Поделиться через


Оповещения для сетевого уровня Azure

В этой статье перечислены оповещения системы безопасности, которые можно получить для сетевого уровня Azure из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения уровня сети Azure

Дополнительные сведения и примечания

Network communication with a malicious machine detected (Обнаружено сетевое взаимодействие с вредоносной машиной)

(Network_CommunicationWithC2)

Описание. Анализ сетевого трафика указывает на то, что компьютер (IP%{ip-адрес жертвы}) взаимодействовал с тем, что может быть центром управления и командой. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятная активность может указывать на то, что один или несколько ресурсов во внутреннем пуле (подсистемы балансировки нагрузки или шлюза приложений) связались с тем, что, возможно, является центром контроля и управления.

Тактика MITRE: команда и управление

Серьезность: средний

Possible compromised machine detected (Обнаружен возможно скомпрометированный компьютер)

(Network_ResourceIpIndicatedAsMalicious)

Описание. Аналитика угроз указывает, что компьютер (на IP%{Machine IP}) может быть скомпрометирован вредоносным по типу Conficker. Conficker — это компьютерный вирус-червь, который нацелен на операционную систему Microsoft Windows. Он был впервые обнаружен в ноябре 2008 года. Conficker заразил миллионы компьютеров, включая компьютеры в государственных учреждениях, частных компаниях и домашние компьютеры в более чем 200 странах и регионах, что сделало его распространение наиболее масштабным после вируса Welchia в 2003 году.

Тактика MITRE: команда и управление

Серьезность: средний

Possible incoming %{Service Name} brute force attempts detected (Обнаружены возможные входящие попытки атаки методом подбора %{имя_службы})

(Generic_Incoming_BF_OneToOne)

Описание: анализ сетевого трафика обнаружил входящие данные %{Имя службы} с %{IP-адрес жертвы}, связанный с ресурсом %{Скомпрометированный узел} из %{Ip-адрес злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, в примерах данных сети отображается подозрительная активность между % {время_начала} и %{время_окончания} на порту %{атакуемый_порт}. Эти атаки согласуются с попытками атаки серверов %{имя_службы} методом подбора.

Тактика MITRE: PreAttack

Серьезность: информационная

Possible incoming SQL brute force attempts detected (Обнаружены возможные попытки атаки SQL-серверов методом подбора)

(SQL_Incoming_BF_OneToOne)

Описание. Анализ сетевого трафика обнаружил входящие сообщения SQL с %{Ip-адрес жертвы}, связанный с ресурсом %{Скомпрометированный узел}, из %{Ip-адрес злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, в примерах данных сети отображается подозрительная активность между % {время_начала} и {время_окончания}на порту %{номер_порта} (%{тип_службы_SQL}). Эти атаки согласуются с попытками атаки SQL-серверов методом подбора.

Тактика MITRE: PreAttack

Серьезность: средний

Possible outgoing denial-of-service attack detected (Обнаружение возможной исходящей атаки типа "отказ в обслуживании")

(DDOS)

Описание. Анализ сетевого трафика обнаружил аномальное исходящее действие, исходящее из %{Скомпрометированный узел}, ресурс в развертывании. Это действие может указывать на то, что ресурс скомпрометирован и теперь участвует в атаках типа "отказ в обслуживании" на внешние конечные точки. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, подозрительное действие может указывать на то, что один или несколько ресурсов в серверном пуле (балансировщика нагрузки или шлюза приложений) были скомпрометированы. Основываясь на объеме подключений, мы считаем, что следующие IP-адреса, возможно, являются целями DOS-атаки %{возможные_жертвы}. Обратите внимание, что связь с некоторыми из этих IP-адресов может быть допустимой.

Тактика MITRE: влияние

Серьезность: средний

Suspicious incoming RDP network activity from multiple sources (Подозрительная входящая сетевая активность через RDP из нескольких источников)

(RDP_Incoming_BF_ManyToOne)

Описание. Анализ сетевого трафика обнаружил аномальный входной протокол удаленного рабочего стола (RDP) с %{Ip-адрес жертвы}, связанный с ресурсом %{Скомпрометированный узел}, из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_атакующих_IP-адресов} уникальных IP-адресов, подключаемых к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки RDP с нескольких узлов (Botnet).

