Partage via


Catégories de règles de signature IDPS du pare-feu Azure

Les fournisseurs d’identité du pare-feu Azure comprennent plus de 50 catégories qui peuvent être attribuées à des signatures individuelles. Le tableau suivant répertorie les définitions de chaque catégorie.

Catégories

Category Description
3CORESec Cette catégorie concerne les signatures générées automatiquement à partir des listes rouges IP de l’équipe 3CORESec. Ces listes rouges sont générées par 3CORESec en fonction de l’activité malveillante de leur miel.
ActiveX Cette catégorie est destinée aux signatures qui protègent contre les attaques contre les contrôles Microsoft ActiveX et exploitent les vulnérabilités dans les contrôles ActiveX.
Adware-PUP Cette catégorie est destinée aux signatures permettant d’identifier les logiciels utilisés pour le suivi des publicités ou d’autres types d’activités liées aux logiciels espions.
Réponse d’attaque Cette catégorie est destinée aux signatures permettant d’identifier les réponses indicatives de l’intrusion—par exemple, mais sans s’y limiter, le téléchargement de fichiers LMHost, la présence de certaines bannières web et la détection de la commande Metasploit Meterpreter Kill. Ces signatures sont conçues pour intercepter les résultats d’une attaque réussie. Par exemple, ID = racine ou des messages d’erreur indiquant un compromis peut être survenu.
Botcc (commande et contrôle bot) Cette catégorie concerne les signatures générées automatiquement à partir de plusieurs sources de botnets actifs connus et confirmés, ainsi que d’autres hôtes de commande et de contrôle (C2). Cette catégorie est mise à jour quotidiennement. La source de données principale de la catégorie est Shadowserver.org.
Port Botcc groupé Cette catégorie est destinée aux signatures comme celles de la catégorie Botcc, mais regroupées par port de destination. Les règles regroupées par port peuvent offrir une plus grande fidélité que les règles non regroupées par port.
Conversation Cette catégorie est destinée aux signatures qui identifient le trafic lié à de nombreux clients de conversation tels que IRC (Internet Relay Chat). Le trafic de conversation peut être un indicateur de l’activité d’archivage possible par les acteurs des menaces.
CIArmy Cette catégorie est utilisée pour les signatures générées à l’aide des règles IP de l’intelligence collective pour le blocage.
Exploration de monnaie Cette catégorie est destinée aux signatures avec des règles détectant les logiciels malveillants, qui effectue de l’exploration de monnaie. Ces signatures peuvent également détecter certains logiciels d’exploration de monnaie légitimes (bien que souvent indésirables).
Compromis Cette catégorie concerne les signatures basées sur une liste d’hôtes compromis connus. Cette liste est confirmée et mise à jour quotidiennement. Les signatures de cette catégorie peuvent varier d’une à plusieurs centaines de règles en fonction des sources de données. Les sources de données de cette catégorie proviennent de sources de données privées mais hautement fiables.
Événements en cours Cette catégorie est destinée aux signatures avec des règles développées en réponse à des campagnes actives et courtes, ainsi qu’à des éléments de profil élevé qui sont censés être temporaires. Par exemple, les campagnes de fraude liées aux catastrophes. Les règles de cette catégorie ne sont pas destinées à être conservées dans l’ensemble de règles, ou doivent être encore testées avant d’être considérées comme destinées à être incluses. La plupart du temps, il s’agit de signatures simples pour l’URL binaire Storm du jour, de signatures pour intercepter les CLSID des applications vulnérables nouvellement détectées où nous n’avons pas de détail sur le code malveillant, et ainsi de suite.
Service de nom de domaine (DNS) Cette catégorie est destinée aux signatures avec des règles pour les attaques et les vulnérabilités concernant le DNS. Cette catégorie est également utilisée pour les règles liées à l’abus de DNS, telles que le tunneling.
DOS Cette catégorie concerne les signatures qui détectent les tentatives de déni de service (DoS). Ces règles sont destinées à intercepter les activités DoS entrantes et à fournir une indication de l’activité DoS sortante.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
Supprimer Cette catégorie concerne les signatures servant à bloquer les adresses IP sur la liste DROP (Don’t Route or Peer, Ne pas router ou appairer) Spamhaus. Les règles de cette catégorie sont mises à jour quotidiennement.
Dshield Cette catégorie est destinée aux signatures basées sur des attaquants identifiés par Dshield. Les règles de cette catégorie sont mises à jour quotidiennement à partir de la liste DShield des principaux attaquants, qui est fiable.
Attaque Cette catégorie est destinée aux signatures qui protègent contre les attaques directes qui, autrement, ne sont pas couvertes dans une catégorie de service spécifique. Cette catégorie est l’endroit où se trouvent les attaques spécifiques contre les vulnérabilités telles que celles contre Microsoft Windows. Les attaques avec leur propre catégorie, telles que l’injection de code SQL, ont leur propre catégorie.
Exploit-Kit Cette catégorie est destinée aux signatures de détection de l’activité liée aux kits d’exploitation de leur infrastructure et à leur remise.
FTP Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au protocole FTP. Cette catégorie comprend également des règles qui détectent les activités FTP non malveillantes, telles que les connexions à des fins de journalisation.
Jeux Cette catégorie est destinée aux signatures qui identifient le trafic de jeu et les attaques contre ces jeux. Les règles couvrent les jeux tels que World of Warcraft, StarCraft et d’autres jeux en ligne populaires. Alors que les jeux et leur trafic ne sont pas malveillants, ils sont souvent indésirables et interdits par une stratégie sur les réseaux d’entreprise.
Chasse Cette catégorie est destinée aux signatures qui fournissent des indicateurs qui, lorsqu’ils sont mis en correspondance avec d’autres signatures, peuvent être utiles pour la recherche de menaces dans un environnement. Ces règles peuvent fournir des faux positifs sur le trafic légitime et inhiber les performances. Ils sont uniquement recommandés pour une utilisation dans le cadre d’une recherche active de menaces potentielles dans l’environnement.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
ICMP Cette catégorie concerne les signatures liées aux attaques et aux vulnérabilités relatives au protocole ICMP (Internet Control Message Protocol).
ICMP_info Cette catégorie concerne les signatures liées aux événements spécifiques au protocole ICMP, généralement associées à des opérations normales à des fins de journalisation.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
IMAP Cette catégorie concerne les signatures liées aux attaques, exploitations et aux vulnérabilités relatives au protocole IMAP (Internet Message Access Protocol). Cette catégorie comprend également des règles qui détectent les activités IMAP non malveillantes à des fins de journalisation.
Inapproprié Cette catégorie est destinée aux signatures permettant d’identifier les activités potentiellement liées aux sites pornographiques ou inappropriés pour un environnement de travail.

Avertissement : cette catégorie peut avoir un impact significatif sur les performances et un taux élevé de faux positifs.
Informations Cette catégorie est destinée aux signatures permettant de fournir des événements de niveau audit qui sont utiles pour la corrélation et l’identification d’une activité intéressante, qui peut ne pas être malveillante par nature, mais qui est souvent observée dans des programmes malveillants et autres menaces. Par exemple, en téléchargeant un fichier exécutable sur HTTP par adresse IP plutôt que par nom de domaine.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
JA3 Cette catégorie est destinée aux signatures d’empreintes de certificats SSL malveillants à l’aide de hachages JA3. Ces règles sont basées sur les paramètres de négociation de négociation SSL par les clients et les serveurs. Ces règles peuvent avoir un taux élevé de faux positifs, mais elles peuvent être utiles pour la chasse aux menaces ou les environnements de détonation de logiciels malveillants.
Programme malveillant Cette catégorie est destinée aux signatures de détection des logiciels malveillants. Les règles de cette catégorie détectent les activités liées aux logiciels malveillants détectés sur le réseau, y compris les programmes malveillants en transit, les logiciels malveillants actifs, les infections de logiciels malveillants, les attaques de logiciels malveillants et la mise à jour de ces logiciels. Il s’agit également d’une catégorie très importante et il est vivement recommandé de l’exécuter.
Divers Cette catégorie concerne les signatures non couvertes dans d’autres catégories.
Programme malveillant mobile Cette catégorie est destinée aux signatures qui indiquent un logiciel malveillant associé à des systèmes d’exploitation mobiles et de tablette, tels que Google Android, Apple iOS, etc. Les logiciels malveillants détectés et associés aux systèmes d’exploitation mobiles sont généralement placés dans cette catégorie plutôt que dans les catégories standard comme les programmes malveillants.
NETBIOS Cette catégorie concerne les signatures liées aux attaques, aux codes malveillants et aux vulnérabilités associées à NetBIOS. Cette catégorie comprend également des règles qui détectent les activités NetBIOS non malveillantes à des fins de journalisation.
P2P Cette catégorie concerne les signatures pour l’identification du trafic P2P (peer-to-peer) et des attaques contre celle-ci. Le trafic P2P identifié comprend le storrents, eDonkey, BitTorrent, Gnutella et LimeWire, entre autres. Le trafic P2P n’est pas fondamentalement malveillant, mais il est souvent très propre aux entreprises.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
Hameçonnage Cette catégorie concerne les signatures qui détectent l’activité de hameçonnage des informations d’identification. Cela comprend les pages d’accueil affichant le hameçonnage des informations d’identification et la soumission réussie des informations d’identification dans les sites d’hameçonnage.
Policy Cette catégorie concerne les signatures qui peuvent indiquer des violations d’une stratégie de l’organisation. Cela peut inclure des protocoles sujets à des abus, et d’autres transactions au niveau de l’application, qui peuvent présenter un intérêt.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent changer cela en personnalisant ces signatures spécifiques avec le mode Alerter et refuser.
POP3 Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au protocole POP3 (Post Office Protocol 3.0). Cette catégorie comprend également des règles qui détectent les activités POP3 non malveillantes à des fins de journalisation.
RPC Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités relatives à l’appel de procédure distante (RPC). Cette catégorie comprend également des règles qui détectent les activités RPC non malveillantes à des fins de journalisation.
SCADA Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au contrôle et à l’acquisition de données (SCADA). Cette catégorie comprend également des règles qui détectent les activités SCADA non malveillantes à des fins de journalisation.
SCAN Cette catégorie est destinée aux signatures permettant de détecter la reconnaissance et les détections à partir d’outils tels que Nessus, Nikto et d’autres outils d’analyse de port. Cette catégorie peut être utile pour détecter une activité de violation précoce et un mouvement latéral après infection au sein d’une organisation.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent changer cela en personnalisant ces signatures spécifiques avec le mode Alerter et refuser.
Code Shell Cette catégorie concerne les signatures pour la détection du code shell distant. Le code shell distant est utilisé lorsqu’un attaquant souhaite cibler un processus vulnérable s’exécutant sur un autre ordinateur sur un réseau local ou un intranet. En cas d’exécution réussie, le code shell peut fournir à l’attaquant l’accès à l’ordinateur cible sur le réseau. Les codes shell distant utilisent normalement des connexions de socket TCP/IP standard pour permettre à l’attaquant d’accéder au shell sur la machine cible. Ce code shell peut être catégorisé en fonction de la configuration de cette connexion : si le code shell peut établir cette connexion, il s’agit d’un code de « shell inversé » ou de « connexion en retour » parce que le code shell se connecte à la machine de l’attaquant.
SMTP Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au protocole SMTP (Simple Mail Transfer Protocol). Cette catégorie comprend également des règles qui détectent les activités SMTP non malveillantes à des fins de journalisation.
SNMP Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au protocole SNTP (Simple Network Management). Cette catégorie comprend également des règles qui détectent les activités SMTP non malveillantes à des fins de journalisation.
SQL Cette catégorie concerne les signatures liées aux attaques, aux codes malveillants et aux vulnérabilités associées au SQL (Structured Query Language). Cette catégorie comprend également des règles qui détectent les activités SQL non malveillantes à des fins de journalisation.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent changer cela en personnalisant ces signatures spécifiques avec le mode Alerter et refuser.
TELNET Cette catégorie concerne les signatures liées aux attaques, aux codes malveillants et aux vulnérabilités associées à TELNET. Cette catégorie comprend également des règles qui détectent les activités TELNET non malveillantes à des fins de journalisation.
TFTP Cette catégorie concerne les signatures liées aux attaques, aux attaques et aux vulnérabilités associées au protocole TFTP (Trivial File Transport Protocol). Cette catégorie comprend également des règles qui détectent les activités TFTP non malveillantes à des fins de journalisation.
TOR Cette catégorie concerne les signatures pour l’identification du trafic vers et depuis les nœuds de sortie TOR en fonction de l’adresse IP.

Remarque : Toutes les signatures de cette catégorie sont définies comme « Alerter uniquement ». Par conséquent, par défaut, le trafic correspondant à ces signatures n’est pas bloqué, même si le mode IDPS est défini sur « Alerter et refuser ». Les clients peuvent remplacer ce comportement en personnalisant ces signatures spécifiques en mode « Alerter et refuser ».
Agents utilisateurs Cette catégorie est destinée aux signatures permettant de détecter les agents utilisateur suspects et anormaux. Les agents utilisateurs malveillants connus sont placés dans la catégorie programmes malveillants.
VOIP Cette catégorie concerne les signatures pour les attaques et les vulnérabilités associées à la voix sur IP (VOIP), y compris SIP, H.323 et RTP, entre autres.
Client web Cette catégorie concerne les signatures pour les attaques et les vulnérabilités associées aux clients Web, tels que les navigateurs Web, ainsi que les applications côté client telles que CURL, WGET et autres.
Serveur web Cette catégorie est destinée aux signatures permettant de détecter les attaques contre l’infrastructure de serveur web, comme APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) et d’autres logiciels de serveur web.
Applications web spécifiques Cette catégorie est destinée aux signatures permettant de détecter les attaques et les vulnérabilités dans des applications web spécifiques.
WORM Cette catégorie est destinée aux signatures détectant les activités malveillantes qui tentent automatiquement de se répandre sur Internet ou au sein d’un réseau en exploitant une vulnérabilité classée comme catégorie de ver informatique. Alors que le code malveillant lui-même est généralement identifié dans la catégorie d’exploitation ou de protocole, une autre entrée de cette catégorie peut être faite si le logiciel malveillant réel qui s’engage à la propagation de type ver peut également être identifié.

Étapes suivantes