Aviseringar för Azure-nätverkslager
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure-nätverksskiktet från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar på Azure-nätverksnivå
Mer information och anteckningar
Nätverkskommunikation med en skadlig dator har identifierats
(Network_CommunicationWithC2)
Beskrivning: Analysen av nätverkstrafik anger att datorn (IP %{Victim IP}) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter.
MITRE-taktik: Kommando och kontroll
Allvarlighetsgrad: Medel
Möjlig komprometterad dator har identifierats
(Network_ResourceIpIndicatedAsMalicious)
Beskrivning: Hotinformation anger att datorn (på IP %{Machine IP}) kan ha komprometterats av en skadlig kod av typen Conficker. Conficker var en datormask som riktar sig mot Microsoft Windows-operativsystemet och upptäcktes först i november 2008. Conficker smittade miljontals datorer inklusive myndigheter, företag och hemdatorer i över 200 länder/regioner, vilket gör det till den största kända datormaskinfektionen sedan Welchia-masken 2003.
MITRE-taktik: Kommando och kontroll
Allvarlighetsgrad: Medel
Möjliga inkommande %{Service Name} brute force-försök har identifierats
(Generic_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade inkommande %{Tjänstnamn} kommunikation till %{Offer IP}, associerad med resursen %{Komprometterad värd} från %{Angripares IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Offerport}. Den här aktiviteten är konsekvent med råstyrkeförsök mot %{Service Name}-servrar.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Information
Möjliga inkommande SQL brute force-försök har identifierats
(SQL_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade inkommande SQL-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Angriparens IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Portnummer} (%{SQL Service Type}). Den här aktiviteten är konsekvent med råstyrkeattacker mot SQL-servrar.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Möjliga utgående överbelastningsattacker har identifierats
(DDOS)
Beskrivning: Analysen av nätverkstrafik identifierade avvikande utgående aktivitet från %{Komprometterad värd}, en resurs i distributionen. Den här aktiviteten kan tyda på att resursen har komprometterats och nu är inblandad i överbelastningsattacker mot externa slutpunkter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) komprometterades. Baserat på mängden anslutningar tror vi att följande IP-adresser kan vara mål för DOS-attacken: %{Möjliga offer}. Observera att det är möjligt att kommunikationen till vissa av dessa IP-adresser är legitim.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt inkommande RDP-nätverksaktivitet från flera källor
(RDP_Incoming_BF_ManyToOne)
Beskrivning: Nätverkstrafikanalys identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten från flera värdar (Botnet).
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande RDP-nätverksaktivitet
(RDP_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelbaserade nätverksdata %{Antal anslutningar} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande SSH-nätverksaktivitet från flera källor
(SSH_Incoming_BF_ManyToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten från flera värdar (Botnet)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande SSH-nätverksaktivitet
(SSH_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelbaserade nätverksdata %{Antal anslutningar} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt utgående %{Attackerade protokoll} trafik har identifierats
(PortScanning)
Beskrivning: Analysen av nätverkstrafik identifierade misstänkt utgående trafik från %{Komprometterad värd} till målporten %{Den vanligaste porten}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Det här beteendet kan tyda på att resursen deltar i %{Attacked Protocol} brute force-försök eller portgenomsökningsattacker.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Misstänkt utgående RDP-nätverksaktivitet till flera mål
(RDP_Outgoing_BF_OneToMany)
Beskrivning: Nätverkstrafikanalys identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att datorn ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Hög
Misstänkt utgående RDP-nätverksaktivitet
(RDP_Outgoing_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP} som kommer från %{Komprometterad värd} (%{Attacker IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal anslutningar} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att datorn har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Misstänkt utgående SSH-nätverksaktivitet till flera mål
(SSH_Outgoing_BF_OneToMany)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att resursen ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Misstänkt utgående SSH-nätverksaktivitet
(SSH_Outgoing_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till %{Victim IP} med ursprung från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal anslutningar} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Trafik identifierad från IP-adresser som rekommenderas för blockering
(Network_TrafficFromUnrecommendedIP)
Beskrivning: Microsoft Defender för molnet identifierade inkommande trafik från IP-adresser som rekommenderas att blockeras. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnets hotinformationskällor.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Information
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.