號碼可以建議在特定埠上執行的應用程式類型。 不過，應用程式或服務可以變更為使用不同的埠混淆或隱藏IP位址上的應用程式或服務。 瞭解埠和標頭/橫幅資訊可以識別實際的應用程式/服務，以及所使用的埠組合。 Defender TI 會在 [ 服務 ] 索引標籤中顯示 14 天的歷程記錄，顯示與觀察到的埠相關聯的最後一個橫幅回應。

我們的服務資料報含下列資訊：

• 觀察到的開啟埠
• 埠號碼
• 元件
• 觀察到服務的次數
• 上次掃描埠的時間
• 通訊協定連線
• 埠的狀態
  • 開啟
  • Filtered
  • 已結束
• 橫幅回應

此資料集可能有助於回答的問題：

• 特定埠上針對指定的IP位址執行哪些應用程式？

  

• 使用中的應用程式版本為何？

• 指定埠的開啟、篩選或關閉狀態是否有最近的變更？

  

• 憑證是否與聯機相關聯？

  

• 特定資產上是否使用易受攻擊或已被取代的技術？

  

  

• 資訊是否由可用於惡意用途的執行中服務公開？

• 是否遵循安全性最佳做法？

DNS

Microsoft多年來一直收集 DNS 記錄，可讓您深入瞭解 MX () 、nameserver (NS) 、文字 (TXT) 、授權 (SOA) 的開頭、標準名稱 (CNAME) ，以及 PTR) 記錄 (指標。 檢閱 DNS 記錄有助於識別動作專案所使用的共用基礎結構，而這些動作專案會跨其擁有的網域。 例如，威脅執行者通常會使用相同的名稱伺服器來分割其基礎結構，或使用相同的郵件交換伺服器來管理其命令和控制。

DNS 資料包含下列資訊：

• 值：與主機相關聯的 DNS 記錄
• 第一次看到：Microsoft第一次在成品上觀察到此記錄的日期時間戳
• 上次查看時間：Microsoft上次在成品上觀察到此記錄的日期時間戳
• 類型：與記錄相關聯的基礎結構類型;可能的選項包括：
  • MX
  • TXT
  • NS
  • CNAMES
  • SOA
• 卷標：在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 我正在搜尋的指標有哪些其他基礎結構直接相關？
• 基礎結構如何隨著時間變更？
• 網域擁有者是否採用內容傳遞網路或品牌保護服務的服務？
• 相關聯的組織可能在其網路中採用哪些其他技術？

反向 DNS

當正向 DNS 查閱查詢特定主機名的 IP 位址時，反向 DNS 查閱會查詢 IP 位址的特定主機名。 此數據集會顯示與 DNS 類似的結果。 檢閱 DNS 記錄有助於識別動作專案所使用的共用基礎結構，而這些動作專案會跨其擁有的網域。 例如，動作專案群組通常會使用相同的名稱伺服器來分割其基礎結構，或使用相同的郵件交換伺服器來管理其命令和控制。

反向 DNS 資料包含下列資訊：

• 值：反向 DNS 記錄的值
• 第一次看到：Microsoft第一次在成品上觀察到此記錄的日期時間戳
• 上次查看時間：Microsoft第一次在成品上觀察到此記錄的日期時間戳
• 類型：與記錄相關聯的基礎結構類型;可能的選項包括：
  • MX
  • TXT
  • NS
  • CNAMES
  • SOA
• 卷標：在 Defender TI 中套用至此成品的任何標記

此資料集可能有助於回答的問題：

• 觀察到此主機的 DNS 記錄為何？
• 觀察到此主機的基礎結構如何隨著時間變更？

另請參閱

• 搜尋和樞紐分析
• 排序、篩選和下載資料
• 基礎結構鏈結
• 教學課程：收集威脅情報和基礎結構鏈結