Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
IDPS de Azure Firewall incluye más de cincuenta categorías que se pueden asignar a firmas individuales. La tabla siguiente es una lista de definiciones para cada categoría.
Invalidar el comportamiento y las limitaciones
Puede invalidar la acción para la mayoría de las firmas IDPS en Desactivado, Alerta o Denegar. Algunas firmas están diseñadas para establecer el contexto para las detecciones posteriores (por ejemplo, mediante bits de flujo), por lo que las firmas posteriores de la cola solo pueden optar por alertar. Si fuerza estas firmas de configuración de contexto a Denegar, los paquetes se pueden quitar sin generar una alerta correspondiente.
Nota:
Para evitar caídas silenciosas y conservar la lógica de detección prevista, Azure Firewall impide invalidar un pequeño conjunto de firmas de configuración de contexto. Para estas firmas, la acción es fija y no se puede cambiar.
Categorías
| Category | Descripción |
|---|---|
| 3CORESec | Esta categoría es para las firmas que se generan automáticamente a partir de las listas de bloqueados de direcciones IP del equipo de 3CORESec. 3CORESec genera estas listas de bloqueados en función de la actividad malintencionada de sus honeypots. |
| ActiveX | Esta categoría es para las firmas que protegen contra los ataques dirigidos a los controles Microsoft ActiveX y aprovechan las vulnerabilidades de destino en estos. |
| Adware-PUP | Esta categoría es para que las firmas identifiquen el software que se usa para el seguimiento de anuncios u otros tipos de actividad relacionada con spyware. |
| Respuesta frente a ataques | Esta categoría es para que las firmas identifiquen respuestas indicativas de intrusiones; entre los ejemplos se incluyen, entre otros, la descarga de archivos LMHost, la presencia de determinados banners web y la detección del comando kill de Meterpreter de Metasploit. Estas firmas están diseñadas para detectar los resultados de un ataque exitoso. Cosas como ID=root o mensajes de error que indican que se podría haber producido un riesgo. |
| Botcc (comando y control de bot) | Esta categoría es para las firmas que se generan automáticamente a partir de varios orígenes de red de robots (botnet) activa conocida y confirmada y otros hosts de comando y control (C2). Esta categoría se actualiza diariamente. El origen de datos principal de la categoría es Shadowserver.org. |
| Puerto botcc agrupado | Esta categoría es para firmas como las de la categoría Botcc, pero agrupadas por puerto de destino. Las reglas agrupadas por puerto pueden ofrecer mayor fidelidad que las reglas no agrupadas por puerto. |
| Chat | Esta categoría es para las firmas que identifican el tráfico relacionado con muchos clientes de chat, como Internet Relay Chat (IRC). El tráfico de chat puede ser indicativo de una posible actividad de protección por parte de actores de amenazas. |
| CIArmy | Esta categoría es para las firmas que se generan mediante las reglas de IP de la inteligencia colectiva para el bloqueo. |
| Minería de monedas | Esta categoría es para las firmas con reglas que detectan malware, que realiza minería de monedas. Estas firmas también pueden detectar algún software legítimo (aunque a menudo no deseado) de minería de monedas. |
| Comprometido | Esta categoría es para las firmas basadas en una lista de hosts en peligro conocidos. Esta lista se confirma y actualiza diariamente. Las firmas de esta categoría pueden variar de una a varios cientos de reglas en función de los orígenes de datos. Los orígenes de datos de esta categoría proceden de varios orígenes de datos privados pero muy confiables. |
| Eventos actuales | Esta categoría es para firmas con reglas desarrolladas en respuesta a campañas activas y de corta duración y elementos de alto perfil que se espera que sean temporales. Un ejemplo son las campañas de fraude relacionadas con desastres. Las reglas de esta categoría no están diseñadas para mantenerse en el conjunto de reglas durante mucho tiempo, o que deben probarse aún más antes de que se consideren para su inclusión. A menudo, estas son firmas simples para la dirección URL binaria de Storm del día, firmas para detectar CLSID de aplicaciones vulnerables recién encontradas en las que no tenemos ningún detalle sobre la vulnerabilidad de seguridad, etc. |
| Sistema de nombres de dominio (DNS) | Esta categoría es para firmas con reglas para ataques y vulnerabilidades con respecto a DNS. Esta categoría también se usa para las reglas relacionadas con el abuso de DNS, como la tunelización. |
| DOS | Esta categoría es para las firmas que detectan intentos de denegación de servicio (DoS). Estas reglas están diseñadas para detectar la actividad DoS entrante y proporcionar una indicación de la actividad DoS saliente. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| Anular | Esta categoría es para que las firmas bloqueen las direcciones IP en la lista DROP (no enrutar ni emparejar) de Spamhaus. Las reglas de esta categoría se actualizan diariamente. |
| Dshield | Esta categoría es para firmas basadas en atacantes identificados por Dshield. Las reglas de esta categoría se actualizan diariamente desde la lista de atacantes principales de DShield, que es confiable. |
| Vulnerabilidad de seguridad | Esta categoría es para las firmas que protegen contra vulnerabilidades de seguridad directas que no se tratan de otro modo en una categoría de servicio específica. Esta categoría es donde se encuentran ataques específicos contra vulnerabilidades, como microsoft Windows. Los ataques con su propia categoría, como inserción de SQL, tienen su propia categoría. |
| Kit de vulnerabilidades de seguridad | Esta categoría es para que las firmas detecten la actividad relacionada con los kits de vulnerabilidades de seguridad de su infraestructura y la entrega. |
| FTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a la protocolo de transferencia de archivos (FTP). Esta categoría también incluye reglas que detectan actividades FTP no seguras, como inicios de sesión con fines de registro. |
| Juegos | Esta categoría es para las firmas que identifican el tráfico de juegos y los ataques contra esos juegos. Las reglas cubren juegos como World of Warcraft, Starcraft y otros juegos en línea populares. Aunque los juegos y su tráfico no son malintencionados, a menudo son no deseados y están prohibidos por la directiva de las redes corporativas. |
| Búsqueda | Esta categoría es para las firmas que proporcionan indicadores que cuando coinciden con otras firmas pueden ser útiles para la búsqueda de amenazas en un entorno. Estas reglas pueden proporcionar falsos positivos en el tráfico legítimo e impedir el rendimiento. Solo se recomiendan para su uso al investigar activamente posibles amenazas en el entorno. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| ICMP | Esta categoría es para firmas relacionadas con ataques y vulnerabilidades sobre el Protocolo de mensajes de control de Internet (ICMP). |
| ICMP_info | Esta categoría es para firmas relacionadas con eventos específicos del protocolo ICMP, normalmente asociados a operaciones normales con fines de registro. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincide con estas firmas no se bloquea aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| IMAP | Esta categoría es para firmas relacionadas con ataques y vulnerabilidades de seguridad sobre el Protocolo de acceso a mensajes de Internet (IMAP). Esta categoría también incluye reglas que detectan actividad IMAP no malintencionada con fines de registro. |
| Inadecuado | Esta categoría es para que las firmas identifiquen posibles actividades relacionadas con sitios que son pornográficos o que, de lo contrario, no son adecuadas para un entorno de trabajo. Advertencia: Esta categoría puede tener un impacto significativo en el rendimiento y una alta tasa de falsos positivos. |
| Información | Esta categoría es para firmas que ayudan a proporcionar eventos de nivel de auditoría que son útiles para la correlación y la identificación de actividades interesantes, que podrían no ser intrínsecamente malintencionadas, pero que a menudo se observan en malware y otras amenazas. Por ejemplo, descargar un ejecutable a través de HTTP por dirección IP en lugar de nombre de dominio. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| JA3 | Esta categoría es para que firmas tomen las huellas digitales a certificados SSL malintencionados mediante hash JA3. Estas reglas se basan en parámetros que están en la negociación del protocolo de enlace SSL por parte de clientes y servidores. Estas reglas pueden tener una alta tasa de falsos positivos, pero pueden ser útiles para entornos de búsqueda de amenazas o detonación de malware. |
| Malware | Esta categoría es para que las firmas detecten software malintencionado. Las reglas de esta categoría detectan actividad relacionada con software malintencionado que se detecta en la red, incluido el malware en tránsito, el malware activo, las infecciones de malware, los ataques de malware y la actualización de malware. También es una categoría muy importante y se recomienda encarecidamente ejecutarla. |
| Varios | Esta categoría es para las firmas no cubiertas en otras categorías. |
| Malware móvil | Esta categoría es para firmas que indican malware asociado a sistemas operativos para móviles y tabletas, como Google Android, Apple iOS y otros. El malware que se detecta y está asociado a sistemas operativos móviles generalmente se colocará en esta categoría en lugar de en las categorías estándar como Malware. |
| NETBIOS | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a NetBIOS. Esta categoría también incluye reglas que detectan la actividad NetBIOS no autenticada con fines de registro. |
| P2P | Esta categoría es para las firmas para la identificación del tráfico punto a punto (P2P) y los ataques contra él. El tráfico P2P identificado incluye torrentes, edonkey, Bittorrent, Gnutella y Limewire, entre otros. El tráfico P2P no es intrínsecamente malintencionado, pero suele ser importante para las empresas. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| Suplantación de identidad (phishing) | Esta categoría es para las firmas que detectan actividad de suplantación de identidad (phishing) de credenciales. Esto incluye páginas de aterrizaje que muestran la suplantación de identidad de credenciales y el envío correcto de credenciales a sitios de suplantación de identidad de credenciales. |
| Directiva | Esta categoría es para firmas que podrían indicar infracciones a la directiva de una organización. Esto puede incluir protocolos propensos a abusos y otras transacciones de nivel de aplicación, que podrían ser de interés. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar esto personalizando estas firmas específicas en modo de alerta y denegación . |
