Categorias do Firewall do Azure de regra de assinatura IDPS
O Firewall do Azure IDPS apresenta mais de 50 categorias que podem ser atribuídas a assinaturas individuais. A tabela a seguir é uma lista de definições para cada categoria.
Categorias
Categoria | Descrição |
---|---|
3CORESec | Essa categoria é destinada a assinaturas geradas automaticamente a partir da lista de IPs bloqueados da equipe do 3CORESec. Essas listas de bloqueios são geradas por 3CORESec com base em atividades mal-intencionadas de suas Honeypots. |
ActiveX | Essa categoria é para assinaturas que protegem contra ataques contra controles ActiveX Microsoft e explorações que visam vulnerabilidades em ActiveX controles. |
Adware-PUP | Essa categoria é para assinaturas identificarem o software usado para acompanhamento de ad ou outros tipos de atividade relacionada a spyware. |
Resposta de ataque | Essa categoria é destinada a assinaturas que identificam respostas indicadoras de intrusão. Por exemplo: download de arquivo do LMHost, presença de certas faixas da Web e detecção do comando de encerrar Metasploit Meterpreter. Essas assinaturas foram projetadas para capturar os resultados de um ataque bem-sucedido. Coisas como id=root ou mensagens de erro que indicam que um comprometimento pode ter ocorrido. |
Botcc (Comando e Controle do Bot) | Esta categoria é para assinaturas que são geradas automaticamente de várias fontes de botnets ativos conhecidos e confirmados e outros hosts de Comando e Controle (C2). Essa categoria é atualizada diariamente. A fonte de dados primária da categoria é Shadowserver.org. |
Porta do Botcc agrupada | Essa categoria destina-se a assinaturas como aquelas na categoria Botcc, mas agrupadas por porta de destino. As regras agrupadas por porta podem oferecer maior fidelidade do que as regras não agrupadas por porta. |
Chat | Essa categoria é para assinaturas que identificam o tráfego relacionado a muitos clientes de chat, como Internet Relay Chat (IRC). O tráfego de chat pode ser um indicativo de possível atividade de check-in por atores de ameaça. |
CIArmy | Essa categoria é destinada a assinaturas geradas usando regras do IP de Inteligência Coletiva para bloqueio. |
Mineração de moedas | Essa categoria é para assinaturas com regras que detectam malware, que faz mineração de moedas. Essas assinaturas também podem detectar algum software de mineração de moeda legítimo (embora muitas vezes indesejável). |
Comprometido | Essa categoria é para assinaturas com base em uma lista de hosts comprometidos conhecidos. Essa lista é confirmada e atualizada diariamente. As assinaturas nessa categoria podem variar de uma a várias centenas de regras, dependendo das fontes de dados. As fontes de dados para essa categoria vêm de várias fontes de dados privadas, mas altamente confiáveis. |
Eventos atuais | Essa categoria é para assinaturas com regras desenvolvidas em resposta a campanhas ativas e de curta duração e itens de alto perfil que devem ser temporários. Um exemplo são campanhas de fraude relacionadas a desastres. As regras nessa categoria não se destinam a serem mantidas no modelo de regras por muito tempo ou que precisam ser testadas ainda mais antes de serem consideradas para inclusão. Geralmente, são assinaturas simples da URL binária do Storm do dia, assinaturas para capturar CLSIDs de aplicativos vulneráveis encontrados recentemente e dos quais não temos detalhes sobre a exploração e assim por diante. |
DNS (Sistema de Nomes de Domínio) | Essa categoria é para assinaturas com regras para ataques e vulnerabilidades relacionadas ao DNS. Essa categoria também é usada para regras relacionadas a abuso de DNS, como túnel. |
DOS | Essa categoria é para assinaturas que detectam tentativas de Negação de Serviço (DoS). Essas regras destinam-se a capturar a atividade do DoS de entrada e fornecer indicação de atividade do DoS de saída. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
Remover | Essa categoria é destinada a assinaturas para bloquear endereços IP da lista Spamhaus DROP (Don't Route or Peer). As regras nessa categoria são atualizadas diariamente. |
Dshield | Essa categoria é para assinaturas baseadas em invasores identificados pelo Dshield. As regras nessa categoria são atualizadas diariamente na lista de principais invasores do DShield, que é confiável. |
Explorar | Essa categoria é para assinaturas que protegem contra explorações diretas não abordadas de outra forma em uma categoria de serviço específica. Essa categoria é onde serão encontrados ataques específicos contra vulnerabilidades como Windows Microsoft. Os ataques com sua própria categoria, como injeção de SQL, têm sua própria categoria. |
Kit de exploração | Essa categoria é para que as assinaturas detectem atividades relacionadas aos Kits de exploração em sua infraestrutura e entrega. |
FTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo FTP (FTP). Essa categoria também inclui regras que detectam atividades FTP não mal-intencionadas, como logons para fins de registro em log. |
Jogos | Essa categoria é para assinaturas que identificam o tráfego de jogos e ataques contra esses jogos. As regras abrangem jogos como World of Warcraft, Starcraft e outros jogos online populares. Embora os jogos e seu tráfego não sejam mal-intencionados, eles geralmente são indesejados e proibidos pela política em redes corporativas. |
Buscando | Essa categoria é para assinaturas que fornecem indicadores que, quando corresponderem a outras assinaturas, podem ser úteis para a busca de ameaças em um ambiente. Essas regras podem fornecer falsos positivos no tráfego legítimo e inibir o desempenho. Eles só são recomendados para uso ao pesquisar ativamente possíveis ameaças no ambiente. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
ICMP | Essa categoria é para assinaturas relacionadas a ataques e vulnerabilidades sobre o Protocolo ICMP. |
ICMP_info | Essa categoria é para assinaturas relacionadas a eventos específicos do protocolo ICMP, normalmente associados a operações normais para fins de registro em log. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
IMAP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades sobre o protocolo IMAP. Essa categoria também inclui regras que detectam atividades IMAP não ilícitas para fins de registro em log. |
Inapropriado | Essa categoria é para que as assinaturas identifiquem atividades potencialmente relacionadas a sites que são pornográficos ou que não são apropriados para um ambiente de trabalho. Aviso: essa categoria pode ter um impacto significativo no desempenho e uma alta taxa de falsos positivos. |
Info | Essa categoria é para que as assinaturas ajudem a fornecer eventos de nível de auditoria que são úteis para correlação e identificação de atividades interessantes, que podem não ser inerentemente mal-intencionadas, mas geralmente são observadas em malware e outras ameaças. Por exemplo, baixando um executável por HTTP por endereço IP em vez do nome de domínio. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
JA3 | Essa categoria é para assinaturas para impressão digital de certificados SSL mal-intencionados usando hashes JA3. Essas regras são baseadas em parâmetros que estão na negociação de handshake SSL por clientes e servidores. Essas regras podem ter uma alta taxa de falsos positivos, mas podem ser úteis para ambientes de busca de ameaças ou ambientes de denotação de malware. |
Malware | Essa categoria é para assinaturas detectarem software mal-intencionado. As regras nesta categoria detectam atividades relacionadas a softwares mal-intencionados detectados na rede, incluindo malware em trânsito, malware ativo, infecções de malware, ataques de malware e atualização de malware. Essa também é uma categoria altamente importante e é altamente recomendável que você a execute. |
Diversos | Essa categoria é para assinaturas não abordadas em outras categorias. |
Malware móvel | Essa categoria é para assinaturas que indicam malware associado a sistemas operacionais móveis e tablets, como Google Android, Apple iOS e outros. Malware detectado e associado a sistemas operacionais móveis geralmente será colocado nessa categoria em vez das categorias padrão, como Malware. |
NETBIOS | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao NetBIOS. Essa categoria também inclui regras que detectam atividades NetBIOS não mal-intencionadas para fins de registro em log. |
P2P | Essa categoria é para assinaturas para a identificação de tráfego P2P (ponto a ponto) e ataques contra ele. O tráfego P2P identificado inclui: edonkey, Bittorrent, Gellaella e Limewire, entre outros. O tráfego P2P não é inerentemente mal-intencionado, mas geralmente é importante para empresas. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
Phishing | Essa categoria é para assinaturas que detectam a atividade de phishing de credenciais. Isso inclui páginas de aterrissagem que exibem phishing de credenciais e envio bem-sucedido de credenciais em sites de phishing de credenciais. |
Política | Essa categoria é destinada a assinaturas que podem indicar violações à política da organização. Isso pode incluir protocolos propensos a abuso e outras transações no nível do aplicativo, que podem ser de interesse. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Os clientes podem fazer a substituição personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
POP3 | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao Protocolo POP3 (Post Office Protocol 3.0). Essa categoria também inclui regras que detectam atividades POP3 não mal-intencionadas para fins de registro em log. |
