Conjuntos de dados

A Microsoft centraliza vários conjuntos de dados em uma única plataforma, Informações sobre Ameaças do Microsoft Defender (Defender TI), facilitando a realização da análise de infraestrutura pela comunidade e pelos clientes da Microsoft. O foco principal da Microsoft é fornecer o máximo de dados possível sobre a infraestrutura de Internet para dar suporte a uma variedade de casos de uso de segurança.

A Microsoft coleta, analisa e indexa dados da Internet para ajudar os usuários a detectar e responder a ameaças, priorizar incidentes e identificar proativamente a infraestrutura de adversários associada a grupos de ator direcionados à sua organização. A Microsoft coleta dados da Internet por meio de sua rede de sensor PDNS, rede proxy global de usuários virtuais, verificações de porta e aproveita fontes de terceiros para malware e dados de DNS (Sistema de Nomes de Domínio) adicionados.

Esses dados da Internet são categorizados em dois grupos distintos: tradicional e avançado. Os conjuntos de dados tradicionais incluem Resoluções, Whois, Certificados SSL, Subdomínios, DNS, DNS Reverso e Serviços. Os conjuntos de dados avançados incluem rastreadores, componentes, pares de host e cookies. Rastreadores, componentes, pares de host e conjuntos de dados de cookies são coletados da observação do DOM (Modelo de Objeto de Documento) de páginas da Web rastreadas. Além disso, componentes e rastreadores também são observados nas regras de detecção que são disparadas com base nas respostas de faixa das verificações de porta ou detalhes do Certificado SSL.

Resoluções

O DNS passivo (PDNS) é um sistema de registro que armazena dados de resolução DNS para um determinado local, registro e período. Esse conjunto de dados de resolução histórica permite que os usuários exibam quais domínios resolveram para um endereço IP e vice-versa. Esse conjunto de dados permite correlação baseada em tempo com base na sobreposição de domínio ou IP. O PDNS pode habilitar a identificação de infraestrutura de ator de ameaças anteriormente desconhecida ou recém-criada. A adição proativa de indicadores a blocklists pode cortar caminhos de comunicação antes que as campanhas ocorram. Os usuários encontrarão dados de resolução de registros na guia Conjunto de dados Resoluções e encontrarão mais tipos de registros DNS na guia conjunto de dados DNS.

Nossos dados de resolução PDNS incluem o seguinte:

• Resolver: o nome da entidade de resolução (um endereço IP ou domínio)
• Local: o local em que o endereço IP está hospedado.
• Rede: o netblock ou sub-rede associado ao endereço IP.
• ASN: o número do sistema autônomo e o nome da organização
• Primeiro visto: um carimbo de data/hora que exibe a data em que observamos pela primeira vez essa resolução.
• Last Seen: um carimbo de data/hora que exibe a data pela última vez que observamos essa resolução.
• Fonte: a origem que permitiu a detecção da relação.
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

Domínios

• Quando o domínio foi observado pela primeira vez resolvendo um endereço IP pelo Defender TI?

  

• Quando foi a última vez que foi visto resolvendo ativamente um endereço IP pelo Defender TI?

• A quais endereços IP ele resolve atualmente?

Endereços IP

• O endereço IP é roteável?

  

• De que sub-rede faz parte?

  

• Há um proprietário associado à sub-rede?

  

• Do que as faz parte?

  

• Que geolocalização existe?

Whois

Milhares de vezes por dia, os domínios são comprados e/ou transferidos entre indivíduos e organizações. O processo para fazer tudo isso acontecer é fácil e leva apenas alguns minutos e cerca de US$ 7, dependendo do provedor de registrador. Além dos detalhes do pagamento, você deve fornecer informações adicionais sobre si mesmo, algumas das quais são armazenadas como parte de um registro whois depois que o domínio tiver sido configurado. Isso seria considerado um registro de domínio público. No entanto, há serviços de registro de domínio privado, em que você pode ocultar suas informações pessoais do registro Whois do domínio. Nessas situações, as informações do proprietário do domínio são seguras e substituídas pelas informações do registrador. Mais grupos de atores estão executando registros de domínio privados para tornar mais difícil para os analistas encontrar outros domínios que eles possuem. O Defender TI fornece uma variedade de conjuntos de dados para encontrar a infraestrutura compartilhada dos atores quando os registros whois não fornecem leads.

