Kategori aturan tanda tangan IDPS Azure Firewall
IDPS Azure Firewall memiliki lebih dari 50 kategori yang dapat ditetapkan ke tanda tangan individual. Tabel berikut adalah daftar definisi untuk setiap kategori.
Kategori
| Kategori | Deskripsi |
|---|---|
| 3CORESec | Kategori ini untuk tanda tangan yang dihasilkan secara otomatis dari daftar blokir IP tim 3CORESec. Daftar blokir tersebut dihasilkan oleh 3CORESec berdasarkan aktivitas berbahaya dari Honeypots mereka. |
| ActiveX | Kategori ini untuk tanda tangan yang melindungi dari serangan terhadap kontrol Microsoft ActiveX dan mengeksploitasi penargetan kerentanan di kendali ActiveX. |
| Adware-PUP | Kategori ini untuk tanda tangan yang akan mengidentifikasi perangkat lunak yang digunakan untuk pelacakan iklan atau jenis aktivitas terkait spyware lainnya. |
| Respons Serangan | Kategori ini untuk tanda tangan yang akan mengidentifikasi respons yang menunjukkan intrusi—contohnya termasuk tetapi tidak terbatas pada unduhan file LMHost, keberadaan banner web tertentu, dan deteksi perintah mematikan Metasploit Meterpreter. Tanda tangan ini dirancang untuk menangkap hasil serangan yang berhasil. Hal-hal seperti id=root, atau pesan kesalahan yang menunjukkan penyusupan mungkin telah terjadi. |
| Botcc (Perintah dan Kontrol Bot) | Kategori ini untuk tanda tangan yang dibuat secara otomatis dari beberapa sumber botnet aktif yang diketahui dan dikonfirmasi serta host Perintah dan Kontrol (C2) lainnya. Kategori ini diperbarui setiap hari. Sumber data utama kategori adalah Shadowserver.org. |
| Port Botcc dikelompokkan | Kategori ini untuk tanda tangan seperti yang ada di kategori Botcc tetapi dikelompokkan berdasarkan port tujuan. Aturan yang dikelompokkan berdasarkan port dapat menawarkan keakuratan yang lebih tinggi daripada aturan yang tidak dikelompokkan berdasarkan port. |
| Obrolan | Kategori ini untuk tanda tangan yang mengidentifikasi lalu lintas yang terkait dengan banyak klien obrolan seperti Internet Relay Chat (IRC). Lalu lintas obrolan dapat menjadi indikasi kemungkinan aktivitas check-in oleh pelaku ancaman. |
| CIArmy | Kategori ini untuk tanda tangan yang dihasilkan menggunakan aturan IP Kecerdasan Kolektif untuk memblokir. |
| Penambangan koin | Kategori ini untuk tanda tangan dengan aturan yang mendeteksi malware, yang melakukan penambangan koin. Tanda tangan ini juga dapat mendeteksi beberapa perangkat lunak penambangan koin yang sah (meskipun seringkali tidak diinginkan). |
| Disusupi | Kategori ini untuk tanda tangan berdasarkan daftar host yang disusupi yang diketahui. Daftar ini dikonfirmasi dan diperbarui setiap hari. Tanda tangan dalam kategori ini dapat bervariasi dari satu hingga beberapa ratus aturan tergantung pada sumber data. Sumber data untuk kategori ini berasal dari beberapa sumber data privat tetapi sangat dapat diandalkan. |
| Peristiwa Terkini | Kategori ini untuk tanda tangan dengan aturan yang dikembangkan sebagai respons terhadap kampanye aktif dan berumur pendek, dan item profil tinggi yang diperkirakan bersifat sementara. Salah satu contohnya adalah kampanye penipuan yang berkaitan dengan bencana. Aturan dalam kategori ini tidak dimaksudkan untuk disimpan dalam rangkaian aturan untuk waktu yang lama, atau yang perlu diuji lebih lanjut sebelum dipertimbangkan untuk dimasukkan. Aturan tersebut paling sering akan menjadi tanda tangan sederhana untuk URL biner Storm saat ini, tanda tangan untuk menangkap CLSID dari aplikasi rentan yang baru ditemukan yang detail tentang eksploitasinya tidak kita miliki, dan seterusnya. |
