DNS のアラート
この記事では、Microsoft Defender for Cloud から DNS に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
DNS のアラート
重要
2023 年 8 月 1 日の時点で、Defender for DNS の既存のサブスクリプションを持つお客様は引き続きサービスを使用できますが、新規契約者の場合は Defender for Servers P2 の一部として疑わしい DNS アクティビティに関するアラートを受け取ります。
Anomalous network protocol usage (ネットワーク プロトコルの異常な使用)
(AzureDNS_ProtocolAnomaly)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、異常なプロトコルの使用が検出されました。 このようなトラフィックは、おそらく無害ですが、ネットワーク トラフィック フィルタリングをバイパスするために、この一般的なプロトコルの不正使用を示している可能性があります。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。
MITRE の戦術: 流出
重大度: -
Anonymity network activity (匿名ネットワーク アクティビティ)
(AzureDNS_DarkWeb)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、匿名性ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Anonymity network activity using web proxy (Web プロキシを使用した匿名ネットワーク アクティビティ)
(AzureDNS_DarkWebProxy)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、匿名性ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Attempted communication with suspicious sinkholed domain (不審なシンクホール ドメインとの通信の試行)
(AzureDNS_SinkholedDomain)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、シンクホールド ドメインの要求が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 中
Communication with possible phishing domain (フィッシングの可能性があるドメインとの通信)
(AzureDNS_PhishingDomain)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、フィッシング ドメインの可能性がある要求が検出されました。 このようなアクティビティは無害の場合もありますが、リモート サービスに対する資格情報を収集するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、正当なサービスでの資格情報の悪用が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 情報
Communication with suspicious algorithmically generated domain (アルゴリズムによって生成された不審なドメインとの通信)
(AzureDNS_DomainGenerationAlgorithm)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、ドメイン生成アルゴリズムが使用されている可能性が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 情報
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。
MITRE の戦術: 初期アクセス
重大度: 中
Communication with suspicious random domain name (不審なランダム ドメイン名との通信)
(AzureDNS_RandomizedDomain)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、疑わしいランダムに生成されたドメイン名の使用が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 情報
Digital currency mining activity (デジタル通貨マイニング アクティビティ)
(AzureDNS_CurrencyMining)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Network intrusion detection signature activation (ネットワーク侵入検知シグネチャのアクティブ化)
(AzureDNS_SuspiciousDomain)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、既知の悪意のあるネットワーク署名が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 中
Possible data download via DNS tunnel (DNS トンネルを介したデータ ダウンロードの可能性)
(AzureDNS_DataInfiltration)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Possible data exfiltration via DNS tunnel (DNS トンネルを介したデータ流出の可能性)
(AzureDNS_DataExfiltration)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Possible data transfer via DNS tunnel (DNS トンネルを介したデータ転送の可能性)
(AzureDNS_DataObfuscation)
説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
MITRE の戦術: 流出
重大度: 低
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。