Тактика MITRE: PreAttack

Серьезность: средний

Suspicious incoming RDP network activity (Подозрительная входящая сетевая активность через RDP)

(RDP_Incoming_BF_OneToOne)

Описание. Анализ сетевого трафика обнаружил аномальное подключение к протоколу удаленного рабочего стола (RDP) %{Victim IP}, связанному с ресурсом %{Скомпрометированный узел}, из %{Злоумышленник IP}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_подключений} входящих подключений к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки RDP

Тактика MITRE: PreAttack

Серьезность: средний

Suspicious incoming SSH network activity from multiple sources (Подозрительная входящая сетевая активность через SSH)

(SSH_Incoming_BF_ManyToOne)

Описание. Анализ сетевого трафика обнаружил аномальную связь SSH с %{Ip-адрес жертвы}, связанный с ресурсом %{Скомпрометированный узел}, из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_атакующих_IP-адресов} уникальных IP-адресов, подключаемых к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки SSH с нескольких узлов (Botnet)

Тактика MITRE: PreAttack

Серьезность: средний

Suspicious incoming SSH network activity (Подозрительная входящая сетевая активность через SSH)

(SSH_Incoming_BF_OneToOne)

Описание. Анализ сетевого трафика обнаружил аномальное подключение SSH к %{IP-адрес жертвы}, связанному с ресурсом %{Скомпрометированный узел}, из %{IP-адрес злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_подключений} входящих подключений к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки SSH

Тактика MITRE: PreAttack

Серьезность: средний

Suspicious outgoing %{Attacked Protocol} traffic detected (Обнаружен подозрительный исходящий трафик %{атакуемый_протокол})

(PortScanning)

Описание. Анализ сетевого трафика обнаружил подозрительный исходящий трафик из %{Скомпрометированный узел} на порт назначения %{Наиболее распространенный порт}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Это может указывать на то, что ресурс принимает участие в попытках подбора %{Атакованный протокол} или атаках на перенос.

Тактика MITRE: Обнаружение

Серьезность: средний

Suspicious outgoing RDP network activity to multiple destinations (Подозрительная исходящая сетевая активность через RDP к нескольким местам назначения)

(RDP_Outgoing_BF_OneToMany)

Описание. Анализ сетевого трафика обнаружил аномальную исходящую связь протокола удаленного рабочего стола (RDP) с несколькими назначениями, исходящими из %{Скомпрометированный узел} (%{IP-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают, что ваш компьютер подключается к уникальным %{количество_атакуемых_портов} IP-адресам, что считается ненормальным для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек RDP. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями.

Тактика MITRE: Обнаружение

Серьезность: высокий уровень

Suspicious outgoing RDP network activity (Подозрительная исходящая сетевая активность через RDP)

(RDP_Outgoing_BF_OneToOne)

Описание. Анализ сетевого трафика обнаружил аномальное исходящее подключение протокола удаленного рабочего стола (RDP) к %{Ip-адрес жертвы}, исходящему из %{Скомпрометированный узел} (%{IP-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают %{количество_подключений} исходящих подключений с вашего ресурса, что считается ненормальным для этой среды. Это действие может указывать на то, что компьютер скомпрометирован и теперь используется для подбора внешних конечных точек RDP. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями.

Тактика MITRE: боковое движение

Серьезность: высокий уровень

Suspicious outgoing SSH network activity to multiple destinations (Подозрительная исходящая сетевая активность через SSH к нескольким местам назначения)

(SSH_Outgoing_BF_OneToMany)

Описание. Анализ сетевого трафика обнаружил аномальную исходящую связь SSH с несколькими назначениями, исходящими из %{Скомпрометированный узел} (%{IP-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают, что ваш компьютер подключается к %{количество_атакуемых_портов} уникальным IP-адресам, что считается ненормальным для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек SSH. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями.

Тактика MITRE: Обнаружение

Серьезность: средний

Suspicious outgoing SSH network activity (Подозрительная исходящая сетевая активность через SSH)

(SSH_Outgoing_BF_OneToOne)

Описание. Анализ сетевого трафика обнаружил аномальный исходящий SSH-обмен данными %{Ip-адрес жертвы}, исходящий из %{Скомпрометированный узел} (%{IP-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают %{количество_подключений} исходящих подключений с вашего ресурса, что считается ненормальным для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек SSH. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями.

Тактика MITRE: боковое движение

Серьезность: средний

(Network_TrafficFromUnrecommendedIP)

Описание: Microsoft Defender для облака обнаружен входящий трафик с IP-адресов, которые рекомендуется заблокировать. Обычно это происходит, когда этот IP-адрес регулярно не обменивается данными с этим ресурсом. Кроме того, IP-адрес помечается как вредоносный с помощью источников аналитики угроз Defender для облака.

Тактика MITRE: Пробовка

Серьезность: информационная

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги