Azure Firewall IDPS-regelcategorieën voor handtekeningen
Azure Firewall IDPS-functies van meer dan 50 categorieën die kunnen worden toegewezen aan afzonderlijke handtekeningen. De volgende tabel is een lijst met definities voor elke categorie.
Categorieën
| Categorie | Beschrijving |
|---|---|
| 3CORESec | Deze categorie is bedoeld voor handtekeningen die automatisch worden gegenereerd op basis van de IP-blokkeringslijsten van het 3CORESec-team. Deze bloklijsten worden gegenereerd door 3CORESec op basis van schadelijke activiteiten van hun Honeypots. |
| ActiveX | Deze categorie is bedoeld voor handtekeningen die bescherming bieden tegen aanvallen tegen Microsoft ActiveX-besturingselementen en aanvallen die gericht zijn op beveiligingsproblemen in ActiveX-besturingselementen. |
| Adware-PUP | Deze categorie is bedoeld voor handtekeningen om software te identificeren die wordt gebruikt voor het bijhouden van advertenties of andere soorten spywaregerelateerde activiteiten. |
| Reactie op aanvallen | Deze categorie is bedoeld voor handtekeningen om reacties te identificeren die duiden op inbraak. Voorbeelden zijn onder meer maar niet beperkt tot het downloaden van LMHost-bestanden, aanwezigheid van bepaalde webbanners en de detectie van metasploit Meterpreter kill-opdracht. Deze handtekeningen zijn ontworpen om de resultaten van een geslaagde aanval te ondervangen. Dingen zoals id=root of foutberichten die aangeven dat er mogelijk een inbreuk is opgetreden. |
| Botcc (Bot Command and Control) | Deze categorie is bedoeld voor handtekeningen die automatisch worden gegenereerd uit verschillende bronnen van bekende en bevestigde actieve botnet- en andere C2-hosts (Command and Control). Deze categorie wordt dagelijks bijgewerkt. De primaire gegevensbron van de categorie is Shadowserver.org. |
| Botcc-poort gegroepeerd | Deze categorie is bedoeld voor handtekeningen zoals handtekeningen in de categorie Botcc, maar gegroepeerd op doelpoort. Regels gegroepeerd op poort kunnen een hogere betrouwbaarheid bieden dan regels die niet op poort zijn gegroepeerd. |
| Chat | Deze categorie is bedoeld voor handtekeningen die verkeer identificeren dat is gerelateerd aan veel chatclients, zoals Internet Relay Chat (IRC). Chatverkeer kan duiden op mogelijke check-inactiviteit door bedreigingsactoren. |
| CIArmy | Deze categorie is bedoeld voor handtekeningen die worden gegenereerd met behulp van de IP-regels van Collective Intelligence voor blokkering. |
| Muntmijnbouw | Deze categorie is bedoeld voor handtekeningen met regels die malware detecteren, wat muntanalyse doet. Deze handtekeningen kunnen ook legitieme (hoewel vaak ongewenste) muntanalysesoftware detecteren. |
| Gecompromitteerd | Deze categorie is bedoeld voor handtekeningen op basis van een lijst met bekende gecompromitteerde hosts. Deze lijst wordt dagelijks bevestigd en bijgewerkt. De handtekeningen in deze categorie kunnen variëren van één tot enkele honderd regels, afhankelijk van de gegevensbronnen. De gegevensbronnen voor deze categorie zijn afkomstig uit verschillende privégegevensbronnen, maar zeer betrouwbare gegevensbronnen. |
| Huidige gebeurtenissen | Deze categorie is bedoeld voor handtekeningen met regels die zijn ontwikkeld als reactie op actieve en kortdurende campagnes en high-profile items die naar verwachting tijdelijk zijn. Een voorbeeld hiervan zijn fraudecampagnes met betrekking tot rampen. De regels in deze categorie zijn niet bedoeld om lang in de regelset te worden bewaard of die verder moeten worden getest voordat ze worden opgenomen. Meestal zijn dit eenvoudige handtekeningen voor de binaire Storm-URL van de dag, handtekeningen om CLSID's van nieuw gevonden kwetsbare apps te vangen, waar we geen details over de exploit hebben, enzovoort. |
| DNS (Domain Name Service) | Deze categorie is bedoeld voor handtekeningen met regels voor aanvallen en beveiligingsproblemen met betrekking tot DNS. Deze categorie wordt ook gebruikt voor regels met betrekking tot misbruik van DNS, zoals tunneling. |
| DOS | Deze categorie is bedoeld voor handtekeningen die DoS-pogingen (Denial of Service) detecteren. Deze regels zijn bedoeld om binnenkomende DoS-activiteit te vangen en een indicatie te geven van de uitgaande DoS-activiteit. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| Verwijderen | Deze categorie is bedoeld voor handtekeningen om IP-adressen in de lijst Spamhaus DROP (Niet routeren of peeren) te blokkeren. De regels in deze categorie worden dagelijks bijgewerkt. |
| Dshield | Deze categorie is bedoeld voor handtekeningen op basis van aanvallers die zijn geïdentificeerd door Dshield. De regels in deze categorie worden dagelijks bijgewerkt vanuit de lijst met belangrijkste aanvallers van DShield, wat betrouwbaar is. |
| Uitbuiten | Deze categorie is bedoeld voor handtekeningen die bescherming bieden tegen directe aanvallen die niet anders worden gedekt in een specifieke servicecategorie. In deze categorie vindt u specifieke aanvallen op beveiligingsproblemen, zoals microsoft Windows. Aanvallen met hun eigen categorie, zoals SQL-injectie, hebben hun eigen categorie. |
