Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran las alertas de seguridad que puede obtener para la capa de red de Azure de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota:
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de capa de red de Azure
Comunicación de red con una máquina malintencionada detectada
(Network_CommunicationWithC2)
Descripción: el análisis del tráfico de red indica que la máquina (IP %{IP víctima}) se ha comunicado con lo que posiblemente es un centro de comandos y control. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o la puerta de enlace de aplicaciones) se han comunicado con lo que posiblemente es un centro de comandos y control.
Tácticas de MITRE: Comando y control
Gravedad: media
Posible máquina en peligro detectada
(Network_ResourceIpIndicatedAsMalicious)
Descripción: la inteligencia sobre amenazas indica que la máquina (en ip %{IP de máquina}) podría haber estado en peligro por un malware de tipo Conficker. Conficker era un gusano informático destinado al sistema operativo Microsoft Windows y se detectó por primera vez en noviembre de 2008. Conficker infectó millones de equipos, incluyendo equipos gubernamentales, empresariales y domésticos en más de 200 países o regiones, lo que lo convierte en la infección más grande conocida del gusano de los ordenadores desde el gusano Welchia de 2003.
Tácticas de MITRE: Comando y control
Gravedad: media
Se detectaron posibles intentos de fuerza bruta %{Nombre del servicio}
(Generic_Incoming_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó la comunicación entrante %{Nombre del servicio} a %{IP de víctima}, asociada al recurso %{Host en peligro} de %{IP del atacante}. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran actividad sospechosa entre %{Hora de inicio} y %{Hora de finalización} en el puerto %{Puerto víctima}. Esta actividad es coherente con los intentos de fuerza bruta contra los servidores de %{Nombre de servicio}.
Tácticas de MITRE: PreAttack
Gravedad: informativo
Se detectaron posibles intentos de fuerza bruta de SQL entrantes
(SQL_Incoming_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó la comunicación entrante de SQL con %{IP de víctima}, asociado al recurso %{Host en peligro}, desde %{IP del atacante}. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran actividad sospechosa entre %{Hora de inicio} y %{Hora de finalización} en el puerto %{Número de puerto} (%{Tipo de servicio SQL}). Esta actividad es coherente con los intentos de fuerza bruta en los servidores SQL Server.
Tácticas de MITRE: PreAttack
Gravedad: media
Se detectó un posible ataque de denegación de servicio saliente
(DDOS)
Descripción: el análisis del tráfico de red detectó una actividad saliente anómala que se originó en %{Compromised Host}, un recurso de la implementación. Esta actividad podría indicar que el recurso estaba en peligro y ahora está implicado en ataques por denegación de servicio contra puntos de conexión externos. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o la puerta de enlace de aplicaciones) se han visto comprometidos. En función del volumen de conexiones, creemos que las direcciones IP siguientes son posiblemente los objetivos del ataque dos: %{Posibles víctimas}. Tenga en cuenta que es posible que la comunicación con algunas de estas direcciones IP sea legítima.
Tácticas de MITRE: Impacto
Gravedad: media
Actividad de red RDP entrante sospechosa de varios orígenes
(RDP_Incoming_BF_ManyToOne)
Descripción: el análisis de tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{IP de víctima}, asociada al recurso %{Host en peligro}, desde varios orígenes. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de direcciones IP únicas de ataque} que se conectan al recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP desde varios hosts (Botnet).
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red RDP entrante sospechosa
(RDP_Incoming_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{IP de víctima}, asociada al recurso %{Host en peligro}, desde %{IP del atacante}. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de conexiones} conexiones entrantes al recurso, que se considera anómala para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP.
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red SSH entrante sospechosa de varios orígenes
(SSH_Incoming_BF_ManyToOne)
Descripción: el análisis de tráfico de red detectó una comunicación SSH entrante anómala a %{DIRECCIÓN IP de víctima}, asociada al recurso %{Host en peligro}, desde varios orígenes. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de direcciones IP únicas de ataque} que se conectan al recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH desde varios hosts (Botnet)
Tácticas de MITRE: PreAttack
Gravedad: media
Actividad de red SSH entrante sospechosa
(SSH_Incoming_BF_OneToOne)
Descripción: el análisis de tráfico de red detectó una comunicación SSH entrante anómala a %{IP de víctima}, asociada con el recurso %{Host en peligro}, desde %{IP del atacante}. Cuando el recurso en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, el tráfico entrante sospechoso se reenvía a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de conexiones} conexiones entrantes al recurso, que se considera anómala para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH.
Tácticas de MITRE: PreAttack
Gravedad: media
Se detectó un tráfico de %saliente sospechoso {Protocolo atacado}
(PortScanning)
Descripción: el análisis del tráfico de red detectó tráfico saliente sospechoso de %{Host en peligro} al puerto de destino %{Puerto más común}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Este comportamiento podría indicar que el recurso participa en %{Protocolo atacado} intentos de fuerza bruta o ataques de barrido de puertos.
Tácticas de MITRE: Detección
Gravedad: media
Actividad de red RDP saliente sospechosa en varios destinos
(RDP_Outgoing_BF_OneToMany)
Descripción: el análisis del tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a varios destinos que se originan en %{Host en peligro} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran la máquina que se conecta a %{Número de direcciones IP únicas expuestas a ataques}, que se considera anómala para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para los puntos de conexión de RDP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad podría provocar que la dirección IP se marque como malintencionada por entidades externas.
Tácticas de MITRE: Detección
Gravedad: alta
Actividad de red RDP saliente sospechosa
(RDP_Outgoing_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a %{IP víctima} que se originó en %{Host en peligro} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de conexiones} conexiones salientes del recurso, que se considera anómala para este entorno. Esta actividad podría indicar que la máquina estaba en peligro y ahora se usa para los puntos de conexión rdP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad podría provocar que la dirección IP se marque como malintencionada por entidades externas.
Tácticas de MITRE: Movimiento lateral
Gravedad: alta
Actividad de red SSH saliente sospechosa a varios destinos
(SSH_Outgoing_BF_OneToMany)
Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a varios destinos que se originan en %{Host en peligro} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran el recurso que se conecta a %{Número de direcciones IP únicas expuestas a ataques}, que se considera anómala para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad podría provocar que la dirección IP se marque como malintencionada por entidades externas.
Tácticas de MITRE: Detección
Gravedad: media
Actividad de red SSH saliente sospechosa
(SSH_Outgoing_BF_OneToOne)
Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a %{Victim IP} que se originó en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red muestreados muestran %{Número de conexiones} conexiones salientes del recurso, que se considera anómala para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad podría provocar que la dirección IP se marque como malintencionada por entidades externas.
Tácticas de MITRE: Movimiento lateral
Gravedad: media
Tráfico detectado desde direcciones IP recomendadas para el bloqueo
(Network_TrafficFromUnrecommendedIP)
Descripción: Microsoft Defender for Cloud detectó tráfico entrante de direcciones IP que se recomienda bloquear. Esto suele ocurrir cuando esta dirección IP no se comunica regularmente con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada por los orígenes de inteligencia sobre amenazas de Defender for Cloud.
Tácticas de MITRE: sondeo
Gravedad: informativo
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.