DNS에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender DNS에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
DNS에 대한 경고
Important
2023년 8월 1일부터 DNS용 Defender에 대한 기존 구독이 있는 고객은 계속해서 서비스를 사용할 수 있지만, 신규 구독자는 서버용 Defender P2의 일부로 의심스러운 DNS 작업에 대한 경고를 받게 됩니다.
비정상적인 네트워크 프로토콜 사용
(AzureDNS_ProtocolAnomaly)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 후 비정상적인 프로토콜 사용량이 검색되었습니다. 이러한 트래픽은 무해할 수 있지만 네트워크 트래픽 필터링을 우회하기 위해 이 일반적인 프로토콜을 남용했음을 나타낼 수 있습니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다.
MITRE 전술: 반출
심각도: -
익명 네트워크 활동
(AzureDNS_DarkWeb)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 익명 네트워크 활동이 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 통신의 추적 및 지문을 회피하기 위해 자주 사용됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
웹 프록시를 사용하는 익명 네트워크 활동
(AzureDNS_DarkWebProxy)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 익명 네트워크 활동이 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 통신의 추적 및 지문을 회피하기 위해 자주 사용됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
의심스러운 싱크홀 도메인과의 통신 시도
(AzureDNS_SinkholedDomain)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석하여 싱크홀된 도메인에 대한 요청을 검색했습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 보통
피싱 가능성이 있는 도메인과 통신
(AzureDNS_PhishingDomain)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 가능한 피싱 도메인에 대한 요청이 검색되었습니다. 이러한 활동은 무해할 수 있지만 공격자가 원격 서비스에 자격 증명을 수집하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 합법적인 서비스에 대한 자격 증명 악용이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 정보 제공
의심스러운 알고리즘으로 생성된 도메인과의 통신
(AzureDNS_DomainGenerationAlgorithm)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 도메인 생성 알고리즘의 사용 가능성을 감지했습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 정보 제공
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
설명: 리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다.
MITRE 전술: 초기 액세스
심각도: 보통
의심스러운 임의 도메인 이름과 통신
(AzureDNS_RandomizedDomain)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과, 임의로 생성된 의심스러운 도메인 이름의 사용량이 감지되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 정보 제공
디지털 통화 마이닝 활동
(AzureDNS_CurrencyMining)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 디지털 통화 마이닝 작업이 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
네트워크 침입 감지 서명 활성화
(AzureDNS_SuspiciousDomain)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 알려진 악성 네트워크 서명이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 보통
DNS 터널을 통해 가능한 데이터 다운로드
(AzureDNS_DataInfiltration)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
DNS 터널을 통해 가능한 데이터 반출
(AzureDNS_DataExfiltration)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
DNS 터널을 통한 데이터 전송 가능
(AzureDNS_DataObfuscation)
설명: %{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
MITRE 전술: 반출
심각도: 낮음
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.