Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour la couche réseau Azure à partir de Microsoft Defender pour cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Note
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Note
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes de couche réseau Azure
Informations complémentaires et notes
Communication réseau avec une machine malveillante détectée
(Network_CommunicationWithC2)
Description : l’analyse du trafic réseau indique que votre ordinateur (IP %{ADRESSE IP de victime}) a communiqué avec ce qui est possiblement un centre de commande et de contrôle. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont communiqué avec ce qui est peut-être un centre de commandes et de contrôles.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Ordinateur compromis possible détecté
(Network_ResourceIpIndicatedAsMalicious)
Description : Le renseignement sur les menaces indique que votre ordinateur (à l’adresse IP %{ADRESSE IP}) a peut-être été compromis par un programme malveillant de type Conficker. Conficker était un ver d’ordinateur qui cible le système d’exploitation Microsoft Windows et a été détecté pour la première fois en novembre 2008. Conficker a infecté des millions d’ordinateurs, y compris les ordinateurs gouvernementaux, professionnels et domestiques dans plus de 200 pays/régions, ce qui en fait la plus grande infection de ver d’ordinateur connu depuis le ver Welchia 2003.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Tentatives de force brute de %{Nom du service} possibles détectées
(Generic_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté les communications entrantes %{Nom du service} vers %{ADRESSE IP de la victime}, associée à votre ressource %{Hôte compromis} à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Port victime}. Cette activité est cohérente avec les tentatives de force brute sur %serveurs {Nom du service}.
Tactiques MITRE : PreAttack
Gravité : Information
Tentatives de force brute SQL entrantes possibles détectées
(SQL_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté la communication SQL entrante vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Numéro de port} (%{Type de service SQL}). Cette activité est cohérente avec les tentatives de force brute sur les serveurs SQL.
Tactiques MITRE : PreAttack
Gravité : moyenne
Détection d’une attaque par déni de service sortant possible
(DDOS)
Description : l’analyse du trafic réseau a détecté une activité sortante anormale provenant de %{Hôte compromis}, une ressource dans votre déploiement. Cette activité peut indiquer que votre ressource a été compromise et est désormais engagée dans des attaques par déni de service contre des points de terminaison externes. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont été compromises. En fonction du volume de connexions, nous pensons que les adresses IP suivantes sont probablement les cibles de l’attaque DOS : %{Victimes possibles}. Notez qu’il est possible que la communication à certaines de ces adresses IP soit légitime.
Tactiques MITRE : Impact
Gravité : moyenne
Activité réseau RDP entrante suspecte à partir de plusieurs sources
(RDP_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, provenant de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre d’adresses IP uniques attaques} qui se connectent à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP à partir de plusieurs hôtes (Botnet).
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau RDP entrante suspecte
(RDP_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP malveillante}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre de connexions} entrantes à votre ressource, qui est considérée comme anormale pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau SSH entrante suspecte à partir de plusieurs sources
(SSH_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre d’adresses IP uniques attaques} qui se connectent à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH à partir de plusieurs hôtes (Botnet)
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau SSH entrante suspecte
(SSH_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect a été transféré vers une ou plusieurs ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre de connexions} entrantes à votre ressource, qui est considérée comme anormale pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH
Tactiques MITRE : PreAttack
Gravité : moyenne
Trafic sortant suspect %{Protocole attaqué} détecté
(PortScanning)
Description : l’analyse du trafic réseau a détecté le trafic sortant suspect de %{Hôte compromis} vers le port de destination %{Port le plus courant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Ce comportement peut indiquer que votre ressource participe à %tentatives de force brute {Attacked Protocol} ou aux attaques par balayage de port.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau RDP sortant suspecte vers plusieurs destinations
(RDP_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnée montrent que votre machine se connecte à %{Nombre d’adresses IP attaquées} uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner l’indicateur de votre adresse IP comme malveillante par des entités externes.
Tactiques MITRE : Découverte
Gravité : élevée
Activité réseau RDP sortante suspecte
(RDP_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale à %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{ADRESSE IP malveillante}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre de connexions} sortantes à partir de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ordinateur a été compromis et est maintenant utilisé pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner l’indicateur de votre adresse IP comme malveillante par des entités externes.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Activité réseau SSH sortante suspecte vers plusieurs destinations
(SSH_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP malveillante}), ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnée montrent votre ressource se connectant à %{Nombre d’adresses IP attaquées} uniques, qui est considérée comme anormale pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner l’indicateur de votre adresse IP comme malveillante par des entités externes.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau SSH sortante suspecte
(SSH_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{Adresse IP malveillante}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonées indiquent %{Nombre de connexions} sortantes à partir de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner l’indicateur de votre adresse IP comme malveillante par des entités externes.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Trafic détecté à partir d’adresses IP recommandées pour le blocage
(Network_TrafficFromUnrecommendedIP)
Description : Microsoft Defender pour Cloud a détecté le trafic entrant à partir d’adresses IP qui sont recommandées pour être bloquées. Cela se produit généralement lorsque cette adresse IP ne communique pas régulièrement avec cette ressource. L’adresse IP a également été signalée comme malveillante par les sources de renseignement sur les menaces de Defender pour cloud.
Tactiques MITRE : détection
Gravité : Information
Note
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.