Azure Firewall IDPS-signaturregelkategorier
Azure Firewall IDPS-funktioner över 50 kategorier som kan tilldelas till enskilda signaturer. Följande tabell är en lista med definitioner för varje kategori.
Kategorier
| Kategori | Beskrivning |
|---|---|
| 3CORESec | Den här kategorin är för signaturer som genereras automatiskt från 3CORESec-teamets IP-blockeringslistor. Dessa blocklister genereras av 3CORESec baserat på skadlig aktivitet från deras Honeypots. |
| ActiveX | Den här kategorin är avsedd för signaturer som skyddar mot attacker mot Microsoft ActiveX-kontroller och sårbarheter som riktas mot sårbarheter i ActiveX-kontroller. |
| Adware-PUP | Den här kategorin är avsedd för signaturer för att identifiera programvara som används för annonsspårning eller andra typer av spionprogramsrelaterad aktivitet. |
| Attacksvar | Den här kategorin är avsedd för signaturer för att identifiera svar som tyder på intrång – exempel omfattar men inte begränsat till nedladdning av LMHost-filer, förekomst av vissa webbbanderoller och identifiering av Metasploit Meterpreter kill-kommandot. Signaturerna är utformade för att fånga upp resultatet av en lyckad attack. Saker som id=root eller felmeddelanden som indikerar att en kompromiss kan ha inträffat. |
| Botcc (botkommando och kontroll) | Den här kategorin är för signaturer som genereras automatiskt från flera källor till kända och bekräftade aktiva botnet- och andra C2-värdar (Command andControl). Den här kategorin uppdateras dagligen. Kategorins primära datakälla är Shadowserver.org. |
| Botcc-port grupperad | Den här kategorin är för signaturer som de i kategorin Botcc men grupperade efter målport. Regler grupperade efter port kan ge högre återgivning än regler som inte grupperas efter port. |
| Chatt | Den här kategorin är avsedd för signaturer som identifierar trafik som är relaterad till många chattklienter, till exempel Internet Relay Chat (IRC). Chatttrafik kan vara en indikation på hotaktörernas eventuella incheckningsaktivitet. |
| CIArmy | Den här kategorin är för signaturer som genereras med collective intelligences IP-regler för blockering. |
| Myntutvinning | Den här kategorin är för signaturer med regler som identifierar skadlig kod, vilket gör myntutvinning. Dessa signaturer kan också identifiera viss legitim (men ofta oönskad) programvara för myntutvinning. |
| Äventyras | Den här kategorin är för signaturer som baseras på en lista över kända komprometterade värdar. Den här listan bekräftas och uppdateras dagligen. Signaturerna i den här kategorin kan variera från en till flera hundra regler beroende på datakällorna. Datakällorna för den här kategorin kommer från flera privata men mycket tillförlitliga datakällor. |
| Aktuella händelser | Den här kategorin är avsedd för signaturer med regler som utvecklats som svar på aktiva och kortlivade kampanjer och högprofilerade objekt som förväntas vara tillfälliga. Ett exempel är bedrägerikampanjer som rör katastrofer. Reglerna i den här kategorin är inte avsedda att förvaras i regeluppsättningen länge, eller som måste testas ytterligare innan de tas med. Oftast är dessa enkla signaturer för dagens binära Storm-URL, signaturer för att fånga CLSID:erna för nyligen hittade sårbara appar där vi inte har någon information om exploateringen och så vidare. |
| DNS (Domännamnstjänst) | Den här kategorin är för signaturer med regler för attacker och sårbarheter som rör DNS. Den här kategorin används också för regler som rör missbruk av DNS, till exempel tunneltrafik. |
| DOS | Den här kategorin är avsedd för signaturer som identifierar DoS-försök (Denial of Service). Dessa regler är avsedda att fånga upp inkommande DoS-aktivitet och ge en indikation på utgående DoS-aktivitet. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och Neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| Släppa | Den här kategorin är avsedd för signaturer för att blockera IP-adresser i listan Spamhaus DROP (Dirigera inte eller Peer). Reglerna i den här kategorin uppdateras dagligen. |
| Dshield | Den här kategorin är avsedd för signaturer som baseras på angripare som identifierats av Dshield. Reglerna i den här kategorin uppdateras dagligen från listan över de främsta angriparna i DShield, vilket är tillförlitligt. |
| Utnyttja | Den här kategorin är för signaturer som skyddar mot direkta kryphål som annars inte omfattas av en specifik tjänstkategori. I den här kategorin finns specifika attacker mot sårbarheter som mot Microsoft Windows. Attacker med en egen kategori, till exempel SQL-inmatning, har en egen kategori. |
| Exploit-Kit | Den här kategorin är avsedd för signaturer för att identifiera aktivitet relaterad till Exploit Kits deras infrastruktur och leverans. |
| FTP | Den här kategorin är avsedd för signaturer relaterade till attacker, kryphål och sårbarheter som är associerade med File Transfer Protocol (FTP). Den här kategorin innehåller även regler som identifierar icke-skadlig FTP-aktivitet, till exempel inloggningar i loggningssyfte. |
| Spel | Den här kategorin är för signaturer som identifierar speltrafik och attacker mot dessa spel. Reglerna omfattar spel som World of Warcraft, Starcraft och andra populära onlinespel. Även om spelen och deras trafik inte är skadliga är de ofta oönskade och förbjudna av principer i företagsnätverk. |
| Hotjakt | Den här kategorin är för signaturer som ger indikatorer som när de matchas med andra signaturer kan vara användbara för hotjakt i en miljö. Dessa regler kan ge falska positiva identifieringar av legitim trafik och hämma prestanda. De rekommenderas endast för användning när du aktivt undersöker potentiella hot i miljön. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och Neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| ICMP | Den här kategorin är avsedd för signaturer relaterade till attacker och sårbarheter om ICMP (Internet Control Message Protocol). |
| ICMP_info | Den här kategorin är avsedd för signaturer relaterade till ICMP-protokollspecifika händelser, som vanligtvis är associerade med normala åtgärder i loggningssyfte. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och Neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| IMAP | Den här kategorin är avsedd för signaturer som rör attacker, kryphål och sårbarheter om IMAP (Internet Message Access Protocol). Den här kategorin innehåller även regler som identifierar icke-skadlig IMAP-aktivitet i loggningssyfte. |
| Olämpligt | Denna kategori är avsedd för signaturer för att identifiera potentiellt aktivitet relaterad till webbplatser som är pornografiska eller på annat sätt inte lämpliga för en arbetsmiljö. Varning! Den här kategorin kan ha en betydande prestandapåverkan och hög frekvens av falska positiva identifieringar. |
| Information | Den här kategorin är avsedd för signaturer för att tillhandahålla händelser på granskningsnivå som är användbara för korrelation och identifiering av intressant aktivitet, som kanske inte är skadlig i sig men som ofta observeras i skadlig kod och andra hot. Du kan till exempel ladda ned en körbar fil via HTTP via IP-adress i stället för domännamn. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och Neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| JA3 | Den här kategorin är avsedd för signaturer för skadliga SSL-certifikat med fingeravtryck med hjälp av JA3-hashvärden. Dessa regler baseras på parametrar som finns i SSL-handskakningsförhandlingen av både klienter och servrar. Dessa regler kan ha en hög falsk positiv frekvens men kan vara användbara för hotjakt eller detonationsmiljöer för skadlig kod. |
| Skadlig kod | Den här kategorin är avsedd för signaturer för att identifiera skadlig programvara. Regler i den här kategorin identifierar aktivitet relaterad till skadlig programvara som identifieras i nätverket, inklusive skadlig kod under överföring, aktiv skadlig kod, infektioner av skadlig kod, attacker mot skadlig kod och uppdatering av skadlig kod. Detta är också en mycket viktig kategori och vi rekommenderar starkt att du kör den. |
| Diverse | Den här kategorin gäller signaturer som inte omfattas av andra kategorier. |
| Mobil skadlig kod | Den här kategorin gäller signaturer som anger skadlig kod som är associerad med mobila operativsystem och surfplattor som Google Android, Apple iOS och andra. Skadlig kod som identifieras och är associerad med mobila operativsystem placeras vanligtvis i den här kategorin snarare än standardkategorierna som Skadlig kod. |
| NETBIOS | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med NetBIOS. Den här kategorin innehåller även regler som identifierar icke-skadlig NetBIOS-aktivitet i loggningssyfte. |
| P2P | Den här kategorin är avsedd för signaturer för identifiering av P2P-trafik (Peer-to-Peer) och attacker mot den. Identifierad P2P-trafik inkluderar bland annat torrents, edonkey, Bittorrent, Gnutella och Limewire. P2P-trafik är inte skadlig i sig men är ofta anmärkningsvärt för företag. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| Phishing | Den här kategorin är för signaturer som identifierar aktiviteter för autentiseringsuppgifter och nätfiske. Detta inkluderar landningssidor som visar nätfiske av autentiseringsuppgifter och lyckad överföring av autentiseringsuppgifter till webbplatser för autentiseringsuppgifter och nätfiske. |
| Policy | Den här kategorin är för signaturer som kan tyda på överträdelser av en organisations princip. Detta kan omfatta protokoll som är benägna att missbrukas och andra transaktioner på programnivå, vilket kan vara av intresse. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Kunder kan åsidosätta detta genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| POP3 | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med Post Office Protocol 3.0 (POP3). Den här kategorin innehåller även regler som identifierar icke-skadlig POP3-aktivitet i loggningssyfte. |
