categorie di regole di firma IDPS Firewall di Azure
Firewall di Azure IDPS sono disponibili più di 50 categorie che possono essere assegnate a singole firme. La tabella seguente è un elenco di definizioni per ogni categoria.
Categorie
| Category | Descrizione |
|---|---|
| 3CORESec | Questa categoria riguarda le firme generate automaticamente dagli elenchi di indirizzi IP del team 3CORESec. Questi elenchi di blocchi vengono generati da 3CORESec in base all'attività dannosa dai loro Honeypot. |
| ActiveX | Questa categoria è destinata alle firme che proteggono dagli attacchi contro i controlli Microsoft ActiveX e gli exploit destinati alle vulnerabilità nei controlli ActiveX. |
| Adware-PUP | Questa categoria è destinata alle firme per identificare il software usato per il rilevamento degli annunci o altri tipi di attività correlate allo spyware. |
| Risposta all'attacco | Questa categoria è destinata alle firme per identificare le risposte indicative di intrusioni. Gli esempi includono, a titolo esemplificativo, il download di file LMHost, la presenza di determinati banner Web e il rilevamento del comando Kill di Metasploit Meterpreter. Queste firme sono progettate per rilevare i risultati di un attacco riuscito. Elementi come id=root o messaggi di errore che indicano che è possibile che si sia verificata una compromissione. |
| Botcc (Bot Command and Control) | Questa categoria è destinata alle firme generate automaticamente da diverse origini di botnet attive note e confermate e da altri host Command andControl (C2). Questa categoria viene aggiornata ogni giorno. L'origine dati primaria della categoria è Shadowserver.org. |
| Botcc Port raggruppato | Questa categoria è destinata a firme come quelle della categoria Botcc, ma raggruppate per porta di destinazione. Le regole raggruppate per porta possono offrire una maggiore fedeltà rispetto alle regole non raggruppate per porta. |
| Chat | Questa categoria è destinata alle firme che identificano il traffico correlato a molti client di chat, ad esempio Internet Relay Chat (IRC). Il traffico di chat può essere indicativo di possibile attività di archiviazione da parte degli attori delle minacce. |
| CIArmy | Questa categoria riguarda le firme generate usando le regole IP di Collective Intelligence per il blocco. |
| Mining di monete | Questa categoria è per le firme con regole che rilevano malware, che esegue il mining di monete. Queste firme possono anche rilevare un software di data mining di monete legittimo (anche se spesso indesiderato). |
| Compromessa | Questa categoria è destinata alle firme in base a un elenco di host compromessi noti. Questo elenco viene confermato e aggiornato ogni giorno. Le firme in questa categoria possono variare da una a diverse centinaia di regole a seconda delle origini dati. Le origini dati per questa categoria provengono da diverse origini dati private ma altamente affidabili. |
| Eventi correnti | Questa categoria è destinata alle firme con regole sviluppate in risposta alle campagne attive e di breve durata e agli elementi ad alto profilo che dovrebbero essere temporanei. Un esempio è costituito da campagne di frode correlate alle emergenze. Le regole in questa categoria non devono essere mantenute nel set di regole per molto tempo o che devono essere ulteriormente testate prima di essere considerate per l'inclusione. Spesso queste sono firme semplici per l'URL binario Storm del giorno, le firme per intercettare CLSID di app vulnerabili appena trovate in cui non abbiamo dettagli sull'exploit e così via. |
| DNS (Domain Name Service) | Questa categoria è destinata alle firme con regole per attacchi e vulnerabilità relativi al DNS. Questa categoria viene usata anche per le regole correlate all'abuso di DNS, ad esempio il tunneling. |
| DOS | Questa categoria è relativa alle firme che rilevano i tentativi di Denial of Service (DoS). Queste regole sono destinate a intercettare l'attività DoS in ingresso e fornire un'indicazione dell'attività DoS in uscita. Nota: tutte le firme in questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| Rilascia | Questa categoria consente alle firme di bloccare gli indirizzi IP nell'elenco DROP di Spamhaus (Don't Route o Peer). Le regole in questa categoria vengono aggiornate ogni giorno. |
| Dshield | Questa categoria è destinata alle firme basate su utenti malintenzionati identificati da Dshield. Le regole in questa categoria vengono aggiornate ogni giorno dall'elenco degli utenti malintenzionati principali di DShield, che è affidabile. |
| Exploit | Questa categoria è destinata alle firme che proteggono dagli exploit diretti non altrimenti coperti in una categoria di servizio specifica. Questa categoria è la posizione in cui verranno trovati attacchi specifici contro vulnerabilità, ad esempio contro Microsoft Windows. Gli attacchi con la propria categoria, ad esempio SQL injection, hanno una propria categoria. |
| Exploit-Kit | Questa categoria consente alle firme di rilevare le attività correlate agli Exploit Kit e alla distribuzione. |
