Azure Firewall kategorií pravidel podpisu IDPS
Azure Firewall funkce IDPS přes 50 kategorií, které lze přiřadit k jednotlivým podpisům. Následující tabulka obsahuje seznam definic pro jednotlivé kategorie.
Kategorie
Kategorie | Popis |
---|---|
3CORESec | Tato kategorie je určená pro podpisy, které se automaticky vygenerují ze seznamu blokovaných IP adres týmu 3CORESec. Tyto seznamy blokování jsou generovány 3CORESec na základě škodlivých aktivit z jejich Honeypots. |
ActiveX | Tato kategorie je určena pro podpisy, které chrání před útoky na ovládací prvky Microsoft ActiveX a zneužití, jejichž cílem je ohrožení zabezpečení v ovládacích prvcích ActiveX. |
Adware-PUP | Tato kategorie je určená pro podpisy k identifikaci softwaru, který se používá pro sledování reklam nebo jiné typy aktivit souvisejících se spywarem. |
Reakce na útok | Tato kategorie je určená pro podpisy k identifikaci odpovědí indikovaných vniknutí – mezi příklady patří mimo jiné stažení souboru LMHost, přítomnost určitých webových bannerů a detekce příkazu Metasploit Meterpreter kill. Tyto podpisy jsou navržené tak, aby zachytily výsledky úspěšného útoku. Například id=root nebo chybové zprávy, které značí, že mohlo dojít k ohrožení zabezpečení. |
Botcc (příkaz a řízení robota) | Tato kategorie je určena pro podpisy, které jsou automaticky vygenerovány z několika zdrojů známých a potvrzených aktivních botnetů a dalších hostitelů Command andControl (C2). Tato kategorie se aktualizuje každý den. Primárním zdrojem dat kategorie je Shadowserver.org. |
Port Botcc seskupený | Tato kategorie je určená pro podpisy, jako jsou ty v kategorii Botcc, ale seskupené podle cílového portu. Pravidla seskupovaná podle portu můžou nabízet vyšší věrnost než pravidla, která nejsou seskupována podle portu. |
Chat | Tato kategorie je určená pro podpisy, které identifikují provoz související s mnoha chatovacími klienty, jako je služba IRC (Internet Relay Chat) (IRC). Provoz chatu může značit možnou aktivitu ohlášení ze strany aktérů hrozeb. |
CIArmy | Tato kategorie je určená pro podpisy, které jsou generovány pomocí pravidel IP adres kolektivní inteligence pro blokování. |
Těžba mincí | Tato kategorie je určená pro podpisy s pravidly, která detekují malware, což provádí těžbu mincí. Tyto podpisy také můžou detekovat nějaký legitimní (i když často nežádoucí) software pro těžbu mincí. |
Ohrožena | Tato kategorie je určená pro podpisy založené na seznamu známých ohrožených hostitelů. Tento seznam se každý den potvrzuje a aktualizuje. Podpisy v této kategorii se mohou v závislosti na zdrojích dat lišit od jednoho do několika stovek pravidel. Zdroje dat pro tuto kategorii pocházejí z několika soukromých, ale vysoce spolehlivých zdrojů dat. |
Aktuální události | Tato kategorie je určená pro podpisy s pravidly vyvinutými v reakci na aktivní a krátkodobé kampaně a položky s vysokým profilem, u kterého se očekává, že budou dočasné. Jedním z příkladů jsou podvodné kampaně související s katastrofami. Pravidla v této kategorii nejsou určená k tomu, aby se v sadě pravidel uchovávala dlouho nebo která je potřeba před zařazením dále testovat. Nejčastěji se jedná o jednoduché podpisy pro binární adresu URL Stormu dne, podpisy pro zachycení identifikátorů CLSID nově nalezených ohrožených aplikací, u kterých nemáme žádné podrobnosti o zneužití atd. |
DNS (Domain Name Service) | Tato kategorie je určená pro podpisy s pravidly pro útoky a ohrožení zabezpečení týkající se DNS. Tato kategorie se také používá pro pravidla související se zneužitím DNS, jako je tunelování. |
DOS | Tato kategorie je určená pro podpisy, které detekují pokusy o odepření služby (DoS). Tato pravidla jsou určená k zachycení příchozích aktivit DoS a poskytují indikaci odchozí aktivity DoS. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
Drop | Tato kategorie je určená pro podpisy k blokování IP adres v seznamu Spamhaus DROP (Nesměrovat nebo Partnerský vztah). Pravidla v této kategorii se aktualizují každý den. |
Dshield | Tato kategorie je určená pro podpisy založené na útočníkech identifikovaných nástrojem Dshield. Pravidla v této kategorii se aktualizují každý den ze seznamu hlavních útočníků DShield, což je spolehlivé. |
Využít | Tato kategorie je určená pro podpisy, které chrání před přímým zneužitím, které nejsou jinak zahrnuté v konkrétní kategorii služby. V této kategorii se budou nacházet konkrétní útoky na ohrožení zabezpečení, jako je microsoft Windows. Útoky s vlastní kategorií, jako je například injektáž SQL, mají vlastní kategorii. |
Exploit-Kit | Tato kategorie slouží k detekci aktivit souvisejících s infrastrukturou a doručováním sad Exploit Kit. |
