Azure 防火牆 IDPS 簽章規則類別
Azure 防火牆 IDPS 具有 50 多個類別,其可以指派給各個簽章。 下表是每個類別的定義清單。
類別
類別 | 描述 |
---|---|
3CORESec | 此類別用於 3CORESec 小組 IP 封鎖清單自動產生的簽章。 這些封鎖清單是由 3CORESec 根據其 Honeypots 中的惡意活動所產生。 |
ActiveX | 此類別適用於防範 Microsoft ActiveX 控制項攻擊的簽章,以及攻擊以 ActiveX 控制項中的弱點為目標的惡意探索。 |
Adware-PUP | 此類別適用於簽章,以識別用於廣告追蹤或其他類型的間諜軟體相關活動的軟體。 |
攻擊回應 | 此類別用於識別表示入侵之回應的簽章—範例包括但不限於 LMHost 檔案下載、特定 Web 橫幅的存在,以及 Metasploit Meterpreter 終止命令的偵測。 這些簽章設計用於攔截成功攻擊的結果。 例如 id=root,或者指出可能已發生洩露的錯誤訊息。 |
Botcc (Bot 命令及控制) | 此類別適用於從數個已知且已確認的作用中 BotNet 和其他命令與控制 (C2) 主機來源自動產生的簽章。 此類別每日更新。 此類別的主要資料來源是 Shadowserver.org. |
Botcc 連接埠已分組 | 此類別適用於 Botcc 類別中的簽章,但依目的地連接埠分組。 依連接埠分組的規則可以提供比未依連接埠分組規則更高的精確度。 |
聊天 | 此類別用於識別與許多聊天用戶端相關流量的簽章,例如多人線上交談系統 (IRC)。 聊天流量可以指出威脅執行者可能的簽入活動。 |
CIArmy | 此類別適用於使用集體智慧的 IP 規則進行封鎖所產生的簽章。 |
貨幣開採 | 此類別適用於具有偵測惡意程式碼之規則的簽章,其會進行貨幣開採。 這些簽章也可以偵測一些合法的 (儘管通常不受歡迎) 貨幣開採軟體。 |
遭洩漏 | 此類別用於以已知遭洩漏主機清單為基礎的簽章。 此清單會每日確認並更新。 根據資料來源的不同,此類別中的簽章可以從一條到數百條規則不等。 此類別的資料來源來自幾個私人但高度可靠的資料來源。 |
目前的事件 | 此類別適用於具有針對活動和短期活動制定規則的簽章,以及預期為臨時的高設定檔項目。 其中一個範例是與災害有關的詐欺活動。 此類別中的規則不打算在規則集中保留很長時間,或者在考慮將其納入之前需要進一步測試。 大多數情況下,這些將是當天的 Storm 二進位 URL 的簡單簽章,用於攔截新發現的弱點應用程序的 CLSID 簽章,其中我們沒有惡意探索的任何詳細資料等等。 |
DNS (網域名稱服務) | 此類別適用於具有攻擊規則和 DNS 弱點的簽章。 此類別也用於與濫用 DNS 相關的規則,例如通道。 |
DOS | 此類別適用於偵測拒絕服務 (DoS) 嘗試的簽章。 這些規則旨在攔截輸入 DoS 活動,並提供輸出 DoS 活動的指示。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
卸除 | 此類別用於封鎖 Spamhaus DROP (不路由或同儕節點) 清單上的 IP 位址的簽章。 此類別中的規則會每日更新。 |
Dshield | 此類別適用於以 Dshield 所識別攻擊者為基礎的簽章。 此類別中的規則會每日從 DShield 頂端攻擊者清單更新,其為可靠的。 |
惡意探索 | 此類別適用於可防範特定服務類別未涵蓋之直接惡意探索的簽章。 此類別是針對弱點的特定攻擊,例如針對 Microsoft Windows 的弱點。 具有自己類別的攻擊,例如 SQL 插入有自己的類別。 |
惡意探索套件 | 此類別適用於簽章,以偵測與惡意探索套件基礎結構及傳遞相關的活動。 |
FTP | 此類別適用於與檔案傳輸通訊協定 (FTP) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包含偵測非惡意 FTP 活動的規則,例如用於記錄目的的登入。 |
遊戲 | 此類別適用於識別遊戲流量和針對這些遊戲攻擊的簽章。 這些規則涵蓋《魔獸世界》、《星海爭霸》和其他流行的線上遊戲。 雖然遊戲及其流量不是惡意的,但其通常是不必要的,並且受到公司網路原則的禁止。 |
搜捕 | 此類別適用於提供指標的簽章,當與其他簽章相符時,對於環境中的威脅搜捕非常實用。 這些規則可能會對合法流量提供誤判並禁止效能。 僅建議在主動研究環境中的潛在威脅時使用。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
ICMP | 此類別適用於有關網際網路控制訊息通訊協定 (ICMP) 之攻擊和弱點的簽章。 |
ICMP_info | 此類別適用於與 ICMP 通訊協定特定事件相關的簽章,通常與記錄目的的一般作業關聯。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
IMAP | 此類別適用於有關網際網路訊息存取通訊協定 (IMAP) 之攻擊、惡意探索和弱點的簽章。 此類別也包含偵測非惡意 IMAP 活動以進行記錄目的的規則。 |
不當 | 此類別適用於簽章,以識別與色情網站或不適合工作環境的網站相關的潛在活動。 警告:此類別可能會對效能產生重大影響,並且誤判率極高。 |
資訊 | 此類別適用於簽章,以協助提供對相互關聯和識別有趣活動有用的稽核層級事件,這些活動可能本身不是惡意的,但經常在惡意程式碼和其他威脅中觀察到。 例如,依 IP 位址而不是網域名稱透過 HTTP 下載可執行檔。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
JA3 | 此類別適用於使用 JA3 雜湊對惡意 SSL 憑證進行指紋識別的簽章。 這些規則以用戶端和伺服器在 SSL 交握中的參數為基礎。 這些規則可能具有極高的誤判率,但對於威脅搜捕或惡意程式碼引爆環境可能非常實用。 |
惡意程式碼 | 此類別適用於偵測惡意軟體的簽章。 此類別中的規則會偵測與網路上偵測到的惡意軟體相關的活動,包括傳輸中的惡意程式碼、作用中的惡意程式碼、惡意程式碼感染、惡意程式碼攻擊以及惡意程式碼更新。 這也是一個非常重要的類別,強烈建議進行執行。 |
其他 | 此類別適用於其他類別未涵蓋的簽章。 |
行動裝置惡意程式碼 | 此類別適用於簽章,指出與 Google Android、Apple iOS 等行動裝置和平板電腦作業系統關聯的惡意程式碼。 偵測到並與行動裝置作業系統相關的惡意程式碼通常會予以歸入此類別,而不是像惡意程式碼這樣的標準類別。 |
NETBIOS | 此類別適用於與 NetBIOS 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包含偵測非惡意 NetBIOS 活動以進行記錄目的的規則。 |
P2P | 此類別適用於識別點對點 (P2P) 流量和對其進行攻擊的簽章。 已識別的 P2P 流量包括 torrents、edonkey、Bittorrent、Gnutella 和 Limewire 等。 P2P 流量本質上並非惡意,但對企業而言通常值得注意。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
網路釣魚 | 此類別適用於偵測認證網路釣魚活動的簽章。 這包含顯示認證網路釣魚的登陸頁面,以及成功將認證提交至認證網路釣魚網站。 |
原則 | 此類別適用於可能表示違反組織原則的簽章。 這可能包含容易濫用的通訊協定,以及其他可能感興趣的應用層級交易。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來進行覆寫。 |
POP3 | 此類別適用於與郵局通訊協定 3.0 (POP3) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包含偵測非惡意 POP3 活動以進行記錄目的的規則。 |
RPC | 此類別適用於與遠端程序呼叫 (RPC) 相關的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 RPC 活動以進行記錄目的的規則。 |
SCADA | 此類別適用於與監管控制及資料取得系統 (SCADA) 相關的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 SCADA 活動以進行記錄目的的規則。 |
SCAN | 此類別適用於簽章,以偵測來自 Nessus、Nikto 和其他連接埠掃描、工具等工具的偵察和探查。 此類別對於偵測組織內的早期入侵活動和感染後橫向移動非常實用。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來進行覆寫。 |
殼層程式碼 | 此類別適用於遠端殼層程式碼偵測的簽章。 當攻擊者想要針對在本機網路或內部網路上的另一台機器上執行的易受攻擊流程時,則會使用遠端殼層程式碼。 如果成功執行,殼層程式碼可以讓攻擊者透過網路存取目標機器。 遠端殼層程式碼通常使用標準 TCP/IP 通訊端連線,以允許攻擊者存取目標機器上的殼層。 這類殼層程式碼可以根據連線的設定方式進行分類:如果殼層程式碼可以建立此連線,則稱為「反向殼層」或「連線回」殼層程式碼,因為殼層程式碼會連線回攻擊者的機器。 |
SMTP | 此類別適用於與簡易郵件傳輸通訊協定 (SMTP) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 SMTP 活動以進行記錄目的的規則。 |
SNMP | 此類別適用於與簡易網路管理通訊協定 (SNMP) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 SNMP 活動以進行記錄目的的規則。 |
SQL | 此類別適用於與結構化查詢語言 (SQL) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 SQL 活動以進行記錄目的的規則。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來進行覆寫。 |
TELNET | 此類別適用於與 TELNET 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 TELNET 活動以進行記錄目的的規則。 |
TFTP | 此類別適用於與簡單檔案傳輸通訊協定 (TFTP) 關聯的攻擊、惡意探索和弱點相關的簽章。 此類別也包括偵測非惡意 TFTP 活動以進行記錄目的的規則。 |
TOR | 此類別適用於根據 IP 位址來識別進出 TOR 結束節點之流量的簽章。 注意:此類別中的所有簽章都定義為「僅限警示」,因此根據預設,即使 IDPS 模式設定為「警示和拒絕」,與這些簽章相符的流量也不會遭到封鎖。 客戶可以透過將這些特定簽章自訂為「警示和拒絕」模式來覆寫此行為。 |
使用者代理程式 | 此類別適用於簽章,以偵測可疑和異常的使用者代理程式。 已知的惡意使用者代理程式會置於 [惡意程式碼] 類別中。 |
VOIP | 此類別適用於與網際協議通話技術 (VOIP),包括 SIP、H.323 和 RTP 等相關攻擊和弱點的簽章。 |
網頁用戶端 | 此類別適用於與 Web 用戶端關聯的攻擊和弱點簽章,例如網頁瀏覽器,以及 CURL、WGET 和其他用戶端應用程式。 |
網頁伺服器 | 此類別適用於簽章,以偵測 Web 伺服器基礎結構的攻擊,例如 APACHE、TOMCAT、NGINX、Microsoft Internet Information Services (IIS) 和其他 Web 伺服器軟體。 |
Web 特定應用程式 | 此類別適用於簽章,以偵測特定 Web 應用程式中的攻擊和弱點。 |
WORM | 此類別適用於簽章,以偵測惡意活動,其會藉由利用弱點來自動嘗試分散到網際網路或網路內,並分類為 WORM 類別。 雖然實際的惡意探索本身通常會在攻擊或指定的通訊協定類別中識別,但如果也可以識別參與類似蠕蟲擴散的實際惡意程式碼,則可以在此類別中進行其他項目。 |
下一步
- 若要深入了解 Azure 防火牆進階版功能,請參閱 Azure 防火牆進階版功能。