| FTP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati al protocollo FTP (File Transfer Protocol). Questa categoria include anche regole che rilevano attività FTP non dannose, ad esempio gli account di accesso a scopo di registrazione. |
| Giochi | Questa categoria è destinata alle firme che identificano il traffico di gioco e gli attacchi contro tali giochi. Le regole coprono giochi come World of Warcraft, Starcraft e altri giochi online popolari. Anche se i giochi e il traffico non sono dannosi, sono spesso indesiderati e vietati dai criteri sulle reti aziendali. |
| Ricerca | Questa categoria è destinata alle firme che forniscono indicatori che, se confrontati con altre firme, possono essere utili per la ricerca di minacce in un ambiente. Queste regole possono fornire falsi positivi sul traffico legittimo e inibire le prestazioni. Sono consigliati solo per l'uso durante la ricerca attiva di potenziali minacce nell'ambiente. Nota: tutte le firme in questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| ICMP | Questa categoria riguarda le firme correlate ad attacchi e vulnerabilità relativi a Internet Control Message Protocol (ICMP). |
| ICMP_info | Questa categoria riguarda le firme correlate agli eventi specifici del protocollo ICMP, in genere associati alle normali operazioni a scopo di registrazione. Nota: tutte le firme in questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| IMAP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità relativi al protocollo IMAP (Internet Message Access Protocol). Questa categoria include anche regole che rilevano attività IMAP non dannose a scopo di registrazione. |
| Inappropriato | Questa categoria è destinata alle firme per identificare le attività potenzialmente correlate a siti pornografici o altrimenti non appropriati per un ambiente di lavoro. Avviso: questa categoria può avere un impatto significativo sulle prestazioni e un tasso elevato di falsi positivi. |
| Info | Questa categoria è destinata alle firme che consentono di fornire eventi a livello di controllo utili per la correlazione e l'identificazione di attività interessanti, che potrebbero non essere intrinsecamente dannose, ma viene spesso osservato in malware e altre minacce. Ad esempio, il download di un eseguibile su HTTP per indirizzo IP anziché per nome di dominio. Nota: tutte le firme in questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| JA3 | Questa categoria riguarda le firme per l'impronta digitale di certificati SSL dannosi che usano hash JA3. Queste regole si basano su parametri inclusi nella negoziazione dell'handshake SSL da parte di client e server. Queste regole possono avere un alto tasso di falsi positivi, ma possono essere utili per la ricerca di minacce o gli ambienti di detonazione malware. |
| Malware | Questa categoria consente alle firme di rilevare software dannoso. Le regole in questa categoria rilevano attività correlate al software dannoso rilevato nella rete, tra cui malware in transito, malware attivo, infezioni malware, attacchi malware e aggiornamento di malware. Questa è anche una categoria estremamente importante ed è altamente consigliabile eseguirla. |
| Varie | Questa categoria è per le firme non coperte in altre categorie. |
| Malware per dispositivi mobili | Questa categoria è per le firme che indicano malware associati a sistemi operativi per dispositivi mobili e tablet come Google Android, Apple iOS e altri. Il malware rilevato e associato ai sistemi operativi mobili verrà in genere inserito in questa categoria anziché nelle categorie standard come Malware. |
| NETBIOS | Questa categoria è destinata alle firme correlate a attacchi, exploit e vulnerabilità associate a NetBIOS. Questa categoria include anche regole che rilevano attività NetBIOS non dannose a scopo di registrazione. |
| P2P | Questa categoria è per le firme per l'identificazione del traffico peer-to-peer (P2P) e attacchi contro di esso. Il traffico P2P identificato include torrenti, edonkey, Bittorrent, Gnutella e Limewire tra gli altri. Il traffico P2P non è intrinsecamente dannoso, ma spesso è importante per le aziende. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e negazione". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e nega". |
| Phishing | Questa categoria è per le firme che rilevano l'attività di phishing delle credenziali. Sono incluse le pagine di destinazione che visualizzano il phishing delle credenziali e l'invio riuscito delle credenziali nei siti di phishing delle credenziali. |
| Criteri | Questa categoria è per le firme che possono indicare violazioni ai criteri di un'organizzazione. Ciò può includere protocolli soggetti ad abusi e altre transazioni a livello di applicazione, che possono essere di interesse. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e negazione". I clienti possono eseguire l'override di questa operazione personalizzando queste firme specifiche in modalità "Avviso e negazione". |
| POP3 | Questa categoria è destinata alle firme correlate agli attacchi, agli exploit e alle vulnerabilità associate a Post Office Protocol 3.0 (POP3). Questa categoria include anche regole che rilevano attività POP3 non dannose a scopo di registrazione. |
