Alerty dotyczące systemu DNS
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla systemu DNS z Microsoft Defender dla Chmury i wszystkie włączone plany usługi Microsoft Defender. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty dotyczące systemu DNS
Ważne
Od 1 sierpnia 2023 r. klienci z istniejącą subskrypcją usługi Defender for DNS mogą nadal korzystać z usługi, ale nowi subskrybenci otrzymają alerty dotyczące podejrzanych działań DNS w ramach usługi Defender for Servers P2.
Nietypowe użycie protokołu sieciowego
(AzureDNS_ProtocolAnomaly)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła nietypowe użycie protokołu. Taki ruch, choć prawdopodobnie łagodny, może wskazywać na nadużycie tego wspólnego protokołu w celu obejścia filtrowania ruchu sieciowego. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: Eksfiltracja
Ważność: -
Działanie sieci anonimowości
(AzureDNS_DarkWeb)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła aktywność sieci anonimowości. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często stosowane przez osoby atakujące w celu uniknięcia śledzenia i odcisków palców komunikacji sieciowej. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Działanie sieci anonimowości przy użyciu internetowego serwera proxy
(AzureDNS_DarkWebProxy)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła aktywność sieci anonimowości. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często stosowane przez osoby atakujące w celu uniknięcia śledzenia i odcisków palców komunikacji sieciowej. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Podjęto próbę komunikacji z podejrzaną domeną sinkholed
(AzureDNS_SinkholedDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła żądanie dotyczące domeny sinkholed. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkownika, jest często wskazaniem pobierania lub wykonywania złośliwego oprogramowania. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie dalszych złośliwych programów lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Komunikacja z możliwą domeną wyłudzania informacji
(AzureDNS_PhishingDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła żądanie dotyczące możliwej domeny wyłudzania informacji. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu zbierania poświadczeń do usług zdalnych. Typowe działanie osoby atakującej może obejmować wykorzystanie wszelkich poświadczeń w uzasadnionej usłudze.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Komunikacja z podejrzaną domeną wygenerowaną algorytmowo
(AzureDNS_DomainGenerationAlgorithm)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwe użycie algorytmu generowania domeny. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Komunikacja z podejrzaną losową nazwą domeny
(AzureDNS_RandomizedDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła użycie podejrzanej losowo wygenerowanej nazwy domeny. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Działalność wydobywczy waluty cyfrowej
(AzureDNS_CurrencyMining)
Opis: Analiza transakcji DNS z %{CompromisedEntity} wykryła aktywność wyszukiwania walut cyfrowych. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące po naruszeniu bezpieczeństwa zasobów. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie typowych narzędzi do wyszukiwania.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Aktywacja podpisu wykrywania nieautoryzowanego dostępu do sieci
(AzureDNS_SuspiciousDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła znany złośliwy podpis sieciowy. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkownika, jest często wskazaniem pobierania lub wykonywania złośliwego oprogramowania. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie dalszych złośliwych programów lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Możliwe pobieranie danych za pośrednictwem tunelu DNS
(AzureDNS_DataInfiltration)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Możliwe eksfiltrowanie danych za pośrednictwem tunelu DNS
(AzureDNS_DataExfiltration)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Możliwe przesyłanie danych za pośrednictwem tunelu DNS
(AzureDNS_DataObfuscation)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.