Kategorie reguł podpisu IDPS w usłudze Azure Firewall
Funkcje IDPS usługi Azure Firewall powyżej 50 kategorii, które można przypisać do poszczególnych podpisów. Poniższa tabela zawiera listę definicji dla każdej kategorii.
Kategorie
| Kategoria | opis |
|---|---|
| 3CORESec | Ta kategoria dotyczy podpisów generowanych automatycznie na podstawie list zablokowanych adresów IP zespołu 3CORESec. Te listy zablokowanych są generowane przez protokół 3CORESec na podstawie złośliwego działania ze swoich obiektów Honeypot. |
| ActiveX | Ta kategoria jest przeznaczona dla podpisów, które chronią przed atakami na kontrolki Microsoft ActiveX i wykorzystują luki w zabezpieczeniach kontrolek ActiveX. |
| Adware-PUP | Ta kategoria służy do identyfikowania oprogramowania używanego do śledzenia reklam lub innych typów działań związanych z programami szpiegującymi. |
| Odpowiedź na atak | Ta kategoria jest przeznaczony dla podpisów w celu zidentyfikowania odpowiedzi wskazujących na włamanie — przykłady obejmują pobieranie plików LMHost, obecność niektórych banerów internetowych i wykrywanie metasploit meterpreter kill polecenia. Te podpisy są przeznaczone do przechwytywania wyników udanego ataku. Zdarzenia takie jak id=root lub komunikaty o błędach wskazujące na naruszenie zabezpieczeń. |
| Botcc (polecenie i kontrola bota) | Ta kategoria dotyczy podpisów, które są generowane automatycznie z kilku źródeł znanych i potwierdzonych aktywnych botnetów oraz innych hostów poleceń i kontroli (C2). Ta kategoria jest aktualizowana codziennie. Podstawowym źródłem danych kategorii jest Shadowserver.org. |
| Pogrupowany port Botcc | Ta kategoria dotyczy podpisów, takich jak te w kategorii Botcc, ale pogrupowana według portu docelowego. Reguły pogrupowane według portów mogą oferować większą wierność niż reguły, które nie są pogrupowane według portu. |
| Czat | Ta kategoria dotyczy podpisów identyfikujących ruch związany z wieloma klientami rozmów, takimi jak IRC (IRC). Ruch na czacie może wskazywać na możliwe zaewidencjonowania przez aktorów zagrożeń. |
| CIArmy | Ta kategoria dotyczy podpisów generowanych przy użyciu reguł adresów IP analizy zbiorowej do blokowania. |
| Górnictwo monet | Ta kategoria dotyczy podpisów z regułami, które wykrywają złośliwe oprogramowanie, które wykonuje wyszukiwanie monet. Podpisy te mogą również wykryć pewne uzasadnione (choć często niepożądane) oprogramowanie do górnictwa monet. |
| Zagrożone | Ta kategoria dotyczy podpisów na podstawie listy znanych hostów, których bezpieczeństwo zostało naruszone. Ta lista jest potwierdzana i aktualizowana codziennie. Podpisy w tej kategorii mogą się różnić od jednej do kilkuset reguł w zależności od źródeł danych. Źródła danych dla tej kategorii pochodzą z kilku prywatnych, ale wysoce niezawodnych źródeł danych. |
| Bieżące zdarzenia | Ta kategoria dotyczy podpisów z regułami opracowanymi w odpowiedzi na aktywne i krótkotrwałe kampanie oraz elementy o wysokim profilu, które mają być tymczasowe. Jednym z przykładów są kampanie oszustw związane z katastrofami. Reguły w tej kategorii nie mają być przechowywane w zestawie reguł przez długi czas lub muszą być dalej testowane przed ich rozważeniem w celu włączenia. Najczęściej będą to proste podpisy dla adresu URL binarnego storm dnia, podpisy do przechwytywania identyfikatorów CLSID nowo znalezionych wrażliwych aplikacji, w których nie mamy żadnych szczegółów na temat wykorzystania i tak dalej. |
| DNS (usługa nazw domen) | Ta kategoria dotyczy podpisów z regułami ataków i luk w zabezpieczeniach dotyczących systemu DNS. Ta kategoria jest również używana w przypadku reguł związanych z nadużyciami systemu DNS, takimi jak tunelowanie. |
| DOS | Ta kategoria dotyczy podpisów, które wykrywają próby odmowy usługi (DoS). Te reguły mają na celu przechwycenie przychodzącego działania usługi DoS i wskazanie aktywności wychodzącej usługi DoS. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| Porzuć | Ta kategoria służy do blokowania adresów IP na liście Spamhaus DROP (Nie trasuj lub równorzędnie). Reguły w tej kategorii są aktualizowane codziennie. |
| Dshield | Ta kategoria dotyczy podpisów opartych na osobach atakujących zidentyfikowanych przez usługę Dshield. Reguły w tej kategorii są aktualizowane codziennie z listy najlepszych osób atakujących DShield, która jest niezawodna. |
| Wykorzystać | Ta kategoria dotyczy podpisów, które chronią przed bezpośrednimi programami wykorzystującymi luki, które nie zostały inaczej uwzględnione w określonej kategorii usług. Ta kategoria polega na znalezieniu konkretnych ataków na luki w zabezpieczeniach, takich jak w przypadku systemu Microsoft Windows. Ataki z własną kategorią, takie jak wstrzyknięcie kodu SQL, mają własną kategorię. |
| Exploit-Kit | Ta kategoria jest przeznaczony dla podpisów do wykrywania działań związanych z zestawami Exploit Kit ich infrastruktury i dostarczania. |
| FTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem TRANSFERU plików (FTP). Ta kategoria obejmuje również reguły, które wykrywają niezłośliwe działania FTP, takie jak logowania na potrzeby rejestrowania. |
| Gry | Ta kategoria jest przeznaczony dla podpisów identyfikujących ruch w grach i ataków na te gry. Zasady obejmują gry, takie jak World of Warcraft, Starcraft i inne popularne gry online. Chociaż gry i ich ruch nie są złośliwe, często są niepożądane i zabronione przez zasady w sieciach firmowych. |
| Wyszukiwanie zagrożeń | Ta kategoria dotyczy podpisów, które dostarczają wskaźniki, które w przypadku dopasowania do innych podpisów mogą być przydatne w przypadku wyszukiwania zagrożeń w środowisku. Te reguły mogą dostarczać fałszywie dodatnie wyniki na prawidłowym ruchu i hamować wydajność. Są one zalecane tylko do użycia podczas aktywnego badania potencjalnych zagrożeń w środowisku. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| ICMP | Ta kategoria dotyczy podpisów związanych z atakami i lukami w zabezpieczeniach protokołu ICMP (Internet Control Message Protocol). |
| ICMP_info | Ta kategoria dotyczy podpisów związanych ze zdarzeniami specyficznymi dla protokołu ICMP, zwykle skojarzonymi z normalnymi operacjami na potrzeby rejestrowania. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| IMAP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki w zabezpieczeniach protokołu IMAP (Internet Message Access Protocol). Ta kategoria zawiera również reguły, które wykrywają niemalicious aktywność IMAP na potrzeby rejestrowania. |
| Nieodpowiednie | Ta kategoria dotyczy podpisów umożliwiających identyfikację potencjalnie działań związanych z witrynami, które są pornograficzne lub w inny sposób nie są odpowiednie dla środowiska pracy. Ostrzeżenie: Ta kategoria może mieć znaczący wpływ na wydajność i wysoką liczbę wyników fałszywie dodatnich. |
| Informacje | Ta kategoria jest przeznaczony dla podpisów, które pomagają zapewnić zdarzenia na poziomie inspekcji, które są przydatne do korelacji i identyfikowania interesujących działań, które mogą nie być z natury złośliwe, ale często obserwowane w złośliwym oprogramowaniu i innych zagrożeniach. Na przykład pobieranie pliku wykonywalnego za pośrednictwem protokołu HTTP według adresu IP, a nie nazwy domeny. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| JA3 | Ta kategoria jest przeznaczony dla podpisów do odcisku palca złośliwych certyfikatów SSL przy użyciu skrótów JA3. Te reguły są oparte na parametrach, które znajdują się w uzgadnianiu protokołu SSL zarówno przez klientów, jak i serwery. Te reguły mogą mieć wysoki współczynnik wyników fałszywie dodatnich, ale mogą być przydatne w przypadku środowisk wykrywania zagrożeń lub detonacji złośliwego oprogramowania. |
