Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Firewall do Azure IDPS apresenta mais de 50 categorias que podem ser atribuídas a assinaturas individuais. A tabela a seguir é uma lista de definições para cada categoria.
Substituir comportamento e limitações
Você pode substituir a ação para a maioria das assinaturas IDPS para Desativar, Alertar ou Negar. Algumas assinaturas são projetadas para definir o contexto para detecções subsequentes (por exemplo, usando bits de fluxo) para que as assinaturas posteriores na fila possam optar apenas por alertar. Se você forçar essas assinaturas de configuração de contexto a Negar, os pacotes poderão ser removidos sem gerar um alerta correspondente.
Observação
Para evitar quedas silenciosas e preservar a lógica de detecção pretendida, o Firewall do Azure impede substituir um pequeno conjunto de assinaturas de configuração de contexto. Para essas assinaturas, a ação é corrigida e não pode ser alterada.
Categorias
| Categoria | Descrição |
|---|---|
| 3CORESec | Essa categoria destina-se a assinaturas geradas automaticamente a partir das listas de blocos IP da equipe 3CORESec. Essas listas de bloqueios são geradas por 3CORESec com base em atividades mal-intencionadas de suas Honeypots. |
| ActiveX | Essa categoria é para assinaturas que protegem contra ataques contra controles ActiveX Microsoft e explorações que visam vulnerabilidades em ActiveX controles. |
| Adware-PUP | Essa categoria é para assinaturas identificarem o software usado para acompanhamento de ad ou outros tipos de atividade relacionada a spyware. |
| Resposta de ataque | Essa categoria é destinada a assinaturas que identificam respostas indicadoras de intrusão. Por exemplo: download de arquivo do LMHost, presença de certas faixas da Web e detecção do comando de encerrar Metasploit Meterpreter. Essas assinaturas foram projetadas para capturar os resultados de um ataque bem-sucedido. Coisas como ID=root ou mensagens de erro que indicam que um comprometimento pode ter acontecido. |
| Botcc (Comando e Controle do Bot) | Esta categoria é para assinaturas que são geradas automaticamente de várias fontes de botnets ativos conhecidos e confirmados e outros hosts de Comando e Controle (C2). Essa categoria é atualizada diariamente. A fonte de dados primária da categoria é Shadowserver.org. |
| Porta do Botcc agrupada | Essa categoria destina-se a assinaturas como aquelas na categoria Botcc, mas agrupadas por porta de destino. As regras agrupadas por porta podem oferecer maior fidelidade do que as regras não agrupadas por porta. |
| Chat | Essa categoria é para assinaturas que identificam o tráfego relacionado a muitos clientes de chat, como Internet Relay Chat (IRC). O tráfego de chat pode ser um indicativo de possível atividade de check-in por atores de ameaça. |
| CIArmy | Essa categoria é destinada a assinaturas geradas usando regras do IP de Inteligência Coletiva para bloqueio. |
| Mineração de moedas | Essa categoria é para assinaturas com regras que detectam malware, que faz mineração de moedas. Essas assinaturas também podem detectar algum software de mineração de moeda legítimo (embora muitas vezes indesejável). |
| Comprometido | Essa categoria é para assinaturas com base em uma lista de hosts comprometidos conhecidos. Essa lista é confirmada e atualizada diariamente. As assinaturas nessa categoria podem variar de uma a várias centenas de regras, dependendo das fontes de dados. As fontes de dados para essa categoria vêm de várias fontes de dados privadas, mas altamente confiáveis. |
| Eventos atuais | Essa categoria é para assinaturas com regras desenvolvidas em resposta a campanhas ativas e de curta duração e itens de alto perfil que devem ser temporários. Um exemplo são campanhas de fraude relacionadas a desastres. As regras nessa categoria não se destinam a serem mantidas no modelo de regras por muito tempo ou que precisam ser testadas ainda mais antes de serem consideradas para inclusão. Na maioria das vezes, são assinaturas simples para a URL binária storm do dia, assinaturas para capturar CLSIDs de aplicativos vulneráveis recém-encontrados onde não temos nenhum detalhe sobre a exploração e assim por diante. |
| DNS (Sistema de Nomes de Domínio) | Essa categoria é para assinaturas com regras para ataques e vulnerabilidades relacionadas ao DNS. Essa categoria também é usada para regras relacionadas a abuso de DNS, como túnel. |
| DOS | Essa categoria é para assinaturas que detectam tentativas de Negação de Serviço (DoS). Essas regras destinam-se a capturar a atividade do DoS de entrada e fornecer indicação de atividade do DoS de saída. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| Remover | Essa categoria é destinada a assinaturas para bloquear endereços IP da lista Spamhaus DROP (Don't Route or Peer). As regras nessa categoria são atualizadas diariamente. |
| Dshield | Essa categoria é para assinaturas baseadas em invasores identificados pelo Dshield. As regras nessa categoria são atualizadas diariamente na lista de principais invasores do DShield, que é confiável. |
| Explorar | Essa categoria é para assinaturas que protegem contra explorações diretas não abordadas de outra forma em uma categoria de serviço específica. Essa categoria é onde são encontrados ataques específicos contra vulnerabilidades como contra o Microsoft Windows. Os ataques com sua própria categoria, como injeção de SQL, têm sua própria categoria. |
| Kit de exploração | Essa categoria é para que as assinaturas detectem atividades relacionadas aos Kits de exploração em sua infraestrutura e entrega. |
| FTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo FTP (FTP). Essa categoria também inclui regras que detectam atividades FTP nãomaliosas, como logons para fins de registro em log. |
| Jogos | Essa categoria é para assinaturas que identificam o tráfego de jogos e ataques contra esses jogos. As regras abrangem jogos como World of Warcraft, Starcraft e outros jogos online populares. Embora os jogos e seu tráfego não sejam mal-intencionados, eles geralmente são indesejados e proibidos pela política em redes corporativas. |
| Buscando | Essa categoria é para assinaturas que fornecem indicadores que, quando corresponderem a outras assinaturas, podem ser úteis para a busca de ameaças em um ambiente. Essas regras podem fornecer falsos positivos no tráfego legítimo e inibir o desempenho. Eles só são recomendados para uso ao pesquisar ativamente possíveis ameaças no ambiente. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| ICMP | Essa categoria é para assinaturas relacionadas a ataques e vulnerabilidades sobre o Protocolo ICMP. |
| ICMP_info | Essa categoria é para assinaturas relacionadas a eventos específicos do protocolo ICMP, normalmente associados a operações normais para fins de registro em log. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não é bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| IMAP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades sobre o protocolo IMAP. Essa categoria também inclui regras que detectam atividades IMAP não ilícitas para fins de registro em log. |
| Inapropriado | Essa categoria é para que as assinaturas identifiquem atividades potencialmente relacionadas a sites que são pornográficos ou que não são apropriados para um ambiente de trabalho. Aviso: essa categoria pode ter um impacto significativo no desempenho e uma alta taxa de falsos positivos. |
| Info | Essa categoria serve para assinaturas para ajudar a fornecer eventos de nível de auditoria que são úteis para correlação e identificação de atividades interessantes, que podem não ser inerentemente mal-intencionadas, mas geralmente são observadas em malware e outras ameaças. Por exemplo, baixando um executável por HTTP por endereço IP em vez do nome de domínio. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| JA3 | Essa categoria é para assinaturas para impressão digital de certificados SSL mal-intencionados usando hashes JA3. Essas regras são baseadas em parâmetros que estão na negociação de handshake SSL por clientes e servidores. Essas regras podem ter uma alta taxa de falsos positivos, mas podem ser úteis para ambientes de busca de ameaças ou ambientes de denotação de malware. |
| Malware | Essa categoria é para assinaturas detectarem software mal-intencionado. As regras nesta categoria detectam atividades relacionadas a softwares mal-intencionados detectados na rede, incluindo malware em trânsito, malware ativo, infecções de malware, ataques de malware e atualização de malware. Essa também é uma categoria altamente importante e é altamente recomendável que você a execute. |
| Diversos | Essa categoria é para assinaturas não abordadas em outras categorias. |
| Malware móvel | Essa categoria é para assinaturas que indicam malware associado a sistemas operacionais móveis e tablets, como Google Android, Apple iOS e outros. Malware detectado e associado a sistemas operacionais móveis geralmente será colocado nessa categoria em vez das categorias padrão, como Malware. |
| NETBIOS | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao NetBIOS. Essa categoria também inclui regras que detectam atividades netBIOS nãomaliosas para fins de registro em log. |
| P2P | Essa categoria é para assinaturas para a identificação de tráfego P2P (ponto a ponto) e ataques contra ele. O tráfego P2P identificado inclui: edonkey, Bittorrent, Gellaella e Limewire, entre outros. O tráfego P2P não é inerentemente mal-intencionado, mas geralmente é importante para empresas. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| Phishing | Essa categoria é para assinaturas que detectam a atividade de phishing de credenciais. Isso inclui páginas de aterrissagem que exibem phishing de credenciais e envio bem-sucedido de credenciais em sites de phishing de credenciais. |
| Policy | Essa categoria é para assinaturas que podem indicar violações à política de uma organização. Isso pode incluir protocolos propensos a abusos e outras transações no nível do aplicativo, o que pode ser de interesse. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| POP3 | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao Protocolo POP3 (Post Office Protocol 3.0). Essa categoria também inclui regras que detectam atividades POP3 não mal-intencionadas para fins de registro em log. |
| RPC | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades relacionadas à RPC (Chamada de Procedimento Remoto). Essa categoria também inclui regras que detectam a atividade RPC nãomaliosa para fins de registro em log. |
| SCADA | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao controle de supervisor e à aquisição de dados (SCADA). Essa categoria também inclui regras que detectam atividadeS SCADA nãomaliosas para fins de registro em log. |
| SCAN | Essa categoria é para que as assinaturas detectem reconhecimento e investigação de ferramentas como Nessus, Nikto e outras ferramentas de verificação de porta. Essa categoria pode ser útil para detectar a atividade de violação antecipada e o movimento lateral pós-infecção em uma organização. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| Código do shell | Essa categoria é para assinaturas para detecção de código de shell remoto. O código de shell remoto é usado quando um invasor deseja direcionar um processo vulnerável em execução em outro computador em uma rede local ou intranet. Se executado com êxito, o código do shell poderá fornecer ao invasor acesso ao computador de destino em toda a rede. Os códigos de shell remoto normalmente usam conexões de soquete TCP/IP padrão para permitir que o invasor acesse o shell no computador de destino. Esse código de shell pode ser categorizado com base em como essa conexão é configurada: se o código do shell puder estabelecer essa conexão, ele será chamado de "shell reverso" ou um código de shell "conectar-se novamente", pois o código do shell se conectará novamente ao computador do invasor. |
| SMTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo SMTP. Essa categoria também inclui regras que detectam atividadeS SMTP nãomaliosas para fins de registro em log. |
| SNMP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo SNMP. Essa categoria também inclui regras que detectam atividadeS SNMP nãomaliosas para fins de registro em log. |
| SQL | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas linguagem SQL (SQL). Essa categoria também inclui regras que detectam atividades SQL nãomaliosas para fins de registro em log. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| TELNET | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao TELNET. Essa categoria também inclui regras que detectam atividades TELNET nãomaliosas para fins de registro em log. |
| TFTP | Essa categoria é para assinaturas relacionadas a ataques, explorações e vulnerabilidades associadas ao protocolo TFTP. Essa categoria também inclui regras que detectam a atividade TFTP não comercial para fins de registro em log. |
| TOR | Essa categoria é para assinaturas para a identificação do tráfego de e para nós de saída TOR com base no endereço IP. Observação: todas as assinaturas nessa categoria são definidas como Somente Alerta, portanto, por padrão, o tráfego correspondente a essas assinaturas não será bloqueado mesmo que o modo IDPS esteja definido como Alerta e Negar. Os clientes podem substituir esse comportamento personalizando essas assinaturas específicas para o modo Alerta e Negação . |
| Agentes de usuário | Essa categoria é para que as assinaturas detectem agentes de usuário suspeitos e anômalos. Agentes de usuário mal-intencionados conhecidos são colocados na categoria Malware. |
| VOIP | Essa categoria é para assinaturas para ataques e vulnerabilidades associados à VOIP (Voz sobre IP), incluindo SIP, H.323 e RTP, entre outros. |
| Clientes web | Essa categoria é para assinaturas para ataques e vulnerabilidades associados a clientes Web, como navegadores da Web e também aplicativos do lado do cliente, como CURL, WGET e outros. |
| Servidor Web | Essa categoria é para assinaturas detectarem ataques contra a infraestrutura do servidor Web, como APACHE, TOMCAT, NGINX, Serviços de Informações da Internet da Microsoft (IIS) e outros softwares de servidor Web. |
| Aplicativos específicos da Web | Essa categoria é para assinaturas detectarem ataques e vulnerabilidades em aplicativos Web específicos. |
| WORM | Essa categoria é para que as assinaturas detectem atividades mal-intencionadas que tentam se propagar automaticamente pela Internet ou dentro de uma rede explorando uma vulnerabilidade sejam classificadas como a categoria WORM. Embora a exploração real em si normalmente seja identificada na categoria Exploit ou em determinado protocolo, outra entrada nessa categoria poderá ser feita se o malware real envolvido na propagação semelhante a worm também puder ser identificado. |
Próximas etapas
- Para saber mais sobre os recursos do Firewall do Azure Premium, confira Firewall do Azure Premium.