DNS uyarıları

Bu makalede, Bulut için Microsoft Defender dns için alabileceğiniz güvenlik uyarıları ve etkinleştirdiğiniz Tüm Microsoft Defender planları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.

Not

Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.

Bu uyarılara nasıl yanıt vereceğinizi öğrenin.

Uyarıları dışarı aktarmayı öğrenin.

Not

Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.

DNS uyarıları

Önemli

1 Ağustos 2023 itibarıyla, DNS için Defender aboneliği olan müşteriler hizmeti kullanmaya devam edebilir, ancak yeni aboneler Sunucular için Defender P2'nin bir parçası olarak şüpheli DNS etkinliği hakkında uyarı alır.

Diğer ayrıntılar ve notlar

Anormal ağ protokolü kullanımı

(AzureDNS_ProtocolAnomaly)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anormal protokol kullanımı algılandı. Bu tür trafik, muhtemelen zararsız olsa da, ağ trafiği filtrelemesini atlamak için bu ortak protokolün kötüye kullanıldığına işaret edebilir. Tipik bir saldırgan etkinliği, uzaktan yönetim araçlarını güvenliği aşılmış bir konağa kopyalamayı ve kullanıcı verilerini oradan dışarı aktarmayı içerir.

MITRE taktikleri: Sızdırma

Önem Derecesi: -

Anonimlik ağ etkinliği

(AzureDNS_DarkWeb)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anonim ağ etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ iletişimlerinin izlenmesini ve parmak izini kullanmaktan kaçınma amacıyla sıklıkla kullanılır. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

Web ara sunucusu kullanan anonim ağ etkinliği

(AzureDNS_DarkWebProxy)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anonim ağ etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ iletişimlerinin izlenmesini ve parmak izini kullanmaktan kaçınma amacıyla sıklıkla kullanılır. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

Şüpheli havuzlu etki alanıyla iletişim denendi

(AzureDNS_SinkholedDomain)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizi havuza alınmış etki alanı için istek algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, genellikle kötü amaçlı yazılımların indirilmesinin veya yürütülmesinin bir göstergesidir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilmesini ve yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Orta

Olası kimlik avı etki alanıyla iletişim

(AzureDNS_PhishingDomain)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizi, olası bir kimlik avı etki alanı için bir istek algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından uzak hizmetlere kimlik bilgilerini toplamak için sık sık gerçekleştirilir. Tipik ilgili saldırgan etkinliği, meşru hizmette kimlik bilgilerinin kötüye kullanılmasını içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Bilgilendiren

Şüpheli algoritmik olarak oluşturulan etki alanıyla iletişim

(AzureDNS_DomainGenerationAlgorithm)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde etki alanı oluşturma algoritmasının olası kullanımı algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Bilgilendiren

Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim

(AzureDNS_ThreatIntelSuspectDomain)

Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.

MITRE taktikleri: İlk Erişim

Önem Derecesi: Orta

Şüpheli rastgele etki alanı adıyla iletişim

(AzureDNS_RandomizedDomain)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde, rastgele oluşturulan şüpheli bir etki alanı adının kullanımı algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Bilgilendiren

Dijital para birimi madenciliği etkinliği

(AzureDNS_CurrencyMining)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde dijital para madenciliği etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, kaynakların güvenliğinin aşılmasından sonra saldırganlar tarafından sıklıkla gerçekleştirilir. Tipik ilgili saldırgan etkinliği, yaygın madencilik araçlarının indirilmesini ve yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

Ağ yetkisiz erişim algılama imzası etkinleştirme

(AzureDNS_SuspiciousDomain)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde bilinen bir kötü amaçlı ağ imzası algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, genellikle kötü amaçlı yazılımların indirilmesinin veya yürütülmesinin bir göstergesidir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilmesini ve yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Orta

DNS tüneli aracılığıyla olası veri indirme

(AzureDNS_DataInfiltration)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

DNS tüneli aracılığıyla olası veri sızdırma

(AzureDNS_DataExfiltration)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

DNS tüneli üzerinden olası veri aktarımı

(AzureDNS_DataObfuscation)

Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.

MITRE taktikleri: Sızdırma

Önem Derecesi: Düşük

Not

Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Sonraki adımlar