Категории правил подписи поставщиков удостоверений брандмауэра Azure
Поставщик удостоверений брандмауэра Azure содержит более 50 категорий, которые могут быть назначены отдельным подписям. В следующей таблице приведен список определений для каждой категории.
Категории
| Категория | Описание |
|---|---|
| 3CORESec | Эта категория предназначена для подписей, автоматически создаваемых из списка блокировок IP-адресов команды 3CORESec. Эти списки блокировок создаются 3CORESec на основе вредоносных действий, выявленных приманками. |
| ActiveX | Эта категория предназначена для подписей, защищающих от атак на элементы управления Microsoft ActiveX и нацелена на уязвимости в элементах управления ActiveX. |
| Потенциально нежелательная рекламная программа | Эта категория предназначена для подписей для обнаружения программного обеспечения, которое используется для отслеживания рекламы или других типов действий, связанных с шпионскими программами. |
| Ответ на атаку | Эта категория предназначена для определения ответов, указывающих на атаку. Примеры включают в себя, помимо прочего, скачивание файлов LMHost, присутствие определенных веб-баннеров и обнаружение команды завершения Metasploit Meterpreter. Эти подписи предназначены для перехвата результатов успешной атаки. Могли произойти такие вещи, как id=root или сообщения об ошибках, указывающие на нарушение безопасности. |
| Botcc (управление и контроль Bot) | Эта категория предназначена для подписей, автоматически создаваемых из нескольких источников известных и подтвержденных активных ботнетов и других узлов управления и контроля (C2). Эта категория обновляется ежедневно. Первичный источник данных категории: Shadowserver.org. |
| Botcc с группировкой по порту | Эта категория предназначена для подписей, аналогичных тем, которые находятся в категории Botcc, но группируются по порту назначения. Правила, сгруппированные по портам, могут обеспечить более высокий уровень точности, чем правила, не сгруппированные по портам. |
| Чат | Эта категория предназначена для подписей, которые идентифицируют трафик, связанный с несколькими клиентами чата, например Internet Relay Chat (IRC). Трафик чата может указывать на возможные действия по возврату субъектов угроз. |
| CIArmy | Эта категория предназначена для подписей, созданных с использованием правил IP-адресов для блокировки коллективного интеллекта. |
| Майнинг криптовалют | Эта категория предназначена для подписей с правилами обнаружения вредоносных программ, которые осуществляют майнинг криптовалют. Эти подписи также могут обнаружить некоторые законные (хотя часто нежелательные) программные средства для майнинга криптовалют. |
| Скомпрометировано | Эта категория предназначена для подписей на основе списка известных скомпрометированных узлов. Этот список подтверждается и обновляется ежедневно. Подписи в этой категории могут различаться от одного до нескольких сотен правил в зависимости от источников данных. Источники данных для этой категории берутся из нескольких частных, но надежных источников данных. |
| Текущие события | Эта категория предназначена для подписей с правилами, разработанными в ответ на активные и кратковременные кампании, а также для элементов с высоким уровнем профилирования, которые должны быть временными. Одним из примеров является мошенничество, связанное с авариями. Правила в этой категории не предназначены для долгого хранения в наборе правил, или их необходимо протестировать, прежде чем они будут учитываться при включении. Чаще всего это будут простые сигнатуры для двоичного URL-адреса Storm, сигнатуры для перехвата идентификаторов CLSID недавно обнаруженных уязвимых приложений, для которых у нас нет подробной информации об использовании и т. д. |
| Служба доменных имен (DNS) | Эта категория предназначена для подписей с правилами для атак и уязвимостей, касающихся DNS. Эта категория также используется для правил, относящихся к неправомерному использованию DNS, например туннелированию. |
| DOS | Эта категория предназначена для подписей, которые обнаруживают попытки отказа в обслуживании (DoS). Эти правила предназначены для перехвата входящих действий DoS и предоставляют сведения об исходящих действиях DoS. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| Drop | Эта категория предназначена для подписей для блокировки IP-адресов в списке Spamhaus DROP (Don’t Route or Peer). Правила в этой категории обновляются ежедневно. |
| Dshield | Эта категория предназначена для подписей на основе злоумышленников, идентифицируемых Dshield. Правила в этой категории ежедневно обновляются из надежного списка главных злоумышленников Dshield. |
| Эксплойты | Эта категория предназначена для подписей, защищающих от прямых эксплойтов, не охваченных в определенной категории служб. В этой категории будут идентифицируются конкретные атаки на уязвимые места, например против Microsoft Windows. Атаки на свои собственные категории, такие как внедрение SQL, имеют собственную категорию. |
| Exploit-Kit | Эта категория предназначена для подписей для обнаружения действий, связанных с наборами эксплойтов, их инфраструктуры и доставки. |
| FTP | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом FTP. В эту категорию также входят правила, которые обнаруживают невредоносные FTP-действия, такие как входы для ведения журнала. |
| Игры | Эта категория предназначена для подписей, которые обозначают игровой трафик и атаки на эти игры. Правила охватывают игры, такие как мир World of Warcraft, Starcraft и другие популярные онлайн-игры. Хотя игры и их трафик не являются вредоносными, они часто нежелательны и запрещены политикой в корпоративных сетях. |
| Поиск | Эта категория предназначена для подписей, предоставляющих индикаторы, которые могут быть полезны при поиске угроз в среде с помощью других подписей. Эти правила могут предоставлять ложные срабатывания по допустимому трафику и препятствовать повышению производительности. Они рекомендуются только для использования при активном поиске потенциальных угроз в среде. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| ICMP | Эта категория предназначена для подписей, связанных с атаками и уязвимостями по протоколу ICMP. |
| ICMP_info | Эта категория предназначена для подписей, связанных с событиями протокола ICMP, обычно связанных с обычными операциями ведения журнала. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| IMAP | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями по протоколу IMAP. В эту категорию также входят правила, которые обнаруживают невредоносные действия IMAP в целях ведения журнала. |
| Неуместно | Эта категория предназначена для подписей, которые определяют потенциальное действие, связанное с порнографическими сайтами или сайтами, которые иным образом не подходят для рабочей среды. Внимание! Эта категория может оказать значительное влияние на производительность и высокий показатель ложных срабатываний. |
| Сведения | Эта категория предназначена для подписей, помогающих предоставлять события уровня аудита, которые полезны для корреляции и выявления интересующих действий, которые могут не являться вредоносными, но часто встречаются во вредоносных программах и других угрозах. Например, загрузка исполняемого файла по протоколу HTTP по IP-адресу, а не доменному имени. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| JA3 | Эта категория предназначена для подписей на отпечатки вредоносных SSL-сертификатов с использованием хэшей JA3. Эти правила основаны на параметрах, которые находятся в согласовании SSL как клиентами, так и серверами. Эти правила могут иметь высокий показатель ложно-положительных результатов, но могут быть полезны для обнаружения угроз или для сред со срабатыванием вредоносных программ. |
| Вредоносная программа | Эта категория предназначена для подписей для обнаружения вредоносных программ. Правила в этой категории определяют действия, связанные с вредоносными программами, обнаруженными в сети, включая вредоносные программы при передаче, активные вредоносные программы, заражение вредоносными программами, атаки вредоносных программ и обновление вредоносных программ. Это также очень важная категория, поэтому настоятельно рекомендуется ее запускать. |
| Разное | Эта категория предназначена для подписей, не охваченных другими категориями. |
| Мобильные вредоносные программы | Эта категория предназначена для подписей, которые указывают на вредоносные программы, связанные с мобильными и планшетными системами, такими как Google Android, Apple iOS и другие. Вредоносные программы, обнаруженные и связанные с мобильными операционными системами, обычно помещаются в эту категорию вместо стандартных категорий, таких как "Вредоносные программы". |
| NETBIOS | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом NetBIOS. В эту категорию также входят правила, которые обнаруживают невредоносные действия NetBIOS в целях ведения журнала. |
| P2P | Эта категория предназначена для подписей для идентификации однорангового трафика (P2P) и атак на него. Идентифицированный одноранговый трафик включает, помимо прочего, torrents, edonkey, Bittorrent, Gnutella и Limewire. Одноранговый трафик не является вредоносным, но часто представляет интерес для предприятий. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| Фишинг | Эта категория предназначена для подписей, которые определяют действия фишинга учетных данных. Сюда входят целевые страницы, отображающие фишинг учетных данных и успешную отправку учетных данных на веб-сайты с фишингом учетных данных. |
| Политика | Эта категория предназначена для подписей, которые могут указывать на нарушения в политике организации. Это может включать протоколы, подверженные нарушениям, и другие транзакции уровня приложения, которые могут представлять интерес. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| POP3 | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом Post Office Protocol 3.0 (POP3). В эту категорию также входят правила, которые обнаруживают невредоносные действия POP3 в целях ведения журнала. |
| RPC | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, относящимися к удаленному вызову процедур (RPC). В эту категорию также входят правила, которые обнаруживают невредоносные действия RPC в целях ведения журнала. |
| SCADA | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с системой управления и сбора данных (SCADA). В эту категорию также входят правила, которые обнаруживают невредоносные действия SCADA в целях ведения журнала. |
| SCAN | Эта категория предназначена для подписей для обнаружения разведывательных и проверочный действий таких средств, как Nessus, Nikto и других средств и инструментов сканирования портов. Эта категория может быть полезной для обнаружения действий раннего нарушения и бокового смещения после заражения в пределах организации. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| Код оболочки | Эта категория предназначена для подписей для обнаружения кода удаленной оболочки. Код удаленной оболочки используется, когда злоумышленнику нужно ориентироваться на уязвимый процесс, работающий на другом компьютере в локальной сети или интрасети. В случае успешного выполнения код оболочки может предоставить злоумышленнику доступ к целевому компьютеру в сети. Коды удаленных оболочек обычно используют стандартные подключения сокета TCP / IP, чтобы предоставить злоумышленнику доступ к оболочке на целевом компьютере. Такой код оболочки можно классифицировать в соответствии с настройками этого соединения: если код оболочки может установить это подключение, он называется "обратной оболочкой" или оболочкой "обратного подключения", так как код оболочки подключается к компьютеру злоумышленника. |
| SMTP | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом SMTP. В эту категорию также входят правила, которые обнаруживают невредоносные действия SMTP в целях ведения журнала. |
| SNMP | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом SNMP. В эту категорию также входят правила, которые обнаруживают невредоносные действия SNMP в целях ведения журнала. |
| SQL | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с SQL. В эту категорию также входят правила, которые обнаруживают невредоносные действия SQL в целях ведения журнала. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| TELNET | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом TELNET. В эту категорию также входят правила, которые обнаруживают невредоносные действия TELNET в целях ведения журнала. |
| TFTP | Эта категория предназначена для подписей, связанных с атаками, эксплойтами и уязвимостями, связанными с протоколом TFTP. В эту категорию также входят правила, которые обнаруживают невредоносные действия TFTP в целях ведения журнала. |
| TOR | Эта категория предназначена для подписей для идентификации входящего и исходящего трафика узлов выхода TOR на основе IP-адреса. Примечание. Все подписи в этой категории определены как "Только предупреждение", поэтому по умолчанию трафик, соответствующий этим подписям, не будет заблокирован, даже если для режима IDPS задано значение "Оповещение и отказ". Клиенты могут переопределить это, настроив эти конкретные подписи в режим "Оповещение и отказ". |
| Агенты пользователя | Эта категория предназначена для подписей для обнаружения подозрительных и аномальных пользовательских агентов. Известные вредоносные пользовательские агенты помещаются в категорию вредоносных программ. |
| VOIP | Эта категория предназначена подписей, определяющих атаки и уязвимости, связанные с голосовым протоколом IP (VOIP), включая, помимо прочего, SIP, H.323 и RTP. |
| Веб-клиент | Эта категория предназначена для подписей, определяющих атаки и уязвимости, связанные с веб-клиентами, такими как веб-браузеры, а также с клиентскими приложениями, такими как WGET, и др. |
| Веб-сервер | Эта категория предназначена для подписей для обнаружения атак на инфраструктуру веб-сервера, например APACHE, TOMCAT, NGINX, Microsoft IIS (IIS) и другого программного обеспечения веб-сервера. |
| Конкретные веб-приложения | Эта категория предназначена для подписей для обнаружения атак и уязвимостей в конкретных веб-приложениях. |
| Вирус-червь | Эта категория предназначена для выявления вредоносных действий, которые автоматически пытаются распределиться по Интернету или в сети с помощью уязвимости, которые классифицируются как категория вирусов-червей. Хотя собственно сама уязвимость обычно обнаруживается в эксплойте или определенной категории протоколов, в этой категории может быть сделана другая запись, если будет обнаружена настоящая вредоносная программа, возникающая в процессе распространения вируса-червя. |
Дальнейшие действия
- Дополнительные сведения о брандмауэре см. в статье Функции Брандмауэра Azure уровня "Премиум".