| RPC | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter för RPC (Remote Procedure Call). Den här kategorin innehåller även regler som identifierar icke-skadlig RPC-aktivitet i loggningssyfte. |
| SCADA | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är kopplade till övervakningskontroll och datainsamling (SCADA). Den här kategorin innehåller även regler som identifierar icke-skadlig SCADA-aktivitet i loggningssyfte. |
| SCAN | Den här kategorin är avsedd för signaturer för att identifiera rekognosering och avsökning från verktyg som Nessus, Nikto och andra portgenomsökningsverktyg. Den här kategorin kan vara användbar för att identifiera tidig överträdelseaktivitet och lateral förflyttning efter infektion inom en organisation. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Kunder kan åsidosätta detta genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| Gränssnittskod | Den här kategorin är för signaturer för identifiering av fjärrgränssnittskod. Fjärrgränssnittskod används när en angripare vill rikta in sig på en sårbar process som körs på en annan dator i ett lokalt nätverk eller intranät. Om den körs kan gränssnittskoden ge angriparen åtkomst till måldatorn i nätverket. Fjärrgränssnittskoder använder normalt TCP/IP-standardanslutningar för att ge angriparen åtkomst till gränssnittet på måldatorn. Sådan gränssnittskod kan kategoriseras baserat på hur den här anslutningen har konfigurerats: om shell-koden kan upprätta den här anslutningen kallas den för ett "omvänd gränssnitt" eller en "anslut tillbaka"-gränssnittskod eftersom shell-koden ansluter tillbaka till angriparens dator. |
| SMTP | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med SMTP (Simple Mail Transfer Protocol). Den här kategorin innehåller även regler som identifierar icke-skadlig SMTP-aktivitet i loggningssyfte. |
| SNMP | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med Simple Network Management Protocol (SNMP). Den här kategorin innehåller även regler som identifierar icke-skadlig SNMP-aktivitet i loggningssyfte. |
| SQL | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med Structured Query Language (SQL). Den här kategorin innehåller även regler som identifierar icke-skadlig SQL-aktivitet i loggningssyfte. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Kunder kan åsidosätta detta genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| TELNET | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med TELNET. Den här kategorin innehåller även regler som identifierar icke-skadlig TELNET-aktivitet i loggningssyfte. |
| TFTP | Den här kategorin är avsedd för signaturer som rör attacker, sårbarheter och sårbarheter som är associerade med TFTP (Trivial File Transport Protocol). Den här kategorin innehåller även regler som identifierar icke-skadlig TFTP-aktivitet i loggningssyfte. |
| TOR | Den här kategorin är avsedd för signaturer för identifiering av trafik till och från TOR-utgångsnoder baserat på IP-adress. Obs! Alla signaturer i den här kategorin definieras som "Endast avisering", och därför blockeras inte trafik som matchar dessa signaturer som standard trots att IDPS-läget är inställt på "Avisering och neka". Kunder kan åsidosätta det här beteendet genom att anpassa dessa specifika signaturer till läget "Avisering och neka". |
| Användaragenter | Den här kategorin är avsedd för signaturer för att identifiera misstänkta och avvikande användaragenter. Kända skadliga användaragenter placeras i kategorin Skadlig kod. |
| VOIP | Den här kategorin är för signaturer för attacker och sårbarheter som är associerade med VoIP (Voice over IP), inklusive SIP, H.323 och RTP bland andra. |
| Webbklient | Den här kategorin är avsedd för signaturer för attacker och sårbarheter som är kopplade till webbklienter, till exempel webbläsare och program på klientsidan som CURL, WGET och andra. |
| Webbserver | Den här kategorin är avsedd för signaturer för att identifiera attacker mot webbserverinfrastruktur som APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) och annan webbserverprogramvara. |
| Webbspecifika appar | Den här kategorin är avsedd för signaturer för att identifiera attacker och sårbarheter i specifika webbprogram. |
| MASK | Den här kategorin är avsedd för signaturer för att identifiera skadlig aktivitet som automatiskt försöker spridas över Internet eller i ett nätverk genom att utnyttja en säkerhetsrisk klassificeras som WORM-kategorin. Även om själva exploateringen vanligtvis identifieras i kategorin Exploit eller given protokoll, kan en annan post i den här kategorin göras om den faktiska skadliga koden som används för maskliknande spridning också kan identifieras. |
Nästa steg
- Mer information om Azure Firewall Premium-funktioner finns i Azure Firewall Premium-funktioner.