Azure Firewall IDPS-handtekeningregelcategorieën
Azure Firewall IDPS bevat meer dan 50 categorieën die kunnen worden toegewezen aan afzonderlijke handtekeningen. De volgende tabel bevat een lijst met definities voor elke categorie.
Categorieën
Categorie | Beschrijving |
---|---|
3CORESec | Deze categorie is voor handtekeningen die automatisch worden gegenereerd op basis van de IP-blokkeringslijsten van het 3CORESec-team. Deze blokkeringslijsten worden gegenereerd door 3CORESec op basis van schadelijke activiteiten van hun Honeypots. |
ActiveX | Deze categorie is bedoeld voor handtekeningen die bescherming bieden tegen aanvallen tegen Microsoft ActiveX-besturingselementen en aanvallen die gericht zijn op beveiligingsproblemen in ActiveX-besturingselementen. |
Adware-PUP | Deze categorie is bedoeld voor handtekeningen om software te identificeren die wordt gebruikt voor het bijhouden van advertenties of andere soorten spywaregerelateerde activiteiten. |
Reactie op aanvallen | Deze categorie is bedoeld voor handtekeningen om reacties te identificeren die duiden op inbraak. Voorbeelden zijn onder andere het downloaden van LMHost-bestanden, de aanwezigheid van bepaalde webbanners en de detectie van de metasploit Meterpreter-kill-opdracht. Deze handtekeningen zijn ontworpen om de resultaten van een geslaagde aanval te ondervangen. Zaken als id=root of foutberichten die aangeven dat er mogelijk een inbreuk is opgetreden. |
BotCC (Opdracht en beheer van bot) | Deze categorie is voor handtekeningen die automatisch worden gegenereerd uit verschillende bronnen van bekende en bevestigde actieve botnet- en andere Command andControl-hosts (C2). Deze categorie wordt dagelijks bijgewerkt. De primaire gegevensbron van de categorie is Shadowserver.org. |
Botcc-poort gegroepeerd | Deze categorie is bedoeld voor handtekeningen zoals die in de categorie Botcc, maar gegroepeerd op doelpoort. Regels gegroepeerd op poort kunnen een hogere betrouwbaarheid bieden dan regels die niet zijn gegroepeerd op poort. |
Chat | Deze categorie is voor handtekeningen waarmee verkeer wordt geïdentificeerd met betrekking tot veel chatclients, zoals Internet Relay Chat (IRC). Chatverkeer kan duiden op mogelijke incheckactiviteiten door bedreigingsactoren. |
CIArmy | Deze categorie is voor handtekeningen die worden gegenereerd met behulp van DE IP-regels van Collective Intelligence voor blokkering. |
Muntanalyse | Deze categorie is voor handtekeningen met regels die malware detecteren, die muntanalyses uitvoeren. Deze handtekeningen kunnen ook legitieme (hoewel vaak ongewenste) muntanalysesoftware detecteren. |
Gecompromitteerd | Deze categorie is voor handtekeningen op basis van een lijst met bekende gecompromitteerde hosts. Deze lijst wordt dagelijks bevestigd en bijgewerkt. De handtekeningen in deze categorie kunnen variëren van één tot enkele honderden regels, afhankelijk van de gegevensbronnen. De gegevensbronnen voor deze categorie zijn afkomstig uit verschillende persoonlijke, maar zeer betrouwbare gegevensbronnen. |
Huidige gebeurtenissen | Deze categorie is bedoeld voor handtekeningen met regels die zijn ontwikkeld als reactie op actieve en kortdurende campagnes en belangrijke items die naar verwachting tijdelijk zijn. Een voorbeeld hiervan zijn fraudecampagnes met betrekking tot rampen. De regels in deze categorie zijn niet bedoeld om lang in de regelset te worden bewaard of die verder moeten worden getest voordat ze in aanmerking komen voor opname. Meestal zijn dit eenvoudige handtekeningen voor de binaire URL van Storm van de dag, handtekeningen om CLSSID's van nieuw gevonden kwetsbare apps te ondervangen waar we geen details over de aanval hebben, enzovoort. |
DNS (Domain Name Service) | Deze categorie is voor handtekeningen met regels voor aanvallen en beveiligingsproblemen met betrekking tot DNS. Deze categorie wordt ook gebruikt voor regels met betrekking tot misbruik van DNS, zoals tunneling. |
