IDPS-aláírási szabálykategóriák Azure Firewall
Azure Firewall IDPS több mint 50 olyan kategóriát tartalmaz, amelyek egyéni aláírásokhoz rendelhetők. Az alábbi táblázat az egyes kategóriák definícióit tartalmazza.
Kategóriák
| Kategória | Leírás |
|---|---|
| 3CORESec | Ez a kategória a 3CORESec csapat IP-tiltólistáiból automatikusan létrehozott aláírásokhoz tartozik. Ezeket a tiltólistákat a 3CORESec hozza létre a mézeskalászok rosszindulatú tevékenységei alapján. |
| ActiveX | Ez a kategória olyan aláírásokhoz készült, amelyek védelmet nyújtanak a Microsoft ActiveX-vezérlők elleni támadások ellen, és kihasználják az ActiveX-vezérlők biztonsági réseit. |
| Adware-PUP | Ez a kategória a hirdetéskövetéshez vagy más típusú kémprogramokkal kapcsolatos tevékenységekhez használt szoftverek azonosítására szolgál. |
| Támadási válasz | Ez a kategória aláírásokat tartalmaz a behatolásra utaló válaszok azonosításához – ilyenek például az LMHost-fájlok letöltése, bizonyos webes szalagcímek jelenléte és a Metasploit Meterpreter kill parancs észlelése. Ezeket az aláírásokat úgy tervezték, hogy elkapják a sikeres támadás eredményeit. Például az id=root vagy a biztonsági rést jelző hibaüzenetek. |
| Botcc (Bot Command and Control) | Ez a kategória az ismert és megerősített aktív botnetek és más Command andControl (C2) gazdagépek számos forrásából automatikusan létrehozott aláírásokhoz tartozik. Ez a kategória naponta frissül. A kategória elsődleges adatforrása a következő: Shadowserver.org. |
| Botcc-port csoportosítva | Ez a kategória a Botcc kategóriához hasonló aláírásokhoz tartozik, de célportok szerint csoportosítva. A port szerint csoportosított szabályok magasabb megbízhatóságot kínálnak, mint a nem portok szerint csoportosított szabályok. |
| Csevegés | Ez a kategória olyan aláírásokhoz készült, amelyek számos csevegőügyfelkel, például az Internet Relay Chattel (IRC) kapcsolatos forgalmat azonosítják. A csevegési forgalom a fenyegetést jelző szereplők lehetséges bejelentkezési tevékenységére utalhat. |
| CIArmy | Ez a kategória azoknak az aláírásoknak a kategóriája, amelyek a kollektív intelligencia IP-szabályaival jönnek létre a blokkoláshoz. |
| Érmebányászat | Ez a kategória olyan szabályokkal rendelkező aláírásokra vonatkozik, amelyek észlelik a kártevőket, ami pénzbányászatot végez. Ezek az aláírások is észlelni néhány legitim (bár gyakran nemkívánatos) érmebányászat szoftver. |
| Kiegyezés | Ez a kategória az ismert feltört gazdagépek listáján alapuló aláírásokhoz készült. Ezt a listát naponta visszaigazoljuk és frissítjük. Az ebben a kategóriában lévő aláírások az adatforrásoktól függően egytől több száz szabályig terjedhetnek. A kategória adatforrásai számos privát, de nagyon megbízható adatforrásból származnak. |
| Aktuális események | Ez a kategória olyan aláírásokhoz készült, amelyek az aktív és rövid élettartamú kampányokra, valamint a várhatóan ideiglenesnek számító, nagy profilú elemekre válaszul kialakított szabályokat tartalmaznak. Ilyenek például a katasztrófákkal kapcsolatos csalási kampányok. Az ebben a kategóriában lévő szabályokat nem hosszú ideig kell a szabálykészletben tartani, vagy amelyeket még a belefoglalásukhoz szükségesnek kell tekinteni. Ezek leggyakrabban egyszerű aláírások lesznek a Storm bináris URL-címéhez a nap során, aláírások az újonnan talált sebezhető alkalmazások CLSID-jeihez, ahol nincs részletes információnk a biztonsági résről, és így tovább. |
| DNS (tartománynév-szolgáltatás) | Ez a kategória a DNS-sel kapcsolatos támadásokra és biztonsági résekre vonatkozó szabályokat tartalmazó aláírásokhoz tartozik. Ez a kategória a DNS-sel való visszaéléssel, például az bújtatással kapcsolatos szabályokhoz is használatos. |
| DOS | Ez a kategória a szolgáltatásmegtagadási (DoS-) kísérleteket észlelő aláírásokhoz tartozik. Ezek a szabályok a bejövő DoS-tevékenységek elfogására szolgálnak, és jelzik a kimenő DoS-tevékenységeket. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| Csepp | Ez a kategória az aláírások számára készült, hogy blokkolják az IP-címeket a Spamhaus DROP (Ne útvonal vagy társ) listában. A kategória szabályai naponta frissülnek. |
| Dshield | Ez a kategória a Dshield által azonosított támadókon alapuló aláírásokhoz tartozik. Az ebben a kategóriában lévő szabályok naponta frissülnek a DShield legnépszerűbb támadóinak listájáról, amely megbízható. |
| Kihasználni | Ez a kategória olyan aláírásokra vonatkozik, amelyek védelmet nyújtanak az adott szolgáltatáskategóriákban egyébként nem szereplő közvetlen biztonsági rések ellen. Ebben a kategóriában találhatók az olyan biztonsági rések elleni támadások, mint a Microsoft Windows. A saját kategóriájukkal( például SQL-injektálással) rendelkező támadásoknak saját kategóriájuk van. |
| Exploit-Kit | Ez a kategória az aláírások számára készült, amelyek észlelik a biztonsági rés kiaknázása készletek infrastruktúráját és kézbesítését érintő tevékenységeket. |
| FTP | Ez a kategória a File Transfer Protocolhoz (FTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek észlelik a nem rosszindulatú FTP-tevékenységeket, például a naplózási célú bejelentkezéseket. |
| Játékok | Ez a kategória olyan aláírásokhoz tartozik, amelyek azonosítják a játékforgalmat és az ezekkel a játékokkal szembeni támadásokat. A szabályok olyan játékokra vonatkoznak, mint a World of Warcraft, a Starcraft és más népszerű online játékok. Bár a játékok és a forgalom nem rosszindulatú, gyakran nemkívánatosak, és a vállalati hálózatokra vonatkozó szabályzat tiltja őket. |
| Veszélyforrás-keresés | Ez a kategória olyan aláírásokhoz tartozik, amelyek olyan mutatókat biztosítanak, amelyek más aláírásokkal való egyeztetés esetén hasznosak lehetnek a veszélyforrások veszélyforrás-kereséséhez egy környezetben. Ezek a szabályok hamis pozitív eredményt adhatnak a jogszerű forgalomhoz, és gátolhatják a teljesítményt. Ezek csak akkor ajánlottak, ha aktívan kutatnak a potenciális fenyegetésekben a környezetben. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| ICMP | Ez a kategória az Internet Control Message Protocol (ICMP) támadásaihoz és biztonsági réseihez kapcsolódó aláírásokhoz tartozik. |
| ICMP_info | Ez a kategória az ICMP protokollspecifikus eseményekkel kapcsolatos aláírásokhoz tartozik, amelyek általában naplózási célú normál műveletekhez kapcsolódnak. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| IMAP | Ez a kategória az Internet Message Access Protocol (IMAP) támadásaihoz, biztonsági réseihez és biztonsági réseihez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem káros IMAP-tevékenységeket. |
| Alkalmatlan | Ez a kategória az aláírások célja, hogy azonosítsák a pornográf vagy más módon nem megfelelő webhelyekhez kapcsolódó potenciális tevékenységeket. Figyelmeztetés: Ez a kategória jelentős hatással lehet a teljesítményre és a téves pozitív eredmények magas arányára. |
| Információ | Ez a kategória az aláírások célja, hogy olyan naplózási szintű eseményeket biztosítson, amelyek hasznosak a korrelációhoz és az érdekes tevékenységek azonosításához, amelyek nem lehetnek eredendően rosszindulatúak, de gyakran figyelhetők meg kártevőkben és egyéb fenyegetésekben. Például egy végrehajtható fájl letöltése HTTP-en keresztül IP-cím alapján, nem pedig tartománynév alapján. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| JA3 | Ez a kategória a rosszindulatú SSL-tanúsítványok JA3-kivonatok használatával történő ujjlenyomat-ujjlenyomatának aláírására használható. Ezek a szabályok az ügyfelek és a kiszolgálók SSL-kézfogási egyeztetésében szereplő paramétereken alapulnak. Ezek a szabályok magas téves pozitív arányúak lehetnek, de veszélyforrás-kereséshez vagy kártevő-detonációs környezetekhez hasznosak lehetnek. |
| Kártevő szoftver | Ez a kategória a kártékony szoftverek észlelésére szolgáló aláírások számára készült. Az ebbe a kategóriába tartozó szabályok észlelik a hálózaton észlelt kártékony szoftverekkel kapcsolatos tevékenységeket, beleértve az átvitel alatt álló kártevőket, az aktív kártevőket, a kártevő-fertőzéseket, a kártevő-támadásokat és a kártevők frissítését. Ez is egy rendkívül fontos kategória, és erősen ajánlott futtatni. |
| Egyebek | Ez a kategória más kategóriákba nem tartozó aláírásokra vonatkozik. |
| Mobil kártevők | Ez a kategória olyan aláírásokhoz készült, amelyek a mobil- és táblagép-operációs rendszerekhez, például a Google Androidhoz, az Apple iOS-hez és más rendszerekhez társított kártevőket jelölik. Az észlelt és a mobil operációs rendszerekhez társított kártevők általában ebbe a kategóriába kerülnek, nem pedig az olyan szokásos kategóriákba, mint a Kártevők. |
| NETBIOS | Ez a kategória a NetBIOS-hoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú NetBIOS-tevékenységeket. |
| P2P | Ez a kategória a társközi (P2P) forgalom és az ellene irányuló támadások azonosítására szolgáló aláírások. Az azonosított P2P-forgalom többek között a torrenteket, az edonkey-t, a Bittorrentet, a Gnutella-t és a Limewire-t is magában foglalja. A P2P-forgalom eredendően nem rosszindulatú, de a vállalatok számára gyakran jelentős. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| Adathalászat | Ez a kategória olyan aláírásokhoz tartozik, amelyek észlelik a hitelesítő adatok adathalászatával kapcsolatos tevékenységeket. Ide tartoznak a hitelesítő adatok adathalászatát megjelenítő kezdőlapok, valamint a hitelesítő adatok hitelesítő adatokkal adathalász webhelyekre történő sikeres elküldése. |
| Szabályzat | Ez a kategória olyan aláírásokra vonatkozik, amelyek a szervezet szabályzatának megsértését jelezhetik. Ilyenek lehetnek a visszaélésre hajlamos protokollok és egyéb alkalmazásszintű tranzakciók, amelyek érdekesek lehetnek. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt az adott aláírások "Riasztás és megtagadás" módra való testreszabásával. |
| POP3 | Ez a kategória a Post Office Protocol 3.0 (POP3) protokollhoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem káros POP3-tevékenységeket. |
| RPC | Ez a kategória a távoli eljáráshívással (RPC) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú RPC-tevékenységeket. |
| SCADA | Ez a kategória a felügyeleti ellenőrzéssel és adatbeszerzéssel (SCADA) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SCADA-tevékenységeket. |
| ÁTKUTAT | Ez a kategória aláírásokat biztosít az olyan eszközök felderítése és kikeresése során, mint a Nessus, a Nikto és más portvizsgálatok, eszközök. Ez a kategória hasznos lehet a korai behatolási tevékenység és a fertőzés utáni oldalirányú mozgás észleléséhez a szervezeten belül. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt az adott aláírások "Riasztás és megtagadás" módra való testreszabásával. |
| Rendszerhéjkód | Ez a kategória a távoli rendszerhéjkódok észleléséhez használható aláírásokhoz tartozik. A rendszerhéjkód akkor használatos, ha egy támadó egy helyi hálózaton vagy intraneten futó másik gépen futó sebezhető folyamatot szeretne megcélzni. Sikeres végrehajtás esetén a rendszerhéjkód hozzáférést biztosíthat a támadónak a célgéphez a hálózaton keresztül. A távoli rendszerhéjkódok általában szabványos TCP/IP-szoftvercsatorna-kapcsolatokat használnak, hogy a támadó hozzáférjen a rendszerhéjhoz a célgépen. Az ilyen rendszerhéjkód a kapcsolat beállítása alapján kategorizálható: ha a rendszerhéjkód képes létrehozni ezt a kapcsolatot, akkor "fordított rendszerhéjnak" vagy "connect back" rendszerhéjkódnak nevezik, mivel a rendszerhéjkód visszacsatlakozik a támadó gépéhez. |
| SMTP | Ez a kategória a Simple Mail Transfer Protocolhoz (SMTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SMTP-tevékenységeket. |
| SNMP | Ez a kategória a Simple Network Management Protocolhoz (SNMP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SNMP-tevékenységeket. |
| SQL | Ez a kategória a Structured Query Language (SQL) támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SQL-tevékenységeket. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt az adott aláírások "Riasztás és megtagadás" módra való testreszabásával. |
| TELNET | Ez a kategória a TELNET-hez kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú TELNET-tevékenységeket. |
| TFTP | Ez a kategória a Trivial File Transport Protocolhoz (TFTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokhoz tartozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem káros TFTP-tevékenységeket. |
| TOR | Ez a kategória a TOR kilépési csomópontokra irányuló és onnan érkező forgalom IP-cím alapján történő azonosítására szolgáló aláírások számára készült. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az ezeknek az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést, ha ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
| Felhasználói ügynökök | Ez a kategória a gyanús és rendellenes felhasználói ügynökök észlelésére szolgáló aláírások számára készült. Az ismert rosszindulatú felhasználói ügynökök a Kártevők kategóriába kerülnek. |
| VOIP | Ez a kategória többek között a Voice over IP -hez (VOIP) kapcsolódó támadásokhoz és biztonsági résekhez tartozó aláírásokat tartalmazza, beleértve többek között a SIP-t, a H.323-at és az RTP-t. |
| Webes ügyfél | Ez a kategória a webügyfelekhez, például webböngészőkhöz és ügyféloldali alkalmazásokhoz, például a CURL-hez, a WGET-hez és más alkalmazásokhoz kapcsolódó támadások és biztonsági rések aláírására szolgál. |
| Webkiszolgáló | Ez a kategória a webkiszolgáló-infrastruktúra, például az APACHE, a TOMCAT, az NGINX, a Microsoft Internet Information Services (IIS) és más webkiszolgáló-szoftverek elleni támadások észlelésére szolgál. |
| Webspecifikus alkalmazások | Ez a kategória aláírásokat tartalmaz adott webalkalmazások támadásainak és biztonsági réseinek észleléséhez. |
| FÉREG | Ez a kategória az aláírások azon kártékony tevékenységek észlelésére szolgál, amelyek egy biztonsági rés kihasználásával automatikusan megpróbálnak az interneten vagy a hálózaton belül elterjedni. Bár magát a tényleges biztonsági rést általában a Biztonsági rés kiaknázása vagy adott protokoll kategóriában azonosítják, ebben a kategóriában egy másik bejegyzés is szerepelhet, ha a féregszerű propagálást folytató tényleges kártevők is azonosíthatók. |
Következő lépések
- Ha többet szeretne megtudni Azure Firewall Premium-funkciókról, tekintse meg Azure Firewall Premium-funkciókat.