FTP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem FTP (File Transfer Protocol). Do této kategorie patří také pravidla, která detekují aktivitu ftp, která nejsou škodlivá, například přihlášení pro účely protokolování. |
Hry | Tato kategorie je určená pro podpisy, které identifikují herní provoz a útoky na tyto hry. Pravidla zahrnují hry jako World of Warcraft, Starcraft a další oblíbené online hry. I když hry a jejich provoz nejsou škodlivé, jsou často nežádoucí a zakázané zásadami v podnikových sítích. |
Vyhledávání | Tato kategorie je určená pro podpisy, které poskytují indikátory, které při porovnávání s jinými podpisy mohou být užitečné pro vyhledávání hrozeb v prostředí. Tato pravidla můžou poskytovat falešně pozitivní výsledky na legitimní provoz a bránit výkonu. Doporučuje se je používat pouze při aktivním výzkumu potenciálních hrozeb v prostředí. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
ICMP | Tato kategorie je určena pro podpisy související s útoky a ohroženími zabezpečení týkajícími se protokolu ICMP (Internet Control Message Protocol). |
ICMP_info | Tato kategorie je určená pro podpisy související s událostmi specifickými pro protokol ICMP, které jsou obvykle spojené s normálními operacemi pro účely protokolování. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
IMAP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení týkajícími se protokolu IMAP (Internet Message Access Protocol). Tato kategorie také zahrnuje pravidla, která pro účely protokolování detekují nemalicious IMAP aktivity. |
Nevhodné | Tato kategorie je určená pro podpisy k identifikaci potenciálně aktivit souvisejících s weby, které jsou pornografické nebo jinak vhodné pro pracovní prostředí. Upozornění: Tato kategorie může mít významný dopad na výkon a vysokou míru falešně pozitivních výsledků. |
Informace | Tato kategorie je určená pro podpisy, které pomáhají poskytovat události úrovně auditu, které jsou užitečné pro korelaci a identifikaci zajímavých aktivit, které nemusí být ze své podstaty škodlivé, ale často se pozorují u malwaru a dalších hrozeb. Například stažení spustitelného souboru přes PROTOKOL HTTP podle IP adresy místo názvu domény. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
JA3 | Tato kategorie je určená pro podpisy pro otisky škodlivých certifikátů SSL pomocí hodnot hash JA3. Tato pravidla jsou založená na parametrech, které jsou v vyjednávání ssl handshake klienty i servery. Tato pravidla můžou mít vysokou míru falešně pozitivních výsledků, ale můžou být užitečná pro prostředí pro vyhledávání hrozeb nebo detonaci malwaru. |
Malware | Tato kategorie je určená pro podpisy k detekci škodlivého softwaru. Pravidla v této kategorii detekují aktivity související se škodlivým softwarem, který je zjištěn v síti, včetně přenášeného malwaru, aktivního malwaru, malwarových infekcí, malwarových útoků a aktualizací malwaru. To je také velmi důležitá kategorie a důrazně doporučujeme, abyste ji spustili. |
Různé | Tato kategorie je určena pro podpisy, které nejsou zahrnuté v jiných kategoriích. |
Mobilní malware | Tato kategorie je určená pro podpisy, které označují malware, který je spojený s mobilními a tabletovými operačními systémy, jako jsou Google Android, Apple iOS a další. Malware, který je zjištěn a je spojen s mobilními operačními systémy, bude obecně umístěn do této kategorie místo standardních kategorií, jako je Malware. |
NETBIOS | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohroženími zabezpečení souvisejícími s rozhraním NetBIOS. Tato kategorie zahrnuje také pravidla, která pro účely protokolování detekují aktivitu netBIOS, která nejsou škodlivá. |
P2P | Tato kategorie je určená pro podpisy pro identifikaci provozu typu peer-to-peer (P2P) a útoky na něj. Identifikovaný provoz P2P zahrnuje mimo jiné torrenty, edonkey, Bittorrent, Gnutella a Limewire. Provoz P2P není ze své podstaty škodlivý, ale pro podniky je často velmi zásadní. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
Phishing | Tato kategorie je určená pro podpisy, které detekují aktivitu phishingu s přihlašovacími údaji. To zahrnuje cílové stránky zobrazující phishing s přihlašovacími údaji a úspěšné odeslání přihlašovacích údajů na weby phishing s přihlašovacími údaji. |
Zásady | Tato kategorie je určená pro podpisy, které můžou značit porušení zásad organizace. To může zahrnovat protokoly náchylné ke zneužití a další transakce na úrovni aplikace, které mohou být zajímavé. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou tuto možnost přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
POP3 | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem POP3(Post Office Protocol 3.0). Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují nemalicious pop3 aktivity. |
RPC | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícími se vzdáleným voláním procedur (RPC). Tato kategorie také zahrnuje pravidla, která pro účely protokolování detekují aktivitu RPC, která nejsou škodlivá. |
SCADA | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s dohledovým řízením a získáváním dat (SCADA). Tato kategorie zahrnuje také pravidla, která pro účely protokolování detekují aktivitu SCADA, která nejsou škodlivá. |
SKENOVÁNÍ | Tato kategorie je určená pro podpisy k detekci rekognoskace a sondování z nástrojů, jako jsou Nessus, Nikto a další nástroje pro skenování portů. Tato kategorie může být užitečná pro detekci včasných aktivit porušení zabezpečení a laterálního pohybu po infekci v rámci organizace. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou tuto možnost přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
Kód prostředí | Tato kategorie je určená pro podpisy pro detekci kódu vzdáleného prostředí. Kód vzdáleného prostředí se používá, když chce útočník cílit na ohrožený proces spuštěný na jiném počítači v místní síti nebo intranetu. V případě úspěšného spuštění může kód prostředí poskytnout útočníkovi přístup k cílovému počítači přes síť. Kódy vzdáleného prostředí obvykle používají standardní připojení soketů TCP/IP, která útočníkovi umožňují přístup k prostředí na cílovém počítači. Takový kód prostředí může být kategorizován podle toho, jak je toto připojení nastavené: pokud kód prostředí dokáže navázat toto připojení, nazývá se "reverzní prostředí" nebo "připojit zpět" kód prostředí, protože kód prostředí se připojuje zpět k počítači útočníka. |
SMTP | Tato kategorie je určena pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem SMTP (Simple Mail Transfer Protocol). Do této kategorie patří také pravidla, která pro účely protokolování detekují aktivitu SMTP, která není škodlivá. |
SNMP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem SNMP (Simple Network Management Protocol). Tato kategorie zahrnuje také pravidla, která pro účely protokolování detekují nezlými aktivitami SNMP. |
SQL | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohroženími zabezpečení souvisejícími s jazyk SQL (Structured Query Language) (SQL). Tato kategorie zahrnuje také pravidla, která pro účely protokolování detekují aktivitu SQL, která není škodlivá. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou tuto možnost přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
TELNET | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem TELNET. Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují aktivitu protokolu TELNET, která nejsou škodlivá. |
TFTP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohrožením zabezpečení souvisejícím s protokolem TFTP (Trivial File Transport Protocol). Tato kategorie zahrnuje také pravidla, která pro účely protokolování detekují nemalicious TFTP aktivity. |
TOR | Tato kategorie je určená pro podpisy pro identifikaci provozu do výstupních uzlů TOR a z něj na základě IP adresy. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze upozornění", proto ve výchozím nastavení nebude provoz odpovídající těmto podpisům blokován, i když je režim IDPS nastavený na "Upozornění a zamítnutí". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
Uživatelskí agenti | Tato kategorie slouží k detekci podezřelých a neobvyklých uživatelských agentů. Známí agenti uživatelů se zlými úmysly jsou umístěni v kategorii Malware. |
VOIP | Tato kategorie je určená pro podpisy pro útoky a ohrožení zabezpečení související s voice over IP (VOIP), včetně PROTOKOLU SIP, H.323 a RTP mimo jiné. |
Webový klient | Tato kategorie je určená pro podpisy pro útoky a ohrožení zabezpečení související s webovými klienty, jako jsou webové prohlížeče, a také aplikace na straně klienta, jako jsou CURL, WGET a další. |
Webový server | Tato kategorie je určená pro podpisy, které detekují útoky na infrastrukturu webového serveru, jako jsou APACHE, TOMCAT, NGINX, Internetová informační služba (IIS) společnosti Microsoft a další software webového serveru. |
Webové aplikace | Tato kategorie je určená pro podpisy k detekci útoků a ohrožení zabezpečení v konkrétních webových aplikacích. |
WORM | Tato kategorie je určená pro podpisy k detekci škodlivých aktivit, které se automaticky pokusí rozšířit po internetu nebo v síti zneužitím chyby zabezpečení, jsou klasifikovány jako kategorie WORM. I když samotné zneužití bude obvykle identifikováno v kategorii Exploit nebo daný protokol, může být v této kategorii proveden další záznam, pokud je možné identifikovat i samotný malware, který se zabývá šířením červů. |
Další kroky
- Další informace o funkcích Azure Firewall Premium najdete v tématu funkce Azure Firewall Premium.