Оповещения для DNS
В этой статье перечислены оповещения системы безопасности, которые можно получить для DNS из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Примечание.
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Примечание.
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения для DNS
Внимание
По состоянию на 1 августа 2023 года клиенты с существующей подпиской на Defender для DNS могут продолжать использовать службу, но новые подписчики получат оповещения о подозрительной активности DNS в составе Defender для серверов P2.
Дополнительные сведения и примечания
Аномальное использование сетевого протокола
(AzureDNS_ProtocolAnomaly)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил аномальное использование протокола. Такой трафик, возможно, доброкачественный, может указывать на злоупотребление этим общим протоколом для обхода фильтрации сетевого трафика. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него.
Серьезность: -
Анонимность сетевой активности
(AzureDNS_DarkWeb)
Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил анонимность сетевой активности. Хотя такое действие может быть допустимым поведением пользователя, оно часто используется злоумышленниками, чтобы предупредить отслеживание и удалить следы сетевых взаимодействий. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: низкая
Анонимность сетевой активности с использованием веб-прокси
(AzureDNS_DarkWebProxy)
Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил анонимность сетевой активности. Хотя такое действие может быть допустимым поведением пользователя, оно часто используется злоумышленниками, чтобы предупредить отслеживание и удалить следы сетевых взаимодействий. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: низкая
Попытка установить связь с подозрительным доменом с sinkhole-сервером
(AzureDNS_SinkholedDomain)
Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил запрос на приемникхолд домена. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования.
Серьезность: средний
Связь с возможным фишинговым доменом
(AzureDNS_PhishingDomain)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил запрос на возможное фишинговое домен. Несмотря на то, что такая деятельность, возможно, и является безопасной, ее зачастую совершают злоумышленники с целью сбора учетных данных для удаленных служб. К типичным действиям, связанным с активностью злоумышленников, можно отнести использование учетных данных для допустимой службы.
Серьезность: информационная
Связь с подозрительным доменом, созданным алгоритмическим путем
(AzureDNS_DomainGenerationAlgorithm)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможное использование алгоритма создания домена. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: информационная
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Описание. Взаимодействие с подозрительным доменом было обнаружено путем анализа транзакций DNS из ресурса и сравнения с известными вредоносными доменами, идентифицированными веб-каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса.
Тактика MITRE: первоначальный доступ
Серьезность: средний
Связь с подозрительным случайным доменным именем
(AzureDNS_RandomizedDomain)
Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил использование подозрительного случайно созданного доменного имени. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: информационная
Майнинг цифровой валюты
(AzureDNS_CurrencyMining)
Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил активность интеллектуального анализа цифровых валют. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи.
Серьезность: низкая
Активация сигнатуры обнаружения сетевых вторжений
(AzureDNS_SuspiciousDomain)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил известный вредоносный сетевой сигнатуры. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования.
Серьезность: средний
Возможная загрузка данных через DNS-туннель
(AzureDNS_DataInfiltration)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможный туннель DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: низкая
Возможная кража данных через DNS-туннель
(AzureDNS_DataExfiltration)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможный туннель DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: низкая
Возможная передача данных через DNS-туннель
(AzureDNS_DataObfuscation)
Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможный туннель DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.
Серьезность: низкая
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.