Upozornění na počítače s Linuxem
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro počítače s Linuxem z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění počítačů s Linuxem
Microsoft Defender for Servers Plan 2 poskytuje kromě těch, které poskytuje Microsoft Defender for Endpoint, jedinečné detekce a výstrahy. Výstrahy poskytované pro počítače s Linuxem:
Soubor historie byl vymazán.
Popis: Analýza dat hostitele označuje, že byl vymazán soubor protokolu historie příkazů. Útočníci to můžou udělat, aby zakryli své stopy. Operaci provedl uživatel: %{uživatelské jméno}.
Taktika MITRE: -
Závažnost: Střední
Došlo k auditování porušení zásad adaptivního řízení aplikací.
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Popis: Následující uživatelé spustili aplikace, které na tomto počítači porušují zásady řízení aplikací vaší organizace. Počítač může potenciálně vystavit ohrožením zabezpečení malwaru nebo aplikace.
Taktika MITRE: Provádění
Závažnost: Informační
Vyloučení antimalwarových širokých souborů ve vašem virtuálním počítači
(VM_AmBroadFilesExclusion)
Popis: Vyloučení souborů z antimalwarového rozšíření s širokým pravidlem vyloučení bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Takové vyloučení prakticky zakáže antimalwarovou ochranu. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Taktika MITRE: -
Závažnost: Střední
Antimalware zakázáno a spouštění kódu ve virtuálním počítači
(VM_AmDisablementAndCodeExecution)
Popis: Antimalware je zakázán ve stejnou dobu jako spouštění kódu na vašem virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci zakazují antimalwarové skenery, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Taktika MITRE: -
Závažnost: Vysoká
Antimalwarové zakázání ve virtuálním počítači
(VM_AmDisablement)
Popis: Antimalware je ve virtuálním počítači zakázaný. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat antimalware na vašem virtuálním počítači, aby se zabránilo detekci.
Závažnost: Střední
Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači
(VM_AmFileExclusionAndCodeExecution)
Popis: Soubor vyloučený z antimalwarového skeneru ve stejnou dobu jako kód byl proveden prostřednictvím rozšíření vlastních skriptů na vašem virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z kontroly antimalwaru na virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači (dočasné)
(VM_AmTempFileExclusionAndCodeExecution)
Popis: Dočasné vyloučení souborů z antimalwarového rozšíření paralelně ke spuštění kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Vyloučení antimalwarového souboru ve virtuálním počítači
(VM_AmTempFileExclusion)
Popis: Soubor vyloučený z antimalwarového skeneru na virtuálním počítači. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z kontroly antimalwaru na virtuálním počítači, aby zabránili detekci při spouštění neautorizovaných nástrojů nebo infikování počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla ve vašem virtuálním počítači zakázaná
(VM_AmRealtimeProtectionDisabled)
Popis: Zákaz ochrany v reálném čase antimalwarového rozšíření byl na virtuálním počítači zjištěn analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla na virtuálním počítači dočasně zakázaná.
(VM_AmTempRealtimeProtectionDisablement)
Popis: Dočasná zakázání antimalwarového rozšíření v reálném čase byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalwarová ochrana v reálném čase byla dočasně zakázána, když byl kód spuštěn ve vašem virtuálním počítači.
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Popis: Dočasné zakázání antimalwarového rozšíření v reálném čase paralelně se spouštěním kódu prostřednictvím rozšíření vlastních skriptů bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat ochranu v reálném čase před antimalwarovou kontrolou na virtuálním počítači, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Taktika MITRE: -
Závažnost: Vysoká
Antimalwarové kontroly blokované pro soubory, které mohou souviset s malwarem kampaní na vašem virtuálním počítači (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Popis: Ve vašem virtuálním počítači bylo zjištěno pravidlo vyloučení, které brání vaší antimalwarové rozšíření kontrolovat určité soubory, u nichž je podezření, že souvisí s malwarem kampaně. Pravidlo bylo zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarových kontrol, aby se zabránilo detekci při spuštění libovolného kódu nebo napadení počítače malwarem.
Závažnost: Střední
Antimalware je na virtuálním počítači dočasně zakázáno
(VM_AmTemporarilyDisablement)
Popis: Antimalware je na virtuálním počítači dočasně zakázaný. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat antimalware na vašem virtuálním počítači, aby se zabránilo detekci.
Taktika MITRE: -
Závažnost: Střední
Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači
(VM_UnusualAmFileExclusion)
Popis: Neobvyklé vyloučení souboru z antimalwarového rozšíření bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.
Závažnost: Střední
Chování podobné ransomwaru bylo zjištěno [vícekrát]
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění souborů, které mají podobnost se známým ransomwarem, který může uživatelům zabránit v přístupu ke svým systémovým nebo osobním souborům, a požaduje platbu výkupného, aby znovu získali přístup. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Vysoká
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Popis: Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku.
Taktika MITRE: Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití
Závažnost: Střední
Kontejner se zjištěnou imagí mineru
(VM_MinerInContainerImage)
Popis: Protokoly počítače označují spuštění kontejneru Dockeru, který spouští image přidruženou k dolování digitální měny.
Taktika MITRE: Provádění
Závažnost: Vysoká
Zjištěná neobvyklá kombinace velkých a malých znaků v příkazovém řádku
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila příkazový řádek s neobvyklou kombinací velkých a malých znaků. Tento druh vzoru, i když možná neškodný, je také typický pro útočníky, kteří se snaží skrýt před porovnávání pravidel založeným na malých a malých a malých písmenech nebo s hodnotou hash při provádění úloh správy na ohroženém hostiteli.
Taktika MITRE: -
Závažnost: Střední
Zjištěný soubor ke stažení ze známého škodlivého zdroje
Popis: Analýza dat hostitele zjistila stažení souboru ze známého zdroje malwaru na serveru %{Ohrožení hostitele}.
Taktika MITRE: -
Závažnost: Střední
Zjištěná podezřelá síťová aktivita
Popis: Analýza síťového provozu z %{Ohroženého hostitele} zjistila podezřelou síťovou aktivitu. Takový provoz, i když možná neškodný, obvykle používá útočník ke komunikaci se škodlivými servery ke stahování nástrojů, řízení a exfiltrace dat. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj.
Taktika MITRE: -
Závažnost: Nízká
Zjistilo se chování související s dolováním digitálních měn
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění procesu nebo příkazu, který je obvykle přidružen k dolování digitální měny.
Taktika MITRE: -
Závažnost: Vysoká
Zakázání auditovaného protokolování [zobrazeno vícekrát]
Popis: Systém auditování Linuxu poskytuje způsob, jak sledovat informace související se zabezpečením v systému. Zaznamenává co nejvíce informací o událostech, které probíhají ve vašem systému. Zakázáním auditovaného protokolování může dojít ke zjištění porušení zásad zabezpečení používaných v systému. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Nízká
Zneužití ohrožení zabezpečení Xorg [zobrazeno vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila uživatele Xorg s podezřelými argumenty. Útočníci můžou tuto techniku použít při pokusech o eskalaci oprávnění. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Neúspěšný útok hrubou silou SSH
(VM_SshBruteForceFailed)
Popis: Z následujících útočníků byly zjištěny neúspěšné útoky hrubou silou: %{Útočníci}. Útočníci se pokusili o přístup k hostiteli s následujícími uživatelskými jmény: %{Účty použité při neúspěšném přihlášení k pokusům o hostitele}.
Taktika MITRE: Testování
Závažnost: Střední
Zjistilo se chování útoku bez souborů
(VM_FilelessAttackBehavior.Linux)
Popis: Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří: {seznam pozorovaných chování}
Taktika MITRE: Provádění
Závažnost: Nízká
Zjištěná technika útoku bez souborů
(VM_FilelessAttackTechnique.Linux)
Popis: Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spouštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří: {seznam pozorovaných chování}
Taktika MITRE: Provádění
Závažnost: Vysoká
Zjištěná sada nástrojů pro útoky bez souborů
(VM_FilelessAttackToolkit.Linux)
Popis: Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útok bez souborů: {ToolKitName}. Souborové sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru. Mezi konkrétní chování patří: {seznam pozorovaných chování}
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Bylo zjištěno spuštění skrytého souboru.
Popis: Analýza dat hostitele označuje, že skrytý soubor byl proveden uživatelem %{uživatelské jméno}. Tato aktivita může být legitimní aktivitou nebo indikací ohroženého hostitele.
Taktika MITRE: -
Závažnost: Informační
Přidání nového klíče SSH [zobrazeno vícekrát]
(VM_SshKeyAddition)
Popis: Do souboru autorizovaných klíčů se přidal nový klíč SSH. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: Trvalost
Závažnost: Nízká
Přidání nového klíče SSH
Popis: Do souboru autorizovaných klíčů se přidal nový klíč SSH.
Taktika MITRE: -
Závažnost: Nízká
Možná zadní vrátka byla zjištěna [viděla se několikrát]
Popis: Analýza dat hostitele zjistila, že se stahuje podezřelý soubor, pak se ve vašem předplatném spustí %{Ohrožený hostitel}. Tato aktivita byla dříve přidružena k instalaci zadního vrátka. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Možné zneužití zjištěného poštovního serveru
(VM_MailserverExploitation )
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila neobvyklé spuštění v rámci účtu poštovního serveru.
Taktika MITRE: Zneužití
Závažnost: Střední
Zjistilo se možné škodlivé webové prostředí
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila možné webové prostředí. Útočníci často nahrají webové prostředí na počítač, který zneužili, aby získali trvalost nebo další zneužití.
Taktika MITRE: -
Závažnost: Střední
Možná změna hesla pomocí metody crypt-detected [vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila změnu hesla pomocí metody šifrování. Útočníci můžou tuto změnu provést, aby po ohrožení pokračovali v přístupu a získali trvalost. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Proces spojený s dolováním digitální měny byl zjištěn [viděl vícekrát]
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění procesu, který je obvykle spojený s dolováním digitální měny. Toto chování bylo dnes na následujících počítačích zobrazeno více než 100krát: [Název počítače]
Taktika MITRE: -
Závažnost: Střední
Zjistil se proces přidružený k dolování digitálních měn
Popis: Analýza dat hostitele zjistila provádění procesu, který je obvykle přidružen k dolování digitální měny.
Taktika MITRE: Zneužití, provádění
Závažnost: Střední
Zakódovaný stahovač Pythonu zjistil [viděl vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila spuštění kódovaného Pythonu, který stáhne a spustí kód ze vzdáleného umístění. To může značit škodlivou aktivitu. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Nízká
Snímek obrazovky pořízený na hostiteli [zobrazeno vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila uživatele nástroje pro zachycení obrazovky. Útočníci můžou tyto nástroje použít pro přístup k privátním datům. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Nízká
Byl zjištěn kód shellu [zobrazeno vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila, že se z příkazového řádku generuje kód prostředí. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Úspěšný útok hrubou silou SSH
(VM_SshBruteForceSuccess)
Popis: Analýza dat hostitele zjistila úspěšný útok hrubou silou. Ip adresa %{Zdrojová IP adresa útočníka} se zobrazila při několika pokusech o přihlášení. Z této IP adresy byly provedeny úspěšná přihlášení s následujícími uživateli: %{Účty použité k úspěšnému přihlášení k hostiteli}. To znamená, že hostitel může být ohrožen a řízen škodlivým aktérem.
Taktika MITRE: Zneužití
Závažnost: Vysoká
Zjištění podezřelého vytvoření účtu
Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila vytvoření nebo použití místního účtu %{Podezřelý název účtu}: Tento název účtu se velmi podobá standardnímu názvu účtu nebo skupiny systému Windows %{Podobný názvu účtu}. Jedná se o potenciálně neautorický účet vytvořený útočníkem, takže je pojmenovaný, aby se zabránilo tomu, že si ho správce všimne.
Taktika MITRE: -
Závažnost: Střední
Podezřelý modul jádra se zjistil [viděl vícekrát]
Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila, že se soubor sdíleného objektu načítá jako modul jádra. Může to být legitimní aktivita nebo označení, že došlo k ohrožení jednoho z vašich počítačů. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Střední
Podezřelý přístup k heslu [několikrát se zobrazil]
Popis: Analýza dat hostitele zjistila podezřelý přístup k šifrovaným uživatelským heslům na serveru %{Ohrožený hostitel}. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]
Taktika MITRE: -
Závažnost: Informační
Podezřelý přístup k heslu
Popis: Analýza dat hostitele zjistila podezřelý přístup k šifrovaným uživatelským heslům na serveru %{Ohrožený hostitel}.
Taktika MITRE: -
Závažnost: Informační
Podezřelý požadavek na řídicí panel Kubernetes
(VM_KubernetesDashboard)
Popis: Protokoly počítačů označují, že se na řídicím panelu Kubernetes provedl podezřelý požadavek. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner.
Taktika MITRE: LateralMovement
Závažnost: Střední
Neobvyklé resetování konfigurace ve virtuálním počítači
(VM_VMAccessUnusualConfigReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování konfigurace analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci se můžou pokusit o resetování konfigurace ve virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklé resetování hesla uživatele ve virtuálním počítači
(VM_VMAccessUnusualPasswordReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování hesla uživatele analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit použít rozšíření přístupu k virtuálnímu počítači k resetování přihlašovacích údajů místního uživatele ve vašem virtuálním počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklé resetování klíče SSH uživatele ve virtuálním počítači
(VM_VMAccessUnusualSSHReset)
Popis: Na virtuálním počítači se zjistilo neobvyklé resetování klíče SSH uživatele pomocí analýzy operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit resetovat klíč SSH uživatelského účtu ve vašem virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview)
(VM_GPUDriverExtensionUnusualExecution)
Popis: Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků.
Taktika MITRE: Dopad
Závažnost: Nízká
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.