DOS | Deze categorie is voor handtekeningen waarmee DoS-pogingen (Denial of Service) worden gedetecteerd. Deze regels zijn bedoeld om binnenkomende DoS-activiteit te ondervangen en een indicatie te geven van uitgaande DoS-activiteit. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwingen. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en Weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
Drop | Deze categorie is bedoeld voor handtekeningen om IP-adressen in de spamhaus DROP-lijst (Niet routeren of peeren) te blokkeren. De regels in deze categorie worden dagelijks bijgewerkt. |
Dshield | Deze categorie is voor handtekeningen op basis van aanvallers die zijn geïdentificeerd door Dshield. De regels in deze categorie worden dagelijks bijgewerkt vanuit de lijst met belangrijkste aanvallers van DShield, die betrouwbaar is. |
Exploiteren | Deze categorie is bedoeld voor handtekeningen die bescherming bieden tegen directe aanvallen die anderszins niet worden gedekt in een specifieke servicecategorie. In deze categorie vindt u specifieke aanvallen op beveiligingsproblemen, zoals tegen Microsoft Windows. Aanvallen met een eigen categorie, zoals SQL-injectie, hebben hun eigen categorie. |
Exploit-Kit | Deze categorie is bedoeld voor handtekeningen om activiteiten te detecteren met betrekking tot de infrastructuur en levering van Exploit Kits. |
FTP | Deze categorie is voor handtekeningen die betrekking hebben op aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan het File Transfer Protocol (FTP). Deze categorie bevat ook regels voor het detecteren van niet-schadelijke FTP-activiteiten, zoals aanmeldingen voor logboekregistratiedoeleinden. |
Games | Deze categorie is voor handtekeningen die het verkeer van games en aanvallen op deze games identificeren. De regels hebben betrekking op games zoals World of Warcraft, Starcraft en andere populaire online games. Hoewel de games en het bijbehorende verkeer niet schadelijk zijn, zijn ze vaak ongewenst en verboden door het beleid op bedrijfsnetwerken. |
Zoeken | Deze categorie is bedoeld voor handtekeningen die indicatoren bieden die, wanneer ze worden vergeleken met andere handtekeningen, nuttig kunnen zijn voor het opsporen van bedreigingen in een omgeving. Deze regels kunnen fout-positieven geven voor legitiem verkeer en de prestaties belemmeren. Ze worden alleen aanbevolen voor gebruik bij het actief onderzoeken van mogelijke bedreigingen in de omgeving. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwingen. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en Weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
ICMP | Deze categorie is voor handtekeningen die betrekking hebben op aanvallen en beveiligingsproblemen met betrekking tot Internet Control Message Protocol (ICMP). |
ICMP_info | Deze categorie is bedoeld voor handtekeningen die betrekking hebben op icmp-protocolspecifieke gebeurtenissen, meestal gekoppeld aan normale bewerkingen voor logboekregistratiedoeleinden. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwingen. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en Weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
IMAP | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen met Betrekking tot Internet Message Access Protocol (IMAP). Deze categorie bevat ook regels voor het detecteren van niet-kwaadaardige IMAP-activiteit voor logboekregistratiedoeleinden. |
Ongepast | Deze categorie is bedoeld voor handtekeningen om mogelijke activiteiten te identificeren met betrekking tot sites die pornografisch zijn of anderszins niet geschikt zijn voor een werkomgeving. Waarschuwing: deze categorie kan een aanzienlijke invloed hebben op de prestaties en een hoog aantal fout-positieven. |
Info | Deze categorie is bedoeld voor handtekeningen om gebeurtenissen op controleniveau te bieden die nuttig zijn voor correlatie en het identificeren van interessante activiteiten, die mogelijk niet inherent schadelijk zijn, maar vaak worden waargenomen in malware en andere bedreigingen. Bijvoorbeeld het downloaden van een uitvoerbaar bestand via HTTP op IP-adres in plaats van domeinnaam. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwingen. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en Weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
