فئات قاعدة توقيع Azure Firewall IDPS
يتميز Azure Firewall IDPS بأكثر من 50 فئة يمكن تعيينها للتواقيع الفردية. الجدول التالي عبارة عن قائمة تعريفات لكل فئة.
الفئات
| الفئة | الوصف |
|---|---|
| 3CORESec | هذه الفئة مخصصة للتواقيع التي يتم إنشاؤها تلقائيًا من قوائم حظر IP الخاصة بفريق 3CORESec. قوائم الحظر هذه يتم إنشاؤها بواسطة 3CORESec استنادًا إلى النشاط الضار من Honeypots الخاصة بهم. |
| Activex | هذه الفئة مخصصة للتواقيع التي تحمي من الهجمات ضد عناصر تحكم Microsoft ActiveX، وتستغل استهداف الثغرات الأمنية في عناصر تحكم ActiveX. |
| Adware-PUP | هذه الفئة مخصصة للتواقيع لتحديد البرامج المستخدمة لتعقب الإعلان، أو أنواع أخرى من الأنشطة المتعلقة ببرامج التجسس. |
| الاستجابة للهجوم | هذه الفئة مخصصة للتواقيع لتحديد الاستجابات التي تشير إلى التطفل - تتضمن الأمثلة، على سبيل المثال لا الحصر، تنزيل ملف LMHost، ووجود شعارات ويب معينة، والكشف عن الأمر Metasploit Meterpreter kill. هذه التواقيع تم تصميمها للقبض على نتائج هجوم ناجح. أشياء مثل id=root، أو رسائل الخطأ التي تشير إلى حدوث اختراق. |
| Botcc (Bot Command and Control) | هذه الفئة مخصصة للتواقيع التي يتم إنشاؤها تلقائيًا من عدة مصادر من botnet النشطة المعروفة والمؤكدة وغيرها من مضيفي Command andControl (C2). هذه الفئة يتم تحديثها يوميًا. مصدر البيانات الأساسي للفئة هو Shadowserver.org. |
| منفذ Botcc مجمع | هذه الفئة مخصصة للتواقيع مثل تلك الموجودة في فئة Botcc، ولكنها مجمعة حسب منفذ الوجهة. القواعد المجمعة حسب المنفذ يمكن أن توفر دقة أعلى من القواعد التي لم يتم تجميعها حسب المنفذ. |
| دردشة | هذه الفئة مخصصة للتواقيع التي تحدد نسبة استخدام الشبكة المتعلقة بالعديد من عملاء الدردشة، مثل Internet Relay Chat (IRC). يمكن أن تشير حركة مرور الدردشة إلى نشاط إيداع محتمل من قبل جهات التهديد. |
| CIArmy | هذه الفئة مخصصة للتواقيع التي يتم إنشاؤها باستخدام قواعد IP للذكاء الجماعي للحظر. |
| التنقيب عن العملة المعدنية | هذه الفئة مخصصة للتواقيع ذات القواعد التي تكشف عن البرامج الضارة والتي تقوم بالتنقيب عن العملات المعدنية. كما يمكن لهذه التواقيع الكشف عن بعض برامج التنقيب عن العملات المعدنية المشروعة (على الرغم من أنها غير مرغوب فيها في كثير من الأحيان). |
| الاختراق | هذه الفئة مخصصة للتواقيع استنادًا إلى قائمة بالمضيفين المعروفين الذين تم اختراقهم. يتم تأكيد هذه القائمة وتحديثها يوميًا. يمكن أن تختلف التواقيع في هذه الفئة من قاعدة إلى عدة مئات من القواعد اعتمادًا على مصادر البيانات. تأتي مصادر البيانات لهذه الفئة من عدة مصادر بيانات خاصة، ولكنها موثوقة للغاية. |
| الأحداث الحالية | هذه الفئة مخصصة للتوقيعات ذات القواعد التي وضعت استجابة للحملات النشطة وقصيرة الأجل والعناصر البارزة التي يتوقع أن تكون مؤقتة. من الأمثلة على ذلك حملات الاحتيال المتعلقة بالكوارث. القواعد في هذه الفئة لا يقصد بها أن يتم الاحتفاظ بها في مجموعة القواعد لفترة طويلة، أو التي تحتاج إلى مزيد من الاختبار قبل النظر في تضمينها. في معظم الأحيان، ستكون هذه توقيعات بسيطة لعنون محدد مواقع الويب الثنائي Storm لليوم، وتوقيعات للقبض على CLSIDs للتطبيقات المعرضة للخطر التي تم العثور عليها حديثًا، حيث ليس لدينا أي تفاصيل حول الاستغلال، وما إلى ذلك. |
| DNS (Domain Name Service) | هذه الفئة مخصصة للتواقيع التي تحتوي على قواعد للهجمات والثغرات الأمنية فيما يتعلق بـ DNS. كما تستخدم هذه الفئة للقواعد المتعلقة بإساءة استخدام DNS، مثل الاتصال النفقي. |
| DOS | هذه الفئة مخصصة للتواقيع التي تكتشف محاولات رفض الخدمة (DoS). هذه القواعد تهدف إلى التقاط نشاط DoS الوارد، وتوفير إشارة إلى نشاط DoS الصادر. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| Drop | هذه الفئة مخصصة للتواقيع لحظر عناوين IP في قائمة Spamhaus DROP (عدم التوجيه أو النظير). يتم تحديث القواعد في هذه الفئة يوميًا. |
| Dshield | هذه الفئة مخصصة للتواقيع استنادًا إلى المهاجمين الذين تم تحديدهم بواسطة Dshield. القواعد في هذه الفئة يتم تحديثها يوميًا من قائمة أفضل المهاجمين في DShield، والتي يمكن الاعتماد عليها. |
| الاستغلال | هذه الفئة مخصصة للتواقيع التي تحمي من عمليات الاستغلال المباشرة التي لم يتم تناولها في فئة خدمة معينة. هذه الفئة هي المكان الذي سيتم فيه العثور على هجمات محددة ضد الثغرات الأمنية، مثل ضد Microsoft Windows. الهجمات مع فئتها الخاصة، مثل حقن SQL، لها فئتها الخاصة. |
| مجموعة الاستغلال | هذه الفئة مخصصة للتواقيع للكشف عن النشاط المتعلق بمجموعات الاستغلال وبنيتها الأساسية والتسليم. |
| FTP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة ببروتوكول نقل الملفات (FTP). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط FTP غير الضار، مثل عمليات تسجيل الدخول لأغراض التسجيل. |
| الألعاب | هذه الفئة هي للتواقيع التي تحدد حركة مرور الألعاب والهجمات ضد تلك الألعاب. القواعد تغطي ألعاب مثل World of Warcraft وTarcraft وغيرها من الألعاب الشائعة عبر الإنترنت. في حين أن الألعاب وحركة المرور الخاصة بهم ليست ضارة، فإنها غالبًا ما تكون غير مرغوب فيها ويحظرها النهج على شبكات الشركات. |
| التتبع | هذه الفئة مخصصة للتواقيع التي توفر مؤشرات يمكن أن تكون مفيدة عند مطابقتها مع التواقيع الأخرى في تتبع التهديدات في بيئة ما. هذه القواعد يمكن أن توفر إيجابيات خاطئة على حركة المرور المشروعة وتمنع الأداء. لا يوصى باستخدامها إلا عند البحث بنشاط عن التهديدات المحتملة في البيئة. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| ICMP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والثغرات الأمنية حول بروتوكول رسالة التحكم بالإنترنت (ICMP). |
| ICMP_info | هذه الفئة مخصصة للتواقيع المتعلقة بالأحداث الخاصة ببروتوكول ICMP، المقترنة عادة بالعمليات العادية لأغراض التسجيل. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| IMAP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات وعمليات الاستغلال والثغرات الأمنية حول بروتوكول الوصول إلى الرسائل عبر الإنترنت (IMAP). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط IMAP غير المتجانس لأغراض التسجيل. |
| عدم الملاءمة | هذه الفئة مخصصة للتواقيع لتحديد النشاط المحتمل المرتبط بالمواقع الإباحية أو غير الملاءمة لبيئة العمل. تحذير: قد يكون لهذه الفئة تأثيرًا كبيرًا على الأداء ومعدل عالٍ من الإيجابيات الزائفة. |
| معلومات | هذه الفئة مخصصة للتواقيع للمساعدة في توفير أحداث مستوى التدقيق المفيدة للارتباط وتحديد النشاط المثير للاهتمام، والذي قد لا يكون ضارًا بطبيعتها، ولكن غالبًا ما تتم ملاحظته في البرامج الضارة والتهديدات الأخرى. على سبيل المثال، تنزيل Executable عبر HTTP بواسطة عنوان IP بدلاً من اسم المجال. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| JA3 | هذه الفئة مخصصة للتواقيع لشهادات SSL الضارة ببصمة الإصبع باستخدام تجزئات JA3. هذه القواعد تستند إلى المعلمات الموجودة في التفاوض على تأكيد اتصال SSL من قبل كل من العملاء والخوادم. قد يكون لهذه القواعد معدل إيجابي خاطئ مرتفع، ولكن قد تكون مفيدة لبيئات تتبع التهديدات أو تفجير البرامج الضارة. |
| البرامج الضارة | هذه الفئة مخصصة للتواقيع للكشف عن البرامج الضارة. القواعد في هذه الفئة تكشف عن النشاط المتعلق بالبرامج الضارة التي يتم اكتشافها على الشبكة، بما في ذلك البرامج الضارة أثناء النقل والبرامج الضارة النشطة والعدوى بالبرامج الضارة وهجمات البرامج الضارة وتحديث البرامج الضارة. كما أن هذه فئة مهمة للغاية ويوصى بشدة بتشغيلها. |
| متنوع | هذه الفئة مخصصة للتواقيع غير المشمولة في فئات أخرى. |
| البرامج الضارة للأجهزة المحمولة | هذه الفئة مخصصة للتواقيع التي تشير إلى البرامج الضارة المرتبطة بأنظمة تشغيل الأجهزة المحمولة والكمبيوتر اللوحي، مثل Google Android وApple iOS وغيرها. بشكل عام، يتم وضع البرامج الضارة التي تم الكشف عنها والمرتبطة بأنظمة تشغيل الأجهزة المحمولة في هذه الفئة بدلاً من الفئات القياسية مثل البرامج الضارة. |
| NETBIOS | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بـ NetBIOS. كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط NetBIOS غير المتجانس لأغراض التسجيل. |
| P2P | هذه الفئة مخصصة للتواقيع لتحديد نسبة استخدام الشبكة من نظير إلى نظير (P2P) والهجمات ضدها. نسبة استخدام الشبكة P2P المحددة تتضمن السيول وedonkey وBittorrent وGnutella وYywire من بين أمور أخرى. نسبة استخدام الشبكة P2P ليست ضارة بطبيعتها، ولكنها غالبًا ما تكون ملحوظة للمؤسسات. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| التصيد الاحتيالي | هذه الفئة مخصصة للتواقيع التي تكشف عن نشاط التصيد الاحتيالي لبيانات الاعتماد. هذا يتضمن الصفحات المقصودة التي تعرض التصيد الاحتيالي لبيانات الاعتماد وإرسال بيانات الاعتماد بنجاح إلى مواقع التصيد الاحتيالي لبيانات الاعتماد. |
| النهج | هذه الفئة مخصصة للتوقيعات التي قد تشير إلى انتهاكات لسياسة المؤسسة. قد يتضمن ذلك بروتوكولات عرضة للإساءة، والمعاملات الأخرى على مستوى التطبيق، والتي قد تكون ذات أهمية. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| POP3 | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بـ Post Office Protocol 3.0 (POP3). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط POP3 غير المتجانس لأغراض التسجيل. |
| RPC | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المتعلقة باستدعاء الإجراء البعيد (RPC). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط RPC غير المتجانس لأغراض التسجيل. |
| SCADA | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بالرقابة الإشرافية واكتساب البيانات (SCADA). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط SCADA غير المتجانس لأغراض التسجيل. |
| المسح | هذه الفئة مخصصة للتواقيع للكشف عن الاستكشاف والفحص من أدوات، مثل Nessus وNikto وغيرها من أدوات فحص المنفذ. قد تكون هذه الفئة مفيدة للكشف عن نشاط الاختراق المبكر والحركة الجانبية بعد العدوى داخل المؤسسة. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| التعليمات البرمجية لـ Shell | هذه الفئة مخصصة للتواقيع للكشف عن التعليمات البرمجية لـ shell عن بُعد. التعليمات البرمجية لـ shell عن بُعد يتم استخدامها عندما يريد المهاجم استهداف عملية عرضة للخطر تعمل على جهاز آخر على شبكة محلية أو إنترانت. إذا تم تنفيذها بنجاح، يمكن أن توفر التعليمة البرمجية لـ shell وصول المهاجم إلى الجهاز الهدف عبر الشبكة. عادة ما تستخدم التعليمات البرمجية لـ shell عن بُعد اتصالات مأخذ توصيل TCP/IP القياسية للسماح للمهاجم بالوصول إلى shell على الجهاز الهدف. يمكن تصنيف التعليمات البرمجية لـ shell هذه استنادًا إلى كيفية إعداد هذا الاتصال: إذا كان يمكن للتعليمة البرمجية لـ shell تأسيس هذا الاتصال، فإنه يسمى "shell عكسي" أو تعليمة برمجية لـ shell "الاتصال مرة أخرى" لأن التعليمة البرمجية لـ shell تتصل مرة أخرى بجهاز المهاجم. |
| SMTP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بـ البرتوكول البسيط لنقل رسائل البريد (SMTP). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط SMTP غير المتجانس لأغراض التسجيل. |
| SNMP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بالبروتوكول البسيط لإدارة الشبكة (SNMP). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط SNMP غير المتجانس لأغراض التسجيل. |
| SQL | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بلغة الاستعلامات المركبة (SQL). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط SQL غير المتجانس لأغراض التسجيل. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| TELNET | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة بـ TELNET. كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط TELNET غير المتجانس لأغراض التسجيل. |
| TFTP | هذه الفئة مخصصة للتواقيع المتعلقة بالهجمات والمآثر والثغرات الأمنية المرتبطة ببروتوكول نقل الملفات التافهة (TFTP). كما تتضمن هذه الفئة القواعد التي تكشف عن نشاط TFTP غير المتجانس لأغراض التسجيل. |
| TOR | هذه الفئة مخصصة للتواقيع لتحديد نسبة استخدام الشبكة من وإلى عقد إنهاء TOR استنادًا إلى عنوان IP. ملاحظة: جميع التواقيع في هذه الفئة يتم تعريفها على أنها "تنبيه فقط"، وبالتالي بشكل افتراضي، لن يتم حظر حركة المرور المطابقة لهذه التواقيع على الرغم من تعيين وضع IDPS إلى "التنبيه والرفض". قد يتجاوز العملاء هذا السلوك عن طريق تخصيص هذه التواقيع المحددة لوضع "التنبيه والرفض". |
| وكلاء المستخدم | هذه الفئة مخصصة للتواقيع للكشف عن وكلاء المستخدم المشبوهين وغير الشاذين. يتم وضع وكلاء المستخدم الضارة المعروفة في فئة البرامج الضارة. |
| VOIP | هذه الفئة مخصصة لتوقيعات الهجمات والثغرات الأمنية المرتبطة بالصوت عبر IP (VOIP)، بما في ذلك SIP وH.323 وRTP وغيرها. |
| عميل الويب | هذه الفئة مخصصة لتوقيعات الهجمات والثغرات الأمنية المرتبطة بعملاء الويب، مثل مستعرضات الويب وكذلك التطبيقات من جانب العميل مثل CURL وWGET وغيرها. |
| خادم ويب | هذه الفئة مخصصة للتواقيع للكشف عن الهجمات ضد البنية الأساسية لخادم الويب، مثل APACHE وTOMCAT وN NGINX Microsoft Internet Information Services (IIS) وبرامج خادم الويب الأخرى. |
| تطبيقات خاصة بالويب | هذه الفئة مخصصة للتواقيع للكشف عن الهجمات والثغرات الأمنية في تطبيقات خاصة بالويب. |
| فيروس مُتنقل | هذه الفئة مخصصة للتواقيع للكشف عن النشاط الضار الذي يحاول الانتشار تلقائيا عبر الإنترنت، أو داخل شبكة عن طريق استغلال ثغرة أمنية يتم تصنيفها على أنها فئة WORM. بينما عادة ما يتم تحديد الاستغلال الفعلي نفسه في فئة استغلال أو بروتوكول معين، قد يتم إدخال آخر في هذه الفئة إذا كان من الممكن تحديد البرامج الضارة الفعلية التي تشارك في الانتشار مثل الدودة أيضًا. |
الخطوات التالية
- للتعرف على مزيد من ميزات جدار الحماية Azure Firewall Premium، راجع قسم ميزات جدار الحماية Azure Firewall Premium.