Alertas do DNS
Este artigo lista os alertas de segurança que você pode receber para DNS do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do DNS
Importante
A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender para DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender para servidores P2.
Uso de protocolo de rede anormal
(AzureDNS_ProtocolAnomaly)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para contornar a filtragem de tráfego de rede. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Táticas do MITRE: Exfiltração
Gravidade: -
Atividade de rede de anonimato
(AzureDNS_DarkWeb)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Atividade de rede de anonimato usando o proxy Web
(AzureDNS_DarkWebProxy)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Tentativa de comunicação com um domínio de sinkhole suspeito
(AzureDNS_SinkholedDomain)
Descrição: análise de transações DNS de %{CompromisedEntity} solicitação detectada para domínio sinkholed. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Média
Comunicação com um possível domínio de phishing
(AzureDNS_PhishingDomain)
Descrição: a análise das transações DNS de %{CompromisedEntity} detectou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para coletar credenciais de serviços remotos. A atividade típica relacionada ao invasor provavelmente incluirá a exploração das credenciais no serviço legítimo.
Táticas do MITRE: Exfiltração
Gravidade: Informativo
Comunicação com um domínio suspeito gerado de maneira algorítmica
(AzureDNS_DomainGenerationAlgorithm)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou o possível uso de um algoritmo de geração de domínio. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Informativo
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Comunicação com um nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou o uso de um nome de domínio suspeito gerado aleatoriamente. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Informativo
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
Descrição: a análise das transações de DNS de %{CompromisedEntity} detectou a atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Ativação de assinatura de detecção de intrusão de rede
(AzureDNS_SuspiciousDomain)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou uma assinatura de rede maliciosa conhecida. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Média
Possível download de dados por meio de túnel DNS
(AzureDNS_DataInfiltration)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Possível infiltração de dados por meio de túnel DNS
(AzureDNS_DataExfiltration)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Possível transferência de dados por meio de túnel DNS
(AzureDNS_DataObfuscation)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.