Udostępnij za pośrednictwem


Alerty dla warstwy sieciowej platformy Azure

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla warstwy sieciowej platformy Azure z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Uwaga

Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Uwaga

Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.

Alerty warstwy sieciowej platformy Azure

Dalsze szczegóły i uwagi

Wykryto komunikację sieciową ze złośliwym komputerem

(Network_CommunicationWithC2)

Opis: Analiza ruchu sieciowego wskazuje, że maszyna (ADRES IP %{Victim IP}) komunikowała się z prawdopodobnie centrum poleceń i sterowania. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (moduł równoważenia obciążenia lub bramy aplikacji) komunikował się z tym, co może być centrum poleceń i kontroli.

Taktyka MITRE: Command and Control

Ważność: średni rozmiar

Wykryto możliwe naruszenie zabezpieczeń maszyny

(Network_ResourceIpIndicatedAsMalicious)

Opis: Analiza zagrożeń wskazuje, że maszyna (pod adresem IP %{Adres IP maszyny}) mogła zostać naruszona przez złośliwe oprogramowanie typu Conficker. Conficker był robakiem komputerowym, który jest przeznaczony dla systemu operacyjnego Microsoft Windows i został po raz pierwszy wykryty w listopadzie 2008 roku. Conficker zainfekował miliony komputerów, w tym rządowych, biznesowych i domowych komputerów w ponad 200 krajach/regionach, co czyni go największą znaną infekcją robaków komputerowych od 2003 roku robaka Welchia.

Taktyka MITRE: Command and Control

Ważność: średni rozmiar

Wykryto możliwe przychodzące próby siłowe :{Nazwa usługi}

(Generic_Incoming_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację %{Nazwa usługi} z adresem %{Adres IP ofiary}skojarzony z zasobem %{Host z naruszonym zabezpieczeniami} od użytkownika %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Port ofiary}. To działanie jest zgodne z próbami ataku siłowego na serwery %{Nazwa usługi}.

Taktyka MITRE: PreAttack

Ważność: informacyjna

Wykryto możliwe przychodzące próby siłowe SQL

(SQL_Incoming_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację SQL z adresem %{Ip ofiary}skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Numer portu} (%{Typ usługi SQL}). To działanie jest zgodne z próbami ataków siłowych podejmowanych na serwerach SQL.

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Wykryto możliwy wychodzący atak typu "odmowa usługi"

(DDOS)

Opis: Analiza ruchu sieciowego wykryła nietypowe działanie wychodzące pochodzące z hosta %{Host z naruszonymi zabezpieczeniami}, zasób we wdrożeniu. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz zaangażowane w ataki typu "odmowa usługi" na zewnętrzne punkty końcowe. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji) został naruszony. Na podstawie liczby połączeń uważamy, że następujące adresy IP są prawdopodobnie celami ataku DOS: %{Możliwe ofiary}. Należy pamiętać, że komunikacja z niektórymi z tych adresów IP jest uzasadniona.

Taktyka MITRE: wpływ

Ważność: średni rozmiar

Podejrzane przychodzące działanie sieci RDP z wielu źródeł

(RDP_Incoming_BF_ManyToOne)

Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP z wielu hostów (Botnet).

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Podejrzane przychodzące działanie sieci protokołu RDP

(RDP_Incoming_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z adresem %{Victim IP}, skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący IP}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba połączeń} z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Podejrzane przychodzące działanie sieci SSH z wielu źródeł

(SSH_Incoming_BF_ManyToOne)

Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH z wielu hostów (Botnet)

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Podejrzane przychodzące działanie sieci SSH

(SSH_Incoming_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba połączeń} z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Wykryto podejrzany wychodzący ruch %{Zaatakowany protokół}

(PortScanning)

Opis: Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia} do portu docelowego %{Najczęściej używany port}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). To zachowanie może wskazywać, że zasób bierze udział w atakach siłowych %{Zaatakowany protokół} lub atakach zamiatania portów.

Taktyka MITRE: Odnajdywanie

Ważność: średni rozmiar

Podejrzane wychodzące działanie sieci RDP do wielu miejsc docelowych

(RDP_Outgoing_BF_OneToMany)

Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z wieloma miejscami docelowymi pochodzącymi z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują, że maszyna łączy się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.

Taktyka MITRE: Odnajdywanie

Ważność: Wysoka

Podejrzane wychodzące działanie sieci RDP

(RDP_Outgoing_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP} pochodzącej z elementu %{Naruszony host} (%{Adres IP osoby atakującej}), zasobu we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba połączeń} z zasobu, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo maszyny zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.

Taktyka MITRE: Ruch boczny

Ważność: Wysoka

Podejrzane wychodzące działanie sieci SSH do wielu miejsc docelowych

(SSH_Outgoing_BF_OneToMany)

Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z wieloma miejscami docelowymi pochodzącymi z hosta %{Naruszone zabezpieczenia} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują zasób łączący się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.

Taktyka MITRE: Odnajdywanie

Ważność: średni rozmiar

Podejrzane wychodzące działanie sieci SSH

(SSH_Outgoing_BF_OneToOne)

Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z adresem %{Victim IP} pochodzącym z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba połączeń} z zasobu, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.

Taktyka MITRE: Ruch boczny

Ważność: średni rozmiar

(Network_TrafficFromUnrecommendedIP)

Opis: Microsoft Defender dla Chmury wykrył ruch przychodzący z adresów IP, które są zalecane do zablokowania. Zwykle występuje to, gdy ten adres IP nie komunikuje się regularnie z tym zasobem. Alternatywnie adres IP został oznaczony jako złośliwy przez źródła analizy zagrożeń Defender dla Chmury.

Taktyka MITRE: Sondowanie

Ważność: informacyjna

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki