Waarschuwingen voor Azure-netwerklaag
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk krijgt voor de Azure-netwerklaag van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Azure-netwerklaagwaarschuwingen
Extra informatie en opmerkingen
Network communication with a malicious machine detected (Netwerkcommunicatie met een kwaadwillende computer gedetecteerd)
(Network_CommunicationWithC2)
Beschrijving: Analyse van netwerkverkeer geeft aan dat uw computer (IP %{Victim IP}) heeft gecommuniceerd met wat mogelijk een Command and Control Center is. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) hebben gecommuniceerd met wat mogelijk een Command-and-Control-center is.
MITRE-tactieken: Opdracht en beheer
Ernst: gemiddeld
Possible compromised machine detected (Mogelijk geïnfecteerde computer gedetecteerd)
(Network_ResourceIpIndicatedAsMalicious)
Beschrijving: Bedreigingsinformatie geeft aan dat uw computer (op IP %{Machine IP}) mogelijk is aangetast door een malware van het type Conficker. Conficker was een computerworm die was gericht op het Microsoft Windows-besturingssysteem en die voor het eerst is gedetecteerd in november 2008. Conficker heeft miljoenen computers geïnfecteerd, waaronder computers van overheidsinstellingen, bedrijven en privégebruikers in meer dan 200 landen/regio's, waardoor dit de grootste bekende infectie met een computerworm is sinds de Welchia-worm van 2003.
MITRE-tactieken: Opdracht en beheer
Ernst: gemiddeld
Possible incoming %{Service Name} brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen op %{Service Name} gedetecteerd)
(Generic_Incoming_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft binnenkomende communicatie van %{Service Name} naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} van %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Victim Port}. Deze activiteit komt overeen met Brute Force-aanvallen op servers van %{Service Name}.
MITRE-tactieken: PreAttack
Ernst: informatie
Possible incoming SQL brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen via SQL gedetecteerd)
(SQL_Incoming_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft binnenkomende SQL-communicatie gedetecteerd naar %{Victim IP}, gekoppeld aan uw resource %{Compromised Host}, van %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Port Number} (%{SQL Service Type}). Deze activiteit komt overeen met aanhoudende aanvalspogingen tegen SQL-servers.
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Mogelijke uitgaande denial-of-service-aanval gedetecteerd
(DDOS)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende uitgaande activiteit gedetecteerd die afkomstig is van %{Compromised Host}, een resource in uw implementatie. Deze activiteit kan erop wijzen dat uw resource is aangetast en nu bezig is met denial-of-service-aanvallen tegen externe eindpunten. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) zijn geïnfecteerd. Op basis van het aantal verbindingen denken we dat de volgende IP-adressen mogelijk doelwit zijn van de DOS-aanval: %{Possible Victims}. Het is mogelijk dat de communicatie met sommige van deze IP-adressen legitiem is.
MITRE-tactieken: Impact
Ernst: gemiddeld
Suspicious incoming RDP network activity from multiple sources (Verdachte binnenkomende RDP-netwerkactiviteit van meerdere bronnen)
(RDP_Incoming_BF_ManyToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende binnenkomende RDP-communicatie (Remote Desktop Protocol) gedetecteerd naar %{Victim IP}, gekoppeld aan uw resource %{Compromised Host}, uit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan duiden op een poging om uw RDP-eindpunt van meerdere hosts (Botnet) te brute forceren.
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Suspicious incoming RDP network activity (Verdachte binnenkomende RDP-netwerkactiviteit)
(RDP_Incoming_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende binnenkomende RDP-communicatie (Remote Desktop Protocol) gedetecteerd naar %{Victim IP}, gekoppeld aan uw resource %{Compromised Host}, van %{Aanvaller IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan duiden op een poging om uw RDP-eindpunt te brute forceren
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Suspicious incoming SSH network activity from multiple sources (Verdachte binnenkomende SSH-netwerkactiviteit van meerdere bronnen)
(SSH_Incoming_BF_ManyToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende binnenkomende SSH-communicatie gedetecteerd naar %{Victim IP}, gekoppeld aan uw resource %{Compromised Host}, uit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan duiden op een poging om uw SSH-eindpunt te brute forceren vanaf meerdere hosts (Botnet)
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Suspicious incoming SSH network activity (Verdachte binnenkomende SSH-netwerkactiviteit)
(SSH_Incoming_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende binnenkomende SSH-communicatie gedetecteerd naar %{Victim IP}, gekoppeld aan uw resource %{Compromised Host}, van %{Aanvaller IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan duiden op een poging om uw SSH-eindpunt te brute forceren
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Suspicious outgoing %{Attacked Protocol} traffic detected (Verdacht uitgaand %{Attacked Protocol}-verkeer gedetecteerd)
(PortScanning)
Beschrijving: Analyse van netwerkverkeer heeft verdacht uitgaand verkeer gedetecteerd van %{Compromised Host} naar doelpoort %{Meest voorkomende poort}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Dit gedrag kan erop wijzen dat uw resource deelneemt aan brute forcepogingen of poortvegeringsaanvallen van %{Attacked Protocol}.
MITRE-tactieken: Detectie
Ernst: gemiddeld
Suspicious outgoing RDP network activity to multiple destinations (Verdachte uitgaande RDP-netwerkactiviteit naar meerdere bestemmingen)
(RDP_Outgoing_BF_OneToMany)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) naar meerdere bestemmingen gedetecteerd die afkomstig zijn van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw computer verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Deze activiteit kan erop wijzen dat uw resource is aangetast en nu wordt gebruikt om externe RDP-eindpunten te brute forceren. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten.
MITRE-tactieken: Detectie
Ernst: Hoog
Suspicious outgoing RDP network activity (Verdachte uitgaande RDP-netwerkactiviteit)
(RDP_Outgoing_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) gedetecteerd naar %{Victim IP} afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan erop wijzen dat uw computer is aangetast en nu wordt gebruikt om externe RDP-eindpunten te brute forceren. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten.
MITRE-tactieken: Laterale beweging
Ernst: Hoog
Suspicious outgoing SSH network activity to multiple destinations (Verdachte uitgaande SSH-netwerkactiviteit naar meerdere bestemmingen)
(SSH_Outgoing_BF_OneToMany)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar meerdere bestemmingen gedetecteerd die afkomstig zijn van %{Compromised Host} (%{Aanvaller IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw resource verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Deze activiteit kan erop wijzen dat uw resource is aangetast en nu wordt gebruikt om externe SSH-eindpunten te brute forceren. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten.
MITRE-tactieken: Detectie
Ernst: gemiddeld
Suspicious outgoing SSH network activity (Verdachte uitgaande SSH-netwerkactiviteit)
(SSH_Outgoing_BF_OneToOne)
Beschrijving: Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar %{Victim IP} gedetecteerd die afkomstig is van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan erop wijzen dat uw resource is aangetast en nu wordt gebruikt om externe SSH-eindpunten te brute forceren. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten.
MITRE-tactieken: Laterale beweging
Ernst: gemiddeld
Traffic detected from IP addresses recommended for blocking (Verkeer gedetecteerd van IP-adressen die worden aanbevolen voor blokkering)
(Network_TrafficFromUnrecommendedIP)
Beschrijving: Microsoft Defender voor Cloud binnenkomend verkeer gedetecteerd van IP-adressen die worden aanbevolen om te worden geblokkeerd. Dit gebeurt meestal wanneer dit IP-adres niet regelmatig communiceert met deze resource. Het IP-adres is ook gemarkeerd als schadelijk door de bedreigingsinformatiebronnen van Defender voor Cloud.
MITRE-tactieken: Testen
Ernst: informatie
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.