Sdílet prostřednictvím

Výstrahy pro DNS

  • Článek

Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro DNS z programu Microsoft Defender for Cloud, a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

Poznámka:

Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Poznámka:

Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.

Výstrahy pro DNS

Důležité

Od 1. srpna 2023 můžou zákazníci se stávajícím předplatným Defenderu pro DNS službu dál používat, ale noví předplatitelé dostanou upozornění na podezřelou aktivitu DNS jako součást defenderu pro servery P2.

Další podrobnosti a poznámky

Neobvyklé využití síťového protokolu

(AzureDNS_ProtocolAnomaly)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila neobvyklé využití protokolu. Takový provoz, i když možná neškodný, může značit zneužití tohoto běžného protokolu k obejití filtrování síťového provozu. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj.

Taktika MITRE: Exfiltrace

Závažnost: -

Aktivita anonymní sítě

(AzureDNS_DarkWeb)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu anonymní sítě. Tato aktivita, i když je možné legitimní chování uživatelů, je často používána útočníky k tomu, aby se vyhnuli sledování a otisku prstu síťové komunikace. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Aktivita anonymní sítě pomocí webového proxy serveru

(AzureDNS_DarkWebProxy)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu anonymní sítě. Tato aktivita, i když je možné legitimní chování uživatelů, je často používána útočníky k tomu, aby se vyhnuli sledování a otisku prstu síťové komunikace. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Pokus o komunikaci s podezřelou doménou s potopenou doménou

(AzureDNS_SinkholedDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila požadavek na doménu s jímkou. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Komunikace s možnou phishingovou doménou

(AzureDNS_PhishingDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila požadavek na možnou phishingovou doménu. Tato aktivita, i když je možná neškodná, často provádí útočníci za účelem získání přihlašovacích údajů ke vzdáleným službám. Typická aktivita související s útočníkem pravděpodobně zahrnuje zneužití jakýchkoli přihlašovacích údajů v legitimní službě.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Komunikace s podezřelou algoritmicky vygenerovanou doménou

(AzureDNS_DomainGenerationAlgorithm)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možné použití algoritmu generování domény. Tyto aktivity, i když možná neškodné, často provádějí útočníci, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Komunikace s podezřelou doménou identifikovanou analýzou hrozeb

(AzureDNS_ThreatIntelSuspectDomain)

Popis: Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku.

Taktika MITRE: Počáteční přístup

Závažnost: Střední

Komunikace s podezřelým náhodným názvem domény

(AzureDNS_RandomizedDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila použití podezřelého náhodně generovaného názvu domény. Tyto aktivity, i když možná neškodné, často provádějí útočníci, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Aktivita dolování digitálních měn

(AzureDNS_CurrencyMining)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu dolování digitálních měn. Tato aktivita, i když je to možné legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění běžných nástrojů pro dolování.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Aktivace podpisu detekce neoprávněných vniknutí do sítě

(AzureDNS_SuspiciousDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila známý škodlivý síťový podpis. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Možné stahování dat přes tunel DNS

(AzureDNS_DataInfiltration)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možný tunel DNS. Tato aktivita, i když je možné legitimní chování uživatelů, se často provádí útočníky, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Možná exfiltrace dat prostřednictvím tunelu DNS

(AzureDNS_DataExfiltration)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možný tunel DNS. Tato aktivita, i když je možné legitimní chování uživatelů, se často provádí útočníky, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Možný přenos dat přes tunel DNS

(AzureDNS_DataObfuscation)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možný tunel DNS. Tato aktivita, i když je možné legitimní chování uživatelů, se často provádí útočníky, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Poznámka:

Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Další kroky