DNS-riasztások

Cikk
08/10/2024

Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek a DNS-hez Felhőhöz készült Microsoft Defender és az ön által engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.

Feljegyzés

Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.

Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.

Megtudhatja, hogyan exportálhat riasztásokat.

Feljegyzés

A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.

DNS-riasztások

Fontos

2023. augusztus 1-jével a dns-hez készült Defender előfizetéssel rendelkező ügyfelek továbbra is használhatják a szolgáltatást, de az új előfizetők riasztásokat kapnak a gyanús DNS-tevékenységről a Defender for Servers P2 részeként.

További részletek és megjegyzések

Rendellenes hálózati protokollhasználat

(AzureDNS_ProtocolAnomaly)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése rendellenes protokollhasználatot észlelt. Az ilyen forgalom, bár jóindulatú, utalhat arra, hogy a hálózati forgalom szűrését megkerülő gyakori protokoll visszaélést jelent. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.

MITRE-taktikák: Exfiltration

Súlyosság: -

Anonimitási hálózati tevékenység

(AzureDNS_DarkWeb)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózati kommunikáció nyomon követését és ujjlenyomatát. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Anonimitás hálózati tevékenység webes proxy használatával

(AzureDNS_DarkWebProxy)

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Gyanús elsüllyedt tartománnyal való kommunikációra tett kísérlet

(AzureDNS_SinkholedDomain)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése elsüllyedt tartományra vonatkozó kérést észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Kommunikáció lehetséges adathalászati tartománnyal

(AzureDNS_PhishingDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges adathalász tartományra vonatkozó kérést észlelt. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak, hogy hitelesítő adatokat gyűjtenek a távoli szolgáltatásokba. A tipikusan kapcsolódó támadói tevékenység valószínűleg magában foglalja a hitelesítő adatok hasznosítását a jogos szolgáltatásban.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Kommunikáció gyanús, algoritmussal generált tartománnyal

(AzureDNS_DomainGenerationAlgorithm)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése észlelte a tartománygenerálási algoritmus lehetséges használatát. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

(AzureDNS_ThreatIntelSuspectDomain)

Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Gyanús véletlenszerű tartománynévvel folytatott kommunikáció

(AzureDNS_RandomizedDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy gyanús, véletlenszerűen létrehozott tartománynév használatát észlelte. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Digitális pénznembányászati tevékenység

(AzureDNS_CurrencyMining)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése digitális pénznembányászati tevékenységet észlelt. Az ilyen tevékenységet, bár lehetséges, hogy a felhasználók viselkedése jogszerű, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Hálózati behatolásészlelési aláírás aktiválása

(AzureDNS_SuspiciousDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése ismert rosszindulatú hálózati aláírást észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Lehetséges adatletöltés DNS-alagúton keresztül

(AzureDNS_DataInfiltration)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Lehetséges adatszűrés DNS-alagúton keresztül

(AzureDNS_DataExfiltration)

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Lehetséges adatátvitel DNS-alagúton keresztül

(AzureDNS_DataObfuscation)

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Feljegyzés

Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Megosztás a következőn keresztül:

DNS-riasztások

DNS-riasztások

Rendellenes hálózati protokollhasználat

Anonimitási hálózati tevékenység

Anonimitás hálózati tevékenység webes proxy használatával

Gyanús elsüllyedt tartománnyal való kommunikációra tett kísérlet

Kommunikáció lehetséges adathalászati tartománnyal

Kommunikáció gyanús, algoritmussal generált tartománnyal

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

Gyanús véletlenszerű tartománynévvel folytatott kommunikáció

Digitális pénznembányászati tevékenység

Hálózati behatolásészlelési aláírás aktiválása

Lehetséges adatletöltés DNS-alagúton keresztül

Lehetséges adatszűrés DNS-alagúton keresztül

Lehetséges adatátvitel DNS-alagúton keresztül

Következő lépések

Visszajelzés

További források