تنبيهات الأمان - دليل مرجعي

مقالة
03/17/2024

تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.

في أسفل هذه الصفحة، يوجد جدول يصف سلسلة إيقاف Microsoft Defender for Cloud تتماشى مع الإصدار 9 من مصفوفة MITRE ATT&CK.

تعرف على كيفية الاستجابة لهذه التنبيهات.

تعرف على كيفية تصدير التنبيهات.

إشعار

قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.

تنبيهات لأجهزة Windows

يوفر Microsoft Defender للخوادم الخطة 2 اكتشافات وتنبيهات فريدة، بالإضافة إلى تلك التي توفرها Microsoft Defender لنقطة النهاية. التنبيهات المقدمة لأجهزة Windows هي:

مزيد من التفاصيل والملاحظات

تم الكشف عن تسجيل دخول من عنوان IP ضار. [يحدث عدة مرات]

الوصف: حدثت مصادقة ناجحة عن بعد للحساب [الحساب] والعملية [العملية]، ولكن تم الإبلاغ عن عنوان IP لتسجيل الدخول (x.x.x.x) مسبقا على أنه ضار أو غير عادي للغاية. ربما حدث هجوم ناجح. الملفات التي تحتوي على ملحقات .scr هي ملفات حفظ الشاشة وعادة ما تكون موجودة ويتم تنفيذها من دليل نظام Windows.

تكتيكات MITRE: -

الخطورة: عالية

تم تدقيق انتهاك نهج التحكم في التطبيق التكيفي

VM_AdaptiveApplicationControlWindowsViolationAudited

الوصف: قام المستخدمون أدناه بتشغيل التطبيقات التي تنتهك نهج التحكم في التطبيق لمؤسستك على هذا الجهاز. قد يعرض الجهاز للبرامج الضارة أو الثغرات الأمنية في التطبيق.

تكتيكات MITRE: التنفيذ

الخطورة: معلوماتية

إضافة حساب الضيف إلى مجموعة المسؤولين المحليين

الوصف: كشف تحليل بيانات المضيف عن إضافة حساب Guest المضمن إلى مجموعة Local مسؤول istrators على ٪{Compromised Host}، المرتبط بشدة بنشاط المهاجم.

تكتيكات MITRE: -

الخطورة: متوسط

تم مسح سجل أحداث

الوصف: تشير سجلات الجهاز إلى عملية مسح سجل أحداث مشبوهة بواسطة المستخدم: '٪{اسم المستخدم}' في الجهاز: '٪{CompromisedEntity}'. تم مسح سجل %{log channel}.

تكتيكات MITRE: -

الخطورة: معلوماتية

فشل إجراء مكافحة البرامج الضارة

الوصف: صادفت Microsoft Antimalware خطأ عند اتخاذ إجراء بشأن البرامج الضارة أو البرامج الأخرى التي قد تكون غير مرغوب فيها.

تكتيكات MITRE: -

الخطورة: متوسط

إجراء مكافحة البرامج الضارة الذي تم اتخاذه

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري

(VM_AmTemporarilyDisablement)

الوصف: تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل برنامج الحماية من البرامج الضارة على جهازك الظاهري لمنع الكشف.

تكتيكات MITRE: -

الخطورة: متوسط

استبعاد ملف مكافحة البرامج الضارة غير العادي في جهازك الظاهري

(VM_UnusualAmFileExclusion)

الوصف: تم الكشف عن استبعاد ملف غير عادي من ملحق مكافحة البرامج الضارة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع الكشف أثناء تشغيل التعليمات البرمجية العشوائية أو إصابة الجهاز بالبرامج الضارة.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

الاتصال بالمجال المشبوه الذي حدَّده التحليل الذكي للمخاطر

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن تنفيذ أمر "net.exe stop" المستخدم لإيقاف الخدمات الهامة مثل SharedAccess أو تطبيق أمن Windows. يمكن أن يكون إيقاف أي من هذه الخدمات مؤشرا على سلوك ضار.

تكتيكات MITRE: -

الخطورة: متوسط

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن تنفيذ عملية أو أمر يرتبط عادة بالتنقيب عن العملات الرقمية.

تكتيكات MITRE: -

الخطورة: عالية

بناء البرنامج النصي الديناميكي PS

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن برنامج نصي PowerShell يتم إنشاؤه ديناميكيا. يستخدم المهاجمون أحيانًا هذا النهج لبناء برنامج نصي تدريجيًا من أجل التهرب من أنظمة IDS. قد يكون هذا نشاطًا مشروعًا، أو مؤشرًا على تعرض أحد أجهزتك للخطر.

تكتيكات MITRE: -

الخطورة: متوسط

تم العثور على قابل للتنفيذ يعمل من موقع مريب

الوصف: كشف تحليل بيانات المضيف عن ملف قابل للتنفيذ على ٪{Compromised Host} يتم تشغيله من موقع مشترك مع الملفات المشبوهة المعروفة. يمكن أن يكون هذا الملف التنفيذي إما نشاطًا شرعيًا أو مؤشرًا على مضيف مخترق.

تكتيكات MITRE: -

الخطورة: عالية

تم الكشف عن سلوك الهجوم بدون ملف

(VM_FilelessAttackBehavior.Windows)

الوصف: تحتوي ذاكرة العملية المحددة على سلوكيات شائعة الاستخدام من قبل الهجمات بدون ملفات. تتضمن السلوكيات المحددة ما يلي:

Shellcode، هو جزء صغير من التعليمات البرمجية يُستخدم عادةً كحمولة في استغلال ثغرة أمنية في البرنامج.
اتصالات الشبكة النشطة. راجع NetworkConnections أدناه للحصول على التفاصيل.
استدعاءات الدالة إلى واجهات نظام التشغيل الحساسة للأمان. راجع القدرات أدناه للحصول على قدرات نظام التشغيل المشار إليها.
يحتوي على مؤشر ترابط تم بدء تشغيله في مقطع تعليمات برمجية مخصص ديناميكيا. هذا نمط شائع لهجمات حقن العمليات.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: منخفض

تم الكشف عن تقنية الهجوم بدون ملف

(VM_FilelessAttackTechnique.Windows)

الوصف: تحتوي ذاكرة العملية المحددة أدناه على دليل على تقنية هجوم بدون ملف. يتم استخدام الهجمات بدون ملفات من قبل المهاجمين لتنفيذ التعليمات البرمجية أثناء التهرب من الكشف بواسطة برنامج الأمان. تتضمن السلوكيات المحددة ما يلي:

Shellcode، هو جزء صغير من التعليمات البرمجية يُستخدم عادةً كحمولة في استغلال ثغرة أمنية في البرنامج.
صورة قابلة للتنفيذ تم إدخالها في العملية، كما هو الحال في هجوم إدخال التعليمات البرمجية.
اتصالات الشبكة النشطة. راجع NetworkConnections أدناه للحصول على التفاصيل.
استدعاءات الدالة إلى واجهات نظام التشغيل الحساسة للأمان. راجع القدرات أدناه للحصول على قدرات نظام التشغيل المشار إليها.
تجويف العملية، وهو أسلوب تستخدمه البرامج الضارة حيث يتم تحميل عملية شرعية على النظام للعمل كحاوية للتعليمات البرمجية المعادية.
يحتوي على مؤشر ترابط تم بدء تشغيله في مقطع تعليمات برمجية مخصص ديناميكيا. هذا نمط شائع لهجمات حقن العمليات.

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: عالية

تم الكشف عن مجموعة أدوات الهجوم بدون ملف

(VM_FilelessAttackToolkit.Windows)

الوصف: تحتوي ذاكرة العملية المحددة على مجموعة أدوات هجوم بدون ملف: [اسم مجموعة الأدوات]. تستخدم مجموعات أدوات الهجوم بدون ملفات تقنيات تقلل من آثار البرامج الضارة على القرص أو تلغيها، وتقلل إلى حد كبير من فرص الكشف عن طريق حلول فحص البرامج الضارة المستندة إلى القرص. تتضمن السلوكيات المحددة ما يلي:

مجموعات الأدوات المعروفة وبرامج التنقيب عن التشفير.
Shellcode، هو جزء صغير من التعليمات البرمجية يُستخدم عادةً كحمولة في استغلال ثغرة أمنية في البرنامج.
حقن ضار قابل للتنفيذ في ذاكرة المعالجة.

الوصف: تمت ملاحظة عملية النظام SVCHOST التي تقوم بتشغيل مجموعة خدمة نادرة. غالبًا ما تستخدم البرامج الضارة SVCHOST للتنكر لنشاطها الضار.

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: معلوماتية

تم الكشف عن هجوم المفاتيح الملصقة

الوصف: يشير تحليل بيانات المضيف إلى أن المهاجم قد يقوم بتخريب ثنائي إمكانية وصول ذوي الاحتياجات الخاصة (على سبيل المثال المفاتيح الملصقة ولوحة المفاتيح على الشاشة والراوي) من أجل توفير وصول المدخل الخلفي إلى المضيف ٪{Compromised Host}.

تكتيكات MITRE: -

الخطورة: متوسط

هجوم القوة الغاشمة الناجح

(VM_LoginBruteForceSuccess)

الوصف: تم الكشف عن العديد من محاولات تسجيل الدخول من نفس المصدر. تمت المصادقة على بعضها بنجاح إلى المضيف. يشبه هذا هجوم الاندفاع، حيث يقوم المهاجم بالعديد من محاولات المصادقة للعثور على بيانات اعتماد حساب صالحة.

تكتيكات MITRE: الاستغلال

الخطورة: متوسط/مرتفع

مستوى النزاهة المشتبه به يدل على اختطاف RDP

الوصف: كشف تحليل بيانات المضيف عن tscon.exe قيد التشغيل مع امتيازات SYSTEM - يمكن أن يكون هذا مؤشرا على أن مهاجما يسيء استخدام هذا الثنائي من أجل تبديل السياق إلى أي مستخدم آخر قام بتسجيل الدخول على هذا المضيف؛ إنها تقنية مهاجم معروفة لاختراق المزيد من حسابات المستخدمين والتحرك أفقيا عبر الشبكة.

تكتيكات MITRE: -

الخطورة: متوسط

تثبيت الخدمة المشتبه بها

الوصف/ تعليمات: كشف تحليل بيانات المضيف عن تثبيت tscon.exe كخدمة: من المحتمل أن يسمح هذا الثنائي الذي يتم بدؤه كخدمة للمهاجم بالتبديل إلى أي مستخدم آخر قام بتسجيل الدخول على هذا المضيف عن طريق اختطاف اتصالات RDP؛ إنها تقنية مهاجم معروفة لاختراق المزيد من حسابات المستخدمين والتحرك أفقيا عبر شبكة.

تكتيكات MITRE: -

الخطورة: متوسط

تمت ملاحظة معلمات هجوم Kerberos Golden Ticket المشتبه بها

الوصف: كشف تحليل بيانات المضيف عن معلمات سطر الأوامر المتوافقة مع هجوم Kerberos Golden Ticket.

تكتيكات MITRE: -

الخطورة: متوسط

الوصف: يشير إلى أنه تم تخصيص مقطع تعليمة برمجية باستخدام أساليب غير قياسية، مثل الحقن العاكس وتجويف العملية. يوفر التنبيه المزيد من خصائص مقطع التعليمات البرمجية التي تمت معالجتها لتوفير سياق لقدرات وسلوكيات مقطع التعليمات البرمجية المبلغ عنها.

تكتيكات MITRE: -

الخطورة: متوسط

ملف ملحق مزدوج مريب تم تنفيذه

الوصف: يشير تحليل بيانات المضيف إلى تنفيذ عملية ذات امتداد مزدوج مريب. قد يخدع هذا الملحق المستخدمين ليفكروا في أن الملفات آمنة ليتم فتحها وقد يشير إلى وجود برامج ضارة على النظام.

تكتيكات MITRE: -

الخطورة: عالية

تم الكشف عن تنزيل مشبوه باستخدام Certutil [تمت رؤيته عدة مرات]

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن استخدام certutil.exe، وهي أداة مساعدة مسؤول مضمنة، لتنزيل ثنائي بدلا من الغرض الأساسي الخاص به يتعلق بمعالجة الشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال باستخدام certutil.exe لتنزيل وفك تشفير ملف تنفيذي ضار سيتم تنفيذه بعد ذلك. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [Machine names]

تكتيكات MITRE: -

الخطورة: متوسط

تكتيكات MITRE: -

الخطورة: متوسط

إعادة تعيين مفتاح SSH للمستخدم غير العادي في جهازك الظاهري

(VM_VMAccessUnusualSSHReset)

الوصف: تم الكشف عن إعادة تعيين مفتاح SSH غير عادي للمستخدم في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون شرعيا، يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين مفتاح SSH لحساب مستخدم في جهازك الظاهري واختراقه.

تكتيكات MITRE: الوصول إلى بيانات الاعتماد

الخطورة: متوسط

تم الكشف عن تخصيص كائن VBScript HTTP

الوصف: تم الكشف عن إنشاء ملف VBScript باستخدام موجه الأوامر. يحتوي البرنامج النصي التالي على أمر تخصيص كائن HTTP. يمكن استخدام هذا الإجراء لتنزيل الملفات الضارة.

التثبيت المشبوه لملحق GPU في جهازك الظاهري (معاينة)

(VM_GPUDriverExtensionUnusualExecution)

الوصف: تم الكشف عن التثبيت المشبوه لملحق GPU في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق برنامج تشغيل GPU لتثبيت برامج تشغيل وحدة معالجة الرسومات على جهازك الظاهري عبر Azure Resource Manager لتنفيذ عملية التشفير.

تكتيكات MITRE: التأثير

الخطورة: منخفض

(VM_AmTempRealtimeProtectionDisablement)

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

تم تعطيل الحماية من البرامج الضارة في الوقت الحقيقي مؤقتًا أثناء تنفيذ التعليمات البرمجية في جهازك الظاهري

(VM_AmRealtimeProtectionDisablementAndCodeExec)

تكتيكات MITRE: -

الخطورة: عالية

تكتيكات MITRE: -

الخطورة: منخفض

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن تنفيذ عملية أو أمر يرتبط عادة بالتنقيب عن العملات الرقمية.

تكتيكات MITRE: -

الخطورة: عالية

تعطيل التسجيل المدقق [ينظر إليه عدة مرات]

الوصف: يوفر نظام تدقيق Linux طريقة لتتبع المعلومات المتعلقة بالأمان على النظام. يسجل أكبر قدر ممكن من المعلومات حول الأحداث التي تحدث على النظام الخاص بك. قد يؤدي تعطيل التسجيل المدقق إلى إعاقة اكتشاف انتهاكات نهج الأمان المستخدمة في النظام. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [Machine names]

تكتيكات MITRE: -

الخطورة: منخفض

استغلال ثغرة Xorg [التي شوهدت عدة مرات]

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن مستخدم Xorg كوسيطات مشبوهة. قد يستخدم المهاجمون هذه التقنية في محاولات تصعيد الامتيازات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [Machine names]

تكتيكات MITRE: -

الخطورة: متوسط

فشل هجوم القوة الغاشمة SSH

(VM_SshBruteForceFailed)

الوصف: تم الكشف عن هجمات القوة الغاشمة الفاشلة من المهاجمين التاليين: ٪{المهاجمون}. كان المهاجمون يحاولون الوصول إلى المضيف بأسماء المستخدمين التالية: %{Accounts used on failed sign in to host attempts}.

تكتيكات MITRE: فحص

الخطورة: متوسط

تم الكشف عن سلوك الهجوم بدون ملف

(VM_FilelessAttackBehavior.Linux)

الوصف: تحتوي ذاكرة العملية المحددة أدناه على سلوكيات شائعة الاستخدام من قبل الهجمات بدون ملفات. تتضمن السلوكيات المحددة: {list of observed behaviors}

تكتيكات MITRE: التنفيذ

الخطورة: منخفض

تم الكشف عن تقنية الهجوم بدون ملف

(VM_FilelessAttackTechnique.Linux)

تكتيكات MITRE: التنفيذ

الخطورة: عالية

تم الكشف عن مجموعة أدوات الهجوم بدون ملف

(VM_FilelessAttackToolkit.Linux)

الوصف: تحتوي ذاكرة العملية المحددة أدناه على مجموعة أدوات هجوم بدون ملف: {ToolKitName}. عادة ما لا يكون لدى مجموعات أدوات الهجوم بدون ملفات وجود على نظام الملفات، ما يجعل الكشف عن طريق برامج مكافحة الفيروسات التقليدية أمرا صعبا. تتضمن السلوكيات المحددة: {list of observed behaviors}

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: عالية

تم الكشف عن تنفيذ الملف المخفي

الوصف: يشير تحليل بيانات المضيف إلى أنه تم تنفيذ ملف مخفي بواسطة ٪{user name}. يمكن أن يكون هذا النشاط إما نشاطًا شرعيًا أو مؤشرًا على مضيف مخترق.

تكتيكات MITRE: -

الخطورة: معلوماتية

تمت إضافة مفتاح SSH جديد [تمت رؤيته عدة مرات]

(VM_SshKeyAddition)

الوصف: تمت إضافة مفتاح SSH جديد إلى ملف المفاتيح المعتمدة. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [Machine names]

تكتيكات MITRE: الثبات

الخطورة: منخفض

تمت إضافة مفتاح SSH جديد

الوصف: تمت إضافة مفتاح SSH جديد إلى ملف المفاتيح المعتمدة.

تكتيكات MITRE: -

الخطورة: منخفض

تم الكشف عن خلفية محتملة [شوهدت عدة مرات]

الوصف: كشف تحليل بيانات المضيف عن ملف مريب يتم تنزيله ثم تشغيله على ٪{Compromised Host} في اشتراكك. تم إقران هذا النشاط مسبقًا بتثبيت أحد الأبواب الخلفية. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [Machine names]

تكتيكات MITRE: -

الخطورة: متوسط

الاستغلال المحتمل لخادم البريد الذي تم اكتشافه

(VM_MailserverExploitation )

الوصف: كشف تحليل بيانات المضيف على ٪{Compromised Host} عن تنفيذ غير عادي ضمن حساب خادم البريد

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

تم الكشف عن قذيفة ويب الخبيثة المحتملة

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن استخدام بروتوكول شاذ. قد تشير نسبة استخدام الشبكة هذه، على الرغم من أنه ربما تكون حميدة، إلى إساءة استخدام هذا البروتوكول الشائع لتجاوز تصفية نسبة استخدام الشبكة. يتضمن نشاط المهاجم ذي الصلة النموذجي نسخ أدوات الإدارة عن بعد إلى مضيف مخترق وطرد بيانات المستخدم منه.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: -

نشاط شبكة مجهول الهوية

(AzureDNS_DarkWeb)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط شبكة مجهول الهوية. غالبًا ما يستخدم المهاجمون مثل هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، للتهرب من تتبع اتصالات الشبكة وبصماتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

نشاط شبكة مجهول الهوية باستخدام وكيل الويب

(AzureDNS_DarkWebProxy)

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

محاولة الاتصال بمجال متلقي مريب

(AzureDNS_SinkholedDomain)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن طلب المجال المتلقي. هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، غالبًا ما يكون مؤشرًا على تنزيل البرامج الضارة أو تنفيذها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: متوسط

الاتصال بمجال التصيد الاحتيالي المحتمل

(AzureDNS_PhishingDomain)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن طلب لمجال تصيد احتيالي محتمل. وعلى الرغم من أن هذا النشاط قد يكون حميدًا، فإن المهاجمين كثيرًا ما يقومون به لحصاد بيانات الاعتماد إلى الخدمات عن بعد. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي استغلال أي بيانات اعتماد على الخدمة الشرعية.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: معلوماتية

الاتصال بالمجال المشبوه الذي تم إنشاؤه خوارزميا

(AzureDNS_DomainGenerationAlgorithm)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن الاستخدام المحتمل لخوارزمية إنشاء مجال. غالبًا ما يتم تنفيذ هذا النشاط، على الرغم من أنه قد يكون حميدًا، من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: معلوماتية

الاتصال بالمجال المشبوه الذي حدَّده التحليل الذكي للمخاطر

(AzureDNS_ThreatIntelSuspectDomain)

تكتيكات MITRE: الوصول الأولي

الخطورة: متوسط

الاتصال باسم المجال العشوائي المشبوه

(AzureDNS_RandomizedDomain)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن استخدام اسم مجال مريب تم إنشاؤه عشوائيا. غالبًا ما يتم تنفيذ هذا النشاط، على الرغم من أنه قد يكون حميدًا، من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: معلوماتية

نشاط استخراج العملات الرقمية

(AzureDNS_CurrencyMining)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط استخراج العملات الرقمية. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين بعد اختراق الموارد. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ أدوات التعدين الشائعة.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

تنشيط توقيع الكشف عن اختراق الشبكة

(AzureDNS_SuspiciousDomain)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن توقيع شبكة ضار معروف. هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، غالبًا ما يكون مؤشرًا على تنزيل البرامج الضارة أو تنفيذها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: متوسط

تنزيل البيانات المحتمل عبر نفق DNS

(AzureDNS_DataInfiltration)

الوصف: كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ البرامج الضارة أو أدوات الإدارة عن بعد.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

النقل غير المصرح للبيانات المحتمل عبر نفق DNS

(AzureDNS_DataExfiltration)

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

نقل البيانات المحتمل عبر نفق DNS

(AzureDNS_DataObfuscation)

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

تنبيهات لملحقات Azure VM

تركز هذه التنبيهات على الكشف عن الأنشطة المشبوهة لملحقات جهاز Azure الظاهري وتوفر رؤى حول محاولات المهاجمين للاختراق وتنفيذ الأنشطة الضارة على أجهزتك الظاهرية.

ملحقات الجهاز الظاهري Azure هي تطبيقات صغيرة تقوم بتشغيل ما بعد النشر على الأجهزة الظاهرية وتوفر قدرات مثل التكوين والأتمتة والمراقبة والأمان والمزيد. في حين أن الملحقات هي أداة قوية، يمكن استخدامها من قبل الجهات الفاعلة في التهديد لمختلف الأهداف الضارة، على سبيل المثال:

جمع البيانات ومراقبتها
تنفيذ التعليمات البرمجية ونشر التكوين بامتيازات عالية
إعادة تعيين بيانات الاعتماد وإنشاء مستخدمين إداريين
تشفير الأقراص

الخطورة: عالية

فك ترميز قابل للتنفيذ باستخدام certutil

(AppServices_ExecutableDecodedUsingCertutil)

الوصف: كشف تحليل بيانات المضيف على [الكيان المخترق] عن استخدام certutil.exe، وهي أداة مساعدة مسؤول مضمنة، لفك ترميز قابل للتنفيذ بدلا من الغرض الرئيسي الخاص به والذي يتعلق بمعالجة الشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال باستخدام أداة مثل certutil.exe لفك تشفير قابل للتنفيذ الضار الذي سيتم تنفيذه بعد ذلك. (ينطبق على: App Service على Windows)

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: عالية

تم الكشف عن سلوك الهجوم بدون ملف

(AppServices_FilelessAttackBehaviorDetection)

الوصف: تحتوي ذاكرة العملية المحددة أدناه على سلوكيات شائعة الاستخدام من قبل الهجمات بدون ملفات. تتضمن السلوكيات المحددة: {قائمة السلوكيات التي تمت ملاحظتها} (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم الكشف عن تقنية الهجوم بدون ملف

(AppServices_FilelessAttackTechniqueDetection)

تكتيكات MITRE: التنفيذ

الخطورة: عالية

تم الكشف عن مجموعة أدوات الهجوم بدون ملف

(AppServices_FilelessAttackToolkitDetection)

الوصف: تحتوي ذاكرة العملية المحددة أدناه على مجموعة أدوات هجوم بدون ملف: {ToolKitName}. عادة ما لا يكون لدى مجموعات أدوات الهجوم بدون ملفات وجود على نظام الملفات، ما يجعل الكشف عن طريق برامج مكافحة الفيروسات التقليدية أمرًا صعبًا. تتضمن السلوكيات المحددة: {قائمة السلوكيات التي تمت ملاحظتها} (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: عالية

تنبيه اختبار Microsoft Defender for Cloud لـ App Service (وليس تهديدًا)

(AppServices_EICAR)

الوصف: هذا تنبيه اختبار تم إنشاؤه بواسطة Microsoft Defender for Cloud. لا يوجد إجراء آخر مطلوب. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: -

الخطورة: عالية

تم الكشف عن فحص NMap

(AppServices_Nmap)

الوصف: يشير سجل نشاط Azure App Service إلى نشاط محتمل لبصمات الأصابع على الويب على مورد App Service. يرتبط النشاط المشبوه الذي تم اكتشافه بـ NMAP. غالبًا ما يستخدم المهاجمون هذه الأداة للتحقق من تطبيق الويب للعثور على الثغرات الأمنية. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: PreAttack

الخطورة: معلوماتية

محتوى التصيد الاحتيالي المستضاف على Azure Webapps

(AppServices_PhishingContent)

الوصف: عنوان URL المستخدم في هجوم التصيد الاحتيالي الموجود على موقع Azure AppServices على الويب. كان عنوان URL هذا جزءا من هجوم تصيد احتيالي تم إرساله إلى عملاء Microsoft 365. عادة ما يغرى المحتوى الزوار بإدخال بيانات اعتماد الشركة أو المعلومات المالية الخاصة بهم في موقع ويب شرعي المظهر. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: المجموعة

الخطورة: عالية

ملف PHP في مجلد التحميل

(AppServices_PhpInUploadFolder)

الوصف: يشير سجل نشاط Azure App Service إلى وصول إلى صفحة PHP مريبة موجودة في مجلد التحميل. لا يحتوي هذا النوع من المجلدات عادة على ملفات PHP. قد يشير وجود هذا النوع من الملفات إلى استغلال الاستفادة من نقاط الضعف في تحميل الملف العشوائي. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم الكشف عن تنزيل Cryptocoinminer المحتمل

(AppServices_CryptoCoinMinerDownload)

الوصف: كشف تحليل بيانات المضيف عن تنزيل ملف يرتبط عادة بالتنقيب عن العملات الرقمية. (ينطبق على: App Service على Linux)

تكتيكات MITRE: التهرب الدفاعي، القيادة والتحكم، الاستغلال

الخطورة: متوسط

تم الكشف عن النقل غير المصرح للبيانات المحتمل

(AppServices_DataEgressArtifacts)

الوصف: كشف تحليل بيانات المضيف/الجهاز عن حالة خروج بيانات محتملة. غالبًا ما يسحب المهاجمون البيانات من الأجهزة التي قاموا باختراقها. (ينطبق على: App Service على Linux)

