Azure Firewall categorias de regras de assinatura de IDPS
Azure Firewall IDPS apresenta mais de 50 categorias que podem ser atribuídas a assinaturas individuais. A tabela seguinte é uma lista de definições para cada categoria.
Categorias
| Categoria | Descrição |
|---|---|
| 3CORESec | Esta categoria destina-se a assinaturas que são geradas automaticamente a partir das listas de bloqueios IP da equipa 3CORESec. Estas listas de bloqueios são geradas pela 3CORESec com base em atividades maliciosas dos seus Honeypots. |
| ActiveX | Esta categoria destina-se a assinaturas que protegem contra ataques contra controlos Microsoft ActiveX e explorações direcionadas para vulnerabilidades em controlos ActiveX. |
| Adware-PUP | Esta categoria destina-se a assinaturas para identificar software utilizado para controlo de anúncios ou outros tipos de atividade relacionada com spyware. |
| Resposta a Ataques | Esta categoria destina-se a assinaturas para identificar respostas indicativas de intrusão— os exemplos incluem, mas não se limitam à transferência de ficheiros LMHost, à presença de determinadas faixas Web e à deteção do comando Metasploit Meterpreter kill. Estas assinaturas foram concebidas para obter os resultados de um ataque bem-sucedido. Coisas como id=raiz ou mensagens de erro que indicam que um compromisso pode ter acontecido. |
| Botcc (Comando e Controlo do Bot) | Esta categoria destina-se a assinaturas que são geradas automaticamente a partir de várias origens de botnet ativo conhecidos e confirmados e outros anfitriões Comando e Controlo (C2). Esta categoria é atualizada diariamente. A origem de dados primária da categoria é Shadowserver.org. |
| Porta botcc agrupada | Esta categoria destina-se a assinaturas como as da categoria Botcc, mas agrupadas por porta de destino. As regras agrupadas por porta podem oferecer maior fidelidade do que as regras não agrupadas por porta. |
| Chat | Esta categoria destina-se a assinaturas que identificam o tráfego relacionado com muitos clientes de chat, como Internet Relay Chat (IRC). O tráfego de chat pode ser indicativo de uma possível atividade de entrada por parte dos atores de ameaças. |
| CIArmy | Esta categoria destina-se a assinaturas geradas através das regras de IP da Collective Intelligence para bloqueio. |
| Extração de moedas | Esta categoria destina-se a assinaturas com regras que detetam software maligno, que faz extração de moedas. Estas assinaturas também podem detetar algum software legítimo (embora muitas vezes indesejável) de extração de moedas. |
| Comprometido | Esta categoria destina-se a assinaturas com base numa lista de anfitriões comprometidos conhecidos. Esta lista é confirmada e atualizada diariamente. As assinaturas nesta categoria podem variar de uma a várias centenas de regras consoante as origens de dados. As origens de dados para esta categoria provêm de várias origens de dados privadas, mas altamente fiáveis. |
| Eventos Atuais | Esta categoria destina-se a assinaturas com regras desenvolvidas em resposta a campanhas ativas e de curta duração e itens de alto perfil que se espera que sejam temporários. Um exemplo é campanhas de fraude relacionadas com desastres. As regras nesta categoria não se destinam a ser mantidas no conjunto de regras por muito tempo ou que têm de ser testadas mais antes de serem consideradas para inclusão. Na maioria das vezes, estas serão assinaturas simples para o URL binário do Storm do dia, assinaturas para capturar CLSIDs de aplicações vulneráveis recentemente encontradas onde não temos detalhes sobre a exploração, etc. |
| DNS (Domain Name Service) | Esta categoria destina-se a assinaturas com regras para ataques e vulnerabilidades relativas ao DNS. Esta categoria também é utilizada para regras relacionadas com o abuso de DNS, como o túnel. |
| DOS | Esta categoria destina-se a assinaturas que detetam tentativas de Denial of Service (DoS). Estas regras destinam-se a capturar a atividade do DoS de entrada e a indicar a atividade do DoS de saída. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| Largar | Esta categoria destina-se a assinaturas para bloquear endereços IP na lista SPAmhaus DROP (Não Encaminhar ou Peer). As regras nesta categoria são atualizadas diariamente. |
| Dshield | Esta categoria destina-se a assinaturas baseadas em atacantes identificados pelo Dshield. As regras nesta categoria são atualizadas diariamente a partir da lista de atacantes principais do DShield, que é fiável. |
| Explorar | Esta categoria destina-se a assinaturas que protegem contra exploits diretos que de outra forma não estão abrangidas numa categoria de serviço específica. Esta categoria é onde serão encontrados ataques específicos contra vulnerabilidades, como contra o Microsoft Windows. Os ataques com a sua própria categoria, como a injeção de SQL, têm a sua própria categoria. |
| Exploit-Kit | Esta categoria destina-se a assinaturas para detetar atividades relacionadas com o Exploit Kits na infraestrutura e entrega. |