Whois é um protocolo que permite que qualquer pessoa consulte informações sobre um domínio, endereço IP ou sub-rede. Uma das funções mais comuns para Whois na pesquisa de infraestrutura de ameaças é identificar ou conectar entidades diferentes com base em dados exclusivos compartilhados nos registros do Whois. Se você estivesse lendo cuidadosamente ou já comprou um domínio por conta própria, talvez tenha notado que o conteúdo solicitado dos registradores nunca será verificado. Na verdade, você poderia ter colocado qualquer coisa no registro (e muitas pessoas fazem) que seria então exibido para o mundo.

Cada registro whois tem várias seções diferentes, todas elas podem incluir informações diferentes. As seções comumente encontradas incluem "registrador", "registrador", "administrador" e "técnico" com cada um potencialmente correspondente a um contato diferente para o registro. Muitas vezes esses dados são duplicados entre seções, mas em alguns casos, pode haver pequenas discrepâncias, especialmente se um ator cometeu um erro. Ao exibir as informações do Whois no Defender TI, você verá um registro condensado que desativa os dados e nota de qual parte do registro veio. Descobrimos que esse processo acelera muito o fluxo de trabalho do analista e evita qualquer ignorar dados. As informações do Whois do Defender TI são alimentadas pelo banco de dados WhoisIQ™.

Nossos dados do Whois incluem o seguinte:

• Registro atualizado: um carimbo de data/hora que indica o dia em que um registro whois foi atualizado pela última vez.
• Última verificação: a data em que o sistema de TI do Defender digitalizou o registro pela última vez.
• Expiração: a data de validade do registro, se disponível.
• Criado: a idade do registro whois atual.
• Whois Server: o servidor é configurado por um registrador credenciado pela ICANN para adquirir informações atualizadas sobre domínios registrados nele.
• Registrador: o serviço de registrador usado para registrar o artefato.
• Status do domínio: o status atual do domínio. Um domínio "ativo" é ao vivo na Internet.
• Email: todos os endereços de email encontrados no registro whois e o tipo de contato com cada um deles estão associados (por exemplo, administrador, tecnologia).
• Nome: o nome de todos os contatos dentro do registro e o tipo de contato com o qual cada um está associado.
• Organização: o nome de todas as organizações dentro do registro e o tipo de contato com o qual cada uma está associada.
• Rua: todos os endereços de rua associados ao registro e o tipo de contato ao qual ele está associado.
• Cidade: qualquer cidade listada em um endereço associado ao registro e o tipo de contato ao qual ela está associada.
• Estado: todos os estados listados em um endereço associado ao registro e o tipo de contato ao qual ele está associado.
• Código Postal: quaisquer códigos postais listados em um endereço associado ao registro e o tipo de contato ao qual ele está associado.
• País: todos os países listados em um endereço associado ao registro e o tipo de contato ao qual ele está associado.
• Telefone: todos os números de telefone listados no registro e o tipo de contato ao qual ele está associado.
• Servidores de Nome: todos os servidores de nome associados à entidade registrada.

Pesquisas de Whois atuais

O repositório Whois atual do Defender TI destaca todos os domínios da coleção Whois da Microsoft que estão registrados no momento e associados ao atributo whois de interesse. Esses dados realçam o registro e a data de validade do domínio, juntamente com o endereço de email usado para registrar o domínio. Esses dados são exibidos na guia Whois Pesquisa da plataforma.

Pesquisas de Whois Históricos

O repositório Whois History do Defender TI fornece aos usuários acesso a todas as associações de domínio históricas conhecidas aos atributos whois com base nas observações do sistema. Esse conjunto de dados realça todos os domínios associados a um atributo que um usuário pivota ao exibir a primeira vez e a última vez que observamos a associação entre o domínio e o atributo consultados. Esses dados são exibidos em uma guia separada ao lado da guia Whois Pesquisa atual.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Qual é a idade do domínio?

  

• As informações parecem estar protegidas por privacidade?

  

• Algum dos dados parece ser exclusivo?

  

• Quais servidores de nome são usados?

  

• Isso é um domínio de buraco?

  

• Este é um domínio estacionado?

  

• Isso é um domínio honeypot?

  

• Há algum histórico?

  

• Há emails falsos de proteção à privacidade?

  

• Há nomes falsos no registro whois?

• Você identificou IOCs relacionados adicionais de pesquisa em relação a valores de Whois potencialmente compartilhados entre domínios?

  

Certificados

Além de proteger seus dados, os Certificados SSL são uma maneira fantástica de os usuários se conectarem à infraestrutura de rede diferente. As técnicas de verificação modernas nos permitem executar solicitações de dados em cada nó na Internet em questão de horas, o que significa que podemos associar facilmente um certificado a um endereço IP que o hospeda regularmente.

