Azure ağ katmanı uyarıları
Bu makalede, Bulut için Microsoft Defender azure ağ katmanı için alabileceğiniz güvenlik uyarıları ve etkinleştirdiğiniz Tüm Microsoft Defender planları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Azure ağ katmanı uyarıları
Kötü amaçlı bir makineyle ağ iletişimi algılandı
(Network_CommunicationWithC2)
Açıklama: Ağ trafiği analizi, makinenizin (IP %{Victim IP}) Bir Komut ve Denetim merkezi olabilecek değerle iletişim kurduğunu gösterir. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli etkinlik arka uç havuzundaki bir veya daha fazla kaynağın (yük dengeleyici veya uygulama ağ geçidinin) Bir Komut ve Denetim merkezi olabilecek kaynaklarla iletişim kurduğunu gösterebilir.
MITRE taktikleri: Komut ve Denetim
Önem Derecesi: Orta
Olası güvenliği aşılmış makine algılandı
(Network_ResourceIpIndicatedAsMalicious)
Açıklama: Tehdit bilgileri makinenizin (IP %{Machine IP}'de) Conficker türünde bir kötü amaçlı yazılım tarafından ele geçirilmiş olabileceğini gösterir. Conficker, Microsoft Windows işletim sistemini hedefleyen bir bilgisayar solucanıydı ve ilk olarak Kasım 2008'de algılandı. Conficker, 200'den fazla ülkede/bölgede devlet, iş ve ev bilgisayarları dahil olmak üzere milyonlarca bilgisayara bulaşmış ve 2003 Welchia solucanı'dan bu yana bilinen en büyük bilgisayar solucanı enfeksiyonu haline getirmiştir.
MITRE taktikleri: Komut ve Denetim
Önem Derecesi: Orta
Olası gelen %{Service Name} deneme yanılma girişimleri algılandı
(Generic_Incoming_BF_OneToOne)
Açıklama: %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile gelen %{Hizmet Adı} iletişim ağ trafiği analizi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Örneklenen ağ verileri, %{Victim Port} bağlantı noktasında %{Start Time} ile %{End Time} arasındaki şüpheli etkinliği gösteriyor. Bu etkinlik , %{Service Name} sunucularına yönelik deneme yanılma girişimleriyle tutarlı.
MITRE taktikleri: PreAttack
Önem Derecesi: Bilgilendiren
Olası gelen SQL deneme yanılma girişimleri algılandı
(SQL_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile gelen SQL iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri %{Bağlantı Noktası Numarası} (%{SQL Hizmet Türü}) bağlantı noktasındaki %{Başlangıç Saati} ile %{Bitiş Zamanı} arasındaki şüpheli etkinliği gösterir. Bu etkinlik, SQL sunucularına karşı deneme yanılma girişimleriyle tutarlıdır.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Olası giden hizmet reddi saldırısı algılandı
(DDOS)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Konak} kaynaklı anormal giden etkinlik algılandı. Bu etkinlik kaynağınızın gizliliğinin tehlikeye girdiğini ve artık dış uç noktalara yönelik hizmet reddi saldırılarıyla meşgul olduğunu gösterebilir. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli etkinlik arka uç havuzundaki bir veya daha fazla kaynağın (yük dengeleyici veya uygulama ağ geçidinin) güvenliğinin aşıldığını gösterebilir. Bağlantı hacmine bağlı olarak, şu IP'lerin DOS saldırısının hedefleri olduğunu düşünüyoruz: %{Olası Kurbanlar}. Bu IP'lerden bazılarına yapılan iletişimin yasal olduğunu unutmayın.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Birden çok kaynaktan şüpheli gelen RDP ağ etkinliği
(RDP_Incoming_BF_ManyToOne)
Açıklama: Ağ trafiği analizi, birden çok kaynaktan %{Victim IP} adlı kaynakla ilişkili anormal gelen Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza bağlanan %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'yi gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, rdp uç noktanızı birden çok konaktan (Botnet) deneme yanılma girişimine işaret edebilir.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli gelen RDP ağ etkinliği
(RDP_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile anormal gelen Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza gelen %{Bağlantı Sayısı} bağlantısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik RDP uç noktanızı deneme yanılma girişimini gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Birden çok kaynaktan şüpheli gelen SSH ağ etkinliği
(SSH_Incoming_BF_ManyToOne)
Açıklama: Ağ trafiği analizi birden çok kaynaktan %{Victim IP} adlı kaynakla ilişkili anormal gelen SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza bağlanan %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'yi gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, SSH uç noktanızı birden çok konaktan (Botnet) deneme yanılma girişiminde bulunabileceğinizi gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli gelen SSH ağ etkinliği
(SSH_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkili %{Victim IP} ile anormal gelen SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza gelen %{Bağlantı Sayısı} bağlantısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, SSH uç noktanızı deneme yanılma girişimini gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli giden %{Saldırıya Uğrayan Protokol} trafiği algılandı
(PortScanning)
Açıklama: Ağ trafiği analizi , %{Güvenliği Aşılmış Konak} öğesinden %{En Yaygın Bağlantı Noktası} hedef bağlantı noktasına şüpheli giden trafik algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Bu davranış, kaynağınızın %{Saldırıya Uğrayan Protokol} deneme yanılma girişimlerine veya bağlantı noktası süpürme saldırılarına katıldığını gösterebilir.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
Birden çok hedefe şüpheli giden RDP ağ etkinliği
(RDP_Outgoing_BF_OneToMany)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Ana Bilgisayar} (%{Saldırgan IP}) kaynağından kaynaklanan birden çok hedefe anormal giden Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Örneklenen ağ verileri, makinenizin %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'sine bağlanarak bu ortam için anormal olarak kabul edildiğini gösterir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış RDP uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Bulma
Önem Derecesi: Yüksek
Şüpheli giden RDP ağ etkinliği
(RDP_Outgoing_BF_OneToOne)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Victim IP} ile %{Risk Altındaki Ana Bilgisayar} (%{Saldırgan IP}) kaynaklı anormal giden Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Özellikle, örneklenen ağ verileri kaynağınızdan gelen %{Bağlantı Sayısı} giden bağlantısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik makinenizin gizliliğinin ihlal edildiğine ve artık dış RDP uç noktalarına deneme yanılma uygulamak için kullanıldığına işaret edebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Yüksek
Birden çok hedefe şüpheli giden SSH ağ etkinliği
(SSH_Outgoing_BF_OneToMany)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Konak} (%{Saldırgan IP}) kaynağından kaynaklanan birden çok hedefe anormal giden SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Örneklenen ağ verileri, kaynağınızın bu ortam için anormal olarak kabul edilen %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'sine bağlanmasını gösterir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış SSH uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
Şüpheli giden SSH ağ etkinliği
(SSH_Outgoing_BF_OneToOne)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Victim IP} ile %{Güvenliği Aşılmış Konak} (%{Saldırgan IP}) kaynaklı anormal giden SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Özellikle, örneklenen ağ verileri kaynağınızdan gelen %{Bağlantı Sayısı} giden bağlantısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış SSH uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Engelleme için önerilen IP adreslerinden trafik algılandı
(Network_TrafficFromUnrecommendedIP)
Açıklama: Bulut için Microsoft Defender engellenmesi önerilen IP adreslerinden gelen trafik algılandı. Bu durum genellikle bu IP adresi bu kaynakla düzenli olarak iletişim kurmadığında oluşur. Alternatif olarak, IP adresi Bulut için Defender tehdit bilgileri kaynakları tarafından kötü amaçlı olarak işaretlendi.
MITRE taktikleri: Yoklama
Önem Derecesi: Bilgilendiren
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.