Incidenty – referenční příručka
Poznámka:
Pro incidenty, které jsou ve verzi Preview: Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Tento článek obsahuje seznam incidentů, které můžete získat z programu Microsoft Defender for Cloud, a všech plánů Microsoft Defenderu, které jste povolili. Incidenty zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Incident zabezpečení je korelace výstrah s scénářem útoku, který sdílí entitu. Například prostředek, IP adresa, uživatel nebo sdílení vzoru řetězu ukončení.
Můžete vybrat incident, abyste zobrazili všechna upozornění související s incidentem a získali další informace.
Zjistěte, jak spravovat incidenty zabezpečení.
Poznámka:
Stejná výstraha může existovat jako součást incidentu a být viditelná jako samostatná výstraha.
Incident zabezpečení
| Výstrahy | Popis | Závažnost |
|---|---|---|
| Incident zabezpečení zjistil podezřelou aktivitu virtuálních počítačů | Tento incident indikuje podezřelou aktivitu na vašich virtuálních počítačích. Na virtuálních počítačích se aktivovalo několik upozornění z různých plánů Defenderu pro cloud. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu zdrojové IP adresy | Tento incident označuje, že na stejné zdrojové IP adrese byla zjištěna podezřelá aktivita. Na stejné IP adrese se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita na stejné IP adrese může znamenat, že útočník získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjištěný u více prostředků | Tento incident označuje, že u vašich cloudových prostředků byla zjištěna podezřelá aktivita. Aktivovalo se několik upozornění z jiného plánu Defenderu pro cloud, což odhalilo podobné metody útoku u vašich cloudových prostředků. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu uživatele (Preview) | Tento incident indikuje podezřelé operace uživatelů ve vašem prostředí. Tento uživatel aktivoval několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivých aktivit ve vašem prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu instančního objektu (Preview) | Tento incident indikuje podezřelé operace instančního objektu ve vašem prostředí. Tento instanční objekt aktivoval několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivých aktivit ve vašem prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení prostředků ve vašem prostředí. To může znamenat, že instanční objekt je ohrožený a používá se se zlými úmysly. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu kryptografického dolování (Preview) | Scénář 1: Tento incident indikuje, že podezřelá aktivita kryptografického dolování byla zjištěna po podezřelé aktivitě uživatele nebo instančního objektu. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že herec hrozby získal neoprávněný přístup k vašemu prostředí, a úspěšná aktivita kryptografického dolování může naznačovat, že váš prostředek úspěšně narušil a používá ho k dolování, což může vést ke zvýšení nákladů pro vaši organizaci. Scénář 2: Tento incident označuje, že podezřelá aktivita kryptografického dolování byla zjištěna po útoku hrubou silou na stejný prostředek virtuálního počítače. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Útok hrubou silou na virtuální počítač může znamenat, že se aktér hrozby pokouší získat neoprávněný přístup k vašemu prostředí, a úspěšná aktivita kryptografického dolování může naznačovat, že váš prostředek úspěšně narušil a používal ho k dolování, což může vést ke zvýšení nákladů pro vaši organizaci. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu služby Key Vault (Preview) | Scénář 1: Tento incident označuje, že ve vašem prostředí byla zjištěna podezřelá aktivita související s využitím služby Key Vault. Tento uživatel nebo instanční objekt aktivoval několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita služby Key Vault může znamenat, že se aktér hrozeb pokouší získat přístup k citlivým datům, jako jsou klíče, tajné kódy a certifikáty, a že je ohrožen a používá se se zlými úmysly. Scénář 2: Tento incident označuje, že ve vašem prostředí byla zjištěna podezřelá aktivita související s používáním služby Key Vault. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita služby Key Vault může znamenat, že se aktér hrozeb pokouší získat přístup k citlivým datům, jako jsou klíče, tajné kódy a certifikáty, a že je ohrožen a používá se se zlými úmysly. Scénář 3: Tento incident označuje, že ve vašem prostředí byla zjištěna podezřelá aktivita související s využitím služby Key Vault. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita služby Key Vault může znamenat, že se aktér hrozeb pokouší získat přístup k citlivým datům, jako jsou klíče, tajné kódy a certifikáty, a že je ohrožen a používá se se zlými úmysly. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu SAS (Preview) | Tento incident označuje, že byla zjištěna podezřelá aktivita po potenciálním zneužití tokenu SAS. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Použití tokenu SAS může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu účtu úložiště a pokouší se získat přístup k citlivým datům nebo je exfiltrovat. | Vysoká |
