Partekatu honen bidez:


Alertas de DNS

En este artículo se enumeran las alertas de seguridad que puede obtener para DNS desde Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

Nota:

Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Nota

Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.

Alertas de DNS

Importante

Desde el 1 de agosto de 2023, los clientes con una suscripción existente a Defender para DNS pueden seguir usando el servicio, pero los nuevos suscriptores recibirán alertas sobre la actividad DNS sospechosa como parte de Defender para servidores P2.

Más detalles y notas

Uso de protocolo de red anómalo

(AzureDNS_ProtocolAnomaly)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un uso anómalo del protocolo. Este tráfico, aunque posiblemente benigno, podría indicar el abuso de este protocolo común para omitir el filtrado del tráfico de red. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.

Tácticas de MITRE: Filtración

Gravedad: -

Actividad de red de anonimato

(AzureDNS_DarkWeb)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Actividad de red de anonimato mediante proxy web

(AzureDNS_DarkWebProxy)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Intento de comunicación con dominio de sinkhole sospechoso

(AzureDNS_SinkholedDomain)

Descripción: se detectó un análisis de transacciones DNS de %{CompromisedEntity} para el dominio receptor. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales.

Tácticas de MITRE: Filtración

Gravedad: media

Comunicación con posible dominio de suplantación de identidad

(AzureDNS_PhishingDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó una solicitud para un posible dominio de suplantación de identidad (phishing). Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para obtener credenciales en servicios remotos. Entre las actividades típicas de los atacantes suele incluirse la explotación de credenciales en el servicio legítimo.

Tácticas de MITRE: Filtración

Gravedad: informativo

Comunicación con un dominio generado por algoritmo sospechoso

(AzureDNS_DomainGenerationAlgorithm)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó el posible uso de un algoritmo de generación de dominio. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: informativo

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial

Gravedad: media

Comunicación con un nombre de dominio aleatorio sospechoso

(AzureDNS_RandomizedDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó el uso de un nombre de dominio generado aleatoriamente sospechoso. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: informativo

Actividad de minería de datos de moneda digital

(AzureDNS_CurrencyMining)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de minería de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes.

Tácticas de MITRE: Filtración

Gravedad: baja

Activación de la firma de detección de intrusiones de red

(AzureDNS_SuspiciousDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó una firma de red malintencionada conocida. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales.

Tácticas de MITRE: Filtración

Gravedad: media

Posible descarga de datos a través de un túnel DNS

(AzureDNS_DataInfiltration)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Posible filtración de datos a través de un túnel DNS

(AzureDNS_DataExfiltration)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Posible transferencia de datos a través de un túnel DNS

(AzureDNS_DataObfuscation)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Nota:

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes