Alerty dla warstwy sieciowej platformy Azure
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla warstwy sieciowej platformy Azure z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty warstwy sieciowej platformy Azure
Wykryto komunikację sieciową ze złośliwym komputerem
(Network_CommunicationWithC2)
Opis: Analiza ruchu sieciowego wskazuje, że maszyna (ADRES IP %{Victim IP}) komunikowała się z prawdopodobnie centrum poleceń i sterowania. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (moduł równoważenia obciążenia lub bramy aplikacji) komunikował się z tym, co może być centrum poleceń i kontroli.
Taktyka MITRE: Command and Control
Ważność: średni rozmiar
Wykryto możliwe naruszenie zabezpieczeń maszyny
(Network_ResourceIpIndicatedAsMalicious)
Opis: Analiza zagrożeń wskazuje, że maszyna (pod adresem IP %{Adres IP maszyny}) mogła zostać naruszona przez złośliwe oprogramowanie typu Conficker. Conficker był robakiem komputerowym, który jest przeznaczony dla systemu operacyjnego Microsoft Windows i został po raz pierwszy wykryty w listopadzie 2008 roku. Conficker zainfekował miliony komputerów, w tym rządowych, biznesowych i domowych komputerów w ponad 200 krajach/regionach, co czyni go największą znaną infekcją robaków komputerowych od 2003 roku robaka Welchia.
Taktyka MITRE: Command and Control
Ważność: średni rozmiar
Wykryto możliwe przychodzące próby siłowe :{Nazwa usługi}
(Generic_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację %{Nazwa usługi} z adresem %{Adres IP ofiary}skojarzony z zasobem %{Host z naruszonym zabezpieczeniami} od użytkownika %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Port ofiary}. To działanie jest zgodne z próbami ataku siłowego na serwery %{Nazwa usługi}.
Taktyka MITRE: PreAttack
Ważność: informacyjna
Wykryto możliwe przychodzące próby siłowe SQL
(SQL_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację SQL z adresem %{Ip ofiary}skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Numer portu} (%{Typ usługi SQL}). To działanie jest zgodne z próbami ataków siłowych podejmowanych na serwerach SQL.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Wykryto możliwy wychodzący atak typu "odmowa usługi"
(DDOS)
Opis: Analiza ruchu sieciowego wykryła nietypowe działanie wychodzące pochodzące z hosta %{Host z naruszonymi zabezpieczeniami}, zasób we wdrożeniu. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz zaangażowane w ataki typu "odmowa usługi" na zewnętrzne punkty końcowe. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji) został naruszony. Na podstawie liczby połączeń uważamy, że następujące adresy IP są prawdopodobnie celami ataku DOS: %{Możliwe ofiary}. Należy pamiętać, że komunikacja z niektórymi z tych adresów IP jest uzasadniona.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci RDP z wielu źródeł
(RDP_Incoming_BF_ManyToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP z wielu hostów (Botnet).
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci protokołu RDP
(RDP_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z adresem %{Victim IP}, skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący IP}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba połączeń} z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci SSH z wielu źródeł
(SSH_Incoming_BF_ManyToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH z wielu hostów (Botnet)
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci SSH
(SSH_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba połączeń} z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Wykryto podejrzany wychodzący ruch %{Zaatakowany protokół}
(PortScanning)
Opis: Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia} do portu docelowego %{Najczęściej używany port}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). To zachowanie może wskazywać, że zasób bierze udział w atakach siłowych %{Zaatakowany protokół} lub atakach zamiatania portów.
Ważność: średni rozmiar
Podejrzane wychodzące działanie sieci RDP do wielu miejsc docelowych
(RDP_Outgoing_BF_OneToMany)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z wieloma miejscami docelowymi pochodzącymi z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują, że maszyna łączy się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Ważność: Wysoka
Podejrzane wychodzące działanie sieci RDP
(RDP_Outgoing_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP} pochodzącej z elementu %{Naruszony host} (%{Adres IP osoby atakującej}), zasobu we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba połączeń} z zasobu, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo maszyny zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Taktyka MITRE: Ruch boczny
Ważność: Wysoka
Podejrzane wychodzące działanie sieci SSH do wielu miejsc docelowych
(SSH_Outgoing_BF_OneToMany)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z wieloma miejscami docelowymi pochodzącymi z hosta %{Naruszone zabezpieczenia} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują zasób łączący się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Ważność: średni rozmiar
Podejrzane wychodzące działanie sieci SSH
(SSH_Outgoing_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z adresem %{Victim IP} pochodzącym z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba połączeń} z zasobu, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Taktyka MITRE: Ruch boczny
Ważność: średni rozmiar
Wykryto ruch z adresów IP zalecanych do blokowania
(Network_TrafficFromUnrecommendedIP)
Opis: Microsoft Defender dla Chmury wykrył ruch przychodzący z adresów IP, które są zalecane do zablokowania. Zwykle występuje to, gdy ten adres IP nie komunikuje się regularnie z tym zasobem. Alternatywnie adres IP został oznaczony jako złośliwy przez źródła analizy zagrożeń Defender dla Chmury.
Taktyka MITRE: Sondowanie
Ważność: informacyjna
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.