Assim como um registro do Whois, os certificados SSL exigem que as informações sejam fornecidas pelo usuário para gerar o produto final. Além do domínio, o certificado SSL está sendo criado para (a menos que autoassinado), qualquer uma das informações adicionais pode ser composta pelo usuário. Onde os usuários da Microsoft veem o maior valor dos certificados SSL não são necessariamente os dados exclusivos que alguém pode usar ao gerar o certificado, mas onde ele está hospedado.

Para acessar um certificado SSL, ele precisa ser associado a um servidor Web e exposto por meio de uma porta específica (na maioria das vezes 443). Usando verificações de Internet em massa semanalmente, é possível examinar todos os endereços IP e obter qualquer certificado hospedado para criar um repositório histórico de dados de certificado. Ter um banco de dados de endereços IP para mapeamentos de certificado SSL fornece aos usuários uma maneira de identificar sobreposições na infraestrutura.

Para ilustrar ainda mais esse conceito, imagine que um ator tenha configurado um servidor com um certificado SSL autoassinado. Após vários dias, os defensores se tornam sábios em sua infraestrutura e bloqueiam o webserver que hospeda conteúdo mal-intencionado. Em vez de destruir todo o trabalho árduo, o ator simplesmente copia todo o conteúdo (incluindo o certificado SSL) e os coloca em um novo servidor. Como usuário, uma conexão agora pode ser feita usando o valor sha-1 exclusivo do certificado para dizer que ambos os servidores Web (um bloqueado, um desconhecido) estão conectados de alguma forma.

O que torna os certificados SSL mais valiosos é que eles são capazes de fazer conexões que os dados passivos DNS ou Whois podem perder. Isso significa mais maneiras de correlacionar a infraestrutura mal-intencionada potencial e identificar possíveis falhas de segurança operacional dos atores. O Defender TI coletou mais de 30 milhões de certificados de 2013 até os dias atuais e fornece aos usuários as ferramentas para fazer correlações sobre o conteúdo e o histórico do certificado.

Certificados SSL são arquivos que associam digitalmente uma chave criptográfica a um conjunto de detalhes fornecidos pelo usuário. Usando técnicas de verificação da Internet, o Defender TI coleta associações de certificadoSL de endereços IP em várias portas. Esses certificados são armazenados dentro de um banco de dados local e nos permitem criar um linha do tempo para onde um determinado certificado SSL apareceu na Internet.

Nossos dados de certificado incluem o seguinte:

• Sha1: O hash do algoritmo SHA1 para um ativo SSL Cert.
• Visto pela primeira vez: um carimbo de data/hora que exibe a data em que observamos esse certificado pela primeira vez em um artefato.
• Last Seen: um carimbo de data/hora que exibe a data em que observamos este certificado pela última vez em um artefato.
• Infraestrutura: qualquer infraestrutura relacionada associada ao certificado.

Quando um usuário expande em um hash SHA1, o usuário poderá ver detalhes sobre o seguinte, que inclui:**

• Número de série: O número de série associado a um certificado SSL.
• Emitido: A data em que um certificado foi emitido.
• Expira: A data em que um certificado expirará.
• Nome comum do assunto: O Nome Comum do Assunto para quaisquer Certificados SSL associados.
• Nome comum do emissor: O Nome Comum do Emissor para quaisquer Certificados SSL associados.
• Nome alternativo do assunto: Qualquer nome comum alternativo para o SSL Cert.
• Nome alternativo do emissor: Quaisquer nomes adicionais do emissor.
• Nome da organização do assunto: A organização vinculada ao registro de certificado SSL.
• Nome da organização do emissor: O nome da organização que orquestrou a emissão de um certificado.
• Versão SSL: A versão do SSL com a qual o certificado foi registrado.
• Unidade de Organização do Assunto: Metadados opcionais que indicam o departamento dentro de uma organização responsável pelo certificado.
• Unidade de Organização do Emissor: Informações adicionais sobre a organização que emite o certificado.
• Endereço da Rua do Assunto: O endereço da rua em que a organização está localizada.
• Endereço da Rua do Emissor: O endereço de rua em que a organização do emissor está localizada.
• Localidade do Assunto: A cidade onde a organização está localizada.
• Localidade do emissor: A cidade onde a organização do emissor está localizada.
• Estado/província do assunto: O estado ou província onde a organização está localizada.
• Estado/província do emissor: O estado ou província em que a organização do emissor está localizada.
• País do Assunto: O país onde a organização está localizada.
• País emissor: O país onde a organização do emissor está localizada.
• Infraestrutura relacionada: qualquer infraestrutura relacionada associada ao certificado.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Com que outra infraestrutura esse certificado foi observado associado?