JA3 | Deze categorie is bedoeld voor handtekeningen voor het maken van vingerafdruk van schadelijke SSL-certificaten met behulp van JA3-hashes. Deze regels zijn gebaseerd op parameters die zich in de SSL-handshake-onderhandeling door zowel clients als servers bevinden. Deze regels kunnen een hoog aantal fout-positieven hebben, maar kunnen nuttig zijn voor het opsporen van bedreigingen of omgevingen met malwareontsteking. |
Malware | Deze categorie is bedoeld voor handtekeningen om schadelijke software te detecteren. Regels in deze categorie detecteren activiteiten met betrekking tot schadelijke software die op het netwerk wordt gedetecteerd, waaronder malware die onderweg is, actieve malware, malware-infecties, malwareaanvallen en het bijwerken van malware. Dit is ook een zeer belangrijke categorie en het wordt ten zeerste aanbevolen om deze uit te voeren. |
Div | Deze categorie is bedoeld voor handtekeningen die niet in andere categorieën worden behandeld. |
Mobiele malware | Deze categorie is voor handtekeningen die wijzen op malware die is gekoppeld aan mobiele en tabletbesturingssystemen zoals Google Android, Apple iOS en andere. Malware die wordt gedetecteerd en is gekoppeld aan mobiele besturingssystemen, wordt over het algemeen in deze categorie geplaatst in plaats van in de standaardcategorieën zoals Malware. |
NETBIOS | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan NetBIOS. Deze categorie bevat ook regels die niet-schadelijke NetBIOS-activiteit detecteren voor logboekregistratiedoeleinden. |
P2P | Deze categorie is bedoeld voor handtekeningen voor de identificatie van peer-to-peerverkeer (P2P) en aanvallen hierop. Geïdentificeerd P2P-verkeer omvat onder andere torrents, edonkey, Bittorrent, Gnutella en Limewire. P2P-verkeer is niet inherent schadelijk, maar is vaak opvallend voor ondernemingen. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwen en weigeren'. Klanten kunnen dit gedrag overschrijven door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
Phishing | Deze categorie is bedoeld voor handtekeningen die phishingactiviteit voor referenties detecteren. Dit omvat landingspagina's met referentiephishing en geslaagde indiening van referenties op referentiephishingsites. |
Beleid | Deze categorie is bedoeld voor handtekeningen die kunnen duiden op schendingen van het beleid van een organisatie. Dit kunnen protocollen zijn die gevoelig zijn voor misbruik en andere transacties op toepassingsniveau, die mogelijk van belang zijn. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwen en weigeren'. Klanten kunnen dit overschrijven door deze specifieke handtekeningen aan te passen in de modus 'Waarschuwing en Weigeren'. |
POP3 | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan het Post Office Protocol 3.0 (POP3). Deze categorie bevat ook regels waarmee niet-gemene POP3-activiteit wordt gedetecteerd voor logboekregistratiedoeleinden. |
RPC | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen met betrekking tot Remote Procedure Call (RPC). Deze categorie bevat ook regels die niet-schadelijke RPC-activiteit detecteren voor logboekregistratiedoeleinden. |
SCADA | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan toezichtscontrole en gegevensverwerving (SCADA). Deze categorie bevat ook regels die niet-schadelijke SCADA-activiteit detecteren voor logboekregistratiedoeleinden. |
SCAN | Deze categorie is bedoeld voor handtekeningen voor het detecteren van reconnaissance en het testen van hulpprogramma's zoals Nessus, Nikto en andere hulpprogramma's voor poortscans. Deze categorie kan handig zijn voor het detecteren van vroege inbreukactiviteit en laterale bewegingen na infectie binnen een organisatie. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwen en weigeren'. Klanten kunnen dit overschrijven door deze specifieke handtekeningen aan te passen in de modus 'Waarschuwing en Weigeren'. |
