Azure Firewall IDPS 서명 규칙 범주
Azure Firewall IDPS는 개별 서명에 할당할 수 있는 50여 개의 범주를 제공합니다. 다음 표는 각 범주의 정의 목록입니다.
범주
| 범주 | 설명 |
|---|---|
| 3CORESec | 이 범주는 3CORESec 팀의 IP 차단 목록에서 자동으로 생성되는 서명에서 사용됩니다. 이러한 차단 목록은 Honeypot의 악의적인 활동을 기반으로 3CORESec에서 생성됩니다. |
| ActiveX | 이 범주는 Microsoft ActiveX 컨트롤에 대한 공격과 ActiveX 컨트롤의 취약성을 대상으로 하는 익스플로잇으로부터 보호하는 서명에서 사용됩니다. |
| Adware-PUP | 이 범주는 광고 추적 또는 다른 유형의 스파이웨어 관련 활동에 이용되는 소프트웨어를 식별하기 위한 서명에서 사용됩니다. |
| 공격 대응 | 이 범주는 침입을 나타내는 응답을 식별하기 위한 서명에서 사용됩니다. 예를 들면 LMHost 파일 다운로드, 특정 웹 배너의 존재 및 Metasploit Meterpreter kill 명령의 검색이 포함되지만 이에 국한되지 않습니다. 이러한 서명은 성공한 공격의 결과를 파악하도록 설계되었습니다. id=root 또는 손상을 나타내는 오류 메시지와 같은 항목이 발생했을 수 있습니다. |
| Botcc(Bot Command and Control) | 이 범주는 알려지고 확인된 활성 봇넷 및 기타 C2(Command andControl) 호스트의 여러 원본에서 자동 생성되는 서명에서 사용됩니다. 이 범주는 매일 업데이트됩니다. 범주의 기본 데이터 원본은 Shadowserver.org.입니다. |
| 그룹화된 Botcc 포트 | 이 범주는 Botcc 범주에 있는 것과 유사하지만 대상 포트별로 그룹화된 서명에서 사용됩니다. 포트별로 그룹화된 규칙은 포트별로 그룹화되지 않은 규칙보다 더 높은 충실도를 제공할 수 있습니다. |
| 채팅 | 이 범주는 IRC(인터넷 릴레이 채팅) 같은 많은 채팅 클라이언트와 관련된 트래픽을 식별하기 위한 서명에서 사용됩니다. 채팅 트래픽은 위협 행위자가 할 수 있는 체크 인 활동을 나타낼 수 있습니다. |
| CIArmy | 이 범주는 차단 시 집단 지성의 IP 규칙을 사용하여 생성되는 서명에서 사용됩니다. |
| 코인 마이닝 | 이 범주는 코인 마이닝을 수행하는 맬웨어 검색 규칙이 있는 서명에서 사용됩니다. 이러한 서명은 일부 합법적(이지만 바람직하지 않은 경우가 많음) 코인 마이닝 소프트웨어도 검색할 수 있습니다. |
| 손상됨 | 이 범주는 알려진 손상된 호스트 목록을 기반으로 하는 서명에서 사용됩니다. 이 목록은 매일 확인되고 업데이트됩니다. 이 범주의 서명은 데이터 원본에 따라 1개에서 수백 개의 규칙까지 다양할 수 있습니다. 이 범주의 데이터 원본은 여러 개의 개인적이지만 매우 신뢰할 만한 데이터 원본에서 제공됩니다. |
| 현재 이벤트 | 이 범주는 활성/단기 캠페인과 일시적일 것으로 예상되는, 관심이 많은 항목에 대한 응답으로 개발된 규칙이 있는 서명에서 사용됩니다. 일례로 재해와 관련된 사기 캠페인이 있습니다. 이 범주의 규칙은 오랫동안 규칙 집합에 유지되지 않거나 포함 대상으로 고려하기 전에 추가로 테스트해야 합니다. 대부분의 경우 이는 그날의 Storm 이진 URL에 대한 단순 서명, 익스플로잇에 대한 세부 정보가 없는 새로 발견된 취약한 앱의 CLSID를 파악하기 위한 서명 등입니다. |
| DNS(도메인 이름 서비스) | 이 범주는 DNS와 관련된 공격 및 취약성 규칙이 있는 서명에서 사용됩니다. 이 범주는 터널링 같은 DNS 남용과 관련된 규칙에서도 사용됩니다. |
| DOS | 이 범주는 DoS(서비스 거부) 시도를 검색하는 서명에서 사용됩니다. 이러한 규칙은 인바운드 DoS 활동을 파악하고 아웃바운드 DoS 활동을 표시하기 위한 것입니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| Drop | 이 범주는 Spamhaus DROP(라우팅 또는 피어링하지 않음) 목록에서 IP 주소를 차단하기 위한 서명에서 사용됩니다. 이 범주의 규칙은 매일 업데이트됩니다. |
| Dshield | 이 범주는 Dshield로 식별된 공격자를 기반으로 하는 서명에서 사용됩니다. 이 범주의 규칙은 신뢰할 수 있는 DShield 상위 공격자 목록에서 매일 업데이트됩니다. |
| 익스플로잇 | 이 범주는 특정 서비스 범주에서 달리 다루지 않는 직접적인 익스플로잇으로부터 보호하는 서명에서 사용됩니다. 이 범주는 Microsoft Windows 같은 취약성에 대한 특정 공격을 찾을 수 있는 곳입니다. SQL 주입과 같은 고유한 범주가 있는 공격에는 고유한 범주가 있습니다. |
| 익스플로잇 키트 | 이 범주는 익스플로잇 키트, 해당 인프라 및 배달과 관련된 활동을 검색하기 위한 서명에서 사용됩니다. |
| FTP | 이 범주는 FTP(파일 전송 프로토콜)와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 로그인 등 악의적이지 않은 FTP 활동을 검색하는 규칙도 포함됩니다. |
| 게임 | 이 범주는 게임 트래픽 및 해당 게임에 대한 공격을 식별하는 서명에서 사용됩니다. 이 규칙은 월드 오브 워크래프트, 스타크래프트 및 기타 인기 온라인 게임 같은 게임을 다룹니다. 게임과 트래픽이 악의적이지는 않지만, 회사 네트워크 정책에 따라 불필요하고 금지되는 경우가 많습니다. |
| 사냥 | 이 범주는 다른 서명과 일치할 때 환경에서 위협을 헌팅하는 데 유용할 수 있는 지표를 제공하는 서명에서 사용됩니다. 이러한 규칙은 합법적인 트래픽에 대해 가양성을 제공하고 성능을 저해할 수 있습니다. 환경에서 잠재적인 위협을 적극적으로 조사하는 경우에만 사용하는 것이 좋습니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| ICMP | 이 범주는 ICMP(Internet Control Message Protocol)에 대한 공격 및 취약성과 관련된 서명에서 사용됩니다. |
| ICMP_info | 이 범주는 보통 로깅 목적의 일반적인 작업과 연관 있는 ICMP 프로토콜별 이벤트와 관련된 서명에서 사용됩니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| IMAP | 이 범주는 IMAP(인터넷 메시지 액세스 프로토콜)에 대한 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다 이 범주에는 로깅 목적으로 악의적이지 않은 IMAP 활동을 검색하는 규칙도 포함됩니다. |
| 부적절 | 이 범주는 외설적이거나 달리 작업 환경에 적합하지 않은 사이트와 관련된 잠재적 활동을 식별하기 위한 서명에서 사용됩니다. 경고: 이 범주는 성능에 상당한 영향을 미치고 가양성의 비율이 높을 수 있습니다. |
| 정보 | 이 범주는 본질적으로 악의적이지 않지만 맬웨어와 기타 위협에서 종종 관찰되는 상관관계 및 흥미로운 활동을 식별하는 데 유용한 감사 수준 이벤트를 제공하는 데 도움이 되는 서명에서 사용됩니다. 예를 들어 도메인 이름이 아닌 IP 주소로 HTTP를 통해 실행 파일을 다운로드합니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| JA3 | 이 범주는 JA3 해시를 사용하여 악성 SSL 인증서의 신원을 확인하기 위한 서명에서 사용됩니다. 이러한 규칙은 클라이언트와 서버 모두의 SSL 핸드셰이크 협상에 있는 매개 변수를 기반으로 하며, 가양성이 높지만 위협 헌팅 또는 맬웨어 데토네이션 환경에 유용할 수 있습니다. |
