この記事では、Microsoft Defender for Cloud から Azure ネットワーク レイヤーに対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
注
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Azure ネットワーク層のアラート
悪意のあるマシンとのネットワーク通信が検出されました
(Network_CommunicationWithC2)
説明: ネットワーク トラフィック分析は、マシン (IP %{Victim IP}) がコマンド アンド コントロール センターである可能性のあるものと通信したことを示します。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしいアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが、コマンド アンド コントロール センターである可能性のあるリソースと通信したことを示している可能性があります。
MITRE の戦術: コマンドとコントロール
重大度: 中
侵害された可能性のあるマシンが検出されました
(Network_ResourceIpIndicatedAsMalicious)
説明: 脅威インテリジェンスは、コンピューター (IP %{Machine IP}) が Conficker 型のマルウェアによって侵害された可能性があることを示します。 Conficker は、Microsoft Windows オペレーティング システムを対象とするコンピューター ワームであり、2008 年 11 月に最初に検出されました。 Confickerは、200以上の国/地域で政府、ビジネス、ホームコンピュータを含む何百万台ものコンピュータに感染し、2003年のウェルキアワーム以来最大の既知のコンピュータワーム感染となりました。
MITRE の戦術: コマンドとコントロール
重大度: 中
{サービス名} のブルート フォース試行が検出された可能性のある受信 %
(Generic_Incoming_BF_OneToOne)
説明: ネットワーク トラフィック分析により、{Attacker IP} から {Compromised Host} %リソースに関連付けられた{Victim IP}%への {サービス名} 通信 %%受信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データは、ポート %{Victim Port} の %{Start Time} と %{End Time} の間の疑わしいアクティビティを示します。 このアクティビティは、{サービス名} サーバーに対するブルート フォース試行 %一貫しています。
MITRE 戦術: プレアタッチ
重大度: 情報
受信 SQL ブルート フォース試行の可能性が検出されました
(SQL_Incoming_BF_OneToOne)
説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への受信 SQL 通信が、%{Attacker IP} から検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データは、ポート %{Port Number} (%{SQL サービスの種類}) で、%{Start Time} と %{End Time} の間の疑わしいアクティビティを示します。 このアクティビティは、SQL サーバーに対するブルート フォース試行と一致します。
MITRE 戦術: プレアタッチ
重大度: 中
サービス拒否攻撃の可能性が検出されました
(DDOS)
説明: ネットワーク トラフィック分析で、デプロイ内のリソースである %{Compromised Host} から発生した異常な送信アクティビティが検出されました。 このアクティビティは、リソースが侵害され、現在、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしいアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが侵害されたことを示している可能性があります。 接続の量に基づいて、DOS 攻撃のターゲットである可能性のある IP は、{潜在的な被害者 %であると考えています。 これらの IP の一部への通信が正当である可能性があることに注意してください。
MITRE 戦術: 影響
重大度: 中
複数のソースからの疑わしい受信 RDP ネットワーク アクティビティ
(RDP_Incoming_BF_ManyToOne)
説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられた、%{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が複数のソースから検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データには、リソースに接続している一意の IP %{Number of Attacking IP} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、複数のホスト (Botnet) から RDP エンドポイントをブルート フォースする試みを示している可能性があります。
MITRE 戦術: プレアタッチ
重大度: 中
疑わしい受信 RDP ネットワーク アクティビティ
(RDP_Incoming_BF_OneToOne)
説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が、%{Attacker IP} から検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データには、リソースへの受信接続 %{Number of Connections} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、RDP エンドポイントをブルート フォースする試みを示している可能性があります
MITRE 戦術: プレアタッチ
重大度: 中
複数のソースからの疑わしい受信 SSH ネットワーク アクティビティ
(SSH_Incoming_BF_ManyToOne)
説明: ネットワーク トラフィック分析により、複数のソースから、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データには、リソースに接続している一意の IP %{Number of Attacking IP} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、複数のホスト (Botnet) からの SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります
MITRE 戦術: プレアタッチ
重大度: 中
疑わしい受信 SSH ネットワーク アクティビティ
(SSH_Incoming_BF_OneToOne)
説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信 SSH 通信が、%{Attacker IP} から検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックがバックエンド プール (ロード バランサーまたはアプリケーション ゲートウェイの) 内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データには、リソースへの受信接続 %{Number of Connections} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります
MITRE 戦術: プレアタッチ
重大度: 中
疑わしい送信 %{攻撃されたプロトコル} トラフィックが検出されました
(PortScanning)
説明: ネットワーク トラフィック分析で、%{Compromised Host} から宛先ポート %{Most Common Port} への疑わしい送信トラフィックが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作は、リソースが {Attacked Protocol} ブルート フォース攻撃またはポート スイープ攻撃 %に参加していることを示している可能性があります。
MITRE の戦術: 検出
重大度: 中
複数の宛先への疑わしい送信 RDP ネットワーク アクティビティ
(RDP_Outgoing_BF_OneToMany)
説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データは、%{Number of Attacked IP} 固有 IP に接続しているマシンを示しています。これは、この環境では異常と見なされます。 このアクティビティは、リソースが侵害され、外部 RDP エンドポイントのブルート フォースに使用されたことを示している可能性があります。 この種類のアクティビティにより、IP が外部エンティティによって悪意のあるものとしてフラグ付けされる可能性があることに注意してください。
MITRE の戦術: 検出
重大度: 高
疑わしい送信 RDP ネットワーク アクティビティ
(RDP_Outgoing_BF_OneToOne)
説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から送信された %{Victim IP} への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データには、リソースからの送信接続 %{Number of Connections} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、コンピューターが侵害され、現在は外部 RDP エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種類のアクティビティにより、IP が外部エンティティによって悪意のあるものとしてフラグ付けされる可能性があることに注意してください。
MITRE 戦術: 横移動
重大度: 高
複数の宛先への疑わしい送信 SSH ネットワーク アクティビティ
(SSH_Outgoing_BF_OneToMany)
説明: ネットワーク トラフィック分析により、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データは、%{Number of Attacked IP} 固有 IP に接続しているリソースを示しています。これは、この環境では異常と見なされます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種類のアクティビティにより、IP が外部エンティティによって悪意のあるものとしてフラグ付けされる可能性があることに注意してください。
MITRE の戦術: 検出
重大度: 中
疑わしい送信 SSH ネットワーク アクティビティ
(SSH_Outgoing_BF_OneToOne)
説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から送信された %{Victim IP} への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データには、リソースからの送信接続 %{Number of Connections} が表示されます。これは、この環境では異常と見なされます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種類のアクティビティにより、IP が外部エンティティによって悪意のあるものとしてフラグ付けされる可能性があることに注意してください。
MITRE 戦術: 横移動
重大度: 中
ブロックに推奨される IP アドレスから検出されたトラフィック
(Network_TrafficFromUnrecommendedIP)
説明: Microsoft Defender for Cloud で、ブロックすることをお勧めする IP アドレスからの受信トラフィックが検出されました。 これは通常、この IP アドレスがこのリソースと定期的に通信しない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、IP アドレスに悪意のあるフラグが設定されています。
MITRE の戦術: プローブ
重大度: 情報
注
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。