RPC | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades relacionadas à RPC (Chamada de Procedimento Remoto). Essa categoria também inclui regras que detectam atividades RPC não mal-intencionadas para fins de registro em log. |
SCADA | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao controle de supervisor e à aquisição de dados (SCADA). Essa categoria também inclui regras que detectam atividades SCADA não mal-intencionadas para fins de registro em log. |
SCAN | Essa categoria é para que as assinaturas detectem reconhecimento e investigação de ferramentas como Nessus, Nikto e outras ferramentas de verificação de porta. Essa categoria pode ser útil para detectar a atividade de violação antecipada e o movimento lateral pós-infecção em uma organização. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Os clientes podem fazer a substituição personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
Código do shell | Essa categoria é para assinaturas para detecção de código de shell remoto. O código de shell remoto é usado quando um invasor deseja direcionar um processo vulnerável em execução em outro computador em uma rede local ou intranet. Se executado com êxito, o código do shell poderá fornecer ao invasor acesso ao computador de destino em toda a rede. Os códigos de shell remoto normalmente usam conexões de soquete TCP/IP padrão para permitir que o invasor acesse o shell no computador de destino. Esse código de shell pode ser categorizado de acordo com a forma de configurar essa conexão: se o código do shell pode estabelecer essa conexão, ele é chamado de "shell reverso" ou de "conectar-se novamente", porque se conecta novamente ao computador do invasor. |
SMTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo SMTP. Essa categoria também inclui regras que detectam atividades SMTP não mal-intencionadas para fins de registro em log. |
SNMP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo SNMP. Essa categoria também inclui regras que detectam atividades SNMP não mal-intencionadas para fins de registro em log. |
SQL | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas linguagem SQL (SQL). Essa categoria também inclui regras que detectam atividades não mal-intencionadas SQL para fins de registro em log. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Os clientes podem fazer a substituição personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
TELNET | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao TELNET. Essa categoria também inclui regras que detectam atividades TELNET não mal-intencionadas para fins de registro em log. |
TFTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo TFTP. Essa categoria também inclui regras que detectam a atividade TFTP não comercial para fins de registro em log. |
TOR | Essa categoria é para assinaturas para a identificação do tráfego de e para nós de saída TOR com base no endereço IP. Observação: todas as assinaturas dessa categoria são definidas como "Somente Alerta". Portanto, por padrão, o tráfego que corresponde às assinaturas não será bloqueado, mesmo que o modo IDPS esteja definido como "Alerta e Negação". Clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo "Alerta e Negação". |
Agentes de usuário | Essa categoria é para que as assinaturas detectem agentes de usuário suspeitos e anômalos. Agentes de usuário mal-intencionados conhecidos são colocados na categoria Malware. |
VOIP | Essa categoria é para assinaturas para ataques e vulnerabilidades associados à VOIP (Voz sobre IP), incluindo SIP, H.323 e RTP, entre outros. |
Clientes web | Essa categoria é para assinaturas para ataques e vulnerabilidades associados a clientes Web, como navegadores da Web e também aplicativos do lado do cliente, como CURL, WGET e outros. |
Servidor Web | Essa categoria é para assinaturas detectarem ataques contra a infraestrutura do servidor Web, como APACHE, TOMCAT, NGINX, Serviços de Informações da Internet da Microsoft (IIS) e outros softwares de servidor Web. |
Aplicativos específicos da Web | Essa categoria é para assinaturas detectarem ataques e vulnerabilidades em aplicativos Web específicos. |
WORM | Essa categoria é para que as assinaturas detectem atividades mal-intencionadas que tentam se propagar automaticamente pela Internet ou dentro de uma rede explorando uma vulnerabilidade sejam classificadas como a categoria WORM. Embora a exploração real em si normalmente seja identificada na categoria Exploit ou em um determinado protocolo, outra entrada nessa categoria poderá ser feita se o malware real que está envolvido na propagação do tipo worm também puder ser identificado. |
Próximas etapas
- Para saber mais sobre os recursos do Firewall do Azure Premium, confira Firewall do Azure Premium.