Az Azure Firewall IDPS-aláírási szabálykategóriái
Az Azure Firewall IDPS több mint 50 kategóriát tartalmaz, amelyek egyéni aláírásokhoz rendelhetők. Az alábbi táblázat az egyes kategóriák definícióinak listáját tartalmazza.
Kategóriák
Kategória | Leírás |
---|---|
3CORESec | Ez a kategória a 3CORESec-csapat IP-tiltólistáiból automatikusan létrehozott aláírásokhoz készült. Ezeket a tiltólistákat a 3CORESec hozza létre a mézeskalászok rosszindulatú tevékenységei alapján. |
ActiveX | Ez a kategória olyan aláírások, amelyek védelmet nyújtanak a Microsoft ActiveX-vezérlők elleni támadások ellen, és kihasználják az ActiveX-vezérlők biztonsági réseit. |
Adware-PUP | Ez a kategória a hirdetéskövetéshez vagy más kémprogramokkal kapcsolatos tevékenységekhez használt szoftverek azonosítására szolgál. |
Támadási válasz | Ez a kategória a behatolásra utaló válaszok azonosítására szolgál– ilyenek például az LMHost-fájlok letöltése, bizonyos webes szalagcímek jelenléte és a Metasploit Meterpreter kill parancs észlelése. Ezeket az aláírásokat úgy tervezték, hogy elkapják a sikeres támadás eredményeit. Előfordulhat, hogy olyan hibák történtek, mint az id=root vagy a biztonsági rést jelző hibaüzenetek. |
Botcc (Bot Command and Control) | Ez a kategória az ismert és megerősített aktív botnetek és más parancs- és vezérlési (C2)-gazdagépek több forrásából automatikusan létrehozott aláírások számára készült. Ez a kategória naponta frissül. A kategória elsődleges adatforrása a következő: Shadowserver.org. |
Botcc Port csoportosítva | Ez a kategória a Botcc kategóriához hasonló aláírásokhoz készült, de célportok szerint csoportosítva. A portok szerint csoportosított szabályok nagyobb hűséget biztosíthatnak, mint a nem portok szerint csoportosított szabályok. |
Csevegés | Ez a kategória olyan aláírásokra vonatkozik, amelyek számos csevegési ügyfélhez, például IRC (IRC) kapcsolódó forgalmat azonosítanak. A csevegési forgalom a fenyegetések szereplői által végzett lehetséges bejelentkezési tevékenységekre utalhat. |
CIArmy | Ez a kategória a kollektív intelligencia IP-szabályaival generált aláírások számára készült. |
Érmebányászat | Ez a kategória olyan szabályokkal rendelkező aláírásokra vonatkozik, amelyek észlelik a kártevőket, ami érembányászatot végez. Ezek az aláírások is észlelni néhány legitim (bár gyakran nem kívánatos) érmebányászat szoftver. |
Kiegyezés | Ez a kategória az ismert feltört gazdagépek listáján alapuló aláírásokhoz készült. Ezt a listát naponta visszaigazoljuk és frissítjük. Az ebben a kategóriában szereplő aláírások az adatforrásoktól függően egytől több száz szabályig terjedhetnek. A kategória adatforrásai számos privát, de nagyon megbízható adatforrásból származnak. |
Aktuális események | Ez a kategória az aktív és rövid élettartamú kampányokra, valamint a várhatóan ideiglenesnek számító, magas profilú elemekre válaszul kidolgozott szabályokkal rendelkező aláírásokra szól. Ilyenek például a katasztrófákkal kapcsolatos csalási kampányok. Az ebben a kategóriában szereplő szabályokat nem célja, hogy hosszú ideig a szabálykészletben tartsák, vagy amelyeket a felvételük előtt további tesztelésre kell használni. Ezek leggyakrabban egyszerű aláírások lesznek a Storm bináris URL-címéhez a nap folyamán, aláírások az újonnan talált sebezhető alkalmazások CLSID-jeinek elfogásához, ahol nincs részletes adatunk a biztonsági rések kihasználásáról, és így tovább. |
DNS (Tartománynév szolgáltatás) | Ez a kategória a DNS-sel kapcsolatos támadásokra és biztonsági résekre vonatkozó szabályokkal rendelkező aláírásokra érvényes. Ez a kategória a DNS-sel való visszaéléssel, például az bújtatással kapcsolatos szabályokhoz is használható. |
DOS | Ez a kategória a szolgáltatásmegtagadási (DoS-) kísérleteket észlelő aláírásokra szolgál. Ezek a szabályok célja a bejövő DoS-tevékenységek elfogása, valamint a kimenő DoS-tevékenység jelzése. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
Eltávolítás | Ez a kategória arra vonatkozik, hogy az aláírások blokkolják az IP-címeket a Spamhaus DROP (Ne útvonal vagy társ) listán. A kategória szabályai naponta frissülnek. |
Dshield | Ez a kategória a Dshield által azonosított támadókon alapuló aláírásokhoz készült. Az ebben a kategóriában szereplő szabályok naponta frissülnek a DShield legfelső támadóinak listájáról, ami megbízható. |
Kihasznál | Ez a kategória olyan aláírásokra vonatkozik, amelyek védelmet nyújtanak egy adott szolgáltatáskategóriába egyébként nem tartozó közvetlen biztonsági résekkel szemben. Ebben a kategóriában talál konkrét támadásokat olyan biztonsági rések ellen, mint például a Microsoft Windows. A saját kategóriájukkal(például SQL-injektálással) rendelkező támadásoknak saját kategóriájuk van. |
Exploit-Kit | Ez a kategória az aláírások számára készült, amelyek észlelik az Exploit Kits infrastruktúrához és a kézbesítéshez kapcsolódó tevékenységeket. |
FTP | Ez a kategória a fájlátviteli protokollhoz (FTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek észlelik a nem rosszindulatú FTP-tevékenységeket, például a naplózási célú bejelentkezéseket. |
Játékok | Ez a kategória olyan aláírások számára készült, amelyek azonosítják a játékforgalmat és az ilyen játékok elleni támadásokat. A szabályok olyan játékokat fednek le, mint a World of Warcraft, a Starcraft és más népszerű online játékok. Bár a játékok és a forgalom nem rosszindulatúak, gyakran nemkívánatosak, és a vállalati hálózatokra vonatkozó szabályzat tiltja őket. |
Veszélyforrás-keresés | Ez a kategória olyan aláírások számára készült, amelyek olyan mutatókat biztosítanak, amelyek más aláírásokkal való egyeztetés esetén hasznosak lehetnek a fenyegetéskereséshez egy környezetben. Ezek a szabályok hamis pozitív értékeket adhatnak a jogos forgalomhoz, és gátolhatják a teljesítményt. Ezek csak akkor ajánlottak, ha aktívan kutatják a környezet potenciális fenyegetéseit. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
ICMP | Ez a kategória az Internet Control Message Protocol (ICMP) támadásaihoz és biztonsági réseihez kapcsolódó aláírásokra vonatkozik. |
ICMP_info | Ez a kategória az ICMP protokollspecifikus eseményeivel kapcsolatos aláírásokra vonatkozik, amelyek általában a naplózási célú normál műveletekhez kapcsolódnak. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
IMAP | Ez a kategória az Internet Message Access Protocol (IMAP) támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú IMAP-tevékenységeket. |
Alkalmatlan | Ez a kategória arra vonatkozik, hogy az aláírások azonosíthassák a pornográf vagy más módon nem megfelelő webhelyekhez kapcsolódó potenciális tevékenységeket egy munkahelyi környezetben. Figyelmeztetés: Ez a kategória jelentős hatással lehet a teljesítményre, és magas a hamis pozitív értékek aránya. |
Info | Ez a kategória az aláírások célja, hogy olyan naplózási szintű eseményeket biztosítson, amelyek hasznosak a korrelációhoz és az érdekes tevékenységek azonosításához, amelyek nem lehetnek eredendően rosszindulatúak, de gyakran figyelhetők meg kártevőkben és egyéb fenyegetésekben. Például http-en keresztül letölthet egy végrehajtható fájlt IP-cím alapján, nem pedig tartománynév alapján. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
JA3 | Ez a kategória a rosszindulatú SSL-tanúsítványok JA3-kivonatok használatával történő ujjlenyomat-ujjlenyomatára használható. Ezek a szabályok olyan paramétereken alapulnak, amelyek mind az ügyfelek, mind a kiszolgálók SSL-kézfogási egyeztetésében szerepelnek. Ezek a szabályok magas hamis pozitív arányúak lehetnek, de fenyegetéskereséshez vagy kártevő-detonációs környezetekhez hasznosak lehetnek. |
Kártevő | Ez a kategória a rosszindulatú szoftverek észlelésére szolgáló aláírások számára készült. Ebben a kategóriában a szabályok észlelik a hálózaton észlelt rosszindulatú szoftverekkel kapcsolatos tevékenységeket, beleértve az átvitt kártevőket, az aktív kártevőket, a kártevő-fertőzéseket, a kártevő-támadásokat és a kártevők frissítését. Ez is egy nagyon fontos kategória, és erősen ajánlott futtatni. |
Egyebek | Ez a kategória olyan aláírásokra vonatkozik, amelyekre más kategóriák nem vonatkoznak. |
Mobil kártevők | Ez a kategória olyan aláírásokat tartalmaz, amelyek a mobil- és táblagép-operációs rendszerekhez, például a Google Androidhoz, az Apple iOS-hez és másokhoz társított kártevőket jelölik. Az észlelt és a mobil operációs rendszerekhez társított kártevők általában ebbe a kategóriába kerülnek, nem pedig az olyan szokásos kategóriákba, mint a Kártevők. |
NETBIOS | Ez a kategória a NetBIOS-hoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú NetBIOS-tevékenységeket. |
P2P | Ez a kategória a peer-to-peer (P2P) forgalom és az ellene irányuló támadások azonosítására szolgáló aláírások. Az azonosított P2P-forgalom többek között torrenteket, edonkey-t, Bittorrentet, Gnutella-t és Limewire-t tartalmaz. A P2P-forgalom nem eredendően rosszindulatú, de gyakran jelentős a vállalatok számára. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
Adathalászat | Ez a kategória olyan aláírások számára készült, amelyek észlelik a hitelesítő adatok adathalászati tevékenységét. Ide tartoznak a hitelesítő adatok adathalászatát megjelenítő kezdőlapok, valamint a hitelesítő adatok hitelesítő adatokkal adathalászati webhelyekre történő sikeres elküldése. |
Szabályzat | Ez a kategória olyan aláírások számára készült, amelyek a szervezet szabályzatának megsértését jelezhetik. Ilyenek lehetnek a visszaélésre hajlamos protokollok és egyéb alkalmazásszintű tranzakciók, amelyek érdekesek lehetnek. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
POP3 | Ez a kategória a Post Office Protocol 3.0 (POP3) protokollhoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem rosszindulatú POP3-tevékenységeket. |
RPC | Ez a kategória a távoli eljáráshívással (RPC) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú RPC-tevékenységeket. |
SCADA | Ez a kategória a felügyeleti ellenőrzéssel és adatgyűjtéssel (SCADA) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SCADA-tevékenységeket. |
ÁTKUTAT | Ez a kategória az aláírások számára készült, hogy észleljék a felderítést és a felderítést olyan eszközökről, mint a Nessus, a Nikto és más portkeresési eszközök, eszközök. Ez a kategória hasznos lehet a korai behatolási tevékenység és a fertőzés utáni oldalirányú mozgás észleléséhez a szervezeten belül. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
Shell-kód | Ez a kategória a rendszerhéjkód távoli észlelésére szolgáló aláírásokhoz készült. Távoli rendszerhéjkódot akkor használunk, ha a támadó egy helyi hálózaton vagy intraneten futó másik gépen futó sebezhető folyamatot szeretne megcélozza. Sikeres végrehajtás esetén a rendszerhéjkód hozzáférést biztosíthat a támadónak a célgéphez a hálózaton keresztül. A távoli rendszerhéjkódok általában szabványos TCP/IP-szoftvercsatorna-kapcsolatokat használnak, hogy a támadó hozzáférjen a rendszerhéjhoz a célszámítógépen. Az ilyen rendszerhéjkód a kapcsolat beállítása alapján kategorizálható: ha a rendszerhéjkód képes létrehozni ezt a kapcsolatot, akkor "fordított rendszerhéjnak" vagy "connect back" rendszerhéjkódnak nevezzük, mert a rendszerhéjkód visszacsatlakozik a támadó gépéhez. |
SMTP | Ez a kategória a Simple Mail Transfer Protocolhoz (SMTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SMTP-tevékenységeket. |
SNMP | Ez a kategória a Simple Network Management Protocolhoz (SNMP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SNMP-tevékenységeket. |
SQL | Ez a kategória a strukturált lekérdezési nyelvhez (SQL) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SQL-tevékenységeket. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
TELNET | Ez a kategória a TELNET-hez kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú TELNET-tevékenységeket. |
TFTP | Ez a kategória a triviális fájlátviteli protokollhoz (TFTP) kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem rosszindulatú TFTP-tevékenységeket. |
TOR | Ez a kategória a TOR kilépési csomópontjaiba irányuló és onnan érkező forgalom azonosítására szolgáló aláírásokra használható az IP-cím alapján. Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják. |
Felhasználói ügynökök | Ez a kategória a gyanús és rendellenes felhasználói ügynökök észlelésére szolgáló aláírások számára készült. Az ismert rosszindulatú felhasználói ügynökök a Kártevő kategóriában vannak elhelyezve. |
VOIP | Ez a kategória többek között a Voice over IP -hez (VOIP) kapcsolódó támadások és biztonsági rések aláírására használható, beleértve többek között a SIP-t, a H.323-at és az RTP-t. |
Webes ügyfél | Ez a kategória a webügyfelekkel, például webböngészőkkel és ügyféloldali alkalmazásokkal, például CURL-sel, WGET-sel és másokkal kapcsolatos támadások és biztonsági rések aláírására szolgál. |
Webkiszolgáló | Ez a kategória a webkiszolgáló-infrastruktúra, például az APACHE, a TOMCAT, az NGINX, a Microsoft Internet Information Services (IIS) és más webkiszolgáló-szoftverek elleni támadások észlelésére szolgál. |
Webspecifikus alkalmazások | Ez a kategória az aláírásokra vonatkozik, amelyek észlelik az adott webalkalmazások támadásait és biztonsági réseit. |
FÉREG | Ez a kategória az aláírások számára készült olyan rosszindulatú tevékenységek észlelésére, amelyek egy biztonsági rés kihasználásával automatikusan megpróbálnak szétterjedni az interneten vagy a hálózaton. Bár a tényleges kihasználtság jellemzően az Exploit vagy az adott protokoll kategóriában lesz azonosítva, ebben a kategóriában egy másik bejegyzés is megadható, ha a féregszerű propagálást folytató tényleges kártevők is azonosíthatók. |
Következő lépések
- Az Azure Firewall Premium funkcióival kapcsolatos további információkért tekintse meg az Azure Firewall Premium funkcióit.