共用方式為

Azure 網路層的警示

  • 發行項

本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 Azure 網路層的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。

注意

一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

Azure 網路層警示

進一步的詳細數據和附註

偵測到與惡意計算機的網路通訊

(Network_CommunicationWithC2)

描述:網路流量分析指出您的計算機(IP %{Victim IP}) 已與命令和控制中心通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的活動可能表示後端集區(負載平衡器或應用程式閘道)中的一或多個資源已與命令和控制中心通訊。

MITRE 策略:命令和控制

嚴重性:中

偵測到可能遭入侵的電腦

(Network_ResourceIpIndicatedAsMalicious)

描述:威脅情報指出您的計算機(在IP %{計算機IP})可能遭到 Conficker 類型的惡意代碼入侵。 Conficker 是一種以 windows 操作系統Microsoft為目標的電腦蠕蟲,於 2008 年 11 月首次偵測到。 康菲克感染了數百萬部計算機,包括政府、商業和家庭計算機在內的200多個國家/地區,使其成為自2003年以來最大的已知計算機蠕蟲感染。

MITRE 策略:命令和控制

嚴重性:中

偵測到可能的傳入 %{服務名稱} 暴力密碼破解嘗試

(Generic_Incoming_BF_OneToOne)

描述:網路流量分析偵測到來自 %{Attacker IP} 的資源 %{Compromised Host} 與 %{Victim IP} 的連入 %{Victim IP} 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示埠 %{Victim Port} 上 %{Start Time} 與 %{End Time} 之間的可疑活動。 此活動與針對 %{Service Name} 伺服器的暴力密碼破解嘗試一致。

MITRE 策略:P reAttack

嚴重性:資訊

偵測到可能的傳入 SQL 暴力密碼破解嘗試

(SQL_Incoming_BF_OneToOne)

描述:網路流量分析偵測到從 %{Attacker IP} 與資源 %{Compromised Host}相關聯的 %{Victim IP}連入 SQL 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示埠 %{Port Number} (%{SQL Service Type}) 上 %{Start Time} 與 %{End Time} 之間的可疑活動。 此活動與針對 SQL Server 的暴力密碼破解嘗試一致。

MITRE 策略:P reAttack

嚴重性:中

偵測到可能的連出阻斷服務攻擊

(DDOS)

描述:網路流量分析偵測到來自部署中資源 %{Compromised Host}的異常連出活動。 此活動可能表示您的資源遭到入侵,且現在正針對外部端點進行阻斷服務攻擊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的活動可能表示後端集區(負載平衡器或應用程式閘道)中的一或多個資源遭到入侵。 根據連線量,我們相信下列IP可能是 DOS 攻擊的目標: %{Possible Victims}。 請注意,與其中一些IP的通訊可能是合法的。

MITRE 策略:影響

嚴重性:中

來自多個來源的可疑連入 RDP 網路活動

(RDP_Incoming_BF_ManyToOne)

描述:網路流量分析偵測到來自多個來源與資源 %{Compromised Host}相關聯的 %{Victim IP}的異常連入遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{攻擊IP數目} 連線到您資源的唯一IP,這在此環境中被視為異常。 此活動可能表示嘗試從多部主機 (Botnet) 暴力密碼破解 RDP 端點。

MITRE 策略:P reAttack

嚴重性:中

可疑的連入 RDP 網路活動

(RDP_Incoming_BF_OneToOne)

描述:網路流量分析偵測到來自 %{Attacker IP} 的資源 %{Compromised Host}與 %{Victim IP}相關聯的異常連入遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體來說,取樣的網路數據會顯示 %{連線數目}連入至您資源的連線,這在此環境中被視為異常。 此活動可能表示嘗試暴力密碼破解 RDP 端點

MITRE 策略:P reAttack

嚴重性:中

來自多個來源的可疑連入 SSH 網路活動

(SSH_Incoming_BF_ManyToOne)

描述:網路流量分析偵測到來自多個來源的 %{Victim IP}與資源 %{Compromised Host}相關聯的異常連入 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{攻擊IP數目} 連線到您資源的唯一IP,這在此環境中被視為異常。 此活動可能表示嘗試從多部主機強制執行 SSH 端點 (Botnet)

MITRE 策略:P reAttack

嚴重性:中

可疑的連入 SSH 網路活動

(SSH_Incoming_BF_OneToOne)

描述:網路流量分析偵測到 %{Victim IP}與資源 %{Compromised Host}相關聯的異常連入 SSH 通訊,來自 %{Attacker IP}。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體來說,取樣的網路數據會顯示 %{連線數目}連入至您資源的連線,這在此環境中被視為異常。 此活動可能表示嘗試對您的 SSH 端點進行暴力密碼破解

MITRE 策略:P reAttack

嚴重性:中

偵測到可疑的傳出 %{攻擊通訊協定} 流量

(PortScanning)

描述:網路流量分析偵測到從 %{Compromised Host} 到目的地埠 %{最常見的埠}的可疑連出流量。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 此行為可能表示您的資源正在參與 %{攻擊通訊協定} 暴力密碼破解嘗試或埠掃掠攻擊。

MITRE 策略:探索

嚴重性:中

多個目的地的可疑連出 RDP 網路活動

(RDP_Outgoing_BF_OneToMany)

描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} (%{Attacker IP}) 的多個目的地的異常連出遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體來說,取樣的網路數據會顯示連線到 %{攻擊IP數目} 的唯一IP的電腦,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 RDP 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。

MITRE 策略:探索

嚴重性:高

可疑的連出 RDP 網路活動

(RDP_Outgoing_BF_OneToOne)

描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} 的 %{Victim IP} 的異常連出遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體而言,取樣的網路數據會顯示來自您資源的 %{Connections 數目}連出連線,這在此環境中被視為異常。 此活動可能表示您的電腦遭到入侵,且現在用來暴力破解外部 RDP 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。

MITRE 策略:橫向移動

嚴重性:高

對多個目的地的可疑連出SSH網路活動

(SSH_Outgoing_BF_OneToMany)

描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} (%{Attacker IP}) 的多個目的地異常連出 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體來說,取樣的網路數據會顯示連線到 %{攻擊IP數目} 的唯一IP的資源,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 SSH 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。

MITRE 策略:探索

嚴重性:中

可疑的連出SSH網路活動

(SSH_Outgoing_BF_OneToOne)

描述:網路流量分析偵測到來自部署中資源 %{Compromised Host} 的 %{Victim IP} 異常連出 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體而言,取樣的網路數據會顯示來自您資源的 %{Connections 數目}連出連線,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 SSH 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。

MITRE 策略:橫向移動

嚴重性:中

(Network_TrafficFromUnrecommendedIP)

描述:適用於雲端的 Microsoft Defender 偵測到來自建議封鎖IP位址的輸入流量。 此 IP 位址不會定期與此資源通訊時,通常會發生這種情況。 或者,#DE274A306340E44C78C7B0E09A9C9C9D9 的威脅情報來源已將IP位址標示為惡意。

MITRE 策略:探查

嚴重性:資訊

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步