  

• Há pontos de dados exclusivos no certificado que serviriam como bons pontos dinâmicos?

  

• O certificado foi autoassinado?

  

• O certificado é de um provedor gratuito?

  

• Em que período o certificado foi observado em uso?

  

Subdomínios

Um subdomínio é um domínio da Internet, que faz parte de um domínio primário. Subdomínios também são chamados de "hosts". Como exemplo,learn.microsoft.com é um subdomínio de microsoft.com. Para cada subdomínio, pode haver um novo conjunto de endereços IP aos quais o domínio se resolve e isso pode ser uma ótima fonte de dados para encontrar infraestrutura relacionada.

Nossos dados de subdomínio incluem o seguinte:

• Nome do host: o subdomínio associado ao domínio pesquisado.
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Há mais subdomínios associados ao domínio de nível superior?

  

• Algum subdomínio está associado à atividade mal-intencionada?

  

• Se esse é o seu domínio, algum subdomínio parecerá desconhecido?

• Há algum padrão para os subdomínios listados associados a outros domínios mal-intencionados?

• A pivotação de cada subdomínio revela um novo espaço IP não associado anteriormente ao destino?

• Que outra infraestrutura não relacionada você pode encontrar que não corresponde ao domínio raiz?

Trackers

Os rastreadores são códigos ou valores exclusivos encontrados em páginas da Web e geralmente usados para acompanhar a interação do usuário. Esses códigos podem ser usados para correlacionar um grupo diferente de sites a uma entidade central. Muitas vezes, os atores copiarão o código-fonte do site da vítima que eles estão procurando representar para uma campanha de phishing. Raramente os atores terão tempo para remover essas IDs que permitem que os usuários identifiquem esses sites fraudulentos usando o conjunto de dados Rastreadores da Microsoft. Os atores também podem implantar IDs de rastreador para ver o quão bem-sucedidas são suas campanhas de ataque cibernético. Isso é semelhante aos profissionais de marketing quando eles aproveitam IDs de SEO, como uma ID do Google Analytics Tracker, para acompanhar o sucesso de sua campanha de marketing.

O conjunto de dados Tracker da Microsoft inclui IDs de provedores como Google, Yandex, Mixpanel, New Relic, Clicky e continua crescendo regularmente.

Nossos dados de rastreador incluem o seguinte:

• Nome do host: o nome do host que hospeda a infraestrutura em que o rastreador foi detectado.
• Visto pela primeira vez: um carimbo de data/hora que exibe a data em que observamos pela primeira vez esse rastreador no artefato.
• Last Seen: um carimbo de data/hora que exibe a data em que observamos pela última vez esse rastreador no artefato.
• Tipo: o tipo de rastreador detectado (por exemplo, GoogleAnalyticsID, JarmHash).
• Valor: o valor de identificação do rastreador.
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Há outros recursos usando as mesmas IDs de análise?

  

• Esses recursos estão associados à organização ou estão tentando realizar um ataque de violação?

• Há alguma sobreposição entre rastreadores – eles são compartilhados com outros sites?

• Quais são os tipos de rastreadores encontrados na página da Web?

  

• Qual é o tempo para rastreadores?

  

• Qual é a frequência da alteração para valores de rastreador: eles vêm, vão ou permanecem?

• Há algum rastreador vinculando-se ao software de clonagem de sites (MarkOfTheWeb ou HTTrack)?

  

• Há algum rastreador vinculando-se ao JARM (malware do servidor C2) mal-intencionado?

  

Componentes

Os componentes da Web são detalhes que descrevem uma página da Web ou uma infraestrutura de servidor obtida da Microsoft executando um rastreamento ou verificação da Web. Esses componentes permitem que um usuário entenda a composição de uma página da Web ou a tecnologia e os serviços que conduzem uma parte específica da infraestrutura. O pivotamento em componentes exclusivos pode encontrar a infraestrutura dos atores ou outros sites comprometidos. Os usuários também podem entender se um site pode estar vulnerável a um ataque ou compromisso específico com base nas tecnologias em execução.

