Peringatan untuk lapisan network Azure
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk lapisan jaringan Azure dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan lapisan jaringan Azure
Detail dan catatan lebih lanjut
Komunikasi Jaringan dengan mesin yang berbahaya telah terdeteksi
(Network_CommunicationWithC2)
Deskripsi: Analisis lalu lintas jaringan menunjukkan bahwa komputer Anda (IP %{Victim IP}) telah berkomunikasi dengan apa yang mungkin merupakan pusat Perintah dan Kontrol. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, aktivitas yang dicurigai mungkin menunjukkan bahwa satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi) telah berkomunikasi dengan apa yang mungkin merupakan pusat Perintah dan Kontrol.
Taktik MITRE: Perintah dan Kontrol
Tingkat keparahan: Sedang
Kemungkinan mesin yang disusupi terdeteksi
(Network_ResourceIpIndicatedAsMalicious)
Deskripsi: Inteligensi ancaman menunjukkan bahwa komputer Anda (di IP %{Machine IP}) mungkin telah disusupi oleh malware tipe Conficker. Conficker adalah worm komputer yang menarget sistem operasi Microsoft Windows dan terdeteksi pertamakali di November 2008. Conficker menginfeksi jutaan komputer termasuk pemerintahan, bisnis, dan komputer rumahan pada lebih dari 200 negara/wilayah. Menjadikannya sebagai infeksi worm komputer terbesar yang diketahui sejak Worm Welchia 2003.
Taktik MITRE: Perintah dan Kontrol
Tingkat keparahan: Sedang
Kemungkinan upaya brute force %{Service name} yang masuk terdeteksi
(Generic_Incoming_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi %{Service Name} masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host} dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). lebih spesifik lagi, sampel data jaringan menunjukkan aktifitas mencurigakan antara %{Start Time}dan %{End Time}End Time} pada port %{Victim Port}. aktifitas ini konsisten dengan upaya brute fornce terhadap server %{Service Name}.
Taktik MITRE: PreAttack
Tingkat keparahan: Informasi
Kemungkinan upaya brute force SQL yang masuk terdeteksi
(SQL_Incoming_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi SQL masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan aktivitas mencurigakan antara %{Start Time} dan %{End Time} pada port %{Port Number} (%{Jenis Layanan SQL}). Aktifitas ini konsisten dengan upaya brute force terhadap server SQL.
Taktik MITRE: PreAttack
Tingkat keparahan: Sedang
Kemungkinan serangan penolakan layanan keluar telah terdeteksi
(DDOS)
Deskripsi: Analisis lalu lintas jaringan mendeteksi aktivitas keluar anomali yang berasal dari %{Compromised Host}, sumber daya dalam penyebaran Anda. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda disusupi dan sekarang terlibat dalam serangan penolakan layanan terhadap titik akhir eksternal. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, aktivitas yang dicurigai mungkin menunjukkan bahwa satu atau beberapa sumber daya di kumpulan backend telah disusupi (dari load balancer atau gateway aplikasi). Berdasarkan dari volume koneksi, kami percaya bahwa IP yang telah disebut mungkin merupakan target dari serangan DOS %{Possible Victims}. Perhatikan bahwa ada kemungkinan bahwa komunikasi ke beberapa IP ini sah.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Aktifitas jaringan RDP masuk yang mencurigakan dari berbagai sumber
(RDP_Incoming_BF_ManyToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi Protokol Desktop Jauh (RDP) masuk anomali ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari beberapa sumber. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Attacking IPs} IP unik yang terhubung ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan upaya untuk memaksa titik akhir RDP Anda dari beberapa host (Botnet).
Taktik MITRE: PreAttack
Tingkat keparahan: Sedang
Aktivitas jaringan RDP masuk yang mencurigakan
(RDP_Incoming_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi Protokol Desktop Jauh (RDP) masuk anomali ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, data jaringan sampel menunjukkan %{Number of Connections} koneksi masuk ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan upaya untuk memaksa titik akhir RDP Anda
Taktik MITRE: PreAttack
Tingkat keparahan: Sedang
Aktifitas jaringan SSG mencurigakan dari berbagai macam sumber
(SSH_Incoming_BF_ManyToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi SSH masuk anomali ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari beberapa sumber. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Attacking IPs} IP unik yang terhubung ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan upaya untuk memaksa titik akhir SSH Anda dari beberapa host (Botnet)
Taktik MITRE: PreAttack
Tingkat keparahan: Sedang
Aktivitas jaringan SSH masuk yang mencurigakan
(SSH_Incoming_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi SSH masuk anomali ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, data jaringan sampel menunjukkan %{Number of Connections} koneksi masuk ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan upaya untuk memaksa titik akhir SSH Anda
Taktik MITRE: PreAttack
Tingkat keparahan: Sedang
Lalu lintas %{Attacked Protocol} keluar yang mencurigakan terdeteksi
(PortScanning)
Deskripsi: Analisis lalu lintas jaringan mendeteksi lalu lintas keluar yang mencurigakan dari %{Compromised Host} ke port tujuan %{Most Common Port}. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Perilaku ini mungkin menunjukkan bahwa sumber daya Anda mengambil bagian dalam upaya brute force %{Attacked Protocol} atau serangan pembersihan port.
Taktik MITRE: Penemuan
Tingkat keparahan: Sedang
Aktivitas jaringan RDP keluar yang mencurigakan ke beberapa tujuan
(RDP_Outgoing_BF_OneToMany)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi Protokol Desktop Jauh (RDP) keluar anomali ke beberapa tujuan yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan mesin Anda terhubung ke %{Number of Attacked IPs} IP unik, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda disusupi dan sekarang digunakan untuk brute force titik akhir RDP eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal.
Taktik MITRE: Penemuan
Tingkat keparahan: Tinggi
Aktivitas Jaringan RDP keluar yang mencurigakan
(RDP_Outgoing_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi Protokol Desktop Jauh (RDP) keluar anomali ke %{Victim IP} yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Connections} koneksi keluar dari sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa komputer Anda disusupi dan sekarang digunakan untuk brute force titik akhir RDP eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal.
Taktik MITRE: Gerakan Lateral
Tingkat keparahan: Tinggi
Aktivitas jaringan SSH keluar yang mencurigakan ke beberapa tujuan
(SSH_Outgoing_BF_OneToMany)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi SSH keluar anomali ke beberapa tujuan yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan sumber daya Anda terhubung ke %{Number of Attacked IPs} IP unik, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda disusupi dan sekarang digunakan untuk brute force titik akhir SSH eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal.
Taktik MITRE: Penemuan
Tingkat keparahan: Sedang
Aktivitas jaringan SSH keluar yang mencurigakan
(SSH_Outgoing_BF_OneToOne)
Deskripsi: Analisis lalu lintas jaringan mendeteksi komunikasi SSH keluar anomali ke %{Victim IP} yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Connections} koneksi keluar dari sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda disusupi dan sekarang digunakan untuk brute force titik akhir SSH eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal.
Taktik MITRE: Gerakan Lateral
Tingkat keparahan: Sedang
Lalu lintas terdeteksi dari alamat IP yang disarankan untuk memblokir
(Network_TrafficFromUnrecommendedIP)
Deskripsi: Microsoft Defender untuk Cloud mendeteksi lalu lintas masuk dari alamat IP yang direkomendasikan untuk diblokir. Ini biasanya terjadi ketika alamat IP ini tidak berkomunikasi secara teratur dengan sumber daya ini. Atau, alamat IP telah ditandai sebagai berbahaya oleh sumber intelijen ancaman Defender untuk Cloud.
Taktik MITRE: Pemeriksaan
Tingkat keparahan: Informasi
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.