Výstrahy pro síťovou vrstvu Azure

Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro síťovou vrstvu Azure z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

Poznámka:

Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Poznámka:

Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.

Upozornění na vrstvu sítě Azure

Další podrobnosti a poznámky

Zjistila se síťová komunikace se škodlivým počítačem

(Network_CommunicationWithC2)

Popis: Analýza síťového provozu označuje, že váš počítač (IP adresa %{Victim IP}) komunikoval s tím, co je možná centrum pro řízení a příkaz. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo služba Application Gateway, může podezřelá aktivita znamenat, že jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány) komunikovalo s tím, co je možná centrum příkazů a řízení.

Taktika MITRE: Command and Control

Závažnost: Střední

Zjištěný možný ohrožený počítač

(Network_ResourceIpIndicatedAsMalicious)

Popis: Analýza hrozeb značí, že váš počítač (na IP adrese %{IP}) mohl ohrozit malware typu Conficker. Conficker byl počítačový červ, který cílí na operační systém Microsoft Windows a byl poprvé zjištěn v listopadu 2008. Conficker infikovat miliony počítačů včetně státní správy, podnikání a domácí počítače ve více než 200 zemích/oblastech, což je největší známý počítačový červ infekce od roku 2003 Welchia červ.

Taktika MITRE: Command and Control

Závažnost: Střední

Možné příchozí pokusy o hrubou silou %{Název služby} byly zjištěny.

(Generic_Incoming_BF_OneToOne)

Popis: Analýza síťového provozu zjistila příchozí komunikaci %{Název služby} s účastníkem %{IP adresa oběti}, přidružená k vašemu prostředku %{Ohrožený hostitel} z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují podezřelou aktivitu mezi %{počátečním časem} a %{koncovým časem} na portu %{Victim Port}. Tato aktivita je konzistentní s pokusy o hrubou silou vůči serverům %{Service Name}.

Taktika MITRE: Předběžné připojení

Závažnost: Informační

Možné příchozí pokusy o hrubou silou SQL se zjistily

(SQL_Incoming_BF_OneToOne)

Popis: Analýza síťového provozu zjistila příchozí komunikaci SQL s %{IP adresou oběti}, přidruženou k vašemu prostředku %{Ohrožený hostitel}, z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují podezřelou aktivitu mezi %{počátečním časem} a %{koncovým časem} na portu %{Číslo portu} (%{Typ služby SQL}). Tato aktivita odpovídá pokusům o útoky hrubou silou na servery SQL.

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Zjistilo se možné odchozí útok dosílané služby

(DDOS)

Popis: Analýza síťového provozu zjistila neobvyklou odchozí aktivitu pocházející z %{Ohroženého hostitele}, prostředku ve vašem nasazení. Tato aktivita může znamenat, že došlo k ohrožení vašeho prostředku a nyní se zabývá útoky na dostupnost služby vůči externím koncovým bodům. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo služba Application Gateway, může podezřelá aktivita znamenat, že došlo k ohrožení jednoho nebo několika prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Na základě objemu připojení se domníváme, že následující IP adresy jsou možná cílem útoku DOS: %{Možné oběti}. Upozorňujeme, že je možné, že komunikace s některými z těchto IP adres je legitimní.

Taktika MITRE: Dopad

Závažnost: Střední

Podezřelá příchozí síťová aktivita protokolu RDP z více zdrojů

(RDP_Incoming_BF_ManyToOne)

Popis: Analýza síťového provozu zjistila neobvyklou příchozí příchozí komunikaci protokolu RDP (Remote Desktop Protocol) s účastníkem %{Victim IP}, přidruženou k vašemu prostředku %{Ohrožený hostitel}, z více zdrojů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data ukazují %{Počet IP adres pro útok} jedinečných IP adres připojených k vašemu prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může znamenat pokus o útok hrubou silou na koncový bod protokolu RDP z více hostitelů (Botnet).

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Podezřelá příchozí síťová aktivita protokolu RDP

(RDP_Incoming_BF_OneToOne)

Popis: Analýza síťového provozu zjistila neobvyklou příchozí příchozí komunikaci protokolu RDP (Remote Desktop Protocol) s účastníkem %{Victim IP}, přidruženou k vašemu prostředku %{Ohrožený hostitel}, z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} příchozích připojení k vašemu prostředku, která jsou pro toto prostředí považována za neobvyklá. Tato aktivita může znamenat pokus o útok hrubou silou na koncový bod protokolu RDP.

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Podezřelá příchozí síťová aktivita SSH z více zdrojů

(SSH_Incoming_BF_ManyToOne)

Popis: Analýza síťového provozu zjistila neobvyklou příchozí komunikaci SSH s %{IP adresou oběti} přidruženou k vašemu prostředku %{Ohrožený hostitel} z více zdrojů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data ukazují %{Počet IP adres pro útok} jedinečných IP adres připojených k vašemu prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může znamenat pokus o útok hrubou silou na koncový bod SSH z několika hostitelů (Botnet).

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Podezřelá příchozí síťová aktivita SSH

(SSH_Incoming_BF_OneToOne)

Popis: Analýza síťového provozu zjistila neobvyklou příchozí komunikaci SSH s %{IP adresou oběti} přidruženou k vašemu prostředku %{Ohrožený hostitel} z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přeposlal do jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} příchozích připojení k vašemu prostředku, která jsou pro toto prostředí považována za neobvyklá. Tato aktivita může značit pokus o útok hrubou silou na koncový bod SSH.

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Zjistil se podezřelý odchozí provoz %{Napadený protokol}.

(PortScanning)

Popis: Analýza síťového provozu zjistila podezřelý odchozí provoz z %{Ohroženého hostitele} na cílový port %{Nejběžnější port}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Toto chování může značit, že se váš prostředek účastní pokusů o útok hrubou silou nebo útoků na útok hrubou silou nebo útoky na úklid portů.

Taktika MITRE: Zjišťování

Závažnost: Střední

Podezřelá odchozí síťová aktivita protokolu RDP do více cílů

(RDP_Outgoing_BF_OneToMany)

Popis: Analýza síťového provozu zjistila neobvyklou odchozí komunikaci protokolu RDP (Remote Desktop Protocol) do více cílů pocházejících z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data ukazují, že se váš počítač připojuje k jedinečným IP adresám %{Počet napadených IP adres}, což se pro toto prostředí považuje za neobvyklé. Tato aktivita může znamenat, že došlo k ohrožení vašeho prostředku a používá se k útoku hrubou silou na externí koncové body protokolu RDP. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou.

Taktika MITRE: Zjišťování

Závažnost: Vysoká

Podezřelá odchozí síťová aktivita protokolu RDP

(RDP_Outgoing_BF_OneToOne)

Popis: Analýza síťového provozu zjistila neobvyklou odchozí komunikaci protokolu RDP (Remote Desktop Protocol) s %{Ip adresou oběti} pocházející z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} odchozích připojení z vašeho prostředku, která jsou pro toto prostředí považována za neobvyklá. Tato aktivita může znamenat, že došlo k ohrožení zabezpečení vašeho počítače a používá se k útoku hrubou silou na externí koncové body protokolu RDP. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou.

Taktika MITRE: Laterální pohyb

Závažnost: Vysoká

Podezřelá odchozí síťová aktivita SSH do více cílů

(SSH_Outgoing_BF_OneToMany)

Popis: Analýza síťového provozu zjistila neobvyklou odchozí komunikaci SSH do více cílů pocházejících z %{Ohrožený hostitel} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data ukazují, že se váš prostředek připojuje k jedinečným IP adresám %{Number of Attacked IP} (Počet napadených IP adres), což se pro toto prostředí považuje za neobvyklé. Tato aktivita může značit, že došlo k ohrožení vašeho prostředku a používá se k útoku hrubou silou na externí koncové body SSH. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou.

Taktika MITRE: Zjišťování

Závažnost: Střední

Podezřelá odchozí síťová aktivita SSH

(SSH_Outgoing_BF_OneToOne)

Popis: Analýza síťového provozu zjistila neobvyklou odchozí komunikaci SSH s %{IP adresou oběti} pocházející z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} odchozích připojení z vašeho prostředku, která jsou pro toto prostředí považována za neobvyklá. Tato aktivita může značit, že došlo k ohrožení vašeho prostředku a používá se k útoku hrubou silou na externí koncové body SSH. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou.

Taktika MITRE: Laterální pohyb

Závažnost: Střední

Provoz zjištěný z IP adres doporučených pro blokování

(Network_TrafficFromUnrecommendedIP)

Popis: Microsoft Defender for Cloud zjistil příchozí provoz z IP adres, které se doporučuje blokovat. K tomu obvykle dochází v případě, že tato IP adresa s tímto prostředkem nekomunikuje pravidelně. Případně se IP adresa označí jako škodlivá zdroji analýzy hrozeb v Defenderu pro cloud.

Taktika MITRE: Testování

Závažnost: Informační

Poznámka:

Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Další kroky

• Výstrahy zabezpečení v Programu Microsoft Defender pro cloud
• Správa a zpracování výstrah zabezpečení v Microsoft Defenderu for Cloud
• Průběžný export defenderu pro cloudová data