IDPS imza kuralı kategorilerini Azure Güvenlik Duvarı
tek tek imzalara atanabilecek 50'den fazla kategorinin üzerinde IDPS özelliği Azure Güvenlik Duvarı. Aşağıdaki tabloda, her kategoriye ait tanımların listesi yer alır.
Kategoriler
| Kategori | Açıklama |
|---|---|
| 3CORESec | Bu kategori, 3CORESec ekibinin IP engelleme listelerinden otomatik olarak oluşturulan imzalara yöneliktir. Bu blok listeleri, Honeypots'larından gelen kötü amaçlı etkinlikler temelinde 3CORESec tarafından oluşturulur. |
| ActiveX | Bu kategori, Microsoft ActiveX denetimlerine karşı saldırılara karşı koruma sağlayan ve ActiveX denetimlerindeki güvenlik açıklarını hedefleyen açıklardan yararlanan imzalara yöneliktir. |
| Adware-PUP | Bu kategori, reklam izleme veya casus yazılımla ilgili diğer etkinlik türleri için kullanılan yazılımları tanımlayan imzalara yöneliktir. |
| Saldırı Yanıtı | Bu kategori, yetkisiz erişimi gösteren yanıtları tanımlayan imzalara yöneliktir; LMHost dosya indirme, belirli web başlıklarının varlığı ve Metasploit Meterpreter kill komutunu algılama örnekleridir ancak bunlarla sınırlı değildir. Bu imzalar başarılı bir saldırının sonuçlarını yakalamak için tasarlanmıştır. Kimlik=kök gibi şeyler veya bir güvenliğin aşıldığını belirten hata iletileri olabilir. |
| Botcc (Bot Komutu ve Denetimi) | Bu kategori, bilinen ve onaylanan etkin botnet ve diğer Command andControl (C2) konaklarının çeşitli kaynaklarından otomatik olarak oluşturulan imzalara yöneliktir. Bu kategori günlük olarak güncelleştirilir. Kategorinin birincil veri kaynağı Shadowserver.org. |
| Botcc Bağlantı Noktası gruplandırılmış | Bu kategori, Botcc kategorisindeki gibi ancak hedef bağlantı noktasına göre gruplandırılmış imzalar içindir. Bağlantı noktasına göre gruplandırılmış kurallar, bağlantı noktasına göre gruplandırılmayan kurallardan daha yüksek uygunluk sunabilir. |
| Sohbet | Bu kategori, Internet Relay Chat (IRC) gibi birçok sohbet istemcisiyle ilgili trafiği tanımlayan imzalara yöneliktir. Sohbet trafiği, tehdit aktörlerinin olası giriş etkinliğini gösteriyor olabilir. |
| CIArmy | Bu kategori, Engelleme için Kolektif Yönetim Bilgileri'nin IP kuralları kullanılarak oluşturulan imzalara yöneliktir. |
| Madeni para madenciliği | Bu kategori, madeni para madenciliği yapan kötü amaçlı yazılımları algılayan kurallara sahip imzalara yöneliktir. Bu imzalar bazı meşru (ancak genellikle istenmeyen) madeni para madenciliği yazılımlarını da algılayabilir. |
| Tehlikeye | Bu kategori, güvenliği aşılmış bilinen konakların listesini temel alan imzalara yöneliktir. Bu liste onaylanır ve günlük olarak güncelleştirilir. Bu kategorideki imzalar, veri kaynaklarına bağlı olarak bir ila birkaç yüz kural arasında değişiklik gösterebilir. Bu kategorinin veri kaynakları çeşitli özel ama son derece güvenilir veri kaynaklarından gelir. |
| Geçerli Olaylar | Bu kategori, etkin ve kısa süreli kampanyalara ve geçici olması beklenen yüksek profilli öğelere yanıt olarak geliştirilen kurallarla imzalara yöneliktir. Bunun bir örneği, olağanüstü durumlarla ilgili dolandırıcılık kampanyalarıdır. Bu kategorideki kuralların kural kümesinde uzun süre saklanması amaçlanmamıştır veya dahil edilmeleri düşünülmeden önce daha fazla test edilmesi gerekir. Çoğu zaman bunlar günün Storm ikili URL'si için basit imzalar, yeni bulunan savunmasız uygulamaların CLSID'lerini yakalamaya yönelik imzalar ve açıktan yararlanma hakkında herhangi bir ayrıntıya sahip olamayız vb. olur. |
| DNS (Etki Alanı Adı Hizmeti) | Bu kategori, DNS ile ilgili saldırılara ve güvenlik açıklarına yönelik kurallar içeren imzalara yöneliktir. Bu kategori, tünel oluşturma gibi DNS'nin kötüye kullanımıyla ilgili kurallar için de kullanılır. |
| DOS | Bu kategori, Hizmet Reddi (DoS) girişimlerini algılayan imzalara yöneliktir. Bu kurallar gelen DoS etkinliğini yakalamak ve giden DoS etkinliğinin göstergesini sağlamak için tasarlanmıştır. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Bırak | Bu kategori, Spamhaus DROP (Yönlendirme veya Eşleme) listesindeki IP adreslerini engelleyen imzalara yöneliktir. Bu kategorideki kurallar günlük olarak güncelleştirilir. |
| Dshield | Bu kategori, Dshield tarafından tanımlanan saldırganları temel alan imzalara yöneliktir. Bu kategorideki kurallar, güvenilir olan DShield üst saldırganlar listesinden günlük olarak güncelleştirilir. |
| Istismar | Bu kategori, belirli bir hizmet kategorisinde aksi halde kapsanmayan doğrudan açıklardan korunmaya yönelik imzalara yöneliktir. Bu kategori, Microsoft Windows gibi güvenlik açıklarına karşı belirli saldırıların bulunacağı yerdir. SQL ekleme gibi kendi kategorilerine sahip saldırıların kendi kategorisi vardır. |
| Exploit-Kit | Bu kategori, imzaların Exploit Kit'lerin altyapısı ve teslimi ile ilgili etkinlikleri algılamasına yöneliktir. |
| FTP | Bu kategori, Dosya Aktarım Protokolü (FTP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla oturum açma işlemleri gibi kötü amaçlı olmayan FTP etkinliklerini algılayan kuralları da içerir. |
| Oyunlar | Bu kategori, oyun trafiğini ve bu oyunlara yönelik saldırıları tanımlayan imzalara yöneliktir. Kurallar World of Warcraft, Starcraft ve diğer popüler çevrimiçi oyunlar gibi oyunları kapsar. Oyunlar ve trafiği kötü amaçlı olmasa da, genellikle şirket ağlarında ilke tarafından istenmeyen ve yasaklanır. |
| Avlanma | Bu kategori, diğer imzalarla eşleştirildiğinde ortamda tehdit avcılığı için yararlı olabilecek göstergeler sağlayan imzalara yöneliktir. Bu kurallar yasal trafik üzerinde hatalı pozitif sonuçlar verebilir ve performansı engelleyebilir. Yalnızca ortamdaki olası tehditleri etkin bir şekilde araştırırken kullanılması önerilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| ICMP | Bu kategori, İnternet Denetim İletisi Protokolü (ICMP) hakkındaki saldırılar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. |
| ICMP_info | Bu kategori, genellikle günlüğe kaydetme amacıyla normal işlemlerle ilişkili ICMP protokolüne özgü olaylarla ilgili imzalara yöneliktir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| IMAP | Bu kategori saldırılar, açıklardan yararlanmalar ve İnternet İleti Erişim Protokolü (IMAP) hakkındaki güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla nonmalicious IMAP etkinliğini algılayan kuralları da içerir. |
| Uygunsuz | Bu kategori, pornografik olan veya bir çalışma ortamı için uygun olmayan sitelerle ilgili potansiyel etkinlikleri belirlemek için imzalara yöneliktir. Uyarı: Bu kategori önemli bir performans etkisine ve hatalı pozitiflerin yüksek oranına sahip olabilir. |
