Alertas de la capa de red de Azure
En este artículo se enumeran las alertas de seguridad que puede obtener para la capa de red de Azure de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de capa de red de Azure
Se detectó una comunicación de red con una máquina malintencionada.
(Network_CommunicationWithC2)
Descripción: el análisis del tráfico de red indica que la máquina (IP %{Victim IP}) se ha comunicado con lo que posiblemente es un centro de comandos y control. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones) se han comunicado con lo que posiblemente es un centro de comando y control.
Tácticas de MITRE: Comando y control
Gravedad: media
Se detectó una posible máquina en peligro.
(Network_ResourceIpIndicatedAsMalicious)
Descripción: la inteligencia sobre amenazas indica que la máquina (en ip %{IP}) podría haber sido comprometida por un malware de tipo Conficker. Conficker es un gusano de equipos que tiene como destino el sistema operativo Microsoft Windows y que se detectó por primera vez en noviembre de 2008. Ha infectado millones de equipos, incluidos equipos gubernamentales, empresariales y particulares de más de 200 países o regiones, lo que lo convierte en la infección de gusanos de equipos más importante, desde el gusano Welchia de 2003.
Tácticas de MITRE: Comando y control
Gravedad: media
Se detectaron posibles intentos de ataques por fuerza bruta entrantes del servicio %{Service Name}.
(Generic_Incoming_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó la comunicación entrante %{Service Name} a %{Victim IP}, asociada al recurso %{Compromised Host} de %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Victim Port}. Esta actividad es coherente con los intentos de ataque por fuerza bruta contra los servidores del servicio %{Service Name}.
Tácticas de MITRE: PreAttack
Gravedad: informativo
Se detectaron posibles intentos de ataques por fuerza bruta de SQL entrantes.
(SQL_Incoming_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó la comunicación entrante de SQL a %{Victim IP}, asociada con el recurso %{Compromised Host}, de %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Port Number} (%{SQL Service Type}). Esta actividad es coherente con los intentos de ataque por fuerza bruta contra servidores SQL.
Tácticas de MITRE: PreAttack
Gravedad: media
Se detectó un posible ataque por denegación de servicio de salida.
(DDoS)
Descripción: el análisis del tráfico de red detectó una actividad saliente anómala que se origina en %{Compromised Host}, un recurso de la implementación. Esta actividad podría indicar que el recurso estaba en peligro y ahora está implicado en ataques por denegación de servicio contra puntos de conexión externos. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa puede indicar que se pusieron en peligro uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Según el volumen de las conexiones, creemos que es posible que las siguientes direcciones IP sean los destinos del ataque DoS: %{Possible Victims}. Tenga en cuenta que puede que la comunicación con algunas de estas direcciones IP sea legítima.
Tácticas de MITRE: Impacto
Gravedad: media
Actividad de red RDP entrante sospechosa procedente de varios orígenes
(RDP_Incoming_BF_ManyToOne)
Descripción: el análisis de tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{Victim IP}, asociada al recurso %{Compromised Host}, de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP desde varios hosts (Botnet).
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red RDP entrante sospechosa
(RDP_Incoming_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{Victim IP}, asociada al recurso %{Compromised Host}, de %{Ip del atacante}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP.
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red SSH entrante sospechosa procedente de varios orígenes
(SSH_Incoming_BF_ManyToOne)
Descripción: el análisis del tráfico de red detectó una comunicación SSH entrante anómala a %{Victim IP}, asociada al recurso %{Compromised Host}, de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH desde varios hosts (Botnet)
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red SSH entrante sospechosa
(SSH_Incoming_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó una comunicación SSH entrante anómala a %{Victim IP}, asociada al recurso %{Compromised Host}, de %{Ip del atacante}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH.
Tácticas de MITRE: PreAttack
Gravedad: media
Se detectó tráfico sospechoso del protocolo %{Attacked Protocol} saliente.
(PortScanning)
Descripción: el análisis del tráfico de red detectó tráfico saliente sospechoso de %{Compromised Host} al puerto de destino %{Puerto más común}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Este comportamiento podría indicar que el recurso participa en %{Protocolo atacado} intentos de fuerza bruta o ataques de barrido de puertos.
Tácticas de MITRE: Detección
Gravedad: media
Actividad de red RDP saliente sospechosa hacia varios destinos
(RDP_Outgoing_BF_OneToMany)
Descripción: el análisis del tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a varios destinos que se originan en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su máquina se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para los puntos de conexión de RDP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.
Tácticas de MITRE: Detección
Gravedad: alta
Actividad de red RDP saliente sospechosa
(RDP_Outgoing_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a %{Victim IP} que se originó en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar que la máquina estaba en peligro y ahora se usa para los puntos de conexión rdP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.
Tácticas de MITRE: Movimiento lateral
Gravedad: alta
Actividad de red de SSH saliente sospechosa hacia varios destinos
(SSH_Outgoing_BF_OneToMany)
Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a varios destinos que se originan en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su recurso se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.
Tácticas de MITRE: Detección
Gravedad: media
Actividad de red de SSH saliente sospechosa
(SSH_Outgoing_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a %{Victim IP} que se originó en %{Compromised Host} (%{Attacker IP}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.
Tácticas de MITRE: Movimiento lateral
Gravedad: media
Se detectó tráfico desde direcciones IP recomendadas para el bloqueo.
(Network_TrafficFromUnrecommendedIP)
Descripción: Microsoft Defender for Cloud detectó tráfico entrante de direcciones IP que se recomienda bloquear. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud.
Tácticas de MITRE: sondeo
Gravedad: informativo
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.