| Exploit-Kit | Deze categorie is bedoeld voor handtekeningen voor het detecteren van activiteiten met betrekking tot Exploit Kits hun infrastructuur en levering. |
| FTP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan het File Transfer Protocol (FTP). Deze categorie bevat ook regels voor het detecteren van niet-schadelijke FTP-activiteiten, zoals aanmeldingen voor logboekregistratiedoeleinden. |
| Games | Deze categorie is bedoeld voor handtekeningen waarmee gameverkeer en aanvallen tegen deze games worden geïdentificeerd. De regels hebben betrekking op games zoals World of Warcraft, Starcraft en andere populaire online games. Hoewel de games en hun verkeer niet schadelijk zijn, zijn ze vaak ongewenst en verboden door beleid op bedrijfsnetwerken. |
| Zoeken | Deze categorie is bedoeld voor handtekeningen die indicatoren bieden die handig kunnen zijn voor het opsporen van bedreigingen in een omgeving wanneer ze overeenkomen met andere handtekeningen. Deze regels kunnen fout-positieven bieden voor legitiem verkeer en de prestaties remmen. Ze worden alleen aanbevolen voor gebruik bij het actief onderzoeken van mogelijke bedreigingen in de omgeving. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| ICMP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen en beveiligingsproblemen over Internet Control Message Protocol (ICMP). |
| ICMP_info | Deze categorie is bedoeld voor handtekeningen met betrekking tot icmp-protocolspecifieke gebeurtenissen, meestal gekoppeld aan normale bewerkingen voor logboekregistratiedoeleinden. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| IMAP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen over INTERNET Message Access Protocol (IMAP). Deze categorie bevat ook regels waarmee niet-schadelijke IMAP-activiteit wordt gedetecteerd voor logboekregistratiedoeleinden. |
| Ongepast | Deze categorie is bedoeld voor handtekeningen om mogelijk activiteiten te identificeren die betrekking hebben op sites die pornografische of anderszins niet geschikt zijn voor een werkomgeving. Waarschuwing: deze categorie kan een aanzienlijke invloed hebben op de prestaties en een hoge snelheid van fout-positieven. |
| Info | Deze categorie is bedoeld voor handtekeningen om gebeurtenissen op controleniveau te bieden die nuttig zijn voor correlatie en het identificeren van interessante activiteiten, die mogelijk niet inherent schadelijk zijn, maar vaak worden waargenomen in malware en andere bedreigingen. Bijvoorbeeld het downloaden van een uitvoerbaar bestand via HTTP per IP-adres in plaats van domeinnaam. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| JA3 | Deze categorie is bedoeld voor handtekeningen voor het vingerafdruken van schadelijke SSL-certificaten met behulp van JA3-hashes. Deze regels zijn gebaseerd op parameters die deel uitmaken van de SSL-handshake-onderhandeling door zowel clients als servers. Deze regels kunnen een hoog fout-positief percentage hebben, maar kunnen nuttig zijn voor het opsporen van bedreigingen of malware-detonatieomgevingen. |
| Malware | Deze categorie is bedoeld voor handtekeningen voor het detecteren van schadelijke software. Regels in deze categorie detecteren activiteit met betrekking tot schadelijke software die wordt gedetecteerd op het netwerk, waaronder malware tijdens overdracht, actieve malware, malware-infecties, malwareaanvallen en het bijwerken van malware. Dit is ook een zeer belangrijke categorie en het wordt ten zeerste aanbevolen dat u deze uitvoert. |
| Div | Deze categorie is bedoeld voor handtekeningen die niet in andere categorieën worden behandeld. |
| Mobiele malware | Deze categorie is bedoeld voor handtekeningen die wijzen op malware die is gekoppeld aan mobiele en tabletbesturingssystemen zoals Google Android, Apple iOS en andere. Malware die wordt gedetecteerd en is gekoppeld aan mobiele besturingssystemen, wordt over het algemeen in deze categorie geplaatst in plaats van de standaardcategorieën zoals Malware. |
| NETBIOS | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan NetBIOS. Deze categorie bevat ook regels waarmee niet-schadelijke NetBIOS-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| P2P | Deze categorie is bedoeld voor handtekeningen voor de identificatie van P2P-verkeer (Peer-to-Peer) en aanvallen. Geïdentificeerd P2P-verkeer omvat onder andere torrents, edonkey, Bitwire, Gnutella en Limewire. P2P-verkeer is niet inherent schadelijk, maar is vaak van opmerkelijk voor ondernemingen. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| Phishing | Deze categorie is bedoeld voor handtekeningen waarmee referentiephishingactiviteit wordt gedetecteerd. Dit omvat landingspagina's met referentiephishing en geslaagde indiening van referenties op referentiephishingsites. |
