Avvisi per DNS
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per DNS da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi per DNS
Importante
Dal 1˚ agosto 2023, i clienti con una sottoscrizione esistente a Defender per DNS possono continuare a usare il servizio, mentre i nuovi sottoscrittori riceveranno avvisi su eventuali attività DNS sospette nell'ambito di Defender per server P2.
Utilizzo anomalo del protocollo di rete
(AzureDNS_ProtocolAnomaly)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un utilizzo anomalo del protocollo. Tale traffico, sebbene possibilmente non dannoso, potrebbe indicare abusi di questo protocollo comune per ignorare il filtro del traffico di rete. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.
Tattiche MITRE: esfiltrazione
Gravità: -
Attività di rete anonimato
(AzureDNS_DarkWeb)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Attività di rete anonima con proxy Web
(AzureDNS_DarkWebProxy)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Tentativo di comunicazione con dominio sinkholed sospetto
(AzureDNS_SinkholedDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per il dominio sinkholed. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.
Tattiche MITRE: esfiltrazione
Gravità: medio
Comunicazione con il possibile dominio di phishing
(AzureDNS_PhishingDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un possibile dominio di phishing. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per raccogliere credenziali per i servizi remoti. È probabile che l'attività correlata tipica degli utenti malintenzionati includa lo sfruttamento di eventuali credenziali nel servizio legittimo.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Comunicazione con un dominio generato in modo algoritmico sospetto
(AzureDNS_DomainGenerationAlgorithm)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile utilizzo di un algoritmo di generazione di dominio. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Comunicazione con un nome di dominio casuale sospetto
(AzureDNS_RandomizedDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato l'utilizzo di un nome di dominio generato in modo casuale sospetto. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Attività di data mining di valuta digitale
(AzureDNS_CurrencyMining)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Attivazione della firma di rilevamento intrusioni di rete
(AzureDNS_SuspiciousDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una firma di rete dannosa nota. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.
Tattiche MITRE: esfiltrazione
Gravità: medio
Possibile download dei dati tramite tunnel DNS
(AzureDNS_DataInfiltration)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Possibile esfiltrazione di dati tramite tunnel DNS
(AzureDNS_DataExfiltration)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Possibile trasferimento dei dati tramite tunnel DNS
(AzureDNS_DataObfuscation)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.