Alertas para a camada de rede do Azure

Este artigo lista os alertas de segurança que você pode receber para a camada de rede do Azure do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas da camada de rede do Azure

Mais detalhes e notas

Comunicação de rede com uma máquina maliciosa detetada

(Network_CommunicationWithC2)

Descrição: A análise de tráfego de rede indica que a sua máquina (IP %{Victim IP}) comunicou com o que é possivelmente um centro de Comando e Controlo. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo) se comunicaram com o que é possivelmente um centro de Comando e Controle.

Táticas MITRE: Comando e Controle

Gravidade: Média

Possível máquina comprometida detetada

(Network_ResourceIpIndicatedAsMalicious)

Descrição: A inteligência de ameaças indica que a sua máquina (no IP %{IP da máquina}) pode ter sido comprometida por um malware do tipo Conficker. O Conficker era um worm de computador que tinha como alvo o sistema operacional Microsoft Windows e foi detetado pela primeira vez em novembro de 2008. O Conficker infetou milhões de computadores, incluindo computadores governamentais, empresariais e domésticos em mais de 200 países/regiões, tornando-se a maior infeção conhecida por worms de computador desde o worm Welchia de 2003.

Táticas MITRE: Comando e Controle

Gravidade: Média

Possíveis tentativas de força bruta de entrada de %{Nome do Serviço} detetadas

(Generic_Incoming_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou a comunicação de entrada de %{Nome do Serviço} para %{IP da vítima}, associada ao seu recurso %{Host comprometido} de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Porta de Vítima}. Essa atividade é consistente com tentativas de força bruta contra servidores %{Nome do Serviço}.

Táticas MITRE: PreAttack

Gravidade: Informativo

Possíveis tentativas de força bruta SQL de entrada detetadas

(SQL_Incoming_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou comunicação SQL de entrada para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL.

Táticas MITRE: PreAttack

Gravidade: Média

Possível ataque de negação de serviço de saída detetado

(DDOS)

Descrição: A análise de tráfego de rede detetou atividade de saída anômala originada de %{Host comprometido}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo) foram comprometidos. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os alvos do ataque DOS: %{Possíveis Vítimas}. Note que é possível que a comunicação a alguns destes IPs seja legítima.

Táticas MITRE: Impacto

Gravidade: Média

Atividade de rede RDP de entrada suspeita de várias fontes

(RDP_Incoming_BF_ManyToOne)

Descrição: A análise de tráfego de rede detetou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{Victim IP}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de IPs invasores} IPs exclusivos se conectando ao seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutalmente seu ponto final RDP de vários hosts (Botnet).

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede RDP de entrada suspeita

(RDP_Incoming_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de entrada para seu recurso, o que é considerado anormal para esse ambiente. Esta atividade pode indicar uma tentativa de força bruta no ponto final RDP

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede SSH de entrada suspeita de várias fontes

(SSH_Incoming_BF_ManyToOne)

Descrição: A análise de tráfego de rede detetou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de IPs invasores} IPs exclusivos se conectando ao seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutalmente seu ponto final SSH de vários hosts (Botnet)

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede SSH de entrada suspeita

(SSH_Incoming_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou comunicação SSH de entrada anômala para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de entrada para seu recurso, o que é considerado anormal para esse ambiente. Esta atividade pode indicar uma tentativa de forçar brutalmente o seu ponto final SSH

Táticas MITRE: PreAttack

Gravidade: Média

Tráfego de saída suspeito de %{Protocolo Atacado} detetado

(PortScanning)

Descrição: A análise de tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido} para a porta de destino %{Porta mais comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando de tentativas de força bruta ou ataques de varredura de porta de %{Protocolo Atacado}.

Táticas MITRE: Discovery

Gravidade: Média

Atividade suspeita de rede RDP de saída para vários destinos

(RDP_Outgoing_BF_OneToMany)

Descrição: A análise de tráfego de rede detetou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para vários destinos originados de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram sua máquina se conectando a IPs exclusivos de %{Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais RDP externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.

Táticas MITRE: Discovery

Gravidade: Alta

Atividade suspeita de rede RDP de saída

(RDP_Outgoing_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para %{Victim IP} originada de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de saída do seu recurso, o que é considerado anormal para este ambiente. Essa atividade pode indicar que sua máquina foi comprometida e agora é usada para pontos finais RDP externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

Atividade suspeita de rede SSH de saída para vários destinos

(SSH_Outgoing_BF_OneToMany)

Descrição: A análise de tráfego de rede detetou comunicação SSH de saída anômala para vários destinos originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram seu recurso se conectando a IPs exclusivos de %{Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.

Táticas MITRE: Discovery

Gravidade: Média

Atividade suspeita de rede SSH de saída

(SSH_Outgoing_BF_OneToOne)

Descrição: A análise de tráfego de rede detetou comunicação SSH de saída anômala para %{Victim IP} originada de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de saída do seu recurso, o que é considerado anormal para este ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.

Táticas MITRE: Movimento Lateral

Gravidade: Média

Tráfego detetado a partir de endereços IP recomendados para bloqueio

(Network_TrafficFromUnrecommendedIP)

Descrição: O Microsoft Defender for Cloud detetou tráfego de entrada de endereços IP recomendados para serem bloqueados. Isso normalmente ocorre quando esse endereço IP não se comunica regularmente com esse recurso. Como alternativa, o endereço IP foi sinalizado como malicioso pelas fontes de inteligência de ameaças do Defender for Cloud.

Táticas MITRE: Sondagem

Gravidade: Informativo

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos

• Alertas de segurança no Microsoft Defender for Cloud
• Gerir e responder a alertas de segurança no Microsoft Defender para a Cloud
• Exporte continuamente dados do Defender for Cloud