Upozornění zabezpečení – Referenční příručka

Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat z programu Microsoft Defender for Cloud, a všech plánů Programu Microsoft Defender, které jste povolili. Upozornění zobrazená ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na přizpůsobené konfiguraci.

V dolní části této stránky je tabulka popisující řetězec killů v programu Microsoft Defender for Cloud v souladu s verzí 9 matice MITRE ATT&CK.

Přečtěte si, jak na tyto výstrahy reagovat.

Zjistěte, jak exportovat upozornění.

Poznámka

Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.

Výstrahy pro počítače s Windows

Microsoft Defender for Servers Plan 2 poskytuje kromě těch, které poskytuje Microsoft Defender for Endpoint, jedinečné detekce a výstrahy. Výstrahy poskytované pro počítače s Windows:

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Zjistili jsme přihlášení ze škodlivé IP adresy. [viděl jsem víckrát] K úspěšnému vzdálenému ověření účtu [účtu] a procesu [procesu] došlo, ale přihlašovací IP adresa (x.x.x.x) byla dříve hlášena jako škodlivá nebo velmi neobvyklá. Pravděpodobně došlo k úspěšnému útoku. Soubory s příponou .scr jsou soubory spořič obrazovky a obvykle se nacházejí a spouští z systémového adresáře Windows. - Vysoká
Přidání účtu hosta do místní skupiny Administrators Analýza hostitelských dat zjistila přidání integrovaného účtu hosta do skupiny Místní správci na serveru %{Ohrožený hostitel}, který je silně spojený s aktivitou útočníka. - Střední
Protokol událostí byl vymazán. Protokoly počítače označují podezřelou operaci vymazání protokolu událostí uživatelem: %{uživatelské jméno} v počítači: %{CompromisedEntity}. Protokol %{log channel} byl vymazán. - Informační
Antimalwarová akce selhala Microsoft Antimalware při provádění akce s malwarem nebo jiným potenciálně nežádoucím softwarem došlo k chybě. - Střední
Antimalwarová akce přijatá Microsoft Antimalware pro Azure podnikla opatření k ochraně tohoto počítače před malwarem nebo jiným potenciálně nežádoucím softwarem. - Střední
Vyloučení antimalwarových širokých souborů ve vašem virtuálním počítači
(VM_AmBroadFilesExclusion)
Vyloučení souborů z antimalwarového rozšíření s širokým pravidlem vyloučení se na virtuálním počítači zjistilo analýzou operací Azure Resource Manager ve vašem předplatném. Takové vyloučení prakticky zakáže antimalwarovou ochranu.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
- Střední
Antimalware zakázáno a spouštění kódu ve virtuálním počítači
(VM_AmDisablementAndCodeExecution)
Antimalware je na virtuálním počítači zakázané současně se spouštěním kódu. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci zakazují antimalwarové skenery, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
- Vysoká
Antimalware zakázaný na virtuálním počítači
(VM_AmDisablement)
Antimalware je ve vašem virtuálním počítači zakázané. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou na virtuálním počítači zakázat antimalware, aby se zabránilo detekci.
Obrana před únikem Střední
Vyloučení antimalwarových souborů a spouštění kódu ve virtuálním počítači
(VM_AmFileExclusionAndCodeExecution)
Soubor vyloučený z antimalwarového skeneru ve stejnou dobu jako kód byl spuštěn prostřednictvím rozšíření vlastních skriptů na vašem virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z kontroly antimalwaru na vašem virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Úniky proti obraně, provádění Vysoká
Vyloučení antimalwarových souborů a spouštění kódu ve virtuálním počítači
(VM_AmTempFileExclusionAndCodeExecution)
Dočasné vyloučení souborů z antimalwarového rozšíření paralelně ke spuštění kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Úniky proti obraně, provádění Vysoká
Vyloučení antimalwarových souborů ve vašem virtuálním počítači
(VM_AmTempFileExclusion)
Soubor vyloučený z antimalwarového skeneru na virtuálním počítači Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z kontroly antimalwaru na vašem virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Obrana před únikem Střední
Ochrana antimalwaru v reálném čase byla na virtuálním počítači zakázaná.
(VM_AmRealtimeProtectionDisabled)
Zakázání ochrany v reálném čase antimalwarového rozšíření bylo zjištěno ve vašem virtuálním počítači analýzou operací azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Ochrana antimalwaru v reálném čase byla na virtuálním počítači dočasně zakázaná.
(VM_AmTempRealtimeProtectionDisablement)
Dočasná zakázání antimalwarového rozšíření v reálném čase byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Antimalwarová ochrana v reálném čase byla dočasně zakázaná, když se kód spustil na virtuálním počítači.
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Dočasná zakázání antimalwarového rozšíření v reálném čase paralelně se spouštěním kódu prostřednictvím rozšíření vlastních skriptů byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
- Vysoká
Antimalwarové kontroly blokované pro soubory, které mohou souviset s malwarem kampaní na vašem virtuálním počítači (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Ve vašem virtuálním počítači bylo zjištěno pravidlo vyloučení, které brání kontrole antimalwarových rozšíření určitých souborů, u nichž je podezření, že souvisí s malwarem kampaně. Pravidlo bylo zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarových kontrol, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem. Obrana před únikem Střední
Antimalware je na virtuálním počítači dočasně zakázané
(VM_AmTemporarilyDisablement)
Antimalware je na virtuálním počítači dočasně zakázané. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou na virtuálním počítači zakázat antimalware, aby se zabránilo detekci.
- Střední
Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači
(VM_UnusualAmFileExclusion)
Na virtuálním počítači se zjistilo neobvyklé vyloučení souborů z antimalwarového rozšíření analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Útočníci často komunikují se zlými doménami a můžou to znamenat, že je váš prostředek napadený. Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití Střední
Rozšíření vlastních skriptů s podezřelým příkazem ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousCmd)
Rozšíření vlastních skriptů s podezřelým příkazem se na virtuálním počítači zjistilo analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou použít rozšíření vlastních skriptů ke spuštění škodlivého kódu na virtuálním počítači prostřednictvím azure Resource Manager.
Spuštění Střední
Rozšíření vlastních skriptů s podezřelým vstupním bodem ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Rozšíření vlastních skriptů s podezřelým vstupním bodem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Vstupní bod odkazuje na podezřelé úložiště GitHub.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Rozšíření vlastních skriptů s podezřelou datovou částí ve vašem virtuálním počítači
(VM_CustomScriptExtensionSuspiciousPayload)
Rozšíření vlastních skriptů s datovou částí z podezřelého úložiště GitHub bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Zjištěné akce indikující zakázání a odstranění souborů protokolu služby IIS Analýza hostitelských dat zjistila akce, které zobrazují zakázané nebo odstraněné soubory protokolu služby IIS. - Střední
Zjištěná neobvyklá kombinace velkých a malých znaků v příkazovém řádku Analýza hostitelských dat v %{Ohrožené hostiteli} zjistila příkazový řádek s neobvyklou kombinací velkých a malých znaků. Tento druh vzoru, ale možná neškodný, je také typický pro útočníky, kteří se snaží skrýt před porovnávání pravidel založených na malých a malých a malých písmenech nebo při provádění úloh správy na ohroženého hostitele. - Střední
Zjištěná změna klíče registru, který je možné zneužít k obejití UAC Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila, že došlo ke změně klíče registru, který je možné zneužít k obejití řízení uživatelských účtů (UAC). Tento druh konfigurace, i když je to možné neškodné, je typický také aktivitou útočníka při pokusu o přechod z neprivilegovaného (standardního uživatele) na privilegovaný přístup (například správce) na ohroženého hostitele. - Střední
Dekódování spustitelného souboru pomocí integrovaného nástroje certutil.exe Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí. - Vysoká
Zjistilo se povolení klíče registru WDigest UseLogonCredential. Analýza dat hostitele zjistila změnu klíče registru HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ UseLogonCredential. Konkrétně byl tento klíč aktualizován tak, aby se přihlašovací přihlašovací údaje ukládaly ve formátu prostého textu v paměti LSA. Jakmile útočník povolí, může vymazat textová hesla z paměti LSA pomocí nástrojů pro sběr přihlašovacích údajů, jako je Mimikatz. - Střední
Zjištěný zakódovaný spustitelný soubor v datech příkazového řádku Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila spustitelný soubor s kódováním base-64. To bylo dříve spojeno s útočníky, kteří se pokusili vytvořit spustitelné soubory v rámci posloupnosti příkazů a pokusili se vyhnout systémům detekce neoprávněných vniknutí tím, že by žádný jednotlivý příkaz aktivoval výstrahu. Může to být legitimní aktivita nebo označení ohroženého hostitele. - Vysoká
Zjištěný obfuskovaný příkazový řádek Útočníci používají stále složitější techniky obfuskace k odstranění detekcí, které běží na podkladových datech. Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila podezřelé indikátory obfuskace na příkazovém řádku. - Informační
Detected Petya ransomware indicators Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila indikátory související s petya ransomwarem. Další informace naleznete v tématu https://aka.ms/petya-blog. Zkontrolujte příkazový řádek přidružený k tomuto upozornění a eskalujte tuto výstrahu týmu zabezpečení. - Vysoká
Zjištění možného spuštění spustitelného souboru keygen Analýza hostitelských dat v %{Ohrožené hostiteli} zjistila spuštění procesu, jehož název indikuje nástroj keygen; Tyto nástroje se obvykle používají k porážce mechanismů licencování softwaru, ale jejich stahování je často součástí jiného škodlivého softwaru. O skupině aktivit GOLD se vědělo, že tyto klíčovégeny využívají k skrytí zpětného přístupu k hostitelům, kteří ohrožují přístup ke dveřím. - Střední
Zjištění možného spuštění zahozeného malwaru Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila název souboru, který byl dříve přidružen k jedné z metod instalace malwaru na hostitele oběti ve skupině aktivit GOLD. - Vysoká
Zjištěná možná místní rekognoskace aktivity Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila kombinaci příkazů systeminfo, které byly dříve přidruženy k jedné z metod skupiny aktivit GOLD provádění rekognoskace. I když "systeminfo.exe" je legitimní nástroj pro Windows, který ho spouští dvakrát po sobě způsobem, který zde nastal, je vzácný. -
Zjištění potenciálně podezřelého použití nástroje Telegram Analýza hostitelských dat ukazuje instalaci aplikace Telegram, bezplatnou cloudovou službu zasílání rychlých zpráv, která existuje jak pro mobilní, tak desktopový systém. Útočníci znají zneužití této služby k přenosu škodlivých binárních souborů do jakéhokoli jiného počítače, telefonu nebo tabletu. - Střední
Zjištěné potlačení právního oznámení zobrazeného uživatelům při přihlášení Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila změny klíče registru, který určuje, jestli se uživatelům při přihlášení zobrazí právní oznámení. Analýza zabezpečení Microsoftu zjistila, že se jedná o běžnou aktivitu, kterou útočníci podnikli po napadení hostitele. - Nízká
Zjištěná podezřelá kombinace HTA a PowerShellu mshta.exe (Microsoft HTML Application Host), což je podepsaný binární soubor Microsoftu, který útočníci používají ke spuštění škodlivých příkazů PowerShellu. Útočníci se často uchýlí k tomu, aby měli soubor HTA s vloženým VBScriptem. Když oběť přejde do souboru HTA a rozhodne se ho spustit, spustí se příkazy a skripty PowerShellu, které obsahuje. Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila mshta.exe spouštění příkazů PowerShellu. - Střední
Zjištěné podezřelé argumenty příkazového řádku Analýza hostitelských dat v %{Ohrožené hostiteli} zjistila podezřelé argumenty příkazového řádku, které byly použity ve spojení s reverzním prostředím používaným skupinou aktivit HYDROGEN. - Vysoká
Zjištěný podezřelý příkazový řádek použitý ke spuštění všech spustitelných souborů v adresáři Analýza hostitelských dat zjistila podezřelý proces spuštěný na serveru %{Ohrožený hostitel}. Příkazový řádek označuje pokus o spuštění všech spustitelných souborů (*.exe), které se můžou nacházet v adresáři. Může to být označení ohroženého hostitele. - Střední
Zjištění podezřelých přihlašovacích údajů v příkazovém řádku Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila podezřelé heslo, které se používá ke spuštění souboru podle skupiny aktivit BORON. O této skupině aktivit bylo známo, že toto heslo používá ke spuštění malwaru Pirpi na hostiteli oběti. - Vysoká
Zjištění podezřelých přihlašovacích údajů k dokumentu Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila podezřelou, běžnou předem vypočítanou hodnotu hash hesel používanou malwarem, který se používá ke spuštění souboru. Skupině aktivit HYDROGEN bylo známo, že toto heslo používá k provedení malwaru na hostiteli oběti. - Vysoká
Zjištění podezřelého spuštění příkazu VBScript.Encode Analýza hostitelských dat na %{Ohroženého hostitele} zjistila spuštění příkazu VBScript.Encode. Tím se skripty zakódují do nečitelného textu, což uživatelům znesnadňuje prozkoumání kódu. Výzkum hrozeb Microsoftu ukazuje, že útočníci často používají kódované soubory VBScriptu jako součást útoku, aby se vyhnuli systémům detekce. Může to být legitimní aktivita nebo označení ohroženého hostitele. - Střední
Zjištění podezřelého spuštění prostřednictvím rundll32.exe Analýza dat hostitele na webu %{Ohrožený hostitel} zjistila, rundll32.exe se používá k provádění procesu s neobvyklým názvem v souladu se schématem pojmenování procesu, které bylo dříve použito ve skupině aktivit GOLD při instalaci implantátu první fáze na ohroženého hostitele. - Vysoká
Zjištěné podezřelé příkazy pro vyčištění souborů Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila kombinaci příkazů systeminfo, které byly dříve přidruženy k jedné z metod skupiny aktivit GOLD při provádění aktivity po ohrožení aktivity samoobslužného vyčištění. Zatímco "systeminfo.exe" je legitimní nástroj systému Windows, který ho spouští dvakrát po sobě, následovaný příkazem pro odstranění způsobem, který se zde objevil, je vzácný. - Vysoká
Zjištění podezřelého vytvoření souboru Analýza hostitelských dat na webu %{Ohrožený hostitel} zjistila vytvoření nebo spuštění procesu, který dříve označil akci po ohrožení hostitele oběti podle skupiny aktivit BARIUM. Tato skupina aktivit se ví, že tuto techniku používá ke stažení dalšího malwaru na ohroženého hostitele po otevření přílohy v dokumentu phishing. - Vysoká
Zjištěná podezřelá komunikace s pojmenovanými kanály Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila, že se data zapisují do místního pojmenovaného kanálu z příkazu konzoly Systému Windows. Pojmenované kanály jsou známé jako kanál, který útočníci používají k úloze a komunikaci se škodlivým implantátem. Může to být legitimní aktivita nebo označení ohroženého hostitele. - Vysoká
Zjištěná podezřelá síťová aktivita Analýza síťového provozu z %{Ohroženého hostitele} zjistila podezřelou síťovou aktivitu. Tento provoz, i když možná neškodný, obvykle používá útočník ke komunikaci se škodlivými servery pro stahování nástrojů, příkazů a řízení a exfiltrace dat. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj. - Nízká
Zjištění podezřelého nového pravidla brány firewall Analýza hostitelských dat zjistila, že bylo přidáno nové pravidlo brány firewall prostřednictvím netsh.exe umožňující provoz ze spustitelného souboru v podezřelém umístění. - Střední
Zjištění podezřelého použití cacls ke snížení stavu zabezpečení systému Útočníci používají řadu způsobů, jako jsou hrubá síla, spear phishing atd. k dosažení počátečního ohrožení a získání zápatí v síti. Jakmile dosáhnete počátečního ohrožení, často podniknou kroky k snížení nastavení zabezpečení systému. Cacls – zkratka pro změnu seznamu řízení přístupu je nativní nástroj příkazového řádku systému Microsoft Windows, který se často používá k úpravě oprávnění zabezpečení u složek a souborů. Hodně času binární soubor používají útočníci ke snížení nastavení zabezpečení systému. To se provádí tak, že všem udělíte úplný přístup k některým systémovým binárním souborům, jako jsou ftp.exe, net.exe, wscript.exe atd. Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila podezřelé použití cacls k snížení zabezpečení systému. - Střední
Zjištění podezřelého použití přepínače FTP-s Analýza dat vytváření procesů z %{Ohroženého hostitele} zjistila použití přepínače FTP -s:filename. Tento přepínač slouží k určení souboru skriptu FTP, který má klient spustit. O malwaru nebo škodlivých procesech se ví, že tento přepínač FTP (-s:filename) ukazuje na soubor skriptu, který je nakonfigurovaný pro připojení ke vzdálenému serveru FTP a stažení dalších škodlivých binárních souborů. - Střední
Zjištění podezřelého použití Pcalua.exe ke spuštění spustitelného kódu Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila použití pcalua.exe ke spuštění spustitelného kódu. Pcalua.exe je součástí Pomocníka pro kompatibilitu programů systému Microsoft Windows, který zjišťuje problémy s kompatibilitou během instalace nebo spuštění programu. Útočníci znají zneužití funkcí legitimních systémových nástrojů systému Windows k provádění škodlivých akcí, například použití pcalua.exe s přepínačem -a ke spuštění škodlivých spustitelných souborů místně nebo ze vzdálených sdílených složek. - Střední
Zjistilo se zakázání kritických služeb. Analýza dat hostitele na %{Ohroženého hostitele} zjistila spuštění příkazu "net.exe stop", který se používá k zastavení důležitých služeb, jako je SharedAccess nebo aplikace Zabezpečení Windows. Zastavení některé z těchto služeb může značit škodlivé chování. - Střední
Zjistilo se chování související s dolováním digitálních měn Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila spuštění procesu nebo příkazu obvykle spojeného s dolováním digitální měny. - Vysoká
Konstrukce dynamických skriptů PS Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila dynamicky vytvořený skript PowerShellu. Útočníci někdy tento přístup používají k postupnému vytváření skriptu, aby se vyhnuli systémům IDS. Může to být legitimní aktivita nebo označení, že došlo k ohrožení zabezpečení jednoho z vašich počítačů. - Střední
Spustitelný soubor spuštěný z podezřelého umístění Analýza hostitelských dat zjistila spustitelný soubor na serveru %{Ohrožený hostitel}, který běží z umístění, které je běžné se známými podezřelými soubory. Tento spustitelný soubor může být legitimní aktivitou nebo indikací ohroženého hostitele. - Vysoká
Zjistilo se chování útoku bez souborů
(VM_FilelessAttackBehavior.Windows)
Paměť zadaného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří:
1) Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití ohrožení zabezpečení softwaru.
2) Aktivní síťová připojení. Podrobnosti najdete v části NetworkConnections níže.
3) Volání funkcí na rozhraní operačního systému citlivá na zabezpečení. Odkazované možnosti operačního systému najdete níže.
4) Obsahuje vlákno, které bylo spuštěno v dynamicky přiděleném segmentu kódu. Jedná se o běžný vzor útoků prostřednictvím injektáže procesů.
Obrana před únikem Nízká
Zjištěná technika útoku bez souborů
(VM_FilelessAttackTechnique.Windows)
Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spuštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří:
1) Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití ohrožení zabezpečení softwaru.
2) Spustitelný obrázek vložený do procesu, například v útoku prostřednictvím injektáže kódu.
3) Aktivní síťová připojení. Podrobnosti najdete v části NetworkConnections níže.
4) Volání funkcí pro rozhraní operačního systému citlivá na zabezpečení. Odkazované možnosti operačního systému najdete níže.
5) Zpracování dutých procesů, což je technika používaná malwarem, ve kterém je legitimní proces načten do systému, aby fungoval jako kontejner pro nepřátelské kódy.
6) Obsahuje vlákno, které bylo zahájeno v dynamicky přiděleném segmentu kódu. Jedná se o běžný vzor útoků injektáže procesů.
Úniky v obraně, provádění Vysoká
Zjištěná sada nástrojů útoku bez souborů
(VM_FilelessAttackToolkit.Windows)
Paměť zadaného procesu obsahuje souborovou sadu nástrojů útoku: [název sady nástrojů]. Sady nástrojů útoku bez souborů používají techniky, které minimalizují nebo eliminují trasování malwaru na disku a výrazně snižují riziko detekce pomocí řešení pro kontrolu malwaru na základě disku. Mezi konkrétní chování patří:
1) Dobře známé sady nástrojů a kryptografický důlní software.
2) Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
3) Vložený škodlivý spustitelný soubor do paměti procesu.
Úniky v obraně, provádění Střední
Zjištěný vysoce rizikový software Analýza hostitelských dat z %{Ohroženého hostitele} zjistila použití softwaru, který byl přidružený k instalaci malwaru v minulosti. Běžnou technikou použitou při distribuci škodlivého softwaru je zabalit ho do jiných neškodných nástrojů, jako je například ten, který je v tomto upozornění vidět. Při použití těchto nástrojů může být malware bezobslužně nainstalován na pozadí. - Střední
Výpis členů místní skupiny Administrators Protokoly počítačů označují úspěšné výčty ve skupině %{Název domény skupiny výčtu}%{Název skupiny výčtu}. Konkrétně %{Enumerating User Domain Name}%{Enumerating User Name} vzdáleně výčtu členů skupiny %{Název domény skupiny výčtu}%{Enumerated Group Name} skupiny. Tato aktivita může být legitimní aktivita nebo označení, že došlo k ohrožení počítače ve vaší organizaci a použití k rekognoskaci %{vmname}. - Informační
Škodlivé pravidlo firewallu vytvořeného implantátem serveruINK [vidělo se vícekrát] Pravidlo brány firewall bylo vytvořeno pomocí technik, které odpovídají známému objektu actor,INK. Pravidlo bylo pravděpodobně použito k otevření portu na serveru %{Ohrožený hostitel}, který umožňuje komunikaci s ovládacím řízením příkazů & . Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Vysoká
Škodlivá aktivita SQL Protokoly počítačů označují, že %{název procesu} byl proveden účtem: %{uživatelské jméno}. Tato aktivita se považuje za škodlivou. - Vysoká
Dotazováno více doménových účtů Analýza hostitelských dat zjistila, že během krátkého časového období od %{Ohroženého hostitele} se dotazuje neobvyklý počet jedinečných účtů domény. Tento druh aktivity může být legitimní, ale může to být také označení ohrožení zabezpečení. - Střední
Možné dumpingové přihlašovací údaje byly zjištěny [zjištěny vícekrát] Analýza hostitelských dat zjistila použití nativního nástroje windows (např. sqldumper.exe), který se používá způsobem, který umožňuje extrahovat přihlašovací údaje z paměti. Útočníci často tyto techniky používají k extrahování přihlašovacích údajů, které pak používají k laterálnímu přesunu a eskalaci oprávnění. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Potenciální pokus o obejití zjištěného AppLockeru Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila potenciální pokus o obejití omezení AppLockeru. AppLocker je možné nakonfigurovat tak, aby implementoval zásadu, která omezuje, jaké spustitelné soubory smí běžet v systému Windows. Vzor příkazového řádku podobný vzoru, který byl identifikován v této výstrahě, byl dříve přidružen k pokusům útočníka o obcházení zásad AppLockeru pomocí důvěryhodných spustitelných souborů (povolených zásadami AppLockeru) ke spuštění nedůvěryhodného kódu. Může to být legitimní aktivita nebo označení ohroženého hostitele. - Vysoká
Zjištěno spuštění PsExec
(VM_RunByPsExec)
Analýza dat hostitele označuje, že proces %{Název procesu} byl spuštěn nástrojem PsExec. PsExec lze použít pro vzdálené spouštění procesů. Tuto techniku je možné použít pro škodlivé účely. Laterální pohyb, provádění Informační
Indikátory ransomwaru byly zjištěny [vícekrát] Analýza hostitelských dat označuje podezřelou aktivitu tradičně spojenou se zamykací obrazovkou a šifrováním ransomware. Zamykací obrazovka ransomware zobrazuje zprávu na celé obrazovce, která brání interaktivnímu používání hostitele a přístupu k jeho souborům. Šifrování ransomwaru brání přístupu šifrováním datových souborů. V obou případech se obvykle zobrazí zpráva o výkupném, která žádá o platbu za účelem obnovení přístupu k souboru. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Vysoká
Zjištěny indikátory ransomwaru Analýza hostitelských dat označuje podezřelou aktivitu tradičně spojenou se zamykací obrazovkou a šifrováním ransomware. Zamykací obrazovka ransomware zobrazuje zprávu na celé obrazovce, která brání interaktivnímu používání hostitele a přístupu k jeho souborům. Šifrování ransomwaru brání přístupu šifrováním datových souborů. V obou případech se obvykle zobrazí zpráva o výkupném, která žádá o platbu za účelem obnovení přístupu k souboru. - Vysoká
Vzácná skupina služeb SVCHOST se spustila
(VM_SvcHostRunInRareServiceGroup)
Systémový proces SVCHOST byl pozorován spuštění vzácné skupiny služeb. Malware často používá SVCHOST k maskování jeho škodlivé aktivity. Úniky v obraně, provádění Informační
Zjištěný útok na rychlé klávesy Analýza dat hostitele značí, že útočník může podvrátit binární soubor přístupnosti (například rychlé klávesy, klávesnice na obrazovce, předčítání) za účelem poskytnutí přístupu backdooru k hostiteli %{Ohrožený hostitel}. - Střední
Úspěšný útok hrubou silou
(VM_LoginBruteForceSuccess)
Bylo zjištěno několik pokusů o přihlášení ze stejného zdroje. Některé se úspěšně ověřily na hostiteli.
Podobá se útoku s nárůstem, ve kterém útočník provádí řadu pokusů o ověření, aby našel platné přihlašovací údaje účtu.
Vykořisťování Střední/vysoká
Úroveň integrity podezřelého indikující zneužití protokolu RDP Analýza hostitelských dat zjistila, že tscon.exe spuštěné s oprávněními SYSTEM – to může značit zneužití tohoto binárního souboru, aby se kontext přepnul na jiného přihlášeného uživatele na tomto hostiteli; jedná se o známou techniku útočníka pro ohrožení dalších uživatelských účtů a pozdější přesun v síti. - Střední
Podezřelá instalace služby Analýza hostitelských dat zjistila instalaci tscon.exe jako služby: tento binární soubor, který se spouští jako služba, potenciálně umožňuje útočníkovi triviálně přepnout na jakéhokoli jiného přihlášeného uživatele na tomto hostiteli tím, že zneužijí připojení RDP; jedná se o známou techniku útočníka pro ohrožení dalších uživatelských účtů a pozdější přesun v síti. - Střední
Podezření na parametry útoku Golden Ticket Kerberos Analýza dat hostitele zjistila parametry příkazového řádku konzistentní s útokem Kerberos Golden Ticket. - Střední
Zjištění podezřelého vytvoření účtu Analýza dat hostitele na %{Ohroženého hostitele} zjistila vytvoření nebo použití místního účtu %{Název podezřelého účtu}: Tento název účtu se úzce podobá standardnímu názvu účtu nebo skupiny systému Windows %{Podobný názvu účtu}. To je potenciálně nechutný účet vytvořený útočníkem, takže pojmenovaný tak, aby se zabránilo tomu, že by si ho všiml správce člověka. - Střední
Zjištěná podezřelá aktivita
(VM_SuspiciousActivity)
Analýza hostitelských dat zjistila posloupnost jednoho nebo více procesů spuštěných na serveru %{název počítače}, které byly historicky spojené se zlými aktivitami. Jednotlivé příkazy se sice můžou zdát neškodné, ale výstraha se vyhodnocuje na základě agregace těchto příkazů. Může to být legitimní aktivita nebo označení ohroženého hostitele. Spuštění Střední
Podezřelá aktivita ověřování
(VM_LoginBruteForceValidUserFailed)
I když žádný z nich nebyl úspěšný, hostitel některé z nich používaly účty. Podobá se útoku slovníku, ve kterém útočník provádí mnoho pokusů o ověření pomocí slovníku předdefinovaných názvů účtů a hesel, aby našel platné přihlašovací údaje pro přístup k hostiteli. To znamená, že některé názvy hostitelských účtů můžou existovat ve známém slovníku názvů účtů. Zkušební fáze Střední
Zjištěn podezřelý segment kódu Označuje, že segment kódu byl přidělen pomocí nestandardních metod, jako je reflexní injektáž a vyprázdnění procesu. Výstraha poskytuje další charakteristiky segmentu kódu, který byl zpracován tak, aby poskytoval kontext pro možnosti a chování hlášeného segmentu kódu. - Střední
Podezřelé spuštění příkazu
(VM_SuspiciousCommandLineExecution)
Protokoly počítačů označují podezřelé spuštění příkazového řádku uživatelem %{uživatelské jméno}. Spuštění Vysoká
Suspicious double extension file executed Analýza hostitelských dat označuje spuštění procesu s podezřelým dvojitým rozšířením. Toto rozšíření může oklamat uživatele, aby si mysleli, že soubory jsou bezpečné otevřít a mohou znamenat přítomnost malwaru v systému. - Vysoká
Podezřelé stahování pomocí nástroje Certutil zjistilo [zobrazeno několikrát] Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištění podezřelého stahování pomocí nástroje Certutil Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. - Střední
Podezřelé spuštění rozšíření vlastních skriptů ve virtuálním počítači selhalo
(VM_CustomScriptExtensionSuspiciousFailure)
Podezřelá chyba rozšíření vlastních skriptů se ve vašem virtuálním počítači zjistila analýzou operací Azure Resource Manager ve vašem předplatném.
Taková selhání mohou být přidružena ke škodlivým skriptům spuštěným tímto rozšířením.
Spuštění Střední
Zjištěná podezřelá aktivita PowerShellu Analýza hostitelských dat zjistila skript PowerShellu spuštěný na %{Ohroženém hostiteli}, který má společné funkce se známými podezřelými skripty. Tento skript může být legitimní aktivitou nebo indikací ohroženého hostitele. - Vysoká
Podezřelé rutiny PowerShellu se spustily Analýza hostitelských dat indikuje spuštění známých škodlivých rutin PowerShellu PowerSploit. - Střední
Podezřelý proces se spustil [několikrát viděl] Protokoly počítačů naznačují, že na počítači byl spuštěn podezřelý proces %{Podezřelý proces}, který je často spojený s pokusy o přístup k přihlašovacím údajům. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Vysoká
Spuštění podezřelého procesu Protokoly počítačů naznačují, že na počítači byl spuštěn podezřelý proces %{Podezřelý proces}, který je často spojený s pokusy o přístup k přihlašovacím údajům. - Vysoká
Byl zjištěn podezřelý název procesu [několikrát zjištěn] Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení zabezpečení jednoho z vašich počítačů. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěný podezřelý název procesu Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení zabezpečení jednoho z vašich počítačů. - Střední
Nárazové ukončení podezřelého procesu
(VM_TaskkillBurst)
Analýza hostitelských dat indikuje podezřelý nárůst ukončení procesu v %{Název počítače}. Konkrétně byly ukončeny procesy %{NumberOfCommands} mezi %{Begin} a %{End}. Obrana před únikem Nízká
Podezřelý proces Screensaver se spustil
(VM_SuspiciousScreenSaverExecution)
Proces %{název procesu} byl zjištěn při provádění z neobvyklého umístění. Soubory s příponou .scr jsou soubory spořič obrazovky a obvykle se nacházejí a spouští z systémového adresáře Windows. Úniky proti obraně, provádění Střední
Podezřelá aktivita SQL Protokoly počítače označují, že účet %{název procesu} spustil: %{uživatelské jméno}. Tato aktivita je u tohoto účtu neobvyklá. - Střední
Byl proveden podezřelý proces SVCHOST. Systémový proces SVCHOST byl pozorován v neobvyklém kontextu. Malware často používá SVCHOST k maskování své škodlivé aktivity. - Vysoká
Byl proveden podezřelý systémový proces.
(VM_SystemProcessInAbnormalContext)
Systémový proces %{název procesu} byl pozorován v neobvyklém kontextu. Malware často používá tento název procesu k maskování jeho škodlivé aktivity. Úniky proti obraně, provádění Vysoká
Suspicious Volume Shadow Copy Activity Analýza hostitelských dat zjistila aktivitu odstranění stínové kopie u prostředku. Stínová kopie svazku je důležitý artefakt, který uchovává snímky dat. Určitý malware a konkrétně Ransomware, cílí VSC na strategie zálohování sabotáže. - Vysoká
Zjištěná podezřelá hodnota registru WindowPosition Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila pokus o změnu konfigurace registru WindowPosition, která by mohla znamenat skrytí oken aplikací v neviděných částech plochy. Může to být legitimní aktivita nebo označení ohroženého počítače: tento typ aktivity byl dříve spojený se známým adwarem (nebo nežádoucím softwarem), jako je Win32/OneSystemCare a Win32/SystemHealer a malware, jako je Win32/Creprote. Pokud je hodnota WindowPosition nastavená na 201329664 (Šestnáctkový: 0x0c00 0c00, odpovídající X-axis=0c00 a Y-axis=0c00), umístí okno konzolové aplikace do oblasti, která je skryta pod viditelnou úvodní nabídkou nebo hlavním panelem. Známá podezřelá hexní hodnota zahrnuje, ale není omezena na c000c0000 - Nízká
Zjištěn podezřelý pojmenovaný proces Analýza dat hostitele na %{Ohroženého hostitele} zjistila proces, jehož název je velmi podobný, ale liší se od velmi často spuštěného procesu (%{Podobný názvu procesu}). I když tento proces může být neškodný útočník, je známo, že se někdy skryje v prostém zraku pojmenováním svých škodlivých nástrojů tak, aby vypadaly jako legitimní názvy procesů. - Střední
Neobvyklé resetování konfigurace ve virtuálním počítači
(VM_VMAccessUnusualConfigReset)
Na virtuálním počítači se zjistilo neobvyklé resetování konfigurace analýzou operací Azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření přístupu k virtuálnímu počítači k resetování konfigurace ve vašem virtuálním počítači a ohrozit ji.
Přístup k přihlašovacím údajům Střední
Neobvyklé odstranění rozšíření vlastních skriptů na virtuálním počítači
(VM_CustomScriptExtensionUnusualDeletion)
Neobvyklé odstranění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Neobvyklé spuštění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionUnusualExecution)
Neobvyklé spuštění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Zjištěna neobvyklá spuštění procesu Analýza dat hostitele na %{Ohroženého hostitele} zjistila spuštění procesu pomocí %{uživatelského jména}, které bylo neobvyklé. Účty, jako je %{Uživatelské jméno}, mají tendenci provádět omezenou sadu operací, bylo zjištěno, že toto spuštění není znakové a může být podezřelé. - Vysoká
Neobvyklé resetování hesla uživatele ve virtuálním počítači
(VM_VMAccessUnusualPasswordReset)
Na virtuálním počítači se zjistilo neobvyklé resetování hesla uživatele analýzou operací Azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření accessového virtuálního počítače k resetování přihlašovacích údajů místního uživatele ve vašem virtuálním počítači a ohrozit ho.
Přístup k přihlašovacím údajům Střední
Neobvyklé resetování klíče SSH uživatele ve virtuálním počítači
(VM_VMAccessUnusualSSHReset)
Na virtuálním počítači se zjistilo neobvyklé resetování klíče SSH uživatele analýzou operací azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření přístupu k virtuálnímu počítači k resetování klíče SSH uživatelského účtu ve vašem virtuálním počítači a ohrozit ho.
Přístup k přihlašovacím údajům Střední
Zjistilo se přidělení objektů HTTP jazyka VBScript Bylo zjištěno vytvoření souboru VBScript pomocí příkazového řádku. Následující skript obsahuje příkaz přidělení objektů HTTP. Tuto akci můžete použít ke stažení škodlivých souborů. - Vysoká
Zjištěná metoda trvalosti registru Systému Windows
(VM_RegistryPersistencyKey)
Analýza hostitelských dat zjistila pokus o zachování spustitelného souboru v registru Windows. Tuto techniku používá malware často k tomu, aby nedošlo k jeho odstranění při spuštění počítače. Perzistence Nízká

Upozornění pro počítače s Linuxem

Microsoft Defender for Servers Plan 2 poskytuje kromě těch, které poskytuje Microsoft Defender for Endpoint, jedinečné detekce a výstrahy. Výstrahy poskytované pro počítače s Linuxem jsou:

Další podrobnosti a poznámky

Upozornění (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Soubor historie byl vymazán. Analýza dat hostitele označuje, že soubor protokolu historie příkazů byl vymazán. Útočníkům to může pomoct pokrýt jejich stopy. Operaci provedl uživatel: %{uživatelské jméno}. - Střední
Zjištěn přístup k souboru htaccess
(VM_SuspectHtaccessFileAccess)
Analýza dat hostitele na %{Ohroženého hostitele} zjistila možnou manipulaci se souborem htaccess. Htaccess je výkonný konfigurační soubor, který umožňuje provádět více změn webového serveru s webovým softwarem Apache, včetně základních funkcí přesměrování nebo pokročilejších funkcí, jako je základní ochrana heslem. Útočníci často upravují soubory htaccess na počítačích, na kterých došlo k ohrožení zabezpečení, aby získali trvalost. trvalost, úniky obrany, provádění Střední
Vyloučení antimalwarových širokých souborů na virtuálním počítači
(VM_AmBroadFilesExclusion)
Soubory vyloučené z antimalwarového rozšíření s širokým pravidlem vyloučení byly na virtuálním počítači zjištěny analýzou operací Azure Resource Manager ve vašem předplatném. Toto vyloučení prakticky zakáže antimalwarovou ochranu.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spouštění libovolného kódu nebo infikování počítače malwarem.
- Střední
Antimalwarové zakázání a spouštění kódu ve virtuálním počítači
(VM_AmDisablementAndCodeExecution)
Antimalware je na virtuálním počítači zakázané současně se spouštěním kódu. Zjistilo se to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci zakažují antimalwarové skenery, aby zabránili detekci při spouštění neoprávněných nástrojů nebo infikování počítače malwarem.
- Vysoká
Antimalwarové zakázání ve virtuálním počítači
(VM_AmDisablement)
Antimalware je ve vašem virtuálním počítači zakázané. Zjistilo se to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou na virtuálním počítači zakázat antimalware, aby se zabránilo detekci.
Obrana před únikem Střední
Vyloučení antimalwarového souboru a spouštění kódu ve virtuálním počítači
(VM_AmFileExclusionAndCodeExecution)
Soubor vyloučený z antimalwarového skeneru současně s kódem se spustil prostřednictvím rozšíření vlastních skriptů na virtuálním počítači. Zjistilo se to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spouštění neoprávněných nástrojů nebo infikování počítače malwarem.
Úniky v obraně, provádění Vysoká
Vyloučení antimalwarového souboru a spouštění kódu ve virtuálním počítači
(VM_AmTempFileExclusionAndCodeExecution)
Dočasné vyloučení souborů z antimalwarového rozšíření paralelně ke spuštění kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spouštění libovolného kódu nebo infikování počítače malwarem.
Úniky proti obraně, provádění Vysoká
Vyloučení antimalwarových souborů ve vašem virtuálním počítači
(VM_AmTempFileExclusion)
Soubor vyloučený z antimalwarového skeneru na virtuálním počítači Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z kontroly antimalwaru na vašem virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Obrana před únikem Střední
Ochrana antimalwaru v reálném čase byla na virtuálním počítači zakázaná.
(VM_AmRealtimeProtectionDisabled)
Zakázání ochrany v reálném čase antimalwarového rozšíření bylo zjištěno ve vašem virtuálním počítači analýzou operací azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Ochrana antimalwaru v reálném čase byla na virtuálním počítači dočasně zakázaná.
(VM_AmTempRealtimeProtectionDisablement)
Dočasná zakázání antimalwarového rozšíření v reálném čase byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Antimalwarová ochrana v reálném čase byla dočasně zakázaná, když se kód spustil na virtuálním počítači.
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Dočasná zakázání antimalwarového rozšíření v reálném čase paralelně se spouštěním kódu prostřednictvím rozšíření vlastních skriptů byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou zakázat ochranu v reálném čase před kontrolou antimalwaru na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
- Vysoká
Antimalwarové kontroly blokované pro soubory, které mohou souviset s malwarem kampaní na vašem virtuálním počítači (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Ve vašem virtuálním počítači bylo zjištěno pravidlo vyloučení, které brání kontrole antimalwarových rozšíření určitých souborů, u nichž je podezření, že souvisí s malwarem kampaně. Pravidlo bylo zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarových kontrol, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem. Obrana před únikem Střední
Antimalware je na virtuálním počítači dočasně zakázané
(VM_AmTemporarilyDisablement)
Antimalware je na virtuálním počítači dočasně zakázané. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou na virtuálním počítači zakázat antimalware, aby se zabránilo detekci.
- Střední
Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači
(VM_UnusualAmFileExclusion)
Na virtuálním počítači se zjistilo neobvyklé vyloučení souborů z antimalwarového rozšíření analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou vyloučit soubory z antimalwarové kontroly na virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Obrana před únikem Střední
Pokus o zastavení služby apt-daily-upgrade.timer zjistil [několikrát] Analýza hostitelských dat na %{Ohrožené hostitele} zjistila pokus o zastavení služby apt-daily-upgrade.timer. V některých nedávných útocích byli útočníci pozorováni zastavení této služby, stažení škodlivých souborů a udělení oprávnění k provedení útoku. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Nízká
Došlo k pokusu o zastavení služby apt-daily-upgrade.timer
(VM_TimerServiceDisabled)
Analýza hostitelských dat na %{Ohrožené hostitele} zjistila pokus o zastavení služby apt-daily-upgrade.timer. V některých nedávných útocích byli útočníci pozorováni zastavení této služby, stažení škodlivých souborů a udělení oprávnění k provedení útoku. Obrana před únikem Nízká
Chování podobné běžným linuxových robotům se zjistilo [bylo zjištěno vícekrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila spuštění procesu, který je obvykle přidružený k běžným linuxovým botnetům. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjistilo se podobné chování jako běžné linuxové roboty
(VM_CommonBot)
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila spuštění procesu, který je obvykle přidružený k běžným linuxovým botnetům. Spouštění, shromažďování, příkaz a řízení Střední
Chování podobné fairwaru ransomwaru bylo zjištěno [zobrazeno několikrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila spuštění příkazů rm -rf použitých na podezřelá umístění. Protože rm -rf rekurzivně odstraní soubory, obvykle se používá u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známo, že v této složce spouští příkazy rm -rf. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Chování podobné fairwaru ransomwaru bylo zjištěno
(VM_FairwareMalware)
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila spuštění příkazů rm -rf použitých na podezřelá umístění. Protože rm -rf rekurzivně odstraní soubory, obvykle se používá u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známo, že v této složce spouští příkazy rm -rf. Spuštění Střední
Chování podobné ransomwaru bylo zjištěno [zobrazeno vícekrát] Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila provádění souborů, které se podobají známému ransomwaru, který může uživatelům zabránit v přístupu k jejich systémům nebo osobním souborům a požaduje platbu za výkupné, aby získali přístup znovu. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Vysoká
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Útočníci často komunikují se zlými doménami a můžou to znamenat, že je váš prostředek napadený. Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití Střední
Kontejner se zjištěnou imagí mineru
(VM_MinerInContainerImage)
Protokoly počítačů označují spuštění kontejneru Dockeru, který spouští image přidruženou k dolování digitální měny. Spuštění Vysoká
Provádění kryptografických minerů
(VM_CryptoCoinMinerExecution)
Analýza dat hostitele/zařízení zjistila, že proces se spouští podobným způsobem jako proces těžby mincí. Spuštění Střední
Rozšíření vlastních skriptů s podezřelým příkazem ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousCmd)
Rozšíření vlastních skriptů s podezřelým příkazem se na virtuálním počítači zjistilo analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou použít rozšíření vlastních skriptů ke spuštění škodlivého kódu na virtuálním počítači prostřednictvím azure Resource Manager.
Spuštění Střední
Rozšíření vlastních skriptů s podezřelým vstupním bodem ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Rozšíření vlastních skriptů s podezřelým vstupním bodem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manager ve vašem předplatném. Vstupní bod odkazuje na podezřelé úložiště GitHub.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Rozšíření vlastních skriptů s podezřelou datovou částí ve vašem virtuálním počítači
(VM_CustomScriptExtensionSuspiciousPayload)
Rozšíření vlastních skriptů s datovou částí z podezřelého úložiště GitHub bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Zjištěná neobvyklá kombinace velkých a malých znaků v příkazovém řádku Analýza hostitelských dat v %{Ohrožené hostiteli} zjistila příkazový řádek s neobvyklou kombinací velkých a malých znaků. Tento druh vzoru, ale možná neškodný, je také typický pro útočníky, kteří se snaží skrýt před porovnávání pravidel založených na malých a malých a malých písmenech nebo při provádění úloh správy na ohroženého hostitele. - Střední
Zjistilo se stažení souboru ze známého škodlivého zdroje [několikrát]
(VM_SuspectDownload)
Analýza hostitelských dat zjistila stažení souboru ze známého zdroje malwaru na webu %{Ohrožení hostitele}. Toto chování bylo dnes na následujících počítačích zobrazeno v [x] krát: [Názvy počítačů] Eskalace oprávnění, spouštění, exfiltrace, příkaz a řízení Střední
Zjištěný soubor ke stažení ze známého škodlivého zdroje Analýza hostitelských dat zjistila stažení souboru ze známého zdroje malwaru na webu %{Ohrožení hostitele}. - Střední
Zjištěný pokus o trvalost [došlo několikrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila instalaci spouštěcího skriptu pro režim jednoho uživatele. Je velmi vzácné, že jakýkoli legitimní proces je potřeba provést v tomto režimu, takže to může znamenat, že útočník přidal škodlivý proces na každou úroveň spuštění, aby zajistil trvalost. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěný pokus o trvalost
(VM_NewSingleUserModeStartupScript)
Analýza dat hostitele zjistila, že byl nainstalován spouštěcí skript pro režim jednoho uživatele.
Vzhledem k tomu, že je vzácné, že by se v tomto režimu vyžadoval jakýkoli legitimní proces, může to znamenat, že útočník přidal škodlivý proces na každou úroveň spuštění, aby zajistil trvalost.
Perzistence Střední
Zjištění podezřelého stahování souboru [zobrazeno několikrát] Analýza hostitelských dat zjistila podezřelé stažení vzdáleného souboru v %{Ohrožené hostiteli}. Toto chování bylo dnes pozorováno 10krát na následujících počítačích: [Název počítače] - Nízká
Zjištění podezřelého stahování souborů
(VM_SuspectDownloadArtifacts)
Analýza hostitelských dat zjistila podezřelé stažení vzdáleného souboru v %{Ohrožené hostiteli}. Perzistence Nízká
Zjištěná podezřelá síťová aktivita Analýza síťového provozu z %{Ohroženého hostitele} zjistila podezřelou síťovou aktivitu. Tento provoz, i když možná neškodný, obvykle používá útočník ke komunikaci se škodlivými servery pro stahování nástrojů, příkazů a řízení a exfiltrace dat. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj. - Nízká
Zjistilo se podezřelé použití příkazu useradd [vidělo se několikrát] Analýza hostitelských dat zjistila podezřelé použití příkazu useradd v %{Ohrožený hostitel}. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištění podezřelého použití příkazu useradd
(VM_SuspectUserAddition)
Analýza hostitelských dat zjistila podezřelé použití příkazu useradd v %{Ohrožený hostitel}. Perzistence Střední
Zjistilo se chování související s dolováním digitálních měn Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila spuštění procesu nebo příkazu obvykle spojeného s dolováním digitální měny. - Vysoká
Zakázání auditovaného protokolování [zobrazeno vícekrát] Systém auditování Linuxu poskytuje způsob, jak sledovat informace týkající se zabezpečení systému. Zaznamenává co nejvíce informací o událostech, které se v systému děje. Zakázání auditovaného protokolování může bránit zjišťování porušení zásad zabezpečení používaných v systému. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Nízká
Operace sestavení Dockeru zjistila na uzlu Kubernetes
(VM_ImageBuildOnNode)
Protokoly počítačů označují operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou vytvářet své škodlivé obrázky místně, aby se vyhnuli detekci. Obrana před únikem Nízká
Spustitelný soubor spuštěný z podezřelého umístění
(VM_SuspectExecutablePath)
Analýza hostitelských dat zjistila spustitelný soubor na serveru %{Ohrožený hostitel}, který běží z umístění, které je běžné se známými podezřelými soubory. Tento spustitelný soubor může být legitimní aktivitou nebo indikací ohroženého hostitele. Spuštění Vysoká
Zneužití ohrožení zabezpečení Xorg [zobrazeno vícekrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila uživatele Xorg s podezřelými argumenty. Útočníci můžou tuto techniku použít při pokusech o eskalaci oprávnění. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zveřejnění démona Dockeru na soketu TCP
(VM_ExposedDocker)
Protokoly počítačů indikují, že váš proces démon Dockeru (Dockerd) zveřejňuje soket TCP. Ve výchozím nastavení konfigurace Dockeru nepoužívá šifrování ani ověřování, pokud je povolen soket TCP. To umožňuje úplný přístup k démonu Dockeru, a to kýmkoli, kdo má přístup k příslušnému portu. Spuštění, zneužití Střední
Neúspěšný útok hrubou silou SSH
(VM_SshBruteForceFailed)
Z následujících útočníků byly zjištěny neúspěšné útoky hrubou silou: %{Útočníci}. Útočníci se pokusili získat přístup k hostiteli s následujícími uživatelskými jmény: %{Účty použité při neúspěšném přihlášení k pokusům o hostitele}. Zkušební fáze Střední
Zjistilo se chování útoku bez souborů
(VM_FilelessAttackBehavior.Linux)
Paměť následujícího procesu obsahuje chování běžně používané útoky bez souborů.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
Spuštění Nízká
Zjištěná technika útoku bez souborů
(VM_FilelessAttackTechnique.Linux)
Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci k provádění kódu při odstraňování detekce bezpečnostním softwarem.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
Spuštění Vysoká
Zjištěná sada nástrojů útoku bez souborů
(VM_FilelessAttackToolkit.Linux)
Paměť následujícího procesu obsahuje sadu nástrojů útoku bez souborů: {ToolKitName}. Sady nástrojů útoku bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
Úniky v obraně, provádění Vysoká
Bylo zjištěno spuštění skrytého souboru. Analýza dat hostitele označuje, že skrytý soubor byl proveden uživatelem %{uživatelské jméno}. Tato aktivita může být legitimní aktivitou nebo indikací ohroženého hostitele. - Informační
Indikátory přidružené k sadě nástrojů DDOS byly zjištěny [zjištěny vícekrát] Analýza dat hostitele na %{Ohroženého hostitele} zjistila názvy souborů, které jsou součástí sady nástrojů asociovaných s malwarem, který dokáže spustit útoky DDoS, otevírat porty a služby a převzít úplnou kontrolu nad napadeným systémem. Může to být také legitimní aktivita. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěné indikátory související se sadou nástrojů DDOS
(VM_KnownLinuxDDoSToolkit)
Analýza dat hostitele na %{Ohroženého hostitele} zjistila názvy souborů, které jsou součástí sady nástrojů asociovaných s malwarem, který dokáže spustit útoky DDoS, otevírat porty a služby a převzít úplnou kontrolu nad napadeným systémem. Může to být také legitimní aktivita. Trvalost, laterální pohyb, provádění, zneužití Střední
Místní hostitelská rekognoskace zjistila [viděla vícekrát] Analýza hostitelských dat na %{Ohroženého hostitele} zjistila spuštění příkazu, který je obvykle přidružený k běžné rekognoskaci robota s Linuxem. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěna rekognoskace místního hostitele
(VM_LinuxReconnaissance)
Analýza hostitelských dat na %{Ohroženého hostitele} zjistila spuštění příkazu, který je obvykle přidružený k běžné rekognoskaci robota s Linuxem. Zjišťování Střední
Manipulace s bránou firewall hostitele byla zjištěna [zjištěna vícekrát]
(VM_FirewallDisabled)
Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila možnou manipulaci s bránou firewall na hostiteli. Útočníci to často zakažou, aby mohli exfiltrovat data. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] Úniky proti obraně, exfiltrace Střední
Zjištěná manipulace s bránou firewall hostitele Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila možnou manipulaci s bránou firewall na hostiteli. Útočníci to často zakažou, aby mohli exfiltrovat data. - Střední
Agent MITRE Caldera zjistil
(VM_MitreCalderaTools)
Protokoly počítačů označují, že podezřelý proces: %{Podezřelý proces} byl spuštěn na %{Ohroženém hostiteli}. Často je to spojeno s agentem MITRE 54ndc47, který by mohl být použit k útoku na jiné počítače nějakým způsobem. Vše Střední
Nový klíč SSH byl přidán [několikrát vidět]
(VM_SshKeyAddition)
Do souboru autorizovaných klíčů se přidal nový klíč SSH. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] Perzistence Nízká
Přidání nového klíče SSH Do souboru autorizovaných klíčů se přidal nový klíč SSH. - Nízká
Možný nástroj pro útok byl zjištěn [byl zjištěn několikrát] Protokoly počítačů označují, že podezřelý proces: %{Podezřelý proces} byl spuštěn na %{Ohroženém hostiteli}. Tento nástroj je často spojený se zlými uživateli, kteří nějakým způsobem napadnou jiné počítače. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěný nástroj pro možný útok
(VM_KnownLinuxAttackTool)
Protokoly počítačů označují, že podezřelý proces: %{Podezřelý proces} byl spuštěn na %{Ohroženém hostiteli}. Tento nástroj je často spojený se zlými uživateli, kteří nějakým způsobem napadnou jiné počítače. Spouštění, kolekce, příkaz a řízení, probing Střední
Možný backdoor byl zjištěn [několikrát zjištěn] Analýza hostitelských dat zjistila, že se stahuje podezřelý soubor, a pak v předplatném spusťte %{Ohrožený hostitel}. Tato aktivita byla dříve přidružena k instalaci backdooru. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Možný nástroj pro přístup k přihlašovacím údajům byl zjištěn [zjištěn vícekrát] Protokoly počítačů označují, že na %{ohroženém hostiteli} byl spuštěný možný známý nástroj pro přístup k přihlašovacím údajům: %{Podezřelý proces}. Tento nástroj je často přidružený k pokusům útočníka o přístup k přihlašovacím údajům. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěný možný nástroj pro přístup k přihlašovacím údajům
(VM_KnownLinuxCredentialAccessTool)
Protokoly počítačů označují, že na %{ohroženém hostiteli} byl spuštěný možný známý nástroj pro přístup k přihlašovacím údajům: %{Podezřelý proces}. Tento nástroj je často přidružený k pokusům útočníka o přístup k přihlašovacím údajům. Přístup k přihlašovacím údajům Střední
Možná exfiltrace dat [viděla se několikrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila možnou podmínku výchozího přenosu dat. Útočníci často ustupují data z počítačů, u kterých došlo k ohrožení zabezpečení. Toto chování bylo dnes vidět [x]] na následujících počítačích: [Názvy počítačů] - Střední
Možná exfiltrace dat
(VM_DataEgressArtifacts)
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila možnou podmínku výchozího přenosu dat. Útočníci často ustupují data z počítačů, u kterých došlo k ohrožení zabezpečení. Kolekce, exfiltrace Střední
Možné zneužití Hadoop Yarn
(VM_HadoopYarnExploit)
Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila možné zneužití služby Hadoop Yarn. Vykořisťování Střední
Možné zneužití zjištěného poštovního serveru
(VM_MailserverExploitation )
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila neobvyklé spuštění v rámci účtu poštovního serveru. Vykořisťování Střední
Možná aktivita manipulace s protokoly zjištěná [viděla se několikrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila možné odebrání souborů, které sledují aktivitu uživatele během jeho operace. Útočníci se často snaží odstranit detekci a nenechat žádné stopy škodlivých aktivit odstraněním takových souborů protokolu. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěná možná aktivita manipulace s protokoly
(VM_SystemLogRemoval)
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila možné odebrání souborů, které sledují aktivitu uživatele během jeho operace. Útočníci se často snaží odstranit detekci a nenechat žádné stopy škodlivých aktivit odstraněním takových souborů protokolu. Obrana před únikem Střední
Možné škodlivé webové prostředí zjistilo [vidělo se několikrát]
(VM_Webshell)
Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila možné webové prostředí. Útočníci často nahrají webové prostředí do počítače, který narušili, aby získali trvalost nebo mohli dále využívat. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] Trvalost, Zneužití Střední
Zjistilo se možné škodlivé webové prostředí Analýza hostitelských dat na webu %{Ohrožení hostitele} zjistila možné webové prostředí. Útočníci často nahrají webové prostředí do počítače, který narušili, aby získali trvalost nebo mohli dále využívat. - Střední
Možná změna hesla pomocí metody kryptografie byla zjištěna [zjištěna několikrát] Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila změnu hesla pomocí metody šifrování. Útočníci mohou tuto změnu provést, aby mohli pokračovat v přístupu a získat trvalost po ohrožení zabezpečení. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Potenciální přepsání běžných souborů [zobrazeno vícekrát] Analýza hostitelských dat zjistila, že se běžné spustitelné soubory přepíší u %{Ohroženého hostitele}. Útočníci přepíšou běžné soubory jako způsob, jak obfusovat své akce nebo trvalost. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Potenciální přepsání běžných souborů
(VM_OverridingCommonFiles)
Analýza hostitelských dat zjistila, že se běžné spustitelné soubory přepíší u %{Ohroženého hostitele}. Útočníci přepíšou běžné soubory jako způsob, jak obfusovat své akce nebo trvalost. Perzistence Střední
Potenciální přesměrování portů na externí IP adresu [zobrazeno několikrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila inicializace přesměrování portů na externí IP adresu. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Potenciální přesměrování portů na externí IP adresu
(VM_SuspectPortForwarding)
Analýza dat hostitele zjistila zahájení předávání portů na externí IP adresu. Exfiltrace, příkaz a ovládací prvek Střední
Potenciální reverzní prostředí bylo zjištěno [zobrazeno vícekrát] Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který útočníkovi zavolá zpět do počítače, který vlastní. Toto chování jsme dnes viděli [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjistilo se potenciální zpětné prostředí
(VM_ReverseShell)
Analýza hostitelských dat na serveru %{Ohrožení hostitele} zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který útočníkovi zavolá zpět do počítače, který vlastní. Exfiltrace, zneužití Střední
Spuštění privilegovaného příkazu v kontejneru
(VM_PrivilegedExecutionInContainer)
Protokoly počítačů naznačují, že se v kontejneru Dockeru spustil privilegovaný příkaz. Privilegovaný příkaz má rozšířená oprávnění na hostitelském počítači. Elevace oprávnění Nízká
Zjištěný privilegovaný kontejner
(VM_PrivilegedContainerArtifacts)
Protokoly počítačů indikují, že je spuštěný privilegovaný kontejner Dockeru. Privilegovaný kontejner má úplný přístup k prostředkům hostitele. V případě ohrožení zabezpečení může útočník pomocí privilegovaného kontejneru získat přístup k hostitelskému počítači. Eskalace oprávnění, provádění Nízká
Proces přidružený k těžbě digitálních měn zjistil [viděl vícekrát] Analýza hostitelských dat na serveru %{Ohrožený hostitel} zjistila provádění procesu, který je obvykle spojený s dolováním digitální měny. Toto chování bylo dnes na následujících počítačích zobrazeno více než 100krát: [Název počítače] - Střední
Zjistil se proces přidružený k těžbě digitálních měn. Analýza hostitelských dat zjistila spuštění procesu, který je obvykle spojený s dolováním digitální měny. Zneužití, provádění Střední
Proces, který se zobrazil při přístupu k souboru autorizovaných klíčů SSH neobvyklým způsobem
(VM_SshKeyAccess)
K souboru autorizovaných klíčů SSH se přistupuje v metodě podobné známé malwarové kampaně. Tento přístup může znamenat, že se útočník pokouší získat trvalý přístup k počítači. - Nízká
Downloader kódovaný v Pythonu zjistil [viděl vícekrát] Analýza dat hostitele na %{Ohroženého hostitele} zjistila spuštění kódovaného Pythonu, který stahuje a spouští kód ze vzdáleného umístění. Může to být označení škodlivé aktivity. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Nízká
Snímek obrazovky pořízený na hostiteli [zobrazeno vícekrát] Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila uživatele nástroje pro zachytávání obrazovky. Útočníci můžou tyto nástroje použít k přístupu k privátním datům. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Nízká
Neshoda rozšíření skriptu byla zjištěna [několikrát zjištěna] Analýza dat hostitele na %{Ohroženého hostitele} zjistila neshodu mezi interpretem skriptu a příponou souboru skriptu poskytnutého jako vstup. Často se to přidružovalo ke spouštění skriptů útočníka. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěná neshoda rozšíření skriptu
(VM_MismatchedScriptFeatures)
Analýza dat hostitele na %{Ohroženého hostitele} zjistila neshodu mezi interpretem skriptu a příponou souboru skriptu poskytnutého jako vstup. Často se to přidružovalo ke spouštění skriptů útočníka. Obrana před únikem Střední
Kód prostředí byl zjištěn [několikrát zjištěn] Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila kód prostředí, který se generuje z příkazového řádku. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení zabezpečení jednoho z vašich počítačů. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Server SSH běží v kontejneru.
(VM_ContainerSSH)
Protokoly počítačů označují, že server SSH běží v kontejneru Dockeru. I když toto chování může být záměrné, často značí, že kontejner je nesprávně nakonfigurovaný nebo porušený. Spuštění Střední
Úspěšný útok hrubou silou SSH
(VM_SshBruteForceSuccess)
Analýza hostitelských dat zjistila úspěšný útok hrubou silou. Ip adresa %{Zdrojová IP adresa útočníka} se zobrazila při několika pokusech o přihlášení. Úspěšná přihlášení byla provedena z této IP adresy s následujícími uživateli: %{Účty použité k úspěšnému přihlášení k hostiteli}. To znamená, že hostitel může být ohrožen a řízen škodlivým aktérem. Vykořisťování Vysoká
Podezřelý přístup k souboru hesla
(VM_SuspectPasswordFileAccess)
Analýza hostitelských dat zjistila podezřelý přístup k šifrovaným uživatelským heslům. Perzistence Informační
Zjištění podezřelého vytvoření účtu Analýza dat hostitele na %{Ohroženého hostitele} zjistila vytvoření nebo použití místního účtu %{Název podezřelého účtu}: Tento název účtu se úzce podobá standardnímu názvu účtu nebo skupiny systému Windows %{Podobný názvu účtu}. To je potenciálně nechutný účet vytvořený útočníkem, takže pojmenovaný tak, aby se zabránilo tomu, že by si ho všiml správce člověka. - Střední
Podezřelá kompilace byla zjištěna [zjištěna vícekrát] Analýza dat hostitele na %{Ohroženého hostitele} zjistila podezřelou kompilaci. Útočníci často zkompilují zneužití na počítači, u kterých došlo k ohrožení oprávnění. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Zjištěná podezřelá kompilace
(VM_SuspectCompilation)
Analýza dat hostitele na %{Ohroženého hostitele} zjistila podezřelou kompilaci. Útočníci často zkompilují zneužití na počítači, u kterých došlo k ohrožení oprávnění. Eskalace oprávnění, zneužití Střední
Podezřelé DNS přes https
(VM_SuspiciousDNSOverHttps)
Analýza hostitelských dat označuje použití volání DNS přes HTTPS neobvyklým způsobem. Tuto techniku používají útočníci ke skrytí volání podezřelých nebo škodlivých webů. DefenseEvasion, Exfiltration Střední
Podezřelé neúspěšné spuštění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousFailure)
Podezřelé selhání rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Taková selhání můžou být přidružená ke škodlivým skriptům spuštěným tímto rozšířením.
Spuštění Střední
Podezřelý modul jádra byl zjištěn [zjištěn vícekrát] Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila, že se soubor sdíleného objektu načítá jako modul jádra. Může to být legitimní aktivita nebo označení, že došlo k ohrožení zabezpečení jednoho z vašich počítačů. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Střední
Podezřelý přístup k heslu [byl několikrát vidět] Analýza hostitelských dat zjistila podezřelý přístup k šifrovaným uživatelským heslům na serveru %{Ohrožený hostitel}. Toto chování bylo dnes vidět [x] na následujících počítačích: [Názvy počítačů] - Informační
Podezřelý přístup k heslu Analýza hostitelských dat zjistila podezřelý přístup k šifrovaným uživatelským heslům na serveru %{Ohrožený hostitel}. - Informační
Zjistilo se podezřelé spuštění PHP.
(VM_SuspectPhp)
Protokoly počítačů označují, že je spuštěn podezřelý proces PHP. Akce zahrnovala pokus o spuštění příkazů operačního systému nebo kódu PHP z příkazového řádku pomocí procesu PHP. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách, jako jsou pokusy o infikování webů webovými prostředími. Spuštění Střední
Podezřelý požadavek na rozhraní API Kubernetes
(VM_KubernetesAPI)
Protokoly počítačů označují, že do rozhraní API Kubernetes došlo k podezřelému požadavku. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner. LateralMovement Střední
Podezřelý požadavek na řídicí panel Kubernetes
(VM_KubernetesDashboard)
Protokoly počítačů označují, že se na řídicí panel Kubernetes provedl podezřelý požadavek. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner. LateralMovement Střední
Podezřelá doména příkazového řádku Pro hrozbu Intel
(VM_ThreatIntelCommandLineSuspectDomain)
Proces PROCESSNAME na hostiteli připojený k umístění, které bylo hlášeno jako škodlivé nebo neobvyklé. Toto je indikátor, že mohlo dojít k ohrožení zabezpečení. Počáteční přístup Střední
Neobvyklé resetování konfigurace ve virtuálním počítači
(VM_VMAccessUnusualConfigReset)
Na virtuálním počítači se zjistilo neobvyklé resetování konfigurace analýzou operací Azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření přístupu k virtuálnímu počítači k resetování konfigurace ve vašem virtuálním počítači a ohrozit ji.
Přístup k přihlašovacím údajům Střední
Neobvyklé odstranění rozšíření vlastních skriptů na virtuálním počítači
(VM_CustomScriptExtensionUnusualDeletion)
Neobvyklé odstranění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Neobvyklé spuštění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionUnusualExecution)
Neobvyklé spuštění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manager ve vašem předplatném.
Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivé kódy na virtuálních počítačích prostřednictvím azure Resource Manager.
Spuštění Střední
Neobvyklé resetování hesla uživatele ve virtuálním počítači
(VM_VMAccessUnusualPasswordReset)
Na virtuálním počítači se zjistilo neobvyklé resetování hesla uživatele analýzou operací Azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření accessového virtuálního počítače k resetování přihlašovacích údajů místního uživatele ve vašem virtuálním počítači a ohrozit ho.
Přístup k přihlašovacím údajům Střední
Neobvyklé resetování klíče SSH uživatele ve virtuálním počítači
(VM_VMAccessUnusualSSHReset)
Na virtuálním počítači se zjistilo neobvyklé resetování klíče SSH uživatele analýzou operací azure Resource Manager ve vašem předplatném.
I když tato akce může být legitimní, útočníci můžou zkusit využít rozšíření přístupu k virtuálnímu počítači k resetování klíče SSH uživatelského účtu ve vašem virtuálním počítači a ohrozit ho.
Přístup k přihlašovacím údajům Střední

