Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcje IDPS usługi Azure Firewall powyżej 50 kategorii, które można przypisać do poszczególnych podpisów. Poniższa tabela zawiera listę definicji dla każdej kategorii.
Zastępowanie zachowania i ograniczeń
Możesz zastąpić akcję dla większości podpisów IDPS do wył., alertu lub odmowy. Niektóre podpisy są przeznaczone do ustawiania kontekstu dla kolejnych wykryć (na przykład przy użyciu bitów przepływu), dzięki czemu późniejsze podpisy w kolejce mogą wybierać tylko alerty. Jeśli wymusisz użycie tych podpisów kontekstowych na Odmów, pakiety mogą zostać porzucone bez generowania odpowiedniego alertu.
Uwaga / Notatka
Aby zapobiec pomijaniu dyskretnych i zachowywaniu zamierzonej logiki wykrywania, usługa Azure Firewall uniemożliwia zastępowanie małego zestawu podpisów ustawień kontekstu. W przypadku tych podpisów akcja jest stała i nie można jej zmienić.
Kategorie
| Kategoria | opis |
|---|---|
| 3CORESec | Ta kategoria dotyczy podpisów generowanych automatycznie z list bloków adresów IP zespołu 3CORESec. Te listy zablokowanych są generowane przez protokół 3CORESec na podstawie złośliwego działania ze swoich obiektów Honeypot. |
| ActiveX | Ta kategoria jest przeznaczona dla podpisów, które chronią przed atakami na kontrolki Microsoft ActiveX i wykorzystują luki w zabezpieczeniach kontrolek ActiveX. |
| Adware-PUP | Ta kategoria służy do identyfikowania oprogramowania używanego do śledzenia reklam lub innych typów działań związanych z programami szpiegującymi. |
| Odpowiedź na atak | Ta kategoria jest przeznaczony dla podpisów w celu zidentyfikowania odpowiedzi wskazujących na włamanie — przykłady obejmują pobieranie plików LMHost, obecność niektórych banerów internetowych i wykrywanie metasploit meterpreter kill polecenia. Te podpisy są przeznaczone do przechwytywania wyników udanego ataku. Elementy takie jak ID=root lub komunikaty o błędach wskazujące na naruszenie zabezpieczeń. |
| Botcc (polecenie i kontrola bota) | Ta kategoria dotyczy podpisów, które są generowane automatycznie z kilku źródeł znanych i potwierdzonych aktywnych botnetów oraz innych hostów poleceń i kontroli (C2). Ta kategoria jest aktualizowana codziennie. Podstawowym źródłem danych kategorii jest Shadowserver.org. |
| Pogrupowany port Botcc | Ta kategoria dotyczy podpisów, takich jak te w kategorii Botcc, ale pogrupowana według portu docelowego. Reguły pogrupowane według portów mogą oferować większą wierność niż reguły, które nie są pogrupowane według portu. |
| Czat | Ta kategoria dotyczy podpisów identyfikujących ruch związany z wieloma klientami rozmów, takimi jak IRC (IRC). Ruch na czacie może wskazywać na możliwe zaewidencjonowania przez aktorów zagrożeń. |
| CIArmy | Ta kategoria dotyczy podpisów generowanych przy użyciu reguł adresów IP analizy zbiorowej do blokowania. |
| Górnictwo monet | Ta kategoria dotyczy podpisów z regułami, które wykrywają złośliwe oprogramowanie, które wykonuje wyszukiwanie monet. Podpisy te mogą również wykryć pewne uzasadnione (choć często niepożądane) oprogramowanie do górnictwa monet. |
| Zagrożone | Ta kategoria dotyczy podpisów na podstawie listy znanych hostów, których bezpieczeństwo zostało naruszone. Ta lista jest potwierdzana i aktualizowana codziennie. Podpisy w tej kategorii mogą się różnić od jednej do kilkuset reguł w zależności od źródeł danych. Źródła danych dla tej kategorii pochodzą z kilku prywatnych, ale wysoce niezawodnych źródeł danych. |
| Bieżące zdarzenia | Ta kategoria dotyczy podpisów z regułami opracowanymi w odpowiedzi na aktywne i krótkotrwałe kampanie oraz elementy o wysokim profilu, które mają być tymczasowe. Jednym z przykładów są kampanie oszustw związane z katastrofami. Reguły w tej kategorii nie mają być przechowywane w zestawie reguł przez długi czas lub muszą być dalej testowane przed ich rozważeniem w celu włączenia. Najczęściej są to proste podpisy dla adresu URL binarnego storm dnia, podpisy do przechwytywania identyfikatorów CLSID nowo znalezionych wrażliwych aplikacji, w których nie mamy żadnych szczegółów na temat wykorzystania itd. |
| DNS (usługa nazw domen) | Ta kategoria dotyczy podpisów z regułami ataków i luk w zabezpieczeniach dotyczących systemu DNS. Ta kategoria jest również używana w przypadku reguł związanych z nadużyciami systemu DNS, takimi jak tunelowanie. |
| DOS | Ta kategoria dotyczy podpisów, które wykrywają próby odmowy usługi (DoS). Te reguły mają na celu przechwycenie przychodzącego działania usługi DoS i wskazanie aktywności wychodzącej usługi DoS. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| Porzuć | Ta kategoria służy do blokowania adresów IP na liście Spamhaus DROP (Nie trasuj lub równorzędnie). Reguły w tej kategorii są aktualizowane codziennie. |
| Dshield | Ta kategoria dotyczy podpisów opartych na osobach atakujących zidentyfikowanych przez usługę Dshield. Reguły w tej kategorii są aktualizowane codziennie z listy najlepszych osób atakujących DShield, która jest niezawodna. |
| Wykorzystać | Ta kategoria dotyczy podpisów, które chronią przed bezpośrednimi programami wykorzystującymi luki, które nie zostały inaczej uwzględnione w określonej kategorii usług. W tej kategorii można znaleźć konkretne ataki na luki w zabezpieczeniach, takie jak w przypadku systemu Microsoft Windows. Ataki z własną kategorią, takie jak wstrzyknięcie kodu SQL, mają własną kategorię. |
| Exploit-Kit | Ta kategoria jest przeznaczony dla podpisów do wykrywania działań związanych z zestawami Exploit Kit ich infrastruktury i dostarczania. |
| FTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem TRANSFERU plików (FTP). Ta kategoria zawiera również reguły, które wykrywają niemalicious aktywność FTP, takie jak identyfikatory logowania na potrzeby rejestrowania. |
| Gry | Ta kategoria jest przeznaczony dla podpisów identyfikujących ruch w grach i ataków na te gry. Zasady obejmują gry, takie jak World of Warcraft, Starcraft i inne popularne gry online. Chociaż gry i ich ruch nie są złośliwe, często są niepożądane i zabronione przez zasady w sieciach firmowych. |
| Wyszukiwanie zagrożeń | Ta kategoria dotyczy podpisów, które dostarczają wskaźniki, które w przypadku dopasowania do innych podpisów mogą być przydatne w przypadku wyszukiwania zagrożeń w środowisku. Te reguły mogą dostarczać fałszywie dodatnie wyniki na prawidłowym ruchu i hamować wydajność. Są one zalecane tylko do użycia podczas aktywnego badania potencjalnych zagrożeń w środowisku. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| ICMP | Ta kategoria dotyczy podpisów związanych z atakami i lukami w zabezpieczeniach protokołu ICMP (Internet Control Message Protocol). |
| ICMP_info | Ta kategoria dotyczy podpisów związanych ze zdarzeniami specyficznymi dla protokołu ICMP, zwykle skojarzonymi z normalnymi operacjami na potrzeby rejestrowania. Uwaga: Wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie jest blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| IMAP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki w zabezpieczeniach protokołu IMAP (Internet Message Access Protocol). Ta kategoria zawiera również reguły, które wykrywają niemalicious aktywność IMAP na potrzeby rejestrowania. |
| Nieodpowiednie | Ta kategoria dotyczy podpisów umożliwiających identyfikację potencjalnie działań związanych z witrynami, które są pornograficzne lub w inny sposób nie są odpowiednie dla środowiska pracy. Ostrzeżenie: Ta kategoria może mieć znaczący wpływ na wydajność i wysoką liczbę wyników fałszywie dodatnich. |
| Informacje | Ta kategoria jest przeznaczony dla podpisów, które pomagają zapewnić zdarzenia na poziomie inspekcji, które są przydatne do korelacji i identyfikowania interesujących działań, które mogą nie być z natury złośliwe, ale często obserwowane w złośliwym oprogramowaniu i innych zagrożeniach. Na przykład pobieranie pliku wykonywalnego za pośrednictwem protokołu HTTP według adresu IP, a nie nazwy domeny. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| JA3 | Ta kategoria jest przeznaczony dla podpisów do odcisku palca złośliwych certyfikatów SSL przy użyciu skrótów JA3. Te reguły są oparte na parametrach, które znajdują się w uzgadnianiu protokołu SSL zarówno przez klientów, jak i serwery. Te reguły mogą mieć wysoki współczynnik wyników fałszywie dodatnich, ale mogą być przydatne w przypadku środowisk wykrywania zagrożeń lub detonacji złośliwego oprogramowania. |
| Złośliwe oprogramowanie | Ta kategoria dotyczy podpisów do wykrywania złośliwego oprogramowania. Reguły w tej kategorii wykrywają działania związane ze złośliwym oprogramowaniem wykrytym w sieci, w tym złośliwego oprogramowania podczas przesyłania, aktywnego złośliwego oprogramowania, infekcjami złośliwego oprogramowania, atakami złośliwego oprogramowania i aktualizowaniem złośliwego oprogramowania. Jest to również bardzo ważna kategoria i zdecydowanie zaleca się jej uruchomienie. |
| Różne | Ta kategoria dotyczy podpisów, które nie zostały uwzględnione w innych kategoriach. |
| Złośliwe oprogramowanie dla urządzeń przenośnych | Ta kategoria dotyczy podpisów, które wskazują złośliwe oprogramowanie skojarzone z systemami operacyjnymi dla urządzeń przenośnych i tabletów, takimi jak Google Android, Apple iOS i inne. Wykryte złośliwe oprogramowanie i skojarzone z systemami operacyjnymi dla urządzeń przenośnych będzie zwykle umieszczane w tej kategorii, a nie w standardowych kategoriach, takich jak złośliwe oprogramowanie. |
| NETBIOS | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z rozwiązaniem NetBIOS. Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność NetBIOS na potrzeby rejestrowania. |
| P2P | Ta kategoria jest przeznaczony dla podpisów w celu identyfikacji ruchu równorzędnego (P2P) i ataków na nie. Zidentyfikowany ruch P2P obejmuje między innymi potoki, edonkey, Bittella, Gnutella i Limewire. Ruch P2P nie jest z natury złośliwy, ale często jest godny uwagi dla przedsiębiorstw. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| Wyłudzanie informacji | Ta kategoria dotyczy podpisów, które wykrywają aktywność wyłudzania informacji o poświadczeniach. Obejmuje to strony docelowe wyświetlające wyłudzanie poświadczeń i pomyślne przesłanie poświadczeń do witryn wyłudzających informacje o poświadczeniach. |
| Policy | Ta kategoria dotyczy podpisów, które mogą wskazywać na naruszenia zasad organizacji. Może to obejmować protokoły podatne na nadużycie i inne transakcje na poziomie aplikacji, które mogą być interesujące. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu alertów i odmowy . |
| POP3 | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem Post Office Protocol 3.0 (POP3). Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność POP3 na potrzeby rejestrowania. |
| zdalne wywołanie procedury | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach dotyczącymi zdalnego wywołania procedury (RPC). Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność RPC na potrzeby rejestrowania. |
| SCADA | Ta kategoria dotyczy sygnatur związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z kontrolą nadzoru i pozyskiwaniem danych (SCADA). Ta kategoria zawiera również reguły, które wykrywają niemalicious aktywność SCADA na potrzeby rejestrowania. |
| SKANOWAĆ | Ta kategoria służy do wykrywania rekonesansu i sondowania z narzędzi, takich jak Nessus, Nikto i inne skanowanie portów, narzędzia. Ta kategoria może być przydatna do wykrywania wczesnej aktywności naruszenia i przenoszenia bocznego po zakażeniu w organizacji. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu alertów i odmowy . |
| Kod powłoki | Ta kategoria dotyczy podpisów do wykrywania kodu zdalnego powłoki. Kod powłoki zdalnej jest używany, gdy osoba atakująca chce kierować proces podatny na zagrożenia uruchomiony na innym komputerze w sieci lokalnej lub intranecie. W przypadku pomyślnego wykonania kod powłoki może zapewnić atakującemu dostęp do maszyny docelowej w sieci. Kody powłoki zdalnej zwykle używają standardowych połączeń gniazda TCP/IP, aby umożliwić atakującemu dostęp do powłoki na maszynie docelowej. Taki kod powłoki można podzielić na kategorie na podstawie sposobu konfigurowania tego połączenia: jeśli kod powłoki może ustanowić to połączenie, jest nazywany "odwrotną powłoką" lub kodem powłoki "połącz się z powrotem", ponieważ kod powłoki łączy się z maszyną osoby atakującej. |
| SMTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem SMTP (Simple Mail Transfer Protocol). Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność SMTP na potrzeby rejestrowania. |
| SNMP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z protokołem SNMP (Simple Network Management Protocol). Ta kategoria zawiera również reguły, które wykrywają niemalicious działania SNMP na potrzeby rejestrowania. |
| SQL | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z usługą Structured Query Language (SQL). Ta kategoria obejmuje również reguły, które wykrywają niemalicious działania SQL na potrzeby rejestrowania. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą to zastąpić, dostosowując te określone podpisy do trybu alertów i odmowy . |
| TELNET | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z siecią TELNET. Ta kategoria obejmuje również reguły, które wykrywają niemalicious aktywność TELNET na potrzeby rejestrowania. |
| TFTP | Ta kategoria dotyczy podpisów związanych z atakami, programami wykorzystującymi luki i lukami w zabezpieczeniach skojarzonymi z trivial File Transport Protocol (TFTP). Ta kategoria obejmuje również reguły, które wykrywają niemalicious działania TFTP na potrzeby rejestrowania. |
| TOR | Ta kategoria jest przeznaczony dla podpisów identyfikacji ruchu do i z węzłów wyjścia TOR na podstawie adresu IP. Uwaga: wszystkie podpisy w tej kategorii są zdefiniowane jako Tylko alert, dlatego domyślnie ruch zgodny z tymi podpisami nie będzie blokowany, mimo że tryb IDPS jest ustawiony na Alert i Odmów. Klienci mogą zastąpić to zachowanie, dostosowując te określone podpisy do trybu alertów i odmowy . |
| Agenci użytkownika | Ta kategoria służy do wykrywania podejrzanych i nietypowych agentów użytkowników. Znani złośliwi agenci użytkownika są umieszczani w kategorii Złośliwe oprogramowanie. |
| VOIP | Ta kategoria dotyczy sygnatur ataków i luk w zabezpieczeniach skojarzonych między innymi z protokołem VOICE over IP (VOIP), w tym SIP, H.323 i RTP. |
| Klient sieci Web | Ta kategoria dotyczy sygnatur ataków i luk w zabezpieczeniach skojarzonych z klientami internetowymi, takimi jak przeglądarki internetowe, a także aplikacje po stronie klienta, takie jak CURL, WGET i inne. |
| Serwer internetowy | Ta kategoria służy do wykrywania ataków na infrastrukturę serwera internetowego, taką jak APACHE, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) i inne oprogramowanie serwera internetowego. |
| Aplikacje specyficzne dla sieci Web | Ta kategoria służy do wykrywania ataków i luk w zabezpieczeniach w określonych aplikacjach internetowych. |
| WORM | Ta kategoria służy do wykrywania złośliwych działań, które automatycznie próbują rozpowszechniać się w Internecie lub w sieci przez wykorzystanie luki w zabezpieczeniach, są klasyfikowane jako kategoria WORM. Chociaż rzeczywiste wykorzystanie jest zwykle identyfikowane w kategorii Exploit lub danego protokołu, można również zidentyfikować inny wpis w tej kategorii, jeśli rzeczywiste złośliwe oprogramowanie angażujące się w propagację przypominającą robaki również można zidentyfikować. |
Następne kroki
- Aby dowiedzieć się więcej o funkcjach usługi Azure Firewall Premium, zobacz Funkcje usługi Azure Firewall Premium.