| Beleid | Deze categorie is bedoeld voor handtekeningen die kunnen duiden op schendingen van het beleid van een organisatie. Dit kan protocollen omvatten die gevoelig zijn voor misbruik en andere transacties op toepassingsniveau, die mogelijk van belang zijn. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| POP3 | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan het Post Office Protocol 3.0 (POP3). Deze categorie bevat ook regels waarmee niet-schadelijke POP3-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| RPC | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen met betrekking tot Remote Procedure Call (RPC). Deze categorie bevat ook regels waarmee niet-schadelijke RPC-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| SCADA | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan toezichtcontrole en gegevensverwerving (SCADA). Deze categorie bevat ook regels waarmee niet-schadelijke SCADA-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| SCANNEN | Deze categorie is bedoeld voor handtekeningen voor het detecteren van reconnaissance en het testen van hulpprogramma's zoals Nessus, Nikto en andere poortscans, hulpprogramma's. Deze categorie kan nuttig zijn voor het detecteren van vroege inbreukactiviteit en het laterale beweging na infectie binnen een organisatie. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| Shell-code | Deze categorie is bedoeld voor handtekeningen voor detectie van externe shell-code. Externe shell-code wordt gebruikt wanneer een aanvaller zich wil richten op een kwetsbaar proces dat wordt uitgevoerd op een andere computer op een lokaal netwerk of intranet. Als deze is uitgevoerd, kan de shell-code de aanvaller toegang bieden tot de doelcomputer via het netwerk. Externe shell-codes gebruiken normaal gesproken standaard TCP/IP-socketverbindingen om de aanvaller toegang te geven tot de shell op de doelcomputer. Dergelijke shellcode kan worden gecategoriseerd op basis van hoe deze verbinding wordt ingesteld: als de shellcode deze verbinding tot stand kan brengen, wordt deze een 'reverse shell' of een 'connect back'-shellcode genoemd, omdat de shell-code verbinding maakt met de computer van de aanvaller. |
| SMTP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Simple Mail Transfer Protocol (SMTP). Deze categorie bevat ook regels waarmee niet-schadelijke SMTP-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| SNMP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Simple Network Management Protocol (SNMP). Deze categorie bevat ook regels waarmee niet-schadelijke SNMP-activiteit wordt gedetecteerd voor logboekregistratiedoeleinden. |
| SQL | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Structured Query Language (SQL). Deze categorie bevat ook regels waarmee niet-schadelijke SQL-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| TELNET | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan TELNET. Deze categorie bevat ook regels waarmee niet-schadelijke TELNET-activiteiten worden gedetecteerd voor logboekregistratiedoeleinden. |
| TFTP | Deze categorie is bedoeld voor handtekeningen met betrekking tot aanvallen, aanvallen en beveiligingsproblemen die zijn gekoppeld aan Trivial File Transport Protocol (TFTP). Deze categorie omvat ook regels die niet-schadelijke TFTP-activiteit detecteren voor logboekregistratiedoeleinden. |
| TOR | Deze categorie is bedoeld voor handtekeningen voor de identificatie van verkeer naar en van TOR-afsluitknooppunten op basis van IP-adres. Opmerking: alle handtekeningen in deze categorie zijn gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met deze handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit gedrag negeren door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren. |
| Gebruikeragents | Deze categorie is bedoeld voor handtekeningen om verdachte en afwijkende gebruikersagents te detecteren. Bekende schadelijke gebruikersagenten worden in de categorie Malware geplaatst. |
| VOIP | Deze categorie is bedoeld voor handtekeningen voor aanvallen en beveiligingsproblemen die zijn gekoppeld aan Voice over IP (VOIP), waaronder SIP, H.323 en RTP. |
| Webclient | Deze categorie is bedoeld voor handtekeningen voor aanvallen en beveiligingsproblemen die zijn gekoppeld aan webclients, zoals webbrowsers en toepassingen aan de clientzijde, zoals CURL, WGET en andere. |
| Webserver | Deze categorie is bedoeld voor handtekeningen voor het detecteren van aanvallen op webserverinfrastructuur zoals APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) en andere webserversoftware. |
| Webspecifieke apps | Deze categorie is bedoeld voor handtekeningen voor het detecteren van aanvallen en beveiligingsproblemen in specifieke webtoepassingen. |
| WORM | Deze categorie is bedoeld voor handtekeningen om schadelijke activiteiten te detecteren die automatisch via internet of in een netwerk worden verspreid door misbruik te maken van een beveiligingsprobleem, worden geclassificeerd als de WORM-categorie. Hoewel de daadwerkelijke exploit zelf doorgaans wordt geïdentificeerd in de categorie Exploit of het opgegeven protocol, kan een andere vermelding in deze categorie worden gemaakt als de daadwerkelijke malware die betrokken is bij wormachtige doorgifte ook kan worden geïdentificeerd. |