Upozornění pro Azure App Service

Další podrobnosti a poznámky

Upozornění (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Pokus o spuštění linuxových příkazů ve Windows App Service
(AppServices_LinuxCommandOnWindows)
Analýza procesů App Service zjistila pokus o spuštění příkazu Linuxu ve Windows App Service. Tato akce byla spuštěna webovou aplikací. Toto chování se často projevuje během kampaní, které zneužívají ohrožení zabezpečení v běžné webové aplikaci.
(Platí pro: App Service ve Windows)
- Střední
Ip adresa připojená k rozhraní FTP Azure App Service byla nalezena v nástroji Threat Intelligence.
(AppServices_IncomingTiClientIpFtp)
Azure App Service protokol FTP označuje připojení ze zdrojové adresy, která byla nalezena v informačním kanálu analýzy hrozeb. Během tohoto připojení uživatel přistupoval na uvedené stránky.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Počáteční přístup Střední
Byl zjištěn pokus o spuštění příkazu s vysokým oprávněním.
(AppServices_HighPrivilegeCommand)
Analýza procesů App Service zjistila pokus o spuštění příkazu, který vyžaduje vysoká oprávnění.
Příkaz se spustil v kontextu webové aplikace. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách.
(Platí pro: App Service ve Windows)
- Střední
Komunikace s podezřelou doménou identifikovanou inteligencí hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že váš prostředek je napadený. Počáteční přístup, trvalost, spouštění, příkaz a řízení, zneužití Střední
Zjištěno připojení k webové stránce z neobvyklé IP adresy
(AppServices_AnomalousPageAccess)
Azure App Service protokolu aktivit označuje neobvyklé připojení k citlivé webové stránce z uvedené zdrojové IP adresy. To může znamenat, že se někdo pokouší o útok hrubou silou na stránky pro správu webové aplikace. Může to být také výsledek nové IP adresy, kterou používá legitimní uživatel. Pokud je zdrojová IP adresa důvěryhodná, můžete tuto výstrahu pro tento prostředek bezpečně potlačit. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Počáteční přístup Nízká
Dangling DNS record for an App Service resource detected
(AppServices_DanglingDomain)
Zjistil se záznam DNS, který odkazuje na nedávno odstraněný prostředek App Service (označovaný také jako "dangling DNS"). To vás nechá náchylné k převzetí subdomény. Převzetí subdomény umožňuje hercům se zlými úmysly přesměrovat provoz určený pro doménu organizace na web, který provádí škodlivou aktivitu.
(Platí pro: App Service ve Windows a App Service v Linuxu)
- Vysoká
Zjištěný spustitelný soubor s kódováním v datech příkazového řádku
(AppServices_Base64EncodedExecutableInCommandLineParams)
Analýza hostitelských dat na webu {Ohrožení hostitele} zjistila spustitelný soubor s kódováním base-64. To bylo dříve spojeno s útočníky, kteří se pokusili vytvořit spustitelné soubory v rámci posloupnosti příkazů a pokusili se vyhnout systémům detekce neoprávněných vniknutí tím, že by žádný jednotlivý příkaz aktivoval výstrahu. Může to být legitimní aktivita nebo označení ohroženého hostitele.
(Platí pro: App Service ve Windows)
Úniky proti obraně, provádění Vysoká
Zjištěný soubor ke stažení ze známého škodlivého zdroje
(AppServices_SuspectDownload)
Analýza hostitelských dat zjistila stažení souboru ze známého zdroje malwaru na vašem hostiteli.
(Platí pro: App Service v Linuxu)
Eskalace oprávnění, spouštění, exfiltrace, příkaz a řízení Střední
Zjištění podezřelého stahování souborů
(AppServices_SuspectDownloadArtifacts)
Analýza hostitelských dat zjistila podezřelé stažení vzdáleného souboru.
(Platí pro: App Service v Linuxu)
Perzistence Střední
Zjistilo se chování související s dolováním digitálních měn
(AppServices_DigitalCurrencyMining)
Analýza hostitelských dat ve službě Inn-Flow-WebJobs zjistila spuštění procesu nebo příkazu obvykle spojeného s dolováním digitální měny.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Vysoká
Spustitelný dekódovaný pomocí nástroje certutil
(AppServices_ExecutableDecodedUsingCertutil)
Analýza hostitelských dat na [ohrožené entitě] zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí.
(Platí pro: App Service ve Windows)
Úniky proti obraně, provádění Vysoká
Zjistilo se chování útoku bez souborů
(AppServices_FilelessAttackBehaviorDetection)
Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Střední
Zjištěná technika útoku bez souborů
(AppServices_FilelessAttackTechniqueDetection)
Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spuštění kódu při odstraňování detekce bezpečnostním softwarem.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Vysoká
Zjištěná sada nástrojů pro útoky bez souborů
(AppServices_FilelessAttackToolkitDetection)
Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útoky bez souborů: {ToolKitName}. Sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru.
Mezi konkrétní chování patří: {seznam pozorovaných chování}
(Platí pro: App Service ve Windows a App Service v Linuxu)
Úniky proti obraně, provádění Vysoká
Upozornění na testování cloudu v programu Microsoft Defender pro App Service (ne hrozba)
(AppServices_EICAR)
Toto je testovací výstraha generovaná programem Microsoft Defender for Cloud. Není nutná žádná další akce.
(Platí pro: App Service ve Windows a App Service v Linuxu)
- Vysoká
Zjistila se kontrola NMap.
(AppServices_Nmap)
Azure App Service protokol aktivit označuje možnou aktivitu otisku prstu na webu u vašeho prostředku App Service.
Zjištěná podezřelá aktivita je přidružená k NMAP. Útočníci často používají tento nástroj k zjišťování ohrožení zabezpečení webové aplikace.
(Platí pro: App Service ve Windows a App Service v Linuxu)
PreAttack Střední
Phishingový obsah hostovaný ve webových aplikacích Azure
(AppServices_PhishingContent)
Adresa URL používaná k útoku phishing nalezená na webu Azure AppServices Tato adresa URL byla součástí útoku phishing odeslaného zákazníkům Microsoftu 365. Obsah obvykle navede návštěvníky na zadávání firemních přihlašovacích údajů nebo finančních informací na legitimní web.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Kolekce Vysoká
Soubor PHP ve složce pro nahrání
(AppServices_PhpInUploadFolder)
Azure App Service protokolu aktivit označuje přístup k podezřelé stránce PHP umístěné ve složce pro nahrání.
Tento typ složky obvykle neobsahuje soubory PHP. Existence tohoto typu souboru může znamenat zneužití, které využívá ohrožení zabezpečení spočívající v nahrání libovolného souboru.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Střední
Zjistilo se možné stažení cryptocoinmineru
(AppServices_CryptoCoinMinerDownload)
Analýza hostitelských dat zjistila stažení souboru obvykle spojeného s dolováním digitální měny.
(Platí pro: App Service v Linuxu)
Úniky proti obraně, příkaz a kontrola, zneužití Střední
Byla zjištěna možná exfiltrace dat.
(AppServices_DataEgressArtifacts)
Analýza dat hostitele nebo zařízení zjistila možnou podmínku výchozího přenosu dat. Útočníci často ustupují data z počítačů, u kterých došlo k ohrožení zabezpečení.
(Platí pro: App Service v Linuxu)
Kolekce, exfiltrace Střední
Potenciální protěžující záznam DNS pro zjištěný prostředek App Service
(AppServices_PotentialDanglingDomain)
Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek App Service (označovaný také jako "dangling DNS"). To může být náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým hercům přesměrovat provoz určený pro doménu organizace na web, který provádí škodlivou aktivitu. V tomto případě byl nalezen textový záznam s ID ověření domény. Takové textové záznamy brání převzetí subdomény, ale přesto doporučujeme odebrat dangling doménu. Pokud necháte záznam DNS, který odkazuje na subdoménu, riskujete, pokud v budoucnu někdo z vaší organizace odstraní soubor TXT nebo záznam.
(Platí pro: App Service ve Windows a App Service v Linuxu)
- Nízká
Zjistilo se potenciální zpětné prostředí
(AppServices_ReverseShell)
Analýza hostitelských dat zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který útočníkovi zavolá zpět do počítače, který vlastní.
(Platí pro: App Service v Linuxu)
Exfiltrace, zneužití Střední
Zjistilo se stahování nezpracovaných dat.
(AppServices_DownloadCodeFromWebsite)
Analýza procesů App Service zjistila pokus o stažení kódu z webů nezpracovaných dat, jako je pastebin. Tuto akci spustil proces PHP. Toto chování je spojené s pokusy o stažení webových prostředí nebo jiných škodlivých komponent do App Service.
(Platí pro: App Service ve Windows)
Spuštění Střední
Uložení výstupu curl na zjištěný disk
(AppServices_CurlToDisk)
Analýza procesů App Service zjistila spuštění příkazu curl, ve kterém byl výstup uložen na disk. I když toto chování může být legitimní, ve webových aplikacích se toto chování vyskytuje také ve škodlivých aktivitách, jako jsou pokusy o infikování webů webovými prostředími.
(Platí pro: App Service ve Windows)
- Nízká
Zjistil se referrer složky spamu.
(AppServices_SpamReferrer)
Azure App Service protokolu aktivit označuje webovou aktivitu, která byla identifikována jako pocházející z webu přidruženého k aktivitě spamu. K tomu může dojít v případě ohrožení vašeho webu a jeho použití pro aktivitu spamu.
(Platí pro: App Service ve Windows a App Service v Linuxu)
- Nízká
Zjištěn podezřelý přístup k potenciálně ohrožené webové stránce
(AppServices_ScanSensitivePage)
Azure App Service protokolu aktivit označuje webovou stránku, která se zdá být citlivá, byla přístupná. Tato podezřelá aktivita pochází ze zdrojové IP adresy, jejíž vzor přístupu se podobá webovému skeneru.
Tato aktivita je často spojena s pokusem útočníka o kontrolu sítě, aby se pokusil získat přístup k citlivým nebo ohroženým webovým stránkám.
(Platí pro: App Service ve Windows a App Service v Linuxu)
- Nízká
Referenční informace o podezřelém názvu domény
(AppServices_CommandlineSuspectDomain)
Analýza dat hostitele zjistila odkaz na podezřelý název domény. Tato aktivita, i když je možné legitimní chování uživatelů, často značí stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stahování a spouštění dalších škodlivých softwaru nebo nástrojů pro vzdálenou správu.
(Platí pro: App Service v Linuxu)
Exfiltrace Nízká
Zjištění podezřelého stahování pomocí nástroje Certutil
(AppServices_DownloadUsingCertutil)
Analýza hostitelských dat na webu {NAME} zjistila použití certutil.exe integrovaného nástroje správce ke stažení binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí.
(Platí pro: App Service ve Windows)
Spuštění Střední
Zjistilo se podezřelé spuštění PHP.
(AppServices_SuspectPhp)
Protokoly počítačů indikují, že je spuštěn podezřelý proces PHP. Akce zahrnovala pokus o spuštění příkazů operačního systému nebo kódu PHP z příkazového řádku pomocí procesu PHP. I když toto chování může být legitimní, ve webových aplikacích může toto chování znamenat škodlivé aktivity, například pokusy o infikování webů webovými prostředími.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Střední
Podezřelé rutiny PowerShellu se spustily
(AppServices_PowerShellPowerSploitScriptExecution)
Analýza hostitelských dat indikuje spuštění známých škodlivých rutin PowerShellu PowerSploit.
(Platí pro: App Service ve Windows)
Spuštění Střední
Spuštění podezřelého procesu
(AppServices_KnownCredential AccessTools)
Protokoly počítačů naznačují, že podezřelý proces: %{cesta k procesu} byla spuštěna na počítači, což je často spojené s pokusy útočníka o přístup k přihlašovacím údajům.
(Platí pro: App Service ve Windows)
Přístup k přihlašovacím údajům Vysoká
Zjištěný podezřelý název procesu
(AppServices_ProcessWithKnownSuspiciousExtension)
Analýza hostitelských dat na webu {NAME} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení zabezpečení jednoho z vašich počítačů.
(Platí pro: App Service ve Windows)
Trvalost, obranná úniky Střední
Byl proveden podezřelý proces SVCHOST.
(AppServices_SVCHostFromInvalidPath)
Systémový proces SVCHOST byl pozorován v neobvyklém kontextu. Malware často používá SVCHOST k maskování škodlivé aktivity.
(Platí pro: App Service ve Windows)
Úniky proti obraně, provádění Vysoká
Zjištění podezřelého uživatelského agenta
(AppServices_UserAgentInjection)
protokol aktivit Azure App Service označuje požadavky s podezřelým uživatelským agentem. Toto chování může znamenat, že se pokusíte zneužít ohrožení zabezpečení v aplikaci App Service.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Počáteční přístup Střední
Zjištění podezřelého vyvolání motivu WordPressu
(AppServices_WpThemeInjection)
Azure App Service protokol aktivit označuje možnou aktivitu injektáže kódu u vašeho prostředku App Service.
Zjištěná podezřelá aktivita se podobá manipulaci s motivem WordPressu, který podporuje provádění kódu na straně serveru, následovaný přímým webovým požadavkem, který vyvolá manipulovaný soubor motivu.
Tento typ aktivity jsme viděli v minulosti jako součást kampaně útoku přes WordPress.
Pokud váš App Service prostředek hostuje web WordPressu, není ohrožen tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Pokud chcete zjistit, jak potlačit výstrahy zabezpečení, přečtěte si téma Potlačení výstrah z programu Microsoft Defender for Cloud.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Spuštění Vysoká
Zjištěný skener ohrožení zabezpečení
(AppServices_DrupalScanner)
Azure App Service protokolu aktivit značí, že se ve vašem prostředku App Service použila možná kontrola ohrožení zabezpečení.
Zjištěná podezřelá aktivita se podobá nástroji, které cílí na systém pro správu obsahu (CMS).
Pokud váš prostředek App Service není hostitelem webu Drupal, není zranitelný vůči tomuto konkrétnímu zneužití injektáže kódu a můžete toto upozornění pro prostředek bezpečně potlačit. Pokud chcete zjistit, jak potlačit výstrahy zabezpečení, přečtěte si téma Potlačení výstrah z programu Microsoft Defender for Cloud.
(Platí pro: App Service ve Windows)
PreAttack Střední
Zjištěný skener ohrožení zabezpečení
(AppServices_JoomlaScanner)
Azure App Service protokolu aktivit značí, že se ve vašem prostředku App Service použila možná kontrola ohrožení zabezpečení.
Podezřelá aktivita se zjistila podobně jako nástroje, které cílí na aplikace Wcf.
Pokud váš prostředek App Service není hostitelem webu Společnosti Macu, není zranitelná vůči tomuto konkrétnímu zneužití injektáže kódu a můžete tuto výstrahu pro prostředek bezpečně potlačit. Pokud chcete zjistit, jak potlačit výstrahy zabezpečení, přečtěte si téma Potlačení výstrah z programu Microsoft Defender for Cloud.
(Platí pro: App Service ve Windows a App Service v Linuxu)
PreAttack Střední
Zjištěný skener ohrožení zabezpečení
(AppServices_WpScanner)
Azure App Service protokolu aktivit značí, že se ve vašem prostředku App Service použila možná kontrola ohrožení zabezpečení.
Podezřelá aktivita se zjistila podobně jako nástroje, které cílí na aplikace WordPress.
Pokud váš App Service prostředek hostuje web WordPressu, není ohrožen tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Pokud chcete zjistit, jak potlačit výstrahy zabezpečení, přečtěte si téma Potlačení výstrah z programu Microsoft Defender for Cloud.
(Platí pro: App Service ve Windows a App Service v Linuxu)
PreAttack Střední
Byl zjištěn otisk prstu na webu.
(AppServices_WebFingerprinting)
Azure App Service protokol aktivit označuje možnou aktivitu otisku prstu na webu u vašeho prostředku App Service.
Zjištěná podezřelá aktivita je přidružena k nástroji s názvem Slepý slon. Webovým serverům s otiskem prstu nástroje a pokusí se rozpoznat nainstalované aplikace a verzi.
Útočníci často používají tento nástroj k zjišťování ohrožení zabezpečení webové aplikace.
(Platí pro: App Service ve Windows a App Service v Linuxu)
PreAttack Střední
Web se označí jako škodlivý v informačním kanálu analýzy hrozeb.
(AppServices_SmartScreen)
Váš web, jak je popsáno níže, je označen jako škodlivý web filtrem Windows SmartScreen. Pokud si myslíte, že je to falešně pozitivní, obraťte se na filtr Windows SmartScreen prostřednictvím poskytnutého odkazu na zpětnou vazbu sestavy.
(Platí pro: App Service ve Windows a App Service v Linuxu)
Kolekce Střední

Výstrahy pro kontejnery – clustery Kubernetes

Microsoft Defender for Containers poskytuje výstrahy zabezpečení na úrovni clusteru a na podkladových uzlech clusteru monitorováním řídicí roviny (serveru API) i samotné kontejnerizované úlohy. Výstrahy zabezpečení roviny řízení lze rozpoznat předponou K8S_ typu výstrahy. Výstrahy zabezpečení pro úlohy modulu runtime v clusterech lze rozpoznat předponou K8S.NODE_ typu výstrahy. Všechna upozornění jsou podporována pouze v Linuxu, pokud není uvedeno jinak.

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Pokus o vytvoření nového oboru názvů Linuxu z zjištěného kontejneru
(K8S. NODE_NamespaceCreation) 1
Analýza procesů spuštěných v kontejneru v clusteru Kubernetes zjistila pokus o vytvoření nového oboru názvů Linuxu. I když toto chování může být legitimní, může to znamenat, že se útočník pokusí uniknout z kontejneru do uzlu. Některé cve-2022-0185 využívají tuto techniku. PrivilegeEscalation Střední
Soubor historie byl vymazán.
(K8S. NODE_HistoryFileCleared) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že byl vymazán soubor protokolu historie příkazů. Útočníci to můžou udělat, aby pokrýli své stopy. Operace byla provedena zadaným uživatelským účtem. DefenseEvasion Střední
Neobvyklá aktivita spravované identity přidružené k Kubernetes (Preview)
(K8S_AbnormalMiAcitivty)
Analýza operací azure Resource Manager zjistila neobvyklé chování spravované identity používané doplňkem AKS. Zjištěná aktivita není konzistentní s chováním přidruženého doplňku. I když může být tato aktivita legitimní, takové chování může znamenat, že identitu získal útočník, případně z ohroženého kontejneru v clusteru Kubernetes. Laterální pohyb Střední
Zjištěná neobvyklá operace účtu služby Kubernetes
(K8S_ServiceAccountRareOperation)
Analýza protokolu auditu Kubernetes zjistila neobvyklé chování účtu služby ve vašem clusteru Kubernetes. Účet služby se použil pro operaci, která není pro tento účet služby běžná. I když může být tato aktivita legitimní, takové chování může znamenat, že se účet služby používá pro škodlivé účely. Laterální přesun, přístup k přihlašovacím údajům Střední
Zjistil se neobvyklý pokus o připojení.
(K8S. NODE_SuspectConnection) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila neobvyklý pokus o připojení využívající protokol ponožků. To je velmi vzácné v normálních operacích, ale známá technika pro útočníky, kteří se pokoušejí obejít detekce síťových vrstev. Provádění, exfiltrace, zneužití Střední
Neobvyklé nasazení podu (Preview)
(K8S_AnomalousPodDeployment) 3
Analýza protokolu auditu Kubernetes zjistila nasazení podu, které je neobvyklé na základě předchozí aktivity nasazení podu. Tato aktivita se považuje za anomálii při zohlednění toho, jak jsou různé funkce v operaci nasazení ve vztahu k sobě navzájem. Monitorované funkce zahrnují použitý registr imagí kontejneru, účet provádějící nasazení, den v týdnu, jak často tento účet provádí nasazení podů, uživatelský agent použitý v operaci, jestli se jedná o obor názvů, ke kterému často dochází nasazení podů, a další funkce. Hlavní důvody pro zvýšení tohoto upozornění jako neobvyklé aktivity jsou podrobně popsány v rozšířených vlastnostech výstrahy. Spuštění Střední
Pokus o zastavení služby apt-daily-upgrade.timer
(K8S. NODE_TimerServiceDisabled) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila pokus o zastavení služby apt-daily-upgrade.timer. Útočníci zaznamenali zastavení této služby, aby stáhli škodlivé soubory a udělili oprávnění ke spuštění pro své útoky. K této aktivitě může dojít také v případě, že se služba aktualizuje normálními akcemi správy. DefenseEvasion Informační
Chování podobné běžným robotům s Linuxem bylo zjištěno (Preview)
(K8S. NODE_CommonBot)
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila spuštění procesu, který je obvykle přidružený k běžným linuxovým botnetům. Spouštění, shromažďování, příkaz a řízení Střední
Chování podobné fairwaru ransomwaru bylo zjištěno
(K8S. NODE_FairwareMalware) 1
Analýza procesů spuštěných v kontejneru zjistila spuštění příkazů rm -rf použitých na podezřelá umístění. Protože rm -rf rekurzivně odstraní soubory, obvykle se používá u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známý spuštěním příkazů rm -rf v této složce. Spuštění Střední
Příkaz v rámci kontejneru spuštěného s vysokými oprávněními
(K8S. NODE_PrivilegedExecutionInContainer) 1
Protokoly počítačů označují, že se v kontejneru Dockeru spustil privilegovaný příkaz. Privilegovaný příkaz má rozšířená oprávnění na hostitelském počítači. PrivilegeEscalation Nízká
Kontejner spuštěný v privilegovaném režimu
(K8S. NODE_PrivilegedContainerArtifacts) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila spuštění příkazu Dockeru, který spouští privilegovaný kontejner. Privilegovaný kontejner má úplný přístup k hostitelskému podu nebo hostitelskému prostředku. V případě ohrožení zabezpečení může útočník použít privilegovaný kontejner k získání přístupu k hostitelskému podu nebo hostiteli. PrivilegeEscalation, Execution Nízká
Zjištěný kontejner s citlivým připojením svazku
(K8S_SensitiveMount)
Analýza protokolu auditu Kubernetes zjistila nový kontejner s připojením citlivého svazku. Zjištěný svazek je typ hostitelePath, který připojí citlivý soubor nebo složku z uzlu k kontejneru. Pokud dojde k ohrožení zabezpečení kontejneru, útočník může toto připojení použít k získání přístupu k uzlu. Elevace oprávnění Střední
Zjistilo se úpravy CoreDNS v Kubernetes.
(K8S_CoreDnsModification) 23
Analýza protokolu auditu Kubernetes zjistila změnu konfigurace CoreDNS. Konfiguraci CoreDNS je možné upravit přepsáním konfigurační mapy. I když tato aktivita může být legitimní, pokud útočníci mají oprávnění k úpravě konfigurační mapy, můžou změnit chování serveru DNS clusteru a otrávit ho. Laterální pohyb Nízká
Zjištění konfigurace webhooku pro přijetí
(K8S_AdmissionController) 3
Analýza protokolu auditu Kubernetes zjistila novou konfiguraci webhooku pro přístup. Kubernetes má dva integrované obecné kontrolery přístupu: MutatingAdmissionWebhook a ValidatingAdmissionWebhook. Chování těchto kontrolerů přístupu určuje webhook přístupu, který uživatel nasadí do clusteru. Použití těchto kontrolerů přístupu může být legitimní, ale útočníci můžou takové webhooky použít k úpravě požadavků (v případě MutatingAdmissionWebhook) nebo kontroly požadavků a získání citlivých informací (v případě ověřování OvěřováníAdmissionWebhook). Přístup k přihlašovacím údajům, trvalost Nízká
Zjištěný soubor ke stažení ze známého škodlivého zdroje
(K8S. NODE_SuspectDownload) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila stažení souboru ze zdroje, který se často používá k distribuci malwaru. PrivilegeEscalation, Execution, Exfiltration, Command And Control Střední
Zjištění podezřelého stahování souborů
(K8S. NODE_SuspectDownloadArtifacts) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé stažení vzdáleného souboru. Perzistence Nízká
Zjištění podezřelého použití příkazu nohup
(K8S. NODE_SuspectNohup) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé použití příkazu nohup. Útočníci se viděli pomocí příkazu nohup ke spouštění skrytých souborů z dočasného adresáře, aby mohli spustitelné soubory na pozadí. Tento příkaz se často spouští u skrytých souborů umístěných v dočasném adresáři. Trvalost, DefenseEvasion Střední
Zjištění podezřelého použití příkazu useradd
(K8S. NODE_SuspectUserAddition) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé použití příkazu useradd. Perzistence Střední
Zjištěn kontejner pro dolování digitálních měn
(K8S_MaliciousContainerImage) 3
Analýza protokolu auditu Kubernetes zjistila kontejner, který má image přidruženou k nástroji pro dolování digitální měny. Spuštění Vysoká
Zjistilo se chování související s dolováním digitálních měn
(K8S. NODE_DigitalCurrencyMining) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila spuštění procesu nebo příkazu, který je normálně přidružený k dolování digitální měny. Spuštění Vysoká
Operace sestavení Dockeru zjištěná na uzlu Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou vytvářet své škodlivé image místně, aby se vyhnuli detekci. DefenseEvasion Nízká
Nadměrná oprávnění rolí přiřazená v clusteru Kubernetes (Preview)
(K8S_ServiceAcountPermissionAnomaly) 3
Analýza protokolů auditu Kubernetes zjistila nadměrné přiřazení role oprávnění ke clusteru. Uvedená oprávnění pro přiřazené role jsou pro konkrétní účet služby neobvyklá. Tato detekce považuje předchozí přiřazení rolí ke stejnému účtu služby napříč clustery monitorovaným Azure, svazek na oprávnění a dopad konkrétního oprávnění. Model detekce anomálií používaný pro tuto výstrahu bere v úvahu, jak se toto oprávnění používá ve všech clusterech monitorovaných programem Microsoft Defender for Cloud. Elevace oprávnění Nízká
Spustitelný soubor spuštěný z podezřelého umístění (Preview)
(K8S. NODE_SuspectExecutablePath)
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila spustitelný soubor spuštěný z umístění přidruženého ke známým podezřelým souborům. Tento spustitelný soubor může být legitimní aktivitou nebo indikací ohroženého systému. Spuštění Střední
Zjištěný řídicí panel Kubeflow
(K8S_ExposedKubeflow)
Analýza protokolu auditu Kubernetes zjistila ohrožení příchozího přenosu dat Istio nástrojem pro vyrovnávání zatížení v clusteru, na kterém běží Kubeflow. Tato akce může zpřístupnit řídicí panel Kubeflow na internetu. Pokud je řídicí panel vystavený internetu, útočníci k němu můžou přistupovat a spouštět škodlivé kontejnery nebo kód v clusteru. Další podrobnosti najdete v následujícím článku: https://aka.ms/exposedkubeflow-blog Počáteční přístup Střední
Zjištění vystaveného řídicího panelu Kubernetes
(K8S_ExposedDashboard)
Analýza protokolu auditu Kubernetes zjistila ohrožení řídicího panelu Kubernetes službou LoadBalancer. Vystavený řídicí panel umožňuje neověřený přístup ke správě clusteru a představuje bezpečnostní hrozbu. Počáteční přístup Vysoká
Zjištěná služba Kubernetes
(K8S_ExposedService)
Analýza protokolu auditu Kubernetes zjistila ohrožení služby nástrojem pro vyrovnávání zatížení. Tato služba souvisí s citlivou aplikací, která umožňuje vysoce ovlivněné operace v clusteru, jako je spouštění procesů na uzlu nebo vytváření nových kontejnerů. V některých případech tato služba nevyžaduje ověřování. Pokud služba nevyžaduje ověřování, vystavení na internetu představuje bezpečnostní riziko. Počáteční přístup Střední
Zjištěná služba Redis v AKS
(K8S_ExposedRedis)
Analýza protokolu auditu Kubernetes zjistila ohrožení služby Redis nástrojem pro vyrovnávání zatížení. Pokud služba nevyžaduje ověřování, vystavení na internetu představuje bezpečnostní riziko. Počáteční přístup Nízká
Zjištěny indikátory přidružené k sadě nástrojů DDOS
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila názvy souborů, které jsou součástí sady nástrojů přidružené k malwaru schopnému spustit útoky DDoS, otevírat porty a služby a převzít úplnou kontrolu nad napadeným systémem. To může být také legitimní aktivita. Trvalost, LateralMovement, Spuštění, Zneužití Střední
Zjistily se požadavky rozhraní API K8S z IP adresy proxy serveru.
(K8S_TI_Proxy) 3
Analýza protokolu auditu Kubernetes zjistila požadavky rozhraní API pro váš cluster z IP adresy, která je přidružená k proxy službám, jako je TOR. I když toto chování může být legitimní, často se zobrazuje ve škodlivých aktivitách, když se útočníci pokusí skrýt svou zdrojovou IP adresu. Spuštění Nízká
Odstraněné události Kubernetes
(K8S_DeleteEvents) 23
Defender for Cloud zjistil, že některé události Kubernetes byly odstraněny. Události Kubernetes jsou objekty v Kubernetes, které obsahují informace o změnách v clusteru. Útočníci můžou tyto události odstranit pro skrytí operací v clusteru. Obrana před únikem Nízká
Zjistil se nástroj pro penetrační testování Kubernetes
(K8S_PenTestToolsKubeHunter)
Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru AKS. I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely. Spuštění Nízká
Zjištěná manipulace s bránou firewall hostitele
(K8S. NODE_FirewallDisabled) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možnou manipulaci s bránou firewall na hostiteli. Útočníci to často zakážou, aby exfiltrují data. DefenseEvasion, Exfiltrace Střední
Upozornění na testování cloudu v programu Microsoft Defender pro cloud (ne hrozba)
(K8S. NODE_EICAR) 1
Toto je testovací výstraha generovaná programem Microsoft Defender for Cloud. Není nutná žádná další akce. Spuštění Vysoká
Byl zjištěn nový kontejner v oboru názvů kube-system.
(K8S_KubeSystemContainer) 3
Analýza protokolu auditu Kubernetes zjistila nový kontejner v oboru názvů kube-system, který není mezi kontejnery, které se normálně spouštějí v tomto oboru názvů. Obory názvů kube-system by neměly obsahovat uživatelské prostředky. Útočníci můžou tento obor názvů použít ke skrytí škodlivých komponent. Perzistence Nízká
Byla zjištěna nová role s vysokými oprávněními.
(K8S_HighPrivilegesRole) 3
Analýza protokolu auditu Kubernetes zjistila novou roli s vysokými oprávněními. Vazba na roli s vysokými oprávněními dává uživateli\skupině vysoká oprávnění v clusteru. Nepotřebná oprávnění můžou způsobit eskalaci oprávnění v clusteru. Perzistence Nízká
Byl zjištěn možný nástroj pro útok.
(K8S. NODE_KnownLinuxAttackTool) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé vyvolání nástroje. Tento nástroj je často spojený se zlými uživateli, kteří napadnou ostatní uživatele. Spouštění, shromažďování, příkazy a ovládací prvky, probing Střední
Byla zjištěna možná zadní vrátka.
(K8S. NODE_LinuxBackdoorArtifact) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že se stahuje a spouští podezřelý soubor. Tato aktivita byla dříve přidružena k instalaci backdooru. Trvalost, DefenseEvasion, Provádění, Zneužití Střední
Možný pokus o zneužití příkazového řádku
(K8S. NODE_ExploitAttempt) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možný pokus o zneužití proti známému ohrožení zabezpečení. Vykořisťování Střední
Byl zjištěn možný nástroj pro přístup k přihlašovacím údajům.
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že v kontejneru běžel možný známý nástroj pro přístup k přihlašovacím údajům, jak je identifikováno zadaným procesem a položkou historie příkazového řádku. Tento nástroj je často spojený s pokusy útočníka o přístup k přihlašovacím údajům. CredentialAccess Střední
Zjistilo se možné stažení cryptocoinmineru
(K8S. NODE_CryptoCoinMinerDownload) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila stažení souboru, který je obvykle přidružený k dolování digitálních měn. DefenseEvasion, Command And Control, Exploitation Střední
Byla zjištěna možná exfiltrace dat.
(K8S. NODE_DataEgressArtifacts) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možnou podmínku výchozího přenosu dat. Útočníci často ustupují data z počítačů, u kterých došlo k ohrožení zabezpečení. Kolekce, exfiltrace Střední
Zjištěná možná aktivita manipulace s protokoly
(K8S. NODE_SystemLogRemoval) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možné odebrání souborů, které sledují aktivitu uživatele během jeho provozu. Útočníci se často snaží odstranit detekci a nenechat žádné stopy škodlivých aktivit odstraněním takových souborů protokolu. DefenseEvasion Střední
Možná změna hesla pomocí detekované metody šifrování
(K8S. NODE_SuspectPasswordChange) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila změnu hesla pomocí metody šifrování. Útočníci mohou tuto změnu provést, aby mohli pokračovat v přístupu a získat trvalost po ohrožení zabezpečení. CredentialAccess Střední
Potenciální přesměrování portů na externí IP adresu
(K8S. NODE_SuspectPortForwarding) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila inicializace přesměrování portů na externí IP adresu. Exfiltrace, příkaz a ovládací prvek Střední
Zjistilo se potenciální zpětné prostředí
(K8S. NODE_ReverseShell) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který útočníkovi zavolá zpět do počítače, který vlastní. Exfiltrace, zneužití Střední
Zjištěný privilegovaný kontejner
(K8S_PrivilegedContainer)
Analýza protokolu auditu Kubernetes zjistila nový privilegovaný kontejner. Privilegovaný kontejner má přístup k prostředkům uzlu a rozdělí izolaci mezi kontejnery. V případě ohrožení zabezpečení může útočník pomocí privilegovaného kontejneru získat přístup k uzlu. Elevace oprávnění Nízká
Zjistil se proces přidružený k těžbě digitálních měn.
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Analýza procesů spuštěných v kontejneru zjistila spuštění procesu obvykle spojeného s dolováním digitální měny. Spuštění, zneužití Střední
Proces, který se zobrazil při přístupu k souboru autorizovaných klíčů SSH neobvyklým způsobem
(K8S. NODE_SshKeyAccess) 1
Soubor SSH authorized_keys byl přístupný v metodě podobné známým malwarovým kampaním. Tento přístup může znamenat, že se objekt actor pokouší získat trvalý přístup k počítači. Neznámý Nízká
Zjistila se vazba role s rolí správce clusteru.
(K8S_ClusterAdminBinding)
Analýza protokolu auditu Kubernetes zjistila novou vazbu na roli správce clusteru, která poskytuje oprávnění správce. Nepotřebná oprávnění správce můžou způsobit eskalaci oprávnění v clusteru. Perzistence Nízká
Zjistilo se ukončení procesu souvisejícího se zabezpečením.
(K8S. NODE_SuspectProcessTermination) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila pokus o ukončení procesů souvisejících s monitorováním zabezpečení v kontejneru. Útočníci se často pokusí takové procesy ukončit pomocí předdefinovaných skriptů po ohrožení zabezpečení. Perzistence Nízká
Server SSH běží v kontejneru.
(K8S. NODE_ContainerSSH) 1
Analýza procesů spuštěných v kontejneru zjistila server SSH spuštěný uvnitř kontejneru. Spuštění Střední
Podezřelá úprava časového razítka souboru
(K8S. NODE_TimestampTampering) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelou změnu časového razítka. Útočníci často kopírují časové razítka ze stávajících legitimních souborů do nových nástrojů, aby se zabránilo detekci těchto nově vyřazených souborů. Trvalost, DefenseEvasion Nízká
Podezřelý požadavek na rozhraní API Kubernetes
(K8S. NODE_KubernetesAPI) 1
Analýza procesů spuštěných v kontejneru značí, že se do rozhraní Kubernetes API provedl podezřelý požadavek. Požadavek byl odeslán z kontejneru v clusteru. I když toto chování může být záměrné, může to znamenat, že v clusteru běží ohrožený kontejner. LateralMovement Střední
Podezřelý požadavek na řídicí panel Kubernetes
(K8S. NODE_KubernetesDashboard) 1
Analýza procesů spuštěných v kontejneru značí, že na řídicím panelu Kubernetes došlo k podezřelému požadavku. Požadavek byl odeslán z kontejneru v clusteru. I když toto chování může být záměrné, může to znamenat, že v clusteru běží ohrožený kontejner. LateralMovement Střední
Potenciální kryptografický miner začal
(K8S. NODE_CryptoCoinMinerExecution) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že proces se spouští způsobem, který je normálně spojený s dolováním digitální měny. Spuštění Střední
Podezřelý přístup k heslu
(K8S. NODE_SuspectPasswordFileAccess) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelé pokusy o přístup k šifrovaným uživatelským heslům. Perzistence Informační
Podezřelé použití DNS přes HTTPS
(K8S. NODE_SuspiciousDNSOverHttps) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila použití volání DNS přes HTTPS neobvyklým způsobem. Tuto techniku používají útočníci ke skrytí podezřelých nebo škodlivých webů. DefenseEvasion, Exfiltrace Střední
Bylo zjištěno možné připojení ke škodlivému umístění.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila připojení k umístění, které bylo hlášeno jako škodlivé nebo neobvyklé. Toto je indikátor, že mohlo dojít k ohrožení zabezpečení. InitialAccess Střední
Zjistilo se možné škodlivé webové prostředí.
(K8S. NODE_Webshell) 1
Analýza procesů spuštěných v kontejneru zjistila možné webové prostředí. Útočníci často nahrají webové prostředí do výpočetního prostředku, který narušili, aby získali trvalost nebo další zneužití. Trvalost, Zneužití Střední
Nárůst několika příkazů rekognoskace může znamenat počáteční aktivitu po ohrožení zabezpečení.
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Analýza dat hostitele/zařízení zjistila spuštění více příkazů rekognoskace souvisejících se shromažďováním podrobností o systému nebo hostitelích, které útočníci provedli po počátečním ohrožení. Zjišťování, kolekce Nízká
Podezřelá aktivita stahování a spuštění
(K8S. NODE_DownloadAndRunCombo) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila, že se stahuje soubor a pak se spustí ve stejném příkazu. I když to není vždy škodlivé, jedná se o velmi běžnou techniku, kterou útočníci používají k získání škodlivých souborů na počítače obětí. Execution, CommandAndControl, Exploitation Střední
Aktivita dolování digitálních měn
(K8S. NODE_CurrencyMining) 1
Analýza transakcí DNS zjistila aktivitu těžby digitální měny. Tato aktivita, i když je možné legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění běžných nástrojů pro dolování. Exfiltrace Nízká
Byl zjištěn přístup k souboru kubelet kubeconfig
(K8S. NODE_KubeConfigAccess) 1
Analýza procesů spuštěných na uzlu clusteru Kubernetes zjistila přístup k souboru kubeconfig na hostiteli. Soubor kubeconfig, který obvykle používá proces Kubelet, obsahuje přihlašovací údaje k serveru rozhraní API clusteru Kubernetes. Přístup k tomuto souboru je často spojený s útočníky, kteří se pokoušejí o přístup k těmto přihlašovacím údajům, nebo pomocí nástrojů pro kontrolu zabezpečení, které kontrolují, jestli je soubor přístupný. CredentialAccess Střední
Zjištěný přístup ke službě cloudových metadat
(K8S. NODE_ImdsCall) 1
Analýza procesů spuštěných v kontejneru zjistila přístup ke službě cloudových metadat pro získání tokenu identity. Kontejner obvykle takovou operaci neprovádí. I když toto chování může být legitimní, útočníci můžou tuto techniku použít k přístupu ke cloudovým prostředkům po získání počátečního přístupu ke spuštěného kontejneru. CredentialAccess Střední
Zjistil agent MITRE Caldera
(K8S. NODE_MitreCalderaTools) 1
Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila podezřelý proces. To je často spojeno s agentem MITRE 54ndc47, který by mohl být použit k útoku na jiné počítače. Trvalost, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation Střední

1: Verze Preview pro clustery mimo AKS: Tato výstraha je obecně dostupná pro clustery AKS, ale je ve verzi Preview pro jiná prostředí, jako je Azure Arc, EKS a GKE.

2: Omezení clusterů GKE: GKE používá zásady auditu Kuberenetes, které nepodporují všechny typy výstrah. V důsledku toho se tato výstraha zabezpečení, která je založená na událostech auditu Kubernetes, nepodporuje clustery GKE.

3: Tato výstraha je podporována na uzlech a kontejnerech Windows.

Upozornění pro SQL Database a Azure Synapse Analytics

Další podrobnosti a poznámky

Výstrahy Description Taktika MITRE
(Další informace)
Závažnost
Možné ohrožení zabezpečení injektáže SQL
(SQL. VM_VulnerabilityToSqlInjection
Sql. DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
Sql. DW_VulnerabilityToSqlInjection)
Aplikace vygenerovala v databázi chybný příkaz SQL. To může znamenat možné ohrožení zabezpečení útoků prostřednictvím injektáže SQL. Chybný příkaz má dva možné důvody. Chyba v kódu aplikace mohla vytvořit chybný příkaz SQL. Nebo kód aplikace nebo uložené procedury při vytváření chybného příkazu SQL, který lze zneužít pro injektáž SQL. PreAttack Střední
Pokus o přihlášení potenciálně škodlivou aplikací
(SQL. DB_HarmfulApplication
Sql. VM_HarmfulApplication
SQL.MI_HarmfulApplication
Sql. DW_HarmfulApplication)
Potenciálně škodlivá aplikace se pokusila o přístup k SQL Serveru {name}. PreAttack Vysoká
Přihlášení z neobvyklého datacentra Azure
(SQL. DB_DataCenterAnomaly
Sql. VM_DataCenterAnomaly
Sql. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
V modelu přístupu k SQL Server došlo ke změně, kdy se někdo přihlásil k serveru z neobvyklého datacentra Azure. V některých případech výstraha detekuje legitimní akci (novou aplikaci nebo službu Azure). V jiných případech výstraha detekuje škodlivou akci (útočník pracující z porušení prostředků v Azure). Zkušební fáze Nízká
Přihlášení z neobvyklého umístění
(SQL. DB_GeoAnomaly
Sql. VM_GeoAnomaly
Sql. DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Došlo ke změně vzoru přístupu na SQL Server, kdy se někdo přihlásil k serveru z neobvyklé geografické polohy. V některých případech výstraha detekuje legitimní akci (nová aplikace nebo údržba prováděná vývojářem). V jiných případech výstraha detekuje škodlivou akci (bývalého zaměstnance nebo externího útočníka). Vykořisťování Střední
Přihlášení od hlavního uživatele se během 60 dnů nezobrazuje
(SQL. DB_PrincipalAnomaly
Sql. VM_PrincipalAnomaly
Sql. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Hlavní uživatel se během posledních 60 dnů přihlásil k databázi. Pokud je tato databáze nová nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k databázi přistupují, bude Defender for Cloud identifikovat významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům. Vykořisťování Střední
Přihlášení z podezřelé IP adresy
(SQL. VM_SuspiciousIpAnomaly)
Váš prostředek byl úspěšně přístupný z IP adresy, ke které služba Microsoft Threat Intelligence přidružovala podezřelou aktivitu. Předběžné připojení Střední
Potenciální pokus o vynucení hrubou silou SQL Došlo k neobvyklému vysokému počtu neúspěšných pokusů o přihlášení s různými přihlašovacími údaji. V některých případech výstraha detekuje probíhající test průniku. V jiných případech výstraha zjistí útok hrubou silou. Zkušební fáze Vysoká
Potenciální útok prostřednictvím injektáže SQL
(SQL. DB_PotentialSqlInjection
Sql. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
Sql. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
K aktivnímu zneužití došlo u identifikované aplikace ohrožené injektáží SQL. To znamená, že se útočník pokouší vložit škodlivé příkazy SQL pomocí zranitelného kódu aplikace nebo uložených procedur. Předběžné připojení Vysoká
Potenciálně nebezpečná akce
(SQL. DB_UnsafeCommands
SQL.MI_UnsafeCommands
Sql. DW_UnsafeCommands)
Potenciálně nebezpečná akce se pokusila o databázi {name} na serveru {name}. - Vysoká
Podezření na útok hrubou silou pomocí platného uživatele U vašeho prostředku byl zjištěn potenciální útok hrubou silou. Útočník používá platnou uživatelskou sa, která má oprávnění k přihlášení. Předběžné připojení Vysoká
Podezření na útok hrubou silou Na vašem SQL serveru {name} byl zjištěn potenciální útok hrubou silou. Předběžné připojení Vysoká
Podezření na úspěšný útok hrubou silou
(SQL. DB_BruteForce
Sql. VM_BruteForce
Sql. DW_BruteForce
SQL.MI_BruteForce)
Úspěšné přihlášení proběhlo po zjevném útoku hrubou silou na váš prostředek. Předběžné připojení Vysoká
Neobvyklé umístění exportu Někdo extrahoval obrovské množství dat z vašeho SQL Server {name} do neobvyklého umístění. Exfiltrace Vysoká

Upozornění pro opensourcové relační databáze

Další podrobnosti a poznámky

Upozornění (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Podezření na útok hrubou silou pomocí platného uživatele
(SQL. PostgreSQL_BruteForce
Sql. MariaDB_BruteForce
Sql. MySQL_BruteForce)
U vašeho prostředku byl zjištěn potenciální útok hrubou silou. Útočník používá platného uživatele (uživatelské jméno), který má oprávnění k přihlášení. Předběžné připojení Vysoká
Podezření na úspěšný útok hrubou silou
(SQL. PostgreSQL_BruteForce
Sql. MySQL_BruteForce
Sql. MariaDB_BruteForce)
Úspěšné přihlášení proběhlo po zjevném útoku hrubou silou na váš prostředek. Předběžné připojení Vysoká
Podezření na útok hrubou silou
("SQL. MySQL_BruteForce")
Na sql serveru {name} byl zjištěn potenciální útok hrubou silou. PreAttack Vysoká
Pokus o přihlášení potenciálně škodlivou aplikací
(SQL. PostgreSQL_HarmfulApplication
Sql. MariaDB_HarmfulApplication
Sql. MySQL_HarmfulApplication)
Potenciálně škodlivá aplikace se pokusila o přístup k vašemu prostředku. PreAttack Vysoká
Přihlášení od hlavního uživatele se během 60 dnů nezobrazuje
(SQL. PostgreSQL_PrincipalAnomaly
Sql. MariaDB_PrincipalAnomaly
Sql. MySQL_PrincipalAnomaly)
Hlavní uživatel, který se během posledních 60 dnů nezaprotokoloval do vaší databáze. Pokud je tato databáze nová nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k databázi přistupují, program Defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům. Vykořisťování Střední
Přihlášení z domény se během 60 dnů nezobrazuje
(SQL. MariaDB_DomainAnomaly
Sql. PostgreSQL_DomainAnomaly
Sql. MySQL_DomainAnomaly)
Uživatel se k vašemu prostředku přihlásil z domény, ze které se během posledních 60 dnů nepřipojili jiní uživatelé. Pokud je tento prostředek nový nebo to je očekávané chování způsobené nedávnými změnami uživatelů, kteří k prostředku přistupují, program Defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům. Vykořisťování Střední
Přihlášení z neobvyklého datacentra Azure
(SQL. PostgreSQL_DataCenterAnomaly
Sql. MariaDB_DataCenterAnomaly
Sql. MySQL_DataCenterAnomaly)
Někdo se přihlásil k vašemu prostředku z neobvyklého datacentra Azure. Zkušební fáze Nízká
Přihlášení od neobvyklého poskytovatele cloudu
(SQL. PostgreSQL_CloudProviderAnomaly
Sql. MariaDB_CloudProviderAnomaly
Sql. MySQL_CloudProviderAnomaly)
Někdo přihlášený k vašemu prostředku od poskytovatele cloudu se během posledních 60 dnů nezobrazuje. Pro aktéry hrozeb je rychlé a snadné získat jednorázový výpočetní výkon pro použití ve svých kampaních. Pokud se jedná o očekávané chování způsobené nedávným přechodem nového poskytovatele cloudu, program Defender for Cloud se časem naučí a pokusí se zabránit budoucím falešně pozitivním výsledkům. Vykořisťování Střední
Přihlášení z neobvyklého umístění
(SQL. MariaDB_GeoAnomaly
Sql. PostgreSQL_GeoAnomaly
Sql. MySQL_GeoAnomaly)
Někdo se přihlásil k vašemu prostředku z neobvyklého datacentra Azure. Vykořisťování Střední
Přihlášení z podezřelé IP adresy
(SQL. PostgreSQL_SuspiciousIpAnomaly
Sql. MariaDB_SuspiciousIpAnomaly
Sql. MySQL_SuspiciousIpAnomaly)
Váš prostředek byl úspěšně přístupný z IP adresy, ke které má služba Microsoft Threat Intelligence přidruženou podezřelou aktivitu. PreAttack Střední

Upozornění pro Resource Manager

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Operace Azure Resource Manager z podezřelé IP adresy
(ARM_OperationFromSuspiciousIP)
Microsoft Defender for Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. Spuštění Střední
Operace azure Resource Manager z podezřelé IP adresy proxy serveru
(ARM_OperationFromSuspiciousProxyIP)
Program Microsoft Defender pro Resource Manager zjistil operaci správy prostředků z IP adresy přidružené k proxy službám, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt svou zdrojovou IP adresu. Obrana před únikem Střední
Sada nástrojů pro využití MicroBurst používaná k vytvoření výčtu prostředků ve vašich předplatných
(ARM_MicroBurst.AzDomainInfo)
Modul Shromažďování informací microBurst byl spuštěn ve vašem předplatném. Tento nástroj lze použít ke zjišťování prostředků, oprávnění a síťových struktur. Zjistili jsme to analýzou protokolů aktivit Azure a operací správy prostředků ve vašem předplatném. - Vysoká
Sada nástrojů pro využití MicroBurst používaná k vytvoření výčtu prostředků ve vašich předplatných
(ARM_MicroBurst.AzureDomainInfo)
Modul Shromažďování informací microBurst byl spuštěn ve vašem předplatném. Tento nástroj lze použít ke zjišťování prostředků, oprávnění a síťových struktur. Zjistili jsme to analýzou protokolů aktivit Azure a operací správy prostředků ve vašem předplatném. - Vysoká
Sada nástrojů pro zneužití MicroBurst používaná ke spuštění kódu na virtuálním počítači
(ARM_MicroBurst.AzVMBulkCMD)
K provedení kódu na virtuálních počítačích se použila sada nástrojů pro zneužití microBurst. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. Spuštění Vysoká
Sada nástrojů pro zneužití MicroBurst používaná ke spuštění kódu na virtuálním počítači
(RM_MicroBurst.AzureRmVMBulkCMD)
K provedení kódu na virtuálních počítačích se použila sada nástrojů pro zneužití microBurst. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
Sada nástrojů pro zneužití MicroBurst používaná k extrakci klíčů z trezorů klíčů Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Sada nástrojů pro zneužití microBurst se použila k extrakci klíčů z trezorů klíčů Azure. Zjistili jsme to analýzou protokolů aktivit Azure a operací správy prostředků ve vašem předplatném. - Vysoká
MicroBurst exploitation Toolkit sloužící k extrakci klíčů do účtů úložiště
(ARM_MicroBurst.AZStorageKeysREST)
Sada nástrojů pro zneužití microBurst byla použita k extrakci klíčů do účtů úložiště. Zjistili jsme to analýzou protokolů aktivit Azure a operací správy prostředků ve vašem předplatném. Kolekce Vysoká
Sada nástrojů pro zneužití MicroBurst používaná k extrakci tajných kódů z trezorů klíčů Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Sada nástrojů pro zneužití microBurst se použila k extrakci tajných kódů z trezorů klíčů Azure. Zjistili jsme to analýzou protokolů aktivit Azure a operací správy prostředků ve vašem předplatném. - Vysoká
PowerZure exploitation toolkit sloužící ke zvýšení přístupu z Azure AD do Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Sada nástrojů Pro zneužití PowerZure se použila ke zvýšení přístupu z AzureAD na Azure. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem tenantovi. - Vysoká
PowerZure exploitation Toolkit sloužící k vytvoření výčtu prostředků
(ARM_PowerZure.GetAzureTargets)
Sada nástrojů PowerZure pro zneužití byla použita k vytvoření výčtu prostředků jménem legitimního uživatelského účtu ve vaší organizaci. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. Kolekce Vysoká
PowerZure exploitation toolkit sloužící k vytvoření výčtu kontejnerů úložiště, sdílených složek a tabulek
(ARM_PowerZure.ShowStorageContent)
PowerZure exploitation Toolkit se použil k vytvoření výčtu sdílených složek úložiště, tabulek a kontejnerů. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
PowerZure exploitation toolkit sloužící ke spuštění runbooku ve vašem předplatném
(ARM_PowerZure.StartRunbook)
Sada nástrojů PowerZure pro zneužití se použila k provedení runbooku. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
PowerZure exploitation toolkit sloužící k extrakci obsahu runbooků
(ARM_PowerZure.AzureRunbookContent)
Sada nástrojů PowerZure pro zneužití se použila k extrakci obsahu runbooku. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. Kolekce Vysoká
PREVIEW – Aktivita z rizikové IP adresy
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
Byla zjištěna aktivita uživatelů z IP adresy, která byla identifikována jako anonymní IP adresa proxy serveru.
Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení a dají se použít ke škodlivému záměru. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci běžně používají.
Vyžaduje aktivní licenci Microsoft Defender for Cloud Apps.
- Střední
PREVIEW – Aktivita z občasné země
(ARM. MCAS_ActivityFromInfrequentCountry)
Došlo k aktivitě z umístění, které v poslední době nebo kdy nikdo z uživatelů v organizaci nenavštěvoval.
Tato detekce bere v úvahu umístění minulých aktivit k určení nových a zřídka používaných umístění. Modul detekce anomálií ukládá informace o předchozích umístěních používaných uživateli v organizaci.
Vyžaduje aktivní licenci Microsoft Defender for Cloud Apps.
- Střední
PREVIEW – Zjištění zjištěných spuštění sady nástrojů Azurite
(ARM_Azurite)
Ve vašem prostředí byla zjištěna známá sada nástrojů pro rekognoskaci cloudového prostředí. Nástroj Azurite může použít útočník (nebo tester průniku) k namapování prostředků vašich předplatných a identifikaci nezabezpečených konfigurací. Kolekce Vysoká
PREVIEW – Nemožné cestovní aktivity
(ARM. MCAS_ImpossibleTravelActivity)
Došlo ke dvěma aktivitám uživatelů (v jedné nebo více relacích) pocházejících z geograficky vzdálených míst. K tomu dochází v rámci časového období kratšího než doba, po které by uživatel musel cestovat z prvního umístění do druhého. To znamená, že jiný uživatel používá stejné přihlašovací údaje.
Tato detekce používá algoritmus strojového učení, který ignoruje zřejmé falešně pozitivní výsledky přispívající k nemožnému cestovnímu podmínkám, jako jsou sítě VPN a místa, která pravidelně používají jiní uživatelé v organizaci. Detekce má počáteční výukové období sedmi dnů, během kterého se učí vzor aktivity nového uživatele.
Vyžaduje aktivní licenci Microsoft Defender for Cloud Apps.
- Střední
PREVIEW – Podezřelá relace správy pomocí zjištěného neaktivního účtu
(ARM_UnusedAccountPersistence)
Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který se nepoužívá po dlouhou dobu, teď provádí akce, které můžou útočníkovi zabezpečit trvalost. Perzistence Střední
PREVIEW – Podezřelá relace správy pomocí zjištěného PowerShellu
(ARM_UnusedAppPowershellPersistence)
Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který k správě prostředí předplatného nepoužívá PowerShell, teď používá PowerShell a provádí akce, které můžou útočníkovi zabezpečit trvalost. Perzistence Střední
PREVIEW – Podezřelá relace správy s využitím Azure Portal zjištěných
(ARM_UnusedAppIbizaPersistence)
Analýza protokolů aktivit vašeho předplatného zjistila podezřelé chování. Objekt zabezpečení, který pravidelně nepoužívá Azure Portal (Ibiza) ke správě prostředí předplatného (nepoužívá Azure Portal ke správě za posledních 45 dnů nebo předplatné, které aktivně spravuje), teď používá Azure Portal a provádí akce, které můžou útočníkovi zabezpečit trvalost. Perzistence Střední
Privilegovaná vlastní role vytvořená pro vaše předplatné podezřelým způsobem (Preview)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender pro Resource Manager zjistil podezřelé vytvoření definice privilegované vlastní role ve vašem předplatném. Tuto operaci mohl provést legitimní uživatel ve vaší organizaci. Alternativně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se objekt actor pro hrozby pokouší vytvořit privilegovanou roli, která se použije v budoucnu k odstranění detekce. Eskalace oprávnění, obranná úniky Nízká
Zjistilo se podezřelé přiřazení role Azure (Preview)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender pro Resource Manager identifikoval podezřelé přiřazení role Azure nebo prováděné pomocí PIM (Privileged Identity Management) ve vašem tenantovi, což může znamenat, že došlo k ohrožení účtu ve vaší organizaci. Zjištěné operace jsou navržené tak, aby správcům umožňovaly udělit objekty zabezpečení přístupu k prostředkům Azure. I když tato aktivita může být legitimní, objekt actor hrozby může k eskalaci svých oprávnění využít přiřazení role, aby mohl přejít k útoku. Laterální pohyb, obranná úniky Nízká (PIM) / Vysoká
Podezřelé vyvolání vysoce rizikové operace Přístupu k přihlašovacím údajům (Preview)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Přístup k přihlašovacím údajům Střední
Podezřelé vyvolání vysoce rizikové operace shromažďování dat (Preview)
(ARM_AnomalousOperation.Collection)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromažďování dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Kolekce Střední
Podezřelé vyvolání vysoce rizikové operace "obranných úniků" zjistila (Preview)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o odstranění obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo detekci při ohrožení prostředků ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Obrana před únikem Střední
Podezřelé vyvolání vysoce rizikové operace spuštění (Preview)
(ARM_AnomalousOperation.Execution)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Spuštění Střední
Podezřelé vyvolání vysoce rizikové operace Impact (Preview)
(ARM_AnomalousOperation.Impact)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Dopad Střední
Podezřelé vyvolání vysoce rizikové operace počátečního přístupu (Preview)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Počáteční přístup Střední
Podezřelé vyvolání vysoce rizikové operace laterálního pohybu (Preview)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o pozdější přesun. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení dalších prostředků ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Laterální pohyb Střední
Podezřelé vyvolání vysoce rizikové operace trvalosti (Preview)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Perzistence Střední
Zjistilo se podezřelé vyvolání operace eskalace oprávnění s vysokým rizikem (Preview).
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že je účet napadený a používá se se zlými úmysly. Elevace oprávnění Střední
Použití sady nástrojů pro zneužití MicroBurst ke spuštění libovolného kódu nebo exfiltrace přihlašovacích údajů Azure Automation účtu
(ARM_MicroBurst.RunCodeOnBehalf)
Použití sady nástrojů pro zneužití MicroBurst ke spuštění libovolného kódu nebo exfiltrování přihlašovacích údajů Azure Automation účtu. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. Trvalost, přístup k přihlašovacím údajům Vysoká
Použití technik NetSPI k zachování trvalosti ve vašem prostředí Azure
(ARM_NetSPI.MaintainPersistence)
Použití techniky trvalosti NetSPI k vytvoření backdooru webhooku a zachování trvalosti ve vašem prostředí Azure Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
Použití sady nástrojů Pro zneužití PowerZure ke spuštění libovolného kódu nebo exfiltrace přihlašovacích údajů účtu Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Sada nástrojů pro zneužití PowerZure zjistila pokus o spuštění kódu nebo exfiltraci přihlašovacích údajů účtu Azure Automation. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
Použití funkce PowerZure k zachování trvalosti ve vašem prostředí Azure
(ARM_PowerZure.MaintainPersistence)
Sada nástrojů Pro zneužití PowerZure zjistila vytvoření backdooru webhooku pro zachování trvalosti ve vašem prostředí Azure. Zjistili jsme to analýzou operací Azure Resource Manager ve vašem předplatném. - Vysoká
Zjištěno podezřelé přiřazení klasické role (Preview)
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender for Resource Manager identifikoval podezřelé klasické přiřazení role ve vašem tenantovi, což může znamenat, že došlo k ohrožení zabezpečení účtu ve vaší organizaci. Zjištěné operace jsou navržené tak, aby poskytovaly zpětnou kompatibilitu s klasickými rolemi, které se už běžně nepoužívají. I když tato aktivita může být legitimní, objekt actor hrozby může takové přiřazení využít k udělení oprávnění k dalšímu uživatelskému účtu pod jejich kontrolou.  Laterální pohyb, obranná úniky Vysoká

Upozornění pro DNS

Další podrobnosti a poznámky

Upozornění (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Neobvyklé využití síťového protokolu
(AzureDNS_ProtocolAnomaly)
Analýza transakcí DNS z %{CompromisedEntity} zjistila neobvyklé využití protokolu. Takový provoz, i když je to možné neškodné, může znamenat zneužití tohoto společného protokolu k obejití filtrování síťového provozu. Typická související aktivita útočníka zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj. Exfiltrace -
Aktivita sítě anonymity
(AzureDNS_DarkWeb)
Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu v síti anonymity. Tato aktivita, zatímco možná legitimní chování uživatelů, je často používána útočníky k vyhýbání sledování a otisku prstu síťové komunikace. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Aktivita sítě anonymity pomocí webového proxy serveru
(AzureDNS_DarkWebProxy)
Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu v síti anonymity. Tato aktivita, zatímco možná legitimní chování uživatelů, je často používána útočníky k vyhýbání sledování a otisku prstu síťové komunikace. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Pokus o komunikaci s podezřelou doménou s jímkou
(AzureDNS_SinkholedDomain)
Analýza transakcí DNS z aplikace %{CompromisedEntity} zjistila požadavek na pohlcenou doménu. Tato aktivita, zatímco pravděpodobně legitimní chování uživatele, je často indikací stahování nebo spouštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stahování a spouštění dalších škodlivých softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Komunikace s možnou doménou phishing
(AzureDNS_PhishingDomain)
Analýza transakcí DNS z %{CompromisedEntity} zjistila požadavek na možnou phishingovou doménu. Tato aktivita, i když možná neškodná, se často provádí útočníky za účelem získání přihlašovacích údajů ke vzdáleným službám. Typická související aktivita útočníka bude pravděpodobně zahrnovat zneužití všech přihlašovacích údajů pro legitimní službu. Exfiltrace -
Komunikace s podezřelou algoritmicky vygenerovanou doménou
(AzureDNS_DomainGenerationAlgorithm)
Analýza transakcí DNS z %{CompromisedEntity} zjistila možné využití algoritmu generování domény. Tato aktivita, i když možná neškodná, se často provádí útočníky, aby se vyhnuli monitorování a filtrování sítě. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Komunikace s podezřelou doménou identifikovanou inteligencí hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že váš prostředek je napadený. Počáteční přístup Střední
Komunikace s podezřelým náhodným názvem domény
(AzureDNS_RandomizedDomain)
Analýza transakcí DNS z %{Ohrožení zabezpečení} zjistila použití podezřelého náhodně generovaného názvu domény. Tato aktivita, i když možná neškodná, se často provádí útočníky, aby se vyhnuli monitorování a filtrování sítě. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Aktivita dolování digitálních měn
(AzureDNS_CurrencyMining)
Analýza transakcí DNS z %{Ohrožení zabezpečení} zjistila aktivitu dolování digitálních měn. Tato aktivita, zatímco možná legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění běžných nástrojů pro dolování. Exfiltrace -
Aktivace podpisu detekce vniknutí do sítě
(AzureDNS_SuspiciousDomain)
Analýza transakcí DNS z %{Ohrožení zabezpečení} zjistila známý škodlivý síťový podpis. Tato aktivita, zatímco pravděpodobně legitimní chování uživatele, je často indikací stahování nebo spouštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stahování a spouštění dalších škodlivých softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Možné stahování dat prostřednictvím tunelu DNS
(AzureDNS_DataInfiltration)
Analýza transakcí DNS z %{CompromisedEntity} zjistila možné tunely DNS. Tato aktivita, zatímco možná legitimní chování uživatelů, se často provádí útočníky, aby se vyhnuli monitorování a filtrování sítě. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Možná exfiltrace dat prostřednictvím tunelu DNS
(AzureDNS_DataExfiltration)
Analýza transakcí DNS z %{CompromisedEntity} zjistila možné tunely DNS. Tato aktivita, zatímco možná legitimní chování uživatelů, se často provádí útočníky, aby se vyhnuli monitorování a filtrování sítě. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -
Možný přenos dat prostřednictvím tunelu DNS
(AzureDNS_DataObfuscation)
Analýza transakcí DNS z %{CompromisedEntity} zjistila možné tunely DNS. Tato aktivita, zatímco možná legitimní chování uživatelů, se často provádí útočníky, aby se vyhnuli monitorování a filtrování sítě. Typická související aktivita útočníka bude pravděpodobně zahrnovat stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu. Exfiltrace -

Upozornění pro Azure Storage

Další podrobnosti a poznámky

Upozornění (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
PREVIEW – Přístup z podezřelé aplikace
(Storage.Blob_SuspiciousApp)
Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním.
To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužít ho. Může to být také označení penetračního testu prováděného ve vaší organizaci.
Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2
Počáteční přístup Střední
Přístup z podezřelé IP adresy
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Označuje, že tento účet úložiště byl úspěšně přístupný z IP adresy, která je považována za podezřelou. Toto upozornění využívá funkce Microsoft Threat Intelligence.
Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Počáteční přístup Střední
PREVIEW – Phishingový obsah hostovaný v účtu úložiště
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Adresa URL použitá v útoku phishing odkazuje na váš účet služby Azure Storage. Tato adresa URL byla součástí útoku phishing, který ovlivnil uživatele Microsoftu 365.
Obsah hostovaný na těchto stránkách je obvykle navržený tak, aby oklamal návštěvníky zadáváním firemních přihlašovacích údajů nebo finančních informací do webového formuláře, který vypadá jako legitimní.
Toto upozornění využívá funkce Microsoft Threat Intelligence.
Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu.
Platí pro: Azure Blob Storage, Azure Files
Kolekce Vysoká
PREVIEW – Účet úložiště identifikovaný jako zdroj pro distribuci malwaru
(Storage.Files_WidespreadeAm)
Antimalwarová upozornění indikují, že infikované soubory jsou uložené ve sdílené složce Azure, která je připojená k více virtuálním počítačům. Pokud útočníci získají přístup k virtuálnímu počítači s připojenou sdílenou složkou Azure, můžou ho použít k šíření malwaru do jiných virtuálních počítačů, které připojují stejnou sdílenou složku.
Platí pro: Azure Files
Laterální pohyb, provádění Vysoká
PREVIEW – Účet úložiště s potenciálně citlivými daty byl zjištěn s veřejně vystaveným kontejnerem.
(Storage.Blob_OpenACL)
Zásady přístupu kontejneru v účtu úložiště byly změněny tak, aby umožňovaly anonymní přístup. To může vést k narušení zabezpečení dat, pokud kontejner uchovává citlivá data. Tato výstraha je založená na analýze protokolu aktivit Azure.
Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2
Elevace oprávnění Střední
Ověřený přístup z výstupního uzlu Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště bylo úspěšně přístupné z IP adresy známé jako aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor je pravděpodobné, že se objekt actor hrozby pokouší skrýt svoji identitu.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Počáteční přístup Vysoká/střední
Přístup z neobvyklého umístění k účtu úložiště
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Označuje, že došlo ke změně vzoru přístupu k účtu Azure Storage. Někdo získal přístup k tomuto účtu z IP adresy, která se při porovnání s nedávnou aktivitou považuje za neznámé. Útočník získal přístup k účtu nebo se legitimní uživatel připojil z nového nebo neobvyklého geografického umístění. Příkladem druhé je vzdálená údržba od nové aplikace nebo vývojáře.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Vykořisťování Nízká
Neobvyklý neověřený přístup k kontejneru úložiště
(Storage.Blob_AnonymousAccessAnomaly)
K tomuto účtu úložiště došlo bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště.
Platí pro: Azure Blob Storage
Kolekce Nízká
Potenciální malware nahraný do účtu úložiště
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Označuje, že objekt blob obsahující potenciální malware se nahrál do kontejneru objektů blob nebo sdílené složky v účtu úložiště. Tato výstraha je založená na analýze reputace hodnoty hash využívající sílu analýzy hrozeb Microsoftu, která zahrnuje hodnoty hash virů, trojských koní, spyware a ransomware. Potenciální příčiny můžou zahrnovat úmyslné nahrání malwaru útočníkem nebo neúmyslné nahrání potenciálně škodlivého objektu blob legitimním uživatelem.
Platí pro: Azure Blob Storage, Azure Files (pouze pro transakce přes rozhraní REST API)
Přečtěte si další informace o analýze reputace hodnot hash Azure pro malware.
Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu.
Laterální pohyb Vysoká
Veřejně přístupné kontejnery úložiště se úspěšně zjistily.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Úspěšné zjišťování veřejně otevřených kontejnerů úložiště v účtu úložiště bylo provedeno v poslední hodině pomocí skriptu nebo nástroje pro skenování.

Obvykle to značí útok rekognoskace, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů, a to v naději, že najdete nesprávně nakonfigurované otevřené kontejnery úložiště s citlivými daty v nich.

Aktér hrozeb může použít svůj vlastní skript nebo použít známé nástroje pro skenování, jako je Microburst, ke vyhledávání veřejně otevřených kontejnerů.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Kolekce Střední
Veřejně přístupné kontejnery úložiště neúspěšně naskenované
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Během poslední hodiny se provedla řada neúspěšných pokusů o vyhledávání veřejně otevřených kontejnerů úložiště.

Obvykle to značí útok rekognoskace, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů, a to v naději, že najdete nesprávně nakonfigurované otevřené kontejnery úložiště s citlivými daty v nich.

Aktér hrozeb může použít svůj vlastní skript nebo použít známé nástroje pro skenování, jako je Microburst, ke vyhledávání veřejně otevřených kontejnerů.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Kolekce Nízká
Neobvyklá kontrola přístupu v účtu úložiště
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Označuje, že přístupová oprávnění účtu úložiště byla zkontrolována neobvyklým způsobem v porovnání s nedávnou aktivitou tohoto účtu. Potenciální příčinou je, že útočník provedl rekognoskaci pro budoucí útok.
Platí pro: Azure Blob Storage, Azure Files
Kolekce Střední
Neobvyklé množství dat extrahovaných z účtu úložiště
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Označuje, že se v porovnání s nedávnou aktivitou v tomto kontejneru úložiště extrahoval neobvykle velký objem dat. Potenciální příčinou je, že útočník extrahovali velké množství dat z kontejneru, který obsahuje úložiště objektů blob.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltrace Střední
Neobvyklá aplikace přístup k účtu úložiště
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Označuje, že k tomuto účtu úložiště přistupovala neobvyklá aplikace. Potenciální příčinou je, že útočník získal přístup k vašemu účtu úložiště pomocí nové aplikace.
Platí pro: Azure Blob Storage, Azure Files
Vykořisťování Střední
Neobvyklá změna přístupových oprávnění v účtu úložiště
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Označuje, že přístupová oprávnění tohoto kontejneru úložiště se změnila neobvyklým způsobem. Potenciální příčinou je, že útočník změnil oprávnění kontejneru, aby oslabil stav zabezpečení nebo získal trvalost.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Perzistence Střední
Neobvyklý průzkum dat v účtu úložiště
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Označuje, že objekty blob nebo kontejnery v účtu úložiště byly vyčteny neobvyklým způsobem ve srovnání s nedávnou aktivitou na tomto účtu. Potenciální příčinou je, že útočník provedl rekognoskaci pro budoucí útok.
Platí pro: Azure Blob Storage, Azure Files
Kolekce Střední
Neobvyklé odstranění v účtu úložiště
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Označuje, že v účtu úložiště došlo k jedné nebo několika neočekávaným operacím odstranění v porovnání s nedávnou aktivitou tohoto účtu. Potenciální příčinou je, že útočník odstranil data z vašeho účtu úložiště.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltrace Střední
Neobvyklé nahrání souboru .cspkg do účtu úložiště
(Storage.Blob_CspkgUploadAnomaly)
Označuje, že se balíček Azure Cloud Services (soubor .cspkg) nahrál do účtu úložiště neobvyklým způsobem v porovnání s nedávnou aktivitou tohoto účtu. Potenciální příčinou je, že útočník připravuje nasazení škodlivého kódu z vašeho účtu úložiště do cloudové služby Azure.
Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2
Laterální pohyb, provádění Střední
Neobvyklé nahrávání .exe do účtu úložiště
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Označuje, že se soubor .exe nahrál do účtu úložiště neobvyklým způsobem v porovnání s nedávnou aktivitou tohoto účtu. Potenciální příčinou je, že útočník nahrál do svého účtu úložiště škodlivý spustitelný soubor nebo že legitimní uživatel nahrál spustitelný soubor.
Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Laterální pohyb, provádění Střední

Upozornění pro službu Azure Cosmos DB

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Přístup z výstupního uzlu Tor
(CosmosDB_TorAnomaly)
Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy známé jako aktivní výstupní uzel Tor, což je anonymizační proxy server. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Počáteční přístup Vysoká/střední
Přístup z podezřelé IP adresy
(CosmosDB_SuspiciousIp)
Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy, která byla identifikovaná jako hrozba službou Microsoft Threat Intelligence. Počáteční přístup Střední
Přístup z neobvyklého umístění
(CosmosDB_GeoAnomaly)
Tento účet služby Azure Cosmos DB byl přístupný z umístění, které se považuje za neznámé na základě obvyklého vzoru přístupu.

Buď objekt actor hrozby získal přístup k účtu, nebo legitimní uživatel se připojil z nového nebo neobvyklého geografického umístění.
Počáteční přístup Nízká
Neobvyklý objem extrahovaných dat
(CosmosDB_DataExfiltrationAnomaly)
Z tohoto účtu služby Azure Cosmos DB se extrahuje neobvykle velký objem dat. To může znamenat, že objekt actor hrozby exfiltroval data. Exfiltrace Střední
Extrakce klíčů účtů Azure Cosmos DB prostřednictvím potenciálně škodlivého skriptu
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Ve vašem předplatném se spustil skript PowerShellu a provedl podezřelý vzor operací výpisu klíčů, aby získal klíče účtů Azure Cosmos DB ve vašem předplatném. Aktéři hrozeb používají automatizované skripty, jako je Microburst, k výpisu klíčů a vyhledání účtů Azure Cosmos DB, ke kterým mají přístup.

Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se objekt actor hrozby pokouší ohrozit účty služby Azure Cosmos DB ve vašem prostředí kvůli škodlivým záměrům.