MITRE tactics: Collection, Exfiltration

الخطورة: متوسط

تم الكشف عن سجل DNS متشابك محتمل لمورد App Service

(AppServices_PotentialDanglingDomain)

الوصف: تم الكشف عن سجل DNS يشير إلى مورد App Service محذوف مؤخرا (يعرف أيضا باسم إدخال DNS المتدلي). قد يتركك هذا عرضة للاستيلاء على مجال فرعي. تمكن عمليات الاستحواذ على المجال الفرعي الجهات الفاعلة الضارة من إعادة توجيه نسبة استخدام الشبكة المخصصة لمجال المؤسسة إلى موقع يقوم بنشاط ضار. في هذه الحالة، تم العثور على سجل نصي مع معرف التحقق من المجال. تمنع مثل هذه السجلات النصية استيلاء المجال الفرعي ولكننا لا نزال نوصي بإزالة المجال المتدلي. إذا تركت سجل DNS يشير إلى المجال الفرعي، فأنت في خطر إذا حذف أي شخص في مؤسستك ملف TXT أو سجله في المستقبل. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: -

الخطورة: منخفض

الكشف عن غلاف عكسي محتمل

(AppServices_ReverseShell)

الوصف: كشف تحليل بيانات المضيف عن غلاف عكسي محتمل. يتم استخدام هذه للحصول على جهاز مخترق للاتصال مرة أخرى إلى جهاز يمتلكه المهاجم. (ينطبق على: App Service على Linux)

تكتيكات MITRE: الاختراق والاستغلال

الخطورة: متوسط

تم الكشف عن تنزيل البيانات الأولية

(AppServices_DownloadCodeFromWebsite)

الوصف: كشف تحليل عمليات App Service عن محاولة لتنزيل التعليمات البرمجية من مواقع الويب للبيانات الأولية مثل Pastebin. تم تشغيل هذا الإجراء بواسطة عملية PHP. يرتبط هذا السلوك بمحاولات تنزيل قذائف الويب أو المكونات الضارة الأخرى إلى App Service. (ينطبق على: App Service على Windows)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم الكشف عن حفظ إخراج curl إلى القرص

(AppServices_CurlToDisk)

الوصف: كشف تحليل عمليات App Service عن تشغيل أمر curl حيث تم حفظ الإخراج إلى القرص. في حين أن هذا السلوك يمكن أن يكون شرعيًا، في تطبيقات الويب تتم ملاحظة هذا السلوك أيضًا في الأنشطة الضارة مثل محاولات إصابة مواقع الويب بقذائف الويب. (ينطبق على: App Service على Windows)

تكتيكات MITRE: -

الخطورة: منخفض

تم الكشف عن محيل مجلد البريد العشوائي

(AppServices_SpamReferrer)

الوصف: يشير سجل نشاط Azure App Service إلى نشاط الويب الذي تم تعريفه على أنه من موقع ويب مقترن بنشاط البريد العشوائي. يمكن أن يحدث هذا إذا تم اختراق موقع الويب الخاص بك واستخدامه لنشاط البريد العشوائي. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: -

الخطورة: منخفض

تم الكشف عن إمكانية الوصول المشبوه إلى صفحة الويب التي يحتمل أن تكون عرضة للخطر

(AppServices_ScanSensitivePage)

الوصف: يشير سجل نشاط Azure App Service إلى أنه تم الوصول إلى صفحة ويب يبدو أنها حساسة. نشأ هذا النشاط المشبوه من عنوان IP المصدر الذي يشبه نمط الوصول الخاص به برنامج فحص الويب. غالبا ما يرتبط هذا النشاط بمحاولة المهاجم فحص شبكتك لمحاولة الوصول إلى صفحات الويب الحساسة أو الضعيفة. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: -

الخطورة: منخفض

مرجع اسم المجال المشبوه

(AppServices_CommandlineSuspectDomain)

الوصف: تحليل بيانات المضيف التي تم اكتشافها كمرجع لاسم المجال المشبوه. هذا النشاط، على الرغم من أنه قد يكون سلوكًا شرعيًا للمستخدم، غالبًا ما يكون مؤشرًا على تنزيل البرامج الضارة أو تنفيذها. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد. (ينطبق على: App Service على Linux)

تكتيكات MITRE: النقل غير المصرح به

الخطورة: منخفض

تم الكشف عن تنزيل مشبوه باستخدام Certutil

(AppServices_DownloadUsingCertutil)

الوصف: كشف تحليل بيانات المضيف على {NAME} عن استخدام certutil.exe، وهي أداة مساعدة مسؤول مضمنة، لتنزيل ثنائي بدلا من الغرض الأساسي الخاص به والذي يتعلق بمعالجة الشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال باستخدام certutil.exe لتنزيل وفك تشفير ملف تنفيذي ضار سيتم تنفيذه بعد ذلك. (ينطبق على: App Service على Windows)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم الكشف عن تنفيذ PHP المشبوه

(AppServices_SuspectPhp)

الوصف: تشير سجلات الجهاز إلى أن عملية PHP مريبة قيد التشغيل. تضمن الإجراء محاولة تشغيل أوامر نظام التشغيل أو التعليمات البرمجية PHP من سطر الأوامر، باستخدام عملية PHP. على الرغم من أن هذا السلوك يمكن أن يكون شرعيًا، فقد يشير هذا السلوك في تطبيقات الويب إلى أنشطة ضارة، مثل محاولات إصابة مواقع الويب بقذائف الويب. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تنفيذ أوامر PowerShell cmdlets المشبوهة

(AppServices_PowerShellPowerSploitScriptExecution)

الوصف: يشير تحليل بيانات المضيف إلى تنفيذ أوامر PowerShell PowerSploit cmdlets الضارة المعروفة. (ينطبق على: App Service على Windows)

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تنفيذ عملية مشبوهة

(AppServices_KnownCredential AccessTools)

الوصف: تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{مسار العملية}' كانت تعمل على الجهاز، وغالبا ما تكون مقترنة بمحاولات المهاجم للوصول إلى بيانات الاعتماد. (ينطبق على: App Service على Windows)

تكتيكات MITRE: الوصول إلى بيانات الاعتماد

الخطورة: عالية

تم الكشف عن اسم العملية المشبوهة

(AppServices_ProcessWithKnownSuspiciousExtension)

الوصف: كشف تحليل بيانات المضيف على {NAME} عن عملية مشبوهة اسمها، على سبيل المثال مطابقة لأداة مهاجم معروفة أو مسماة بطريقة توحي بأدوات المهاجم التي تحاول الاختباء في مرأى من الجميع. قد تكون هذه العملية نشاطًا مشروعًا، أو إشارة إلى أن أحد أجهزتك قد تم اختراقه. (ينطبق على: App Service على Windows)

تكتيكات MITRE: الثبات، والتهرب الدفاعي

الخطورة: متوسط

تنفيذ عملية SVCHOST المشبوهة

(AppServices_SVCHostFromInvalidPath)

الوصف: تمت ملاحظة أن عملية النظام SVCHOST تعمل في سياق غير طبيعي. غالبا ما تستخدم البرامج الضارة SVCHOST لإخفاء نشاطها الضار. (ينطبق على: App Service على Windows)

تكتيكات MITRE: التهرب الدفاعي، التنفيذ

الخطورة: عالية

تم الكشف عن عامل مستخدم مريب

(AppServices_UserAgentInjection)

الوصف: يشير سجل نشاط Azure App Service إلى طلبات مع عامل مستخدم مشبوه. يمكن أن يشير هذا السلوك إلى محاولات استغلال ثغرة أمنية في تطبيق App Service. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: الوصول الأولي

الخطورة: معلوماتية

الكشف عن استدعاء نسق WordPress المشبوه

(AppServices_WpThemeInjection)

الوصف: يشير سجل نشاط Azure App Service إلى نشاط محتمل لإدخال التعليمات البرمجية على مورد App Service. يشبه النشاط المشبوه الذي تم اكتشافه معالجة نسق WordPress لدعم تنفيذ جانب الخادم للتعليمات البرمجية، متبوعًا بطلب ويب مباشر لاستدعاء ملف النسق الذي تم التلاعب به. كان ينظر إلى هذا النوع من النشاط في الماضي كجزء من حملة هجومية عبر WordPress. إذا لم يكن مورد App Service الخاص بك يستضيف موقع WordPress، فهو ليس عرضة لاستغلال إدخال التعليمات البرمجية المحدد هذا ويمكنك منع هذا التنبيه للمورد بأمان. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: التنفيذ

الخطورة: عالية

تم الكشف عن الماسح الضوئي للثغرات الأمنية

(AppServices_DrupalScanner)

الوصف: يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية على مورد App Service. يشبه النشاط المشبوه الذي تم اكتشافه نشاط الأدوات التي تستهدف نظام إدارة المحتوى (CMS). إذا لم يستضيف مورد App Service موقع Drupal، فإنه ليس عرضة لاستغلال إدخال التعليمات البرمجية المحدد هذا ويمكنك منع هذا التنبيه للمورد بأمان. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: App Service على Windows)

تكتيكات MITRE: PreAttack

الخطورة: منخفض

تم الكشف عن الماسح الضوئي للثغرات الأمنية

(AppServices_JoomlaScanner)

الوصف: يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية على مورد App Service. يشبه النشاط المشبوه المكتشف الأدوات التي تستهدف تطبيقات Joomla. إذا لم يستضيف مورد App Service موقع Joomla، فإنه ليس عرضة لاستغلال إدخال التعليمات البرمجية المحدد هذا ويمكنك منع هذا التنبيه للمورد بأمان. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: PreAttack

الخطورة: منخفض

تم الكشف عن الماسح الضوئي للثغرات الأمنية

(AppServices_WpScanner)

الوصف: يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية على مورد App Service. يشبه النشاط المشبوه المكتشف الأدوات التي تستهدف تطبيقات WordPress. إذا لم يكن مورد App Service الخاص بك يستضيف موقع WordPress، فهو ليس عرضة لاستغلال إدخال التعليمات البرمجية المحدد هذا ويمكنك منع هذا التنبيه للمورد بأمان. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: PreAttack

الخطورة: منخفض

تم الكشف عن بصمات الأصابع على الويب

(AppServices_WebFingerprinting)

الوصف: يشير سجل نشاط Azure App Service إلى نشاط محتمل لبصمات الأصابع على الويب على مورد App Service. يرتبط النشاط المشبوه المكتشف بأداة تسمى Blind Elephant. خوادم ويب بصمة الأداة وتحاول الكشف عن التطبيقات والإصدارات المثبتة. غالبًا ما يستخدم المهاجمون هذه الأداة للتحقق من تطبيق الويب للعثور على الثغرات الأمنية. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: PreAttack

الخطورة: متوسط

يتم وضع علامة على موقع الويب على أنه ضار في موجز التحليل الذكي للمخاطر

(AppServices_SmartScreen)

الوصف: تم وضع علامة على موقعك على ويب كما هو موضح أدناه كموقع ضار بواسطة Windows SmartScreen. إذا كنت تعتقد أن هذه إيجابية خاطئة، فاتصل Windows SmartScreen عبر ارتباط ملاحظات التقرير المقدم. (ينطبق على: App Service على Windows وApp Service على Linux)

تكتيكات MITRE: المجموعة

الخطورة: متوسط

تنبيهات للحاويات - مجموعات Kubernetes

¹: معاينة لمجموعات غير AKS: يتوفر هذا التنبيه بشكل عام لمجموعات AKS، ولكنه قيد المعاينة لبيئات أخرى، مثل Azure Arc وEKS وGKE.

²: القيود المفروضة على مجموعات GKE: يستخدم GKE نهج تدقيق Kubernetes الذي لا يدعم جميع أنواع التنبيهات. ونتيجة لذلك، فإن تنبيه الأمان هذا، الذي يستند إلى أحداث تدقيق Kubernetes، غير مدعوم لمجموعات GKE.

³: هذا التنبيه مدعوم على عقد/حاويات Windows.

التنبيهات لـSQL Database وAzure Synapse Analytics

مزيد من التفاصيل والملاحظات

ثغرة أمنية محتملة لحقن SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

الوصف: أنشأ تطبيق عبارة SQL خاطئة في قاعدة البيانات. وهذا يمكن أن يشير إلى احتمال التعرض لهجمات الحقن SQL. هناك سببان محتملان لخلل في البيان. قد يكون عيب في التعليمات البرمجية للتطبيق قد قام ببناء عبارة SQL الخاطئة. أو، لم يقم رمز التطبيق أو الإجراءات المخزنة بتعقيم إدخال المستخدم عند إنشاء عبارة SQL الخاطئة، والتي يمكن استغلالها لحقن SQL.

تكتيكات MITRE: PreAttack

الخطورة: متوسط

محاولة تسجيل الدخول بواسطة تطبيق قد يكون ضارًا

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

الوصف: حاول تطبيق قد يكون ضارا الوصول إلى المورد الخاص بك.

تكتيكات MITRE: PreAttack

الخطورة: عالية

تسجيل الدخول من مركز بيانات Azure غير عادي

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

الوصف: حدث تغيير في نمط الوصول إلى SQL Server، حيث قام شخص ما بتسجيل الدخول إلى الخادم من مركز بيانات Azure غير عادي. في بعض الحالات، التنبيه بالكشف عن إجراء شرعي (تطبيق جديد أو خدمة Azure). في حالات أخرى، يكتشف التنبيه إجراء ضارًا (المهاجم الذي يعمل من مورد تم اختراقه في Azure).

تكتيكات MITRE: فحص

الخطورة: منخفض

تسجيل الدخول من موقع غير عادي

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

الوصف: حدث تغيير في نمط الوصول إلى SQL Server، حيث قام شخص ما بتسجيل الدخول إلى الخادم من موقع جغرافي غير عادي. في بعض الحالات، التنبيه بالكشف عن إجراء شرعي (تطبيق جديد أو صيانة المطور). في حالات أخرى، يكتشف التنبيه إجراء ضار (موظف سابق أو مهاجم خارجي).

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

الوصف: قام مستخدم أساسي لم يتم رؤيته في آخر 60 يوما بتسجيل الدخول إلى قاعدة البيانات الخاصة بك. إذا كانت قاعدة البيانات هذه جديدة أو كان هذا السلوك المتوقع بسبب التغييرات الأخيرة في المستخدمين الذين يصلون إلى قاعدة البيانات، فسيحدد Defender for Cloud التغييرات الهامة في أنماط الوصول ويحاول منع الإيجابيات الخاطئة المستقبلية.

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

الوصف: قام مستخدم بتسجيل الدخول إلى المورد الخاص بك من مجال لم يتصل به أي مستخدم آخر في آخر 60 يوما. إذا كان هذا المورد جديدًا أو كان هذا السلوك المتوقع بسبب التغييرات الأخيرة في المستخدمين الذين يصلون إلى المورد، فسيحدد Defender for Cloud التغييرات الهامة في أنماط الوصول ويحاول منع الإيجابيات الخاطئة المستقبلية.

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

(SQL. VM_PotentialSqlInjection)

الوصف: بدأ شخص ما حمولة جديدة باستخدام الطبقة في SQL Server التي تتصل بنظام التشغيل أثناء إخفاء الأمر في استعلام SQL. عادة ما يخفي المهاجمون الأوامر المؤثرة التي تتم مراقبتها بشكل شائع مثل xp_cmdshell sp_add_job وغيرها. تسيء تقنيات التعتيم إلى الأوامر المشروعة مثل سلسلة السلسلة، والصب، وتغيير القاعدة، وغيرها، لتجنب اكتشاف regex والإضرار بقابلية قراءة السجلات.

تكتيكات MITRE: التنفيذ

الخطورة: عالية

تنبيهات لقواعد البيانات الارتباطية مفتوحة المصدر

مزيد من التفاصيل والملاحظات

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

الوصف: حاول تطبيق قد يكون ضارا الوصول إلى المورد الخاص بك.

تكتيكات MITRE: PreAttack

الخطورة: عالية

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

تكتيكات MITRE: الاستغلال

الخطورة: متوسط

تسجيل الدخول من مركز بيانات Azure غير عادي

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

الوصف: اكتشف Microsoft Defender for Resource Manager عملية إدارة الموارد من عنوان IP المقترن بخدمات الوكيل، مثل TOR. في حين أن هذا السلوك يمكن أن يكون شرعياً، غالباً ما يُنظَر إليه من ضمن الأنشطة الضارة، عندما يحاول ممثلو التهديد إخفاء عنوان IP المصدر.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

مجموعة أدوات استغلال MicroBurst المستخدمة لتعداد الموارد في اشتراكاتك

(ARM_MicroBurst.AzDomainInfo)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مشبوها لتنفيذ عمليات جمع المعلومات لاكتشاف الموارد والأذونات وهياكل الشبكة. تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لجمع المعلومات للأنشطة الضارة. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: -

الخطورة: منخفض

(Storage.Blob_SuspiciousApp)

الوصف: يشير إلى أن تطبيقا مشبوها قد نجح في الوصول إلى حاوية حساب تخزين مع المصادقة. قد يشير هذا إلى أن المهاجم قد حصل على بيانات الاعتماد اللازمة للوصول إلى الحساب، ويستغله. قد يكون هذا أيضاً مؤشراً على اختبار الاختراق الذي تم إجراؤه في مؤسستك. ينطبق على: Azure Blob Storage، Azure Data Lake Storage Gen2

تكتيكات MITRE: الوصول الأولي

الخطورة: عالية/متوسطة

الوصول من عنوان IP مريب

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

الوصف: يشير إلى أنه تم الوصول بنجاح إلى حساب التخزين هذا من عنوان IP الذي يعتبر مريبا. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2

تكتيكات MITRE: ما قبل الهجوم

الخطورة: عالية/متوسطة/منخفضة

محتوى التصيد الاحتيالي المستضاف على حساب تخزين

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

الوصف: يشير عنوان URL المستخدم في هجوم التصيد الاحتيالي إلى حساب Azure Storage الخاص بك. كان عنوان URL هذا جزءًا من هجوم تصيد احتيالي يؤثر على مستخدمي Microsoft 365. عادة ما يتم تصميم المحتوى المستضاف على مثل هذه الصفحات لخداع الزوار لإدخال بيانات اعتماد الشركة أو المعلومات المالية الخاصة بهم في نموذج ويب يبدو شرعيًا. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft. ينطبق على: Azure Blob Storage وAzure Files

تكتيكات MITRE: المجموعة

الخطورة: عالية

حساب التخزين المحدد كمصدر لتوزيع البرامج الضارة

(Storage.Files_WidespreadeAm)

الوصف: تشير تنبيهات مكافحة البرامج الضارة إلى تخزين ملف (ملفات) مصابة في مشاركة ملف Azure التي يتم تحميلها على أجهزة ظاهرية متعددة. إذا تمكن المهاجمون من الوصول إلى جهاز ظاهري مع مشاركة ملف Azure مثبتة، يمكنهم استخدامه لنشر البرامج الضارة إلى الأجهزة الظاهرية الأخرى التي تحمل نفس المشاركة. ينطبق على: Azure Files

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم تغيير مستوى الوصول إلى حاوية كائن ثنائي كبير الحجم للتخزين يحتمل أن تكون حساسة للسماح بالوصول العام غير المصادق عليه

(Storage.Blob_OpenACL)

الوصف: يشير التنبيه إلى أن شخصا ما قد قام بتغيير مستوى الوصول إلى حاوية كائن ثنائي كبير الحجم في حساب التخزين، والذي قد يحتوي على بيانات حساسة، إلى مستوى "الحاوية"، للسماح بالوصول العام غير المصادق عليه (المجهول). تم إجراء التغيير من خلال مدخل Microsoft Azure. استنادا إلى التحليل الإحصائي، يتم وضع علامة على حاوية الكائن الثنائي كبير الحجم على أنها ربما تحتوي على بيانات حساسة. يشير هذا التحليل إلى أن حاويات الكائنات الثنائية كبيرة الحجم أو حسابات التخزين ذات الأسماء المماثلة عادة لا تتعرض للوصول العام. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المميزة).

تكتيكات MITRE: المجموعة

الخطورة: متوسط

الوصول المعتمد من عقدة إنهاء Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

الوصف: تم الوصول بنجاح إلى حاوية (حاويات) تخزين واحدة أو أكثر / مشاركة ملف في حساب التخزين الخاص بك من عنوان IP معروف بأنه عقدة خروج نشطة من Tor (وكيل مجهول المصدر). يستخدم ممثلو التهديد Tor لجعل تتبع النشاط مرة أخرى أمراً صعباً. الوصول المصادق عليه من عقدة الخروج من Tor هو إشارة على الأرجح إلى أن ممثل التهديد يحاول إخفاء هويته. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2

تكتيكات MITRE: الوصول الأولي / ما قبل الهجوم

الخطورة: عالية/متوسطة

الوصول من موقع غير عادي إلى حساب تخزين

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

الوصف: يشير إلى وجود تغيير في نمط الوصول إلى حساب Azure Storage. قام شخص ما بالوصول إلى هذا الحساب من عنوان IP يعتبر غير مألوف بالمقارنة مع النشاط الأخير. إما أن المهاجم قد تمكن من الوصول إلى الحساب، أو أن مستخدمًا شرعيًا قد اتصل من موقع جغرافي جديد أو غير معتاد. مثال على هذا الأخير هو الصيانة عن بعد من تطبيق أو مطور جديد. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2

تكتيكات MITRE: الوصول الأولي

الخطورة: عالية/متوسطة/منخفضة

وصول غير مصادق عليه غير عادي إلى حاوية تخزين

(Storage.Blob_AnonymousAccessAnomaly)

الوصف: تم الوصول إلى حساب التخزين هذا دون مصادقة، وهو تغيير في نمط الوصول الشائع. عادة ما تتم مصادقة الوصول للقراءة إلى هذه الحاوية. قد يشير هذا إلى أن ممثل التهديد كان قادراً على استغلال الوصول العام للقراءة إلى حاوية (حاويات) التخزين في حساب (حسابات) التخزين هذا. ينطبق على: Azure Blob Storage

تكتيكات MITRE: الوصول الأولي

الخطورة: عالية/منخفضة

البرامج الضارة المحتملة التي تم تحميلها إلى حساب تخزين

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

الوصف: يشير إلى أنه تم تحميل كائن ثنائي كبير الحجم يحتوي على برامج ضارة محتملة إلى حاوية كائن ثنائي كبير الحجم أو مشاركة ملف في حساب تخزين. يستند هذا التنبيه إلى تحليل سمعة التجزئة الذي يستفيد من قوة التحليل الذكي للمخاطر من Microsoft، والذي يتضمن تجزئات للفيروسات وأجنة طروادة وبرامج التجسس وبرامج الفدية الضارة. قد تتضمن الأسباب المحتملة تحميل برنامج ضار مقصود من قبل مهاجم، أو تحميل غير مقصود لكائن ثنائي كبير الحجم يحتمل أن يكون ضارا من قبل مستخدم شرعي. ينطبق على: Azure Blob Storage وAzure Files (فقط للمعاملات عبر REST API) تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft.

تكتيكات MITRE: الحركة الجانبية

الخطورة: عالية

نجاح اكتشاف حاويات تخزين يمكن الوصول إليها بشكل عام

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

الوصف: تم إجراء اكتشاف ناجح لحاوية (حاويات) التخزين المفتوحة بشكل عام في حساب التخزين الخاص بك في الساعة الأخيرة بواسطة برنامج نصي أو أداة للمسح الضوئي.

يشير هذا عادة إلى هجوم استكشاف، حيث يحاول ممثل التهديد سرد الكائنات الثنائية كبيرة الحجم عن طريق تخمين أسماء الحاويات، على أمل العثور على حاويات تخزين مفتوحة مُكوَّنة بشكل خاطئ تحتوي على بيانات حساسة.

قد يستخدم ممثل التهديد برنامجه النصي الخاص أو يستخدم أدوات المسح المعروفة مثل Microburst للفحص بحثا عن حاويات مفتوحة بشكل عام.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

تكتيكات MITRE: المجموعة

الخطورة: عالية/متوسطة

فشل فحص حاويات التخزين التي يمكن الوصول إليها بشكل عام

(Storage.Blob_OpenContainersScanning.FailedAttempt)

الوصف: يشير التنبيه إلى أنه تم تنزيل كائن ثنائي كبير الحجم ضار من حساب تخزين. قد تتضمن الأسباب المحتملة البرامج الضارة التي تم تحميلها إلى حساب التخزين ولم تتم إزالتها أو عزلها، وبالتالي تمكين ممثل التهديد من تنزيلها، أو تنزيل البرامج الضارة عن غير قصد من قبل مستخدمين أو تطبيقات شرعية. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2 أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة فحص البرامج الضارة.

تكتيكات MITRE: الحركة الجانبية

الخطورة: عالية، إذا كانت Eicar - منخفضة

تنبيهات لـAzure Cosmos DB

مزيد من التفاصيل والملاحظات

الوصول من عقدة إنهاء Tor

(CosmosDB_TorAnomaly)

الوصف: تم الوصول بنجاح إلى حساب Azure Cosmos DB هذا من عنوان IP معروف بأنه عقدة خروج نشطة من Tor، وهو وكيل مجهول المصدر. الوصول المصادق عليه من عقدة الخروج من Tor هو إشارة على الأرجح إلى أن ممثل التهديد يحاول إخفاء هويته.

تكتيكات MITRE: الوصول الأولي

الخطورة: عالية/متوسطة

الوصول من عنوان IP مريب

(CosmosDB_SuspiciousIp)

الوصف: تم الوصول بنجاح إلى حساب Azure Cosmos DB هذا من عنوان IP تم تحديده كتهديد بواسطة Microsoft Threat Intelligence.

تكتيكات MITRE: الوصول الأولي

الخطورة: متوسط

الوصول من موقع غير عادي

(CosmosDB_GeoAnomaly)

الوصف: تم الوصول إلى حساب Azure Cosmos DB هذا من موقع يعتبر غير مألوف، استنادا إلى نمط الوصول المعتاد.

إما أن جهة التهديد قد حصلت على حق الوصول إلى الحساب، أو أن مستخدمًا شرعيًا قد اتصل من موقع جغرافي جديد أو غير معتاد

تكتيكات MITRE: الوصول الأولي

الخطورة: منخفض

حجم غير عادي من البيانات المستخرجة

(CosmosDB_DataExfiltrationAnomaly)

الوصف: تم استخراج حجم كبير بشكل غير عادي من البيانات من حساب Azure Cosmos DB هذا. قد يشير هذا إلى أن ممثل التهديد قام بتهديد البيانات.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: متوسط

استخراج مفاتيح حسابات Azure Cosmos DB عبر برنامج نصي يحتمل أن يكون ضارًا

(CosmosDB_SuspiciousListKeys.MaliciousScript)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مريبا من عمليات سرد المفاتيح للحصول على مفاتيح حسابات Azure Cosmos DB في اشتراكك. يستخدم مستخدمو التهديد البرامج النصية التلقائية، مثل Microburst، لسرد المفاتيح والعثور على حسابات Azure Cosmos DB التي يمكنهم الوصول إليها.

قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق حسابات Azure Cosmos DB في بيئتك للحصول على نوايا ضارة.

بدلًا من ذلك، يمكن أن يحاول أحد المشاركين في برنامج Insider الضار الوصول إلى البيانات الحساسة وتنفيذ الحركة الجانبية.

تكتيكات MITRE: المجموعة

الخطورة: متوسط

الاستخراج المشبوه لمفاتيح حساب Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

الوصف: استخرج مصدر مريب مفاتيح الوصول إلى حساب Azure Cosmos DB من اشتراكك. إذا لم يكن هذا المصدر مصدرا شرعيا، فقد تكون هذه مشكلة ذات تأثير كبير. يوفر مفتاح الوصول الذي تم استخراجه التحكم الكامل في قواعد البيانات المقترنة والبيانات المخزنة داخلها. راجع تفاصيل كل تنبيه محدد لفهم سبب وضع علامة على المصدر على أنه مريب.

تكتيكات MITRE: الوصول إلى بيانات الاعتماد

الخطورة: عالية

حقن SQL: تسرب البيانات المحتمل

(CosmosDB_SqlInjection.DataExfiltration)

الوصف: تم استخدام عبارة SQL مريبة للاستعلام عن حاوية في حساب Azure Cosmos DB هذا.

ربما نجحت العبارة التي تم إدخالها في تصفية البيانات التي لم يصرح لممثل التهديد بالوصول إليها.

نظرا لبنية وقدرات استعلامات Azure Cosmos DB، لا يمكن أن تعمل العديد من هجمات حقن SQL المعروفة على حسابات Azure Cosmos DB. ومع ذلك، قد يعمل التباين المستخدم في هذا الهجوم ويمكن للجهات الفاعلة في التهديد النقل غير المصرح به للبيانات.

تكتيكات MITRE: النقل غير المصرح به

الخطورة: متوسط

حقن SQL: محاولة غير واضح

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

الوصف: تم استخدام عبارة SQL مريبة للاستعلام عن حاوية في حساب Azure Cosmos DB هذا.

مثل هجمات حقن SQL المعروفة الأخرى، لن ينجح هذا الهجوم في المساس بحساب Azure Cosmos DB.

ومع ذلك، فهي إشارة إلى أن جهة التهديد تحاول مهاجمة الموارد الموجودة في هذا الحساب، وقد يتعرض تطبيقك للخطر.

يمكن أن تنجح بعض هجمات حقن SQL ويمكن استخدامها لتصفية البيانات. وهذا يعني أنه إذا استمر المهاجم في تنفيذ محاولات حقن SQL، فقد يتمكن من اختراق حساب Azure Cosmos DB الخاص بك واختراق البيانات.

يمكنك منع هذا التهديد باستخدام استعلامات ذات معلمات.

الخطورة: متوسط

تنبيهات لـAzure DDoS Protection

مزيد من التفاصيل والملاحظات

تم الكشف عن هجوم DDoS لـIP العام

(NETWORK_DDOS_DETECTED)

الوصف: تم الكشف عن هجوم DDoS ل IP العام (عنوان IP) ويتم تخفيفه.

تكتيكات MITRE: فحص

الخطورة: عالية

تم تخفيف هجوم DDoS لـIP العام

(NETWORK_DDOS_MITIGATED)

تتضمن القوائم التالية تنبيهات أمان Defender for Containers التي تم إهمالها.

تم الكشف عن معالجة جدار حماية المضيف

(K8S. NODE_FirewallDisabled)

الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن معالجة محتملة لجدار الحماية على المضيف. غالبًا ما يقوم المهاجمون بتعطيل هذا لتصفية البيانات.

تكتيكات MITRE: التهرب الدفاعي، النقل غير المصرح به

الخطورة: متوسط

الاستخدام المشبوه لـ DNS عبر HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

الوصف: اكتشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes استخدام استدعاء DNS عبر HTTPS بطريقة غير شائعة. يستخدم المهاجمون هذه التقنية لإخفاء الاستدعاءات إلى المواقع المشبوهة أو الضارة.

تكتيكات MITRE: التهرب الدفاعي، النقل غير المصرح به

الخطورة: متوسط

تم الكشف عن اتصال محتمل بموقع ضار.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

الوصف: كشف تحليل العمليات التي تعمل داخل حاوية أو مباشرة على عقدة Kubernetes عن اتصال بموقع تم الإبلاغ عنه بأنه ضار أو غير عادي. هذا مؤشر على احتمال حدوث حل وسط.

تكتيكات MITRE: InitialAccess

الخطورة: متوسط

نشاط استخراج العملات الرقمية

(K8S. NODE_CurrencyMining)

الوصف: كشف تحليل معاملات DNS عن نشاط استخراج العملات الرقمية. في حين أن هذا النشاط قد يكون سلوكًا شرعيًا للمستخدم، يتم تنفيذه بشكل متكرر من قبل المهاجمين بعد اختراق الموارد. من المحتمل أن يتضمن نشاط المهاجم ذي الصلة النموذجي تنزيل وتنفيذ أدوات التعدين الشائعة.

تكتيكات MITRE: النقل غير المصرح به

اسم عرض التنبيه: اكتشاف shell ويب ضار محتمل

اسم عرض التنبيه: الكشف عن تعطيل الخدمات الهامة

الخطورة: متوسط

تستند أهداف سلسلة القتل المدعومة من Defender for Cloud إلى الإصدار 9 من مصفوفة MITRE ATT&CK والموضحة في الجدول أدناه.

الأسلوب	إصدار ATT&CK	‏‏الوصف
PreAttack		قد يكون PreAttack إما محاولة للوصول إلى مورد معين بغض النظر عن نية ضارة، أو محاولة فاشلة للوصول إلى نظام الهدف لجمع المعلومات قبل الاستغلال. عادة ما يتم الكشف عن هذه الخطوة كمحاولة، من خارج الشبكة، لمسح النظام المستهدف وتحديد نقطة دخول.
الوصول الأولي	V7، V9	الوصول الأولي هو المرحلة التي يتمكن فيها المهاجم من الحصول على موطئ قدم على المورد الذي تعرض للهجوم. وهذه الخطوة ذات صلة بمضيفي الحوسبة والموارد مثل حسابات المستخدمين والشهادات، إلخ. غالبًا ما تتمكن الجهات الفاعلة في التهديد بالتحكم في المورد بعد هذه المرحلة.
استمرار	V7، V9	الثبات هو أي وصول أو إجراء أو تغيير تكوين في نظام يعطي الجهة الفاعلة في التهديد وجودًا مستمرًا على هذا النظام. غالبًا ما تحتاج الجهات الفاعلة في التهديد إلى الحفاظ على الوصول إلى الأنظمة من خلال عمليات الإيقاف مثل إعادة تشغيل النظام أو فقدان بيانات الاعتماد أو حالات فشل أخرى تتطلب أداة وصول عن بُعد لإعادة التشغيل أو توفير باب خلفي بديل لهم لاستعادة الوصول.
⁧زيادة الامتيازات⁧⁩	V7، V9	تصعيد الامتيازات هو نتيجة الإجراءات التي تسمح للخصم بالحصول على مستوى أعلى من الأذونات على نظام أو شبكة اتصال. تتطلب بعض الأدوات أو الإجراءات مستوى أعلى من الامتياز للعمل، ومن المرجح أن تكون ضرورية في العديد من النقاط خلال العملية. يمكن أيضا اعتبار حسابات المستخدمين التي لديها أذونات للوصول إلى أنظمة محددة أو أداء وظائف محددة ضرورية للخصوم لتحقيق هدفهم تصعيدا للامتيازات.
التهرب الدفاعي⁧	V7، V9	يتكون التهرب الدفاعي من تقنيات قد يستخدمها الخصم للتهرب من الكشف أو تجنب الدفاعات الأخرى. في بعض الأحيان تكون هذه الإجراءات هي نفس (أو أشكال مختلفة من) التقنيات في فئات أخرى لها فائدة إضافية من تخريب دفاع معين أو التخفيف من شدته.
⁧الوصول إلى بيانات تسجيل الدخول⁧	V7، V9	يمثل الوصول إلى بيانات الاعتماد التقنيات الناتجة عن الوصول إلى بيانات اعتماد النظام أو المجال أو الخدمة المستخدمة داخل بيئة المؤسسة أو التحكم فيها. سيحاول الخصوم على الأرجح الحصول على بيانات اعتماد شرعية من حسابات المستخدمين أو المسؤول (مسؤول النظام المحلي أو مستخدمي المجال الذين يملكون حق وصول المسؤول) لاستخدامها داخل الشبكة. مع وصول كاف داخل الشبكة، يمكن للخصم إنشاء حسابات لاستخدامها في وقت لاحق داخل البيئة.
الاكتشاف⁧⁩	V7، V9	يتكون الاكتشاف من التقنيات التي تسمح للخصم باكتساب المعرفة حول النظام والشبكة الداخلية. وعندما يتمكن الخصوم من الوصول إلى نظام جديد، يجب عليهم أن يوجهوا أنفسهم إلى ما يسيطرون عليه الآن وما هي الفوائد التي يحققها التشغيل من ذلك النظام لهدفهم الحالي أو أهدافهم العامة أثناء الاقتحام. يوفر نظام التشغيل العديد من الأدوات الأصلية التي تساعد في مرحلة جمع المعلومات بعد التسوية.
الحركة الجانبية	V7، V9	تتألف الحركة الجانبيـة من تقنيات تمكّن الخصم من الوصول إلى النظم عن بُعد والتحكم فيها على الشبكة، ويمكن أن تشمل، ولكنها لا تشمل بالضرورة، تنفيذ أدوات على النظم البعيدة. ويمكن لتقنيات الحركة الجانبيّة أن تسمح للخصم بجمع المعلومات من نظام ما دون الحاجة إلى مزيد من الأدوات، مثل أداة الوصول عن بُعد. يمكن للخصم استخدام الحركة الجانبية لأغراض عديدة، بما في ذلك التنفيذ عن بعد للأدوات، أو التركيز على المزيد من الأنظمة، أو الوصول إلى معلومات أو ملفات محددة، أو الوصول إلى المزيد من بيانات الاعتماد، أو لإحداث تأثير.
تنفيذ	V7، V9	يمثل تكتيك التنفيذ التقنيات التي تؤدي إلى تنفيذ التعليمات البرمجية التي يتحكم فيها الخصم على نظام محلي أو بعيد. وغالبًا ما يستخدم هذا التكتيك بالاقتران مع الحركة الجانبية لتوسيع نطاق الوصول إلى الأنظمة البعيدة على الشبكة.
جمع	V7، V9	تتألف المجموعة من تقنيات تستخدم في تحديد وجمع المعلومات، مثل الملفات الحساسة، من الشبكة المستهدفة قبل التسلل. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها.
⁧الأوامر والتحكم⁧	V7، V9	يمثل تكتيك القيادة والتحكم كيفية تواصل الخصوم مع الأنظمة الخاضعة لسيطرتهم داخل شبكة مستهدفة.
النقل غير المصرَّح به	V7، V9	يشير التسلل إلى التقنيات والسمات التي تنتج أو تساعد في إزالة الخصم للملفات والمعلومات من الشبكة المستهدفة. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها.
تأثير	V7، V9	تحاول أحداث التأثير في المقام الأول تقليل توفر أو سلامة نظام أو خدمة أو شبكة بشكل مباشر، بما في ذلك معالجة البيانات للتأثير على الأعمال أو العمليات التشغيلية. وغالبًا ما يشير ذلك إلى تقنيات مثل برامج الفدية، التشويه، التلاعب بالبيانات، وغيرها.

