你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 网络层警报
本文列出了从 Microsoft Defender for Cloud 获取的 Azure 网络层以及已启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
一些最近添加的由 Microsoft Defender 威胁智能 和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
Azure 网络层警报
检测到与恶意计算机进行网络通信
(Network_CommunicationWithC2)
说明:网络流量分析指示计算机(IP %{受害者 IP})已与命令和控制中心通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源已与可能是命令和控制中心的位置进行通信。
MITRE 策略:命令和控制
严重性:中等
检测到计算机可能遭到入侵
(Network_ResourceIpIndicatedAsMalicious)
说明:威胁情报表明计算机(IP %{Machine IP})可能已受到 Conficker 类型的恶意软件的攻击。 Conficker 是一种以 Microsoft Windows 操作系统为目标的计算机蠕虫病毒,并于 2008 年 11 月首次被检测到。 Conficker 感染了 200 多个国家/地区的数百万台计算机,包括政府、企业和家庭计算机,是自 2003 年 Welchia 蠕虫病毒爆发以来最广为人知的计算机蠕虫病毒感染。
MITRE 策略:命令和控制
严重性:中等
检测到可能的传入 %{Service Name} 暴力攻击尝试
(Generic_Incoming_BF_OneToOne)
说明:网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host} 与 %{Victim IP} 的传入 %{服务名称} 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Victim Port} 在 %{Start Time} 到 %{End Time} 之间的可疑活动。 此活动与针对 %{Service Name} 服务器进行的暴力攻击尝试的特征相符。
MITRE 策略:PreAttack
严重性:信息性
检测到可能的传入 SQL 暴力攻击尝试
(SQL_Incoming_BF_OneToOne)
说明:网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host}与资源 %{Compromised Host}关联的传入 SQL 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Port Number} 在 %{Start Time} 到 %{End Time} 之间的可疑活动 (%{SQL Service Type})。 此活动与针对 SQL Server 进行的暴力破解尝试的特征相符。
MITRE 策略:PreAttack
严重性:中等
检测到可能的传出拒绝服务攻击
(DDOS)
说明:网络流量分析检测到源自部署中的资源 %{Compromised Host}的异常传出活动。 此活动可能表明资源已泄露,并且现在正在针对外部终结点执行拒绝服务攻击。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源遭到入侵。 根据连接量,我们认为以下 IP 可能会成为 DOS 攻击的目标:%{Possible Victims}。 请注意,与其中一些 IP 进行的通信可能合法。
MITRE 策略:影响
严重性:中等
来自多个源的可疑传入 RDP 网络活动
(RDP_Incoming_BF_ManyToOne)
说明:网络流量分析检测到来自多个源的资源 %{Compromised Host}与 %{Victim IP} 的异常传入远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试从多个主机(Botnet)强制 RDP 终结点。
MITRE 策略:PreAttack
严重性:中等
可疑的传入 RDP 网络活动
(RDP_Incoming_BF_OneToOne)
说明:网络流量分析检测到来自 %{攻击者 IP} 的资源 %{Compromised Host}与 %{Victim IP} 的异常传入远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试暴力破解 RDP 终结点
MITRE 策略:PreAttack
严重性:中等
来自多个源的可疑传入 SSH 网络活动
(SSH_Incoming_BF_ManyToOne)
说明:网络流量分析检测到来自多个源的资源 %{Compromised Host} 与 %{Victim IP} 关联的异常传入 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试从多个主机(僵尸网络)强制 SSH 终结点
MITRE 策略:PreAttack
严重性:中等
可疑的传入 SSH 网络活动
(SSH_Incoming_BF_OneToOne)
说明:网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host}与资源 %{Compromised Host}关联的异常传入 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能指示尝试暴力破解 SSH 终结点
MITRE 策略:PreAttack
严重性:中等
检测到可疑的传出 %{Attacked Protocol} 流量
(PortScanning)
说明:网络流量分析检测到从 %{Compromised Host} 到目标端口 %{Common Port} 的可疑传出流量。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 此行为可能表明你的资源正在参与 %{Attacked Protocol} 暴力尝试或端口扫描攻击。
MITRE 策略:发现
严重性:中等
到多个目标的可疑传出 RDP 网络活动
(RDP_Outgoing_BF_OneToMany)
说明:网络流量分析检测到与来自 %{Compromised Host} (%{攻击者 IP})的多个目标的异常传出远程桌面协议(RDP)通信,这是部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的计算机连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能表明资源已泄露,现在用于暴力攻击外部 RDP 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。
MITRE 策略:发现
严重性:高
可疑的传出 RDP 网络活动
(RDP_Outgoing_BF_OneToOne)
说明:网络流量分析检测到与 %{Victim IP} 的异常传出远程桌面协议 (RDP) 通信,该通信源自部署中的资源 %{Compromised Host} (%{攻击者 IP})。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明计算机遭到入侵,现在用于暴力攻击外部 RDP 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。
MITRE 策略:横向移动
严重性:高
到多个目标的可疑传出 SSH 网络活动
(SSH_Outgoing_BF_OneToMany)
说明:网络流量分析检测到与来自 %{Compromised Host} (%{攻击者 IP})的多个目标的异常传出 SSH 通信,这些目标来自部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的资源连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能表示资源已泄露,现在用于暴力攻击外部 SSH 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。
MITRE 策略:发现
严重性:中等
可疑的传出 SSH 网络活动
(SSH_Outgoing_BF_OneToOne)
说明:网络流量分析检测到来自 %{Compromised Host} (%{攻击者 IP})的 %{Victim IP} 的异常传出 SSH 通信,这是部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表示资源已泄露,现在用于暴力攻击外部 SSH 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。
MITRE 策略:横向移动
严重性:中等
检测到来自建议阻止的 IP 地址的流量
(Network_TrafficFromUnrecommendedIP)
说明:Microsoft Defender for Cloud 检测到来自建议阻止的 IP 地址的入站流量。 这通常在此 IP 地址不会定期与此资源通信的情况下发生。 或者,该 IP 地址已被 Defender for Cloud 的威胁情报源标记为恶意 IP。
MITRE 策略:探测
严重性:信息性
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