Nossos dados de componentes incluem o seguinte:

• Nome do host: o nome do host que hospeda a infraestrutura em que o componente foi detectado.
• Visto pela primeira vez: um carimbo de data/hora da data em que observamos esse componente pela primeira vez no artefato.
• Last Seen: um carimbo de data/hora da data em que observamos este componente pela última vez no artefato.
• Categoria: o tipo de componente detectado (por exemplo, Sistema Operacional, Estrutura, Acesso Remoto, Servidor).
• Nome + Versão: o nome do componente e a versão em execução no artefato (por exemplo, Microsoft IIS (v8.5).
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Que infraestrutura vulnerável você está usando?

  

  

  O Magento v1.9 é tão datado que a Microsoft não conseguiu localizar documentação confiável para essa versão específica.

• Quais componentes exclusivos da Web é o ator de ameaças que pode rastreá-los até outros domínios?

• Algum componente está marcado como mal-intencionado?

• Qual é o número de componentes da Web identificados?

  

• Há tecnologias únicas ou estranhas que não são vistas com frequência?

  

• Há versões falsas de tecnologias específicas?

• Qual é a frequência de alterações nos componentes da Web com frequência ou raramente feitas?

• Há bibliotecas suspeitas conhecidas por serem abusadas?

• Há tecnologias com vulnerabilidades associadas a elas?

Pares de host

Os pares de host são duas peças de infraestrutura (pai e filho) que compartilham uma conexão observada no rastreamento da Web de um usuário virtual. A conexão pode variar de um redirecionamento de nível superior (HTTP 302) a algo mais complexo, como uma referência de fonte de iframe ou script.

Nossos dados de par de host incluem o seguinte:

• Nome do host pai: o host que está fazendo referência a um ativo ou "entrando em contato" com o host filho
• Nome do Host Filho: o host que está sendo chamado pelo host pai
• Primeiro visto: um carimbo de data/hora da data em que observamos pela primeira vez uma relação com o host.
• Last Seen: um carimbo de data/hora da data em que observamos pela última vez uma relação com o host.
• Causa: o tipo de conexão entre o nome do host pai e filho. As causas potenciais incluem script.src, link.href, redirecionamento, img.src, unknown, xmlhttprequest, a.href, finalRedirect, css.import ou parentPage connections.
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Algum dos artefatos conectados foi bloqueado?

• Algum dos artefatos conectados foi marcado (Phishing, APT, Malicious, Suspicious, Threat Actor Name)?

• Esse host está redirecionando usuários para conteúdo mal-intencionado?

  

• Os recursos estão puxando O CSS ou imagens para configurar ataques de violação?

  

• Os recursos estão puxando um script ou fazendo referência a um link.href para configurar um Magecart ou um ataque de skimming?

• De onde os usuários estão sendo redirecionados de/para?

• Que tipo de redirecionamento está ocorrendo?

Cookies

Os cookies são pequenos dados enviados de um servidor para um cliente à medida que o usuário navega pela Internet. Esses valores às vezes contêm um estado para o aplicativo ou pequenos bits de dados de rastreamento. O Defender TI realça e indexa nomes de cookie observados ao rastrear um site e permite que os usuários investiguem em todos os lugares em que observamos nomes de cookie específicos em sua coleta de dados e rastreamento. Os cookies também são usados por atores mal-intencionados para controlar vítimas infectadas ou armazenar dados a serem usados posteriormente.

Nossos dados de cookie incluem o seguinte:

• Nome do host: a infraestrutura de host associada ao cookie.
• Visto pela primeira vez: um carimbo de data/hora da data em que observamos pela primeira vez este cookie no artefato.
• Last Seen: um carimbo de data/hora da última vez que observamos este cookie no artefato.
• Nome: o nome do cookie (por exemplo, JSESSIONID, SEARCH_NAMESITE).
• Domínio: o domínio associado ao cookie.
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Quais outros sites estão emitindo os mesmos cookies?

  

• Quais outros sites estão acompanhando os mesmos cookies?

• O domínio cookie corresponde à consulta?

• Qual é o número de cookies associados ao artefato?

  

• Há nomes ou domínios de cookie exclusivos?

• Quais são os períodos de tempo associados aos cookies?

• Qual é a frequência de cookies recém-observados ou alterações associadas a cookies?

Serviços

Nomes de serviço e números de porta são usados para distinguir entre diferentes serviços executados em protocolos de transporte, como TCP, UDP, DCCP e SCTP. Os números da porta podem sugerir que tipo de aplicativo está sendo executado em uma porta específica. Mas aplicativos ou serviços podem ser alterados para usar uma porta diferente para ofuscar ou ocultar o serviço ou o aplicativo em um endereço IP. Conhecer as informações de porta e cabeçalho/banner pode identificar o aplicativo/serviço verdadeiro e a combinação de portas que estão sendo usadas. O Defender TI apresenta 14 dias de histórico na guia Serviços, exibindo a última resposta de faixa associada a uma porta observada.

Nossos dados dos Serviços incluem o seguinte:

• Abrir portas observadas
• Números da porta
• Componentes
• Número de vezes que o serviço foi observado
• Quando a porta foi digitalizada pela última vez
• Conexão de protocolo
• Status da porta
  • Abrir
  • Filtered
  • Fechado
• Resposta de faixa

Perguntas que esse conjunto de dados pode ajudar a responder:

• Quais aplicativos estão sendo executados em uma porta específica para um determinado endereço IP?

  

• Qual versão dos aplicativos está em uso?

  

• Houve alterações recentes no status aberto, filtrado ou fechado para uma determinada porta?

  

• Um certificado estava associado à conexão?

  

• As tecnologias vulneráveis ou preteridas estão em uso em um determinado ativo?

  

  

• As informações estão sendo expostas por um serviço em execução que pode ser usado para fins nefastos?

• As melhores práticas de segurança estão sendo seguidas?

DNS

A Microsoft vem coletando registros DNS ao longo dos anos, fornecendo aos usuários informações sobre registros MX (troca de emails), registros NS (nameerver), registros TXT (texto), registros de início de autoridade (SOA), registros CNAME (nome canônico) e registros de ponteiro (PTR). A revisão de registros DNS pode ser útil para identificar a infraestrutura compartilhada usada pelos atores em todos os domínios que eles possuem. Por exemplo, os grupos de atores tendem a usar os mesmos nameservers para segmentar sua infraestrutura ou os mesmos servidores de troca de emails para administrar seu comando e controle.

Nossos dados DNS incluem o seguinte:

• Valor: o registro DNS associado ao host.
• Visto pela primeira vez: um carimbo de data/hora que exibe a data em que observamos esse registro pela primeira vez no artefato.
• Last Seen: um carimbo de data/hora que exibe a data em que observamos este registro pela última vez no artefato.
• Tipo: o tipo de infraestrutura associada ao registro. As opções potenciais incluem servidores de correio (MX), arquivos de texto (TXT), servidores de nome (NS), CNAMES e registros SOA (Start of Authority).
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que esse conjunto de dados pode ajudar a responder:

• Quais outras peças de infraestrutura estão diretamente relacionadas ao indicador que estou pesquisando?
• Como a infraestrutura mudou ao longo do tempo?
• O proprietário do domínio está empregando os serviços de uma rede de entrega de conteúdo ou serviço de proteção de marca?
• Quais outras tecnologias a organização associada pode estar empregando em sua rede?

DNS reverso

Enquanto uma pesquisa DNS avançada consulta o endereço IP de um determinado nome de host, uma pesquisa DNS reversa consulta um nome de host específico de um endereço IP. Esse conjunto de dados mostrará resultados semelhantes ao conjunto de dados DNS. A revisão de registros DNS pode ser útil para identificar a infraestrutura compartilhada usada pelos atores em todos os domínios que eles possuem. Por exemplo, os grupos de atores tendem a usar os mesmos nameservers para segmentar sua infraestrutura ou os mesmos servidores de troca de emails para administrar seu comando e controle.

Nossos dados DNS reversos incluem o seguinte:

• Valor: o valor do registro DNS reverso.
• Primeiro visto: um carimbo de data/hora da data em que observamos pela primeira vez este registro no artefato.
• Last Seen: um carimbo de data/hora da data em que observamos pela primeira vez este registro no artefato.
• Tipo: o tipo de infraestrutura associada ao registro. As opções potenciais incluem servidores de correio (MX), arquivos de texto (TXT), servidores de nome (NS), CNAMES e registros SOA (Start of Authority).
• Marcas: todas as marcas aplicadas a este artefato no sistema de TI do Defender.

Perguntas que este conjunto de dados pode ajudar a responder:

• Quais registros DNS observaram esse host?
• Como a infraestrutura que observou esse host mudou ao longo do tempo?

Próximas etapas

Para saber mais, confira:

• Pesquisando e dinamizando
• Classificando, filtrando e baixando dados
• Encadeamento de infraestrutura
• Tutorial: Coleta de inteligência contra ameaças e encadeamento de infraestrutura