تنبيهات DNS
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها ل DNS من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات DNS
هام
اعتبارا من 1 أغسطس 2023، يمكن للعملاء الذين لديهم اشتراك موجود في Defender for DNS الاستمرار في استخدام الخدمة، ولكن سيتلقى المشتركون الجدد تنبيهات حول نشاط DNS المشبوه كجزء من Defender for Servers P2.
استخدام بروتوكول الشبكة الشاذ
(AzureDNS_ProtocolAnomaly)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن استخدام بروتوكول شاذ. قد تشير نسبة استخدام الشبكة هذه، على الرغم من أنه ربما تكون حميدة، إلى إساءة استخدام هذا البروتوكول الشائع لتجاوز تصفية نسبة استخدام الشبكة. يتضمن نشاط المهاجم ذي الصلة النموذجي نسخ أدوات الإدارة عن بعد إلى مضيف مخترق وطرد بيانات المستخدم منه.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: -
نشاط شبكة مجهول الهوية
(AzureDNS_DarkWeb)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط شبكة مجهول الهوية. غالبًا ما يستخدم المهاجمون مثل هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، للتهرب من تتبع اتصالات الشبكة وبصماتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
نشاط شبكة مجهول الهوية باستخدام وكيل الويب
(AzureDNS_DarkWebProxy)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط شبكة مجهول الهوية. غالبًا ما يستخدم المهاجمون مثل هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، للتهرب من تتبع اتصالات الشبكة وبصماتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
محاولة الاتصال بمجال متلقي مريب
(AzureDNS_SinkholedDomain)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن طلب المجال المتلقي. هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، غالبًا ما يكون مؤشرًا على تنزيل البرامج الضارة أو تنفيذها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: متوسط
الاتصال بمجال التصيد الاحتيالي المحتمل
(AzureDNS_PhishingDomain)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن طلب لمجال تصيد احتيالي محتمل. وعلى الرغم من أن هذا النشاط قد يكون حميدًا، فإن المهاجمين كثيرًا ما يقومون به لحصاد بيانات الاعتماد إلى الخدمات عن بعد. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي استغلال أي بيانات اعتماد على الخدمة الشرعية.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: معلوماتية
الاتصال بالمجال المشبوه الذي تم إنشاؤه خوارزميا
(AzureDNS_DomainGenerationAlgorithm)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن الاستخدام المحتمل لخوارزمية إنشاء مجال. غالبًا ما يتم تنفيذ هذا النشاط، على الرغم من أنه قد يكون حميدًا، من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: معلوماتية
الاتصال بالمجال المشبوه الذي حدَّده التحليل الذكي للمخاطر
(AzureDNS_ThreatIntelSuspectDomain)
الوصف: تم الكشف عن الاتصال بالمجال المشبوه من خلال تحليل معاملات DNS من المورد الخاص بك والمقارنة مع المجالات الضارة المعروفة التي تم تحديدها بواسطة موجزات التحليل الذكي للمخاطر. أجرى المهاجمون الاتصال بالمجالات الضارة بشكل متكرر وقد يعني ذلك أن موردك عرضة للخطر.
تكتيكات MITRE: الوصول الأولي
الخطورة: متوسط
الاتصال باسم المجال العشوائي المشبوه
(AzureDNS_RandomizedDomain)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن استخدام اسم مجال مريب تم إنشاؤه عشوائيا. غالبًا ما يتم تنفيذ هذا النشاط، على الرغم من أنه قد يكون حميدًا، من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: معلوماتية
نشاط استخراج العملات الرقمية
(AzureDNS_CurrencyMining)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط استخراج العملات الرقمية. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين بعد اختراق الموارد. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ أدوات التعدين الشائعة.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
تنشيط توقيع الكشف عن اختراق الشبكة
(AzureDNS_SuspiciousDomain)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن توقيع شبكة ضار معروف. هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، غالبًا ما يكون مؤشرًا على تنزيل البرامج الضارة أو تنفيذها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: متوسط
تنزيل البيانات المحتمل عبر نفق DNS
(AzureDNS_DataInfiltration)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
النقل غير المصرح للبيانات المحتمل عبر نفق DNS
(AzureDNS_DataExfiltration)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
نقل البيانات المحتمل عبر نفق DNS
(AzureDNS_DataObfuscation)
الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: منخفض
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.