Kategorie pravidel podpisu IDPS služby Azure Firewall
Funkce IDPS služby Azure Firewall přes 50 kategorií, které je možné přiřadit jednotlivým podpisům. Následující tabulka obsahuje seznam definic pro každou kategorii.
Kategorie
| Kategorie | Popis |
|---|---|
| 3CORESec | Tato kategorie je určená pro podpisy, které se generují automaticky ze seznamů blokovaných IP adres týmu 3CORESec. Tyto seznamy bloků generují 3CORESec na základě škodlivé aktivity ze svých honeypotů. |
| ActiveX | Tato kategorie je určená pro podpisy, které chrání před útoky na ovládací prvky Microsoft ActiveX a využívají ohrožení zabezpečení v ovládacích prvcích ActiveX. |
| Adware-PUP | Tato kategorie slouží k identifikaci softwaru, který se používá ke sledování reklam nebo jiným typům aktivity související s spywarem. |
| Reakce na útok | Tato kategorie je určená pro podpisy k identifikaci odpovědí indikovaných neoprávněným vniknutím – příklady zahrnují stažení souboru LMHost, přítomnost určitých webových bannerů a detekci příkazu Metasploit Meterpreter kill. Tyto podpisy jsou navržené tak, aby zachytily výsledky úspěšného útoku. Například id=root nebo chybové zprávy, které značí, že došlo k ohrožení zabezpečení. |
| Botcc (příkaz a řízení robota) | Tato kategorie je určená pro podpisy, které se automaticky generují z několika zdrojů známých a potvrzených aktivních hostitelů botnetu a jiných hostitelů command and control (C2). Tato kategorie se aktualizuje každý den. Primárním zdrojem dat kategorie je Shadowserver.org. |
| Seskupený port Botcc | Tato kategorie je určená pro podpisy, jako jsou podpisy v kategorii Botcc, ale seskupené podle cílového portu. Pravidla seskupovaná podle portu můžou nabízet vyšší věrnost než pravidla, která nejsou seskupována podle portu. |
| Chat | Tato kategorie je určená pro podpisy, které identifikují provoz související s mnoha chatovacími klienty, jako je služba IRC (Internet Relay Chat) (IRC). Přenosy chatu můžou indikovat možnou aktivitu vrácení se změnami mezi aktéry hrozeb. |
| CIArmy | Tato kategorie je určená pro podpisy, které se generují pomocí pravidel IP kolektivní inteligence pro blokování. |
| Těžba mincí | Tato kategorie je určena pro podpisy s pravidly, která detekují malware, který dolování mincí. Tyto podpisy mohou také detekovat některé legitimní (i když často nežádoucí) dolování mincí software. |
| Udělal kompromis | Tato kategorie je určená pro podpisy na základě seznamu známých ohrožených hostitelů. Tento seznam se potvrdí a aktualizuje každý den. Podpisy v této kategorii se můžou v závislosti na zdrojích dat lišit od jednoho po několik stovek pravidel. Zdroje dat pro tuto kategorii pocházejí z několika soukromých, ale vysoce spolehlivých zdrojů dat. |
| Aktuální události | Tato kategorie je určená pro podpisy s pravidly vyvinutými v reakci na aktivní a krátkodobé kampaně a vysoce profilované položky, u které se očekává, že budou dočasné. Jedním z příkladů jsou podvodné kampaně související se katastrofami. Pravidla v této kategorii nejsou určena k uchovávání v sadě pravidel po dlouhou dobu nebo je nutné je dále testovat, než budou považovány za zahrnutí. Nejčastěji se jedná o jednoduché podpisy pro binární adresu URL Storm dne, podpisy pro zachycení identifikátorů CLSID nově zjištěných ohrožených aplikací, kde nemáme žádné podrobnosti o zneužití atd. |
| DNS (Domain Name Service) | Tato kategorie je určená pro podpisy s pravidly pro útoky a ohrožení zabezpečení týkající se DNS. Tato kategorie se také používá pro pravidla týkající se zneužití DNS, jako je tunelování. |
