Categorías de reglas de firma de IDPS de Azure Firewall
IDPS de Azure Firewall incluye más de cincuenta categorías que se pueden asignar a firmas individuales. La tabla siguiente es una lista de definiciones para cada categoría.
Categorías
Category | Descripción |
---|---|
3CORESec | Esta categoría es para las firmas que se generan automáticamente a partir de las listas de bloqueados de direcciones IP del equipo de 3CORESec. 3CORESec genera estas listas de bloqueados en función de la actividad malintencionada de sus honeypots. |
ActiveX | Esta categoría es para las firmas que protegen contra los ataques dirigidos a los controles Microsoft ActiveX y aprovechan las vulnerabilidades de destino en estos. |
Adware-PUP | Esta categoría es para que las firmas identifiquen el software que se usa para el seguimiento de anuncios u otros tipos de actividad relacionada con spyware. |
Respuesta frente a ataques | Esta categoría es para que las firmas identifiquen respuestas indicativas de intrusiones; entre los ejemplos se incluyen, entre otros, la descarga de archivos LMHost, la presencia de determinados banners web y la detección del comando kill de Meterpreter de Metasploit. Estas firmas están diseñadas para detectar los resultados de un ataque exitoso. Cosas como id=root o mensajes de error que indican que puede haber ocurrido un riesgo. |
Botcc (comando y control de bot) | Esta categoría es para las firmas que se generan automáticamente a partir de varios orígenes de red de robots (botnet) activa conocida y confirmada y otros hosts de comando y control (C2). Esta categoría se actualiza diariamente. El origen de datos principal de la categoría es Shadowserver.org. |
Puerto botcc agrupado | Esta categoría es para firmas como las de la categoría Botcc, pero agrupadas por puerto de destino. Las reglas agrupadas por puerto pueden ofrecer mayor fidelidad que las reglas no agrupadas por puerto. |
Chat | Esta categoría es para las firmas que identifican el tráfico relacionado con muchos clientes de chat, como Internet Relay Chat (IRC). El tráfico de chat puede ser indicativo de una posible actividad de protección por parte de actores de amenazas. |
CIArmy | Esta categoría es para las firmas que se generan mediante las reglas de IP de la inteligencia colectiva para el bloqueo. |
Minería de monedas | Esta categoría es para las firmas con reglas que detectan malware, que realiza minería de monedas. Estas firmas también pueden detectar algún software legítimo (aunque a menudo no deseado) de minería de monedas. |
Comprometido | Esta categoría es para las firmas basadas en una lista de hosts en peligro conocidos. Esta lista se confirma y actualiza diariamente. Las firmas de esta categoría pueden variar de una a varios cientos de reglas en función de los orígenes de datos. Los orígenes de datos de esta categoría proceden de varios orígenes de datos privados pero muy confiables. |
Eventos actuales | Esta categoría es para firmas con reglas desarrolladas en respuesta a campañas activas y de corta duración y elementos de alto perfil que se espera que sean temporales. Un ejemplo son las campañas de fraude relacionadas con desastres. Las reglas de esta categoría no están diseñadas para mantenerse en el conjunto de reglas durante mucho tiempo, o que deben probarse aún más antes de que se consideren para su inclusión. A menudo, se trata de firmas sencillas para la dirección URL binaria de Storm del día, firmas para capturar CLSID de aplicaciones vulnerables recién encontradas en las que no tenemos ningún detalle sobre la vulnerabilidad de seguridad, etc. |
Sistema de nombres de dominio (DNS) | Esta categoría es para firmas con reglas para ataques y vulnerabilidades con respecto a DNS. Esta categoría también se usa para las reglas relacionadas con el abuso de DNS, como la tunelización. |
DOS | Esta categoría es para las firmas que detectan intentos de denegación de servicio (DoS). Estas reglas están diseñadas para detectar la actividad DoS entrante y proporcionar una indicación de la actividad DoS saliente. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
Anular | Esta categoría es para que las firmas bloqueen las direcciones IP en la lista DROP (no enrutar ni emparejar) de Spamhaus. Las reglas de esta categoría se actualizan diariamente. |
Dshield | Esta categoría es para firmas basadas en atacantes identificados por Dshield. Las reglas de esta categoría se actualizan diariamente desde la lista de atacantes principales de DShield, que es confiable. |
Vulnerabilidad de seguridad | Esta categoría es para las firmas que protegen contra vulnerabilidades de seguridad directas que no se tratan de otro modo en una categoría de servicio específica. Esta categoría es donde se encontrarán ataques específicos contra vulnerabilidades, como contra Microsoft Windows. Los ataques con su propia categoría, como inserción de SQL, tienen su propia categoría. |
Kit de vulnerabilidades de seguridad | Esta categoría es para que las firmas detecten la actividad relacionada con los kits de vulnerabilidades de seguridad de su infraestructura y la entrega. |
FTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a la protocolo de transferencia de archivos (FTP). Esta categoría también incluye reglas que detectan actividad FTP no malintencionada, como inicios de sesión con fines de registro. |
Juegos | Esta categoría es para las firmas que identifican el tráfico de juegos y los ataques contra esos juegos. Las reglas cubren juegos como World of Warcraft, Starcraft y otros juegos en línea populares. Aunque los juegos y su tráfico no son malintencionados, a menudo son no deseados y están prohibidos por la directiva de las redes corporativas. |
Búsqueda | Esta categoría es para las firmas que proporcionan indicadores que cuando coinciden con otras firmas pueden ser útiles para la búsqueda de amenazas en un entorno. Estas reglas pueden proporcionar falsos positivos en el tráfico legítimo e impedir el rendimiento. Solo se recomiendan para su uso al investigar activamente posibles amenazas en el entorno. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
ICMP | Esta categoría es para firmas relacionadas con ataques y vulnerabilidades sobre el Protocolo de mensajes de control de Internet (ICMP). |
ICMP_info | Esta categoría es para firmas relacionadas con eventos específicos del protocolo ICMP, normalmente asociados a operaciones normales con fines de registro. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
IMAP | Esta categoría es para firmas relacionadas con ataques y vulnerabilidades de seguridad sobre el Protocolo de acceso a mensajes de Internet (IMAP). Esta categoría también incluye reglas que detectan actividad IMAP no malintencionada con fines de registro. |
Inadecuado | Esta categoría es para que las firmas identifiquen posibles actividades relacionadas con sitios que son pornográficos o que, de lo contrario, no son adecuadas para un entorno de trabajo. Advertencia: Esta categoría puede tener un impacto significativo en el rendimiento y una alta tasa de falsos positivos. |
Información | Esta categoría sirve para que las firmas ayuden a proporcionar eventos de nivel de auditoría que son útiles para la correlación y la identificación de actividades interesantes, que pueden no ser intrínsecamente malintencionadas, pero que a menudo se observan en malware y otras amenazas. Por ejemplo, descargar un ejecutable a través de HTTP por dirección IP en lugar de nombre de dominio. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
JA3 | Esta categoría es para que firmas tomen las huellas digitales a certificados SSL malintencionados mediante hash JA3. Estas reglas se basan en parámetros que están en la negociación del protocolo de enlace SSL por parte de clientes y servidores. Estas reglas pueden tener una alta tasa de falsos positivos, pero pueden ser útiles para entornos de búsqueda de amenazas o detonación de malware. |
Malware | Esta categoría es para que las firmas detecten software malintencionado. Las reglas de esta categoría detectan actividad relacionada con software malintencionado que se detecta en la red, incluido el malware en tránsito, el malware activo, las infecciones de malware, los ataques de malware y la actualización de malware. También es una categoría muy importante y se recomienda encarecidamente ejecutarla. |
Varios | Esta categoría es para las firmas no cubiertas en otras categorías. |
Malware móvil | Esta categoría es para firmas que indican malware asociado a sistemas operativos para móviles y tabletas, como Google Android, Apple iOS y otros. El malware que se detecta y está asociado a sistemas operativos móviles generalmente se colocará en esta categoría en lugar de en las categorías estándar como Malware. |
NETBIOS | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a NetBIOS. Esta categoría también incluye reglas que detectan actividad NetBIOS no malintencionada con fines de registro. |
P2P | Esta categoría es para las firmas para la identificación del tráfico punto a punto (P2P) y los ataques contra él. El tráfico P2P identificado incluye torrentes, edonkey, Bittorrent, Gnutella y Limewire, entre otros. El tráfico P2P no es intrínsecamente malintencionado, pero suele ser importante para las empresas. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
Suplantación de identidad (phishing) | Esta categoría es para las firmas que detectan actividad de suplantación de identidad (phishing) de credenciales. Esto incluye páginas de aterrizaje que muestran la suplantación de identidad de credenciales y el envío correcto de credenciales a sitios de suplantación de identidad de credenciales. |
Directiva | Esta categoría es para las firmas que pueden indicar infracciones a la directiva de una organización. Esto puede incluir protocolos propensos a abusos y otras transacciones de nivel de aplicación, que pueden ser de interés. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar. |
POP3 | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo de oficina de correos 3.0 (POP3). Esta categoría también incluye reglas que detectan actividad POP3 no malintencionada con fines de registro. |
RPC | Esta categoría es para firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades relacionadas con la llamada a procedimiento remoto (RPC). Esta categoría también incluye reglas que detectan actividad RPC no malintencionada con fines de registro. |
SCADA | Esta categoría es para firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas con el control de supervisión y la adquisición de datos (SCADA). Esta categoría también incluye reglas que detectan actividad SCADA no malintencionada con fines de registro. |
SCAN | Esta categoría es para que las firmas detecten reconocimiento y sondeo de herramientas como Nessus, Nikto y otras herramientas de examen de puertos. Esta categoría puede ser útil para detectar la actividad de infracción temprana y el movimiento lateral posterior a la infección dentro de una organización. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar. |
Código de shell | Esta categoría es para las firmas para la detección de código de shell remoto. El código de shell remoto se usa cuando un atacante desea dirigirse a un proceso vulnerable que se ejecuta en otra máquina en una red local o intranet. Si se ejecuta correctamente, el código de shell puede proporcionar al atacante acceso a la máquina de destino a través de la red. Normalmente, los códigos de shell remotos usan conexiones de socket TCP/IP estándar para permitir que el acceso del atacante al shell de la máquina de destino. Este código de shell se puede clasificar en función de cómo se configure esta conexión: si el código de shell puede establecer esta conexión, se denomina "shell inverso" o código de shell de "reconexión" porque el código de shell se conecta de nuevo a la máquina del atacante. |
SMTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo simple de transferencia de correo (SMTP). Esta categoría también incluye reglas que detectan actividad SMTP no malintencionada con fines de registro. |
SNMP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo simple de administración de redes (SNMP). Esta categoría también incluye reglas que detectan actividad SNMP no malintencionada con fines de registro. |
SQL | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Lenguaje de consulta estructurado (SQL). Esta categoría también incluye reglas que detectan actividad SQL no malintencionada con fines de registro. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar. |
TELNET | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas a TELNET. Esta categoría también incluye reglas que detectan actividad TELNET no malintencionada con fines de registro. |
TFTP | Esta categoría es para las firmas relacionadas con ataques, vulnerabilidades de seguridad y vulnerabilidades asociadas al Protocolo trivial de transferencia de archivos (TFTP). Esta categoría también incluye reglas que detectan actividad TFTP no malintencionada con fines de registro. |
TOR | Esta categoría es para las firmas para la identificación del tráfico hacia y desde los nodos de salida de TOR en función de la dirección IP. Nota: Todas las firmas de esta categoría se definen como Solo alertar, por lo que, de forma predeterminada, el tráfico que coincida con ellas no se bloqueará aunque el modo IDPS esté establecido en Alertar y denegar. Los clientes pueden invalidar este comportamiento personalizando estas firmas específicas en el modo Alertar y denegar. |
Agentes de usuario | Esta categoría es para que las firmas detecten agentes de usuario sospechosos y anómalos. Los agentes de usuario malintencionados conocidos se colocan en la categoría de malware. |
VOIP | Esta categoría es para las firmas de ataques y vulnerabilidades asociados con Voz sobre IP (VOIP), incluidos SIP, H.323 y RTP, entre otros. |
Cliente web | Esta categoría es para firmas para ataques y vulnerabilidades asociados a clientes web, como exploradores web y también aplicaciones del lado cliente como CURL, WGET y otras. |
Servidor Web | Esta categoría es para que las firmas detecten ataques contra la infraestructura de servidor web, como APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) y otro software de servidor web. |
Aplicaciones web específicas | Esta categoría es para que las firmas detecten ataques y vulnerabilidades en aplicaciones web específicas. |
WORM | Esta categoría es para que las firmas detecten actividad malintencionada que intenta propagarse automáticamente por Internet o dentro de una red aprovechando una vulnerabilidad; se clasifican como la categoría WORM. Aunque la propia vulnerabilidad de seguridad real normalmente se identificará en la categoría Vulnerabilidad de seguridad o del protocolo determinado, se puede realizar otra entrada en esta categoría si también se puede identificar el malware real que participa en la propagación de tipo worm. |
Pasos siguientes
- Para información sobre las características de Azure Firewall Prémium, vea Características de Azure Firewall Prémium.