Freigeben über


Azure Firewall-IDPS-Signaturregelkategorien

Azure Firewall-IDPS umfasst über 50 Kategorien, die einzelnen Signaturen zugewiesen werden können. Die folgende Tabelle enthält eine Liste der Definitionen für jede Kategorie.

Kategorien

Category BESCHREIBUNG
3CORESec Diese Kategorie gilt für Signaturen, die automatisch aus den IP-Blocklisten des 3CORESec-Teams generiert werden. Diese Blocklisten werden von 3CORESec basierend auf schädlichen Aktivitäten aus ihren Honeypots generiert.
ActiveX Diese Kategorie gilt für Signaturen, die vor Angriffen auf Microsoft ActiveX-Steuerelemente und Exploits schützen, die auf Sicherheitsrisiken in ActiveX-Steuerelementen abzielen.
Adware-PUP Diese Kategorie gilt für Signaturen, die Software identifizieren, die für die Nachverfolgung von Werbeaktivitäten oder andere Arten von Spyware-bezogenen Aktivitäten verwendet wird.
Angriffsreaktion Diese Kategorie gilt für Signaturen zur Identifizierung von Reaktionen, die auf Eindringversuche hinweisen. Beispiele hierfür sind u. a. das Herunterladen von LMHost-Dateien, das Vorhandensein bestimmter Webbanner und die Erkennung des Metasploit Meterpreter-Kill-Befehls. Diese Signaturen sind so konzipiert, dass sie die Ergebnisse eines erfolgreichen Angriffs abfangen. Beispielsweise id=root oder Fehlermeldungen, die auf eine mögliche Kompromittierung hinweisen.
Botcc (Bot Command and Control) Diese Kategorie gilt für Signaturen, die automatisch aus verschiedenen Quellen bekannter und bestätigter aktiver Botnet- und anderer Command and Control-Hosts (C2) generiert werden. Diese Kategorie wird täglich aktualisiert. Die primäre Datenquelle der Kategorie ist Shadowserver.org..
Botcc-Port gruppiert Diese Kategorie gilt für Signaturen wie die in der Botcc-Kategorie, die jedoch nach Zielports gruppiert sind. Regeln, die nach Port gruppiert sind, können eine höhere Genauigkeit bieten als Regeln, die nicht nach Port gruppiert sind.
Chat Diese Kategorie gilt für Signaturen, die Datenverkehr im Zusammenhang mit vielen Chatclients wie Internet Relay Chat (IRC) identifizieren. Chatdatenverkehr kann auf eine mögliche Eincheckaktivität durch Bedrohungsakteure hinweisen.
CIArmy Diese Kategorie gilt für Signaturen, die mithilfe der IP-Regeln von Collective Intelligence zum Blockieren generiert werden.
Coin Mining Diese Kategorie gilt für Signaturen mit Regeln zum Erkennen von Schadsoftware, die Coin Mining durchführt. Diese Signaturen können auch eine legitime (aber oft unerwünschte) Coin Mining-Software erkennen.
Kompromittiert Diese Kategorie gilt für Signaturen, die auf einer Liste bekannter kompromittierter Hosts basieren. Diese Liste wird täglich bestätigt und aktualisiert. Die Signaturen in dieser Kategorie können je nach Datenquelle von einer bis zu mehreren hundert Regeln variieren. Bei den Datenquellen für diese Kategorie handelt es sich um mehrere private, aber äußerst zuverlässige Datenquellen.
Aktuelle Ereignisse Diese Kategorie gilt für Signaturen mit Regeln, die als Reaktion auf aktive und kurzlebige Kampagnen entwickelt wurden, sowie für Elemente mit hohem Profil, von denen erwartet wird, dass sie temporär sind. Ein Beispiel sind Betrugskampagnen im Zusammenhang mit Notfällen. Die Regeln in dieser Kategorie sollen nicht lange im Regelsatz beibehalten werden, oder sie müssen weiter getestet werden, bevor sie für die Aufnahme in Betracht gezogen werden. In den meisten Fall handelt es sich dabei um einfache Signaturen für die Storm-Binär-URL des Tages, Signaturen zum Abfangen von CLSIDs von neu gefundenen anfälligen Apps, bei denen keine näheren Informationen zum Exploit vorliegen, usw.
Domain Name Service (DNS) Diese Kategorie gilt für Signaturen mit Regeln für Angriffe und Sicherheitsrisiken in Bezug auf DNS. Diese Kategorie wird auch für Regeln im Zusammenhang mit dem Missbrauch von DNS verwendet, z. B. Tunneling.
DOS Diese Kategorie gilt für Signaturen, die DoS-Versuche (Denial of Service) erkennen. Diese Regeln sollen eingehende DoS-Aktivitäten abfangen und auf ausgehende DoS-Aktivitäten hinweisen.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
Verwerfen Diese Kategorie gilt für Signaturen zum Blockieren von IP-Adressen in der Spamhaus DROP-Liste (Don't Route or Peer). Die Regeln in dieser Kategorie werden täglich aktualisiert.
Dshield Diese Kategorie gilt für Signaturen, die auf Angreifern basieren, die von Dshield identifiziert werden. Die Regeln in dieser Kategorie werden täglich anhand der Liste der wichtigsten DShield-Angreifer aktualisiert, was zuverlässig ist.
Exploit Diese Kategorie gilt für Signaturen, die vor direkten Exploits schützen, die nicht anderweitig in einer bestimmten Dienstkategorie abgedeckt sind. In dieser Kategorie sind bestimmte Angriffe auf Sicherheitslücken etwa in Microsoft Windows enthalten. Manche Angriffe, wie z. B. Einschleusung von SQL-Befehlen, haben eine eigene Kategorie.
Exploit-Kit Diese Kategorie gilt für Signaturen zum Erkennen von Aktivitäten im Zusammenhang mit Exploit Kits, ihrer Infrastruktur und Übermittlung.
FTP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem File Transfer Protocol (FTP) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht schädliche FTP-Aktivitäten wie Anmeldungen zu Protokollierungszwecken erkennen.
Spiele Diese Kategorie gilt für Signaturen, die den Gamingdatenverkehr und Angriffe auf diese Spiele identifizieren. Die Regeln umfassen Spiele wie World of Warcraft, Starcraft und andere beliebte Onlinespiele. Die Spiele und ihr Datenverkehr sind zwar nicht bösartig, aber nach den Richtlinien in Unternehmensnetzwerken häufig unerwünscht und unzulässig.
Suche Diese Kategorie gilt für Signaturen, die Indikatoren bereitstellen, die bei Übereinstimmung mit anderen Signaturen für die Bedrohungssuche in einer Umgebung nützlich sein können. Diese Regeln können falsch positive Ergebnisse für legitimen Datenverkehr liefern und die Leistung beeinträchtigen. Sie sollten nur dazu verwendet werden, aktiv nach potenziellen Bedrohungen in der Umgebung zu suchen.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
ICMP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen und Sicherheitsrisiken im Zusammenhang mit dem Internet Control Message Protocol (ICMP).
ICMP_info Diese Kategorie gilt für Signaturen im Zusammenhang mit protokollspezifischen ICMP-Ereignissen, die in der Regel normalen Vorgängen zu Protokollierungszwecken zugeordnet sind.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
IMAP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit dem Internet Message Access Protocol (IMAP). Diese Kategorie umfasst auch Regeln, die nicht bösartige IMAP-Aktivitäten zu Protokollierungszwecken erkennen.
Unangemessen Diese Kategorie gilt für Signaturen zum Identifizieren potenzieller Aktivitäten im Zusammenhang mit Websites, die pornografisch oder anderweitig für eine Arbeitsumgebung nicht geeignet sind.

Warnung: Diese Kategorie kann erhebliche Auswirkungen auf die Leistung haben und eine hohe Rate falsch positiver Ergebnisse liefern.
Info Diese Kategorie gilt für Signaturen, die Ereignisse auf Überwachungsebene bereitstellen, die für die Korrelation und Identifizierung interessanter Aktivitäten nützlich sind, die möglicherweise nicht grundsätzlich bösartig sind, aber häufig bei Schadsoftware und anderen Bedrohungen beobachtet werden. Beispiel: Herunterladen einer ausführbaren Datei über HTTP nach IP-Adresse anstelle des Domänennamens.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
JA3 Diese Kategorie gilt für Signaturen zum Fingerabdruck schädlicher SSL-Zertifikate mithilfe von JA3-Hashes. Diese Regeln basieren auf Parametern, die in der SSL-Handshakeaushandlung sowohl von Clients als auch Servern verwendet werden. Diese Regeln können eine hohe Rate falsch positiver Ergebnisse liefern, aber für Bedrohungssuche oder Malware Detonation-Umgebungen nützlich sein.
Malware Diese Kategorie gilt für Signaturen zum Erkennen von Schadsoftware. Regeln in dieser Kategorie erkennen Aktivitäten im Zusammenhang mit Schadsoftware, die im Netzwerk erkannt wird, einschließlich übertragener Schadsoftware, aktiver Schadsoftware, Schadsoftwareinfizierungen, Schadsoftwareangriffen und Aktualisierung von Schadsoftware. Dies ist auch eine sehr wichtige Kategorie, und es wird dringend empfohlen, sie ausführen.
Sonstiges Diese Kategorie gilt für Signaturen, die nicht von anderen Kategorien abgedeckt werden.
Mobile Schadsoftware Diese Kategorie gilt für Signaturen, die auf Schadsoftware im Zusammenhang mit Mobilgeräte- und Tablet-Betriebssystemen wie Google Android, Apple iOS und anderen hinweisen. Erkannte Schadsoftware, die mit mobilen Betriebssystemen in Zusammenhang steht, wird in der Regel dieser Kategorie und nicht den Standardkategorien wie „Schadsoftware“ zugeordnet.
NETBIOS Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die NETBIOS zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige NETBIOS-Aktivitäten zu Protokollierungszwecken erkennen.
P2P Diese Kategorie gilt für Signaturen zur Identifizierung von Peer-zu-Peer-Datenverkehr (P2P) und Angriffen darauf. Identifizierter P2P-Datenverkehr umfasst u.a. torrents, edonkey, Bittorrent, Gnutella und Limewire. P2P-Datenverkehr ist nicht grundsätzlich bösartig, aber häufig bemerkenswert für Unternehmen.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
Phishing Diese Kategorie gilt für Signaturen, die Aktivitäten zum Phishing von Anmeldeinformationen erkennen. Dies schließt Landing Pages ein, die das Phishing von Anmeldeinformationen und die erfolgreiche Übermittlung von Anmeldeinformationen zu Websites zum Phishing von Anmeldeinformationen anzeigen.
Policy Diese Kategorie gilt für Signaturen, die auf Verstöße gegen die Richtlinie einer Organisation hinweisen können. Dies kann für Missbrauch anfällige Protokolle und andere Transaktionen auf Anwendungsebene umfassen, die möglicherweise von Interesse sind.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
POP3 Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Post Office Protocol 3.0 (POP3) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige POP3-Aktivitäten zu Protokollierungszwecken erkennen.
RPC Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit Remoteprozeduraufrufen (Remote Procedure Call, RPC). Diese Kategorie umfasst auch Regeln, die nicht bösartige RPC-Aktivitäten zu Protokollierungszwecken erkennen.
SCADA Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit SCADA (Supervisory Control And Data Acquisition; Überwachung, Steuerung und Datenerfassung). Diese Kategorie umfasst auch Regeln, die nicht bösartige SCADA-Aktivitäten zu Protokollierungszwecken erkennen.
SCAN Diese Kategorie gilt für Signaturen zum Erkennen von Reconnaissance und Sondierung über Tools wie Nessus, Nikto und andere Portscantools. Diese Kategorie kann nützlich sein, um frühe Sicherheitsverletzungsaktivitäten und laterale Bewegungen nach der Infektion innerhalb einer Organisation zu erkennen.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
Shellcode Diese Kategorie gilt für Signaturen für die Remoteshellcode-Erkennung. Remoteshellcode wird verwendet, wenn ein Angreifer auf einen anfälligen Prozess abzielt, der auf einem anderen Computer in einem lokalen Netzwerk oder im Intranet ausgeführt wird. Bei erfolgreicher Ausführung kann der Shellcode dem Angreifer über das Netzwerk Zugriff auf den Zielcomputer bieten. Remoteshellcodes verwenden normalerweise standardmäßge TCP/IP-Socketverbindungen, um dem Angreifer auf dem Zielcomputer Zugriff auf die Shell zu ermöglichen. Ein solcher Shellcode kann auf der Art der Einrichtung dieser Verbindung basierend kategorisiert werden: Wenn der Shellcode diese Verbindung herstellen kann, wird er als Reverse Shell- oder Connect Back-Shellcode bezeichnet, da der Shellcode wieder eine Verbindung mit dem Computer des Angreifers herstellt.
SMTP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Simple Mail Transfer Protocol (SMTP) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige SMTP-Aktivitäten zu Protokollierungszwecken erkennen.
SNMP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Simple Network Management Protocol (SNMP) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige SNMP-Aktivitäten zu Protokollierungszwecken erkennen.
SQL Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die Structured Query Language (SQL) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige SQL-Aktivitäten zu Protokollierungszwecken erkennen.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
TELNET Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die TELNET zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige TELNET-Aktivitäten zu Protokollierungszwecken erkennen.
TFTP Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Trivial File Transfer Protocol (TFTP) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige TFTP-Aktivitäten zu Protokollierungszwecken erkennen.
TOR Diese Kategorie gilt für Signaturen für die Identifizierung von Datenverkehr zu und von TOR-Exitknoten basierend auf der IP-Adresse.

Hinweis: Alle Signaturen in dieser Kategorie sind als „Nur Warnung“ definiert, daher wird der Datenverkehr, der diesen Signaturen entspricht, auch dann nicht standardmäßig blockiert, wenn der IDPS-Modus auf „Warnen und ablehnen“ eingestellt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Modus „Warnen und ablehnen“ einstellen.
Benutzer-Agents Diese Kategorie gilt für Signaturen zur Erkennung verdächtiger und anomaler Benutzer-Agents. Bekannte schädliche Benutzer-Agents werden in der Kategorie „Schadsoftware“ platziert.
VOIP Diese Kategorie gilt für Signaturen für Angriffe und Sicherheitsrisiken im Zusammenhang mit Voice over IP (VOIP), einschließlich SIP, H.323 und RTP.
Webclient Diese Kategorie gilt für Signaturen für Angriffe und Sicherheitsrisiken im Zusammenhang mit Webclients wie Webbrowsern und auch clientseitigen Anwendungen wie CURL, WGET und anderen.
Webserver Diese Kategorie gilt für Signaturen zum Erkennen von Angriffen auf Webserverinfrastrukturen wie APACHE, TOMCAT, NGINX, Microsoft-Internetinformationsdienste (IIS) und andere Webserversoftware.
Webspezifische Apps Diese Kategorie gilt für Signaturen zum Erkennen von Angriffen und Sicherheitsrisiken in bestimmten Webanwendungen.
WORM Diese Kategorie gilt für Signaturen zum Erkennen schädlicher Aktivitäten, die automatisch versuchen, sich über das Internet oder innerhalb eines Netzwerks zu verteilen, indem ein Sicherheitsrisiko ausgenutzt wird. Während der eigentliche Exploit selbst in der Regel in der Exploit- oder einer bestimmten Protokollkategorie identifiziert wird, kann ein weiterer Eintrag in dieser Kategorie vorgenommen werden, wenn für die tatsächliche Schadsoftware auch eine Wurmausbreitung identifiziert werden kann.

Nächste Schritte