次の方法で共有


Azure ネットワーク レイヤーのアラート

この記事では、Microsoft Defender for Cloud から Azure ネットワーク レイヤーに対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure ネットワーク層のアラート

詳細な説明と注意

Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)

(Network_CommunicationWithC2)

説明: ネットワーク トラフィック分析は、マシン (IP %{Victim IP}) がコマンド アンド コントロール センターと通信したことを示します。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが、コマンド アンド コントロール センターの可能性がある対象と通信していることを示している可能性があります。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)

(Network_ResourceIpIndicatedAsMalicious)

説明: 脅威インテリジェンスは、コンピューター (IP %{Machine IP}) が Conficker 型のマルウェアによって侵害された可能性があることを示します。 Conficker は、Microsoft Windows オペレーティング システムをターゲットにしたコンピューター ワームで、2008 年 11 月に初めて検出されました。 Conficker は、200 以上の国/地域で政府、企業、および自宅のコンピューターを含む何百万台ものコンピューターに感染し、2003 年の Welchia ワーム以来最大のコンピューター ワーム感染として知られるようになりました。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルート フォース攻撃を受信した可能性が検出されました)

(Generic_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析で、%{Attacker IP} からリソース %{Compromised Host} に関連付けられている %{Victim IP} への着信 %{サービス名} 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Victim Port} での不審なアクティビティが示されています。 このアクティビティは、%{Service Name} サーバーに対するブルート フォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 情報

Possible incoming SQL brute force attempts detected (SQL ブルート フォース攻撃が試行された可能性が検出されました)

(SQL_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析で、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への受信 SQL 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Port Number} (%{SQL Service Type}) での不審なアクティビティが示されています。 このアクティビティは、SQL サーバーに対するブルート フォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 中

Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)

(DDOS)

説明: ネットワーク トラフィック分析で、デプロイ内のリソースである %{Compromised Host} から発生する異常な送信アクティビティが検出されました。 このアクティビティは、リソースが侵害され、現在、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが侵害されていることを示している可能性があります。 接続の量から、次の IP が DOS 攻撃のターゲットになっている可能性があると考えられます: %{Possible Victims}。 これらの IP の一部への通信は正当なものである可能性があることに注意してください。

MITRE 戦術: 影響

重大度: 中

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワーク アクティビティ)

(RDP_Incoming_BF_ManyToOne)

説明: ネットワーク トラフィック分析で、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が複数のソースから検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (Botnet) から RDP エンドポイントをブルート フォースする試みを示している可能性があります。

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming RDP network activity (不審な着信 RDP ネットワーク アクティビティ)

(RDP_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、RDP エンドポイントをブルート フォースする試みを示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワーク アクティビティ)

(SSH_Incoming_BF_ManyToOne)

説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が複数のソースから検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (Botnet) からの SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity (不審な着信 SSH ネットワーク アクティビティ)

(SSH_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)

(PortScanning)

説明: ネットワーク トラフィック分析で、%{Compromised Host} から宛先ポート %{最も一般的なポート} への疑わしい送信トラフィックが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作は、リソースが %{Attacked Protocol} ブルート フォース攻撃またはポート スイープ攻撃に参加していることを示している可能性があります。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワーク アクティビティ)

(RDP_Outgoing_BF_OneToMany)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のマシンが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、リソースが侵害され、外部 RDP エンドポイントのブルート フォースに使用されたことを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 高

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワーク アクティビティ)

(RDP_Outgoing_BF_OneToOne)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、コンピューターが侵害され、現在は外部 RDP エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 高

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワーク アクティビティ)

(SSH_Outgoing_BF_OneToMany)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワーク アクティビティ)

(SSH_Outgoing_BF_OneToOne)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 中

(Network_TrafficFromUnrecommendedIP)

説明: Microsoft Defender for Cloud で、ブロックすることをお勧めする IP アドレスからの受信トラフィックが検出されました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。

MITRE の戦術: プローブ

重大度: 情報

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