Azure 네트워크 계층에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Azure 네트워크 계층에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Azure 네트워크 계층 경고
악성 컴퓨터와의 네트워크 통신이 감지됨
(Network_CommunicationWithC2)
설명: 네트워크 트래픽 분석은 컴퓨터(IP %{Victim IP})가 명령 및 제어 센터와 통신했음을 나타냅니다. 손상된 리소스가 부하 분산 장치 또는 애플리케이션 게이트웨이인 경우 의심스러운 활동은 백 엔드 풀(부하 분산 장치 또는 애플리케이션 게이트웨이)에 있는 하나 이상의 리소스가 명령 및 제어 센터와 통신했음을 나타낼 수 있습니다.
MITRE 전술: 명령 및 제어
심각도: 보통
손상된 컴퓨터가 검색되었을 수 있습니다.
(Network_ResourceIpIndicatedAsMalicious)
설명: 위협 인텔리전스는 컴퓨터(IP %{Machine IP})가 Conficker 유형의 맬웨어에 의해 손상되었을 수 있음을 나타냅니다. Conficker는 Microsoft Windows 운영 체제를 대상으로 하는 컴퓨터 웜으로, 2008년 11월에 처음 발견되었습니다. Conficker는 200개 이상의 국가/지역에서 정부, 비즈니스 및 가정용 컴퓨터를 포함한 수백만 대의 컴퓨터를 감염시켜 2003년 웰치아 웜 이후 가장 큰 알려진 컴퓨터 웜 감염이 되었습니다.
MITRE 전술: 명령 및 제어
심각도: 보통
들어오는 %{서비스 이름} 무차별 암호 대입 시도가 감지되었습니다.
(Generic_Incoming_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 %{Attacker IP}의 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 들어오는 %{Service Name} 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 포트 %{Victim Port}에서 %{Start Time}과 %{End Time} 사이의 의심스러운 활동을 보여 줍니다. 이 활동은 %{Service Name} 서버에 대한 무차별 암호 대입 시도와 일치합니다.
MITRE 전술: 사전 공격
심각도: 정보 제공
들어오는 SQL 무차별 암호 대입 시도가 감지됨
(SQL_Incoming_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 %{Attacker IP}에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 들어오는 SQL 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Port Number} 포트(%{SQL Service Type})에서의 의심스러운 활동을 보여줍니다. 이 작업은 SQL 서버에 대한 무차별 암호 대입 시도와 일치합니다.
MITRE 전술: 사전 공격
심각도: 보통
나가는 서비스 거부 공격이 감지됨
(DDOS)
설명: 네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}에서 발생하는 비정상적인 나가는 활동이 감지되었습니다. 이 활동은 리소스가 손상되었으며 이제 외부 엔드포인트에 대한 서비스 거부 공격에 관여하고 있음을 나타낼 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 애플리케이션 게이트웨이인 경우 의심스러운 활동은 백 엔드 풀(부하 분산 장치 또는 애플리케이션 게이트웨이)에 있는 하나 이상의 리소스가 손상되었음을 나타낼 수 있습니다. 연결 볼륨에 따라 다음 IP가 DOS 공격의 대상이 될 수 있다고 생각합니다. %{가능한 피해자}. 이러한 IP 중 일부에 대한 통신은 합법적일 수 있습니다.
MITRE 전술: 영향
심각도: 보통
여러 원본에서 들어오는 의심스러운 RDP 네트워크 활동
(RDP_Incoming_BF_ManyToOne)
설명: 네트워크 트래픽 분석에서 여러 원본에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 들어오는 RDP(원격 데스크톱 프로토콜) 통신을 감지했습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 연결하는 %{공격 IP 수} 고유 IP를 보여 줍니다. 이 IP는 이 환경에 비정상으로 간주됩니다. 이 활동은 여러 호스트(Botnet)에서 RDP 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다.
MITRE 전술: 사전 공격
심각도: 보통
의심스러운 들어오는 RDP 네트워크 활동
(RDP_Incoming_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 %{Attacker IP}에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 들어오는 RDP(원격 데스크톱 프로토콜) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 들어오는 연결 %{개수}를 보여 줍니다. 이 연결은 이 환경에 비정상으로 간주됩니다. 이 활동은 RDP 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다.
MITRE 전술: 사전 공격
심각도: 보통
여러 원본에서 의심스러운 들어오는 SSH 네트워크 활동
(SSH_Incoming_BF_ManyToOne)
설명: 네트워크 트래픽 분석을 통해 여러 원본에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 연결하는 %{공격 IP 수} 고유 IP를 보여 줍니다. 이 IP는 이 환경에 비정상으로 간주됩니다. 이 활동은 여러 호스트(Botnet)에서 SSH 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다.
MITRE 전술: 사전 공격
심각도: 보통
의심스러운 수신 SSH 네트워크 활동
(SSH_Incoming_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 %{Attacker IP}에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 들어오는 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 들어오는 연결 %{개수}를 보여 줍니다. 이 연결은 이 환경에 비정상으로 간주됩니다. 이 작업은 SSH 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다.
MITRE 전술: 사전 공격
심각도: 보통
의심스러운 발신 %{공격 프로토콜} 트래픽이 감지됨
(PortScanning)
설명: 네트워크 트래픽 분석에서 %{Compromised Host}에서 대상 포트 %{가장 일반적인 포트}로의 의심스러운 나가는 트래픽을 감지했습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작은 리소스가 %{Attacked Protocol} 무차별 암호 대입 시도 또는 포트 스위핑 공격에 참여하고 있음을 나타낼 수 있습니다.
MITRE 전술: 검색
심각도: 보통
여러 대상에 대한 의심스러운 나가는 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToMany)
설명: 네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 여러 대상에 대한 비정상적인 나가는 RDP(원격 데스크톱 프로토콜) 통신이 검색되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터는 이 환경에 비정상적인 것으로 간주되는 %{공격된 IP 수} 고유 IP에 연결하는 머신을 보여 줍니다. 이 활동은 리소스가 손상되었으며 이제 외부 RDP 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다.
MITRE 전술: 검색
심각도: 높음
의심스러운 나가는 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 %{Victim IP}에 대한 비정상적인 나가는 RDP(원격 데스크톱 프로토콜) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 컴퓨터가 손상되었으며 이제 외부 RDP 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다.
MITRE 전술: 횡적 이동
심각도: 높음
여러 대상에 대한 의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToMany)
설명: 네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 여러 대상에 대한 비정상적인 송신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터는 이 환경에 비정상적인 것으로 간주되는 %{공격된 IP 수} 고유 IP에 연결하는 리소스를 보여 줍니다. 이 활동은 리소스가 손상되었으며 이제 외부 SSH 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다.
MITRE 전술: 검색
심각도: 보통
의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToOne)
설명: 네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 %{Victim IP}에 대한 비정상적인 송신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 리소스가 손상되었으며 이제 외부 SSH 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다.
MITRE 전술: 횡적 이동
심각도: 보통
차단이 권장되는 IP 주소에서 트래픽이 감지됨
(Network_TrafficFromUnrecommendedIP)
설명: 클라우드용 Microsoft Defender 차단할 것을 권장하는 IP 주소에서 인바운드 트래픽이 검색되었습니다. 일반적으로 이 IP 주소가 이 리소스와 정기적으로 통신하지 않는 경우에 발생합니다. 또는 클라우드용 Defender의 위협 인텔리전스 소스에 의해 IP 주소가 악의적인 것으로 플래그 지정되었습니다.
MITRE 전술: 검색
심각도: 정보 제공
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.