你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

DNS 警报

本文列出了从 Microsoft Defender for Cloud 获取的 DNS 以及启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

DNS 警报

重要

从 2023 年 8 月 1 日开始,拥有 Defender for DNS 订阅的客户可以继续使用该服务,但作为 Defender for Servers P2 的一部分,新订阅者将收到有关可疑 DNS 活动的警报。

异常的网络协议使用

(AzureDNS_ProtocolAnomaly)

说明:从 %{CompromisedEntity} 分析 DNS 事务检测到异常协议使用情况。 此类流量虽然可能是良性的,但可能表示滥用此常见协议来绕过网络流量筛选。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。

MITRE 策略:外泄

严重性: -

匿名网络活动

(AzureDNS_DarkWeb)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到匿名网络活动。 此类活动虽然可能是合法的用户行为,但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:低

使用 Web 代理的匿名网络活动

(AzureDNS_DarkWebProxy)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到匿名网络活动。 此类活动虽然可能是合法的用户行为,但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:低

尝试与可疑的经 Sinkhole 处理的域通信

(AzureDNS_SinkholedDomain)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务,检测到对接收器域的请求。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:中等

与可能的网络钓鱼域通信

(AzureDNS_PhishingDomain)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到对可能的钓鱼域的请求。 此类活动虽然可能是良性的,但经常被攻击者执行以获取远程服务的凭据。 典型的相关攻击者活动可能包括对合法服务的任何凭据的利用。

MITRE 策略:外泄

严重级别:信息性

与可疑的算法生成的域通信

(AzureDNS_DomainGenerationAlgorithm)

说明:从 %{CompromisedEntity} 分析 DNS 事务检测到域生成算法的可能用法。 此类活动虽然可能是良性的,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重级别:信息性

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明:通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略:初始访问

严重性:中等

与可疑的随机域名通信

(AzureDNS_RandomizedDomain)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到使用可疑的随机生成的域名。 此类活动虽然可能是良性的,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重级别:信息性

数字货币挖掘活动

(AzureDNS_CurrencyMining)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到数字资产挖掘活动。 此类活动虽然可能是合法的用户行为,但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。

MITRE 策略:外泄

严重性:低

网络入侵检测签名激活

(AzureDNS_SuspiciousDomain)

说明:分析来自 %{CompromisedEntity} 的 DNS 事务检测到已知的恶意网络签名。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:中等

可能的经由 DNS 隧道的数据下载

(AzureDNS_DataInfiltration)

说明:从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:低

可能的经由 DNS 隧道的数据外泄

(AzureDNS_DataExfiltration)

说明:从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:低

可能的经由 DNS 隧道的数据传输

(AzureDNS_DataObfuscation)

说明:从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略:外泄

严重性:低

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