| RPC | Questa categoria è relativa alle firme correlate ad attacchi, exploit e vulnerabilità relativi alla chiamata di routine remota (RPC). Questa categoria include anche regole che rilevano attività RPC non dannose a scopo di registrazione. |
| SCADA | Questa categoria è destinata alle firme correlate agli attacchi, agli exploit e alle vulnerabilità associate al controllo di supervisione e all'acquisizione dei dati (SCADA). Questa categoria include anche regole che rilevano attività SCADA non dannose a scopo di registrazione. |
| SCAN | Questa categoria è destinata alle firme per rilevare la ricognizione e la ricerca da strumenti come Nessus, Nikto e altri strumenti di analisi delle porte. Questa categoria può essere utile per rilevare l'attività di violazione anticipata e il movimento laterale post-infezione all'interno di un'organizzazione. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e negazione". I clienti possono eseguire l'override di questa operazione personalizzando queste firme specifiche in modalità "Avviso e negazione". |
| Codice della shell | Questa categoria è per le firme per il rilevamento del codice della shell remota. Il codice della shell remota viene usato quando un utente malintenzionato vuole indirizzare un processo vulnerabile in esecuzione in un altro computer in una rete locale o in una intranet. Se eseguito correttamente, il codice della shell può fornire all'utente malintenzionato l'accesso al computer di destinazione in tutta la rete. I codici della shell remota usano normalmente connessioni socket TCP/IP standard per consentire all'utente malintenzionato l'accesso alla shell nel computer di destinazione. Tale codice della shell può essere classificato in base alla modalità di configurazione della connessione: se il codice della shell può stabilire questa connessione, viene chiamato "shell inversa" o un codice della shell "connect back" perché il codice della shell si connette nuovamente al computer dell'utente malintenzionato. |
| SMTP | Questa categoria è relativa alle firme correlate agli attacchi, agli exploit e alle vulnerabilità associate a Simple Mail Transfer Protocol (SMTP). Questa categoria include anche regole che rilevano attività SMTP non dannose a scopo di registrazione. |
| SNMP | Questa categoria è relativa alle firme correlate agli attacchi, agli exploit e alle vulnerabilità associate a Simple Network Management Protocol (SNMP). Questa categoria include anche regole che rilevano attività SNMP non dannose a scopo di registrazione. |
| SQL | Questa categoria è relativa alle firme correlate a attacchi, exploit e vulnerabilità associate a Structured Query Language (SQL). Questa categoria include anche regole che rilevano attività SQL non dannose a scopo di registrazione. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e negazione". I clienti possono eseguire l'override di questa operazione personalizzando queste firme specifiche in modalità "Avviso e negazione". |
| TELNET | Questa categoria è relativa alle firme correlate a attacchi, exploit e vulnerabilità associate a TELNET. Questa categoria include anche regole che rilevano attività TELNET non dannose a scopo di registrazione. |
| TFTP | Questa categoria è destinata alle firme correlate agli attacchi, agli exploit e alle vulnerabilità associate al protocollo TFTP (Trivial File Transport Protocol). Questa categoria include anche regole che rilevano attività TFTP nonmalici per scopi di registrazione. |
| TOR | Questa categoria è destinata alle firme per l'identificazione del traffico verso e dai nodi di uscita toR in base all'indirizzo IP. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e negazione". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e nega". |
| Agenti utente | Questa categoria è destinata alle firme per rilevare agenti utente sospetti e anomali. Gli agenti utente malintenzionati noti vengono inseriti nella categoria Malware. |
| VOIP | Questa categoria è destinata alle firme per gli attacchi e le vulnerabilità associate a Voice over IP (VOIP), tra cui SIP, H.323 e RTP. |
| Client Web | Questa categoria è destinata a firme per attacchi e vulnerabilità associati a client Web, ad esempio web browser e applicazioni lato client come CURL, WGET e altri. |
| Server web | Questa categoria consente alle firme di rilevare gli attacchi contro l'infrastruttura server Web, ad esempio APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) e altri software server Web. |
| App specifiche Web | Questa categoria è destinata alle firme per rilevare attacchi e vulnerabilità in applicazioni Web specifiche. |
| VERME | Questa categoria è destinata alle firme per rilevare attività dannose che tentano automaticamente di diffondere su Internet o all'interno di una rete sfruttando una vulnerabilità vengono classificate come categoria WORM. Sebbene l'effettivo exploit stesso venga in genere identificato nella categoria exploit o protocollo specificato, un'altra voce in questa categoria può essere effettuata anche se il malware effettivo che si impegna nella propagazione del worm può essere identificato anche. |
Passaggi successivi
- Per altre informazioni sulle funzionalità Firewall di Azure Premium, vedere funzionalità Firewall di Azure Premium.