Azure 网络层警报

本文列出了 Microsoft Defender for Cloud 以及你启用的任何 Microsoft Defender 计划中可能显示的 Azure 网络层安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure 网络层警报

检测到与恶意计算机进行网络通信

(Network_CommunicationWithC2)

说明:网络流量分析表明,你的计算机(IP 为 %{Victim IP})已与可能是命令和控制中心的计算机通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源已与可能是命令和控制中心的位置进行通信。

MITRE 策略:命令和控制

严重性:中等

检测到计算机可能遭到入侵

(Network_ResourceIpIndicatedAsMalicious)

说明:威胁情报表明你的计算机(IP 为 %{Machine IP})可能已被 Conficker 类型的恶意软件入侵。 Conficker 是一种以 Microsoft Windows 操作系统为目标的计算机蠕虫病毒,并于 2008 年 11 月首次被检测到。 Conficker 感染了 200 多个国家/地区的数百万台计算机,包括政府、企业和家庭计算机,是自 2003 年 Welchia 蠕虫病毒爆发以来最广为人知的计算机蠕虫病毒感染。

MITRE 策略:命令和控制

严重性:中等

检测到可能的传入 %{Service Name} 暴力攻击尝试

(Generic_Incoming_BF_OneToOne)

说明:网络流量分析检测到 %{Attacker IP} 与 %{Victim IP} 之间存在传入的 %{Service Name} 通信,涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Victim Port} 在 %{Start Time} 到 %{End Time} 之间的可疑活动。 此活动与针对 %{Service Name} 服务器进行的暴力攻击尝试的特征相符。

MITRE 策略:PreAttack

严重性:信息性

检测到可能的传入 SQL 暴力攻击尝试

(SQL_Incoming_BF_OneToOne)

说明:网络流量分析检测到 %{Attacker IP} 与 %{Victim IP} 之间存在传入的 SQL 通信,涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Port Number} 在 %{Start Time} 到 %{End Time} 之间的可疑活动 (%{SQL Service Type})。 此活动与针对 SQL Server 进行的暴力破解尝试的特征相符。

MITRE 策略:PreAttack

严重性:中等

检测到可能的传出拒绝服务攻击

(DDOS)

说明:网络流量分析检测到源自 %{Compromised Host}(部署中的一个资源)的异常传出活动。 此活动可能表示资源已遭入侵,现已对外部终结点发起了拒绝服务攻击。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源遭到入侵。 根据连接量,我们认为以下 IP 可能会成为 DOS 攻击的目标:%{Possible Victims}。 请注意,与其中一些 IP 进行的通信可能合法。

MITRE 策略:影响

严重性:中等

来自多个源的可疑传入 RDP 网络活动

(RDP_Incoming_BF_ManyToOne)

说明:网络流量分析检测到来自多个源的异常传入远程桌面协议 (RDP) 通信,通信目标是 %{Victim IP},涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能表明攻击者尝试从多个主机(僵尸网络)对你的 RDP 终结点实施暴力破解操作。

MITRE 策略:PreAttack

严重性:中等

可疑的传入 RDP 网络活动

(RDP_Incoming_BF_OneToOne)

说明:网络流量分析检测到 %{Attacker IP} 与 %{Victim IP} 之间存在传入远程桌面协议 (RDP) 通信,涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明攻击者尝试对你的 RDP 终结点实施暴力破解操作

MITRE 策略:PreAttack

严重性:中等

来自多个源的可疑传入 SSH 网络活动

(SSH_Incoming_BF_ManyToOne)

说明:网络流量分析检测到来自多个源的异常传入 SSH 通信,通信目标是 %{Victim IP},涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能表明攻击者尝试从多个主机(僵尸网络)对你的 SSH 终结点实施暴力破解操作

MITRE 策略:PreAttack

严重性:中等

可疑的传入 SSH 网络活动

(SSH_Incoming_BF_OneToOne)

说明:网络流量分析检测到 %{Attacker IP} 与 %{Victim IP} 之间存在异常的传入 SSH 通信,涉及你的资源 %{Compromised Host}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明攻击者尝试对你的 SSH 终结点实施暴力破解操作

MITRE 策略:PreAttack

严重性:中等

检测到可疑的传出 %{Attacked Protocol} 流量

(PortScanning)

说明:网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量,目标端口是 %{Most Common Port}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 此行为可能表示资源涉及 %{Attacked Protocol} 暴力破解尝试或端口扫描攻击。

MITRE 策略:发现

严重性:中等

到多个目标的可疑传出 RDP 网络活动

(RDP_Outgoing_BF_OneToMany)

说明:网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到多个目标的异常传出远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的计算机连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能表明有人入侵了资源并且正在用它来暴力破解外部 RDP 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略:发现

严重性:高

可疑的传出 RDP 网络活动

(RDP_Outgoing_BF_OneToOne)

说明:网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到 %{Victim IP} 的异常传出远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明有人入侵了计算机并且正在用它来暴力破解外部 RDP 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略:横向移动

严重性:高

到多个目标的可疑传出 SSH 网络活动

(SSH_Outgoing_BF_OneToMany)

说明:网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到多个目标的异常传出 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的资源连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能表明有人入侵了资源并且正在用它来暴力破解外部 SSH 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略:发现

严重性:中等

可疑的传出 SSH 网络活动

(SSH_Outgoing_BF_OneToOne)

说明:网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到 %{Victim IP} 的异常传出 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明有人入侵了资源并且正在用它来暴力破解外部 SSH 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略:横向移动

严重性:中等

(Network_TrafficFromUnrecommendedIP)

说明:Microsoft Defender for Cloud 检测到来自建议阻止的 IP 地址的入站流量。 这通常在此 IP 地址不会定期与此资源通信的情况下发生。 或者,该 IP 地址已被 Defender for Cloud 的威胁情报源标记为恶意 IP。

MITRE 策略:探测

严重性:信息性

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