Alertas para DNS

Artigo
08/07/2024

Este artigo lista os alertas de segurança que você pode receber para DNS do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas para DNS

Importante

A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender for DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender for Servers P2.

Utilização anómala do protocolo de rede

(AzureDNS_ProtocolAnomaly)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.

Táticas MITRE: Exfiltração

Gravidade: -

Atividade da rede de anonimato

(AzureDNS_DarkWeb)

Descrição: A análise de transações DNS de %{CompromisedEntity} detetou atividade de rede anônima. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente empregada por atacantes para evitar o rastreamento e a impressão digital das comunicações da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Anonimato atividade de rede usando web proxy

(AzureDNS_DarkWebProxy)

Táticas MITRE: Exfiltração

Gravidade: Baixa

Tentativa de comunicação com domínio suspeito sufocado

(AzureDNS_SinkholedDomain)

Descrição: Análise de transações DNS de %{CompromisedEntity} detetou solicitação de domínio sufocado. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Média

Comunicação com possível domínio de phishing

(AzureDNS_PhishingDomain)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente realizada por invasores para coletar credenciais para serviços remotos. É provável que a atividade típica de invasores relacionados inclua a exploração de quaisquer credenciais no serviço legítimo.

Táticas MITRE: Exfiltração

Gravidade: Informativo

Comunicação com domínio suspeito gerado por algoritmos

(AzureDNS_DomainGenerationAlgorithm)

Descrição: A análise de transações DNS de %{CompromisedEntity} detetou o possível uso de um algoritmo de geração de domínio. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Informativo

Comunicação com domínio suspeito identificado por informações sobre ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Comunicação com nome de domínio aleatório suspeito

(AzureDNS_RandomizedDomain)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso de um nome de domínio suspeito gerado aleatoriamente. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Informativo

Atividade de mineração de moeda digital

(AzureDNS_CurrencyMining)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Ativação de assinatura de deteção de intrusão de rede

(AzureDNS_SuspiciousDomain)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma assinatura de rede maliciosa conhecida. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Média

Possível download de dados via túnel DNS

(AzureDNS_DataInfiltration)

Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Possível exfiltração de dados via túnel DNS

(AzureDNS_DataExfiltration)

Táticas MITRE: Exfiltração

Gravidade: Baixa

Possível transferência de dados via túnel DNS

(AzureDNS_DataObfuscation)

Táticas MITRE: Exfiltração

Gravidade: Baixa

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Partilhar via

Alertas para DNS

Alertas para DNS

Utilização anómala do protocolo de rede

Atividade da rede de anonimato

Anonimato atividade de rede usando web proxy

Tentativa de comunicação com domínio suspeito sufocado

Comunicação com possível domínio de phishing

Comunicação com domínio suspeito gerado por algoritmos

Comunicação com domínio suspeito identificado por informações sobre ameaças

Comunicação com nome de domínio aleatório suspeito

Atividade de mineração de moeda digital

Ativação de assinatura de deteção de intrusão de rede

Possível download de dados via túnel DNS

Possível exfiltração de dados via túnel DNS

Possível transferência de dados via túnel DNS

Próximos passos

Comentários

Recursos adicionais