| Złośliwe oprogramowanie | Ta kategoria dotyczy podpisów do wykrywania złośliwego oprogramowania. Reguły w tej kategorii wykrywają działania związane ze złośliwym oprogramowaniem wykrytym w sieci, w tym złośliwego oprogramowania podczas przesyłania, aktywnego złośliwego oprogramowania, infekcjami złośliwego oprogramowania, atakami złośliwego oprogramowania i aktualizowaniem złośliwego oprogramowania. Jest to również bardzo ważna kategoria i zdecydowanie zaleca się jej uruchomienie. |
| Różne | Ta kategoria dotyczy podpisów, które nie zostały uwzględnione w innych kategoriach. |
| Złośliwe oprogramowanie dla urządzeń przenośnych | Ta kategoria dotyczy podpisów, które wskazują złośliwe oprogramowanie skojarzone z systemami operacyjnymi dla urządzeń przenośnych i tabletów, takimi jak Google Android, Apple iOS i inne. Wykryte złośliwe oprogramowanie i skojarzone z systemami operacyjnymi dla urządzeń przenośnych będzie zwykle umieszczane w tej kategorii, a nie w standardowych kategoriach, takich jak złośliwe oprogramowanie. |
| NETBIOS | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z rozwiązaniem NetBIOS. Ta kategoria obejmuje również reguły, które wykrywają niezwiązane ze złośliwym działaniem NetBIOS na potrzeby rejestrowania. |
| P2P | Ta kategoria jest przeznaczony dla podpisów w celu identyfikacji ruchu równorzędnego (P2P) i ataków na nie. Zidentyfikowany ruch P2P obejmuje między innymi potoki, edonkey, Bittella, Gnutella i Limewire. Ruch P2P nie jest z natury złośliwy, ale często jest godny uwagi dla przedsiębiorstw. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| Wyłudzanie informacji | Ta kategoria dotyczy podpisów, które wykrywają aktywność wyłudzania informacji o poświadczeniach. Obejmuje to strony docelowe wyświetlające wyłudzanie poświadczeń i pomyślne przesłanie poświadczeń do witryn wyłudzających informacje o poświadczeniach. |
| Zasady | Ta kategoria dotyczy podpisów, które mogą wskazywać na naruszenia zasad organizacji. Może to obejmować protokoły podatne na nadużycia i inne transakcje na poziomie aplikacji, które mogą być interesujące. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| POP3 | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem Post Office Protocol 3.0 (POP3). Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność POP3 na potrzeby rejestrowania. |
| Zdalne wywołanie procedury | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach dotyczącymi zdalnego wywołania procedury (RPC). Ta kategoria zawiera również reguły, które wykrywają niezwiązane ze złośliwym działaniem RPC na potrzeby rejestrowania. |
| SCADA | Ta kategoria dotyczy sygnatur związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z kontrolą nadzoru i pozyskiwaniem danych (SCADA). Ta kategoria obejmuje również reguły, które wykrywają niezwiązane ze złośliwymi działaniami SCADA na potrzeby rejestrowania. |
| SKANOWAĆ | Ta kategoria służy do wykrywania rekonesansu i sondowania z narzędzi, takich jak Nessus, Nikto i inne skanowanie portów, narzędzia. Ta kategoria może być przydatna do wykrywania wczesnej aktywności naruszenia i przenoszenia bocznego po zakażeniu w organizacji. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| Kod powłoki | Ta kategoria dotyczy podpisów do wykrywania kodu zdalnego powłoki. Kod powłoki zdalnej jest używany, gdy osoba atakująca chce kierować proces podatny na zagrożenia uruchomiony na innym komputerze w sieci lokalnej lub intranecie. W przypadku pomyślnego wykonania kod powłoki może zapewnić atakującemu dostęp do maszyny docelowej w sieci. Kody powłoki zdalnej zwykle używają standardowych połączeń gniazda TCP/IP, aby umożliwić atakującemu dostęp do powłoki na maszynie docelowej. Taki kod powłoki można podzielić na kategorie na podstawie sposobu konfigurowania tego połączenia: jeśli kod powłoki może ustanowić to połączenie, jest nazywany "odwrotną powłoką" lub kodem powłoki "połącz się z powrotem", ponieważ kod powłoki łączy się z maszyną osoby atakującej. |
| SMTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem SMTP (Simple Mail Transfer Protocol). Ta kategoria obejmuje również reguły, które wykrywają niezłośliwe działania SMTP na potrzeby rejestrowania. |
| SNMP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem SNMP (Simple Network Management Protocol). Ta kategoria obejmuje również reguły, które wykrywają niezwiązane z złośliwym działaniem SNMP na potrzeby rejestrowania. |
| SQL | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z usługą Structured Query Language (SQL). Ta kategoria zawiera również reguły, które wykrywają niezłośliwe działania SQL na potrzeby rejestrowania. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| TELNET | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z siecią TELNET. Ta kategoria obejmuje również reguły, które wykrywają niezwiązane z złośliwym działaniem TELNET na potrzeby rejestrowania. |
| TFTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z trivial File Transport Protocol (TFTP). Ta kategoria obejmuje również reguły, które wykrywają niemalicious działania TFTP na potrzeby rejestrowania. |
| TOR | Ta kategoria jest przeznaczony dla podpisów identyfikacji ruchu do i z węzłów wyjścia TOR na podstawie adresu IP. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako "Tylko alert", dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na "Alert i Odmów". Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu "Alert i odmowa". |
| Agenci użytkownika | Ta kategoria służy do wykrywania podejrzanych i nietypowych agentów użytkowników. Znani złośliwi agenci użytkownika są umieszczani w kategorii Złośliwe oprogramowanie. |
| VOIP | Ta kategoria dotyczy sygnatur ataków i luk w zabezpieczeniach skojarzonych między innymi z protokołem VOICE over IP (VOIP), w tym SIP, H.323 i RTP. |
| Klient sieci Web | Ta kategoria dotyczy sygnatur ataków i luk w zabezpieczeniach skojarzonych z klientami internetowymi, takimi jak przeglądarki internetowe, a także aplikacje po stronie klienta, takie jak CURL, WGET i inne. |
| Serwer internetowy | Ta kategoria służy do wykrywania ataków na infrastrukturę serwera internetowego, taką jak APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) i inne oprogramowanie serwera internetowego. |
| Aplikacje specyficzne dla sieci Web | Ta kategoria służy do wykrywania ataków i luk w zabezpieczeniach w określonych aplikacjach internetowych. |
| ROBAK | Ta kategoria służy do wykrywania złośliwych działań, które automatycznie próbują rozpowszechniać się w Internecie lub w sieci przez wykorzystanie luki w zabezpieczeniach, są klasyfikowane jako kategoria WORM. Chociaż rzeczywiste wykorzystanie jest zwykle identyfikowane w kategorii Exploit lub danego protokołu, można również zidentyfikować inny wpis w tej kategorii, jeśli można również zidentyfikować rzeczywiste złośliwe oprogramowanie wykorzystujące propagację przypominającą robaki. |
Następne kroki
- Aby dowiedzieć się więcej o funkcjach usługi Azure Firewall Premium, zobacz Funkcje usługi Azure Firewall Premium.