信譽評分
重要事項
2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI 獨立入口網站) https://ti.defender.microsoft.com () 已淘汰,無法再存取。 客戶可以在 Microsoft Defender 入口網站或使用 Microsoft Security Copilot 繼續使用Defender TI。
深入了解
Microsoft Defender 威脅情報 (Defender TI) 提供任何主機、網域或 IP 位址的專屬信譽分數。 不論是驗證已知或未知實體的信譽,此分數都可協助您快速瞭解任何偵測到與惡意或可疑基礎結構的關聯。 Defender TI 提供這些實體活動 (的快速資訊,例如,第一次和最後一次看到的時間戳、自發系統編號,以及相關聯的基礎結構) ,以及在適用時會影響信譽分數的規則清單。
信譽數據對於瞭解您自己受攻擊面的可信度很重要,而且在評估調查中出現的未知主機、網域或IP位址時也很有用。 這些分數會發現任何先前會影響實體的惡意或可疑活動,或其他已知的入侵指標 (應考慮的IOC) 。
瞭解信譽分數
信譽分數是由一系列演算法所決定,這些演算法旨在快速量化與實體相關聯的風險。 我們會使用編目基礎結構和從外部來源收集的IP資訊,根據我們的專屬數據來開發信譽分數。
偵測方法
一系列因素會決定信譽分數,包括封鎖清單實體的已知關聯,以及用來評估風險的一系列機器學習規則。
計分括弧
信譽分數會顯示為數值分數,範圍從零到 100。 分數為 的 0 實體與可疑活動或已知 IOC 沒有關聯;分數 100 表示實體是惡意的。 主機、網域和IP位址會根據其數值分數分組為下列類別:
| 分數 | 類別 | 描述 |
|---|---|---|
| 75+ | 惡意 | 實體已確認與出現在封鎖清單上的已知惡意基礎結構相關聯,並符合偵測可疑活動的機器學習規則。 |
| 50 – 74 | 可疑 | 實體可能會根據符合三個或多個機器學習規則而與可疑的基礎結構相關聯。 |
| 25 – 49 | 中性 | 實體至少符合兩個機器學習規則。 |
| 0 – 24 | 未知 (綠色) | 實體至少傳回一個相符的規則。 |
| 0 – 24 | 不明 (灰色) | 實體未傳回任何規則相符專案。 |
偵測規則
信譽分數是以您可能會參考的許多因素為基礎,以判斷網域或地址的相對品質。 這些因素會反映在組成信譽分數的機器學習規則中。 例如, .xyz 或 .cc 最上層網域 (TLL) 比 .com 或 .org TLL 更可疑。 由低成本或免費裝載提供者所裝載的 ASN) (自發系統編號,較可能與惡意活動相關聯,如同自我簽署 TLS 憑證一樣。 此信譽模型的開發方式是查看惡意和良性指標中相對出現的這些功能,以評分實體的整體信譽。
如需用來判斷主機、網域或IP位址是否可疑的規則範例,請參閱下表。
重要事項
這份清單並不完整且不斷變更;我們的偵測邏輯和後續功能是動態的,因為它們反映不斷演進的威脅環境。 基於這個理由,我們不會發佈用來評估實體信譽的機器學習規則完整清單。
| 規則名稱 | 描述 |
|---|---|
| TLS 憑證自我簽署 | 自我簽署憑證可能表示惡意行為 |
| 標記為惡意 | 由組織內的成員標記為惡意 |
| 觀察到的 Web 元件 | 觀察到的 Web 元件數目可能表示惡意 |
| 名稱伺服器 | 網域使用較可能被惡意基礎結構使用的名稱伺服器 |
| 登記員 | 向此註冊機構註冊的網域較有可能是惡意網域 |
| 註冊電子郵件提供者 | 網域已向較可能註冊惡意網域的電子郵件提供者註冊 |
請務必記住,必須全面評估這些因素,以精確評估實體的信譽。 指標的特定組合,而不是任何個別指標,可以預測實體是否可能是惡意或可疑的。
嚴重性
針對機器學習偵測系統建立的規則已套用嚴重性分級。 每個規則都會根據與規則相關聯的風險層級來指派 高、 中或 低 嚴重性。
使用案例
事件分級、回應和威脅搜捕
Defender TI 的信譽分數、分類、規則和規則描述可用來快速評估IP位址或網域指標是否良好、可疑或惡意。 其他時候,我們可能無法觀察到與IP位址或網域相關聯的基礎結構不足,無法推斷指標是否良好或不正確。 如果指標具有未知或中性分類,建議您藉由檢閱數據集來推斷指標是好是壞,以執行更深入的調查。 如果指標的信譽包含文章關聯,建議您檢閱這些列出的文章,以深入了解指標如何連結至潛在威脅執行者的營銷活動;其可能的目標產業或影響力;以及可能具有的相關技術、策略和程式 (TTP) :並識別其他相關 IOC,以擴大事件回應和搜捕工作的範圍。
情報收集
您可以與威脅情報小組共用任何相關聯的文章,讓他們更清楚瞭解哪些人可能以其組織為目標。