Aviseringar för DNS
I den här artikeln visas de säkerhetsaviseringar som du kan få för DNS från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar för DNS
Viktigt!
Från och med den 1 augusti 2023 kan kunder med en befintlig prenumeration på Defender för DNS fortsätta att använda tjänsten, men nya prenumeranter får aviseringar om misstänkt DNS-aktivitet som en del av Defender för servrar P2.
Mer information och anteckningar
Avvikande nätverksprotokollanvändning
(AzureDNS_ProtocolAnomaly)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade avvikande protokollanvändning. Sådan trafik, även om den är möjligen godartad, kan tyda på missbruk av det här gemensamma protokollet för att kringgå filtrering av nätverkstrafik. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: -
Nätverksaktivitet för anonymitet
(AzureDNS_DarkWeb)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Anonymitetsnätverksaktivitet med hjälp av webbproxy
(AzureDNS_DarkWebProxy)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Försök till kommunikation med misstänkt sinkholed-domän
(AzureDNS_SinkholedDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade begäran om sinkholed-domän. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Kommunikation med möjlig nätfiskedomän
(AzureDNS_PhishingDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en begäran om en möjlig nätfiskedomän. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att samla in autentiseringsuppgifter till fjärrtjänster. Typisk relaterad attackerande aktivitet kommer sannolikt att omfatta utnyttjande av eventuella autentiseringsuppgifter för den legitima tjänsten.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Kommunikation med misstänkt algoritmgenererad domän
(AzureDNS_DomainGenerationAlgorithm)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade möjlig användning av en algoritm för domängenerering. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Kommunikation med misstänkt slumpmässigt domännamn
(AzureDNS_RandomizedDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade användningen av ett misstänkt slumpmässigt genererat domännamn. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Gruvaktivitet för digital valuta
(AzureDNS_CurrencyMining)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade gruvaktivitet för digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Aktivering av signatur för identifiering av nätverksintrång
(AzureDNS_SuspiciousDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en känd signatur för skadligt nätverk. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Möjlig datahämtning via DNS-tunnel
(AzureDNS_DataInfiltration)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Möjlig dataexfiltrering via DNS-tunnel
(AzureDNS_DataExfiltration)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Möjlig dataöverföring via DNS-tunnel
(AzureDNS_DataObfuscation)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.