إشعار

للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

تنبيهات الأمان - دليل مرجعي

تنبيهات لأجهزة Windows

تم الكشف عن تسجيل دخول من عنوان IP ضار. [يحدث عدة مرات]

تم تدقيق انتهاك نهج التحكم في التطبيق التكيفي

إضافة حساب الضيف إلى مجموعة المسؤولين المحليين

تم مسح سجل أحداث

فشل إجراء مكافحة البرامج الضارة

إجراء مكافحة البرامج الضارة الذي تم اتخاذه

استبعاد ملفات مكافحة البرامج الضارة الواسعة في جهازك الظاهري

تم تعطيل مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري

تم تعطيل مكافحة البرامج الضارة في جهازك الظاهري

استبعاد ملف مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري

استبعاد ملف مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري

استبعاد ملف مكافحة البرامج الضارة في جهازك الظاهري

تم تعطيل الحماية من البرامج الضارة في الوقت الحقيقي في جهازك الظاهري

تم تعطيل الحماية من البرامج الضارة في الوقت الحقيقي مؤقتا في جهازك الظاهري

تم تعطيل الحماية من البرامج الضارة في الوقت الحقيقي مؤقتًا أثناء تنفيذ التعليمات البرمجية في جهازك الظاهري

تم حظر عمليات فحص مكافحة البرامج الضارة بحثًا عن الملفات التي يحتمل أن تكون ذات صلة بحملات البرامج الضارة على جهازك الظاهري (معاينة)

تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري

استبعاد ملف مكافحة البرامج الضارة غير العادي في جهازك الظاهري

الاتصال بالمجال المشبوه الذي حدَّده التحليل الذكي للمخاطر

الإجراءات المكتشفة التي تشير إلى تعطيل ملفات سجل IIS وحذفها

تم الكشف عن مزيج شاذ من أحرف الأحرف العلوية والسفلية في سطر الأوامر

تم الكشف عن التغيير إلى مفتاح التسجيل الذي يمكن إساءة استخدامه لتجاوز UAC

تم الكشف عن فك ترميز قابل للتنفيذ باستخدام أداة certutil.exe مضمنة

تم الكشف عن تمكين مفتاح التسجيل WDigest UseLogonCredential

تم الكشف عن قابل للتنفيذ مرمز في بيانات سطر الأوامر

تم الكشف عن سطر الأوامر العتيم

تم الكشف عن التنفيذ المحتمل لـ keygen القابل للتنفيذ

تم الكشف عن إمكانية تنفيذ إسقاط البرامج الضارة

الكشف عن نشاط استطلاع محلي محتمل

تم الكشف عن الاستخدام المشبوه المحتمل لأداة Telegram

الكشف عن منع الإشعار القانوني المعروض للمستخدمين عند تسجيل الدخول

تم الكشف عن تركيبة مشبوهة من HTA وPowerShell

اكتشاف وسيطات سطر الأوامر المشبوهة

تم الكشف عن سطر الأوامر المشبوه المستخدم لبدء تشغيل كافة الملفات التنفيذية في دليل

تم الكشف عن بيانات اعتماد مشبوهة في سطر الأوامر

تم الكشف عن بيانات اعتماد المستند المشبوهة

تم الكشف عن التنفيذ المشبوه للأمر VBScript.Encode

تم الكشف عن التنفيذ المشبوه عبر rundll32.exe

تم الكشف عن أوامر تنظيف الملفات المشبوهة

الكشف عن إنشاء ملف مريب

تم الكشف عن اتصالات الأنابيب المسماة المشبوهة

اكتشاف نشاط شبكة مشبوه

تم الكشف عن قاعدة جدار حماية جديدة مريبة

الكشف عن الاستخدام المشبوه لـ Cacls لخفض حالة الأمان للنظام

الكشف عن الاستخدام المشبوه لـ FTP -s Switch

الكشف عن الاستخدام المشبوه Pcalua.exe لتشغيل التعليمات البرمجية القابلة للتنفيذ

الكشف عن تعطيل الخدمات الهامة

تم الكشف عن السلوك ذي الصلة بالتنقيب عن العملة الرقمية

بناء البرنامج النصي الديناميكي PS

تم العثور على قابل للتنفيذ يعمل من موقع مريب

تم الكشف عن سلوك الهجوم بدون ملف

تم الكشف عن تقنية الهجوم بدون ملف

تم الكشف عن مجموعة أدوات الهجوم بدون ملف

تم الكشف عن برامج عالية المخاطر

تم تعداد أعضاء مجموعة المسؤولين المحليين

قاعدة جدار الحماية الضارة التي تم إنشاؤها بواسطة زرع خادم الزنك [ينظر إليها عدة مرات]

نشاط SQL ضار

تم الاستعلام عن حسابات مجالات متعددة

تم الكشف عن تفريغ بيانات الاعتماد المحتملة [شوهدت عدة مرات]

تم الكشف عن محاولة محتملة لتجاوز AppLocker

تم تنفيذ مجموعة خدمة SVCHOST النادرة

تم الكشف عن هجوم المفاتيح الملصقة

هجوم القوة الغاشمة الناجح

مستوى النزاهة المشتبه به يدل على اختطاف RDP

تثبيت الخدمة المشتبه بها

تمت ملاحظة معلمات هجوم Kerberos Golden Ticket المشتبه بها

تم الكشف عن إنشاء حساب مريب

تم اكتشاف أنشطة مريبة

نشاط المصادقة المشبوهة

تم الكشف عن مقطع التعليمات البرمجية المشبوهة

ملف ملحق مزدوج مريب تم تنفيذه

تم الكشف عن تنزيل مشبوه باستخدام Certutil [تمت رؤيته عدة مرات]

تم الكشف عن تنزيل مشبوه باستخدام Certutil

تم الكشف عن نشاط PowerShell مريب

تنفيذ أوامر PowerShell cmdlets المشبوهة

تنفيذ عملية مشبوهة [ينظر إليها عدة مرات]

تنفيذ عملية مشبوهة

تم الكشف عن اسم العملية المشبوهة [ينظر إليه عدة مرات]