Avvisi per il livello di rete di Azure

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per il livello di rete di Azure da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nota

Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

Avvisi del livello di rete di Azure

Altri dettagli e note

Rilevata comunicazione di rete con un computer dannoso

(Network_CommunicationWithC2)

Descrizione: l'analisi del traffico di rete indica che il computer (IP %{vittima IP}) ha comunicato con ciò che è probabilmente un centro di comando e controllo. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) hanno comunicato con un possibile centro di comando e controllo.

Tattiche MITRE: Comando e controllo

Gravità: medio

Rilevato possibile computer compromesso

(Network_ResourceIpIndicatedAsMalicious)

Descrizione: Intelligence per le minacce indica che il computer (all'indirizzo IP %{IP computer}) potrebbe essere stato compromesso da un malware di tipo Conficker. Conficker è worm informatico destinato al sistema operativo Microsoft Windows rilevato per la prima volta nel novembre 2008. Conficker ha infettato milioni di computer governativi, aziendali e domestici in oltre 200 paesi, diventando la più grande infezione da worm informatico dal worm Welchia del 2003.

Tattiche MITRE: Comando e controllo

Gravità: medio

Rilevati possibili tentativi di attacco di forza bruta da %{nome servizio}

(Generic_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione in ingresso %{Nome servizio} a %{IP vittima}, associata alla risorsa %{host compromesso} da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{porta vittima}. L'attività è coerente con i tentativi di attacco di forza bruta ai server %{nome servizio}.

Tattiche MITRE: PreAttack

Gravità: informativo

Rilevati possibili tentativi di attacco di forza bruta a SQL in ingresso

(SQL_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione SQL in ingresso a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{numero di porta} (%{tipo di servizio SQL}). L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL.

Tattiche MITRE: PreAttack

Gravità: medio

Rilevato possibile attacco Denial of Service in uscita

(DDOS)

Descrizione: l'analisi del traffico di rete ha rilevato un'attività in uscita anomale proveniente da %{host compromesso}, una risorsa nella distribuzione. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora impegnata in attacchi Denial of Service contro gli endpoint esterni. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) sono state compromesse. In base al volume delle connessioni, si ritiene che gli IP seguenti possano essere gli obiettivi dell'attacco DOS: %{possibili vittime}. Si noti che è possibile che la comunicazione ad alcuni di questi IP sia legittima.

Tattiche MITRE: Impatto

Gravità: medio

Attività di rete RDP in ingresso sospetta da più origini

(RDP_Incoming_BF_ManyToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP da più host (Botnet).

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete RDP in ingresso sospetta

(RDP_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomale a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete SSH in ingresso sospetta da più origini

(SSH_Incoming_BF_ManyToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associate alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint SSH da più host (Botnet)

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete SSH in ingresso sospetta

(SSH_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associato alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta al punto finale SSH

Tattiche MITRE: PreAttack

Gravità: medio

Rilevato traffico in uscita da %{protocollo attaccato} sospetto

(PortScanning)

Descrizione: l'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso} alla porta di destinazione %{Porta più comune}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Questo comportamento potrebbe indicare che la risorsa partecipa a %{Protocollo attaccato} tentativi di forza bruta o attacchi di sweep delle porte.

Tattiche MITRE: Individuazione

Gravità: medio

Attività di rete RDP in uscita sospetta verso più destinazioni

(RDP_Outgoing_BF_OneToMany)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala a più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che il computer si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Individuazione

Gravità: alta

Attività di rete RDP in uscita sospetta

(RDP_Outgoing_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomale a %{IP vittima} proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che il computer è stato compromesso ed è ora usato per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Movimento laterale

Gravità: alta

Attività di rete SSH in uscita sospetta verso più destinazioni

(SSH_Outgoing_BF_OneToMany)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale verso più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che la risorsa si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Individuazione

Gravità: medio

Attività di rete SSH in uscita sospetta

(SSH_Outgoing_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale a %{IP vittima} provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Movimento laterale

Gravità: medio

Rilevato traffico da indirizzi IP per cui è consigliato il blocco

(Network_TrafficFromUnrecommendedIP)

Descrizione: Microsoft Defender per il cloud rilevato traffico in ingresso da indirizzi IP che è consigliabile bloccare. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud.

Tattiche MITRE: Probing

Gravità: informativo

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi

• Avvisi di sicurezza in Microsoft Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
• Esportazione continua dei dati di Defender per il cloud