Warnungen für DNS

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise von Microsoft Defender für Cloud erhalten, und alle von Ihnen aktivierten Microsoft Defender-Pläne. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Hinweis

Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Hinweis

Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.

Warnungen für DNS

Wichtig

Ab dem 1 2023. August können Kunden mit einem vorhandenen Abonnement für Defender for DNS den Dienst weiterhin verwenden, aber neue Abonnenten erhalten Benachrichtigungen zu verdächtigen DNS-Aktivitäten als Teil von Defender for Servers P2.

Weitere Details und Hinweise

Anomale Netzwerkprotokollnutzung

(AzureDNS_ProtocolAnomaly)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine anomaliele Protokollverwendung festgestellt. Ein solcher Datenverkehr könnte zwar möglicherweise gutartig sein, aber auf einen Missbrauch dieses gemeinsamen Protokolls hinweisen, um die Netzwerkdatenverkehrsfilterung zu umgehen. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.

MITRE-Taktiken: Exfiltration

Schweregrad: -

Anonyme Netzwerkaktivität

(AzureDNS_DarkWeb)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anonymitätsnetzwerkaktivität erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, diese Vorgehensweise wird jedoch auch häufig von Angreifern genutzt, um die Nachverfolgung und Fingerabdrücke in der Netzwerkkommunikation zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Anonyme Netzwerkaktivität unter Verwendung eines Webproxys

(AzureDNS_DarkWebProxy)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anonymitätsnetzwerkaktivität erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, diese Vorgehensweise wird jedoch auch häufig von Angreifern genutzt, um die Nachverfolgung und Fingerabdrücke in der Netzwerkkommunikation zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Versuchte Kommunikation mit einer verdächtigen Sinkhole-Domäne

(AzureDNS_SinkholedDomain)

Beschreibung: Analyse von DNS-Transaktionen von %{CompromisedEntity} erkannte Anforderung für sinkholed domain. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

Kommunikation mit einer möglichen Phishingdomäne

(AzureDNS_PhishingDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine Anforderung für eine mögliche Phishingdomäne erkannt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um Anmeldeinformationen für Remotedienste auszulesen. Zu den typischen Aktivitäten von Angreifern zählt in diesem Fall die Ausnutzung von Anmeldeinformationen für den legitimen Dienst.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Kommunikation mit einer verdächtigen algorithmisch generierten Domäne

(AzureDNS_DomainGenerationAlgorithm)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die mögliche Verwendung eines Domänengenerierungsalgorithmus erkannt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence

(AzureDNS_ThreatIntelSuspectDomain)

Beschreibung: Die Kommunikation mit verdächtiger Domäne wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.

MITRE-Taktiken: Erstzugriff

Schweregrad: Mittel

Kommunikation mit einem verdächtigen zufälligen Domänennamen

(AzureDNS_RandomizedDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Verwendung eines verdächtigen zufällig generierten Domänennamens erkannt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Digital Currency Mining-Aktivität

(AzureDNS_CurrencyMining)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Miningaktivität digitaler Währungen festgestellt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Erkennung eines Netzwerkangriffs mittels Signaturaktivierung

(AzureDNS_SuspiciousDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine bekannte bösartige Netzwerksignatur erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

Möglicher Datendownload über einen DNS-Tunnel

(AzureDNS_DataInfiltration)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Mögliche Datenexfiltration über einen DNS-Tunnel

(AzureDNS_DataExfiltration)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Mögliche Datenübertragung über einen DNS-Tunnel

(AzureDNS_DataObfuscation)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte

• Sicherheitswarnungen in Microsoft Defender für Cloud
• Verwalten von und Reagieren auf Sicherheitswarnungen in Microsoft Defender für Cloud
• Fortlaufender Export von Defender für Cloud-Daten