| DOS | Tato kategorie je určená pro podpisy, které detekují pokusy o odepření služby (DoS). Tato pravidla mají zachytávat příchozí aktivitu DoS a indikovat aktivitu odchozích doS. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| Pustit | Tato kategorie slouží k blokování IP adres v seznamu Spamhaus DROP (Nesměrovat nebo Peer). Pravidla v této kategorii se aktualizují každý den. |
| Dshield | Tato kategorie je určená pro podpisy založené na útočníkech identifikovaných nástrojem Dshield. Pravidla v této kategorii se aktualizují každý den ze seznamu hlavních útočníků DShield, což je spolehlivé. |
| Využít | Tato kategorie je určena pro podpisy, které chrání před přímým zneužitím, které nejsou jinak zahrnuty v konkrétní kategorii služby. Tato kategorie je místem, kde se najdou konkrétní útoky na ohrožení zabezpečení, jako je například systém Microsoft Windows. Útoky s vlastní kategorií, jako je injektáž SQL, mají vlastní kategorii. |
| Exploit-Kit | Tato kategorie je určená pro podpisy, které detekují aktivitu související se sadou Exploit Kit, jejich infrastrukturou a doručováním. |
| FTP | Tato kategorie se týká podpisů souvisejících s útoky, zneužitím a ohroženími zabezpečení souvisejícími s protokolem FTP (File Transfer Protocol). Tato kategorie také obsahuje pravidla, která detekují neschybné aktivity FTP, jako jsou přihlášení pro účely protokolování. |
| Hry | Tato kategorie je určená pro podpisy, které identifikují provoz her a útoky na tyto hry. Pravidla zahrnují hry, jako je World of Warcraft, Starcraft a další oblíbené online hry. I když hry a jejich provoz nejsou škodlivé, jsou často nežádoucí a zakázané zásadami v podnikových sítích. |
| Vyhledávání | Tato kategorie je určená pro podpisy, které poskytují indikátory, které mohou být při porovnávání s jinými podpisy užitečné pro vyhledávání hrozeb v prostředí. Tato pravidla můžou poskytovat falešně pozitivní výsledky pro legitimní provoz a bránit výkonu. Doporučuje se použít pouze při aktivním zkoumání potenciálních hrozeb v prostředí. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| ICMP | Tato kategorie se týká podpisů souvisejících s útoky a ohroženími zabezpečení protokolu ICMP (Internet Control Message Protocol). |
| ICMP_info | Tato kategorie je určena pro podpisy související s událostmi specifickými pro protokol ICMP, obvykle spojené s normálními operacemi pro účely protokolování. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| IMAP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohroženími zabezpečení týkajícími se protokolu IMAP (Internet Message Access Protocol). Tato kategorie také obsahuje pravidla, která pro účely protokolování detekují nemalickou aktivitu IMAP. |
| Nevhodný | Tato kategorie je určena pro podpisy k identifikaci potenciálně aktivit souvisejících s weby, které jsou pornografické nebo jinak vhodné pro pracovní prostředí. Upozornění: Tato kategorie může mít významný dopad na výkon a vysokou míru falešně pozitivních výsledků. |
| Informace | Tato kategorie je určená pro podpisy, které pomáhají poskytovat události na úrovni auditu, které jsou užitečné pro korelaci a identifikaci zajímavé aktivity, což nemusí být ze své podstaty škodlivé, ale často se vyskytuje v malwaru a dalších hrozbách. Například stažení spustitelného souboru přes PROTOKOL HTTP podle IP adresy místo názvu domény. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| JA3 | Tato kategorie je určená pro podpisy k otisku škodlivých certifikátů SSL pomocí hodnot hash JA3. Tato pravidla jsou založená na parametrech, které jsou v vyjednávání metodou handshake SSL klienty i servery. Tato pravidla můžou mít vysokou falešně pozitivní míru, ale mohou být užitečná pro prostředí proaktivního vyhledávání hrozeb nebo detonace malwaru. |