| DNS (Layanan Nama Domain) | Kategori ini untuk tanda tangan dengan aturan terhadap serangan dan kerentanan mengenai DNS. Kategori ini juga digunakan untuk aturan yang berkaitan dengan penyalahgunaan DNS seperti penerowongan. |
| DOS | Kategori ini untuk tanda tangan yang mendeteksi upaya Denial of Service (DoS). Aturan tersebut dimaksudkan untuk menangkap aktivitas DoS masuk, dan memberikan indikasi aktivitas DoS keluar. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| Hilangkan | Kategori ini untuk tanda tangan yang akan memblokir alamat IP pada daftar Spamhaus DROP (Don't Route atau Peer). Aturan dalam kategori ini diperbarui setiap hari. |
| Dshield | Kategori ini untuk tanda tangan berdasarkan penyerang yang diidentifikasi oleh Dshield. Aturan dalam kategori ini diperbarui setiap hari dari daftar penyerang teratas DShield, yang dapat diandalkan. |
| Eksploitasi | Kategori ini untuk tanda tangan yang melindungi dari eksploitasi langsung yang tidak tercakup dalam kategori layanan tertentu. Kategori ini adalah tempat serangan spesifik terhadap kerentanan seperti terhadap Microsoft Windows akan ditemukan. Serangan dengan kategorinya sendiri seperti injeksi SQL memiliki kategorinya sendiri. |
| Kit Eksploitasi | Kategori ini untuk tanda tangan yang akan mendeteksi aktivitas yang terkait dengan Kit Eksploitasi infrastruktur dan penyediaan mereka. |
| FTP | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Protokol Transfer File (FTP). Kategori ini juga mencakup aturan yang mendeteksi aktivitas FTP tidak berbahaya seperti proses masuk untuk tujuan pengelogan. |
| Permainan | Kategori ini untuk tanda tangan yang mengidentifikasi lalu lintas game dan serangan terhadap game tersebut. Aturannya mencakup game seperti World of Warcraft, Starcraft, dan game online populer lainnya. Meskipun game dan lalu lintasnya tidak berbahaya, sering kali tidak diinginkan dan dilarang oleh kebijakan di jaringan perusahaan. |
| Berburu | Kategori ini untuk tanda tangan yang memberikan indikator bahwa jika dicocokkan dengan tanda tangan lain dapat berguna untuk berburu ancaman di suatu lingkungan. Aturan tersebut dapat memberikan positif palsu pada lalu lintas yang sah dan menghambat performa. Aturan tersebut hanya direkomendasikan untuk digunakan ketika secara aktif meneliti potensi ancaman di lingkungan. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| ICMP | Kategori ini untuk tanda tangan yang terkait dengan serangan dan kerentanan tentang Protokol Pesan Kontrol Internet (ICMP). |
| ICMP_info | Kategori ini untuk tanda tangan yang terkait dengan peristiwa khusus protokol ICMP, biasanya terkait dengan operasi normal untuk tujuan pengelogan. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| IMAP | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan seputar Protokol Akses Pesan Internet (IMAP). Kategori ini juga mencakup aturan yang mendeteksi aktivitas IMAP yang tidak berbahaya untuk tujuan pengelogan. |
| Tidak pantas | Kategori ini untuk tanda tangan yang akan mengidentifikasi aktivitas potensial yang terkait dengan situs pornografi atau tidak sesuai untuk lingkungan kerja. Peringatan: Kategori ini dapat memiliki dampak performa yang signifikan dan tingkat positif palsu yang tinggi. |
| info | Kategori ini untuk tanda tangan yang akan membantu menyediakan peristiwa tingkat audit yang berguna untuk korelasi dan mengidentifikasi aktivitas menarik, yang mungkin tidak berbahaya secara inheren tetapi sering terlihat pada malware dan ancaman lainnya. Misalnya, mengunduh Executable melalui HTTP berdasarkan alamat IP daripada nama domain. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| JA3 | Kategori ini untuk tanda tangan yang akan mengambil sidik jari sertifikat SSL berbahaya menggunakan hash JA3. Aturan tersebut didasarkan pada parameter yang ada dalam negosiasi jabat tangan SSL oleh klien dan server. Aturan tersebut dapat memiliki tingkat positif palsu yang tinggi tetapi dapat berguna untuk berburu ancaman atau lingkungan detonasi malware. |
| Malware | Kategori ini untuk tanda tangan yang akan mendeteksi perangkat lunak berbahaya. Aturan dalam kategori ini mendeteksi aktivitas yang terkait dengan perangkat lunak berbahaya yang terdeteksi di jaringan termasuk malware dalam perjalanan, malware aktif, infeksi malware, serangan malware, dan pembaruan malware. Ini juga merupakan kategori yang sangat penting dan sangat disarankan untuk Anda jalankan. |
| Lain-lain | Kategori ini untuk tanda tangan yang tidak tercakup dalam kategori lain. |
| Malware Seluler | Kategori ini untuk tanda tangan yang menunjukkan malware yang terkait dengan sistem operasi seluler dan tablet seperti Google Android, Apple iOS, dan lainnya. Malware yang terdeteksi dan terkait dengan sistem operasi seluler umumnya akan ditempatkan dalam kategori ini daripada kategori standar seperti Malware. |
| NETBIOS | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan NetBIOS. Kategori ini juga mencakup aturan yang mendeteksi aktivitas NetBIOS tidak berbahaya untuk tujuan pengelogan. |
| P2P | Kategori ini untuk tanda tangan terhadap identifikasi lalu lintas Peer-to-Peer (P2P) dan serangan terhadapnya. Lalu lintas P2P yang diidentifikasi meliputi torrent, edonkey, Bittorrent, Gnutella, dan Limewire. Lalu lintas P2P pada dasarnya tidak berbahaya tetapi sering kali penting untuk perusahaan. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| Pengelabuan | Kategori ini untuk tanda tangan yang mendeteksi aktivitas pengelabuan informasi masuk. Ini termasuk halaman arahan yang menampilkan pengelabuan informasi masuk dan pengiriman informasi masuk yang berhasil ke situs pengelabuan informasi masuk. |
| Kebijakan | Kategori ini untuk tanda tangan yang mungkin menunjukkan pelanggaran terhadap kebijakan organisasi. Ini dapat mencakup protokol yang rentan disalahgunakan, dan transaksi tingkat aplikasi lainnya, yang mungkin menarik. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan ini dengan menyesuaikan tanda tangan khusus ini ke mode "Peringatan dan Tolak". |
| (POP3) | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Post Office Protocol 3.0 (POP3). Kategori ini juga mencakup aturan yang mendeteksi aktivitas POP3 yang tidak berbahaya untuk tujuan pengelogan. |
| RPC | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan mengenai Panggilan Prosedur Jarak Jauh (RPC). Kategori ini juga mencakup aturan yang mendeteksi aktivitas RPC tidak berbahaya untuk tujuan pengelogan. |
| SCADA | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan kontrol pengawasan dan akuisisi data (SCADA). Kategori ini juga mencakup aturan yang mendeteksi aktivitas SCADA tidak berbahaya untuk tujuan pengelogan. |
| SCAN | Kategori ini untuk tanda tangan yang akan mendeteksi pengintaian dan penyelidikan dari alat-alat seperti Nessus, Nikto, dan alat pemindaian port lainnya. Kategori ini dapat berguna untuk mendeteksi aktivitas pelanggaran dini dan gerakan lateral pasca infeksi dalam suatu organisasi. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan ini dengan menyesuaikan tanda tangan khusus ini ke mode "Peringatan dan Tolak". |
