Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os alertas de segurança que você pode obter para a camada de rede do Azure do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender que você habilitou. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas de camada de rede do Azure
Comunicação de rede com um computador mal-intencionado detectado
(Network_CommunicationWithC2)
Descrição: A análise de tráfego de rede indica que seu computador (IP %{IP da vítima}) se comunicou com o que é possivelmente um Centro de Comando e Controle. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo) se comunicaram com o que é possivelmente um Centro de Comando e Controle.
Táticas mitre: comando e controle
Gravidade: Média
Possível computador comprometido detectado
(Network_ResourceIpIndicatedAsMalicious)
Descrição: A inteligência contra ameaças indica que seu computador (em IP %{IP do computador}) pode ter sido comprometido por um malware do tipo Conficker. Conficker foi um worm de computador que tem como alvo o sistema operacional Microsoft Windows e foi detectado pela primeira vez em novembro de 2008. Conficker infectou milhões de computadores, incluindo computadores governamentais, empresariais e domésticos em mais de 200 países/regiões, tornando-se a maior infecção conhecida por vermes de computador desde o verme Welchia de 2003.
Táticas mitre: comando e controle
Gravidade: Média
Possíveis tentativas de força bruta %{Nome do Serviço} detectadas
(Generic_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou %de entrada da comunicação {Nome do Serviço} para %{IP da Vítima}, associado ao recurso %{Host Comprometido} de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Porta da Vítima}. Essa atividade é consistente com tentativas de força bruta contra servidores %{Nome do Serviço}.
Táticas MITRE: PreAttack
Gravidade: Informativo
Possíveis tentativas de força bruta do SQL de entrada detectadas
(SQL_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou comunicação SQL de entrada para %{IP da vítima}, associado ao recurso %{Host Comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Essa atividade é consistente com tentativas de força bruta contra servidores SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Possível ataque de negação de serviço de saída detectado
(DDOS)
Descrição: A análise de tráfego de rede detectou uma atividade de saída anômala proveniente de %{Host Comprometido}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) foram comprometidos. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os alvos do ataque dos DOS: %{Possíveis Vítimas}. Observe que é possível que a comunicação com alguns desses IPs seja legítima.
Táticas do MITRE: Impacto
Gravidade: Média
Atividade de rede RDP de entrada suspeita de várias fontes
(RDP_Incoming_BF_ManyToOne)
Descrição: A análise de tráfego de rede detectou comunicação de RDP (Protocolo rdp) de entrada anômala para %{IP da vítima}, associado ao recurso %{Host Comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %IPs exclusivos {Número de IPs de Ataque} conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutamente seu ponto de extremidade RDP de vários hosts (Botnet).
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou comunicação de PROTOCOLO RDP (Protocolo de Área de Trabalho Remota) anômala para %{IP da vítima}, associado ao recurso %{Host Comprometido}, do %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %{Número de conexões} conexões de entrada com seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutamente seu ponto de extremidade RDP
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita de várias fontes
(SSH_Incoming_BF_ManyToOne)
Descrição: A análise de tráfego de rede detectou uma comunicação SSH de entrada anômala para %{IP da vítima}, associado ao recurso %{Host Comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %IPs exclusivos {Número de IPs de Ataque} conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutamente seu ponto de extremidade SSH de vários hosts (Botnet)
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou uma comunicação SSH de entrada anômala para %{IP da vítima}, associado ao recurso %{Host Comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %{Número de conexões} conexões de entrada com seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutamente seu ponto de extremidade SSH
Táticas MITRE: PreAttack
Gravidade: Média
Tráfego de saída suspeito %{Attacked Protocol} detectado
(PortScanning)
Descrição: A análise de tráfego de rede detectou tráfego de saída suspeito de %{Host Comprometido} para a porta de destino %{Porta Mais Comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando %tentativas de força bruta {Attacked Protocol} ou ataques de varredura de porta.
Táticas do MITRE: Descoberta
Gravidade: Média
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
Descrição: A análise de tráfego de rede detectou comunicação de protocolo RDP de saída anômala para vários destinos provenientes de %{Host Comprometido} (%{IP do Invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram seu computador se conectando a %IPs exclusivos {Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora é usado para forçar os pontos de extremidade externos de RDP. Observe que esse tipo de atividade pode possivelmente fazer com que seu IP seja sinalizado como mal-intencionado por entidades externas.
Táticas do MITRE: Descoberta
Gravidade: Alta
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou comunicação de RDP (Protocolo rdp) de saída anômala para %{IP da vítima} proveniente de %{Host Comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %{Número de Conexões} conexões de saída do seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o computador foi comprometido e agora é usado para forçar os pontos de extremidade externos de RDP. Observe que esse tipo de atividade pode possivelmente fazer com que seu IP seja sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Atividade de rede SSH de saída suspeita para vários destinos
(SSH_Outgoing_BF_OneToMany)
Descrição: A análise de tráfego de rede detectou uma comunicação SSH de saída anômala para vários destinos provenientes de %{Host Comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram seu recurso conectando-se a %IPs exclusivos {Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora é usado para forçar os pontos de extremidade externos de SSH. Observe que esse tipo de atividade pode possivelmente fazer com que seu IP seja sinalizado como mal-intencionado por entidades externas.
Táticas do MITRE: Descoberta
Gravidade: Média
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
Descrição: A análise de tráfego de rede detectou uma comunicação SSH de saída anômala para %{IP da vítima} proveniente de %{Host Comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de rede amostrados mostram %{Número de Conexões} conexões de saída do seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora é usado para forçar os pontos de extremidade externos de SSH. Observe que esse tipo de atividade pode possivelmente fazer com que seu IP seja sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Tráfego detectado de endereços IP recomendados para bloqueio
(Network_TrafficFromUnrecommendedIP)
Descrição: o Microsoft Defender para Nuvem detectou o tráfego de entrada de endereços IP recomendados para serem bloqueados. Isso normalmente ocorre quando esse endereço IP não se comunica regularmente com esse recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem.
Táticas MITRE: Sondagem
Gravidade: Informativo
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.