| Malware | Tato kategorie slouží k detekci škodlivého softwaru. Pravidla v této kategorii detekují aktivitu související se škodlivým softwarem, který je zjištěn v síti, včetně malwaru při přenosu, aktivního malwaru, infekce malwaru, malwarových útoků a aktualizace malwaru. Je to také velmi důležitá kategorie a důrazně doporučujeme ji spustit. |
| Různé | Tato kategorie je určená pro podpisy, které nejsou zahrnuty v jiných kategoriích. |
| Mobilní malware | Tato kategorie je určena pro podpisy, které označují malware, který je přidružený k mobilním a tabletovým operačním systémům, jako je Google Android, Apple iOS a další. Malware, který je zjištěn a je přidružen k mobilním operačním systémům, bude obecně umístěn v této kategorii místo standardních kategorií, jako je Malware. |
| ROZHRANÍ NETBIOS | Tato kategorie se týká podpisů souvisejících s útoky, zneužitím a ohroženími zabezpečení souvisejícími s rozhraním NetBIOS. Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují aktivitu netBIOS se zlými úmysly. |
| P2P | Tato kategorie je určená pro podpisy pro identifikaci provozu typu Peer-to-Peer (P2P) a útoků na něj. Identifikovaný provoz P2P zahrnuje mimo jiné torrenty, edonkey, Bittorrent, Gnutella a Limewire. Provoz P2P není ze své podstaty škodlivý, ale často je pro podniky velmi srozumitelný. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| Phishing | Tato kategorie je určená pro podpisy, které detekují aktivitu phishing s přihlašovacími údaji. To zahrnuje cílové stránky zobrazující phishing přihlašovacích údajů a úspěšné odeslání přihlašovacích údajů na weby s přihlašovacími údaji phishing. |
| Zásady | Tato kategorie je určená pro podpisy, které můžou značit porušení zásad organizace. To může zahrnovat protokoly náchylné ke zneužití a další transakce na úrovni aplikace, které mohou být zajímavé. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci to můžou přepsat přizpůsobením těchto konkrétních podpisů do režimu Upozornění a zamítnutí. |
| POP3 | Tato kategorie se týká podpisů souvisejících s útoky, zneužitím a ohroženími zabezpečení souvisejícími s protokolem POP3 .0 (Post Office Protocol 3.0). Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují nemalickou aktivitu POP3. |
| RPC | Tato kategorie se týká podpisů souvisejících s útoky, zneužitím a ohroženími zabezpečení týkajícími se vzdáleného volání procedur (RPC). Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují nezákeřnou aktivitu RPC. |
| SCADA | Tato kategorie se týká podpisů souvisejících s útoky, zneužitími a ohroženími zabezpečení souvisejícími s kontrolou dohledu a získáváním dat (SCADA). Tato kategorie také obsahuje pravidla, která pro účely protokolování detekují nezákeřnou aktivitu SCADA. |
| SKENOVAT | Tato kategorie slouží k detekci rekognoskace a zjišťování z nástrojů, jako jsou Nessus, Nikto a další nástroje pro kontrolu portů. Tato kategorie může být užitečná pro detekci aktivity předčasného porušení zabezpečení a laterálního pohybu po infekci v organizaci. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci to můžou přepsat přizpůsobením těchto konkrétních podpisů do režimu Upozornění a zamítnutí. |
| Kód prostředí | Tato kategorie je určená pro podpisy pro detekci kódu vzdáleného prostředí. Kód vzdáleného prostředí se používá, když útočník chce cílit na ohrožený proces spuštěný na jiném počítači v místní síti nebo intranetu. Pokud se úspěšně spustí, může kód prostředí poskytnout útočníkovi přístup k cílovému počítači v síti. Kódy vzdáleného prostředí obvykle používají standardní připojení soketů TCP/IP, aby útočník mohl přistupovat k prostředí na cílovém počítači. Takový kód prostředí je možné kategorizovat na základě toho, jak je toto připojení nastavené: pokud kód prostředí může navázat toto připojení, nazývá se "reverse shell" nebo "connect back" shell code, protože kód prostředí se připojuje zpět k počítači útočníka. |
