Warnungen auf Azure-Netzwerkebene
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure-Netzwerkebene von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Warnungen über Azure-Netzwerkebene
Netzwerkkommunikation mit einem schädlichen Computer erkannt
(Network_CommunicationWithC2)
Beschreibung: Die Netzwerkdatenverkehranalyse gibt an, dass Ihr Computer (IP %{Opfer-IP}) mit dem kommuniziert hat, was möglicherweise ein Befehls- und Kontrollcenter ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, kann die vermutete Aktivität darauf hindeuten, dass eine oder mehrere der Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) mit einem möglicherweise vorhandenen Befehls- und Steuerungszentrum (Command and Control Center) kommuniziert haben.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Möglicher kompromittierter Computer erkannt
(Network_ResourceIpIndicatedAsMalicious)
Beschreibung: Die Bedrohungserkennung gibt an, dass Ihr Computer (unter IP %{Machine IP}) möglicherweise von einer Schadsoftware vom Typ Conficker kompromittiert wurde. Conficker war ein Computerwurm, der auf das Betriebssystem Microsoft Windows ausgerichtet ist und erstmals im November 2008 entdeckt wurde. Conficker hat Millionen von Computern infiziert, darunter Regierungs-, Geschäfts- und Heimcomputer in über 200 Ländern bzw. Regionen. Damit ist es die größte bekannte Infektion mit einem Computerwurm seit dem Welchia-Wurm von 2003.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Mögliche eingehende %{Service Name} Brute-Force-Versuche erkannt
(Generic_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehranalyse hat eingehende %{Dienstname}-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} von %{Angreifer-IP}zugeordnet ist, erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Insbesondere zeigen die Stichprobendaten im Netzwerk verdächtige Aktivitäten zwischen %{Start Time} und %{End Time} an Port %{Victim Port}. Diese Aktivität entspricht versuchten Brute-Force-Angriffen auf %{Service Name}-Servern.
MITRE-Taktiken: PreAttack
Schweregrad: Informational
Mögliche eingehende SQL-Brute-Force-Angriffsversuche erkannt
(SQL_Incoming_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat eingehende SQL-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Insbesondere zeigen die Stichprobendaten im Netzwerk verdächtige Aktivitäten zwischen %{Start Time} und %{End Time} an Port %{Port Number} (%{SQL Service Type}). Diese Aktivität entspricht versuchten Brute-Force-Angriffen auf SQL Server-Instanzen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Möglichen Denial-of-Service-Angriff in ausgehender Richtung erkannt
(DDOS)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende Aktivitäten erkannt, die von %{Kompromittierter Host}, einer Ressource in Ihrer Bereitstellung, stammen. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt an Denial-of-Service-Angriffen auf externe Endpunkte beteiligt ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, weist die vermutete Aktivität möglicherweise darauf hin, dass eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) kompromittiert wurden. Aufgrund der Anzahl der Verbindungen glauben wir, dass die folgenden IP-Adressen möglicherweise die Ziele des DoS-Angriffs sind: %{Possible Victims}. Beachten Sie, dass es möglich ist, dass die Kommunikation zu einigen dieser IP-Adressen legitim ist.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität mit mehreren Quellen
(RDP_Incoming_BF_ManyToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, aus mehreren Quellen erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass %{Number of Attacking IPs} eindeutige IP-Adressen eine Verbindung mit Ihre Ressource herstellen, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität
(RDP_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} eingehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität mit mehreren Quellen
(SSH_Incoming_BF_ManyToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale eingehende SSH-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, aus mehreren Quellen erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass %{Number of Attacking IPs} eindeutige IP-Adressen eine Verbindung mit Ihre Ressource herstellen, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität
(SSH_Incoming_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale eingehende SSH-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} eingehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt brute zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtiger ausgehender %{Attacked Protocol}-Datenverkehr erkannt
(PortScanning)
Beschreibung: Die Netzwerkdatenverkehranalyse hat verdächtige ausgehenden Datenverkehr von %{Kompromittierter Host} zum Zielport %{Häufigster Port} erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Dieses Verhalten kann darauf hindeuten, dass Ihre Ressource an Brute-Force-Versuchen des %{Attacked Protocol}-Brute-Force-Versuchen teilnimmt, oder Umräumangriffe portieren.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende RDP-Netzwerkaktivität für mehrere Ziele
(RDP_Outgoing_BF_OneToMany)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) an mehrere Ziele erkannt, die von %{Kompromittierten Host} (%{Angreifer-IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihr Computer eine Verbindung mit %{Number of Attacked IPs} eindeutigen IP-Adressen herstellt, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: hoch
Verdächtige ausgehende RDP-Netzwerkaktivität
(RDP_Outgoing_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP} erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammt, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} ausgehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihr Computer kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute force. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Verdächtige ausgehende SSH-Netzwerkaktivität für mehrere Ziele
(SSH_Outgoing_BF_OneToMany)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende SSH-Kommunikation mit mehreren Zielen erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource eine Verbindung mit %{Number of Attacked IPs} eindeutigen IP-Adressen herstellt, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende SSH-Netzwerkaktivität
(SSH_Outgoing_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende SSH-Kommunikation mit %{Opfer-IP} erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammt, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} ausgehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Von IP-Adressen erkannter Datenverkehr, deren Sperrung empfohlen wurde
(Network_TrafficFromUnrecommendedIP)
Beschreibung: Microsoft Defender für Cloud hat eingehenden Datenverkehr von IP-Adressen erkannt, die blockiert werden sollen. Dies tritt typischerweise dann auf, wenn diese IP-Adresse nicht regelmäßig mit dieser Ressource kommuniziert. Alternativ wurde die IP-Adresse von den Threat Intelligence-Quellen von Defender for Cloud als schädlich gekennzeichnet.
MITRE-Taktiken: Probing
Schweregrad: Informational
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.