GlobalPrevalence 是 Microsoft Defender for Endpoint(MDE)中的一个关键指标,用于表示 某个文件在全球范围内被观察到的设备数量。它通过微软全球威胁情报网络统计得出,反映了文件的分布普遍性。以下是对其功能、应用场景及注意事项的详细解析。
核心作用
- 恶意性评估:
- 低 GlobalPrevalence(如
<50)表明文件在极少数设备中存在,可能是定制化攻击工具、新型恶意软件或内部开发文件。 - 高 GlobalPrevalence(如
>10,000)表明文件广泛分布,通常是操作系统组件、流行软件或广泛传播的合法文件。
- 低 GlobalPrevalence(如
- 信任度分级:
安全团队可结合该指标判断文件的可信度:GlobalPrevalence值域 | 典型用途 --------------------------|--------------------------------- <50 | 可疑(如零日攻击载荷) 50–1,000 | 中等风险(如灰色软件) >1,000 | 高可信度(如微软签名的系统文件)
在查询中的应用
在您提供的 Kusto 查询中:
| invoke FileProfile(SHA1, 1000)
| where GlobalPrevalence < 50 and SignatureState != "SignedValid"
- 筛选逻辑:
GlobalPrevalence <50:排除常见文件,聚焦罕见对象。SignatureState != "SignedValid":排除有效签名的合法文件(攻击者常使用未签名或伪造签名的文件)。
- 实战意义:
此条件组合高效定位 低传播+未签名 的异常文件,这类文件更可能为恶意攻击载荷。
典型场景
- 新型勒索软件检测:
攻击者编译的勒索软件因未大规模传播,其 GlobalPrevalence 接近于零,结合无效签名可告警。 - 定向攻击工具:
针对某企业的定制化后门通常 GlobalPrevalence 极低(仅在目标设备存在),但文件行为异常(如与explorer.exe交互)。 - 供应链投毒:
被篡改的开源库 DLL 在攻击初期 GlobalPrevalence 可能小于 50,但会通过软件更新逐步扩散。
注意事项
- 误报处理:
- 内部工具:企业自研软件的 GlobalPrevalence 天然较低,需添加白名单规则(如特定文件夹、哈希)。
- 行业软件:某些垂直行业工具(如医疗设备驱动)全球使用量低,但本地普遍性高,需结合本地日志过滤。
- 阈值调优:
- 严格模式:威胁狩猎时可设为
<10提高精准度。 - 宽松模式:应急响应时可设为
<500扩大覆盖面。
- 严格模式:威胁狩猎时可设为
- 结合其他信号:
- 文件路径(如
%Temp%)、进程树(如由 Office 启动的脚本)、网络连接(如与 C2 通信)等指标应联合分析。
- 文件路径(如
关联字段
| 字段 | 作用 | 与 GlobalPrevalence 的对比 |
|---|---|---|
GlobalOrgPrevalence |
文件在 您所在组织内 的设备分布数量 | 定位内部传播恶意文件(如横向移动工具) |
FileOriginUrl |
文件首次下载来源(如 URL) | 识别钓鱼或恶意网站传播的文件 |
Signer |
文件签名者信息 | 验证是否为可信发布者(如微软、Adobe) |
优化示例
// 添加白名单条件
| where GlobalPrevalence < 50
and FolderPath !has @"C:\InternalTools\" // 忽略内部工具目录
and FileName !in ("custom_lib.dll") // 忽略已知合法文件
总结
GlobalPrevalence 是威胁狩猎中高效筛选异常文件的利器,但需结合环境上下文与其他指标联动。合理配置阈值和白名单,可显著提升检测精度,降低运营噪音。