| POP3 | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo de oficina de correos 3.0 (POP3). Esta categoría también incluye reglas que detectan actividad POP3 no malintencionada con fines de registro. |
| RPC | Esta categoría es para firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades relacionadas con la llamada a procedimiento remoto (RPC). Esta categoría también incluye reglas que detectan actividades RPC no compatibles con fines de registro. |
| SCADA | Esta categoría es para firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas con el control de supervisión y la adquisición de datos (SCADA). Esta categoría también incluye reglas que detectan actividades SCADA no compatibles con fines de registro. |
| SCAN | Esta categoría es para que las firmas detecten reconocimiento y sondeo de herramientas como Nessus, Nikto y otras herramientas de examen de puertos. Esta categoría puede ser útil para detectar la actividad de infracción temprana y el movimiento lateral posterior a la infección dentro de una organización. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar esto personalizando estas firmas específicas en modo de alerta y denegación . |
| Código de shell | Esta categoría es para las firmas para la detección de código de shell remoto. El código de shell remoto se usa cuando un atacante desea dirigirse a un proceso vulnerable que se ejecuta en otra máquina en una red local o intranet. Si se ejecuta correctamente, el código de shell puede proporcionar al atacante acceso a la máquina de destino a través de la red. Normalmente, los códigos de shell remotos usan conexiones de socket TCP/IP estándar para permitir que el acceso del atacante al shell de la máquina de destino. Este código de shell se puede clasificar en función de cómo se configura esta conexión: si el código del shell puede establecer esta conexión, se denomina "shell inverso" o un código de shell de "conexión inversa" porque el código del shell se conecta de nuevo a la máquina del atacante. |
| SMTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo simple de transferencia de correo (SMTP). Esta categoría también incluye reglas que detectan actividades SMTP no compatibles con fines de registro. |
| SNMP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo simple de administración de redes (SNMP). Esta categoría también incluye reglas que detectan actividades SNMP no compatibles con fines de registro. |
| SQL | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Lenguaje de consulta estructurado (SQL). Esta categoría también incluye reglas que detectan actividades SQL no compatibles con fines de registro. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar esto personalizando estas firmas específicas en modo de alerta y denegación . |
| TELNET | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a TELNET. Esta categoría también incluye reglas que detectan actividades TELNET no compatibles con fines de registro. |
| TFTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo trivial de transferencia de archivos (TFTP). Esta categoría también incluye reglas que detectan actividad TFTP no malintencionada con fines de registro. |
| TOR | Esta categoría es para las firmas para la identificación del tráfico hacia y desde los nodos de salida de TOR en función de la dirección IP. Nota: Todas las firmas de esta categoría se definen como Solo alerta, por lo que, de forma predeterminada, el tráfico que coincida con estas firmas no se bloqueará aunque el modo IDPS esté establecido en Alerta y denegación. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en modo de alerta y denegación . |
| Agentes de usuario | Esta categoría es para que las firmas detecten agentes de usuario sospechosos y anómalos. Los agentes de usuario malintencionados conocidos se colocan en la categoría de malware. |
| VOIP | Esta categoría es para las firmas de ataques y vulnerabilidades asociados con Voz sobre IP (VOIP), incluidos SIP, H.323 y RTP, entre otros. |
| Cliente web | Esta categoría es para firmas para ataques y vulnerabilidades asociados a clientes web, como exploradores web y también aplicaciones del lado cliente como CURL, WGET y otras. |
| Servidor Web | Esta categoría es para que las firmas detecten ataques contra la infraestructura de servidor web, como APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) y otro software de servidor web. |
| Aplicaciones web específicas | Esta categoría es para que las firmas detecten ataques y vulnerabilidades en aplicaciones web específicas. |
| WORM | Esta categoría es para que las firmas detecten actividad malintencionada que intenta propagarse automáticamente por Internet o dentro de una red aprovechando una vulnerabilidad; se clasifican como la categoría WORM. Aunque la propia vulnerabilidad de seguridad se identificará normalmente en la categoría de protocolo Exploit o given, también se puede identificar otra entrada de esta categoría si también se puede identificar el malware real que participa en la propagación de gusanos. |
Pasos siguientes
- Para información sobre las características de Azure Firewall Prémium, vea Características de Azure Firewall Prémium.