| 맬웨어 | 이 범주는 악성 소프트웨어를 검색하기 위한 서명에서 사용됩니다. 이 범주의 규칙은 전송 중인 맬웨어, 활성 맬웨어, 맬웨어 감염, 맬웨어 공격 및 맬웨어 업데이트 등 네트워크에서 검색되는 악성 소프트웨어와 관련된 활동을 검색합니다. 이는 매우 중요한 범주이기도 하며, 실행하는 것이 좋습니다. |
| 기타 | 이 범주는 다른 범주에서 다루지 않는 서명에서 사용됩니다. |
| 모바일 맬웨어 | 이 범주는 Google Android, Apple iOS 등과 같은 모바일/태블릿 운영 체제와 연결된 맬웨어를 나타내는 서명에서 사용됩니다. 검색되고 모바일 운영 체제와 연결된 맬웨어는 일반적으로 맬웨어 같은 표준 범주가 아닌 이 범주에 배치됩니다. |
| NETBIOS | 이 범주는 NetBIOS와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 NetBIOS 활동을 검색하는 규칙도 포함됩니다. |
| P2P | 이 범주는 P2P(피어 투 피어) 트래픽 및 해당 트래픽에 대한 공격을 식별하기 위한 서명에서 사용됩니다. 식별된 P2P 트래픽에는 토렌트, edonkey, Bittorrent, Gnutella, Limewire가 포함됩니다. P2P 트래픽은 본질적으로 악의적이지는 않지만 기업에서 주목할 만한 경우가 많습니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| 피싱 | 이 범주는 자격 증명 피싱 활동을 감지하는 서명에서 사용됩니다. 여기에는 자격 증명 피싱을 표시하는 방문 페이지와 자격 증명을 자격 증명 피싱 사이트에 성공적으로 제출하는 작업이 포함됩니다. |
| 정책 | 이 범주는 조직의 정책 위반을 나타낼 수 있는 서명에서 사용됩니다. 여기에는 악용되기 쉬운 프로토콜과 관심 있을 수 있는 기타 애플리케이션 수준 트랜잭션이 포함될 수 있습니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이를 재정의할 수 있습니다. |
| POP3 | 이 범주는 POP3(Post Office Protocol 3.0)과 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 POP3 활동을 검색하는 규칙도 포함됩니다. |
| RPC | 이 범주는 RPC(원격 프로시저 호출)와 관련된 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 RPC 활동을 검색하는 규칙도 포함됩니다. |
| SCADA | 이 범주는 SCADA(감시 제어 및 데이터 획득)와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 SCADA 활동을 검색하는 규칙도 포함됩니다. |
| SCAN | 이 범주는 Nessus, Nikto 및 기타 포트 검색, 도구와 같은 도구에서 정찰/프로빙을 검색하기 위한 서명에서 사용됩니다. 이 범주는 조직 내에서 조기 위반 활동과 감염 후 수평 이동을 감지하는 데 유용할 수 있습니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이를 재정의할 수 있습니다. |
| 셸 코드 | 이 범주는 원격 셸 코드를 검색하기 위한 서명에서 사용됩니다. 원격 셸 코드는 공격자가 로컬 네트워크 또는 인트라넷의 다른 컴퓨터에서 실행되는 취약한 프로세스를 대상으로 하려는 경우에 사용됩니다. 성공적으로 실행되면 셸 코드는 공격자가 네트워크를 통해 대상 컴퓨터에 액세스하도록 할 수 있습니다. 원격 셸 코드는 일반적으로 표준 TCP/IP 소켓 연결을 사용하여 공격자가 대상 컴퓨터의 셸에 액세스할 수 있도록 합니다. 이러한 셸 코드는 이 연결을 설정하는 방법에 따라 분류할 수 있습니다. 셸 코드가 이 연결을 설정할 수 있는 경우 셸 코드가 공격자의 컴퓨터에 다시 연결되기 때문에 ‘역방향 셸’ 또는 ‘다시 연결’ 셸 코드라고 합니다. |
| SMTP | 이 범주는 SMTP(Simple Mail Transfer Protocol)와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 SMTP 활동을 검색하는 규칙도 포함됩니다. |
| SNMP | 이 범주는 SNMP(Simple Network Management Protocol)와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 SNMP 활동을 검색하는 규칙도 포함됩니다. |
| SQL | 이 범주는 SQL(구조적 쿼리 언어)과 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 SQL 활동을 검색하는 규칙도 포함됩니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이를 재정의할 수 있습니다. |
| TELNET | 이 범주는 TELNET과 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 TELNET 활동을 검색하는 규칙도 포함됩니다. |
| TFTP | 이 범주는 TFTP(Trivial File Transport Protocol)와 연관 있는 공격, 익스플로잇 및 취약성과 관련된 서명에서 사용됩니다. 이 범주에는 로깅 목적으로 악의적이지 않은 TFTP 활동을 검색하는 규칙도 포함됩니다. |
| TOR | 이 범주는 IP 주소를 기반으로 TOR 종료 노드 간 트래픽을 식별하기 위한 서명에서 사용됩니다. 참고: 이 범주의 모든 서명은 ‘경고 전용’으로 정의되므로, 기본적으로 IDPS 모드가 ‘경고 및 거부’로 설정되어 있어도 이러한 서명과 일치하는 트래픽은 차단되지 않습니다. 고객은 이러한 특정 서명을 ‘경고 및 거부’ 모드로 사용자 지정하여 이 동작을 재정의할 수 있습니다. |
| 사용자 에이전트 | 이 범주는 의심스럽고 비정상적인 사용자 에이전트를 검색하기 위한 서명에서 사용됩니다. 알려진 악성 사용자 에이전트는 맬웨어 범주에 배치됩니다. |
| VOIP | 이 범주는 SIP, H.323, RTP를 비롯해 VOIP(Voice over IP)와 관련된 공격 및 취약성에 대한 서명에서 사용됩니다. |
| 웹 클라이언트 | 이 범주는 웹 브라우저와 같은 웹 클라이언트 및 CURL, WGET 등과 같은 클라이언트 쪽 애플리케이션과 관련된 공격 및 취약성에 대한 서명에서 사용됩니다. |
| 웹 서버 | 이 범주는 APACHE, TOMCAT, NGINX, Microsoft IIS(인터넷 정보 서비스) 및 기타 웹 서버 소프트웨어 같은 웹 서버 인프라에 대한 공격을 검색하기 위한 서명에서 사용됩니다. |
| 웹 특정 앱 | 이 범주는 특정 웹 애플리케이션에서 공격과 취약성을 검색하기 위한 서명에서 사용됩니다. |
| WORM | 이 범주는 취약성을 악용하여 네트워크 내에서 자동 확산을 시도하는 악의적인 활동을 검색하기 위한 서명에서 사용되며, WORM 범주로 분류됩니다. 실제 익스플로잇 자체는 일반적으로 Exploit 또는 지정된 프로토콜 범주에서 식별되지만, 웜과 유사한 전파에 관련된 실제 맬웨어도 식별할 수 있는 경우 이 범주에서 다른 항목이 만들어질 수 있습니다. |
다음 단계
- Azure Firewall 프리미엄에 대해 자세히 알아보려면 Azure Firewall 프리미엄 기능을 참조하세요.