| FTP | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao Protocolo FTP (File Transfer Protocol). Esta categoria também inclui regras que detetam atividades ftp não maliciosas, como inícios de sessão para fins de registo. |
| Jogos | Esta categoria destina-se a assinaturas que identificam o tráfego de jogos e os ataques contra esses jogos. As regras abrangem jogos como World of Warcraft, Starcraft e outros jogos online populares. Embora os jogos e o seu tráfego não sejam maliciosos, são muitas vezes indesejados e proibidos pela política nas redes empresariais. |
| Investigação | Esta categoria destina-se a assinaturas que fornecem indicadores que, quando correspondidas com outras assinaturas, podem ser úteis para a investigação de ameaças num ambiente. Estas regras podem fornecer falsos positivos sobre o tráfego legítimo e inibir o desempenho. Só são recomendadas para utilização ao pesquisar ativamente potenciais ameaças no ambiente. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| ICMP | Esta categoria destina-se a assinaturas relacionadas com ataques e vulnerabilidades sobre o Protocolo ICMP (Internet Control Message Protocol). |
| ICMP_info | Esta categoria destina-se a assinaturas relacionadas com eventos específicos do protocolo ICMP, normalmente associados a operações normais para fins de registo. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| IMAP | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades sobre o Protocolo IMAP (Internet Message Access Protocol). Esta categoria também inclui regras que detetam atividades IMAP nãomalícias para fins de registo. |
| Inapropriado | Esta categoria destina-se a assinaturas para identificar atividades potencialmente relacionadas com sites que são pornográficos ou não são adequados para um ambiente de trabalho. Aviso: esta categoria pode ter um impacto significativo no desempenho e uma taxa elevada de falsos positivos. |
| Informações | Esta categoria destina-se a assinaturas para ajudar a fornecer eventos ao nível da auditoria que são úteis para correlação e identificar atividades interessantes, que podem não ser inerentemente maliciosas, mas que são frequentemente observadas em software maligno e outras ameaças. Por exemplo, transferir um Executável através de HTTP por endereço IP em vez de nome de domínio. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| JA3 | Esta categoria destina-se a assinaturas para impressões digitais de certificados SSL maliciosos com hashes JA3. Estas regras baseiam-se em parâmetros que estão na negociação do handshake SSL por clientes e servidores. Estas regras podem ter uma taxa de falsos positivos elevada, mas podem ser úteis para a investigação de ameaças ou ambientes de detonação de software maligno. |
| Software maligno | Esta categoria destina-se a assinaturas para detetar software malicioso. As regras nesta categoria detetam atividades relacionadas com software malicioso detetado na rede, incluindo software maligno em trânsito, software maligno ativo, infecções por malware, ataques de malware e atualização de software maligno. Esta também é uma categoria altamente importante e é altamente recomendado que a execute. |
| Diversos | Esta categoria destina-se a assinaturas não abrangidas noutras categorias. |
| Software Maligno Móvel | Esta categoria destina-se a assinaturas que indicam software maligno associado a sistemas operativos móveis e tablets, como o Google Android, Apple iOS, entre outros. O software maligno detetado e associado a sistemas operativos móveis será geralmente colocado nesta categoria em vez das categorias padrão, como Software Maligno. |
| NETBIOS | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao NetBIOS. Esta categoria também inclui regras que detetam atividades NetBIOS não maliciosas para fins de registo. |
| P2P | Esta categoria destina-se a assinaturas para identificação de tráfego ponto a ponto (P2P) e ataques contra o mesmo. O tráfego P2P identificado inclui torrentes, edonkey, Bittorrent, Gnutella e Limewire, entre outros. O tráfego P2P não é inerentemente malicioso, mas é muitas vezes notável para as empresas. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| Phishing | Esta categoria destina-se a assinaturas que detetam a atividade de phishing de credenciais. Isto inclui páginas de destino que apresentam phishing de credenciais e submissão bem-sucedida de credenciais em sites de phishing de credenciais. |
| Política | Esta categoria destina-se a assinaturas que podem indicar violações à política de uma organização. Isto pode incluir protocolos propensos a abusos e outras transações ao nível da aplicação, que podem ser de interesse. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir esta opção ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| POP3 | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao Protocolo 3.0 (POP3) dos Correios. Esta categoria também inclui regras que detetam atividades POP3 não atípicas para fins de registo. |
| RPC | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades relativas à Chamada de Procedimento Remoto (RPC). Esta categoria também inclui regras que detetam atividades RPC não maliciosas para fins de registo. |
| SCADA | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao controlo de supervisão e à aquisição de dados (SCADA). Esta categoria também inclui regras que detetam atividades SCADA não maliciosas para fins de registo. |
| DIGITALIZAR | Esta categoria destina-se a assinaturas para detetar reconhecimento e pesquisa a partir de ferramentas como Nessus, Nikto e outras ferramentas de análise de portas. Esta categoria pode ser útil para detetar atividade de violação precoce e movimento lateral pós-infecção numa organização. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir esta opção ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| Código da shell | Esta categoria destina-se a assinaturas para deteção remota de código de shell. O código de shell remoto é utilizado quando um atacante quer direcionar um processo vulnerável em execução noutro computador numa rede ou intranet local. Se for executado com êxito, o código da shell pode fornecer ao atacante acesso ao computador de destino em toda a rede. Normalmente, os códigos de shell remoto utilizam ligações de socket TCP/IP padrão para permitir que o atacante aceda à shell no computador de destino. Este código de shell pode ser categorizado com base na forma como esta ligação é configurada: se o código da shell conseguir estabelecer esta ligação, é denominado "shell inversa" ou código de shell "ligar novamente" porque o código da shell liga-se novamente ao computador do atacante. |
| SMTP | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao Protocolo SMTP (Simple Mail Transfer Protocol). Esta categoria também inclui regras que detetam atividades SMTP não maliciosas para fins de registo. |
| SNMP | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao Protocolo SNMP (Simple Network Management Protocol). Esta categoria também inclui regras que detetam atividades SNMP não maliciosas para fins de registo. |
| SQL | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas a linguagem SQL (Structured Query Language) (SQL). Esta categoria também inclui regras que detetam atividades SQL não maliciosas para fins de registo. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir esta opção ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| TELNET | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas à TELNET. Esta categoria também inclui regras que detetam atividades TELNET não maliciosas para fins de registo. |
| TFTP | Esta categoria destina-se a assinaturas relacionadas com ataques, exploits e vulnerabilidades associadas ao Trivial File Transport Protocol (TFTP). Esta categoria também inclui regras que detetam atividades TFTP não atípicas para fins de registo. |
| TOR | Esta categoria destina-se a assinaturas para a identificação do tráfego de e para nós de saída do TOR com base no endereço IP. Nota: todas as assinaturas nesta categoria são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente a estas assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negar". Os clientes podem substituir este comportamento ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". |
| Agentes do utilizador | Esta categoria destina-se a assinaturas para detetar agentes de utilizadores suspeitos e anómalos. Os agentes de utilizadores maliciosos conhecidos são colocados na categoria Malware. |
| VOIP | Esta categoria destina-se a assinaturas para ataques e vulnerabilidades associadas ao Voice over IP (VOIP), incluindo SIP, H.323 e RTP, entre outros. |
| Cliente Web | Esta categoria destina-se a assinaturas para ataques e vulnerabilidades associadas a clientes Web, como browsers e também aplicações do lado do cliente, como CURL, WGET e outros. |
| Servidor Web | Esta categoria destina-se a assinaturas para detetar ataques contra a infraestrutura do servidor Web, como APACHE, TOMCAT, NGINX, Serviços de Informação Internet da Microsoft (IIS) e outro software de servidor Web. |
| Aplicações Específicas da Web | Esta categoria destina-se a assinaturas para detetar ataques e vulnerabilidades em aplicações Web específicas. |
| WORM | Esta categoria destina-se a assinaturas para detetar atividades maliciosas que tentam espalhar-se automaticamente pela Internet ou numa rede explorando uma vulnerabilidade são classificadas como a categoria WORM. Embora a exploração real em si seja normalmente identificada na categoria Exploit ou dada, pode ser feita outra entrada nesta categoria se o software maligno real que envolve a propagação semelhante ao worm também puder ser identificado. |
Passos seguintes
- Para saber mais sobre as funcionalidades Azure Firewall Premium, consulte Azure Firewall funcionalidades Premium.