| Bilgi | Bu kategori, bağıntı ve ilginç etkinlikleri tanımlamak için yararlı olan ve doğal olarak kötü amaçlı olmayan ancak genellikle kötü amaçlı yazılımlarda ve diğer tehditlerde gözlemlenen denetim düzeyi olayları sağlamaya yardımcı olan imzalara yöneliktir. Örneğin, etki alanı adı yerine IP adresine göre HTTP üzerinden yürütülebilir dosya indirme. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| JA3 | Bu kategori, JA3 karmalarını kullanarak kötü amaçlı SSL sertifikalarının parmak izini almak için kullanılan imzalara yöneliktir. Bu kurallar, hem istemciler hem de sunucular tarafından SSL el sıkışması anlaşmasında bulunan parametreleri temel alır. Bu kurallar yüksek hatalı pozitif oranına sahip olabilir, ancak tehdit avcılığı veya kötü amaçlı yazılım patlama ortamları için yararlı olabilir. |
| Kötü Amaçlı Yazılımlar | Bu kategori, imzaların kötü amaçlı yazılımları algılamasına yöneliktir. Bu kategorideki kurallar aktarımdaki kötü amaçlı yazılımlar, etkin kötü amaçlı yazılımlar, kötü amaçlı yazılım bulaşmaları, kötü amaçlı yazılım saldırıları ve kötü amaçlı yazılımların güncelleştirilmesi dahil olmak üzere ağda algılanan kötü amaçlı yazılımlarla ilgili etkinlikleri algılar. Bu aynı zamanda son derece önemli bir kategoridir ve çalıştırmanız kesinlikle önerilir. |
| Çeşitli | Bu kategori, diğer kategorilerde yer almayan imzalara yöneliktir. |
| Mobil Kötü Amaçlı Yazılım | Bu kategori, Google Android, Apple iOS ve diğerleri gibi mobil ve tablet işletim sistemleriyle ilişkili kötü amaçlı yazılımları gösteren imzalara yöneliktir. Algılanan ve mobil işletim sistemleriyle ilişkili kötü amaçlı yazılımlar genellikle Kötü Amaçlı Yazılım gibi standart kategoriler yerine bu kategoriye yerleştirilir. |
| NETBIOS | Bu kategori, NetBIOS ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan NetBIOS etkinliğini algılayan kuralları da içerir. |
| P2P | Bu kategori, Eşler Arası (P2P) trafiği ve ona yönelik saldırıların tanımlanmasına yönelik imzalara yöneliktir. Tanımlanan P2P trafiği arasında torrentler, edonkey, Bittorrent, Gnutella ve Limewire bulunur. P2P trafiği doğası gereği kötü amaçlı değildir ancak genellikle kuruluşlar için dikkat çekicidir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Kimlik avı | Bu kategori, kimlik bilgisi kimlik avı etkinliğini algılayan imzalara yöneliktir. Bu, kimlik bilgisi kimlik avının görüntülendiği giriş sayfalarını ve kimlik bilgilerinin kimlik bilgisi kimlik avı sitelerine başarıyla gönderilmesini içerir. |
| İlke | Bu kategori, kuruluşun ilkesine yönelik ihlalleri gösterebilecek imzalara yöneliktir. Bu, kötüye kullanıma eğilimli protokolleri ve ilgi çekici olabilecek diğer uygulama düzeyinde işlemleri içerebilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bunu geçersiz kılabilir. |
| POP3 | Bu kategori, Postane Protokolü 3.0 (POP3) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla nonmalicious POP3 etkinliğini algılayan kuralları da içerir. |
| RPC | Bu kategori, Uzaktan Yordam Çağrısı (RPC) ile ilgili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan RPC etkinliğini algılayan kuralları da içerir. |
| SCADA | Bu kategori, denetim denetimi ve veri alımı (SCADA) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SCADA etkinliğini algılayan kuralları da içerir. |
| TARAMA | Bu kategori, Nessus, Nikto ve diğer bağlantı noktası tarama araçları gibi araçlardan keşif ve yoklama algılamaya yönelik imzalara yöneliktir. Bu kategori, bir kuruluş içindeki erken ihlal etkinliğini ve enfeksiyon sonrası yanal hareketi algılamak için yararlı olabilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bunu geçersiz kılabilir. |
