Alertes pour DNS
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour DNS à partir de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes pour DNS
Important
Depuis le 1er août 2023, les clients déjà abonnés à Defender pour DNS peuvent continuer à utiliser le service, mais les nouveaux abonnés recevront des alertes sur les activités DNS suspectes dans le cadre de Defender pour serveurs P2.
Utilisation d’un protocole réseau anormale
(AzureDNS_ProtocolAnomaly)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une utilisation anormale du protocole. Ce trafic, même s’il est possible qu’il soit bénin, peut indiquer l’abus de ce protocole commun pour contourner le filtrage du trafic réseau. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.
Tactiques MITRE : Exfiltration
Gravité : -
Activité réseau anonyme
(AzureDNS_DarkWeb)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Activité réseau anonyme utilisant un proxy web
(AzureDNS_DarkWebProxy)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Tentative de communication avec un domaine sinkhole suspect
(AzureDNS_SinkholedDomain)
Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté une demande de domaine récepteur. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Communication avec un domaine d’hameçonnage potentiel
(AzureDNS_PhishingDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande de domaine d’hameçonnage possible. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à collecter des informations d’identification auprès de services distants. L’activité associée type des attaquants est susceptible d’inclure l’exploitation d’informations d’identification dans le service légitime.
Tactiques MITRE : Exfiltration
Gravité : Information
Communication avec un domaine suspect généré par algorithmique
(AzureDNS_DomainGenerationAlgorithm)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation possible d’un algorithme de génération de domaine. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : Information
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : Accès initial
Gravité : moyenne
Communication avec un nom de domaine aléatoire suspect
(AzureDNS_RandomizedDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation d’un nom de domaine généré de manière aléatoire suspecte. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : Information
Activité d’exploration de données monétaires numériques
(AzureDNS_CurrencyMining)
Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté l’activité d’exploration de données de devise numérique. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.
Tactiques MITRE : Exfiltration
Gravité : faible
Activation de la signature de détection d’intrusion réseau
(AzureDNS_SuspiciousDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une signature réseau malveillante connue. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Possible téléchargement de données via un tunnel DNS
(AzureDNS_DataInfiltration)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Possible exfiltration de données via un tunnel DNS
(AzureDNS_DataExfiltration)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Possible transfert de données via un tunnel DNS
(AzureDNS_DataObfuscation)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.