Azure ネットワークレイヤーのアラート

[アーティクル]
08/07/2024

この記事では、Microsoft Defender for Cloud から Azure ネットワークレイヤーに対して取得できるセキュリティアラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。たとえば、ネットワークトラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure ネットワーク層のアラート

詳細な説明と注意

Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)

(Network_CommunicationWithC2)

説明: ネットワークトラフィック分析は、マシン (IP %{Victim IP}) がコマンドアンドコントロールセンターと通信したことを示します。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審なアクティビティは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースが、コマンドアンドコントロールセンターの可能性がある対象と通信していることを示している可能性があります。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)

(Network_ResourceIpIndicatedAsMalicious)

説明: 脅威インテリジェンスは、コンピューター (IP %{Machine IP}) が Conficker 型のマルウェアによって侵害された可能性があることを示します。 Conficker は、Microsoft Windows オペレーティングシステムをターゲットにしたコンピューターワームで、2008 年 11 月に初めて検出されました。 Conficker は、200 以上の国/地域で政府、企業、および自宅のコンピューターを含む何百万台ものコンピューターに感染し、2003 年の Welchia ワーム以来最大のコンピューターワーム感染として知られるようになりました。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルートフォース攻撃を受信した可能性が検出されました)

(Generic_Incoming_BF_OneToOne)

説明: ネットワークトラフィック分析で、%{Attacker IP} からリソース %{Compromised Host} に関連付けられている %{Victim IP} への着信 %{サービス名} 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータに、%{Start Time} から %{End Time} の間にポート %{Victim Port} での不審なアクティビティが示されています。このアクティビティは、%{Service Name} サーバーに対するブルートフォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 情報

Possible incoming SQL brute force attempts detected (SQL ブルートフォース攻撃が試行された可能性が検出されました)

(SQL_Incoming_BF_OneToOne)

説明: ネットワークトラフィック分析で、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への受信 SQL 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータに、%{Start Time} から %{End Time} の間にポート %{Port Number} (%{SQL Service Type}) での不審なアクティビティが示されています。このアクティビティは、SQL サーバーに対するブルートフォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 中

Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)

(DDOS)

説明: ネットワークトラフィック分析で、デプロイ内のリソースである %{Compromised Host} から発生する異常な送信アクティビティが検出されました。このアクティビティは、リソースが侵害され、現在、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審なアクティビティは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースが侵害されていることを示している可能性があります。接続の量から、次の IP が DOS 攻撃のターゲットになっている可能性があると考えられます: %{Possible Victims}。これらの IP の一部への通信は正当なものである可能性があることに注意してください。

MITRE 戦術: 影響

重大度: 中

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワークアクティビティ)

(RDP_Incoming_BF_ManyToOne)

説明: ネットワークトラフィック分析で、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモートデスクトッププロトコル (RDP) 通信が複数のソースから検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。このアクティビティは、複数のホスト (Botnet) から RDP エンドポイントをブルートフォースする試みを示している可能性があります。

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming RDP network activity (不審な着信 RDP ネットワークアクティビティ)

(RDP_Incoming_BF_OneToOne)

説明: ネットワークトラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモートデスクトッププロトコル (RDP) 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。このアクティビティは、RDP エンドポイントをブルートフォースする試みを示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワークアクティビティ)

(SSH_Incoming_BF_ManyToOne)

説明: ネットワークトラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が複数のソースから検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。このアクティビティは、複数のホスト (Botnet) からの SSH エンドポイントのブルートフォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity (不審な着信 SSH ネットワークアクティビティ)

(SSH_Incoming_BF_OneToOne)

説明: ネットワークトラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、不審な受信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースに転送されています。具体的には、サンプリングされたネットワークデータでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。このアクティビティは、SSH エンドポイントのブルートフォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)

(PortScanning)

説明: ネットワークトラフィック分析で、%{Compromised Host} から宛先ポート %{最も一般的なポート} への疑わしい送信トラフィックが検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、疑わしい送信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースから送信されています。この動作は、リソースが %{Attacked Protocol} ブルートフォース攻撃またはポートスイープ攻撃に参加していることを示している可能性があります。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワークアクティビティ)

(RDP_Outgoing_BF_OneToMany)

説明: ネットワークトラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な発信リモートデスクトッププロトコル (RDP) 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、疑わしい送信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースから送信されています。具体的には、サンプリングされたネットワークデータでは、ご使用のマシンが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。このアクティビティは、リソースが侵害され、外部 RDP エンドポイントのブルートフォースに使用されたことを示している可能性があります。この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 高

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワークアクティビティ)

(RDP_Outgoing_BF_OneToOne)

説明: ネットワークトラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な発信リモートデスクトッププロトコル (RDP) 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、疑わしい送信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースから送信されています。具体的には、サンプリングされたネットワークデータでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。このアクティビティは、コンピューターが侵害され、現在は外部 RDP エンドポイントのブルートフォースに使用されていることを示している可能性があります。この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 高

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワークアクティビティ)

(SSH_Outgoing_BF_OneToMany)

説明: ネットワークトラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な送信 SSH 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、疑わしい送信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースから送信されています。具体的には、サンプリングされたネットワークデータでは、ご使用のリソースが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルートフォースに使用されていることを示している可能性があります。この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワークアクティビティ)

(SSH_Outgoing_BF_OneToOne)

説明: ネットワークトラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な送信 SSH 通信が検出されました。侵害されたリソースがロードバランサーまたはアプリケーションゲートウェイである場合、疑わしい送信トラフィックは、(ロードバランサーまたはアプリケーションゲートウェイの) バックエンドプール内の 1 つ以上のリソースから送信されています。具体的には、サンプリングされたネットワークデータでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルートフォースに使用されていることを示している可能性があります。この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 中

Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました)

(Network_TrafficFromUnrecommendedIP)

説明: Microsoft Defender for Cloud で、ブロックすることをお勧めする IP アドレスからの受信トラフィックが検出されました。これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。または、Defender for Cloud の脅威インテリジェンスソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。

MITRE の戦術: プローブ

重大度: 情報

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次の方法で共有

Azure ネットワークレイヤーのアラート

Azure ネットワーク層のアラート

Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)

Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルートフォース攻撃を受信した可能性が検出されました)

Possible incoming SQL brute force attempts detected (SQL ブルートフォース攻撃が試行された可能性が検出されました)

Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワークアクティビティ)

Suspicious incoming RDP network activity (不審な着信 RDP ネットワークアクティビティ)

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワークアクティビティ)

Suspicious incoming SSH network activity (不審な着信 SSH ネットワークアクティビティ)

Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワークアクティビティ)

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワークアクティビティ)

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワークアクティビティ)

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワークアクティビティ)

Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました)

次のステップ

フィードバック

その他のリソース

次の方法で共有

Azure ネットワーク レイヤーのアラート

Azure ネットワーク層のアラート

Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)

Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルート フォース攻撃を受信した可能性が検出されました)

Possible incoming SQL brute force attempts detected (SQL ブルート フォース攻撃が試行された可能性が検出されました)

Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワーク アクティビティ)

Suspicious incoming RDP network activity (不審な着信 RDP ネットワーク アクティビティ)

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワーク アクティビティ)

Suspicious incoming SSH network activity (不審な着信 SSH ネットワーク アクティビティ)

Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワーク アクティビティ)

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワーク アクティビティ)

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワーク アクティビティ)

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワーク アクティビティ)

Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました)

次のステップ

フィードバック

その他のリソース

Azure ネットワークレイヤーのアラート

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルートフォース攻撃を受信した可能性が検出されました)

Possible incoming SQL brute force attempts detected (SQL ブルートフォース攻撃が試行された可能性が検出されました)

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワークアクティビティ)

Suspicious incoming RDP network activity (不審な着信 RDP ネットワークアクティビティ)

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワークアクティビティ)

Suspicious incoming SSH network activity (不審な着信 SSH ネットワークアクティビティ)

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワークアクティビティ)

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワークアクティビティ)

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワークアクティビティ)

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワークアクティビティ)