Upozornění pro Resource Manager
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro Resource Manager z programu Microsoft Defender for Cloud a všech plánů Programu Microsoft Defender, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění Resource Manageru
Poznámka:
Výstrahy s delegovanou indikací přístupu se aktivují kvůli aktivitě poskytovatelů služeb třetích stran. přečtěte si další informace o indikaci aktivit poskytovatelů služeb.
Operace Azure Resource Manageru z podezřelé IP adresy
(ARM_OperationFromSuspiciousIP)
Popis: Microsoft Defender for Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb.
Taktika MITRE: Provádění
Závažnost: Střední
Operace Azure Resource Manageru z podezřelé IP adresy proxy serveru
(ARM_OperationFromSuspiciousProxyIP)
Popis: Microsoft Defender for Resource Manager zjistil operaci správy prostředků z IP adresy, která je přidružená ke službám proxy, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu.
Závažnost: Střední
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions
(ARM_MicroBurst.AzDomainInfo)
Popis: Ve vašem předplatném se spustil skript PowerShellu a provedl podezřelý vzor spouštění operací shromažďování informací za účelem zjišťování prostředků, oprávnění a síťových struktur. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, ke shromažďování informací o škodlivých aktivitách. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: -
Závažnost: Nízká
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions
(ARM_MicroBurst.AzureDomainInfo)
Popis: Ve vašem předplatném se spustil skript PowerShellu a provedl podezřelý vzor spouštění operací shromažďování informací za účelem zjišťování prostředků, oprávnění a síťových struktur. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, ke shromažďování informací o škodlivých aktivitách. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: -
Závažnost: Nízká
MicroBurst exploitation toolkit used to execute code on your virtual machine
(ARM_MicroBurst.AzVMBulkCMD)
Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor spouštění kódu na virtuálním počítači nebo v seznamu virtuálních počítačů. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, ke spuštění skriptu na virtuálním počítači pro škodlivé aktivity. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: Provádění
Závažnost: Vysoká
MicroBurst exploitation toolkit used to execute code on your virtual machine
(RM_MicroBurst.AzureRmVMBulkCMD)
Popis: Sada nástrojů pro zneužití MicroBurst byla použita ke spouštění kódu na virtuálních počítačích. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
MicroBurst exploitation toolkit used to extract keys from your Azure key vaults
(ARM_MicroBurst.AzKeyVaultKeysREST)
Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor extrakce klíčů ze služby Azure Key Vault. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, k výpisu klíčů a jejich použití pro přístup k citlivým datům nebo k provedení laterálního pohybu. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: -
Závažnost: Vysoká
MicroBurst exploitation toolkit used to extract keys to your storage accounts
(ARM_MicroBurst.AZStorageKeysREST)
Popis: Ve vašem předplatném se spustil skript PowerShellu a provedl podezřelý vzor extrahování klíčů do účtů úložiště. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, k výpisu klíčů a jejich použití pro přístup k citlivým datům v účtech úložiště. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: Kolekce
Závažnost: Nízká
Sada nástrojů pro zneužití MicroBurst používaná k extrakci tajných kódů z trezorů klíčů Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor extrahování tajných kódů ze služby Azure Key Vault. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, k výpisu tajných kódů a jejich použití pro přístup k citlivým datům nebo k provedení laterálního pohybu. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: -
Závažnost: Vysoká
Sada nástrojů PowerZure pro využívání, která slouží ke zvýšení přístupu z Azure AD do Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Popis: Sada nástrojů PowerZure exploitation byla použita ke zvýšení přístupu z AzureAD do Azure. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem tenantovi.
Taktika MITRE: -
Závažnost: Vysoká
PowerZure exploitation toolkit used to enumerate resources
(ARM_PowerZure.GetAzureTargets)
Popis: Sada nástrojů PowerZure exploitation byla použita k vytvoření výčtu prostředků jménem legitimního uživatelského účtu ve vaší organizaci. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: Kolekce
Závažnost: Vysoká
PowerZure exploitation toolkit used to enumerate storage containers, shares, and tables
(ARM_PowerZure.ShowStorageContent)
Popis: Sada nástrojů PowerZure exploitation byla použita k vytvoření výčtu sdílených složek, tabulek a kontejnerů úložiště. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
PowerZure exploitation toolkit used to execute a Runbook in your subscription
(ARM_PowerZure.StartRunbook)
Popis: Sada nástrojů PowerZure exploitation byla použita ke spuštění runbooku. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
PowerZure exploitation toolkit used to extract Runbook content
(ARM_PowerZure.AzureRunbookContent)
Popis: Sada nástrojů Pro zneužití PowerZure byla použita k extrakci obsahu runbooku. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: Kolekce
Závažnost: Vysoká
PREVIEW – Zjištění spuštění sady nástrojů Azurite
(ARM_Azurite)
Popis: Ve vašem prostředí se zjistilo známé spuštění sady nástrojů pro rekognoskaci prostředí cloudu. Nástroj Azurite může použít útočník (nebo tester průniku) k namapování prostředků vašich předplatných a identifikaci nezabezpečených konfigurací.
Taktika MITRE: Kolekce
Závažnost: Vysoká
PREVIEW – Zjištění podezřelého vytvoření výpočetních prostředků
(ARM_SuspiciousComputeCreation)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vytváření výpočetních prostředků ve vašem předplatném s využitím služby Virtual Machines/Azure Scale Set. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí nasazením nových prostředků v případě potřeby. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k provádění kryptografických dolování. Aktivita se považuje za podezřelou, protože škálování výpočetních prostředků je vyšší než dříve v předplatném. To může znamenat, že objekt zabezpečení je ohrožený a používá se se zlými úmysly.
Taktika MITRE: Dopad
Závažnost: Střední
PREVIEW – Zjištění podezřelého obnovení trezoru klíčů
(Arm_Suspicious_Vault_Recovering)
Popis: Microsoft Defender for Resource Manager zjistil podezřelou operaci obnovení pro prostředek trezoru klíčů s obnovitelném odstraněním. Uživatel obnovující prostředek se liší od uživatele, který ho odstranil. To je velmi podezřelé, protože uživatel tuto operaci vyvolá zřídka. Kromě toho se uživatel přihlásil bez vícefaktorového ověřování (MFA). To může znamenat, že je uživatel ohrožen a pokouší se zjistit tajné kódy a klíče, aby získal přístup k citlivým prostředkům nebo aby provedl laterální přesun v síti.
Taktika MITRE: Laterální pohyb
Závažnost: Střední/vysoká
PREVIEW – Podezřelá relace správy s využitím neaktivního účtu zjištěného
(ARM_UnusedAccountPersistence)
Popis: Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který se nepoužívá po dlouhou dobu, teď provádí akce, které můžou útočníkovi zabezpečit trvalost.
Taktika MITRE: Trvalost
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace "Přístup k přihlašovacím údajům" zjištěným instančním objektem
(ARM_AnomalousServiceOperation.CredentialAccess)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace Shromažďování dat zjištěným instančním objektem
(ARM_AnomalousServiceOperation.Collection)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromáždění dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Kolekce
Závažnost: Střední
PREVIEW – podezřelé vyvolání vysoce rizikové operace "Obrana před únikem" zjištěným instančním objektem
(ARM_AnomalousServiceOperation.DefenseEvasion)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vyhýbání obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo zjištění a ohrožení prostředků ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace provádění zjištěným instančním objektem
(ARM_AnomalousServiceOperation.Execution)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Provádění obrany
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace "Dopad" zjištěným instančním objektem
(ARM_AnomalousServiceOperation.Impact)
Popis: Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Dopad
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace "Počáteční přístup" zjištěným instančním objektem
(ARM_AnomalousServiceOperation.InitialAccess)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace "Lateral Movement Access" zjištěným instančním objektem
(ARM_AnomalousServiceOperation.LateralMovement)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o provedení laterálního pohybu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení více prostředků ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Laterální pohyb
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace trvalosti instančním objektem
(ARM_AnomalousServiceOperation.Persistence)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Trvalost
Závažnost: Střední
PREVIEW – Podezřelé vyvolání vysoce rizikové operace Eskalace oprávnění zjištěným instančním objektem
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že instanční objekt je napadený a používá se se zlými úmysly.
Taktika MITRE: Eskalace oprávnění
Závažnost: Střední
PREVIEW – Podezřelá relace správy s využitím neaktivního účtu zjištěného
(ARM_UnusedAccountPersistence)
Popis: Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který se nepoužívá po dlouhou dobu, teď provádí akce, které můžou útočníkovi zabezpečit trvalost.
Taktika MITRE: Trvalost
Závažnost: Střední
PREVIEW – Zjištěná podezřelá relace správy pomocí PowerShellu
(ARM_UnusedAppPowershellPersistence)
Popis: Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který k správě prostředí předplatného nepoužívá PowerShell, teď používá PowerShell a provádí akce, které můžou útočníkovi zabezpečit trvalost.
Taktika MITRE: Trvalost
Závažnost: Střední
Preview â € " Podezřelá relace správy pomocí webu Azure Portal zjistila
(ARM_UnusedAppIbizaPersistence)
Popis: Analýza protokolů aktivit předplatného zjistila podezřelé chování. Objekt zabezpečení, který pravidelně nepoužívá Azure Portal (Ibiza) ke správě prostředí předplatného (nepoužíval azure Portal ke správě za posledních 45 dnů nebo předplatné, které aktivně spravuje), teď používá Azure Portal a provádí akce, které můžou útočníkovi zabezpečit trvalost.
Taktika MITRE: Trvalost
Závažnost: Střední
Privilegovaná vlastní role vytvořená pro vaše předplatné podezřelým způsobem (Preview)
(ARM_PrivilegedRoleDefinitionCreation)
Popis: Microsoft Defender pro Resource Manager zjistil podezřelé vytvoření definice privilegované vlastní role ve vašem předplatném. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší vytvořit privilegovanou roli, která se použije v budoucnu k odstranění detekce.
Taktika MITRE: Eskalace oprávnění, únik obrany
Závažnost: Informační
Zjistilo se podezřelé přiřazení role Azure (Preview)
(ARM_AnomalousRBACRoleAssignment)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé přiřazení role Azure nebo provedené pomocí PIM (Privileged Identity Management) ve vašem tenantovi, což může znamenat, že došlo k ohrožení účtu ve vaší organizaci. Zjištěné operace jsou navržené tak, aby správcům umožňovaly udělit objekty zabezpečení přístupu k prostředkům Azure. I když tato aktivita může být legitimní, aktér hrozeb může pomocí přiřazení role eskalovat svá oprávnění, aby mohl pokračovat v útoku.
Taktika MITRE: Laterální pohyb, obranná úniky
Závažnost: Nízká (PIM) / Vysoká
Podezřelé vyvolání vysoce rizikové operace přístupu k přihlašovacím údajům (Preview)
(ARM_AnomalousOperation.CredentialAccess)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace shromažďování dat (Preview)
(ARM_AnomalousOperation.Collection)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromáždění dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Kolekce
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace "Obranná úniková ochrana" (Preview)
(ARM_AnomalousOperation.DefenseEvasion)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vyhýbání obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo zjištění a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace provádění (Preview)
(ARM_AnomalousOperation.Execution)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Provádění
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace Impact (Preview)
(ARM_AnomalousOperation.Impact)
Popis: Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k přístupu k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Dopad
Závažnost: Střední
Podezřelé vyvolání vysoce rizikové operace počátečního přístupu (Preview)
(ARM_AnomalousOperation.InitialAccess)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace laterálního pohybu (Preview)
(ARM_AnomalousOperation.LateralMovement)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o provedení laterálního pohybu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení více prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Laterální pohyb
Závažnost: Střední
Podezřelá operace přístupu se zvýšenými oprávněními (Preview) (ARM_AnomalousElevateAccess)
Popis: Microsoft Defender pro Resource Manager identifikoval podezřelou operaci "Zvýšit přístup". Aktivita se považuje za podezřelou, protože tento objekt zabezpečení tyto operace zřídka vyvolává. I když tato aktivita může být legitimní, objekt actor hrozby může k provedení eskalace oprávnění pro ohroženého uživatele využít operaci Zvýšení úrovně přístupu.
Taktika MITRE: Eskalace oprávnění
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace trvalosti (Preview)
(ARM_AnomalousOperation.Persistence)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Trvalost
Závažnost: Střední
Zjištění podezřelého vyvolání vysoce rizikové operace Eskalace oprávnění (Preview)
(ARM_AnomalousOperation.PrivilegeEscalation)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly.
Taktika MITRE: Eskalace oprávnění
Závažnost: Střední
Použití sady nástrojů Pro zneužití MicroBurst ke spuštění libovolného kódu nebo exfiltrování přihlašovacích údajů účtu Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor spuštění libovolného kódu nebo exfiltrace přihlašovacích údajů účtu Azure Automation. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, ke spuštění libovolného kódu pro škodlivé aktivity. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.
Taktika MITRE: Trvalost, Přístup k přihlašovacím údajům
Závažnost: Vysoká
Použití technik NetSPI k zachování trvalosti ve vašem prostředí Azure
(ARM_NetSPI.MaintainPersistence)
Popis: Použití techniky trvalosti NetSPI k vytvoření backdooru webhooku a zachování trvalosti ve vašem prostředí Azure. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
Použití sady nástrojů Pro zneužití PowerZure ke spuštění libovolného kódu nebo exfiltraci přihlašovacích údajů účtu Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Popis: Sada nástrojů PowerZure exploitation zjistila pokus o spuštění kódu nebo exfiltraci přihlašovacích údajů účtu Azure Automation. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
Použití funkce PowerZure k zachování trvalosti ve vašem prostředí Azure
(ARM_PowerZure.MaintainPersistence)
Popis: Sada nástrojů PowerZure exploitation zjistila vytvoření backdooru webhooku pro zachování trvalosti ve vašem prostředí Azure. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném.
Taktika MITRE: -
Závažnost: Vysoká
Zjistilo se podezřelé přiřazení klasické role (Preview)
(ARM_AnomalousClassicRoleAssignment)
Popis: Microsoft Defender for Resource Manager identifikoval podezřelé klasické přiřazení role ve vašem tenantovi, což může znamenat, že došlo k ohrožení účtu ve vaší organizaci. Zjištěné operace jsou navržené tak, aby poskytovaly zpětnou kompatibilitu s klasickými rolemi, které se už běžně nepoužívají. I když tato aktivita může být legitimní, aktér hrozeb může toto přiřazení využít k udělení oprávnění jinému uživatelskému účtu pod jejich kontrolou.
Taktika MITRE: Laterální pohyb, obranná úniky
Závažnost: Vysoká
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.