Alertes pour la couche réseau Azure
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour la couche réseau Azure à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes de couche réseau Azure
Informations complémentaires et notes
Détection d’une communication réseau avec un ordinateur malveillant
(Network_CommunicationWithC2)
Description : l’analyse du trafic réseau indique que votre ordinateur (IP %{ADRESSE IP de la victime}) a communiqué avec ce qui est possiblement un centre de commande et de contrôle. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont communiqué avec ce qui semble être un centre de contrôle et de commande.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Détection possible d’un ordinateur compromis
(Network_ResourceIpIndicatedAsMalicious)
Description : Le renseignement sur les menaces indique que votre ordinateur (à l’adresse IP %{Adresse IP de l’ordinateur}) a peut-être été compromis par un programme malveillant de type Conficker. Conficker était un ver informatique qui ciblait le système d’exploitation Microsoft Windows et qui a été détecté pour la première fois en novembre 2008. Conficker a infecté des millions d’ordinateurs, notamment ceux des services publics, ceux des entreprises, mais aussi des ordinateurs personnels dans plus de 200 pays/régions, ce qui en fait la plus grande infection connue par un ver informatique depuis le ver Welchia en 2003.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Détection possible de tentatives de force brute entrante sur %{Nom du service}
(Generic_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté la communication entrante %{Nom du service} vers %{ADRESSE IP de la victime}, associée à votre ressource %{Hôte compromis} à partir de %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Port de la victime}. Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs %{Nom du service}.
Tactiques MITRE : PreAttack
Gravité : Information
Détection possible de tentatives d’attaque SQL par force brute
(SQL_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté la communication SQL entrante vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Numéro de port} (%{Type de service SQL}). Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs SQL.
Tactiques MITRE : PreAttack
Gravité : moyenne
Détection possible d’une attaque par déni de service sortant
(DDOS)
Description : l’analyse du trafic réseau a détecté une activité sortante anormale provenant de %{Hôte compromis}, une ressource dans votre déploiement. Cette activité peut indiquer que votre ressource a été compromise et est désormais engagée dans des attaques par déni de service contre des points de terminaison externes. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). D’après le volume des connexions, nous pensons que les adresses IP suivantes sont peut-être les cibles de l’attaque DOS : %{Victimes possibles}. Notez qu’il est possible que la communication avec certaines de ces adresses IP soit légitime.
Tactiques MITRE : Impact
Gravité : moyenne
Activité réseau entrante RDP suspecte à partir de plusieurs sources
(RDP_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP à partir de plusieurs hôtes (Botnet).
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante RDP suspecte
(RDP_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante SSH suspecte à partir de plusieurs sources
(SSH_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH à partir de plusieurs hôtes (Botnet)
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante SSH suspecte
(SSH_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH
Tactiques MITRE : PreAttack
Gravité : moyenne
Détection de trafic entrant suspect %{Protocole attaqué}
(PortScanning)
Description : l’analyse du trafic réseau a détecté le trafic sortant suspect de %{Hôte compromis} vers le port de destination %{Port le plus courant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Ce comportement peut indiquer que votre ressource participe à %{Protocole attaqué} des tentatives de force brute ou des attaques par balayage de port.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau sortante RDP suspecte vers plusieurs destinations
(RDP_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre machine se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Découverte
Gravité : élevée
Activité réseau sortante RDP suspecte
(RDP_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{ADRESSE IP malveillante}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ordinateur a été compromis et est maintenant utilisé pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Activité réseau sortante SHH suspecte vers plusieurs destinations
(SSH_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre ressource se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau sortante SSH suspecte
(SSH_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Détection de trafic depuis des adresses IP recommandées comme à bloquer
(Network_TrafficFromUnrecommendedIP)
Description : Microsoft Defender pour le cloud détecté le trafic entrant à partir d’adresses IP qui sont recommandées pour être bloquées. Cela se produit généralement lorsque cette adresse IP ne communique pas régulièrement avec cette ressource. Il est aussi possible que l’adresse IP ait été signalée comme malveillante par les sources de renseignement sur les menaces de Microsoft Defender pour le cloud.
Tactiques MITRE : détection
Gravité : Information
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.