Azure Firewall IDPS のシグネチャ規則のカテゴリ
Azure Firewall の IDPS には、個別のシグネチャに割り当てることができる 50 を超えるカテゴリが用意されています。 次の表に、各カテゴリの定義の一覧を示します。
Categories
| カテゴリ | 説明 |
|---|---|
| 3CORESec | このカテゴリは、3CORESec チームの IP ブロックリストから自動的に生成されるシグネチャのためのものです。 これらのブロックリストは、そのハニーポットからの悪意のあるアクティビティに基づいて 3CORESec によって生成されます。 |
| ActiveX | このカテゴリは、Microsoft ActiveX コントロールに対する攻撃および ActiveX コントロールの脆弱性を狙った悪用から保護するシグネチャのためのものです。 |
| Adware-PUP | このカテゴリは、広告トラッキングやその他の種類のスパイウェア関連の活動に使用されるソフトウェアを識別するためのシグネチャ用です。 |
| 攻撃への対応 | このカテゴリは、侵入を示す応答を識別するためのシグネチャ用です。例には、LMHost ファイルのダウンロード、特定の Web バナーの存在、Metasploit Meterpreter kill コマンドの検出が含まれますが、これらに限定されるものではありません。 これらのシグネチャは、成功した攻撃の結果を取得するように設計されています。 id=root や、侵害が発生した可能性を示すエラー メッセージなどがあります。 |
| Botcc (ボット コマンド アンド コントロール) | このカテゴリは、既知で確認済みのアクティブなボットネットおよびその他のコマンド アンド コントロール (C2) ホストのいくつかのソースから自動生成されるシグネチャのためのものです。 このカテゴリは毎日更新されます。 このカテゴリのプライマリ データ ソースは Shadowserver.org. です |
| グループ化された Botcc ポート | このカテゴリは、Botcc カテゴリに含まれているが、宛先ポート別にグループ化されたもののようなシグネチャ用です。 ポート別にグループ化されたルールは、ポート別にグループ化されていないルールよりも忠実度が高くなります。 |
| チャット | このカテゴリは、インターネット リレー チャット (IRC) などの多くのチャット クライアントに関連するトラフィックを識別するシグネチャのためのものです。 チャット トラフィックは、脅威アクターが行っている可能性があるチェックイン活動の徴候を示していることがあります。 |
| CIArmy | このカテゴリは、ブロックのための集合的インテリジェンスの IP 規則を使用して生成されるシグネチャのためのものです。 |
| コイン マイニング | このカテゴリは、コイン マイニングを行うマルウェアを検出する規則を含むシグネチャのためのものです。 これらのシグネチャでは、正当な (しかし多くの場合は望ましくない) コイン マイニング ソフトウェアを検出することもできます。 |
| 危害を受けた | このカテゴリは、既知の危害を受けたホストの一覧に基づくシグネチャのためのものです。 この一覧は、毎日確認されて更新されます。 このカテゴリのシグネチャは、データ ソースに応じて、1 件から数百件の規則が含まれることがあります。 このカテゴリのデータ ソースは、非公開だが信頼性の高い複数のデータ ソースから取得されます。 |
| 現在のイベント | このカテゴリは、アクティブな短期のキャンペーンや、一時的なものと見込まれる注目を集めた項目に対応して開発された規則を含むシグネチャのためのものです。 1 つの例として、障害に関連する不正アクセスのキャンペーンが挙げられます。 このカテゴリの規則は、ルールセットに長期間保持するためのものではなく、追加を検討する前にさらなるテストが必要になるものでもありません。 多くの場合、これらはその日のストーム バイナリ URL の単純なシグネチャで、攻撃についての詳細が不明な新たに検出された脆弱なアプリの CLSID をキャッチするためのシグネチャです。 |
| DNS (ドメイン ネーム サービス) | このカテゴリは、DNS に関する攻撃と脆弱性の規則を含むシグネチャのためのものです。 このカテゴリは、トンネリングなどの DNS の不正使用に関連する規則にも使用されます。 |
| DOS | このカテゴリは、サービス拒否 (DoS) の試行を検出するシグネチャのためのものです。 これらの規則は、受信 DoS アクティビティをキャッチし、送信 DoS アクティビティを示すことを目的としています。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| Drop | このカテゴリは、Spamhaus DROP (Don’t Route or Peer) の一覧で IP アドレスをブロックするためのシグネチャ用です。 このカテゴリの規則は毎日更新されます。 |
| Dshield | このカテゴリは、Dshield によって識別される攻撃者に基づくシグネチャのためのものです。 このカテゴリの規則は、DShield の上位攻撃者一覧から毎日更新されます。 |
| エクスプロイト | このカテゴリは、特定のサービス カテゴリで扱われていない直接の悪用から保護するシグネチャのためのものです。 このカテゴリは、Microsoft Windows などの脆弱性に対する特定の攻撃が検出される場所です。 SQL インジェクションなどの独自のカテゴリの攻撃には、それら独自のカテゴリがあります。 |
| エクスプロイト キット | このカテゴリは、インフラストラクチャおよび配信のエクスプロイトキットに関するアクティビティを検出するためのシグネチャのためのものです。 |
| FTP | このカテゴリは、ファイル転送プロトコル (FTP) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のためにログインなど、悪意のない FTP アクティビティを検出する規則も含まれます。 |
| ゲーム | このカテゴリは、ゲームのトラフィックとそれらのゲームに対する攻撃を識別するシグネチャのためのものです。 この規則では、World of Warcraft や Starcraft などの人気のあるオンライン ゲームなどが対象となります。 ゲームとそのトラフィックは悪意のあるものではありませんが、多くの場合は望ましくなく、企業ネットワークのポリシーによって禁止されています。 |
| 検出 | このカテゴリは、他のシグネチャと突き合わせた場合に、環境内での脅威ハンティングに役立つ可能性があるインジケーターを提供するシグネチャのためのものです。 これらの規則は、正当なトラフィックに対して偽陽性をもたらし、パフォーマンスを妨げる可能性があります。 これらは、環境内の潜在的な脅威を積極的に調査する場合にのみ使用することをお勧めします。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| ICMP | このカテゴリは、インターネット制御メッセージ プロトコル (ICMP) に関する攻撃や脆弱性に関連するシグネチャのためのものです。 |
| ICMP_info | このカテゴリは、ICMP プロトコル固有のイベントに関連するシグネチャのためのもので、通常はログ記録のための通常の操作に関連付けられています。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| IMAP | このカテゴリは、インターネット メッセージ アクセス プロトコル (IMAP) に関する攻撃、エクスプロイト、脆弱性に関連するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない IMAP アクティビティを検出する規則も含まれています。 |
| 不適切 | このカテゴリは、作業環境に対して不適切なポルノなどのサイトに関連する潜在的なアクティビティを識別することを目的としたシグネチャのためのものです。 警告: このカテゴリは、パフォーマンスに大きな影響を与え、偽陽性が高い割合で発生する可能性があります。 |
| Info | このカテゴリは、相関関係や興味深いアクティビティを特定するのに役立つ監査レベルのイベントを提供するのに役立つシグネチャのためのもので、これらは特に悪意があるわけではありませんが、マルウェアやその他の脅威でよく見られる場合があります。 たとえば、ドメイン名ではなく IP アドレスを使用して、実行可能ファイルを HTTP 経由でダウンロードする場合などがあります。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| JA3 | このカテゴリは、JA3 ハッシュを使用して、悪意のある SSL 証明書のフィンガープリントを作成するためのシグネチャ用です。 これらの規則は、クライアントとサーバーの両方による SSL ハンドシェイク ネゴシエーションに含まれるパラメーターに基づいています。 これらの規則は偽陽性が高くなる可能性がありますが、脅威ハンティングやマルウェア デトネーション環境に役立ちます。 |
| マルウェア | このカテゴリは、悪意のあるソフトウェアを検出することを目的としたシグネチャのためのものです。 このカテゴリの規則では、転送中のマルウェア、アクティブなマルウェア、マルウェアの感染、マルウェア攻撃、マルウェアの更新など、ネットワーク上で検出された悪意のあるソフトウェアに関連するアクティビティが検出されます。 これは非常に重要なカテゴリで、実行することを強くお勧めします。 |
| その他 | このカテゴリは、他のカテゴリで扱われていないシグネチャのためのものです。 |
| モバイル マルウェア | このカテゴリは、Google Android や Apple iOS など、モバイルおよびタブレット オペレーティング システムに関連付けられているマルウェアを示すシグネチャのためものもです。 検出されてモバイル オペレーティング システムに関連付けられたマルウェアは、「マルウェア」のような標準的なカテゴリではなく、通常はこのカテゴリに配置されます。 |
| NetBIOS | このカテゴリは、NetBIOS に関連付けられた攻撃、エクスプロイ、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない NetBIOS アクティビティを検出する規則も含まれています。 |
| P2P | このカテゴリは、ピア ツー ピア (P2P) トラフィックおよびそのトラフィックへの攻撃の識別用のシグネチャのためのものです。 識別された P2P トラフィックには、torrents、edonkey、Bittorrent、Gnutella、Limewire などが含まれます。 P2P トラフィックは本質的に悪意のあるトラフィックではありませんが、多くの場合は企業にとって注目すべきものです。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| フィッシング | このカテゴリは、資格情報のフィッシング アクティビティを検出するシグネチャのためのものです。 これには、資格情報のフィッシングを表示するランディング ページや、資格情報のフィッシング サイトへの資格情報の送信成功が含まれます。 |
| ポリシー | このカテゴリは、組織のポリシーに違反していることを示している可能性があるシグネチャのためのものです。 これには、不正使用されやすいプロトコルや、関心のあるその他のアプリケーション レベルのトランザクションなどが含まれることがあります。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、これをオーバーライドできます。 |
| POP3 | このカテゴリは、Post Office Protocol 3.0 (POP3) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない POP3 アクティビティを検出する規則も含まれています。 |
| RPC | このカテゴリは、リモート プロシージャ コール (RPC) に関しての攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない RPC アクティビティを検出する規則も含まれています。 |
| SCADA | このカテゴリは、監視制御とデータ取得 (SCADA) に関連する攻撃、悪用、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない SCADA アクティビティを検出する規則も含まれています。 |
| SCAN | このカテゴリは、Nessus や Nikto などのポート スキャン ツールからの偵察とプローブを検出するためのシグネチャ用です。 このカテゴリは、組織内での早期の侵害アクティビティと感染後の侵入拡大を検出するために役立ちます。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、これをオーバーライドできます。 |
| シェル コード | このカテゴリは、リモート シェル コードの検出用のシグネチャのためのものです。 リモート シェル コードは、攻撃者がローカル ネットワークまたはイントラネット上の別のコンピューターで実行されている脆弱なプロセスをターゲットにする場合に使用されます。 正常に実行された場合、シェル コードによって、攻撃者がネットワーク経由でターゲット コンピューターにアクセスできる可能性があります。 リモート シェル コードでは通常、標準の TCP/IP ソケット接続を使用して、攻撃者がターゲット コンピューター上のシェルにアクセスできます。 このようなシェル コードは、この接続が設定される方法に基づいて分類できます。シェル コードによってこの接続を確立できる場合は、シェル コードによって攻撃者のコンピューターに逆に接続されるため、"リバース シェル" または "コネクトバック" シェル コードと呼ばれます。 |
| SMTP | このカテゴリは、簡易メール転送プロトコル (SMTP) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない SMTP アクティビティを検出する規則も含まれています。 |
| SNMP | このカテゴリは、簡易ネットワーク管理プロトコル (SNMP) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない SNMP アクティビティを検出する規則も含まれています。 |
| SQL | このカテゴリは、構造化照会言語 (SQL) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない SQL アクティビティを検出する規則も含まれています。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、これをオーバーライドできます。 |
| Telnet | このカテゴリは、TELNET に関連付けられた攻撃、エクスプロイ、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない TELNET アクティビティを検出する規則も含まれています。 |
| TFTP | このカテゴリは、簡易ファイル転送プロトコル (TFTP) に関連付けられた攻撃、エクスプロイト、脆弱性に関するシグネチャのためのものです。 このカテゴリには、ログ記録のための悪意のない TFTP アクティビティを検出する規則も含まれています。 |
| TOR | このカテゴリは、IP アドレスに基づいて TOR 出口ノードとの間のトラフィックを識別するシグネチャのためのものです。 注: このカテゴリのすべてのシグネチャは [警告のみ] として定義されるため、既定では、IDPS モードが [アラートを出して拒否] に設定されていても、これらのシグネチャと一致するトラフィックはブロックされません。 お客様は、これらの特定のシグネチャを [アラートを出して拒否] モードにカスタマイズすることで、この動作をオーバーライドできます。 |
| ユーザー エージェント | このカテゴリは、疑わしいか異常なユーザー エージェントを検出するためのシグネチャ用です。 既知の悪意のあるユーザー エージェントは「マルウェア」カテゴリに配置されます。 |
| VOIP | このカテゴリは、特に SIP、H.323、RTP など、Voice over IP (VOIP) に関連する攻撃と脆弱性に対するシグネチャのためのものです。 |
| Web クライアント | このカテゴリは、Web ブラウザーなどの Web クライアントや、CURL、WGET などのクライアント側アプリケーションに関連付けられている攻撃と脆弱性に対するシグネチャのためのものです。 |
| Web サーバー | このカテゴリは、APACHE、TOMCAT、NGINX、Microsoft インターネット インフォメーション サービス (IIS)、その他の Web サーバー ソフトウェアなどの Web サーバー インフラストラクチャに対する攻撃を検出するためのシグネチャ用です。 |
| Web 固有のアプリ | このカテゴリは、特定の Web アプリケーションでの攻撃と脆弱性を検出するためのシグネチャ用です。 |
| WORM | このカテゴリは、脆弱性を悪用してインターネットまたはネットワーク内に自動的に広まろうとする悪意のあるアクティビティを検出するためのシグネチャ用で、これらは WORM カテゴリとして分類されます。 実際の悪用自体は、エクスプロイトまたは所定のプロトコル カテゴリで通常識別されますが、ワームのような伝播を行っている実際のマルウェアも特定できる場合は、このカテゴリにもエントリが行われることがあります。 |
次のステップ
- Azure Firewall Premium の機能の詳細については、Azure Firewall Premium の機能に関するページを参照してください。