Waarschuwingen voor DNS

Artikel
08/07/2024

In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk krijgt voor DNS van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Notitie

Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor DNS

Belangrijk

Vanaf 1 augustus 2023 kunnen klanten met een bestaand abonnement op Defender voor DNS de service blijven gebruiken, maar nieuwe abonnees ontvangen waarschuwingen over verdachte DNS-activiteiten als onderdeel van Defender for Servers P2.

Extra informatie en opmerkingen

Afwijkend netwerkprotocolgebruik

(AzureDNS_ProtocolAnomaly)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft afwijkend protocolgebruik gedetecteerd. Dit verkeer kan, hoewel mogelijk goedaardig, duiden op misbruik van dit algemene protocol om het filteren van netwerkverkeer te omzeilen. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host.

MITRE-tactieken: Exfiltratie

Ernst: -

Anonimiteitsnetwerkactiviteit

(AzureDNS_DarkWeb)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft anonieme netwerkactiviteit gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak gebruikt door aanvallers om tracering en vingerafdruk van netwerkcommunicatie te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Anonieme netwerkactiviteit met behulp van webproxy

(AzureDNS_DarkWebProxy)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Poging tot communicatie met verdacht sinkholed domein

(AzureDNS_SinkholedDomain)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} gedetecteerde aanvraag voor sinkholed domein. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Communicatie met mogelijk phishingdomein

(AzureDNS_PhishingDomain)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een aanvraag voor een mogelijk phishingdomein gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om referenties voor externe services te verzamelen. Een typische, bijkomende aanvalsactiviteit betreft de exploitatie van referenties voor de legitieme service.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Communicatie met verdacht algoritme gegenereerd domein

(AzureDNS_DomainGenerationAlgorithm)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft mogelijk gebruik van een algoritme voor het genereren van een domein gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie

(AzureDNS_ThreatIntelSuspectDomain)

Beschrijving: Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Communicatie met verdachte willekeurige domeinnaam

(AzureDNS_RandomizedDomain)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft het gebruik van een verdachte willekeurig gegenereerde domeinnaam gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Activiteit van digitale valutaanalyse

(AzureDNS_CurrencyMining)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft de activiteit van digitale valutaanalyse gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers na inbreuk op resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Handtekeningactivering voor netwerkinbraakdetectie

(AzureDNS_SuspiciousDomain)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een bekende schadelijke netwerkhandtekening gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Mogelijke gegevens downloaden via DNS-tunnel

(AzureDNS_DataInfiltration)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een mogelijke DNS-tunnel gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Mogelijke gegevensexfiltratie via DNS-tunnel

(AzureDNS_DataExfiltration)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Mogelijke gegevensoverdracht via DNS-tunnel

(AzureDNS_DataObfuscation)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Delen via

Waarschuwingen voor DNS

Waarschuwingen voor DNS

Afwijkend netwerkprotocolgebruik

Anonimiteitsnetwerkactiviteit

Anonieme netwerkactiviteit met behulp van webproxy

Poging tot communicatie met verdacht sinkholed domein

Communicatie met mogelijk phishingdomein

Communicatie met verdacht algoritme gegenereerd domein

Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie

Communicatie met verdachte willekeurige domeinnaam

Activiteit van digitale valutaanalyse

Handtekeningactivering voor netwerkinbraakdetectie

Mogelijke gegevens downloaden via DNS-tunnel

Mogelijke gegevensexfiltratie via DNS-tunnel

Mogelijke gegevensoverdracht via DNS-tunnel

Volgende stappen

Feedback

Aanvullende resources