Peringatan untuk DNS

Artikel
08/07/2024

Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk DNS dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.

Catatan

Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.

Pelajari cara menanggapi pemberitahuan ini.

Pelajari cara mengekspor pemberitahuan.

Catatan

Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.

Peringatan untuk DNS

Penting

Pada 1 Agustus 2023, pelanggan dengan langganan Defender untuk DNS yang sudah ada dapat terus menggunakan layanan, tetapi pelanggan baru akan menerima pemberitahuan tentang aktivitas DNS yang mencurigakan sebagai bagian dari Defender untuk Server P2.

Detail dan catatan lebih lanjut

Penggunaan protokol jaringan yang tidak wajar

(AzureDNS_ProtocolAnomaly)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan protokol anomali. Lalu lintas seperti itu, meskipun mungkin jinak, mungkin menunjukkan penyalahgunaan protokol umum ini untuk melewati pemfilteran lalu lintas jaringan. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: -

Aktivitas jaringan anonimitas

(AzureDNS_DarkWeb)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas jaringan anonimitas. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering digunakan oleh penyerang untuk menghindari pelacakan dan sidik jari komunikasi jaringan. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Aktivitas jaringan anonimitas menggunakan proxy web

(AzureDNS_DarkWebProxy)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Upaya komunikasi dengan domain tersembunyi yang mencurigakan

(AzureDNS_SinkholedDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk domain sinkholed. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Communication with possible phishing domain

(AzureDNS_PhishingDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk kemungkinan domain pengelabuan. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Komunikasi dengan domain mencurigakan yang dibuat secara algoritme

(AzureDNS_DomainGenerationAlgorithm)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan penggunaan algoritma pembuatan domain. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman

(AzureDNS_ThreatIntelSuspectDomain)

Deskripsi: Komunikasi dengan domain mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkan dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan inteligensi ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi.

Taktik MITRE: Akses Awal

Tingkat keparahan: Sedang

Komunikasi dengan nama domain acak yang mencurigakan

(AzureDNS_RandomizedDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan nama domain yang dihasilkan secara acak yang mencurigakan. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Aktivitas penambangan mata uang digital

(AzureDNS_CurrencyMining)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas penambangan mata uang digital. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang setelah kompromi sumber daya. Aktivitas penyerang terkait yang umum kemungkinan akan mencakup pengunduhan dan eksekusi alat penambangan umum.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Aktivasi tanda tangan deteksi intrusi jaringan

(AzureDNS_SuspiciousDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi tanda tangan jaringan berbahaya yang diketahui. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Kemungkinan pengunduhan data melalui terowongan DNS

(AzureDNS_DataInfiltration)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan terowongan DNS. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringa. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Kemungkinan eksfiltrasi data melalui terowongan DNS

(AzureDNS_DataExfiltration)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Kemungkinan transfer data melalui terowongan DNS

(AzureDNS_DataObfuscation)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Catatan

Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Bagikan melalui

Peringatan untuk DNS

Peringatan untuk DNS

Penggunaan protokol jaringan yang tidak wajar

Aktivitas jaringan anonimitas

Aktivitas jaringan anonimitas menggunakan proxy web

Upaya komunikasi dengan domain tersembunyi yang mencurigakan

Communication with possible phishing domain

Komunikasi dengan domain mencurigakan yang dibuat secara algoritme

Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman

Komunikasi dengan nama domain acak yang mencurigakan

Aktivitas penambangan mata uang digital

Aktivasi tanda tangan deteksi intrusi jaringan

Kemungkinan pengunduhan data melalui terowongan DNS

Kemungkinan eksfiltrasi data melalui terowongan DNS

Kemungkinan transfer data melalui terowongan DNS

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: