Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены оповещения системы безопасности, которые можно получить для сетевого уровня Azure из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Замечание
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Замечание
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения уровня сети Azure
Дополнительные сведения и примечания
Обнаружена сетевая связь с вредоносным компьютером
(Network_CommunicationWithC2)
Описание. Анализ сетевого трафика указывает, что компьютер (IP-%{Victim IP}) взаимодействовал с тем, что, возможно, является центром управления и командой. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемое действие может указывать на то, что один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений) взаимодействовали с тем, что, возможно, является центром управления и командой.
Тактика MITRE: команда и управление
Серьезность: средний
Обнаружен возможный скомпрометированный компьютер
(Network_ResourceIpIndicatedAsMalicious)
Описание. Аналитика угроз указывает, что компьютер (в IP-%{Machine IP}) может быть скомпрометирован вредоносным по типу Conficker. Conficker был компьютерным червем, предназначенным для операционной системы Microsoft Windows и впервые обнаружен в ноябре 2008 года. Conficker заразил миллионы компьютеров, включая государственные, бизнес-компьютеры и домашние компьютеры в более чем 200 странах и регионах, что делает его самым известным известным вирусом-червем с 2003 валлийского червя.
Тактика MITRE: команда и управление
Серьезность: средний
Возможные входящие %обнаружена попытка подбора {Имя службы}
(Generic_Incoming_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил входящие %{имя службы} связи с %{Victim IP}, связанный с вашим ресурсом %{Скомпрометированный узел} из %{IP-адрес злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают подозрительные действия между %{время начала} и %{Время окончания} на порте %{Порт жертвы}. Это действие согласуется с попытками подбора на %серверах {имя службы}.
Тактика MITRE: PreAttack
Серьезность: информационная
Обнаруженные возможные входящие попытки подбора SQL
(SQL_Incoming_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил входящий обмен данными SQL с %{Victim IP}, связанный с вашим ресурсом %{Скомпрометированный узел}, из %{Злоумышленник IP}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают подозрительное действие между %{время начала} и %{время окончания} на %порта {номер порта} (%{тип службы SQL}). Это действие согласуется с попытками подбора на серверах SQL.
Тактика MITRE: PreAttack
Серьезность: средний
Обнаружена возможная исходящая атака типа "отказ в обслуживании"
(DDOS)
Описание. Анализ сетевого трафика обнаружил аномальное исходящее действие, исходящее из %{Скомпрометированный узел}, ресурс в развертывании. Это действие может указывать на то, что ресурс скомпрометирован и теперь участвует в атаках типа "отказ в обслуживании" на внешние конечные точки. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемое действие может указывать на то, что один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений) скомпрометированы. Исходя из объема подключений, мы считаем, что следующие IP-адреса, возможно, являются целями атаки DOS: %{Возможные жертвы}. Обратите внимание, что возможно, что связь с некоторыми из этих IP-адресов является законной.
Тактика MITRE: влияние
Серьезность: средний
Подозрительные входящие сетевые действия RDP из нескольких источников
(RDP_Incoming_BF_ManyToOne)
Описание. Анализ сетевого трафика обнаружил аномальную связь с протоколом удаленного рабочего стола (RDP) с %{Ip-адрес жертвы}, связанный с ресурсом %{скомпрометированный узел}, из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают, %{Число ip-адресов атак} уникальных IP-адресов, подключающихся к ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки RDP с нескольких узлов (Botnet).
Тактика MITRE: PreAttack
Серьезность: средний
Подозрительное сетевое действие RDP
(RDP_Incoming_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил аномальную связь с протоколом удаленного рабочего стола (RDP) с %{Ip-адрес жертвы}, связанный с ресурсом %{скомпрометированный узел}, из %{Злоумышленник IP}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают %{Число подключений} входящих подключений к ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки RDP
Тактика MITRE: PreAttack
Серьезность: средний
Подозрительные входящие сетевые действия SSH из нескольких источников
(SSH_Incoming_BF_ManyToOne)
Описание. Анализ сетевого трафика обнаружил аномальный входной SSH-обмен данными с %{Victim IP}, связанный с ресурсом %{Скомпрометированный узел}, из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают, %{Число ip-адресов атак} уникальных IP-адресов, подключающихся к ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки SSH с нескольких узлов (Botnet)
Тактика MITRE: PreAttack
Серьезность: средний
Подозрительное сетевое действие SSH
(SSH_Incoming_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил аномальное подключение SSH к %{Victim IP}, связанному с вашим ресурсом %{Скомпрометированный узел}, из %{Ip-адрес злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, предполагаемый входящий трафик перенаправляется в один или несколько ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают %{Число подключений} входящих подключений к ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку подбора конечной точки SSH
Тактика MITRE: PreAttack
Серьезность: средний
Обнаружен подозрительный исходящий %трафик {Атакованный протокол}.
(PortScanning)
Описание. Анализ сетевого трафика обнаружил подозрительный исходящий трафик из %{Скомпрометированный узел} на конечный порт %{Наиболее распространенный порт}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Это поведение может указывать на то, что ресурс принимает участие в %попытки подбора {Атакованный протокол} или атаки на перенос.
Тактика MITRE: Обнаружение
Серьезность: средний
Подозрительное исходящее сетевое действие RDP в несколько назначений
(RDP_Outgoing_BF_OneToMany)
Описание. Анализ сетевого трафика обнаружил аномальную исходящую связь протокола удаленного рабочего стола (RDP) с несколькими назначениями, исходящими из %{Скомпрометированный узел} (%{Злоумышленник IP}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают, что компьютер подключается к %{Число ip-адресов с атаками} уникальных IP-адресов, которые считаются ненормальными для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек RDP. Обратите внимание, что этот тип действия может привести к тому, что IP-адрес может быть помечен как вредоносный внешними сущностями.
Тактика MITRE: Обнаружение
Серьезность: высокий уровень
Подозрительное исходящее сетевое действие RDP
(RDP_Outgoing_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил аномальную исходящую связь протокола удаленного рабочего стола (RDP) с %{Victim IP} из %{Скомпрометированный узел} (%{IP-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают %{Число подключений} исходящих подключений из ресурса, который считается ненормальным для этой среды. Это действие может указывать на то, что компьютер скомпрометирован и теперь используется для подбора внешних конечных точек RDP. Обратите внимание, что этот тип действия может привести к тому, что IP-адрес может быть помечен как вредоносный внешними сущностями.
Тактика MITRE: боковое движение
Серьезность: высокий уровень
Подозрительное исходящее сетевое действие SSH в несколько назначений
(SSH_Outgoing_BF_OneToMany)
Описание. Анализ сетевого трафика обнаружил аномальную исходящую связь SSH с несколькими назначениями, исходящими из %{Скомпрометированный узел} (%{Ip-адрес злоумышленника}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают, что ресурс подключается к %{Число ip-адресов атак} уникальных IP-адресов, которые считаются ненормальными для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек SSH. Обратите внимание, что этот тип действия может привести к тому, что IP-адрес может быть помечен как вредоносный внешними сущностями.
Тактика MITRE: Обнаружение
Серьезность: средний
Подозрительное исходящее сетевое действие SSH
(SSH_Outgoing_BF_OneToOne)
Описание. Анализ сетевого трафика обнаружил аномальный исходящий SSH-обмен данными с %{Ip-адрес жертвы}, исходящий из %{Скомпрометированный узел} (%{Злоумышленник IP}), ресурс в развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, примеры сетевых данных показывают %{Число подключений} исходящих подключений из ресурса, который считается ненормальным для этой среды. Это действие может указывать на то, что ресурс скомпрометирован и теперь используется для подбора внешних конечных точек SSH. Обратите внимание, что этот тип действия может привести к тому, что IP-адрес может быть помечен как вредоносный внешними сущностями.
Тактика MITRE: боковое движение
Серьезность: средний
Трафик, обнаруженный из IP-адресов, рекомендуемых для блокировки
(Network_TrafficFromUnrecommendedIP)
Описание: Microsoft Defender для облака обнаружил входящий трафик с IP-адресов, которые рекомендуется заблокировать. Обычно это происходит, когда этот IP-адрес не регулярно взаимодействует с этим ресурсом. Кроме того, IP-адрес помечен как вредоносный источниками аналитики угроз Defender для облака.
Серьезность: информационная
Замечание
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.