| Kabuk kodu | Bu kategori, uzak kabuk kodu algılama imzaları içindir. Bir saldırgan yerel ağdaki veya intranetteki başka bir makinede çalışan savunmasız bir işlemi hedeflemek istediğinde uzak kabuk kodu kullanılır. Kabuk kodu başarıyla yürütülürse saldırgana ağ üzerinden hedef makineye erişim sağlayabilir. Uzak kabuk kodları normalde saldırganın hedef makinedeki kabuğa erişmesine izin vermek için standart TCP/IP yuvası bağlantılarını kullanır. Bu tür kabuk kodu, bu bağlantının nasıl kurulduğuna göre kategorilere ayrılmış olabilir: Kabuk kodu bu bağlantıyı kurabiliyorsa, kabuk kodu saldırganın makinesine geri bağlandığından buna "ters kabuk" veya "geri bağlan" kabuk kodu denir. |
| SMTP | Bu kategori, Basit Posta Aktarım Protokolü (SMTP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SMTP etkinliğini algılayan kuralları da içerir. |
| SNMP | Bu kategori, Basit Ağ Yönetimi Protokolü (SNMP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SNMP etkinliğini algılayan kurallar da içerir. |
| SQL | Bu kategori, Yapılandırılmış Sorgu Dili (SQL) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SQL etkinliğini algılayan kuralları da içerir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bunu geçersiz kılabilir. |
| TELNET | Bu kategori, TELNET ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan TELNET etkinliğini algılayan kuralları da içerir. |
| TFTP | Bu kategori, Basit Dosya Aktarım Protokolü (TFTP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla nonmalicious TFTP etkinliğini algılayan kuralları da içerir. |
| TOR | Bu kategori, IP adresine göre TOR çıkış düğümlerine gelen ve bu düğümlerden gelen trafiğin tanımlanmasına yönelik imzalara yöneliktir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu belirli imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Kullanıcı Aracıları | Bu kategori, şüpheli ve anormal kullanıcı aracılarını algılamak için imzalara yöneliktir. Bilinen kötü amaçlı kullanıcı aracıları Kötü Amaçlı Yazılım kategorisine yerleştirilir. |
| VOIP | Bu kategori SIP, H.323 ve RTP gibi IP üzerinden Ses (VOIP) ile ilişkili saldırılara ve güvenlik açıklarına yönelik imzalara yöneliktir. |
| Web İstemcisi | Bu kategori, web tarayıcıları gibi web istemcileri ve CURL, WGET ve diğerleri gibi istemci tarafı uygulamalarıyla ilişkili saldırılara ve güvenlik açıklarına yönelik imzalara yöneliktir. |
| Web Sunucusu | Bu kategori APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) ve diğer web sunucusu yazılımları gibi web sunucusu altyapısına yönelik saldırıları algılamaya yönelik imzalara yöneliktir. |
| Web'e Özgü Uygulamalar | Bu kategori, belirli web uygulamalarındaki saldırıları ve güvenlik açıklarını algılamak için imzalara yöneliktir. |
| SOLUCAN | Bu kategori, bir güvenlik açığından yararlanarak İnternet'e veya ağ içinde otomatik olarak yayılmaya çalışan kötü amaçlı etkinlikleri algılamaya yönelik imzalar WORM kategorisi olarak sınıflandırılır. Gerçek açıklardan yararlanmanın kendisi genellikle Exploit veya verilen protokol kategorisinde tanımlansa da, solucan benzeri yayılmaya giriş yapan gerçek kötü amaçlı yazılım da tanımlanabiliyorsa bu kategoride başka bir giriş yapılabilir. |
Sonraki adımlar
- Azure Güvenlik Duvarı Premium özellikleri hakkında daha fazla bilgi edinmek için bkz. premium özellikleri Azure Güvenlik Duvarı.