تنبيهات لطبقة شبكة Azure
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها لطبقة شبكة Azure من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات طبقة شبكة Azure
تم الكشف عن اتصال الشبكة بجهاز ضار
(Network_CommunicationWithC2)
الوصف: يشير تحليل نسبة استخدام الشبكة إلى أن جهازك (IP ٪{Victim IP}) قد تواصل مع ما قد يكون مركز الأوامر والتحكم. عندما يكون المورد الذي تم اختراقه موازن تحميل أو بوابة تطبيق، قد يشير النشاط المشتبه به إلى أن واحدًا أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق) قد تواصل مع ما قد يكون مركز الأوامر والتحكم.
تكتيكات MITRE: القيادة والتحكم
الخطورة: متوسط
الكشف عن الجهاز المخترق المحتمل
(Network_ResourceIpIndicatedAsMalicious)
الوصف: يشير التحليل الذكي للمخاطر إلى أن جهازك (في IP ٪{Machine IP}) قد تم اختراقه بواسطة برنامج ضار من نوع Conficker. Conficker هو فيروس كمبيوتر يستهدف نظام التشغيل Microsoft Windows وتم اكتشافه لأول مرة في نوفمبر 2008. أصيبت شركة Conficker الملايين من أجهزة الكمبيوتر بما في ذلك أجهزة الكمبيوتر الحكومية والتجارية والمنزلية في أكثر من 200 دولة/منطقة، مما يجعلها أكبر إصابة معروفة بدودة الكمبيوتر منذ دودة Welchia عام 2003.
تكتيكات MITRE: القيادة والتحكم
الخطورة: متوسط
تم الكشف عن محاولات القوة الغاشمة الواردة المحتملة %{Service Name}
(Generic_Incoming_BF_OneToOne)
الوصف: كشف تحليل نسبة استخدام الشبكة عن اتصال ٪{Service Name} الوارد إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host} من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات لها نشاطًا مشبوهًا بين %{Start Time} و%{End Time} على المنفذ %{Victim Port}. يتوافق هذا النشاط مع محاولات القوة الغاشمة ضد خوادم %{Service Name}.
تكتيكات MITRE: PreAttack
الخطورة: معلوماتية
تم اكتشاف محاولات محتملة لقوة SQL الغاشمة الواردة
(SQL_Incoming_BF_OneToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال SQL وارد إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات لها نشاطًا مشبوهًا بين %{Start Time} و%{End Time} على المنفذ %{Port Number} (%{SQL Service Type}). يتوافق هذا النشاط مع محاولات القوة الغاشمة ضد خوادم SQL.
تكتيكات MITRE: PreAttack
الخطورة: متوسط
اكتشاف هجوم رفض الخدمة الصادر المحتمل
(DDOS)
الوصف: كشف تحليل حركة مرور الشبكة عن نشاط صادر شاذ ينشأ من ٪{Compromised Host}، وهو مورد في عملية النشر. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه وهو الآن يشارك في هجمات رفض الخدمة ضد نقاط النهاية الخارجية. عندما يكون المورد الذي تم اختراقه هو موازن تحميل أو بوابة تطبيق، قد يشير النشاط المشتبه به إلى تعرض مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق) للخطر. استنادًا إلى حجم الاتصالات، نعتقد أن عناوين IP التالية ربما تكون أهداف هجوم DOS: %{Possible Victims}. لاحظ أنه من الممكن أن يكون الاتصال ببعض عناوين IP هذه شرعيًا.
تكتيكات MITRE: التأثير
الخطورة: متوسط
نشاط شبكة RDP الوارد المشبوه من مصادر متعددة
(RDP_Incoming_BF_ManyToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال غير مألوف لبروتوكول سطح المكتب البعيد (RDP) إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host}، من مصادر متعددة. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها %{Number of Attacking IPs} الفريدة المتصلة بموردك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى محاولة فرض غاشمة على نقطة نهاية RDP الخاصة بك من مضيفين متعددين (Botnet).
