Firewall di Azure categorie di regole di firma IDPS
Firewall di Azure IDPS funzionalità oltre 50 categorie che possono essere assegnate a singole firme. La tabella seguente è un elenco di definizioni per ogni categoria.
Categorie
| Categoria | Descrizione |
|---|---|
| 3CORESec | Questa categoria riguarda le firme generate automaticamente dagli elenchi di indirizzi IP del team 3CORESec. Questi elenchi di blocchi vengono generati da 3CORESec in base alle attività dannose dei loro Honeypot. |
| ActiveX | Questa categoria è destinata alle firme che proteggono dagli attacchi contro i controlli Microsoft ActiveX e gli exploit destinati alle vulnerabilità nei controlli ActiveX. |
| Adware-PUP | Questa categoria è destinata alle firme per identificare il software usato per il rilevamento degli annunci o altri tipi di attività correlate allo spyware. |
| Risposta all'attacco | Questa categoria è destinata alle firme per identificare le risposte indicative di intrusioni, ad esempio il download di file LMHost, la presenza di determinati banner Web e il rilevamento del comando kill Metasploit Meterpreter. Queste firme sono progettate per intercettare i risultati di un attacco riuscito. Elementi come id=root o messaggi di errore che indicano che è possibile che si sia verificata una compromissione. |
| Botcc (comando e controllo bot) | Questa categoria è per le firme generate automaticamente da diverse origini di botnet note e confermate botnet attive e altri host Command and Control (C2). Questa categoria viene aggiornata ogni giorno. L'origine dati primaria della categoria è Shadowserver.org. |
| Botcc Port grouped | Questa categoria è destinata a firme come quelle della categoria Botcc, ma raggruppate per porta di destinazione. Le regole raggruppate per porta possono offrire una maggiore fedeltà rispetto alle regole non raggruppate per porta. |
| Chat | Questa categoria è destinata alle firme che identificano il traffico correlato a molti client di chat, ad esempio Internet Relay Chat (IRC). Il traffico di chat può essere indicativo di possibili attività di archiviazione da parte degli attori delle minacce. |
| CIArmy | Questa categoria riguarda le firme generate usando le regole IP di Collective Intelligence per il blocco. |
| Estrazione di monete | Questa categoria è per le firme con regole che rilevano malware, che esegue il mining di monete. Queste firme possono anche rilevare alcuni software di mining moneta legittimo (anche se spesso indesiderato). |
| Compromessi | Questa categoria è destinata alle firme in base a un elenco di host compromessi noti. Questo elenco viene confermato e aggiornato ogni giorno. Le firme in questa categoria possono variare da una a diverse centinaia di regole a seconda delle origini dati. Le origini dati per questa categoria provengono da diverse origini dati private ma altamente affidabili. |
| Eventi correnti | Questa categoria è destinata alle firme con regole sviluppate in risposta alle campagne attive e di breve durata e agli elementi ad alto profilo che dovrebbero essere temporanei. Un esempio è rappresentato da campagne di frode correlate alle emergenze. Le regole in questa categoria non devono essere mantenute nel set di regole per molto tempo o che devono essere ulteriormente testate prima di essere prese in considerazione per l'inclusione. La maggior parte di queste firme sarà semplice per l'URL binario Storm del giorno, le firme per rilevare i CLSID delle app vulnerabili appena trovate in cui non abbiamo alcun dettaglio sull'exploit e così via. |
| DNS (Domain Name Service) | Questa categoria è destinata alle firme con regole per attacchi e vulnerabilità relativi al DNS. Questa categoria viene usata anche per le regole relative all'abuso di DNS, ad esempio il tunneling. |
| DOS | Questa categoria è destinata alle firme che rilevano tentativi Denial of Service (DoS). Queste regole sono concepite per intercettare l'attività DoS in ingresso e fornire un'indicazione dell'attività DoS in uscita. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| Goccia | Questa categoria è destinata alle firme per bloccare gli indirizzi IP nell'elenco DROP di Spamhaus (Don't Route or Peer). Le regole in questa categoria vengono aggiornate ogni giorno. |
| Dshield | Questa categoria è destinata alle firme basate su utenti malintenzionati identificati da Dshield. Le regole in questa categoria vengono aggiornate ogni giorno dall'elenco degli utenti malintenzionati principali DShield, che è affidabile. |
| Exploit | Questa categoria è per le firme che proteggono da exploit diretti non altrimenti coperti in una categoria di servizio specifica. Questa categoria è la posizione in cui verranno trovati attacchi specifici contro vulnerabilità, ad esempio contro Microsoft Windows. Gli attacchi con la propria categoria, ad esempio SQL injection, hanno la propria categoria. |
| Exploit-Kit | Questa categoria è destinata alle firme per rilevare le attività correlate agli Exploit Kit per la propria infrastruttura e il recapito. |
| FTP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati al protocollo FTP (File Transfer Protocol). Questa categoria include anche regole che rilevano attività FTP non dannose, ad esempio gli account di accesso a scopo di registrazione. |
| Games | Questa categoria è destinata alle firme che identificano il traffico di gioco e gli attacchi contro tali giochi. Le regole riguardano giochi come World of Warcraft, Starcraft e altri giochi online popolari. Anche se i giochi e il loro traffico non sono dannosi, spesso sono indesiderati e proibiti dai criteri sulle reti aziendali. |
| Caccia | Questa categoria è destinata alle firme che forniscono indicatori che, se confrontati con altre firme, possono essere utili per la ricerca delle minacce in un ambiente. Queste regole possono fornire falsi positivi sul traffico legittimo e inibire le prestazioni. Sono consigliate solo per l'uso quando si ricercano attivamente potenziali minacce nell'ambiente. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| ICMP | Questa categoria riguarda le firme correlate ad attacchi e vulnerabilità su Internet Control Message Protocol (ICMP). |
| ICMP_info | Questa categoria riguarda le firme correlate a eventi specifici del protocollo ICMP, in genere associati alle normali operazioni a scopo di registrazione. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| IMAP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità relative a Internet Message Access Protocol (IMAP). Questa categoria include anche regole che rilevano attività IMAP non dannose a scopo di registrazione. |
| Inappropriato | Questa categoria è destinata alle firme per identificare le attività potenzialmente correlate a siti pornografici o altrimenti non appropriati per un ambiente di lavoro. Avviso: questa categoria può avere un impatto significativo sulle prestazioni e un tasso elevato di falsi positivi. |
| info | Questa categoria è destinata alle firme che consentono di fornire eventi a livello di controllo utili per la correlazione e l'identificazione di attività interessanti, che potrebbero non essere intrinsecamente dannose, ma sono spesso osservate in malware e altre minacce. Ad esempio, scaricare un eseguibile tramite HTTP in base all'indirizzo IP anziché al nome di dominio. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| JA3 | Questa categoria riguarda le firme per l'impronta digitale di certificati SSL dannosi che usano hash JA3. Queste regole sono basate su parametri presenti nella negoziazione dell'handshake SSL da client e server. Queste regole possono avere un tasso di falsi positivi elevato, ma può essere utile per la ricerca di minacce o gli ambienti di detonazione malware. |
| Malware | Questa categoria è destinata alle firme per rilevare software dannoso. Le regole in questa categoria rilevano attività correlate a software dannoso rilevato nella rete, tra cui malware in transito, malware attivo, infezioni malware, attacchi malware e aggiornamento del malware. Si tratta anche di una categoria estremamente importante ed è consigliabile eseguirla. |
| Varie | Questa categoria riguarda le firme non trattate in altre categorie. |
| Malware per dispositivi mobili | Questa categoria è per le firme che indicano malware associato a sistemi operativi per dispositivi mobili e tablet come Google Android, Apple iOS e altri. Il malware rilevato ed è associato ai sistemi operativi mobili in genere verrà inserito in questa categoria anziché nelle categorie standard come Malware. |
| NETBIOS | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a NetBIOS. Questa categoria include anche regole che rilevano attività NetBIOS non dannose a scopo di registrazione. |
| P2P | Questa categoria è destinata alle firme per l'identificazione del traffico peer-to-peer (P2P) e degli attacchi contro di esso. Il traffico P2P identificato include torrenti, edonkey, Bitkey, Gnutella e Limewire tra gli altri. Il traffico P2P non è intrinsecamente dannoso, ma è spesso rilevante per le aziende. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| Phishing | Questa categoria è destinata alle firme che rilevano l'attività di phishing delle credenziali. Sono incluse le pagine di destinazione che visualizzano il phishing delle credenziali e l'invio riuscito delle credenziali nei siti di phishing delle credenziali. |
| Criteri | Questa categoria riguarda le firme che possono indicare violazioni ai criteri di un'organizzazione. Ciò può includere protocolli soggetti a abusi e altre transazioni a livello di applicazione, che possono essere di interesse. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questa impostazione personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| POP3 | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati al protocollo POP3.0 (Post Office Protocol 3.0). Questa categoria include anche regole che rilevano attività POP3 non dannose a scopo di registrazione. |
| RPC | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità relative a Remote Procedure Call (RPC). Questa categoria include anche regole che rilevano attività RPC non dannose a scopo di registrazione. |
| SCADA | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati al controllo di supervisione e all'acquisizione dei dati (SCADA). Questa categoria include anche regole che rilevano attività SCADA non dannose a scopo di registrazione. |
| SCAN | Questa categoria è destinata alle firme per rilevare l'esplorazione e il probe da strumenti come Nessus, Nikto e altri strumenti di analisi delle porte. Questa categoria può essere utile per rilevare le attività di violazione precoce e il movimento laterale post-infezione all'interno di un'organizzazione. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questa impostazione personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| Codice della shell | Questa categoria è destinata alle firme per il rilevamento del codice della shell remota. Il codice della shell remota viene usato quando un utente malintenzionato vuole indirizzare un processo vulnerabile in esecuzione in un altro computer in una rete locale o intranet. Se eseguito correttamente, il codice della shell può fornire all'utente malintenzionato l'accesso al computer di destinazione attraverso la rete. I codici della shell remota usano in genere connessioni socket TCP/IP standard per consentire all'utente malintenzionato di accedere alla shell nel computer di destinazione. Tale codice della shell può essere categorizzato in base alla modalità di configurazione di questa connessione: se il codice della shell può stabilire questa connessione, viene chiamato "shell inversa" o un codice della shell "connetti indietro" perché il codice della shell si connette di nuovo al computer dell'utente malintenzionato. |
| SMTP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a Simple Mail Transfer Protocol (SMTP). Questa categoria include anche regole che rilevano attività SMTP non dannose a scopo di registrazione. |
| SNMP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a Simple Network Management Protocol (SNMP). Questa categoria include anche regole che rilevano attività SNMP non dannose a scopo di registrazione. |
| SQL | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a Structured Query Language (SQL). Questa categoria include anche regole che rilevano attività SQL non dannose a scopo di registrazione. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questa impostazione personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| TELNET | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a TELNET. Questa categoria include anche regole che rilevano attività TELNET non dannose a scopo di registrazione. |
| TFTP | Questa categoria riguarda le firme correlate ad attacchi, exploit e vulnerabilità associati a Trivial File Transport Protocol (TFTP). Questa categoria include anche regole che rilevano attività TFTP non dannose a scopo di registrazione. |
| TOR | Questa categoria è destinata alle firme per l'identificazione del traffico da e verso i nodi di uscita TOR in base all'indirizzo IP. Nota: tutte le firme di questa categoria sono definite come "Solo avvisi", pertanto per impostazione predefinita, il traffico corrispondente a queste firme non verrà bloccato anche se la modalità IDPS è impostata su "Avviso e Nega". I clienti possono eseguire l'override di questo comportamento personalizzando queste firme specifiche in modalità "Avviso e Nega". |
| Agenti utente | Questa categoria consente alle firme di rilevare agenti utente sospetti e anomali. Gli agenti utente dannosi noti vengono inseriti nella categoria Malware. |
| VOIP | Questa categoria è destinata alle firme per gli attacchi e le vulnerabilità associate a Voice over IP (VOIP), tra cui SIP, H.323 e RTP. |
| Client Web | Questa categoria è destinata alle firme per attacchi e vulnerabilità associati a client Web, ad esempio Web browser e anche applicazioni lato client come CURL, WGET e altri. |
| Server Web | Questa categoria è destinata alle firme per rilevare attacchi contro l'infrastruttura server Web, ad esempio APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) e altri software server Web. |
| App specifiche del Web | Questa categoria è destinata alle firme per rilevare attacchi e vulnerabilità in applicazioni Web specifiche. |
| WORM | Questa categoria è destinata alle firme per rilevare attività dannose che tentano automaticamente di propagarsi su Internet o all'interno di una rete sfruttando una vulnerabilità vengono classificate come categoria WORM. Anche se l'exploit effettivo stesso verrà in genere identificato nella categoria exploit o protocollo specificato, un'altra voce in questa categoria può essere effettuata se il malware effettivo che si impegna nella propagazione simile a worm può essere identificato anche. |
Passaggi successivi
- Per altre informazioni sulle funzionalità Firewall di Azure Premium, vedere Firewall di Azure Funzionalità Premium.