Alertes pour DNS

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour DNS à partir de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes pour DNS

Important

Depuis le 1er août 2023, les clients déjà abonnés à Defender pour DNS peuvent continuer à utiliser le service, mais les nouveaux abonnés recevront des alertes sur les activités DNS suspectes dans le cadre de Defender pour serveurs P2.

Informations complémentaires et notes

Utilisation d’un protocole réseau anormale

(AzureDNS_ProtocolAnomaly)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une utilisation anormale du protocole. Ce trafic, même s’il est possible qu’il soit bénin, peut indiquer l’abus de ce protocole commun pour contourner le filtrage du trafic réseau. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.

Tactiques MITRE : Exfiltration

Gravité : -

Activité réseau anonyme

(AzureDNS_DarkWeb)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Activité réseau anonyme utilisant un proxy web

(AzureDNS_DarkWebProxy)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Tentative de communication avec un domaine sinkhole suspect

(AzureDNS_SinkholedDomain)

Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté une demande de domaine récepteur. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Communication avec un domaine d’hameçonnage potentiel

(AzureDNS_PhishingDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande de domaine d’hameçonnage possible. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à collecter des informations d’identification auprès de services distants. L’activité associée type des attaquants est susceptible d’inclure l’exploitation d’informations d’identification dans le service légitime.

Tactiques MITRE : Exfiltration

Gravité : Information

Communication avec un domaine suspect généré par algorithmique

(AzureDNS_DomainGenerationAlgorithm)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation possible d’un algorithme de génération de domaine. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : Information

Communication avec un domaine suspect identifié par le renseignement sur les menaces

(AzureDNS_ThreatIntelSuspectDomain)

Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.

Tactiques MITRE : Accès initial

Gravité : moyenne

Communication avec un nom de domaine aléatoire suspect

(AzureDNS_RandomizedDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation d’un nom de domaine généré de manière aléatoire suspecte. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : Information

Activité d’exploration de données monétaires numériques

(AzureDNS_CurrencyMining)

Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté l’activité d’exploration de données de devise numérique. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.

Tactiques MITRE : Exfiltration

Gravité : faible

Activation de la signature de détection d’intrusion réseau

(AzureDNS_SuspiciousDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une signature réseau malveillante connue. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Possible téléchargement de données via un tunnel DNS

(AzureDNS_DataInfiltration)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Possible exfiltration de données via un tunnel DNS

(AzureDNS_DataExfiltration)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Possible transfert de données via un tunnel DNS

(AzureDNS_DataObfuscation)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes

• Alertes de sécurité dans Microsoft Defender pour le cloud
• Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud
• Exportation continue des données Defender pour le cloud