Alertas para DNS
Este artigo lista os alertas de segurança que você pode receber para DNS do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas para DNS
Importante
A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender for DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender for Servers P2.
Utilização anómala do protocolo de rede
(AzureDNS_ProtocolAnomaly)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Táticas MITRE: Exfiltração
Gravidade: -
Atividade da rede de anonimato
(AzureDNS_DarkWeb)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou atividade de rede anônima. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente empregada por atacantes para evitar o rastreamento e a impressão digital das comunicações da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Anonimato atividade de rede usando web proxy
(AzureDNS_DarkWebProxy)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou atividade de rede anônima. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente empregada por atacantes para evitar o rastreamento e a impressão digital das comunicações da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Tentativa de comunicação com domínio suspeito sufocado
(AzureDNS_SinkholedDomain)
Descrição: Análise de transações DNS de %{CompromisedEntity} detetou solicitação de domínio sufocado. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Comunicação com possível domínio de phishing
(AzureDNS_PhishingDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente realizada por invasores para coletar credenciais para serviços remotos. É provável que a atividade típica de invasores relacionados inclua a exploração de quaisquer credenciais no serviço legítimo.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Comunicação com domínio suspeito gerado por algoritmos
(AzureDNS_DomainGenerationAlgorithm)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou o possível uso de um algoritmo de geração de domínio. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Comunicação com nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso de um nome de domínio suspeito gerado aleatoriamente. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Ativação de assinatura de deteção de intrusão de rede
(AzureDNS_SuspiciousDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma assinatura de rede maliciosa conhecida. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Possível download de dados via túnel DNS
(AzureDNS_DataInfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível exfiltração de dados via túnel DNS
(AzureDNS_DataExfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível transferência de dados via túnel DNS
(AzureDNS_DataObfuscation)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.