共用方式為


DNS 的警示

本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 DNS 的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。

注意

Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

DNS 的警示

重要

自 2023 年 8 月 1 日起,具有適用於 DNS 的 Defender 現有訂用帳戶的客戶可以繼續使用該服務,但新的訂閱者會收到有關可疑 DNS 活動的警示,作為適用於伺服器的 Defender P2 的一部分。

異常網路協定使用方式

(AzureDNS_ProtocolAnomaly)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到異常通訊協定使用狀況。 這類流量雖然可能為良性,但可能表示濫用此常見通訊協定以略過網路流量篩選。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。

MITRE 策略:外洩

嚴重性: -

匿名網路活動

(AzureDNS_DarkWeb)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到匿名網路活動。 這類活動雖然可能是合法的用戶行為,但攻擊者經常使用來逃避網路通訊的追蹤和指紋。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:低

使用 Web Proxy 的匿名網路活動

(AzureDNS_DarkWebProxy)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到匿名網路活動。 這類活動雖然可能是合法的用戶行為,但攻擊者經常使用來逃避網路通訊的追蹤和指紋。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:低

嘗試與可疑的 sinkholed 網域進行通訊

(AzureDNS_SinkholedDomain)

描述:從 %{CompromisedEntity} 偵測到接收網域要求的 DNS 交易分析。 這類活動雖然可能是合法的用戶行為,但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:中

與可能的網路釣魚網域通訊

(AzureDNS_PhishingDomain)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能網路釣魚網域的要求。 攻擊者通常會執行這類活動,以收集遠端服務的認證,雖然可能是良性活動。 一般相關的攻擊者活動可能會包含合法服務上任何認證的惡意探索。

MITRE 策略:外洩

嚴重性:資訊

與可疑演算法產生的網域通訊

(AzureDNS_DomainGenerationAlgorithm)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到網域產生演算法的可能用法。 攻擊者通常會執行這類活動,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:資訊

與威脅情報所識別可疑網域的通訊

(AzureDNS_ThreatIntelSuspectDomain)

描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。

MITRE 策略:初始存取

嚴重性:中

與可疑隨機功能變數名稱通訊

(AzureDNS_RandomizedDomain)

描述:從 %{CompromisedEntity} 分析 DNS 交易時,偵測到使用可疑隨機產生的域名。 攻擊者通常會執行這類活動,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:資訊

數字資產採礦活動

(AzureDNS_CurrencyMining)

描述:從 %{CompromisedEntity} 偵測到的 DNS 交易分析偵測到的數位資產採礦活動。 這類活動雖然可能是合法的用戶行為,但攻擊者通常會在資源遭到入侵後執行。 一般相關的攻擊者活動可能會包含下載和執行常見的採礦工具。

MITRE 策略:外洩

嚴重性:低

網路入侵檢測簽章啟用

(AzureDNS_SuspiciousDomain)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到已知的惡意網路簽章。 這類活動雖然可能是合法的用戶行為,但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:中

可能透過 DNS 通道下載數據

(AzureDNS_DataInfiltration)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:低

可能透過 DNS 通道外洩數據

(AzureDNS_DataExfiltration)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:低

透過 DNS 通道的可能資料傳輸

(AzureDNS_DataObfuscation)

描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。

MITRE 策略:外洩

嚴重性:低

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步