设置威胁情报规则阻止对高严重性威胁站点的访问时,Microsoft为每个事务分配威胁类型。 本文提供类别列表以及说明。
注释
可以使用全局安全访问 流量日志中的“威胁类型”列检查目标的威胁类型。 如果要报告误报,除了添加新规则外,还可以使用此 模板通过电子邮件发出请求。
威胁类型
威胁类型
Description
僵尸网络
指示器详细介绍了僵尸网络节点/成员。
BruteForce
指示器详细说明暴力破解攻击。 它可以是受害者或攻击者。
C2
指示器详细说明了僵尸网络的 C2(命令和控制)节点。
加密挖矿
涉及此网络地址/URL 的流量表示加密挖掘/资源滥用。
深网
指示符是 Darknet 节点/网络。
DDoS 攻击
与活动或即将推出的 DDoS(分布式拒绝服务)活动相关的指标。
恶意URL
服务于恶意软件的 URL。
恶意软件
描述一个或多个恶意文件的指示器。
Phishing
与网络钓鱼活动相关的指示器。
代理
指示符是代理服务的指标。
PUA
PUA(可能不需要的应用程序)。
WatchList 或可疑
这是一般存储桶,当指标无法确切确定威胁是什么或将需要手动解释时,将指示器放入其中。