你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 防火墙 IDPS 签名规则类别

Azure 防火墙 IDPS 具有可分配给单个签名的 50 多个类别。 下表列出了每个类别的定义。

类别

类别 说明
3CORESec 此类别适用于从 3CORESec 团队的 IP 阻止列表自动生成的签名。 这些阻止列表由 3CORESec 基于来自其蜜罐的恶意活动进行生成。
ActiveX 此类别适用于防范针对 Microsoft ActiveX 控件的攻击以及防范恶意利用 ActiveX 控件中的漏洞的签名。
Adware-PUP 此类别适用于的签名可标识用于广告跟踪或其他类型的间谍软件相关活动的软件。
攻击响应 此类别适用于的签名可标识指示入侵的响应 - 示例包括但不限于 LMHost 文件下载、存在某些 Web 横幅以及检测 Metasploit Meterpreter kill 命令。 这些签名旨在捕获成功攻击的结果。 id=root 等内容,或指示已发生入侵的错误消息。
Botcc(机器人命令和控制) 此类别适用于的签名从已知和确认的活动僵尸网络的多个源以及其他命令和控制 (C2) 主机自动生成。 此类别每日进行更新。 该类别的主要数据源是 Shadowserver.org.
已分组的 Botcc 端口 此类别适用于的签名与 Botcc 类别中的签名类似,但是按目标端口进行分组。 按端口进行分组的规则可以提供比未按端口进行分组的规则更高的保真度。
聊天 此类别适用于的签名可标识与许多聊天客户端(例如 Internet 中继聊天 (IRC))相关的流量。 聊天流量可以指示威胁行动者可能进行了签入活动。
CIArmy 此类别适用于使用集体情报的 IP 阻止规则生成的签名。
硬币挖掘 此类别适用于的签名具有可检测进行硬币挖掘的恶意软件的规则。 这些签名还可以检测一些合法(但通常不需要)的硬币挖掘软件。
已泄露 此类别适用于的签名基于已知泄漏主机的列表。 此列表每日进行确认和更新。 根据数据源,此类别中的签名可以从一个到数百个规则不等。 此类别的数据源来自多个专用但高度可靠的数据源。
当前事件 此类别适用于的签名具有为响应活动的短期市场活动而制定的规则,以及预期为临时的高调项。 一个示例是与灾难相关的欺诈市场活动。 此类别中的规则不打算长期保留在规则集内,或者需要经过进一步测试,然后才能考虑包含这些规则。 大多数情况下,这些签名是当天的 Storm 二进制 URL 的简单签名,以及用于捕获新发现的有漏洞应用的 CLSID 的签名,我们在这些应用中无法提供任何有关恶意利用等问题的详细信息。
DNS(域名服务) 此类别适用于的签名具有针对有关 DNS 的攻击和漏洞的签名。 此类别还用于与 DNS 滥用相关的规则,例如隧道。
DOS 此类别适用于的签名可检测拒绝服务 (DoS) 尝试。 这些规则旨在捕获入站 DoS 活动,并提供出站 DoS 活动的指示。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
丢弃 此类别适用于可阻止 Spamhaus DROP(不路由或建立对等方)列表中的 IP 地址的签名。 此类别中的规则每日进行更新。
Dshield 此类别适用于的签名基于 Dshield 标识的攻击者。 此类别中的规则每日从可靠的 DShield 顶级攻击者列表进行更新。
攻击 此类别适用于的签名可防范特定服务类别中未涵盖的直接攻击。 在此类别中,会发现针对漏洞(如针对 Microsoft Windows)的特定攻击。 具有自己的类别(例如 SQL 注入)的攻击具有其自己的类别。
攻击工具包 此类别适用于的签名可检测与攻击工具包、其基础结构和发送相关的活动。
FTP 此类别适用于的签名与文件传输协议 (FTP) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 FTP 活动(例如登录)以用于日志记录的规则。
游戏 此类别适用于的签名可标识游戏流量和针对这些游戏的攻击。 这些规则涵盖的游戏包括《魔兽世界》、《星际争霸》和其他热门联机游戏。 虽然游戏及其流量不是恶意的,但它们在企业网络上通常是不受欢迎的,被策略所禁止。
搜寻 此类别适用于的签名可提供指示器,这些指示器在与其他签名匹配时可用于环境中的威胁搜寻。 这些规则可能会对合法流量进行误报并抑制性能。 建议仅在主动研究环境中的潜在威胁时才使用它们。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
ICMP 此类别适用于的签名与 Internet 控制消息协议 (ICMP) 方面的攻击和漏洞相关。
ICMP_info 此类别适用于的签名与特定于 ICMP 协议的事件相关,这些事件通常与正常操作关联以用于日志记录。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
IMAP 此类别适用于的签名与 Internet 消息访问协议 (IMAP) 方面的攻击、利用和漏洞相关。 此类别还包括可检测非恶意 IMAP 活动以用于日志记录的规则。
不当 此类别适用于的签名可标识与恶意站点或在其他方面不适合工作环境的站点相关的潜在活动。

警告:此类别可能会显著影响性能,并且误报率较高。
信息 此类别适用于的签名可帮助提供审核级别事件,这些事件可用于关联和识别在本质上可能不是恶意的,但经常在恶意软件和其他威胁中观察到的感兴趣活动。 例如,按 IP 地址而不是域名通过 HTTP 下载可执行文件。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
JA3 此类别适用于的签名可使用 JA3 哈希对恶意 SSL 证书进行指纹处理。 这些规则基于客户端和服务器进行的 SSL 握手协商中的参数。 这些规则的误报率可能较高,但可用于威胁搜寻或恶意软件引爆环境。
恶意软件 此类别适用于的签名可检测恶意软件。 此类别中的规则可检测与网络上检测到的恶意软件相关的活动,包括传输中的恶意软件、活动恶意软件、恶意软件感染、恶意软件攻击和恶意软件更新。 这也是非常重要的类别,强烈建议运行它。
杂项 此类别适用于其他类别中未涵盖的签名。
移动恶意软件 此类别适用于的签名可指示与移动和平板电脑操作系统(如 Google Android、Apple iOS 等)相关的恶意软件。 检测到并与移动操作系统关联的恶意软件通常会置于此类别中,而不是标准类别(如恶意软件)中。
NETBIOS 此类别适用于的签名与 NetBIOS 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 NetBIOS 活动以用于日志记录的规则。
P2P 此类别适用于的签名可标识对等 (P2P) 流量和针对这类流量的攻击。 标识的 P2P 流量包括 torrents、edonkey、Bittorrent、Gnutella 和 Limewire 等。 P2P 流量在本质上不是恶意的,但通常对于企业而言值得注意。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
钓鱼 此类别适用于的签名可检测凭据-网络钓鱼活动。 这包括显示凭据网络钓鱼的登录页面,以及将凭据成功提交到凭据仿冒网站。
策略 此类别适用于可指示违反组织策略的签名。 这可能包括容易滥用的协议,以及其他可能感兴趣的应用程序级别事务。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
POP3 此类别适用于的签名与邮局协议 3.0 (POP3) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 POP3 活动以用于日志记录的规则。
RPC 此类别适用于的签名与远程过程调用 (RPC) 方面的攻击、利用和漏洞相关。 此类别还包括可检测非恶意 RPC 活动以用于日志记录的规则。
SCADA 此类别适用于的签名与监控和数据采集 (SCADA) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 SCADA 活动以用于日志记录的规则。
扫描 此类别适用于的签名可检测来自 Nessus、Nikto 和其他端口扫描等工具的侦查和探测。 此类别可用于检测组织内的早期违规活动和感染后横向移动。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
Shell 代码 此类别适用于的签名可进行远程 shell 代码检测。 当攻击者要将在本地网络或 Intranet 上的其他计算机上运行的易受攻击进程作为目标时,可以使用远程 shell 代码。 如果成功执行,则 shell 代码可使攻击者能够跨网络访问目标计算机。 远程 shell 代码通常使用标准 TCP/IP 套接字连接,以使攻击者可以访问目标计算机上的 shell。 可以根据此连接的建立方式对此类 shell 代码进行分类:如果 shell 代码可以建立这种连接,则称为“反向 shell”;或者由于 shell 代码连接回到攻击者的计算机而被称为“回连”。
SMTP 此类别适用于的签名与简单邮件传输协议 (SMTP) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 SMTP 活动以用于日志记录的规则。
SNMP 此类别适用于的签名与简单网络管理协议 (SNMP) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 SNMP 活动以用于日志记录的规则。
SQL 此类别适用于的签名与结构化查询语言 (SQL) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 SQL 活动以用于日志记录的规则。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
TELNET 此类别适用于的签名与 TELNET 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 TELNET 活动以用于日志记录的规则。
TFTP 此类别适用于的签名与日常文件传输协议 (TFTP) 的关联攻击、利用和漏洞相关。 此类别还包括可检测非恶意 TFTP 活动以用于日志记录的规则。
TOR 此类别适用于的签名可基于 IP 地址标识进出 TOR 出口节点的流量。

注意:此类别中的所有签名都定义为“仅发出警报”,因此在默认情况下,即使 IDPS 模式设置为“发出警报并拒绝”,也不会阻止与这些签名匹配的流量。 客户可以通过将这些特定签名自定义为“发出警报并拒绝”模式来重写此行为。
用户代理 此类别适用于的签名可检测可疑和异常用户代理。 已知恶意用户代理会置于恶意软件类别中。
VOIP 此类别适用于的签名与 IP 语音 (VOIP)(包括 SIP、H.323 和 RTP 等)的关联攻击和漏洞相关。
Web 客户端 此类别适用于的签名针对与 Web 客户端(如 Web 浏览器)和客户端应用程序(如 CURL、WGET 等)关联的攻击和漏洞。
Web 服务器 此类别适用于的签名可检测针对 Web 服务器基础结构(例如 APACHE、TOMCAT、NGINX、Microsoft Internet Information Services (IIS) 和其他 Web 服务器软件)的攻击。
Web 特定应用 此类别适用于的签名可检测特定 Web 应用程序的攻击和漏洞。
WORM 此类别适用于的签名可检测自动尝试通过攻击漏洞跨 Internet 或在网络中传播的恶意活动,被分为 WORM 类别。 尽管实际攻击本身通常会标识为“攻击”或给定协议类别,但如果参与蠕虫病毒类传播的实际恶意软件也可以进行标识,则可能会创建此类别的另一个条目。

后续步骤