Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall-IDPS umfasst über 50 Kategorien, die einzelnen Signaturen zugewiesen werden können. Die folgende Tabelle enthält eine Liste der Definitionen für jede Kategorie.
Außerkraftsetzen von Verhalten und Einschränkungen
Sie können die Aktion für die meisten IDPS-Signaturen in „Aus“, „Warnung“ oder „Verweigern“ überschreiben. Einige Signaturen sind so gestaltet, dass sie den Kontext für nachfolgende Erkennungen festlegen (z. B. durch die Verwendung von Flow-Bits), sodass spätere Signaturen in der Warteschlange nur Alarm auslösen können. Wenn Sie diese Kontexteinstellungssignaturen zum Verweigern erzwingen, können Pakete gelöscht werden, ohne eine entsprechende Warnung zu generieren.
Hinweis
Um automatische Paketverluste zu verhindern und die beabsichtigte Erkennungslogik zu bewahren, verhindert Azure Firewall das Überschreiben einer kleinen Anzahl von den Kontext festlegenden Signaturen. Für diese Signaturen ist die Aktion festgelegt und kann nicht verändert werden.
Kategorien
| Category | BESCHREIBUNG |
|---|---|
| 3CORESec | Diese Kategorie gilt für Signaturen, die automatisch aus den IP-Blocklisten des 3CORESec-Teams generiert werden. Diese Blocklisten werden von 3CORESec basierend auf schädlichen Aktivitäten aus ihren Honeypots generiert. |
| ActiveX | Diese Kategorie gilt für Signaturen, die vor Angriffen auf Microsoft ActiveX-Steuerelemente und Exploits schützen, die auf Sicherheitsrisiken in ActiveX-Steuerelementen abzielen. |
| Adware-PUP | Diese Kategorie gilt für Signaturen, die Software identifizieren, die für die Nachverfolgung von Werbeaktivitäten oder andere Arten von Spyware-bezogenen Aktivitäten verwendet wird. |
| Angriffsreaktion | Diese Kategorie gilt für Signaturen zur Identifizierung von Reaktionen, die auf Eindringversuche hinweisen. Beispiele hierfür sind u. a. das Herunterladen von LMHost-Dateien, das Vorhandensein bestimmter Webbanner und die Erkennung des Metasploit Meterpreter-Kill-Befehls. Diese Signaturen sind so konzipiert, dass sie die Ergebnisse eines erfolgreichen Angriffs abfangen. Elemente wie ID=root oder Fehlermeldungen, die darauf hindeuten, dass eine Kompromittierung aufgetreten ist. |
| Botcc (Bot-Befehl und -Steuerung) | Diese Kategorie gilt für Signaturen, die automatisch aus verschiedenen Quellen bekannter und bestätigter aktiver Botnet- und anderer Command and Control-Hosts (C2) generiert werden. Diese Kategorie wird täglich aktualisiert. Die primäre Datenquelle der Kategorie ist Shadowserver.org.. |
| Botcc-Port gruppiert | Diese Kategorie gilt für Signaturen wie die in der Botcc-Kategorie, die jedoch nach Zielports gruppiert sind. Regeln, die nach Port gruppiert sind, können eine höhere Genauigkeit bieten als Regeln, die nicht nach Port gruppiert sind. |
| Chat | Diese Kategorie gilt für Signaturen, die Datenverkehr im Zusammenhang mit vielen Chatclients wie Internet Relay Chat (IRC) identifizieren. Chatdatenverkehr kann auf eine mögliche Eincheckaktivität durch Bedrohungsakteure hinweisen. |
| CIArmy | Diese Kategorie gilt für Signaturen, die mithilfe der IP-Regeln von Collective Intelligence zum Blockieren generiert werden. |
| Coin Mining | Diese Kategorie gilt für Signaturen mit Regeln zum Erkennen von Schadsoftware, die Coin Mining durchführt. Diese Signaturen können auch eine legitime (aber oft unerwünschte) Coin Mining-Software erkennen. |
| Kompromittiert | Diese Kategorie gilt für Signaturen, die auf einer Liste bekannter kompromittierter Hosts basieren. Diese Liste wird täglich bestätigt und aktualisiert. Die Signaturen in dieser Kategorie können je nach Datenquelle von einer bis zu mehreren hundert Regeln variieren. Bei den Datenquellen für diese Kategorie handelt es sich um mehrere private, aber äußerst zuverlässige Datenquellen. |
| Aktuelle Ereignisse | Diese Kategorie gilt für Signaturen mit Regeln, die als Reaktion auf aktive und kurzlebige Kampagnen entwickelt wurden, sowie für Elemente mit hohem Profil, von denen erwartet wird, dass sie temporär sind. Ein Beispiel sind Betrugskampagnen im Zusammenhang mit Notfällen. Die Regeln in dieser Kategorie sollen nicht lange im Regelsatz beibehalten werden, oder sie müssen weiter getestet werden, bevor sie für die Aufnahme in Betracht gezogen werden. Meistens handelt es sich hierbei um einfache Signaturen für die binäre Storm-URL des Tages, Signaturen zum Abfangen von CLSIDs von neu gefundenen anfälligen Apps, bei denen wir keine Details zum Exploit haben usw. |
| Domain Name Service (DNS) | Diese Kategorie gilt für Signaturen mit Regeln für Angriffe und Sicherheitsrisiken in Bezug auf DNS. Diese Kategorie wird auch für Regeln im Zusammenhang mit dem Missbrauch von DNS verwendet, z. B. Tunneling. |
| DOS | Diese Kategorie gilt für Signaturen, die DoS-Versuche (Denial of Service) erkennen. Diese Regeln sollen eingehende DoS-Aktivitäten abfangen und auf ausgehende DoS-Aktivitäten hinweisen. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| Verwerfen | Diese Kategorie gilt für Signaturen zum Blockieren von IP-Adressen in der Spamhaus DROP-Liste (Don't Route or Peer). Die Regeln in dieser Kategorie werden täglich aktualisiert. |
| Dshield | Diese Kategorie gilt für Signaturen, die auf Angreifern basieren, die von Dshield identifiziert werden. Die Regeln in dieser Kategorie werden täglich anhand der Liste der wichtigsten DShield-Angreifer aktualisiert, was zuverlässig ist. |
| Exploit | Diese Kategorie gilt für Signaturen, die vor direkten Exploits schützen, die nicht anderweitig in einer bestimmten Dienstkategorie abgedeckt sind. Diese Kategorie ist der Ort, an dem bestimmte Angriffe auf Sicherheitsrisiken wie z. B. gegen Microsoft Windows gefunden werden. Manche Angriffe, wie z. B. Einschleusung von SQL-Befehlen, haben eine eigene Kategorie. |
| Exploit-Kit | Diese Kategorie gilt für Signaturen zum Erkennen von Aktivitäten im Zusammenhang mit Exploit Kits, ihrer Infrastruktur und Übermittlung. |
| FTP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem File Transfer Protocol (FTP) zugeordnet sind. Diese Kategorie enthält auch Regeln, die nicht schädliche FTP-Aktivitäten wie Anmeldungen für Protokollierungszwecke erkennen. |
| Spiele | Diese Kategorie gilt für Signaturen, die den Gamingdatenverkehr und Angriffe auf diese Spiele identifizieren. Die Regeln umfassen Spiele wie World of Warcraft, Starcraft und andere beliebte Onlinespiele. Die Spiele und ihr Datenverkehr sind zwar nicht bösartig, aber nach den Richtlinien in Unternehmensnetzwerken häufig unerwünscht und unzulässig. |
| Suche | Diese Kategorie gilt für Signaturen, die Indikatoren bereitstellen, die bei Übereinstimmung mit anderen Signaturen für die Bedrohungssuche in einer Umgebung nützlich sein können. Diese Regeln können falsch positive Ergebnisse für legitimen Datenverkehr liefern und die Leistung beeinträchtigen. Sie sollten nur dazu verwendet werden, aktiv nach potenziellen Bedrohungen in der Umgebung zu suchen. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| ICMP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen und Sicherheitsrisiken im Zusammenhang mit dem Internet Control Message Protocol (ICMP). |
| ICMP_info | Diese Kategorie gilt für Signaturen im Zusammenhang mit protokollspezifischen ICMP-Ereignissen, die in der Regel normalen Vorgängen zu Protokollierungszwecken zugeordnet sind. Hinweis: Alle Signaturen in dieser Kategorie sind als nur Warnung definiert, und daher wird Datenverkehr, der diesen Signaturen entspricht, nicht blockiert, obwohl der IDPS-Modus auf Warnung und Verweigern festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| IMAP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit dem Internet Message Access Protocol (IMAP). Diese Kategorie umfasst auch Regeln, die nicht bösartige IMAP-Aktivitäten zu Protokollierungszwecken erkennen. |
| Unangemessen | Diese Kategorie gilt für Signaturen zum Identifizieren potenzieller Aktivitäten im Zusammenhang mit Websites, die pornografisch oder anderweitig für eine Arbeitsumgebung nicht geeignet sind. Warnung: Diese Kategorie kann erhebliche Auswirkungen auf die Leistung haben und eine hohe Rate falsch positiver Ergebnisse liefern. |
| Info | Diese Kategorie richtet sich an Signaturen, um Ereignisse auf Überwachungsebene bereitzustellen, die für die Korrelation nützlich sind und interessante Aktivitäten identifizieren, die möglicherweise nicht inhärent böswillig sind, aber häufig in Schadsoftware und anderen Bedrohungen beobachtet werden. Beispiel: Herunterladen einer ausführbaren Datei über HTTP nach IP-Adresse anstelle des Domänennamens. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| JA3 | Diese Kategorie gilt für Signaturen zum Fingerabdruck schädlicher SSL-Zertifikate mithilfe von JA3-Hashes. Diese Regeln basieren auf Parametern, die in der SSL-Handshakeaushandlung sowohl von Clients als auch Servern verwendet werden. Diese Regeln können eine hohe Rate falsch positiver Ergebnisse liefern, aber für Bedrohungssuche oder Malware Detonation-Umgebungen nützlich sein. |
| Schadsoftware | Diese Kategorie gilt für Signaturen zum Erkennen von Schadsoftware. Regeln in dieser Kategorie erkennen Aktivitäten im Zusammenhang mit Schadsoftware, die im Netzwerk erkannt wird, einschließlich übertragener Schadsoftware, aktiver Schadsoftware, Schadsoftwareinfizierungen, Schadsoftwareangriffen und Aktualisierung von Schadsoftware. Dies ist auch eine sehr wichtige Kategorie, und es wird dringend empfohlen, sie ausführen. |
| Sonstiges | Diese Kategorie gilt für Signaturen, die nicht von anderen Kategorien abgedeckt werden. |
| Mobile Schadsoftware | Diese Kategorie gilt für Signaturen, die auf Schadsoftware im Zusammenhang mit Mobilgeräte- und Tablet-Betriebssystemen wie Google Android, Apple iOS und anderen hinweisen. Erkannte Schadsoftware, die mit mobilen Betriebssystemen in Zusammenhang steht, wird in der Regel dieser Kategorie und nicht den Standardkategorien wie „Schadsoftware“ zugeordnet. |
| NETBIOS | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die NETBIOS zugeordnet sind. Diese Kategorie enthält auch Regeln, die nichtalienhafte NetBIOS-Aktivitäten für Protokollierungszwecke erkennen. |
| P2P | Diese Kategorie gilt für Signaturen zur Identifizierung von Peer-zu-Peer-Datenverkehr (P2P) und Angriffen darauf. Identifizierter P2P-Datenverkehr umfasst u.a. torrents, edonkey, Bittorrent, Gnutella und Limewire. P2P-Datenverkehr ist nicht grundsätzlich bösartig, aber häufig bemerkenswert für Unternehmen. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| Phishing | Diese Kategorie gilt für Signaturen, die Aktivitäten zum Phishing von Anmeldeinformationen erkennen. Dies schließt Landing Pages ein, die das Phishing von Anmeldeinformationen und die erfolgreiche Übermittlung von Anmeldeinformationen zu Websites zum Phishing von Anmeldeinformationen anzeigen. |
| Richtlinie | Diese Kategorie richtet sich an Signaturen, die auf Verstöße gegen die Richtlinie einer Organisation hinweisen können. Dies kann Protokolle umfassen, die anfällig für Missbrauch sind, und andere Transaktionen auf Anwendungsebene, die von Interesse sein können. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Warnungs- und Deny-Modus anpassen. |
| POP3 | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Post Office Protocol 3.0 (POP3) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige POP3-Aktivitäten zu Protokollierungszwecken erkennen. |
| RPC | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit Remoteprozeduraufrufen (Remote Procedure Call, RPC). Diese Kategorie enthält auch Regeln, die nicht schädliche RPC-Aktivitäten für Protokollierungszwecke erkennen. |
| SCADA | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken im Zusammenhang mit SCADA (Supervisory Control And Data Acquisition; Überwachung, Steuerung und Datenerfassung). Diese Kategorie enthält auch Regeln, mit denen nicht schädliche SCADA-Aktivitäten für Protokollierungszwecke erkannt werden. |
| SCAN | Diese Kategorie gilt für Signaturen zum Erkennen von Reconnaissance und Sondierung über Tools wie Nessus, Nikto und andere Portscantools. Diese Kategorie kann nützlich sein, um frühe Sicherheitsverletzungsaktivitäten und laterale Bewegungen nach der Infektion innerhalb einer Organisation zu erkennen. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Warnungs- und Deny-Modus anpassen. |
| Shellcode | Diese Kategorie gilt für Signaturen für die Remoteshellcode-Erkennung. Remoteshellcode wird verwendet, wenn ein Angreifer auf einen anfälligen Prozess abzielt, der auf einem anderen Computer in einem lokalen Netzwerk oder im Intranet ausgeführt wird. Bei erfolgreicher Ausführung kann der Shellcode dem Angreifer über das Netzwerk Zugriff auf den Zielcomputer bieten. Remoteshellcodes verwenden normalerweise standardmäßge TCP/IP-Socketverbindungen, um dem Angreifer auf dem Zielcomputer Zugriff auf die Shell zu ermöglichen. Ein solcher Shellcode kann basierend auf der Einrichtung dieser Verbindung kategorisiert werden: Wenn der Shellcode diese Verbindung herstellen kann, wird er als "Reverse Shell" oder als "Connect Back"-Shellcode bezeichnet, da der Shellcode eine Verbindung mit dem Computer des Angreifers herstellt. |
| SMTP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Simple Mail Transfer Protocol (SMTP) zugeordnet sind. Diese Kategorie enthält auch Regeln, mit denen nicht schädliche SMTP-Aktivitäten für Protokollierungszwecke erkannt werden. |
| SNMP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Simple Network Management Protocol (SNMP) zugeordnet sind. Diese Kategorie enthält auch Regeln, die nicht schädliche SNMP-Aktivitäten für Protokollierungszwecke erkennen. |
| SQL | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die Structured Query Language (SQL) zugeordnet sind. Diese Kategorie enthält auch Regeln, mit denen nicht schädliche SQL-Aktivitäten für Protokollierungszwecke erkannt werden. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dies außer Kraft setzen, indem sie diese spezifischen Signaturen auf den Warnungs- und Deny-Modus anpassen. |
| TELNET | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die TELNET zugeordnet sind. Diese Kategorie enthält auch Regeln, mit denen nichtalisige TELNET-Aktivitäten für Protokollierungszwecke erkannt werden. |
| TFTP | Diese Kategorie gilt für Signaturen im Zusammenhang mit Angriffen, Exploits und Sicherheitsrisiken, die dem Trivial File Transfer Protocol (TFTP) zugeordnet sind. Diese Kategorie umfasst auch Regeln, die nicht bösartige TFTP-Aktivitäten zu Protokollierungszwecken erkennen. |
| TOR | Diese Kategorie gilt für Signaturen für die Identifizierung von Datenverkehr zu und von TOR-Exitknoten basierend auf der IP-Adresse. Hinweis: Alle Signaturen in dieser Kategorie werden standardmäßig nur als Warnung definiert, daher wird der Datenverkehr, der diese Signaturen abgleicht, nicht blockiert, obwohl der IDPS-Modus auf "Warnung" und "Verweigern" festgelegt ist. Kunden können dieses Verhalten außer Kraft setzen, indem sie diese spezifischen Signaturen in den Warnungs- und Deny-Modus anpassen. |
| Benutzer-Agents | Diese Kategorie gilt für Signaturen zur Erkennung verdächtiger und anomaler Benutzer-Agents. Bekannte schädliche Benutzer-Agents werden in der Kategorie „Schadsoftware“ platziert. |
| VOIP | Diese Kategorie gilt für Signaturen für Angriffe und Sicherheitsrisiken im Zusammenhang mit Voice over IP (VOIP), einschließlich SIP, H.323 und RTP. |
| Webclient | Diese Kategorie gilt für Signaturen für Angriffe und Sicherheitsrisiken im Zusammenhang mit Webclients wie Webbrowsern und auch clientseitigen Anwendungen wie CURL, WGET und anderen. |
| Webserver | Diese Kategorie gilt für Signaturen zum Erkennen von Angriffen auf Webserverinfrastrukturen wie APACHE, TOMCAT, NGINX, Microsoft-Internetinformationsdienste (IIS) und andere Webserversoftware. |
| Webspezifische Apps | Diese Kategorie gilt für Signaturen zum Erkennen von Angriffen und Sicherheitsrisiken in bestimmten Webanwendungen. |
| WORM | Diese Kategorie gilt für Signaturen zum Erkennen schädlicher Aktivitäten, die automatisch versuchen, sich über das Internet oder innerhalb eines Netzwerks zu verteilen, indem ein Sicherheitsrisiko ausgenutzt wird. Während der tatsächliche Exploit selbst in der Regel in der Exploit- oder bestimmten Protokollkategorie identifiziert wird, kann ein weiterer Eintrag in dieser Kategorie vorgenommen werden, wenn auch die tatsächliche Schadsoftware identifiziert werden kann, die sich an wurmähnlicher Verbreitung beteiligt. |
Nächste Schritte
- Weitere Informationen zu den Funktionen der Azure Firewall Premium finden Sie unter Funktionen der Azure Firewall Premium.