IDPS imza kuralı kategorilerini Azure Güvenlik Duvarı
tek tek imzalara atanabilecek 50'den fazla kategoriden Azure Güvenlik Duvarı IDPS özellikleri. Aşağıdaki tablo, her kategori için tanımların listesidir.
Kategoriler
| Kategori | Açıklama |
|---|---|
| 3CORESec | Bu kategori, 3CORESec ekibinin IP blok listelerinden otomatik olarak oluşturulan imzalara yöneliktir. Bu blok listeleri, Honeypot'larından gelen kötü amaçlı etkinliklere dayalı olarak 3CORESec tarafından oluşturulur. |
| ActiveX | Bu kategori, Microsoft ActiveX denetimlerine karşı saldırılara karşı koruma sağlayan ve ActiveX denetimlerindeki güvenlik açıklarını hedefleyen açıklardan yararlanan imzalara yöneliktir. |
| Adware-PUP | Bu kategori, imzaların reklam izleme veya casus yazılımla ilgili diğer etkinlik türleri için kullanılan yazılımları tanımlamasına yöneliktir. |
| Saldırı Yanıtı | Bu kategori, yetkisiz erişimi gösteren yanıtları tanımlayan imzalara yöneliktir; örnekler LMHost dosya indirme, belirli web başlıklarının varlığı ve Metasploit Meterpreter sonlandırma komutunu algılamayı içerir ancak bunlarla sınırlı değildir. Bu imzalar başarılı bir saldırının sonuçlarını yakalamak için tasarlanmıştır. Kimlik=kök veya bir güvenliğin aşıldığını gösteren hata iletileri gibi şeyler. |
| Botcc (Bot Komutu ve Denetimi) | Bu kategori, bilinen ve onaylanan etkin botnet ve diğer Komut ve Denetim (C2) konaklarının çeşitli kaynaklarından otomatik olarak oluşturulan imzalara yöneliktir. Bu kategori günlük olarak güncelleştirilir. Kategorinin birincil veri kaynağı şudur: Shadowserver.org. |
| Botcc Bağlantı Noktası gruplandırılmış | Bu kategori, Botcc kategorisindekiler gibi ancak hedef bağlantı noktasına göre gruplandırılmış imzalar içindir. Bağlantı noktasına göre gruplandırılmış kurallar, bağlantı noktasına göre gruplandırılmayan kurallardan daha yüksek uygunluk sunabilir. |
| Sohbet | Bu kategori, Internet Relay Chat (IRC) gibi birçok sohbet istemcisiyle ilgili trafiği tanımlayan imzalara yöneliktir. Sohbet trafiği, tehdit aktörlerinin olası iade etkinliğini gösteriyor olabilir. |
| CIArmy | Bu kategori, Engelleme için Kolektif Zeka'nın IP kuralları kullanılarak oluşturulan imzalara yöneliktir. |
| Madeni para madenciliği | Bu kategori, bozuk para madenciliği yapan kötü amaçlı yazılımları algılayan kurallara sahip imzalar içindir. Bu imzalar bazı meşru (ancak genellikle istenmeyen) madeni para madenciliği yazılımlarını da algılayabilir. |
| Tehlikeye | Bu kategori, güvenliği aşılmış bilinen konakların listesini temel alan imzalara yöneliktir. Bu liste onaylanır ve günlük olarak güncelleştirilir. Bu kategorideki imzalar, veri kaynaklarına bağlı olarak bir ila birkaç yüz kural arasında değişiklik gösterebilir. Bu kategoriye ait veri kaynakları birkaç özel ama son derece güvenilir veri kaynağından gelir. |
| Geçerli Olaylar | Bu kategori, etkin ve kısa süreli kampanyalara ve geçici olması beklenen yüksek profilli öğelere yanıt olarak geliştirilen kurallarla imzalar içindir. Bir örnek, olağanüstü durumlarla ilgili dolandırıcılık kampanyalarıdır. Bu kategorideki kuralların uzun süre kural kümesinde tutulması amaçlanmamıştır veya bu kuralların dahil edilmesi düşünülmeden önce daha fazla test edilmesi gerekir. Çoğu zaman bunlar günün Storm ikili URL'si için basit imzalar, yeni bulunan savunmasız uygulamaların CLSID'lerini yakalamaya yönelik imzalar ve açıktan yararlanma hakkında herhangi bir ayrıntıya sahip olmadığımız durumlar vb. olacaktır. |
| DNS (Etki Alanı Adı Hizmeti) | Bu kategori, DNS ile ilgili saldırılara ve güvenlik açıklarına yönelik kuralları olan imzalara yöneliktir. Bu kategori, tünel oluşturma gibi DNS'nin kötüye kullanımıyla ilgili kurallar için de kullanılır. |
| DOS | Bu kategori, Hizmet Reddi (DoS) girişimlerini algılayan imzalara yöneliktir. Bu kurallar, gelen DoS etkinliğini yakalamaya ve giden DoS etkinliğinin göstergesini sağlamaya yöneliktir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Bırakma | Bu kategori, imzaların Spamhaus DROP (Yönlendirme veya Eşleme) listesindeki IP adreslerini engellemesine yöneliktir. Bu kategorideki kurallar günlük olarak güncelleştirilir. |
| Dshield | Bu kategori, Dshield tarafından tanımlanan saldırganları temel alan imzalara yöneliktir. Bu kategorideki kurallar, güvenilir olan DShield üst saldırganlar listesinden günlük olarak güncelleştirilir. |
| Istismar | Bu kategori, belirli bir hizmet kategorisinde aksi halde ele alınmayan doğrudan açıklardan yararlanmaya karşı koruma sağlayan imzalara yöneliktir. Bu kategori, Microsoft Windows gibi güvenlik açıklarına karşı belirli saldırıların bulunacağı yerdir. SQL ekleme gibi kendi kategorilerine sahip saldırıların kendi kategorisi vardır. |
| Exploit-Kit | Bu kategori, imzaların Exploit Kits'in altyapısı ve teslimi ile ilgili etkinlikleri algılamasına yöneliktir. |
| FTP | Bu kategori, Dosya Aktarım Protokolü (FTP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla oturum açma işlemleri gibi kötü amaçlı olmayan FTP etkinliğini algılayan kuralları da içerir. |
| Oyunlar | Bu kategori, oyun trafiğini ve bu oyunlara yönelik saldırıları tanımlayan imzalara yöneliktir. Kurallar World of Warcraft, Starcraft ve diğer popüler çevrimiçi oyunlar gibi oyunları kapsar. Oyunlar ve trafiği kötü amaçlı olmasa da, genellikle istenmeyendir ve şirket ağlarındaki ilkeler tarafından yasaklanır. |
| Avlanma | Bu kategori, diğer imzalarla eşleştirildiğinde ortamda tehdit avcılığı için yararlı olabilecek göstergeler sağlayan imzalara yöneliktir. Bu kurallar geçerli trafik üzerinde hatalı pozitifler sağlayabilir ve performansı engelleyebilir. Bunlar yalnızca ortamdaki olası tehditleri etkin bir şekilde araştırırken kullanılması önerilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| ICMP | Bu kategori, İnternet Denetim İletisi Protokolü (ICMP) saldırılarıyla ve güvenlik açıklarıyla ilgili imzalara yöneliktir. |
| ICMP_info | Bu kategori, genellikle günlüğe kaydetme amacıyla normal işlemlerle ilişkili ICMP protokolüne özgü olaylarla ilgili imzalara yöneliktir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| IMAP | Bu kategori, İnternet İleti Erişim Protokolü (IMAP) ile ilgili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla nonmalicious IMAP etkinliğini algılayan kuralları da içerir. |
| Uygunsuz | Bu kategori, imzaların pornografik olan veya iş ortamı için uygun olmayan sitelerle ilgili potansiyel etkinlikleri tanımlamasına yöneliktir. Uyarı: Bu kategori önemli bir performans etkisine ve hatalı pozitiflerin yüksek oranına sahip olabilir. |
| Bilgi | Bu kategori, bağıntı ve ilginç etkinlikleri tanımlamak için yararlı olan, doğası gereği kötü amaçlı olmayan ancak genellikle kötü amaçlı yazılımlarda ve diğer tehditlerde gözlemlenen denetim düzeyi olayları sağlamaya yardımcı olan imzalara yöneliktir. Örneğin, etki alanı adı yerine IP adresine göre HTTP üzerinden yürütülebilir dosya indirme. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| JA3 | Bu kategori, JA3 karmalarını kullanarak kötü amaçlı SSL sertifikalarının parmak izini alan imzalara yöneliktir. Bu kurallar, hem istemciler hem de sunucular tarafından SSL el sıkışma anlaşmasındaki parametreleri temel alır. Bu kuralların hatalı pozitif oranı yüksek olabilir, ancak tehdit avcılığı veya kötü amaçlı yazılım patlama ortamları için yararlı olabilir. |
| Kötü amaçlı yazılım | Bu kategori, imzaların kötü amaçlı yazılımları algılamasına yöneliktir. Bu kategorideki kurallar, aktarımdaki kötü amaçlı yazılımlar, etkin kötü amaçlı yazılımlar, kötü amaçlı yazılım bulaşmaları, kötü amaçlı yazılım saldırıları ve kötü amaçlı yazılımların güncelleştirilmesi dahil olmak üzere ağda algılanan kötü amaçlı yazılımlarla ilgili etkinlikleri algılar. Bu aynı zamanda son derece önemli bir kategoridir ve çalıştırmanız kesinlikle önerilir. |
| Çeşitli | Bu kategori, diğer kategorilerde yer almayan imzalara yöneliktir. |
| Mobil Kötü Amaçlı Yazılım | Bu kategori, Google Android, Apple iOS ve diğerleri gibi mobil ve tablet işletim sistemleriyle ilişkili kötü amaçlı yazılımları gösteren imzalara yöneliktir. Algılanan ve mobil işletim sistemleriyle ilişkili kötü amaçlı yazılımlar genellikle Kötü Amaçlı Yazılım gibi standart kategoriler yerine bu kategoriye yerleştirilir. |
| NETBIOS | Bu kategori, NetBIOS ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan NetBIOS etkinliğini algılayan kuralları da içerir. |
| P2P | Bu kategori, Eşler Arası (P2P) trafiğin ve ona yönelik saldırıların tanımlanmasına yönelik imzalara yöneliktir. Tanımlanan P2P trafiği arasında torrentler, edonkey, Bittorrent, Gnutella ve Limewire bulunur. P2P trafiği doğası gereği kötü amaçlı değildir ancak genellikle kuruluşlar için dikkat çekicidir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Kimlik avı | Bu kategori, kimlik bilgisi kimlik avı etkinliğini algılayan imzalara yöneliktir. Bu, kimlik bilgisi kimlik avının görüntülendiği giriş sayfalarını ve kimlik bilgilerinin kimlik bilgisi kimlik avı sitelerine başarıyla gönderilmesini içerir. |
| İlke | Bu kategori, bir kuruluşun ilkesine yönelik ihlalleri gösterebilen imzalara yöneliktir. Bu, kötüye kullanıma açık protokolleri ve ilgi çekici olabilecek diğer uygulama düzeyi işlemleri içerebilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddet" moduna özelleştirerek bunu geçersiz kılabilir. |
| POP3 | Bu kategori, Postane Protokolü 3.0 (POP3) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla ilgili olmayan POP3 etkinliğini algılayan kuralları da içerir. |
| RPC | Bu kategori, Uzaktan Yordam Çağrısı (RPC) ile ilgili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan RPC etkinliğini algılayan kuralları da içerir. |
| SCADA | Bu kategori, denetim denetimi ve veri alımı (SCADA) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SCADA etkinliğini algılayan kuralları da içerir. |
| TARAMAK | Bu kategori, imzaların Nessus, Nikto ve diğer bağlantı noktası tarama araçları gibi araçlardan keşif ve yoklama algılamasına yöneliktir. Bu kategori, bir kuruluş içindeki erken ihlal etkinliğini ve enfeksiyon sonrası yanal hareketi algılamak için yararlı olabilir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddet" moduna özelleştirerek bunu geçersiz kılabilir. |
| Kabuk kodu | Bu kategori, uzak kabuk kodu algılamaya yönelik imzalara yöneliktir. Uzak kabuk kodu, bir saldırgan yerel ağdaki veya intranetteki başka bir makinede çalışan güvenlik açığına açık bir işlemi hedeflemek istediğinde kullanılır. Başarıyla yürütülürse, kabuk kodu saldırgana ağ üzerinden hedef makineye erişim sağlayabilir. Uzak kabuk kodları normalde saldırganın hedef makinedeki kabuğa erişmesine izin vermek için standart TCP/IP yuva bağlantılarını kullanır. Bu tür kabuk kodu, bu bağlantının nasıl kurulduğuna göre kategorilere ayrılabilir: Kabuk kodu bu bağlantıyı kurabilirse, kabuk kodu saldırganın makinesine geri bağlandığından buna "ters kabuk" veya "geri bağlan" kabuk kodu denir. |
| SMTP | Bu kategori, Basit Posta Aktarım Protokolü (SMTP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalara yöneliktir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SMTP etkinliğini algılayan kuralları da içerir. |
| SNMP | Bu kategori, Basit Ağ Yönetimi Protokolü (SNMP) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SNMP etkinliğini algılayan kuralları da içerir. |
| SQL | Bu kategori, Yapılandırılmış Sorgu Dili (SQL) ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan SQL etkinliğini algılayan kuralları da içerir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddet" moduna özelleştirerek bunu geçersiz kılabilir. |
| TELNET | Bu kategori, TELNET ile ilişkili saldırılar, açıklardan yararlanmalar ve güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla kötü amaçlı olmayan TELNET etkinliğini algılayan kuralları da içerir. |
| TFTP | Bu kategori, Saldırılar, açıklardan yararlanmalar ve Önemsiz Dosya Aktarım Protokolü (TFTP) ile ilişkili güvenlik açıklarıyla ilgili imzalar içindir. Bu kategori, günlüğe kaydetme amacıyla nonmalicious TFTP etkinliğini algılayan kuralları da içerir. |
| TOR | Bu kategori, IP adresine göre TOR çıkış düğümlerine gelen ve bu düğümlerden gelen trafiğin tanımlanmasına yönelik imzalara yöneliktir. Not: Bu kategorideki tüm imzalar "Yalnızca Uyarı" olarak tanımlanır, bu nedenle IDPS modu "Uyarı ve Reddet" olarak ayarlanmış olsa bile varsayılan olarak bu imzalarla eşleşen trafik engellenmez. Müşteriler bu özel imzaları "Uyarı ve Reddetme" moduna özelleştirerek bu davranışı geçersiz kılabilir. |
| Kullanıcı Aracıları | Bu kategori, imzaların şüpheli ve anormal kullanıcı aracılarını algılamasına yöneliktir. Bilinen kötü amaçlı kullanıcı aracıları Kötü Amaçlı Yazılım kategorisine yerleştirilir. |
| VOIP | Bu kategori SIP, H.323 ve RTP gibi IP üzerinden Ses (VOIP) ile ilişkili saldırılara ve güvenlik açıklarına yönelik imzalara yöneliktir. |
| Web İstemcisi | Bu kategori, web tarayıcıları ve CURL, WGET ve diğerleri gibi istemci tarafı uygulamaları gibi web istemcileri ile ilişkili saldırılara ve güvenlik açıklarına yönelik imzalara yöneliktir. |
| Web Sunucusu | Bu kategori apache, TOMCAT, NGINX, Microsoft Internet Information Services (IIS) ve diğer web sunucusu yazılımları gibi web sunucusu altyapısına yönelik saldırıları algılamak için imzalara yöneliktir. |
| Web'e Özgü Uygulamalar | Bu kategori, imzaların belirli web uygulamalarında saldırıları ve güvenlik açıklarını algılamasına yöneliktir. |
| SOLUCAN | Bu kategori, bir güvenlik açığından yararlanarak İnternet'e veya ağ içinde otomatik olarak yayılmaya çalışan kötü amaçlı etkinlikleri algılamaya yönelik imzalar WORM kategorisi olarak sınıflandırılır. Gerçek açıklardan yararlanmanın kendisi genellikle Exploit veya verilen protokol kategorisinde tanımlanacak olsa da, solucan benzeri yayılmaya giriş yapan gerçek kötü amaçlı yazılım da tanımlanabilirse bu kategoride başka bir giriş yapılabilir. |
Sonraki adımlar
- Azure Güvenlik Duvarı Premium özellikleri hakkında daha fazla bilgi edinmek için bkz. premium özellikleri Azure Güvenlik Duvarı.