信誉评分
重要
2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用,不再可访问。 客户可以在Microsoft Defender 门户中或通过Microsoft 安全 Copilot继续使用 Defender TI。 了解更多
Microsoft Defender 威胁智能 (Defender TI) 为任何主机、域或 IP 地址提供专有信誉分数。 无论是验证已知实体的信誉还是未知实体的信誉,此分数都有助于快速了解检测到与恶意或可疑基础结构的任何关联。 Defender TI 提供有关这些实体活动的快速信息, (例如,第一个和最后出现的时间戳、自治系统编号和关联的基础结构) 以及影响信誉评分的规则列表(如果适用)。
信誉数据对于了解你自己的攻击面的可信度非常重要,在评估调查中出现的未知主机、域或 IP 地址时也很有用。 这些分数可发现任何先前影响实体的恶意或可疑活动,或者应考虑 (IOC) 的其他已知入侵指标。
了解信誉分数
信誉分数由一系列算法确定,这些算法旨在快速量化与实体相关的风险。 我们使用爬网基础结构和从外部源收集的 IP 信息,根据专有数据制定信誉分数。
检测方法
一系列因素决定了信誉分数,包括与已列入阻止列表的实体的已知关联,以及用于评估风险的一系列机器学习规则。
评分括号
信誉分数显示为数字分数,范围为 0 到 100。 分数为 的 0 实体与可疑活动或已知的 IOC 没有关联;分数为 表示 100 该实体是恶意的。 主机、域和 IP 地址根据其数字分数分为以下类别:
| 得分 | 类别 | 说明 |
|---|---|---|
| 75+ | 恶意 | 该实体已确认与阻止列表中显示的已知恶意基础结构关联,并且与检测可疑活动的机器学习规则匹配。 |
| 50 – 74 | 可疑 | 根据与三个或更多机器学习规则的匹配项,实体可能与可疑基础结构相关联。 |
| 25 – 49 | 适中 | 该实体至少与两个机器学习规则匹配。 |
| 0 – 24 | 未知 (绿色) | 实体返回了至少一个匹配的规则。 |
| 0 – 24 | 未知 (灰色) | 实体未返回任何规则匹配项。 |
检测规则
信誉分数基于许多可能用于确定域或地址相对质量的因素。 这些因素反映在构成信誉分数的机器学习规则中。 例如, .xyz 或 .cc 顶级域 (TLD) 比 .com 或 .org TLD 更可疑。 由低成本或免费托管提供商托管的自治系统编号 (ASN) 更有可能与恶意活动相关联,就像自签名 TLS 证书一样。 此信誉模型是通过查看恶意和良性指标中这些功能的相对事件来开发,以对实体的整体信誉进行评分。
有关用于确定主机、域或 IP 地址是否可疑的规则示例,请参阅下表。
重要
此列表不全面,并且不断变化;我们的检测逻辑和后续功能是动态的,因为它们反映了不断变化的威胁格局。 因此,我们不会发布用于评估实体信誉的机器学习规则的综合列表。
| 规则名称 | 说明 |
|---|---|
| TLS 证书自签名 | 自签名证书可能指示恶意行为 |
| 标记为恶意 | 被组织内成员标记为恶意 |
| 观察到的 Web 组件 | 观察到的 Web 组件数可能表示恶意 |
| 名称服务器 | 域使用的名称服务器更有可能被恶意基础结构使用 |
| 登记员 | 向此注册机构注册的域更有可能是恶意的 |
| 注册电子邮件提供商 | 向更有可能注册恶意域的电子邮件提供商注册域 |
请务必记住,必须全面评估这些因素,以便对实体的信誉进行准确的评估。 指标的特定组合(而不是任何单个指标)可以预测实体是恶意的还是可疑的。
Severity
为机器学习检测系统创建的规则应用了严重性分级。 根据与规则关联的风险级别,为每个规则分配“ 高”、“ 中”或“ 低 ”严重性。
用例
事件会审、响应和威胁搜寻
Defender TI 的信誉分数、分类、规则和规则说明可用于快速评估 IP 地址或域指示器是好的、可疑的还是恶意的。 其他情况下,我们可能没有观察到与 IP 地址或域关联的足够基础结构,无法推断指示器是好还是坏。 如果指标具有未知或中性分类,建议通过查看数据集进行更深入的调查,以推断该指标是好还是坏。 如果指标的信誉包括文章关联,建议查看列出的文章,详细了解指标如何与潜在威胁参与者的活动相关联;他们可能面向的行业或国家:以及 (TTP) 可能具有的相关技术、策略和过程;并确定其他相关 IOC,以扩大事件响应和搜寻工作的范围。
情报收集
你可以与威胁情报团队共享任何关联的文章,以便他们更清楚地了解可能针对其组织的人员。