| Incident zabezpečení zjistil neobvyklou geografickou aktivitu umístění (Preview) | Scénář 1: Tento incident označuje, že ve vašem prostředí byla zjištěna neobvyklá geografická aktivita. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita pocházející z neobvyklých umístění může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. Scénář 2: Tento incident označuje, že ve vašem prostředí byla zjištěna neobvyklá geografická aktivita. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita pocházející z neobvyklých umístění může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu PROTOKOLU IP (Preview) | Scénář 1: Tento incident označuje, že podezřelá aktivita byla zjištěna z podezřelé IP adresy. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita pocházející z podezřelé IP adresy může znamenat, že útočník získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. Scénář 2: Tento incident označuje, že podezřelá aktivita byla zjištěna z podezřelé IP adresy. Na stejném uživateli nebo instančním objektu se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita pocházející z podezřelé IP adresy může značit, že útočník získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu útoku bez souborů (Preview) | Tento incident značí, že na virtuálním počítači byla zjištěna sada nástrojů pro útoky bez souborů po potenciálním pokusu o zneužití stejného prostředku. Na stejném virtuálním počítači se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Přítomnost sady nástrojů pro útoky bez souborů na virtuálním počítači může znamenat, že aktér hrozeb získal neoprávněný přístup k vašemu prostředí a snaží se vyhnout detekci při provádění dalších škodlivých aktivit. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu DDOS (Preview) | Tento incident označuje, že ve vašem prostředí byla zjištěna podezřelá aktivita DDOS (Distributed Denial of Service). Útoky DDOS jsou navržené tak, aby zahltily vaši síť nebo aplikaci velkým objemem provozu, což způsobuje nedostupnost oprávněným uživatelům. Na stejné IP adrese se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu exfiltrace dat (Preview) | Scénář 1: Tento incident indikuje, že podezřelá aktivita exfiltrace dat byla zjištěna po podezřelé aktivitě uživatele nebo instančního objektu. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že aktér hrozby získal neoprávněný přístup k vašemu prostředí a úspěšná aktivita exfiltrace dat může naznačovat, že se pokouší ukrást citlivé informace. Scénář 2: Tento incident označuje, že podezřelá aktivita exfiltrace dat byla zjištěna po podezřelé aktivitě uživatele nebo instančního objektu. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že aktér hrozby získal neoprávněný přístup k vašemu prostředí a úspěšná aktivita exfiltrace dat může naznačovat, že se pokouší ukrást citlivé informace. Scénář 3: Tento incident indikuje, že podezřelá aktivita exfiltrace dat byla zjištěna po neobvyklém resetování hesla na virtuálním počítači. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že aktér hrozby získal neoprávněný přístup k vašemu prostředí a úspěšná aktivita exfiltrace dat může naznačovat, že se pokouší ukrást citlivé informace. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu rozhraní API (Preview) | Tento incident označuje, že byla zjištěna podezřelá aktivita rozhraní API. Na stejném prostředku se aktivovalo více upozornění z Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelé použití rozhraní API může znamenat, že se objekt actor hrozby pokouší získat přístup k citlivým informacím nebo provést neoprávněné akce. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu clusteru Kubernetes (Preview) | Tento incident označuje, že se v clusteru Kubernetes zjistila podezřelá aktivita uživatele. Ve stejném clusteru se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita v clusteru Kubernetes může značit, že aktér hrozeb získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu úložiště (Preview) | Scénář 1: Tento incident označuje, že podezřelá aktivita úložiště byla zjištěna po podezřelé aktivitě uživatele nebo instančního objektu. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že aktér hrozeb získal neoprávněný přístup k vašemu prostředí a úspěšná podezřelá aktivita úložiště může naznačovat, že se pokouší získat přístup k potenciálně citlivým datům. Scénář 2: Tento incident označuje, že podezřelá aktivita úložiště byla zjištěna po podezřelé aktivitě uživatele nebo instančního objektu. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita účtu může znamenat, že aktér hrozeb získal neoprávněný přístup k vašemu prostředí a úspěšná podezřelá aktivita úložiště může naznačovat, že se pokouší získat přístup k potenciálně citlivým datům. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu sady Azure Toolkit (Preview) | Tento incident označuje, že se po potenciálním využití sady nástrojů Azure zjistila podezřelá aktivita. Na stejném uživateli nebo instančním objektu se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Použití sady Azure Toolkit může znamenat, že útočník získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu DNS (Preview) | Scénář 1: Tento incident označuje, že byla zjištěna podezřelá aktivita DNS. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita DNS může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. Scénář 2: Tento incident označuje, že byla zjištěna podezřelá aktivita DNS. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita DNS může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. |
Střední |
| Incident zabezpečení zjistil podezřelou aktivitu SQL (Preview) | Scénář 1: Tento incident označuje, že byla zjištěna podezřelá aktivita SQL. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita SQL může znamenat, že objekt actor hrozeb cílí na váš SQL server a pokouší se ho ohrozit. Scénář 2: Tento incident indikuje, že byla zjištěna podezřelá aktivita SQL. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita SQL může znamenat, že objekt actor hrozeb cílí na váš SQL server a pokouší se ho ohrozit. |
Vysoká |
| Incident zabezpečení zjistil podezřelou aktivitu služby App Service (Preview) | Scénář 1: Tento incident indikuje, že v prostředí služby App Service byla zjištěna podezřelá aktivita. Na stejném prostředku se aktivovalo více upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita služby App Service může znamenat, že objekt actor hrozeb cílí na vaši aplikaci a může se ho pokoušet ohrozit. Scénář 2: Tento incident indikuje, že ve vašem prostředí služby App Service byla zjištěna podezřelá aktivita. Z jedné IP adresy se aktivovalo několik upozornění z různých plánů Defenderu pro cloud, což zvyšuje věrnost škodlivé aktivity ve vašem prostředí. Podezřelá aktivita služby App Service může znamenat, že objekt actor hrozeb cílí na vaši aplikaci a může se ho pokoušet ohrozit. |
Vysoká |
| Zjištěný ohrožený počítač s incidentem zabezpečení | Tento incident označuje podezřelou aktivitu na jednom nebo několika virtuálních počítačích. V rámci stejného prostředku se aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí, a to podle architektury MITRE ATT&CK. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a úspěšně tento počítač narušil. | Střední/vysoká |
| Incident zabezpečení zjistil ohrožený počítač s komunikací botnetu | Tento incident indikuje podezřelou aktivitu botnetu na vašem virtuálním počítači. V rámci stejného prostředku se aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí, a to podle architektury MITRE ATT&CK. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjistil ohrožené počítače s komunikací botnetu | Tento incident indikuje podezřelou aktivitu botnetu na vašich virtuálních počítačích. V rámci stejného prostředku se aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí, a to podle architektury MITRE ATT&CK. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjistil ohrožený počítač se zlými odchozími aktivitami | Tento incident indikuje podezřelou odchozí aktivitu na vašem virtuálním počítači. V rámci stejného prostředku se aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí, a to podle architektury MITRE ATT&CK. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjistil ohrožené počítače | Tento incident označuje podezřelou aktivitu na jednom nebo několika virtuálních počítačích. V rámci stejných prostředků se v rámci architektury MITRE ATT&CK aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a úspěšně tyto počítače ohrožoval. | Střední/vysoká |
| Incident zabezpečení zjistil ohrožené počítače se škodlivou odchozí aktivitou | Tento incident označuje podezřelou odchozí aktivitu z vašich virtuálních počítačů. V rámci stejných prostředků se v rámci architektury MITRE ATT&CK aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení zjištěný na více počítačích | Tento incident označuje podezřelou aktivitu na jednom nebo několika virtuálních počítačích. V rámci stejného prostředku se aktivovalo několik upozornění z různých plánů Defenderu pro cloud v chronologickém pořadí, a to podle architektury MITRE ATT&CK. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. | Střední/vysoká |
| Incident zabezpečení se zjištěným sdíleným procesem | Scénář 1: Tento incident indikuje podezřelou aktivitu na vašem virtuálním počítači. Při sdílení stejného procesu se aktivovalo několik upozornění z různých plánů Defenderu pro cloud. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. Scénář 2: Tento incident indikuje podezřelou aktivitu na vašich virtuálních počítačích. Při sdílení stejného procesu se aktivovalo několik upozornění z různých plánů Defenderu pro cloud. To může znamenat, že objekt actor hrozby získal neoprávněný přístup k vašemu prostředí a pokouší se ho ohrozit. |
Střední/vysoká |
Další kroky
Správa incidentů zabezpečení v Microsoft Defenderu for Cloud