| Kode Shell | Kategori ini untuk tanda tangan terhadap deteksi kode shell jarak jauh. Kode shell jarak jauh digunakan ketika penyerang ingin menargetkan proses rentan yang berjalan pada mesin lain di jaringan lokal atau intranet. Jika berhasil dieksekusi, kode shell dapat memberi penyerang akses ke mesin target di seluruh jaringan. Kode shell jarak jauh biasanya menggunakan koneksi soket TCP/IP standar untuk memungkinkan penyerang mengakses shell pada mesin target. Kode shell tersebut dapat dikategorikan berdasarkan cara koneksi ini diatur: jika kode shell dapat membuat koneksi ini, itu disebut kode shell "reverse shell" atau "connect back" karena kode shell tersambung kembali ke mesin penyerang. |
| SMTP | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Protokol Transfer Surat Sederhana (SMTP). Kategori ini juga mencakup aturan yang mendeteksi aktivitas SMTP tidak berbahaya untuk tujuan pengelogan. |
| SNMP | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Simple Network Management Protocol (SNMP). Kategori ini juga mencakup aturan yang mendeteksi aktivitas SNMP tidak berbahaya untuk tujuan pengelogan. |
| SQL | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Bahasa Permintaan Terstruktur (SQL). Kategori ini juga mencakup aturan yang mendeteksi aktivitas SQL tidak berbahaya untuk tujuan pengelogan. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan ini dengan menyesuaikan tanda tangan khusus ini ke mode "Peringatan dan Tolak". |
| TELNET | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan TELNET. Kategori ini juga mencakup aturan yang mendeteksi aktivitas TELNET tidak berbahaya untuk tujuan pengelogan. |
| TFTP | Kategori ini untuk tanda tangan yang terkait dengan serangan, eksploitasi, dan kerentanan yang terkait dengan Trivial File Transport Protokol (TFTP). Kategori ini juga mencakup aturan yang mendeteksi aktivitas TFTP tidak berbahaya untuk tujuan pengelogan. |
| TOR | Kategori ini untuk tanda tangan terhadap identifikasi lalu lintas ke dan dari node keluar TOR berdasarkan alamat IP. Catatan: Semua tanda tangan dalam kategori ini didefinisikan sebagai "Hanya Peringatan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan ini tidak akan diblokir meskipun mode IDPS diatur ke "Peringatan dan Tolak". Pelanggan dapat mengesampingkan perilaku ini dengan menyesuaikan tanda tangan kustom ini ke mode "Peringatan dan Tolak". |
| Agen Pengguna | Kategori ini untuk tanda tangan yang akan mendeteksi agen pengguna yang mencurigakan dan anomali. Agen pengguna berbahaya yang diketahui ditempatkan dalam kategori Malware. |
| VOIP | Kategori ini untuk tanda tangan terhadap serangan dan kerentanan yang terkait dengan Voice over IP (VOIP) meliputi SIP, H.323, dan RTP. |
| Klien Web | Kategori ini untuk tanda tangan terhadap serangan dan kerentanan yang terkait dengan klien web seperti browser web dan juga aplikasi sisi klien seperti CURL, WGET, dan lain-lain. |
| Server Web | Kategori ini untuk tanda tangan yang akan mendeteksi serangan terhadap infrastruktur server web seperti APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS), dan perangkat lunak server web lainnya. |
| Aplikasi Khusus Web | Kategori ini untuk tanda tangan yang akan mendeteksi serangan dan kerentanan dalam aplikasi web tertentu. |
| WORM | Kategori ini untuk tanda tangan yang akan mendeteksi aktivitas berbahaya, yang secara otomatis menyebar di internet atau dalam jaringan dengan mengeksploitasi kerentanan yang diklasifikasikan sebagai kategori WORM. Sementara eksploitasi yang sebenarnya itu sendiri biasanya akan diidentifikasi dalam Eksploitasi atau kategori protokol yang ditentukan, entri lain dalam kategori ini dapat dibuat jika malware sebenarnya yang terlibat dalam propagasi seperti worm dapat diidentifikasi juga. |
Langkah berikutnya
- Untuk mempelajari selengkapnya tentang fitur Azure Firewall Premium, lihat fitur Azure Firewall Premium.