Megosztás a következőn keresztül:


Az Azure Firewall IDPS-aláírási szabálykategóriái

Az Azure Firewall IDPS több mint 50 kategóriát tartalmaz, amelyek egyéni aláírásokhoz rendelhetők. Az alábbi táblázat az egyes kategóriák definícióinak listáját tartalmazza.

Kategóriák

Kategória Leírás
3CORESec Ez a kategória a 3CORESec-csapat IP-tiltólistáiból automatikusan létrehozott aláírásokhoz készült. Ezeket a tiltólistákat a 3CORESec hozza létre a mézeskalászok rosszindulatú tevékenységei alapján.
ActiveX Ez a kategória olyan aláírások, amelyek védelmet nyújtanak a Microsoft ActiveX-vezérlők elleni támadások ellen, és kihasználják az ActiveX-vezérlők biztonsági réseit.
Adware-PUP Ez a kategória a hirdetéskövetéshez vagy más kémprogramokkal kapcsolatos tevékenységekhez használt szoftverek azonosítására szolgál.
Támadási válasz Ez a kategória a behatolásra utaló válaszok azonosítására szolgál– ilyenek például az LMHost-fájlok letöltése, bizonyos webes szalagcímek jelenléte és a Metasploit Meterpreter kill parancs észlelése. Ezeket az aláírásokat úgy tervezték, hogy elkapják a sikeres támadás eredményeit. Előfordulhat, hogy olyan hibák történtek, mint az id=root vagy a biztonsági rést jelző hibaüzenetek.
Botcc (Bot Command and Control) Ez a kategória az ismert és megerősített aktív botnetek és más parancs- és vezérlési (C2)-gazdagépek több forrásából automatikusan létrehozott aláírások számára készült. Ez a kategória naponta frissül. A kategória elsődleges adatforrása a következő: Shadowserver.org.
Botcc Port csoportosítva Ez a kategória a Botcc kategóriához hasonló aláírásokhoz készült, de célportok szerint csoportosítva. A portok szerint csoportosított szabályok nagyobb hűséget biztosíthatnak, mint a nem portok szerint csoportosított szabályok.
Csevegés Ez a kategória olyan aláírásokra vonatkozik, amelyek számos csevegési ügyfélhez, például IRC (IRC) kapcsolódó forgalmat azonosítanak. A csevegési forgalom a fenyegetések szereplői által végzett lehetséges bejelentkezési tevékenységekre utalhat.
CIArmy Ez a kategória a kollektív intelligencia IP-szabályaival generált aláírások számára készült.
Érmebányászat Ez a kategória olyan szabályokkal rendelkező aláírásokra vonatkozik, amelyek észlelik a kártevőket, ami érembányászatot végez. Ezek az aláírások is észlelni néhány legitim (bár gyakran nem kívánatos) érmebányászat szoftver.
Kiegyezés Ez a kategória az ismert feltört gazdagépek listáján alapuló aláírásokhoz készült. Ezt a listát naponta visszaigazoljuk és frissítjük. Az ebben a kategóriában szereplő aláírások az adatforrásoktól függően egytől több száz szabályig terjedhetnek. A kategória adatforrásai számos privát, de nagyon megbízható adatforrásból származnak.
Aktuális események Ez a kategória az aktív és rövid élettartamú kampányokra, valamint a várhatóan ideiglenesnek számító, magas profilú elemekre válaszul kidolgozott szabályokkal rendelkező aláírásokra szól. Ilyenek például a katasztrófákkal kapcsolatos csalási kampányok. Az ebben a kategóriában szereplő szabályokat nem célja, hogy hosszú ideig a szabálykészletben tartsák, vagy amelyeket a felvételük előtt további tesztelésre kell használni. Ezek leggyakrabban egyszerű aláírások lesznek a Storm bináris URL-címéhez a nap folyamán, aláírások az újonnan talált sebezhető alkalmazások CLSID-jeinek elfogásához, ahol nincs részletes adatunk a biztonsági rések kihasználásáról, és így tovább.
DNS (Tartománynév szolgáltatás) Ez a kategória a DNS-sel kapcsolatos támadásokra és biztonsági résekre vonatkozó szabályokkal rendelkező aláírásokra érvényes. Ez a kategória a DNS-sel való visszaéléssel, például az bújtatással kapcsolatos szabályokhoz is használható.
DOS Ez a kategória a szolgáltatásmegtagadási (DoS-) kísérleteket észlelő aláírásokra szolgál. Ezek a szabályok célja a bejövő DoS-tevékenységek elfogása, valamint a kimenő DoS-tevékenység jelzése.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
Eltávolítás Ez a kategória arra vonatkozik, hogy az aláírások blokkolják az IP-címeket a Spamhaus DROP (Ne útvonal vagy társ) listán. A kategória szabályai naponta frissülnek.
Dshield Ez a kategória a Dshield által azonosított támadókon alapuló aláírásokhoz készült. Az ebben a kategóriában szereplő szabályok naponta frissülnek a DShield legfelső támadóinak listájáról, ami megbízható.
Kihasznál Ez a kategória olyan aláírásokra vonatkozik, amelyek védelmet nyújtanak egy adott szolgáltatáskategóriába egyébként nem tartozó közvetlen biztonsági résekkel szemben. Ebben a kategóriában talál konkrét támadásokat olyan biztonsági rések ellen, mint például a Microsoft Windows. A saját kategóriájukkal(például SQL-injektálással) rendelkező támadásoknak saját kategóriájuk van.
Exploit-Kit Ez a kategória az aláírások számára készült, amelyek észlelik az Exploit Kits infrastruktúrához és a kézbesítéshez kapcsolódó tevékenységeket.
FTP Ez a kategória a fájlátviteli protokollhoz (FTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek észlelik a nem rosszindulatú FTP-tevékenységeket, például a naplózási célú bejelentkezéseket.
Játékok Ez a kategória olyan aláírások számára készült, amelyek azonosítják a játékforgalmat és az ilyen játékok elleni támadásokat. A szabályok olyan játékokat fednek le, mint a World of Warcraft, a Starcraft és más népszerű online játékok. Bár a játékok és a forgalom nem rosszindulatúak, gyakran nemkívánatosak, és a vállalati hálózatokra vonatkozó szabályzat tiltja őket.
Veszélyforrás-keresés Ez a kategória olyan aláírások számára készült, amelyek olyan mutatókat biztosítanak, amelyek más aláírásokkal való egyeztetés esetén hasznosak lehetnek a fenyegetéskereséshez egy környezetben. Ezek a szabályok hamis pozitív értékeket adhatnak a jogos forgalomhoz, és gátolhatják a teljesítményt. Ezek csak akkor ajánlottak, ha aktívan kutatják a környezet potenciális fenyegetéseit.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
ICMP Ez a kategória az Internet Control Message Protocol (ICMP) támadásaihoz és biztonsági réseihez kapcsolódó aláírásokra vonatkozik.
ICMP_info Ez a kategória az ICMP protokollspecifikus eseményeivel kapcsolatos aláírásokra vonatkozik, amelyek általában a naplózási célú normál műveletekhez kapcsolódnak.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
IMAP Ez a kategória az Internet Message Access Protocol (IMAP) támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú IMAP-tevékenységeket.
Alkalmatlan Ez a kategória arra vonatkozik, hogy az aláírások azonosíthassák a pornográf vagy más módon nem megfelelő webhelyekhez kapcsolódó potenciális tevékenységeket egy munkahelyi környezetben.

Figyelmeztetés: Ez a kategória jelentős hatással lehet a teljesítményre, és magas a hamis pozitív értékek aránya.
Info Ez a kategória az aláírások célja, hogy olyan naplózási szintű eseményeket biztosítson, amelyek hasznosak a korrelációhoz és az érdekes tevékenységek azonosításához, amelyek nem lehetnek eredendően rosszindulatúak, de gyakran figyelhetők meg kártevőkben és egyéb fenyegetésekben. Például http-en keresztül letölthet egy végrehajtható fájlt IP-cím alapján, nem pedig tartománynév alapján.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
JA3 Ez a kategória a rosszindulatú SSL-tanúsítványok JA3-kivonatok használatával történő ujjlenyomat-ujjlenyomatára használható. Ezek a szabályok olyan paramétereken alapulnak, amelyek mind az ügyfelek, mind a kiszolgálók SSL-kézfogási egyeztetésében szerepelnek. Ezek a szabályok magas hamis pozitív arányúak lehetnek, de fenyegetéskereséshez vagy kártevő-detonációs környezetekhez hasznosak lehetnek.
Kártevő Ez a kategória a rosszindulatú szoftverek észlelésére szolgáló aláírások számára készült. Ebben a kategóriában a szabályok észlelik a hálózaton észlelt rosszindulatú szoftverekkel kapcsolatos tevékenységeket, beleértve az átvitt kártevőket, az aktív kártevőket, a kártevő-fertőzéseket, a kártevő-támadásokat és a kártevők frissítését. Ez is egy nagyon fontos kategória, és erősen ajánlott futtatni.
Egyebek Ez a kategória olyan aláírásokra vonatkozik, amelyekre más kategóriák nem vonatkoznak.
Mobil kártevők Ez a kategória olyan aláírásokat tartalmaz, amelyek a mobil- és táblagép-operációs rendszerekhez, például a Google Androidhoz, az Apple iOS-hez és másokhoz társított kártevőket jelölik. Az észlelt és a mobil operációs rendszerekhez társított kártevők általában ebbe a kategóriába kerülnek, nem pedig az olyan szokásos kategóriákba, mint a Kártevők.
NETBIOS Ez a kategória a NetBIOS-hoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú NetBIOS-tevékenységeket.
P2P Ez a kategória a peer-to-peer (P2P) forgalom és az ellene irányuló támadások azonosítására szolgáló aláírások. Az azonosított P2P-forgalom többek között torrenteket, edonkey-t, Bittorrentet, Gnutella-t és Limewire-t tartalmaz. A P2P-forgalom nem eredendően rosszindulatú, de gyakran jelentős a vállalatok számára.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
Adathalászat Ez a kategória olyan aláírások számára készült, amelyek észlelik a hitelesítő adatok adathalászati tevékenységét. Ide tartoznak a hitelesítő adatok adathalászatát megjelenítő kezdőlapok, valamint a hitelesítő adatok hitelesítő adatokkal adathalászati webhelyekre történő sikeres elküldése.
Szabályzat Ez a kategória olyan aláírások számára készült, amelyek a szervezet szabályzatának megsértését jelezhetik. Ilyenek lehetnek a visszaélésre hajlamos protokollok és egyéb alkalmazásszintű tranzakciók, amelyek érdekesek lehetnek.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
POP3 Ez a kategória a Post Office Protocol 3.0 (POP3) protokollhoz kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem rosszindulatú POP3-tevékenységeket.
RPC Ez a kategória a távoli eljáráshívással (RPC) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú RPC-tevékenységeket.
SCADA Ez a kategória a felügyeleti ellenőrzéssel és adatgyűjtéssel (SCADA) kapcsolatos támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SCADA-tevékenységeket.
ÁTKUTAT Ez a kategória az aláírások számára készült, hogy észleljék a felderítést és a felderítést olyan eszközökről, mint a Nessus, a Nikto és más portkeresési eszközök, eszközök. Ez a kategória hasznos lehet a korai behatolási tevékenység és a fertőzés utáni oldalirányú mozgás észleléséhez a szervezeten belül.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
Shell-kód Ez a kategória a rendszerhéjkód távoli észlelésére szolgáló aláírásokhoz készült. Távoli rendszerhéjkódot akkor használunk, ha a támadó egy helyi hálózaton vagy intraneten futó másik gépen futó sebezhető folyamatot szeretne megcélozza. Sikeres végrehajtás esetén a rendszerhéjkód hozzáférést biztosíthat a támadónak a célgéphez a hálózaton keresztül. A távoli rendszerhéjkódok általában szabványos TCP/IP-szoftvercsatorna-kapcsolatokat használnak, hogy a támadó hozzáférjen a rendszerhéjhoz a célszámítógépen. Az ilyen rendszerhéjkód a kapcsolat beállítása alapján kategorizálható: ha a rendszerhéjkód képes létrehozni ezt a kapcsolatot, akkor "fordított rendszerhéjnak" vagy "connect back" rendszerhéjkódnak nevezzük, mert a rendszerhéjkód visszacsatlakozik a támadó gépéhez.
SMTP Ez a kategória a Simple Mail Transfer Protocolhoz (SMTP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SMTP-tevékenységeket.
SNMP Ez a kategória a Simple Network Management Protocolhoz (SNMP) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SNMP-tevékenységeket.
SQL Ez a kategória a strukturált lekérdezési nyelvhez (SQL) társított támadásokhoz, biztonsági résekhez és biztonsági résekhez kapcsolódó aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú SQL-tevékenységeket.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt úgy, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
TELNET Ez a kategória a TELNET-hez kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célból észlelik a nem rosszindulatú TELNET-tevékenységeket.
TFTP Ez a kategória a triviális fájlátviteli protokollhoz (TFTP) kapcsolódó támadásokkal, biztonsági résekkel és biztonsági résekkel kapcsolatos aláírásokra vonatkozik. Ez a kategória olyan szabályokat is tartalmaz, amelyek naplózási célokra észlelik a nem rosszindulatú TFTP-tevékenységeket.
TOR Ez a kategória a TOR kilépési csomópontjaiba irányuló és onnan érkező forgalom azonosítására szolgáló aláírásokra használható az IP-cím alapján.

