Upozornění pro rozšíření virtuálních počítačů Azure
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro rozšíření virtuálních počítačů Azure z Programu Microsoft Defender pro cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění rozšíření virtuálních počítačů Azure
Tato upozornění se zaměřují na detekci podezřelých aktivit rozšíření virtuálních počítačů Azure a poskytují přehled o pokusech útočníků o ohrožení a provádění škodlivých aktivit na virtuálních počítačích.
Rozšíření virtuálních počítačů Azure jsou malé aplikace, které spouštějí po nasazení na virtuálních počítačích a poskytují funkce, jako je konfigurace, automatizace, monitorování, zabezpečení a další. Rozšíření jsou sice výkonným nástrojem, ale můžou je použít aktéři hrozeb pro různé škodlivé záměry, například:
Shromažďování a monitorování dat
Spouštění kódu a nasazení konfigurace s vysokými oprávněními
Resetování přihlašovacích údajů a vytváření správců
Šifrování disků
Přečtěte si další informace o nejnovější ochraně Defenderu pro cloud před zneužitím rozšíření virtuálních počítačů Azure.
Podezřelá chyba při instalaci rozšíření GPU ve vašem předplatném (Preview)
(VM_GPUExtensionSuspiciousFailure)
Popis: Podezřelý záměr instalace rozšíření GPU na nepodporované virtuální počítače Toto rozšíření by mělo být nainstalováno na virtuálních počítačích vybavených grafickým procesorem a v tomto případě tyto virtuální počítače nejsou vybaveny. Tato selhání se dají vidět, když nežádoucí uživatelé se zlými úmysly spouštějí několik instalací takového rozšíření pro účely kryptografického dolování.
Taktika MITRE: Dopad
Závažnost: Střední
Na virtuálním počítači (Preview) byla zjištěna podezřelá instalace rozšíření GPU.
(VM_GPUDriverExtensionUnusualExecution)
Popis: Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů.
Taktika MITRE: Dopad
Závažnost: Nízká
Spuštění příkazu s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_RunCommandSuspiciousScript)
Popis: Spuštění příkazu s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na vašem virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé.
Taktika MITRE: Provádění
Závažnost: Vysoká
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé neoprávněné použití příkazu spustit.
(VM_RunCommandSuspiciousFailure)
Popis: Podezřelé neoprávněné použití příkazu Spustit selhalo a bylo zjištěno na virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci se můžou pokusit pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila.
Taktika MITRE: Provádění
Závažnost: Střední
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé využití příkazů spuštění.
(VM_RunCommandSuspiciousUsage)
Popis: Podezřelé použití příkazu Spustit bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila.
Taktika MITRE: Provádění
Závažnost: Nízká
Na virtuálních počítačích se zjistilo podezřelé použití několika rozšíření monitorování nebo shromažďování dat (Preview).
(VM_SuspiciousMultiExtensionUsage)
Popis: Podezřelé použití více rozšíření monitorování nebo shromažďování dat bylo zjištěno na virtuálních počítačích analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou tato rozšíření zneužít pro shromažďování dat, monitorování síťového provozu a další možnosti ve vašem předplatném. Toto použití se považuje za podezřelé, protože ho ještě nebylo běžně vidět.
Taktika MITRE: Rekognoskace
Závažnost: Střední
Na virtuálních počítačích (Preview) byla zjištěna podezřelá instalace rozšíření šifrování disků.
(VM_DiskEncryptionSuspiciousUsage)
Popis: Podezřelá instalace rozšíření šifrování disků byla na virtuálních počítačích zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zneužít rozšíření šifrování disků k nasazení úplného šifrování disků na virtuálních počítačích prostřednictvím Azure Resource Manageru při pokusu o provedení aktivity ransomwaru. Tato aktivita se považuje za podezřelou, protože nebyla často viditelná dříve a kvůli vysokému počtu instalací rozšíření.
Taktika MITRE: Dopad
Závažnost: Střední
Na virtuálních počítačích se zjistilo podezřelé použití rozšíření VMAccess (Preview).
(VM_VMAccessSuspiciousUsage)
Popis: Na virtuálních počítačích se zjistilo podezřelé použití rozšíření VMAccess. Útočníci můžou zneužít rozšíření VMAccess k získání přístupu a ohrožení zabezpečení virtuálních počítačů s vysokými oprávněními resetováním přístupu nebo správou správců. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření.
Taktika MITRE: Trvalost
Závažnost: Střední
Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo zjištěno na vašem virtuálním počítači (Preview).
(VM_DSCExtensionSuspiciousScript)
Popis: Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé.
Taktika MITRE: Provádění
Závažnost: Vysoká
Na virtuálních počítačích (Preview) se zjistilo podezřelé použití rozšíření DSC (Desired State Configuration).
(VM_DSCExtensionSuspiciousUsage)
Popis: Podezřelé použití rozšíření DSC (Desired State Configuration) bylo na virtuálních počítačích zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření.
Taktika MITRE: Provádění
Závažnost: Nízká
Rozšíření vlastních skriptů s podezřelým skriptem se zjistilo na virtuálním počítači (Preview)
(VM_CustomScriptExtensionSuspiciousCmd)
Popis: Rozšíření vlastních skriptů s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivý kód s vysokými oprávněními na virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé.
Taktika MITRE: Provádění
Závažnost: Vysoká
Podezřelé neúspěšné spuštění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousFailure)
Popis: Podezřelé selhání rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Taková selhání můžou být spojená se škodlivými skripty spouštěnými tímto rozšířením.
Taktika MITRE: Provádění
Závažnost: Střední
Neobvyklé odstranění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionUnusualDeletion)
Popis: Neobvyklé odstranění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět na virtuálních počítačích škodlivý kód prostřednictvím Azure Resource Manageru.
Taktika MITRE: Provádění
Závažnost: Střední
Neobvyklé spuštění rozšíření vlastních skriptů ve virtuálním počítači
(VM_CustomScriptExtensionUnusualExecution)
Popis: Neobvyklé spuštění rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět na virtuálních počítačích škodlivý kód prostřednictvím Azure Resource Manageru.
Taktika MITRE: Provádění
Závažnost: Střední
Rozšíření vlastních skriptů s podezřelým vstupním bodem ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Popis: Rozšíření vlastních skriptů s podezřelým vstupním bodem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Vstupní bod odkazuje na podezřelé úložiště GitHub. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět na virtuálních počítačích škodlivý kód prostřednictvím Azure Resource Manageru.
Taktika MITRE: Provádění
Závažnost: Střední
Rozšíření vlastních skriptů s podezřelou datovou částí ve virtuálním počítači
(VM_CustomScriptExtensionSuspiciousPayload)
Popis: Rozšíření vlastních skriptů s datovou částí z podezřelého úložiště GitHub bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět na virtuálních počítačích škodlivý kód prostřednictvím Azure Resource Manageru.
Taktika MITRE: Provádění
Závažnost: Střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.