Riasztások az Azure hálózati rétegéhez
Ez a cikk felsorolja az azure-beli hálózati rétegre vonatkozó biztonsági riasztásokat Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Azure hálózati rétegbeli riasztások
További részletek és megjegyzések
Hálózati kommunikáció rosszindulatú géppel
(Network_CommunicationWithC2)
Leírás: A hálózati forgalom elemzése azt jelzi, hogy a gépe (IP%{Victim IP}) kommunikált egy adott parancs- és vezérlőközponttal. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) kommunikált egy adott parancs- és vezérlőközponttal.
MITRE-taktikák: Parancs és irányítás
Súlyosság: Közepes
Lehetséges sérült gép észlelve
(Network_ResourceIpIndicatedAsMalicious)
Leírás: A fenyegetésintelligencia azt jelzi, hogy a gépet (a(z) %{Machine IP} IP-címen egy Conficker típusú kártevő veszélyeztette. A Conficker egy számítógépes féreg volt, amely a Microsoft Windows operációs rendszert célozza, és először 2008 novemberében észlelték. A Conficker több millió számítógépet fertőzött meg, köztük kormányzati, üzleti és otthoni számítógépeket több mint 200 országban/régióban, így ez a legnagyobb ismert számítógépféreg-fertőzés a 2003-as Welchia féreg óta.
MITRE-taktikák: Parancs és irányítás
Súlyosság: Közepes
Lehetséges bejövő %{Szolgáltatásnév} találgatásos kísérlet észlelhető
(Generic_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés észlelte a(z) %{Victim IP} felé irányuló bejövő %{Szolgáltatásnév} kommunikációt, amely a(z) %{Támadó IP}-ről származó%{Feltört gazdagép} erőforráshoz van társítva. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{End Time} közötti gyanús tevékenységeket jelenítik meg a(z) %{Victim Port} porton. Ez a tevékenység összhangban van a(z) %{Service Name} kiszolgálókon tett találgatásos kísérletekkel.
MITRE-taktikák: PreAttack
Súlyosság: Tájékoztató
Lehetséges bejövő SQL-találgatásos kísérletek észlelhetők
(SQL_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés a(z) %{Victim IP} felé irányuló bejövő SQL-kommunikációt észlelt a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{Port Number} porton (%{SQL Service Type}) lévő %{Kezdési idő} és %{Befejezési idő} között gyanús tevékenységet mutatnak. Ez a tevékenység megfelel az SQL-kiszolgálók ellen indított találgatásos támadásoknak.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Lehetséges kimenő szolgáltatásmegtagadási támadás észlelhető
(DDOS)
Leírás: A hálózati forgalom elemzése a(z) %{Feltört gazdagép} erőforrásból származó rendellenes kimenő tevékenységet észlelt az üzemelő példányban. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most szolgáltatásmegtagadási támadásokat végez külső végpontok ellen. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) sérült. A kapcsolatok mennyisége alapján úgy gondoljuk, hogy a doS-támadás célpontjai valószínűleg a következő IP-címek: %{Lehetséges áldozatok}. Vegye figyelembe, hogy előfordulhat, hogy bizonyos IP-címek felé való kommunikáció jogszerű.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús bejövő RDP-hálózati tevékenység több forrásból
(RDP_Incoming_BF_ManyToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az RDP-végpontot több gazdagépről (Botnet) próbálják meg találgatásra kényszeríteni.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő RDP-hálózati tevékenység
(RDP_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintában szereplő hálózati adatok az erőforráshoz érkező %{Kapcsolatok száma} típusú bejövő kapcsolatokat jelenítik meg, amelyek a környezet rendellenesnek minősülnek. Ez a tevékenység arra utalhat, hogy az RDP-végpontot találgatásra próbálták kényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő SSH-hálózati tevékenység több forrásból
(SSH_Incoming_BF_ManyToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy megpróbálják az SSH-végpontot több gazdagéptől (Botnet) kikényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő SSH-hálózati tevékenység
(SSH_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított%{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintában szereplő hálózati adatok az erőforráshoz érkező %{Kapcsolatok száma} típusú bejövő kapcsolatokat jelenítik meg, amelyek a környezet rendellenesnek minősülnek. Ez a tevékenység arra utalhat, hogy az SSH-végpontot találgatásra próbálták kényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús kimenő %{Támadási protokoll} forgalom észlelhető
(PortScanning)
Leírás: A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} és a célport %{Leggyakoribb port} között. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. Ez a viselkedés azt jelezheti, hogy az erőforrás részt vesz a(z) %{Attacked Protocol} találgatásos kísérletekben vagy portsöprő támadásokban.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Gyanús kimenő RDP-hálózati tevékenység több célhelyre
(RDP_Outgoing_BF_OneToMany)
Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt több célhely felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzembe helyezés egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintául szolgáló hálózati adatok azt mutatják, hogy a gép %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE-taktikák: Felderítés
Súlyosság: Magas
Gyanús kimenő RDP-hálózati tevékenység
(RDP_Outgoing_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintául szolgáló hálózati adatok az erőforrásból érkező %{Kapcsolatok száma} kimenő kapcsolatokat jelenítik meg, amelyek a környezet szempontjából rendellenesnek minősülnek. Ez a tevékenység azt jelezheti, hogy a gép sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
Gyanús kimenő SSH-hálózati tevékenység több célhelyre
(SSH_Outgoing_BF_OneToMany)
Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Feltört gazdagép} (%{Támadó IP}) erőforrásból származó több célhely felé, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok konkrétan azt mutatják, hogy az erőforrás %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Gyanús kimenő SSH-hálózati tevékenység
(SSH_Outgoing_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintául szolgáló hálózati adatok az erőforrásból érkező %{Kapcsolatok száma} kimenő kapcsolatokat jelenítik meg, amelyek a környezet szempontjából rendellenesnek minősülnek. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
A blokkoláshoz ajánlott IP-címekről észlelt forgalom
(Network_TrafficFromUnrecommendedIP)
Leírás: Felhőhöz készült Microsoft Defender a letiltandó IP-címekről érkező bejövő forgalmat észlelte. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként az IP-címet rosszindulatúként jelölte meg Felhőhöz készült Defender fenyegetésfelderítési forrásai.
MITRE-taktikák: Próba
Súlyosság: Tájékoztató
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.