Alertas para a camada de rede do Azure
Este artigo lista os alertas de segurança que você pode receber para a camada de rede do Azure do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas da camada de rede do Azure
Comunicação de rede com um computador mal-intencionado detectada
(Network_CommunicationWithC2)
Descrição: A análise de tráfego de rede indica que sua máquina (IP %{Victim IP}) se comunicou com o que possivelmente é um centro de comando e controle. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) se comunicou com o que possivelmente é um centro de comando e controle.
Táticas MITRE: Comando e Controle
Gravidade: Média
Computador possivelmente comprometido detectado
(Network_ResourceIpIndicatedAsMalicious)
Descrição: a inteligência de ameaças indica que sua máquina (no IP %{Machine IP}) pode ter sido comprometida por um malware do tipo Conficker. O Conficker foi um worm de computador que tem como alvo o sistema operacional Microsoft Windows e foi detectado pela primeira vez em novembro de 2008. O Conficker infectou milhões de computadores, incluindo governo, computadores comerciais e domésticos em mais de 200 países/regiões, o que o torna a maior infecção de worms de computador conhecida desde 2003 com o worm Welchia.
Táticas MITRE: Comando e Controle
Gravidade: Média
Possíveis tentativas de força bruta de entrada %{Nome do Serviço} detectadas
(Generic_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou a comunicação de entrada %{Service Name} com %{Victim IP}, associada ao seu recurso %{Compromised Host} de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Victim Port}. Esta atividade é consistente com as tentativas de força bruta contra servidores %{Nome do Serviço}.
Táticas MITRE: Pré-ataque
Gravidade: Informativo
Possíveis tentativas de força bruta SQL de entrada detectadas
(SQL_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou a comunicação SQL de entrada com %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL.
Táticas MITRE: Pré-ataque
Gravidade: Média
Possível ataque de negação de serviço de saída detectado
(DDOS)
Descrição: a análise de tráfego de rede detectou atividades de saída anômalas originadas de %{Compromised Host}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) foi comprometido. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os destinos do ataque de DOS: %{Possible Victims}. Observe que é possível que a comunicação com alguns desses IPs seja legítima.
Táticas do MITRE: Impacto
Gravidade: Média
Atividade de rede RDP de entrada suspeita de várias fontes
(RDP_Incoming_BF_ManyToOne)
Descrição: a análise de tráfego de rede detectou comunicação RDP (Remote Desktop Protocol) de entrada anômala com %{Victim IP}, associada ao recurso %{Compromised Host}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar o ponto de extremidade RDP de vários hosts (Botnet).
Táticas MITRE: Pré-ataque
Gravidade: Média
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação RDP (Remote Desktop Protocol) de entrada anômala com %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar seu ponto de extremidade RDP
Táticas MITRE: Pré-ataque
Gravidade: Média
Atividade de rede SSH de entrada suspeita de várias origens
(SSH_Incoming_BF_ManyToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar seu endpoint SSH de vários hosts (Botnet)
Táticas MITRE: Pré-ataque
Gravidade: Média
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala com %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar seu ponto final SSH
Táticas MITRE: Pré-ataque
Gravidade: Média
Tráfego %{Attacked Protocol} de saída suspeito detectado
(PortScanning)
Descrição: a análise de tráfego de rede detectou tráfego de saída suspeito de %{Compromised Host} para a porta de destino %{Porta mais comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando de tentativas de força bruta ou ataques de varredura de porta.
Táticas do MITRE: Descoberta
Gravidade: Média
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
Descrição: a análise de tráfego de rede detectou comunicação RDP (Remote Desktop Protocol) de saída anômala para vários destinos originados de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu computador conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para forçar pontos de extremidade RDP externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas do MITRE: Descoberta
Gravidade: Alta
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou uma comunicação RDP de saída anômala com %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que sua máquina foi comprometida e agora é usada para forçar pontos de extremidade RDP externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Atividade de rede SSH de saída para vários destinos suspeita
(SSH_Outgoing_BF_OneToMany)
Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para vários destinos originados de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu recurso conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para forçar pontos de extremidade SSH externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas do MITRE: Descoberta
Gravidade: Média
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para forçar pontos de extremidade SSH externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Tráfego detectado de endereços IP recomendados para bloqueio
(Network_TrafficFromUnrecommendedIP)
Descrição: Microsoft Defender para Nuvem detectou tráfego de entrada de endereços IP que devem ser bloqueados. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem.
Táticas MITRE: Sondagem
Gravidade: Informativo
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.