Megjegyzés: A kategória összes aláírása "Csak riasztásként" van definiálva, ezért alapértelmezés szerint az aláírásoknak megfelelő forgalom nem lesz blokkolva, annak ellenére, hogy az IDPS mód "Riasztás és megtagadás" értékre van állítva. Az ügyfelek felülbírálhatják ezt a viselkedést azáltal, hogy ezeket az aláírásokat "Riasztás és megtagadás" módra szabják.
Felhasználói ügynökök Ez a kategória a gyanús és rendellenes felhasználói ügynökök észlelésére szolgáló aláírások számára készült. Az ismert rosszindulatú felhasználói ügynökök a Kártevő kategóriában vannak elhelyezve.
VOIP Ez a kategória többek között a Voice over IP -hez (VOIP) kapcsolódó támadások és biztonsági rések aláírására használható, beleértve többek között a SIP-t, a H.323-at és az RTP-t.
Webes ügyfél Ez a kategória a webügyfelekkel, például webböngészőkkel és ügyféloldali alkalmazásokkal, például CURL-sel, WGET-sel és másokkal kapcsolatos támadások és biztonsági rések aláírására szolgál.
Webkiszolgáló Ez a kategória a webkiszolgáló-infrastruktúra, például az APACHE, a TOMCAT, az NGINX, a Microsoft Internet Information Services (IIS) és más webkiszolgáló-szoftverek elleni támadások észlelésére szolgál.
Webspecifikus alkalmazások Ez a kategória az aláírásokra vonatkozik, amelyek észlelik az adott webalkalmazások támadásait és biztonsági réseit.
FÉREG Ez a kategória az aláírások számára készült olyan rosszindulatú tevékenységek észlelésére, amelyek egy biztonsági rés kihasználásával automatikusan megpróbálnak szétterjedni az interneten vagy a hálózaton. Bár a tényleges kihasználtság jellemzően az Exploit vagy az adott protokoll kategóriában lesz azonosítva, ebben a kategóriában egy másik bejegyzés is megadható, ha a féregszerű propagálást folytató tényleges kártevők is azonosíthatók.

Következő lépések