Shell-code | Deze categorie is voor handtekeningen voor detectie van externe shellcode. Externe shellcode wordt gebruikt wanneer een aanvaller zich wil richten op een kwetsbaar proces dat wordt uitgevoerd op een andere computer in een lokaal netwerk of intranet. Als de shell-code is uitgevoerd, kan de aanvaller toegang bieden tot de doelcomputer via het netwerk. Externe shell-codes maken normaal gesproken gebruik van standaard TCP/IP-socketverbindingen om de aanvaller toegang te geven tot de shell op de doelcomputer. Dergelijke shellcode kan worden gecategoriseerd op basis van hoe deze verbinding is ingesteld: als de shellcode deze verbinding tot stand kan brengen, wordt deze een 'reverse shell' of een 'connect back'-shellcode genoemd, omdat de shellcode weer verbinding maakt met de computer van de aanvaller. |
SMTP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan SMTP (Simple Mail Transfer Protocol). Deze categorie bevat ook regels voor het detecteren van niet-schadelijke SMTP-activiteiten voor logboekregistratiedoeleinden. |
SNMP | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan SNMP (Simple Network Management Protocol). Deze categorie bevat ook regels die niet-schadelijke SNMP-activiteit detecteren voor logboekregistratiedoeleinden. |
SQL | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Structured Query Language (SQL). Deze categorie bevat ook regels die niet-schadelijke SQL-activiteiten detecteren voor logboekregistratiedoeleinden. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwen en weigeren'. Klanten kunnen dit overschrijven door deze specifieke handtekeningen aan te passen in de modus 'Waarschuwing en Weigeren'. |
TELNET | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan TELNET. Deze categorie bevat ook regels die niet-schadelijke TELNET-activiteiten detecteren voor logboekregistratiedoeleinden. |
TFTP | Deze categorie is voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Trivial File Transport Protocol (TFTP). Deze categorie bevat ook regels die niet-gemene TFTP-activiteit detecteren voor logboekregistratiedoeleinden. |
TOR | Deze categorie is voor handtekeningen voor de identificatie van verkeer van en naar TOR-afsluitknooppunten op basis van IP-adres. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwen en weigeren'. Klanten kunnen dit gedrag overschrijven door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
Gebruikeragents | Deze categorie is bedoeld voor handtekeningen om verdachte en afwijkende gebruikersagents te detecteren. Bekende schadelijke gebruikersagenten worden in de categorie Malware geplaatst. |
VOIP | Deze categorie is bedoeld voor handtekeningen voor aanvallen en beveiligingsproblemen die zijn gekoppeld aan Voice over IP (VOIP), waaronder SIP, H.323 en RTP. |
Web Client | Deze categorie is bedoeld voor handtekeningen voor aanvallen en beveiligingsproblemen die zijn gekoppeld aan webclients zoals webbrowsers en ook toepassingen aan de clientzijde, zoals CURL, WGET en andere. |
Webserver | Deze categorie is bedoeld voor handtekeningen voor het detecteren van aanvallen op webserverinfrastructuur zoals APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) en andere webserversoftware. |
Webspecifieke apps | Deze categorie is bedoeld voor handtekeningen voor het detecteren van aanvallen en beveiligingsproblemen in specifieke webtoepassingen. |
WORM | Deze categorie is bedoeld voor handtekeningen voor het detecteren van schadelijke activiteiten die zich automatisch proberen te verspreiden over internet of binnen een netwerk door misbruik te maken van een beveiligingsprobleem, worden geclassificeerd als de categorie WORM. Hoewel de daadwerkelijke aanval zelf meestal wordt geïdentificeerd in de categorie Exploit of een gegeven protocol, kan een andere vermelding in deze categorie worden gemaakt als de werkelijke malware die wormachtige doorgifte aangaat, ook kan worden geïdentificeerd. |
Volgende stappen
- Zie Azure Firewall Premium-functies voor meer informatie over Azure Firewall Premium-functies.