تكتيكات MITRE: PreAttack
الخطورة: متوسط
نشاط شبكة RDP الواردة المشبوهة
(RDP_Incoming_BF_OneToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال غير مألوف لبروتوكول سطح المكتب البعيد (RDP) إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها %{Number of Connections} الاتصالات الواردة إلى المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى محاولة فرض القوة الغاشمة على نقطة نهاية RDP
تكتيكات MITRE: PreAttack
الخطورة: متوسط
نشاط شبكة SSH وارد مريب من مصادر متعددة
(SSH_Incoming_BF_ManyToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال SSH وارد غير مألوف إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host}، من مصادر متعددة. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها %{Number of Attacking IPs} الفريدة المتصلة بموردك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى محاولة فرض نقطة نهاية SSH من مضيفين متعددين (Botnet)
تكتيكات MITRE: PreAttack
الخطورة: متوسط
نشاط شبكة SSH وارد مريب
(SSH_Incoming_BF_OneToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال SSH وارد غير مألوف إلى ٪{Victim IP}، المقترن بموردك ٪{Compromised Host}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه نسبة استخدام الشبكة الواردة المشتبه بها إلى مورد واحد أو أكثر في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها %{Number of Connections} الاتصالات الواردة إلى المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى محاولة فرض القوة الغاشمة على نقطة نهاية SSH
تكتيكات MITRE: PreAttack
الخطورة: متوسط
تم الكشف عن نسبة استخدام الشبكة الصادرة المشبوهة %{Attacked Protocol}
(PortScanning)
الوصف: كشف تحليل حركة مرور الشبكة عن نسبة استخدام الشبكة الصادرة المشبوهة من ٪{Host المخترق} إلى منفذ الوجهة ٪{المنفذ الأكثر شيوعا}. عندما يكون المورد المُخترَق موازن تحميل أو بوابة تطبيق، تنشأ نسبة استخدام الشبكة الصادرة المشتبه بها من مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). قد يشير هذا السلوك إلى أن المورد الخاص بك يشارك في ٪{Attacked Protocol} محاولات القوة الغاشمة أو هجمات مسح المنفذ.
تكتيكات MITRE: الاكتشاف
الخطورة: متوسط
نشاط شبكة RDP الصادر المشبوه إلى وجهات متعددة
(RDP_Outgoing_BF_OneToMany)
الوصف: كشف تحليل نسبة استخدام الشبكة عن اتصال بروتوكول سطح المكتب البعيد الصادر (RDP) غير المألوف إلى وجهات متعددة تنشأ من ٪{Compromised Host} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المُخترَق موازن تحميل أو بوابة تطبيق، تنشأ نسبة استخدام الشبكة الصادرة المشتبه بها من مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها أن جهازك يتصل بـ %{Number of Attacked IPs} الفريدة، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن للقوة الغاشمة نقاط نهاية RDP الخارجية. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على IP الخاص بك على أنه ضار من قبل الكيانات الخارجية.
تكتيكات MITRE: الاكتشاف
الخطورة: عالية
نشاط شبكة RDP الصادرة المشبوهة
(RDP_Outgoing_BF_OneToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال بروتوكول سطح المكتب البعيد الصادر (RDP) إلى ٪{Victim IP} الذي ينشأ من ٪{Compromised Host} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المُخترَق موازن تحميل أو بوابة تطبيق، تنشأ نسبة استخدام الشبكة الصادرة المشتبه بها من مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها %{Number of Connections} الاتصالات الصادرة من المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن جهازك قد تعرض للاختراق ويستخدم الآن للقوة الغاشمة لنقاط نهاية RDP الخارجية. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على IP الخاص بك على أنه ضار من قبل الكيانات الخارجية.
تكتيكات MITRE: الحركة الجانبية
الخطورة: عالية
نشاط شبكة SSH الصادرة المشبوهة إلى وجهات متعددة
(SSH_Outgoing_BF_OneToMany)
الوصف: كشف تحليل نسبة استخدام الشبكة عن اتصال SSH صادر غير صحيح إلى وجهات متعددة تنشأ من ٪{Compromised Host} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المُخترَق موازن تحميل أو بوابة تطبيق، تنشأ نسبة استخدام الشبكة الصادرة المشتبه بها من مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها موردك المتصل بـ %{Number of Attacked IPs} الفريدة، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن للقوة الغاشمة نقاط نهاية SSH الخارجية. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على IP الخاص بك على أنه ضار من قبل الكيانات الخارجية.
تكتيكات MITRE: الاكتشاف
الخطورة: متوسط
نشاط شبكة SSH الصادرة المشبوهة
(SSH_Outgoing_BF_OneToOne)
الوصف: كشف تحليل حركة مرور الشبكة عن اتصال SSH صادر غير صحيح إلى ٪{Victim IP} ينشأ من ٪{Compromised Host} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المُخترَق موازن تحميل أو بوابة تطبيق، تنشأ نسبة استخدام الشبكة الصادرة المشتبه بها من مورد واحد أو أكثر من الموارد في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها %{Number of Connections} الاتصالات الصادرة من المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن للقوة الغاشمة نقاط نهاية SSH الخارجية. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على IP الخاص بك على أنه ضار من قبل الكيانات الخارجية.
تكتيكات MITRE: الحركة الجانبية
الخطورة: متوسط
نسبة استخدام الشبكة التي تم اكتشافها من عناوين IP الموصى بها للحظر
(Network_TrafficFromUnrecommendedIP)
الوصف: اكتشف Microsoft Defender for Cloud نسبة استخدام الشبكة الواردة من عناوين IP الموصى بحظرها. يحدث هذا عادة عندما لا يتصل عنوان IP هذا بشكل منتظم مع هذا المورد. بدلًا من ذلك، تم وضع علامة على عنوان IP على أنه ضار بواسطة مصادر التحليل الذكي للمخاطر في Defender for Cloud.
تكتيكات MITRE: فحص
الخطورة: معلوماتية
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.