| SMTP | Tato kategorie se týká podpisů souvisejících s útoky, zneužitími a ohroženími zabezpečení souvisejícími s protokolem SMTP (Simple Mail Transfer Protocol). Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují neschybnou aktivitu SMTP. |
| SNMP | Tato kategorie je určená pro podpisy související s útoky, zneužitími a ohroženími zabezpečení souvisejícími s protokolem SNMP (Simple Network Management Protocol). Tato kategorie obsahuje také pravidla, která detekují neschybnou aktivitu SNMP pro účely protokolování. |
| SQL | Tato kategorie se týká podpisů souvisejících s útoky, zneužitím a ohroženími zabezpečení souvisejícími s jazyk SQL (Structured Query Language) (SQL). Tato kategorie také obsahuje pravidla, která pro účely protokolování detekují nezákeřnou aktivitu SQL. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci to můžou přepsat přizpůsobením těchto konkrétních podpisů do režimu Upozornění a zamítnutí. |
| TELNET | Tato kategorie je určená pro podpisy související s útoky, zneužitími a ohroženími zabezpečení souvisejícími se službou TELNET. Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují nezákeřnou aktivitu telnet. |
| TFTP | Tato kategorie je určená pro podpisy související s útoky, zneužitím a ohroženími zabezpečení souvisejícími s protokolem TFTP (Trivial File Transport Protocol). Tato kategorie obsahuje také pravidla, která pro účely protokolování detekují nemalickou aktivitu TFTP. |
| MOHYLA | Tato kategorie je určená pro podpisy pro identifikaci provozu do a z výstupních uzlů TOR na základě IP adresy. Poznámka: Všechny podpisy v této kategorii jsou definovány jako "Pouze výstrahy", a proto ve výchozím nastavení provoz odpovídající těmto podpisům nebude blokován, i když je režim IDPS nastavený na "Výstraha a odepření". Zákazníci můžou toto chování přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí. |
| Agenti uživatelů | Tato kategorie slouží k detekci podezřelých a neobvyklých uživatelských agentů. Známé škodlivé uživatelské agenty jsou umístěny v kategorii Malware. |
| VOIP | Tato kategorie je určená pro podpisy pro útoky a chyby zabezpečení spojené s protokolem Voice over IP (VOIP), včetně SIP, H.323 a RTP. |
| Webový klient | Tato kategorie je určená pro podpisy útoků a ohrožení zabezpečení spojených s webovými klienty, jako jsou webové prohlížeče a také aplikace na straně klienta, jako jsou CURL, WGET a další. |
| Webový server | Tato kategorie slouží k detekci útoků na infrastrukturu webového serveru, jako je APACHE, TOMCAT, NGINX, Microsoft Internetová informační služba (IIS) a další software webového serveru. |
| Webové aplikace | Tato kategorie slouží k detekci útoků a ohrožení zabezpečení v konkrétních webových aplikacích. |
| ČERV | Tato kategorie slouží k detekci škodlivých aktivit, které se automaticky pokusí rozšířit po internetu nebo v síti zneužitím chyby zabezpečení, jsou klasifikovány jako kategorie WORM. I když samotné zneužití bude obvykle identifikováno v kategorii Zneužití nebo daný protokol, může být provedena další položka v této kategorii, pokud je možné identifikovat i skutečný malware, který se zapojuje do šíření podobného červu. |
Další kroky
- Další informace o funkcích služby Azure Firewall Premium najdete v tématu Funkce služby Azure Firewall Premium.