Další možností může být, že se zlými úmysly může zkusit získat přístup k citlivým datům a provést laterální pohyb.
Kolekce Vysoká
Podezřelá extrakce klíčů účtu služby Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Podezřelý zdroj extrahovaný z vašeho předplatného extrahoval přístupové klíče účtu služby Azure Cosmos DB. Pokud tento zdroj není legitimním zdrojem, může to být problém s vysokým dopadem. Přístupový klíč extrahovaný poskytuje úplnou kontrolu nad přidruženými databázemi a daty uloženými v ní. Podívejte se na podrobnosti o jednotlivých upozorněních, abyste pochopili, proč byl zdroj označený jako podezřelý. Přístup k přihlašovacím údajům high
Injektáž SQL: Potenciální exfiltrace dat
(CosmosDB_SqlInjection.DataExfiltration)
K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.

Vložený příkaz mohl být úspěšný při exfiltraci dat, ke kterým objekt actor hrozby nemá oprávnění k přístupu.

Vzhledem ke struktuře a možnostem dotazů služby Azure Cosmos DB nefunguje mnoho známých útoků prostřednictvím injektáže SQL na účty Azure Cosmos DB. Varianta použitá v tomto útoku ale může fungovat a aktéři hrozeb můžou exfiltrovat data.
Exfiltrace Střední
Injektáž SQL: přibližný pokus
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.

Stejně jako u jiných známých útoků prostřednictvím injektáže SQL nebude tento útok úspěšný v ohrožení účtu služby Azure Cosmos DB.

Nicméně je to označení, že objekt actor hrozby se pokouší napadnout prostředky v tomto účtu a vaše aplikace může být ohrožena.

Některé útoky prostřednictvím injektáže SQL můžou proběhnout úspěšně a použít je k exfiltraci dat. To znamená, že pokud útočník pokračuje v pokusech o injektáž SQL, může být schopen ohrozit váš účet služby Azure Cosmos DB a exfiltrovat data.

Tuto hrozbu můžete zabránit pomocí parametrizovaných dotazů.
Před útokem Nízká

Upozornění na síťovou vrstvu Azure

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Zjistila se síťová komunikace se zlými úmysly
(Network_CommunicationWithC2)
Analýza síťového provozu značí, že váš počítač (IP adresa {Victim IP}) komunikoval s tím, co je možná centrum pro příkaz a řízení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, může podezřelá aktivita znamenat, že jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány) komunikovalo s tím, co je možná centrum příkazů a řízení. Příkazy a ovládání Střední
Zjištěný možný ohrožený počítač
(Network_ResourceIpIndicatedAsMalicious)
Analýza hrozeb značí, že váš počítač (na IP adrese %{IP}) mohl ohrozit malware typu Conficker. Conficker byl počítačový červ, který cílí na operační systém Microsoft Windows a byl poprvé zjištěn v listopadu 2008. Conficker infikovat miliony počítačů, včetně státní správy, firmy a domácí počítače ve více než 200 zemích/oblastech, což je největší známý počítačový červ infekce od roku 2003 Welchia červ. Příkazy a ovládání Střední
Možné příchozí pokusy o hrubou silou %{Název služby} byly zjištěny.
(Generic_Incoming_BF_OneToOne)
Analýza síťového provozu zjistila příchozí komunikaci služby %{Název služby} s %{IP adresou oběti} přidruženou k vašemu prostředku %{Ohrožený hostitel} z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují podezřelou aktivitu mezi %{časem zahájení} a %{koncovým časem} na portu %{Port oběti}. Tato aktivita je konzistentní s pokusy o hrubou silou na serverech %{Název služby}. PreAttack Střední
Možné příchozí pokusy o hrubou silou SQL zjištěné
(SQL_Incoming_BF_OneToOne)
Analýza síťového provozu zjistila příchozí komunikaci SQL s %{IP adresou oběti} přidruženou k vašemu prostředku %{Ohrožený hostitel} z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují podezřelou aktivitu mezi %{časem spuštění} a %{časem ukončení} na portu %{Číslo portu} (%{Typ služby SQL}). Tato aktivita odpovídá pokusům o útoky hrubou silou na servery SQL. PreAttack Střední
Zjištění možného odchozího útoku DoS
(DDOS)
Analýza síťového provozu zjistila neobvyklou odchozí aktivitu pocházející z %{Ohroženého hostitele}, prostředku ve vašem nasazení. Tato aktivita může znamenat, že došlo k ohrožení zabezpečení vašeho prostředku a nyní se zabývá útoky na dostupnost služby na externí koncové body. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, může podezřelá aktivita znamenat, že došlo k ohrožení zabezpečení jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Na základě objemu připojení se domníváme, že následující IP adresy jsou možná cílem útoku DOS: %{Možné oběti}. Všimněte si, že komunikace s některými z těchto IP adres je legitimní. Dopad Střední
Podezřelá příchozí síťová aktivita protokolu RDP z více zdrojů
(RDP_Incoming_BF_ManyToOne)
Analýza síťového provozu zjistila neobvyklou příchozí komunikaci protokolu RDP (Remote Desktop Protocol) s uživatelem %{Victim IP}, přidruženou k vašemu prostředku %{Ohrožený hostitel}, z více zdrojů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně ukázková síťová data ukazují %{Počet IP adres pro útoky} jedinečných IP adres připojených k vašemu prostředku, což se pro toto prostředí považuje za neobvyklé. Tato aktivita může znamenat pokus o hrubou silou koncového bodu protokolu RDP z více hostitelů (Botnet). PreAttack Střední
Podezřelá příchozí síťová aktivita protokolu RDP
(RDP_Incoming_BF_OneToOne)
Analýza síťového provozu zjistila neobvyklou příchozí komunikaci protokolu RDP (Remote Desktop Protocol) s uživatelem %{Victim IP}, která je přidružená k vašemu prostředku %{Ohrožený hostitel}, z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} příchozích připojení k vašemu prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může znamenat pokus o hrubou silou koncového bodu protokolu RDP. PreAttack Střední
Podezřelá příchozí síťová aktivita SSH z více zdrojů
(SSH_Incoming_BF_ManyToOne)
Analýza síťového provozu zjistila neobvyklou příchozí komunikaci SSH s %{IP adresou oběti, která je přidružená k vašemu prostředku %{Ohrožený hostitel}, z více zdrojů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně ukázková síťová data ukazují %{Počet IP adres pro útoky} jedinečných IP adres připojených k vašemu prostředku, což se pro toto prostředí považuje za neobvyklé. Tato aktivita může znamenat pokus o hrubou silou koncového bodu SSH z více hostitelů (Botnet). PreAttack Střední
Podezřelá příchozí síťová aktivita SSH
(SSH_Incoming_BF_OneToOne)
Analýza síťového provozu zjistila neobvyklou příchozí komunikaci SSH s %{IP adresou oběti, přidruženou k vašemu prostředku %{Ohrožený hostitel}, z %{IP adresy útočníka}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý příchozí provoz se přesměroval na jeden nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} příchozích připojení k vašemu prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může znamenat pokus o hrubou silou koncového bodu SSH. PreAttack Střední
Zjistil se podezřelý odchozí provoz %{Napadený protokol}.
(PortScanning)
Analýza síťového provozu zjistila podezřelý odchozí provoz z %{Ohroženého hostitele} na cílový port %{Nejběžnější port}. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Toto chování může znamenat, že se váš prostředek účastní pokusů o útok hrubou silou nebo útokům na uklidňování portů v %{Attacked Protocol}. Zjišťování Střední
Podezřelá odchozí síťová aktivita protokolu RDP do několika cílů
(RDP_Outgoing_BF_OneToMany)
Analýza síťového provozu zjistila neobvyklou odchozí komunikaci protokolu RDP (Remote Desktop Protocol) do několika cílů pocházejících z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně ukázková síťová data ukazují, že se váš počítač připojuje k jedinečným IP adresám %{Počet napadených IP adres}, což se pro toto prostředí považuje za neobvyklé. Tato aktivita může znamenat, že váš prostředek byl ohrožen a nyní se používá k útoku hrubou silou na externí koncové body protokolu RDP. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou. Zjišťování Vysoká
Podezřelá odchozí síťová aktivita protokolu RDP
(RDP_Outgoing_BF_OneToOne)
Analýza síťového provozu zjistila neobvyklou odchozí komunikaci protokolu RDP (Remote Desktop Protocol) s účastníkem %{Victim IP} pocházejícím z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} odchozích připojení z vašeho prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může naznačovat, že došlo k napadení vašeho počítače, který se teď používá k útoku hrubou silou na externí koncové body protokolu RDP. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou. Laterální pohyb Vysoká
Podezřelá odchozí síťová aktivita SSH do více cílů
(SSH_Outgoing_BF_OneToMany)
Analýza síťového provozu zjistila neobvyklou odchozí komunikaci SSH do několika cílů pocházejících z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně ukázková síťová data ukazují, že se váš prostředek připojuje k jedinečným IP adresám %{Počet napadených IP adres}, což se pro toto prostředí považuje za neobvyklé. Tato aktivita může znamenat, že váš prostředek byl ohrožen a používá se k útoku hrubou silou externích koncových bodů SSH. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou. Zjišťování Střední
Podezřelá odchozí síťová aktivita SSH
(SSH_Outgoing_BF_OneToOne)
Analýza síťového provozu zjistila neobvyklou odchozí komunikaci SSH s %{IP adresou oběti} pocházející z %{Ohroženého hostitele} (%{IP adresa útočníka}), prostředku ve vašem nasazení. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Konkrétně vzorkovaná síťová data zobrazují %{Počet připojení} odchozích připojení z vašeho prostředku, což je pro toto prostředí považováno za neobvyklé. Tato aktivita může znamenat, že váš prostředek byl ohrožen a používá se k útoku hrubou silou externích koncových bodů SSH. Upozorňujeme, že tento typ aktivity může způsobit, že externí entity označí vaši IP adresu jako škodlivou. Laterální pohyb Střední
Provoz zjištěný z IP adres doporučený pro blokování Microsoft Defender for Cloud zjistil příchozí provoz z IP adres, které se doporučuje blokovat. K tomu obvykle dochází, když tato IP adresa s tímto prostředkem pravidelně nekomunikuje. Případně je IP adresa označená jako škodlivá ze zdrojů analýzy hrozeb v programu Defender for Cloud. Zkušební fáze Nízká

Upozornění pro azure Key Vault

Další podrobnosti a poznámky

Výstraha (typ upozornění) Description Taktika MITRE
(Další informace)
Závažnost
Přístup z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccess)
Trezor klíčů byl úspěšně přístupný IP identifikovanou službou Microsoft Threat Intelligence jako podezřelou IP adresou. To může znamenat, že vaše infrastruktura byla ohrožena. Doporučujeme provést další šetření. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Přístup k přihlašovacím údajům Střední
Přístup z výstupního uzlu TOR k trezoru klíčů
(KV_TORAccess)
K trezoru klíčů se přistupuje ze známého výstupního uzlu TOR. Může to značit, že objekt actor hrozby získal přístup k trezoru klíčů a ke skrytí zdrojového umístění používá síť TOR. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Velký objem operací v trezoru klíčů
(KV_OperationVolumeAnomaly)
Neobvyklý počet operací trezoru klíčů provedl uživatel, instanční objekt nebo konkrétní trezor klíčů. Tento neobvyklý vzor aktivity může být legitimní, ale může to značit, že objekt actor hrozby získal přístup k trezoru klíčů a tajným kódům obsaženým v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Podezřelá změna zásad a dotaz na tajný kód v trezoru klíčů
(KV_PutGetAnomaly)
Uživatel nebo instanční objekt provedl neobvyklou operaci změny zásad put trezoru následovanou jednou nebo více operacemi získání tajných kódů. Tento model obvykle neprovádí zadaný uživatel nebo instanční objekt. Může to být legitimní aktivita, ale může to být označení, že objekt actor hrozby aktualizoval zásady trezoru klíčů tak, aby přistupoval k dříve nepřístupným tajným kódům. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Podezřelý výpis tajných kódů a dotazování v trezoru klíčů
(KV_ListGetAnomaly)
Uživatel nebo instanční objekt provedl neobvyklou operaci seznamu tajných kódů následovanou jednou nebo více operacemi získání tajných kódů. Tento vzor obvykle neprovádí zadaný uživatel nebo instanční objekt a obvykle je přidružený k dumpingu tajných kódů. Může to být legitimní aktivita, ale může to být označení, že objekt actor hrozby získal přístup k trezoru klíčů a pokouší se zjistit tajné kódy, které je možné použít k pozdějšímu pohybu přes vaši síť a/nebo získání přístupu k citlivým prostředkům. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Neobvyklý přístup odepřen – Uživatel přistupující k velkému objemu trezorů klíčů zamítl
(KV_AccountVolumeAccessDeniedAnomaly)
Uživatel nebo instanční objekt se v posledních 24 hodinách pokusil získat přístup k neobvyklému velkému objemu trezorů klíčů. Tento neobvyklý model přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by se jednat o možný pokus o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. Zjišťování Nízká
Neobvyklý přístup byl odepřen – Neobvyklý uživatelský přístup k trezoru klíčů byl odepřen.
(KV_UserAccessDeniedAnomaly)
Uživatel, který k němu obvykle nemá přístup, se pokusil o přístup k trezoru klíčů. Tento neobvyklý model přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Počáteční přístup, zjišťování Nízká
Neobvyklá aplikace přístup k trezoru klíčů
(KV_AppAnomaly)
Trezor klíčů byl přístupný instančním objektem, který k němu obvykle nemá přístup. Tento neobvyklý model přístupu může být legitimní aktivitou, ale může to být označení, že objekt actor hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Neobvyklý model operace v trezoru klíčů
(KV_OperationPatternAnomaly)
Neobvyklý model operací trezoru klíčů provedl uživatel, instanční objekt nebo konkrétní trezor klíčů. Tento vzor neobvyklé aktivity může být legitimní, ale může to být označení, že objekt actor hrozeb získal přístup k trezoru klíčů a tajným kódům obsaženým v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Neobvyklý uživatel přistupoval k trezoru klíčů.
(KV_UserAnomaly)
K trezoru klíčů má přístup uživatel, který k němu obvykle nemá přístup. Tento neobvyklý model přístupu může být legitimní aktivitou, ale může to být označení, že objekt actor hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Neobvyklá dvojice uživatelských aplikací přístup k trezoru klíčů
(KV_UserAppAnomaly)
K trezoru klíčů se přistupuje párem instančního objektu uživatele, který k němu obvykle nemá přístup. Tento neobvyklý model přístupu může být legitimní aktivitou, ale může to být označení, že objekt actor hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední
Uživatel přistupoval k velkému objemu trezorů klíčů
(KV_AccountVolumeAnomaly)
Uživatel nebo instanční objekt získal přístup k neobvyklému velkému objemu trezorů klíčů. Tento neobvyklý model přístupu může být legitimní aktivitou, ale může to být označení, že objekt actor hrozeb získal přístup k více trezorům klíčů při pokusu o přístup k tajným kódům obsaženým v nich. Doporučujeme provést další šetření. Přístup k přihlašovacím údajům Střední

Upozornění pro Azure DDoS Protection

Další podrobnosti a poznámky

Výstrahy Description Taktika MITRE
(Další informace)
Závažnost
Útok DDoS zjištěný pro veřejnou IP adresu Útok DDoS byl zjištěn pro veřejnou IP adresu (IP adresu) a byl zmírněna. Zkušební fáze Vysoká
Útok DDoS byl zmírněný pro veřejnou IP adresu. Útok DDoS byl zmírněný pro veřejnou IP adresu (IP adresu). Zkušební fáze Nízká

Výstrahy incidentů zabezpečení

Další podrobnosti a poznámky

Výstrahy Description Taktika MITRE
(Další informace)
Závažnost
Incident zabezpečení se zjištěným sdíleným procesem Incident zahájený v {čas zahájení (UTC)} a nedávno zjištěný v {Zjištěný čas (UTC)} značí, že útočník provedl {Akci} vašeho prostředku {Host} - Vysoká
Incident zabezpečení zjištěný u více prostředků Incident, který začal {Čas zahájení (UTC)} a nedávno zjištěný v čase {Detected Time (UTC)} označuje, že podobné metody útoku byly provedeny na vašich cloudových prostředcích {Host} - Střední
Incident zabezpečení zjištěný ze stejného zdroje Incident zahájený v {čas zahájení (UTC)} a nedávno zjištěný v {Zjištěný čas (UTC)} značí, že útočník provedl {Akci} vašeho prostředku {Host} - Vysoká
Incident zabezpečení zjištěný na více počítačích Incident, který začal {Čas zahájení (UTC)} a nedávno zjištěný v {Zjištěný čas (UTC)}, označuje, že útočník provedl {Akce} vaše prostředky {Host} - Střední

Taktika MITRE ATT&CK

Pochopení záměru útoku vám může pomoct snadněji prozkoumat a nahlásit událost. Aby vám pomohl s těmito úsilími, microsoft Defender pro cloudové výstrahy zahrnuje taktiku MITRE s mnoha upozorněními.

Série kroků, které popisují průběh kybernetického útoku z rekognoskace na exfiltraci dat, se často označuje jako "kill chain".

Záměry podporovaného kill chainu v Defenderu pro Cloud jsou založené na verzi 9 matice MITRE ATT&CK a popsané v následující tabulce.

Taktický Verze ATT&CK Description
Předběžné připojení PreAttack může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému kvůli shromažďování informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z vnější sítě, ke kontrole cílového systému a identifikaci vstupního bodu.
Počáteční přístup V7, V9 Počáteční přístup je fáze, ve které útočník spravuje získání zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd. Aktéři hrozeb budou moct po této fázi často řídit prostředek.
Perzistence V7, V9 Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalý stav v daném systému. Aktéři hrozeb budou často muset udržovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiné chyby, které by vyžadovaly restartování nástroje vzdáleného přístupu nebo poskytnutí alternativního backdooru pro ně k opětovnému získání přístupu.
Elevace oprávnění V7, V9 Eskalace oprávnění je výsledkem akcí, které umožňují nežádoucím uživatelům získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění k práci a pravděpodobně jsou nezbytné v mnoha bodech operace. Uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo provádění konkrétních funkcí nezbytných k dosažení jejich cíle mohou být také považovány za eskalaci oprávnění.
Obrana před únikem V7, V9 Úniky proti obraně se skládají z technik, které může nežádoucí osoba použít k vyhýbání detekce nebo zabránění jiným obranám. Někdy jsou tyto akce stejné jako (nebo varianty) technik v jiných kategoriích, které mají přidanou výhodu pro subvertování konkrétní obrany nebo zmírnění rizik.
Přístup k přihlašovacím údajům V7, V9 Přístup k přihlašovacím údajům představuje techniky, které mají za následek přístup k systému, doméně nebo přihlašovacím údajům služby, které se používají v podnikovém prostředí nebo k nim mají kontrolu. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místní správce systému nebo uživatelé domény s přístupem správce) pro použití v síti. S dostatečným přístupem v síti může nežádoucí osoba vytvořit účty pro pozdější použití v rámci prostředí.
Zjišťování V7, V9 Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se orientovat na to, o čem teď mají kontrolu a jaké výhody z tohoto systému poskytují jejich aktuálním cílům nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení.
LateralMovement V7, V9 Laterální přesun se skládá z technik, které nežádoucímu můžou umožnit přístup ke vzdáleným systémům a řídit je v síti a které nemusí nutně zahrnovat spouštění nástrojů na vzdálených systémech. Techniky laterálního pohybu by mohly nežádoucímu uživateli umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je nástroj pro vzdálený přístup. Nežádoucí osoba může použít laterální přesun pro mnoho účelů, včetně vzdáleného spuštění nástrojů, otáčení na další systémy, přístup k určitým informacím nebo souborům, přístup k dalším přihlašovacím údajům nebo způsobit účinek.
Spuštění V7, V9 Taktika provádění představuje techniky, které vedou k provádění nežádoucího kódu řízeného v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti.
Kolekce V7, V9 Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Příkaz a ovládací prvek V7, V9 Taktika příkazů a řízení představuje, jak nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě.
Exfiltrace V7, V9 Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odstranění souborů a informací z cílové sítě nebo k jejich pomoci. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Dopad V7, V9 Události dopadu se primárně snaží přímo snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty, která mají vliv na obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je ransomware, defacement, manipulace s daty a další.

Poznámka

Pro výstrahy, které jsou ve verzi Preview: Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které platí pro funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydány do obecné dostupnosti.

Další kroky

Další informace o výstrahách zabezpečení cloudu v programu Microsoft Defender najdete v následujících tématech: