Sicherheitswarnungen (Referenzhandbuch)

Artikel
03/17/2024

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise von Microsoft Defender für Cloud erhalten, und alle microsoft Defender-Pläne, die Sie aktiviert haben. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Unten auf dieser Seite befindet sich eine Tabelle, in der die Microsoft Defender für Cloud-Killchain beschrieben wird, die mit Version 9 der MITRE ATT&CK-Matrix übereinstimmt.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Hinweis

Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.

Warnungen für Windows-Computer

Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Windows-Computer bereitgestellten Warnungen sind:

Weitere Details und Hinweise

Es wurde eine Anmeldung von einer schädlichen IP erkannt. [mehrfach gesehen]

Beschreibung: Eine erfolgreiche Remoteauthentifizierung für das Konto [Konto] und der Prozess [Prozess] ist aufgetreten, die Anmelde-IP-Adresse (x.x.x.x.x)) wurde jedoch zuvor als böswillig oder höchst ungewöhnlich gemeldet. Wahrscheinlich ist ein erfolgreicher Angriff erfolgt. Dateien mit der Erweiterung SCR sind Bildschirmschonerdateien und werden normalerweise im Windows-Systemverzeichnis gespeichert und ausgeführt.

MITRE-Taktiken: -

Schweregrad: hoch

Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.

VM_AdaptiveApplicationControlWindowsViolationAudited

(VM_AmMalwareCampaignRelatedExclusion)

Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert

(VM_AmTemporarilyDisablement)

Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.

MITRE-Taktiken: -

Schweregrad: Mittel

Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

(VM_UnusualAmFileExclusion)

Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass die Ausführung des Befehls "net.exe beenden" verwendet wird, um kritische Dienste wie SharedAccess oder die Windows-Sicherheit-App zu beenden. Das Beenden von einem dieser beiden Dienste kann ein Hinweis auf ein schädliches Verhalten sein.

MITRE-Taktiken: -

Schweregrad: Mittel

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.

MITRE-Taktiken: -

Schweregrad: hoch

Dynamische PS-Skripterstellung

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein PowerShell-Skript dynamisch erstellt wird. Angreifer nutzen diesen Ansatz mitunter, indem sie schrittweise ein Skript aufbauen, um IDS-Systeme zu umgehen. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.

MITRE-Taktiken: -

Schweregrad: Mittel

Ausführbare Datei gefunden, die von einem verdächtigen Ort ausgeführt wird

Beschreibung: Die Analyse von Hostdaten hat eine ausführbare Datei auf %{Kompromittierten Host} erkannt, die von einem Speicherort aus ausgeführt wird, der mit bekannten verdächtigen Dateien gemeinsam ist. Diese ausführbare Datei könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: hoch

Verhaltensweise eines dateilosen Angriffs erkannt

(VM_FilelessAttackBehavior.Windows)

Beschreibung: Der Speicher des angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten:

Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Niedrig

Fileless attack technique detected (Dateilose Angriffstechnik erkannt)

(VM_FilelessAttackTechnique.Windows)

Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten:

Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
Ausführbares Bild, das in den Prozess eingefügt wurde, z. B. in einem Codeeinfügungsangriff.
Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
Prozesshöhlung, die eine Technik ist, die von Schadsoftware verwendet wird, in der ein legitimer Prozess auf das System geladen wird, um als Container für feindlichen Code zu fungieren.
Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Toolkit für dateilosen Angriff erkannt

(VM_FilelessAttackToolkit.Windows)

Beschreibung: Der speicher des angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: [Toolkitname]. Bei Toolkits für dateilose Angriffe werden Verfahren verwendet, mit denen Spuren von Schadsoftware auf dem Datenträger verringert oder beseitigt werden und die Wahrscheinlichkeit für eine Erkennung durch datenträgerbasierte Schadsoftware-Scanlösungen stark reduziert wird. Beispiele für spezifisches Verhalten:

Bekannte Toolkits und Krypto-Mining-Software.
Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
Injizierte schädliche ausführbare Datei im Prozessspeicher.

Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, wenn eine seltene Dienstgruppe ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: Informational

Auf der Einrastfunktion basierender Angriff erkannt

Beschreibung: Analyse von Hostdaten weist darauf hin, dass ein Angreifer möglicherweise eine Binärdatei für die Barrierefreiheit (z. B. Sticky-Tasten, Bildschirmtastatur, Sprachausgabe) subvertiert, um den Backdoor-Zugriff auf den Host "%{Kompromittierter Host}" bereitzustellen.

MITRE-Taktiken: -

Schweregrad: Mittel

Erfolgreicher Brute-Force-Angriff

(VM_LoginBruteForceSuccess)

Beschreibung: Mehrere Anmeldeversuche wurden aus derselben Quelle erkannt. Einige wurden vom Host erfolgreich authentifiziert. Dies ähnelt einem Burst-Angriff, bei dem ein Angreifer zahlreiche, Authentifizierungsversuche durchführt, um gültige Anmeldeinformationen für Konten zu finden.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel/Hoch

Verdächtige Integritätsebene, die auf ein RDP-Hijacking hindeutet

Beschreibung: Die Analyse von Hostdaten hat die tscon.exe erkannt, die mit SYSTEM-Berechtigungen ausgeführt wird . Dies kann ein Hinweis darauf sein, dass ein Angreifer diese Binärdatei missbraucht, um den Kontext zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln. Es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral in einem Netzwerk zu wechseln.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Dienstinstallation

Beschreibung: Die Analyse von Hostdaten hat die Installation von tscon.exe als Dienst erkannt: Diese Binärdatei, die als Dienst gestartet wird, ermöglicht es einem Angreifer, trivial zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln, indem ER RDP-Verbindungen entjackt; es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral über ein Netzwerk zu wechseln.

MITRE-Taktiken: -

Schweregrad: Mittel

Verdächtige Parameter für Kerberos Golden Ticket-Angriff beobachtet

Beschreibung: Analyse von Hostdaten ermittelte Befehlszeilenparameter, die mit einem Kerberos Golden Ticket-Angriff konsistent sind.

MITRE-Taktiken: -

Schweregrad: Mittel

Beschreibung: Gibt an, dass ein Codesegment mithilfe nicht standardmäßiger Methoden zugewiesen wurde, z. B. reflektierende Einfügung und Prozesshöhlung. Diese Warnung enthält weitere Merkmale des Codesegments, die verarbeitet wurden, um einen Kontext im Hinblick auf die Funktionen und das Verhalten des gemeldeten Codesegments bereitzustellen.

MITRE-Taktiken: -

Schweregrad: Mittel

Datei mit verdächtiger doppelter Dateinamenerweiterung ausgeführt

Beschreibung: Die Analyse von Hostdaten weist auf eine Ausführung eines Prozesses mit einer verdächtigen Doppelerweiterung hin. Diese Erweiterung kann Benutzer dazu bringen, Dateien zu denken, sicher zu öffnen und könnte auf das Vorhandensein von Schadsoftware auf dem System hinweisen.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Download mit Certutil erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle des Standard stream-Zwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger Prozessname erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

(VM_SystemProcessInAbnormalContext)

Beschreibung: Der Systemprozess "%{Prozessname}" wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt diesen Prozessnamen häufig, um ihre schädliche Aktivität zu tarnen.

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Verdächtige Volumeschattenkopie-Aktivität

Beschreibung: Die Analyse von Hostdaten hat eine Aktivität zum Löschen von Schattenkopien für die Ressource erkannt. Volumeschattenkopie (Volume Shadow Copy, VSC) ist ein wichtiges Artefakt, das Datenmomentaufnahmen speichert. Einige Schadsoftware und insbesondere Ransomware ist auf VSC ausgerichtet, um Sicherungsstrategien zu sabotieren.

MITRE-Taktiken: -

Schweregrad: hoch

Verdächtiger WindowPosition-Registrierungswert erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine versuchte WindowPosition-Registrierungskonfigurationsänderung erkannt, die sich auf das Ausblenden von Anwendungsfenstern in nichtvisiblen Abschnitten des Desktops auswirken könnte. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Computer sein: Diese Art von Aktivität wurde zuvor mit bekannter Adware (oder unerwünschter Software) wie Win32/OneSystemCare und Win32/SystemHealer und Schadsoftware wie Win32/Creprote assoziiert. Wenn der WindowPosition-Wert auf 201329664 (Hexadezimal: 0x0c00 0c00, entsprechend der X-Achse=0c00 und der Y-Achse=0c00) festgelegt ist, wird das Fenster der Konsolenanwendung in einem nicht sichtbaren Abschnitt des Bildschirms des Benutzers in einem Bereich platziert, der unterhalb des sichtbaren Startmenüs bzw. unter der Taskleiste ausgeblendet ist. Bekannte verdächtige Hex-Werte enthalten, aber nicht beschränkt auf c000c0000.

MITRE-Taktiken: -

Schweregrad: Niedrig

Verdächtig benannter Prozess erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name sehr ähnlich ist, aber sich von einem sehr häufig ausgeführten Prozess unterscheidet (%{Ähnlicher Prozessname}). Obwohl dieser Prozess harmlos sein könnte, ist bekannt, dass sich die Angreifer manchmal vor aller Augen verstecken, indem sie ihre schädlichen Tools so benennen, dass sie dem Namen eines legitimen Prozesses ähneln.

MITRE-Taktiken: -

Schweregrad: Mittel

Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM

(VM_VMAccessUnusualConfigReset)

Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliche Prozessausführung erkannt

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses von %{Benutzername} festgestellt, der ungewöhnlich war. Konten wie %{Benutzername} neigen dazu, einen begrenzten Satz von Vorgängen auszuführen, diese Ausführung wurde als veraltet festgelegt und kann verdächtig sein.

MITRE-Taktiken: -

Schweregrad: hoch

Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM

(VM_VMAccessUnusualPasswordReset)

Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM

(VM_VMAccessUnusualSSHReset)

Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

VBScript-HTTP-Objektzuordnung erkannt

Beschreibung: Das Erstellen einer VBScript-Datei mit der Eingabeaufforderung wurde erkannt. Das folgende Skript enthält den Befehl für die Zuordnung von HTTP-Objekten. Diese Aktion kann zum Herunterladen schädlicher Dateien verwendet werden.

Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)

(VM_GPUDriverExtensionUnusualExecution)

Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.

MITRE-Taktiken: Auswirkung

(VM_AmTempRealtimeProtectionDisablement)

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM

(VM_AmRealtimeProtectionDisablementAndCodeExec)

MITRE-Taktiken: -

Schweregrad: hoch

MITRE-Taktiken: -

Schweregrad: Niedrig

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.

MITRE-Taktiken: -

Schweregrad: hoch

Deaktivierung der auditd-Protokollierung [mehrfach aufgetreten]

Beschreibung: Das Linux Audit System bietet eine Möglichkeit, sicherheitsrelevante Informationen auf dem System nachzuverfolgen. Es zeichnet so viele Informationen wie möglich über die in Ihrem System auftretenden Ereignisse auf. Die Deaktivierung der auditd-Protokollierung könnte die Ermittlung von Verstößen gegen die auf dem System verwendeten Sicherheitsrichtlinien erschweren. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Niedrig

Ausnutzung des Xorg-Sicherheitsrisikos [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat den Benutzer von Xorg mit verdächtigen Argumenten erkannt. Angreifer verwenden diese Technik möglicherweise bei Berechtigungseskalationsversuchen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

Erfolgloser SSH-Brute-Force-Angriff

(VM_SshBruteForceFailed)

Beschreibung: Fehlgeschlagene Brute-Force-Angriffe wurden von den folgenden Angreifern erkannt: %{Angreifer}. Die Angreifer haben versucht, auf den Host mit den folgenden Benutzernamen zuzugreifen: %{Accounts used on failed sign in to host attempts}.

MITRE-Taktiken: Probing

Schweregrad: Mittel

Verhaltensweise eines dateilosen Angriffs erkannt

(VM_FilelessAttackBehavior.Linux)

Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}

MITRE-Taktiken: Ausführung

Schweregrad: Niedrig

Dateilose Angriffstechnik erkannt

(VM_FilelessAttackTechnique.Linux)

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Toolkit für dateilosen Angriff erkannt

(VM_FilelessAttackToolkit.Linux)

Beschreibung: Der speicher des unten angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: {ToolKitName}. Toolkits für dateilose Angriffe sind in der Regel nicht im Dateisystem vorhanden und somit für herkömmliche Antivirensoftware nur schwer zu erkennen. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Verborgene Dateiausführung erkannt

Beschreibung: Die Analyse von Hostdaten gibt an, dass eine ausgeblendete Datei von %{Benutzername} ausgeführt wurde. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.

MITRE-Taktiken: -

Schweregrad: Informational

Neuer SSH-Schlüssel hinzugefügt [mehrfach aufgetreten]

(VM_SshKeyAddition)

Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: Persistenz

Schweregrad: Niedrig

Neuer SSH-Schlüssel hinzugefügt

Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt.

MITRE-Taktiken: -

Schweregrad: Niedrig

Mögliche Hintertür erkannt [mehrfach aufgetreten]

Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine verdächtige Datei heruntergeladen wird, und führen Sie dann in Ihrem Abonnement auf %{Kompromittierte Host} aus. Diese Aktivität war in der Vergangenheit mit der Installation einer Hintertür verbunden. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]

MITRE-Taktiken: -

Schweregrad: Mittel

Mögliche Ausnutzung des erkannten Mailservers

(VM_MailserverExploitation)

Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine ungewöhnliche Ausführung unter dem E-Mail-Serverkonto erkannt.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

Mögliche schädliche Webshell erkannt

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine anomaliele Protokollverwendung festgestellt. Ein solcher Datenverkehr könnte zwar möglicherweise gutartig sein, aber auf einen Missbrauch dieses gemeinsamen Protokolls hinweisen, um die Netzwerkdatenverkehrsfilterung zu umgehen. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.

MITRE-Taktiken: Exfiltration

Schweregrad: -

Anonyme Netzwerkaktivität

(AzureDNS_DarkWeb)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anonymitätsnetzwerkaktivität erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, diese Vorgehensweise wird jedoch auch häufig von Angreifern genutzt, um die Nachverfolgung und Fingerabdrücke in der Netzwerkkommunikation zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Anonyme Netzwerkaktivität unter Verwendung eines Webproxys

(AzureDNS_DarkWebProxy)

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Versuchte Kommunikation mit einer verdächtigen Sinkhole-Domäne

(AzureDNS_SinkholedDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anforderung für sinkholed do erkannt Standard. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

Kommunikation mit einer möglichen Phishingdomäne

(AzureDNS_PhishingDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine Anforderung für eine mögliche Phishing-Aktion erkannt Standard. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um Anmeldeinformationen für Remotedienste auszulesen. Zu den typischen Aktivitäten von Angreifern zählt in diesem Fall die Ausnutzung von Anmeldeinformationen für den legitimen Dienst.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Kommunikation mit einer verdächtigen algorithmisch generierten Domäne

(AzureDNS_DomainGenerationAlgorithm)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die mögliche Verwendung eines Do Standard Generierungsalgorithmus erkannt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence

(AzureDNS_ThreatIntelSuspectDomain)

MITRE-Taktiken: Erstzugriff

Schweregrad: Mittel

Kommunikation mit einem verdächtigen zufälligen Domänennamen

(AzureDNS_RandomizedDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Verwendung eines verdächtigen zufällig generierten Do Standard Namens festgestellt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Informational

Digital Currency Mining-Aktivität

(AzureDNS_CurrencyMining)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Miningaktivität digitaler Währungen festgestellt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Erkennung eines Netzwerkangriffs mittels Signaturaktivierung

(AzureDNS_SuspiciousDomain)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine bekannte bösartige Netzwerksignatur erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

Möglicher Datendownload über einen DNS-Tunnel

(AzureDNS_DataInfiltration)

Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Mögliche Datenexfiltration über einen DNS-Tunnel

(AzureDNS_DataExfiltration)

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Mögliche Datenübertragung über einen DNS-Tunnel

(AzureDNS_DataObfuscation)

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Warnungen für Azure-VM-Erweiterungen

Diese Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Erweiterungen für virtuelle Azure-Computer und bietet Einblicke in die Versuche von Angreifern, böswillige Aktivitäten auf Ihren virtuellen Computern zu kompromittieren und auszuführen.

Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:

Datensammlung und -überwachung
Codeausführung und Konfigurationsbereitstellung mit erhöhten Berechtigungen
Zurücksetzen von Anmeldeinformationen und Erstellen von Administratorbenutzerkonten
Verschlüsseln von Datenträgern

Erfahren Sie mehr über Defender for Cloud– neuesten Schutz vor dem Missbrauch von Azure VM-Erweiterungen.

Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau)

(VM_GPUExtensionSuspiciousFailure)

Beschreibung: Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

(VM_CustomScriptExtensionSuspiciousPayload)

Beschreibung: Benutzerdefinierte Skripterweiterung mit einer Nutzlast aus einem verdächtigen GitHub-Repository wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.

(AzureDNS_ThreatIntelSuspectDomain)

MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung

Schweregrad: Mittel

Connection to web page from anomalous IP address detected (Verbindung mit einer Webseite über eine anomale IP-Adresse erkannt)

(AppServices_AnomalousPageAccess)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine anomalieale Verbindung mit einer vertraulichen Webseite aus der aufgelisteten Quell-IP-Adresse an. Dies deutet möglicherweise auf einen Brute-Force-Angriff auf Ihre Web-App-Verwaltungsseiten hin. Es ist aber auch denkbar, dass ein berechtigter Benutzer lediglich eine neue IP-Adresse verwendet. Wenn die Quell-IP-Adresse vertrauenswürdig ist, können Sie diese Warnung für diese Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Erstzugriff

Schweregrad: Niedrig

Verwaister DNS-Eintrag für eine App Service-Ressource erkannt

(AppServices_DanglingDomain)

MITRE-Taktiken: -

Schweregrad: hoch

Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten

NMap-Überprüfung erkannt

(AppServices_Nmap)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Webfingerabdrücke-Aktivität für Ihre App Service-Ressource an. Die erkannte verdächtige Aktivität steht mit NMAP im Zusammenhang. Angreifer verwenden dieses Tool häufig, um die Webanwendung auf Schwachstellen zu testen. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: PreAttack

Schweregrad: Informational

In Azure-Web-Apps gehostete Phishinginhalte

(AppServices_PhishingContent)

Beschreibung: URL, die für Phishingangriffe auf der website Azure-App Services verwendet wird. Diese URL war Teil eines Phishingangriffs, der an Microsoft 365-Kunden gesendet wurde. Der Inhalt spioniert typischerweise Unternehmensanmeldeinformationen oder Finanzdaten aus, die von Besuchern in eine legitime aussehende Website eingegeben werden. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Sammlung

Schweregrad: hoch

PHP file in upload folder (PHP-Datei im Uploadordner)

(AppServices_PhpInUploadFolder)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt einen Zugriff auf eine verdächtige PHP-Seite im Uploadordner an. Diese Art von Ordner enthält normalerweise keine PHP-Dateien. Ist ein solcher Dateityp vorhanden, kann dies auf die Ausnutzung von Sicherheitslücken beim Dateiupload hindeuten. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Möglicher Cryptocoinminer-Download erkannt

(AppServices_CryptoCoinMinerDownload)

Beschreibung: Die Analyse von Hostdaten hat den Download einer Datei erkannt, die normalerweise mit dem Digitalen Währungsmining verknüpft ist. (Gilt für: App Service für Linux)

MITRE-Taktiken: Verteidigungshinterziehung, Befehl und Kontrolle, Ausbeutung

Schweregrad: Mittel

Mögliche Datenexfiltration erkannt

(AppServices_DataEgressArtifacts)

Beschreibung: Die Analyse von Host-/Gerätedaten hat eine mögliche Datenausgangsbedingung erkannt. Angreifer greifen häufig Daten von Computern ab, die sie kompromittiert haben. (Gilt für: App Service für Linux)

MITRE-Taktiken: Sammlung, Exfiltration

Schweregrad: Mittel

Potenziell verwaister DNS-Eintrag für eine App Service-Ressource erkannt

(AppServices_PotentialDanglingDomain)

Beschreibung: Ein DNS-Eintrag, der auf eine kürzlich gelöschte App Service-Ressource verweist (auch bekannt als "dangling DNS"-Eintrag), wurde erkannt. Dadurch besteht ggf. die Gefahr einer Unterdomänenübernahme. Durch die Übernahme von Unterdomänen können böswillige Akteure Datenverkehr, der für die Domäne eines Unternehmens bestimmt ist, an eine Website für schädliche Aktivitäten umleiten. In diesem Fall wurde ein Textdatensatz mit der Domänenverifizierungs-ID gefunden. Solche Textdatensätze verhindern zwar die Unterdomänenübernahme, wir empfehlen aber dennoch, die verwaiste Domäne zu entfernen. Wenn Sie den auf die Unterdomäne verweisenden DNS-Eintrag beibehalten und jemand in Ihrer Organisation die TXT-Datei oder den Eintrag löscht, besteht ein Risiko. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: -

Schweregrad: Niedrig

Mögliche Reverse Shell erkannt

(AppServices_ReverseShell)

Beschreibung: Die Analyse von Hostdaten hat eine potenzielle Reverseshell erkannt. Diese werden verwendet, um einen kompromittierten Computer dazu zu bringen, einen Computer zurückzurufen, der im Besitz eines Angreifers ist. (Gilt für: App Service für Linux)

MITRE-Taktiken: Exfiltration, Ausbeutung

Schweregrad: Mittel

Download von Rohdaten erkannt

(AppServices_DownloadCodeFromWebsite)

Beschreibung: Analyse von App Service-Prozessen hat einen Versuch erkannt, Code von Rohdatenwebsites wie Pastebin herunterzuladen. Diese Aktion wurde von einem PHP-Prozess ausgeführt. Dieses Verhalten wird mit Versuchen assoziiert, Webshells oder andere schädliche Komponenten in App Service herunterzuladen. (Gilt für: App Service für Windows)

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Speichern der CURL-Ausgabe auf Datenträger erkannt

(AppServices_CurlToDisk)

Beschreibung: Die Analyse von App Service-Prozessen hat die Ausführung eines curl-Befehls erkannt, in dem die Ausgabe auf dem Datenträger gespeichert wurde. Dieses Verhalten kann zwar legitim sein, in Webanwendungen ist es jedoch auch im Zusammenhang mit schädlichen Aktivitäten zu beobachten – etwa bei Versuchen, Websites mit Webshells zu infizieren. (Gilt für: App Service für Windows)

MITRE-Taktiken: -

Schweregrad: Niedrig

Referrer für Spam-Ordner erkannt

(AppServices_SpamReferrer)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt Webaktivitäten an, die als Ursprung einer Website identifiziert wurden, die mit Spamaktivitäten verknüpft ist. Dies kann auftreten, wenn Ihre Website kompromittiert und für Spam-Aktivitäten genutzt wurde. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: -

Schweregrad: Niedrig

Suspicious access to possibly vulnerable web page detected (Verdächtigen Zugriff auf möglicherweise anfällige Webseite erkannt)

(AppServices_ScanSensitivePage)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass auf eine Webseite zugegriffen wurde, auf die zugegriffen werden muss. Diese verdächtige Aktivität geht von einer Quell-IP-Adresse aus, deren Zugriffsmuster dem Zugriffsmuster eines Webscanners ähnelt. Diese Aktivität wird oft mit dem Versuch eines Angreifers in Verbindung gebracht, Ihr Netzwerk zu scannen, um Zugang zu sensiblen oder anfälligen Webseiten zu erhalten. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: -

Schweregrad: Niedrig

Verdächtiger Domänennamenverweis

(AppServices_CommandlineSuspectDomain)

Beschreibung: Analyse der erkannten Hostdaten referenziert auf verdächtige Do Standard Name. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools. (Gilt für: App Service für Linux)

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Verdächtiger Download mit Certutil erkannt

(AppServices_DownloadUsingCertutil)

Beschreibung: Die Analyse von Hostdaten auf {NAME} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle des Standard stream-Zwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. (Gilt für: App Service für Windows)

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Suspicious PHP execution detected (Verdächtige PHP-Ausführung erkannt)

(AppServices_SuspectPhp)

Beschreibung: Computerprotokolle deuten darauf hin, dass ein verdächtiger PHP-Prozess ausgeführt wird. Bei der Aktion wurde versucht, mithilfe des PHP-Prozesses Betriebssystembefehle oder PHP-Code über die Befehlszeile auszuführen. Dieses Verhalten kann zwar legitim sein, in Webanwendungen kann es jedoch auch auf schädliche Aktivitäten hindeuten – etwa bei Versuchen, Websites mit Webshells zu infizieren. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Verdächtige PowerShell-Cmdlets ausgeführt

(AppServices_PowerShellPowerSploitScriptExecution)

Beschreibung: Analyse von Hostdaten gibt die Ausführung bekannter bösartiger PowerShell PowerSploit-Cmdlets an. (Gilt für: App Service für Windows)

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Verdächtiger Prozess ausgeführt

(AppServices_KnownCredential AccessTools)

Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Prozesspfad}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen. (Gilt für: App Service für Windows)

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: hoch

Verdächtiger Prozessname erkannt

(AppServices_ProcessWithKnownSuspiciousExtension)

Beschreibung: Die Analyse von Hostdaten in {NAME} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. ein bekanntes Angreifertool oder einen Namen in einer Weise, die vorschlagend für Angreifertools ist, die versuchen, sich nur in sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. (Gilt für: App Service für Windows)

MITRE-Taktiken: Persistenz, Verteidigungshinterziehung

Schweregrad: Mittel

Verdächtiger SVCHOST-Prozess ausgeführt

(AppServices_SVCHostFromInvalidPath)

Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware verwendet SVCHOST häufig, um seine schädliche Aktivität zu maskieren. (Gilt für: App Service für Windows)

MITRE-Taktik: Verteidigungshinterziehung, Ausführung

Schweregrad: hoch

Verdächtiger Benutzer-Agent erkannt

(AppServices_UserAgentInjection)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt Anforderungen mit verdächtigem Benutzer-Agent an. Dieses Verhalten kann auf Versuche hinweisen, ein Sicherheitsrisiko in Ihrer App Service-Anwendung auszunutzen. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Erstzugriff

Schweregrad: Informational

Suspicious WordPress theme invocation detected (Verdächtigen Aufruf eines WordPress-Designs erkannt)

(AppServices_WpThemeInjection)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Codeeinfügungsaktivität für Ihre App Service-Ressource an. Die erkannte verdächtige Aktivität ähnelt der einer Veränderung eines WordPress-Designs, sodass die serverseitige Ausführung von Code möglich wird – gefolgt von einer direkten Webanforderung zum Aufrufen der veränderten Designdatei. Diese Art von Aktivität wurde in der Vergangenheit bei Angriffen über WordPress beobachtet. Wenn Ihre App Service-Ressource keine WordPress-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Überprüfung auf Sicherheitsrisiken erkannt

(AppServices_DrupalScanner)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf ein Content-Management-System (CMS) ausgerichtet sind. Wenn Ihre App Service-Ressource keine Drupal-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows)

MITRE-Taktiken: PreAttack

Schweregrad: Niedrig

Überprüfung auf Sicherheitsrisiken erkannt

(AppServices_JoomlaScanner)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf Joomla-Anwendungen ausgerichtet sind. Wenn Ihre App Service-Ressource keine Joomla-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: PreAttack

Schweregrad: Niedrig

Überprüfung auf Sicherheitsrisiken erkannt

(AppServices_WpScanner)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf WordPress-Anwendungen ausgerichtet sind. Wenn Ihre App Service-Ressource keine WordPress-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: PreAttack

Schweregrad: Niedrig

Web fingerprinting detected (Erstellung eines digitalen Webfingerabdrucks erkannt)

(AppServices_WebFingerprinting)

Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Webfingerabdrücke-Aktivität für Ihre App Service-Ressource an. Die verdächtige Aktivität hängt mit einem Tool namens Blind Elephant zusammen. Das Tool erstellt einen digitalen Fingerabdruck von Webservern und versucht, die installierten Anwendungen und die Version zu ermitteln. Angreifer verwenden dieses Tool häufig, um die Webanwendung auf Schwachstellen zu testen. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: PreAttack

Schweregrad: Mittel

Website im Threat Intelligence-Feed als bösartig markiert

(AppServices_SmartScreen)

Beschreibung: Ihre Website wie unten beschrieben wird von Windows SmartScreen als böswillige Website gekennzeichnet. Wenn Sie der Meinung sind, dass es sich um ein falsch positives Ergebnis handelt, wenden Sie sich an Windows SmartScreen über den angegebenen Link zum Senden von Feedback. (Gilt für: App Service für Windows und App Service für Linux)

MITRE-Taktiken: Sammlung

Schweregrad: Mittel

Warnungen für Container: Kubernetes-Cluster

¹: Vorschau für Nicht-AKS-Cluster: Diese Warnung ist allgemein für AKS-Cluster verfügbar, sie befindet sich jedoch in der Vorschau für andere Umgebungen, z. B. Azure Arc, EKS und GKE.

²: Einschränkungen für GKE-Cluster: GKE verwendet eine Kubernetes-Überwachungsrichtlinie, die nicht alle Warnungstypen unterstützt. Deshalb wird diese Sicherheitswarnung, die auf Kubernetes-Überwachungsereignissen basiert, bei GKE-Clustern nicht unterstützt.

³: Diese Warnung wird in Windows-Knoten/-Containern unterstützt.

Warnungen für SQL-Datenbank und Azure Synapse Analytics

Weitere Details und Hinweise

Mögliche Anfälligkeit für die Einschleusung von SQL-Befehlen

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Beschreibung: Eine Anwendung hat eine fehlerhafte SQL-Anweisung in der Datenbank generiert. Dies kann ein Hinweis auf ein mögliches Sicherheitsrisiko in Bezug auf Angriffe mit Einschleusung von SQL-Befehlen sein. Es gibt zwei mögliche Gründe für eine fehlerhafte Anweisung. Ein Fehler im Anwendungscode, der zu der fehlerhaften SQL-Anweisung geführt hat. Oder: Anwendungscode oder gespeicherte Prozeduren, die bei der Erstellung der fehlerhaften SQL-Anweisung keine Bereinigung der Benutzereingabe durchgeführt haben, was zur Einschleusung von SQL-Befehlen ausgenutzt werden kann.

MITRE-Taktiken: PreAttack

Schweregrad: Mittel

Versuchte Anmeldung über eine potenziell schädliche Anwendung

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.

MITRE-Taktiken: PreAttack

Schweregrad: hoch

Anmeldung über ein ungewöhnliches Azure-Rechenzentrum

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Beschreibung: Es gab eine Änderung des Zugriffsmusters für einen SQL Server, bei dem sich jemand von einem ungewöhnlichen Azure Data Center aus beim Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder einen Azure-Dienst). In anderen Fällen erkennt die Warnung eine schädliche Aktion (der Angreifer operiert von einer unberechtigt zugänglichen Ressource in Azure aus).

MITRE-Taktiken: Probing

Schweregrad: Niedrig

Anmeldung von einem ungewöhnlichen Ort aus

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Beschreibung: Es gab eine Änderung des Zugriffsmusters für SQL Server, bei dem sich jemand von einem ungewöhnlichen geografischen Standort an dem Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Wartungsarbeiten von Entwicklern). In anderen Fällen erkennt die Warnung eine schädliche Aktion (einen ehemaligen Mitarbeiter oder einen externen Angreifer.)

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Beschreibung: Ein Prinzipalbenutzer, der in den letzten 60 Tagen nicht gesehen wurde, hat sich bei Ihrer Datenbank angemeldet. Falls diese Datenbank neu ist oder dieses erwartete Verhalten durch aktuelle Änderungen der Benutzer verursacht wird, die auf die Datenbank zugreifen, ermittelt Defender for Cloud bedeutende Änderungen an den Zugriffsmustern und versucht, künftige False Positives zu vermeiden.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

(SQL. DB_Do Standard Anomaly SQL. VM_Do Standard Anomaly SQL. DW_Do Standard Anomaly SQL.MI_Do Standard Anomaly Synapse.SQLPool_Do Standard Anomaly)

Beschreibung: Ein Benutzer hat sich von einer Aufgabe aus bei Ihrer Ressource angemeldet Standard keine anderen Benutzer in den letzten 60 Tagen eine Verbindung hergestellt haben. Falls diese Ressource neu oder dies ein erwartetes Verhalten ist, weil sich vor Kurzem Änderungen bei den Benutzern ergeben haben, die auf die Ressource zugreifen, wird wie folgt vorgegangen: Defender for Cloud ermittelt signifikante Änderungen an den Zugriffsmustern und versucht, künftige False-Positive-Meldungen zu vermeiden.

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

(SQL.VM_PotentialSqlInjection)

Beschreibung: Jemand hat eine neue Nutzlast unter Verwendung der Ebene in SQL Server initiiert, die mit dem Betriebssystem kommuniziert, während der Befehl in der SQL-Abfrage verdeckt wird. Angreifer verbergen gewöhnlich Befehle mit erheblichen Auswirkungen wie „xp_cmdshell“, „sp_add_job“ usw., die häufig überwacht werden. Obfuskationstechniken missbrauchen legitime Befehle wie Zeichenfolgenverkettung, Umwandlung, Basisänderung usw., um die Erkennung regulärer Ausdrücke zu verhindern und die Lesbarkeit der Protokolle zu beeinträchtigen.

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.

MITRE-Taktiken: PreAttack

Schweregrad: hoch

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

(SQL. MariaDB_Do Standard Anomaly SQL. PostgreSQL_Do Standard Anomaly SQL. MySQL_Do Standard Anomaly)

MITRE-Taktiken: Ausbeutung

Schweregrad: Mittel

Anmeldung über ein ungewöhnliches Azure-Rechenzentrum

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen Ressourcenverwaltungsvorgang aus einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen.

MITRE-Taktiken: Verteidigungshinterziehung

Schweregrad: Mittel

Verwendung des MicroBurst-Exploit-Toolkits zum Auflisten von Ressourcen in Ihren Abonnements

(ARM_MicroBurst.AzDomainInfo)

Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat verdächtige Muster zum Ausführen eines Informationssammlungsvorgangs ausgeführt, um Ressourcen, Berechtigungen und Netzwerkstrukturen zu ermitteln. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Informationen für böswillige Aktivitäten zu sammeln. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.

MITRE-Taktiken: -

Schweregrad: Niedrig

(Storage. Blob_SuspiciousApp)

Beschreibung: Gibt an, dass eine verdächtige Anwendung erfolgreich auf einen Container eines Speicherkontos mit Authentifizierung zugegriffen hat. Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde. Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2

MITRE-Taktiken: Erstzugriff

Schweregrad: Hoch/Mittel

Zugriff über eine verdächtige IP-Adresse

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Beschreibung: Gibt an, dass auf dieses Speicherkonto erfolgreich über eine IP-Adresse zugegriffen wurde, die als verdächtig eingestuft wird. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-Taktiken: Pre Attack

Schweregrad: Hoch/Mittel/Niedrig

Phishinginhalte in einem Speicherkonto gehostet

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Beschreibung: Eine URL, die in einem Phishingangriff verwendet wird, verweist auf Ihr Azure Storage-Konto. Diese URL war Teil eines Phishingangriffs, der Microsoft 365-Kunden betraf. In der Regel ist der auf solchen Seiten gehostete Inhalt dafür konzipiert, Besucher zur Eingabe ihrer Unternehmensanmeldeinformationen oder Finanzinformationen in einem Webformular zu verleiten, das legitim aussieht. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files

MITRE-Taktiken: Sammlung

Schweregrad: hoch

Speicherkonto als Quelle für die Verteilung von Schadsoftware identifiziert

(Storage.Files_WidespreadeAm)

Beschreibung: Antischadsoftwarewarnungen deuten darauf hin, dass eine infizierte Datei(n) in einer Azure-Dateifreigabe gespeichert ist, die an mehrere VMs bereitgestellt wird. Wenn Angreifer Zugriff auf einen virtuellen Computer mit einer eingebundenen Azure-Dateifreigabe erhalten, können sie diese verwenden, um Schadsoftware auf andere virtuelle Computer zu verteilen, auf denen dieselbe Freigabe eingebunden ist. Gilt für: Azure Files

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Die Zugriffsebene eines potenziell vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen

(Storage.Blob_OpenACL)

Beschreibung: Die Warnung gibt an, dass jemand die Zugriffsebene eines BLOB-Containers im Speicherkonto geändert hat, das vertrauliche Daten auf der Ebene "Container" enthalten kann, um den nicht authentifizierten (anonymen) öffentlichen Zugriff zuzulassen. Die Änderung erfolgte über das Azure-Portal. Basierend auf statistischen Analysen wird der Blobcontainer als möglicherweise vertrauliche Daten enthaltend gekennzeichnet. Diese Analyse deutet darauf hin, dass Blob-Container oder Speicherkonten mit ähnlichen Namen in der Regel nicht für den öffentlichen Zugriff freigegeben sind. Gilt für: Azure Blob-Speicherkonten (Standard Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs).

MITRE-Taktiken: Sammlung

Schweregrad: Mittel

Authentifizierter Zugriff von einem Tor-Exitknoten

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Beschreibung: Auf einen oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich von einer IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-Taktiken: Anfänglicher Zugriff / Vorabangriff

Schweregrad: Hoch/Mittel

Zugriff auf ein Speicherkonto von einem ungewöhnlichen Ort aus

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Beschreibung: Gibt an, dass es eine Änderung des Zugriffsmusters für ein Azure Storage-Konto gab. Im Vergleich zu den letzten Aktivitäten hat jemand von einer unbekannten IP-Adresse aus auf dieses Konto zugegriffen. Entweder hat ein Angreifer Zugriff auf das Konto erlangt, oder ein berechtigter Benutzer hat von einem neuen oder ungewöhnlichen geografischen Standort eine Verbindung hergestellt. Ein Beispiel für Letzteres wäre etwa eine Remotewartung durch eine neue Anwendung oder einen neuen Entwickler. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-Taktiken: Erstzugriff

Schweregrad: Hoch/Mittel/Niedrig

Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer

(Storage.Blob_AnonymousAccessAnomaly)

Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage

MITRE-Taktiken: Erstzugriff

Schweregrad: Hoch/Niedrig

Potenzielle Schadsoftware, die in ein Speicherkonto hochgeladen wurde

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Beschreibung: Gibt an, dass ein Blob, das potenzielle Schadsoftware enthält, in einen BLOB-Container oder eine Dateifreigabe in einem Speicherkonto hochgeladen wurde. Diese Warnung basiert auf der Hashzuverlässigkeitsanalyse und nutzt Threat Intelligence von Microsoft, u. a. Hashes für Viren, Trojaner, Spyware und Ransomware. Mögliche Ursachen können einen absichtlichen Malware-Upload durch einen Angreifer oder einen unbeabsichtigten Upload eines potenziell schädlichen Blobs durch einen legitimen Benutzer umfassen. Gilt für: Azure Blob Storage, Azure Files (nur für Transaktionen über REST-API) Erfahren Sie mehr über die Funktionen der Bedrohungserkennung von Microsoft.

MITRE-Taktiken: Lateral Movement

Schweregrad: hoch

Öffentlich zugängliche Speichercontainer erfolgreich gefunden

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Beschreibung: Eine erfolgreiche Ermittlung von öffentlich geöffneten Speichercontainern in Ihrem Speicherkonto wurde in der letzten Stunde durch ein Scanskript oder -tool durchgeführt.

Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.

Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-Taktiken: Sammlung

Schweregrad: Hoch/Mittel

Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Beschreibung: Eine Reihe fehlgeschlagener Versuche, nach öffentlich geöffneten Speichercontainern zu suchen, wurden in der letzten Stunde durchgeführt.

Beschreibung: Die Warnung gibt an, dass ein bösartiges BLOB aus einem Speicherkonto heruntergeladen wurde. Mögliche Ursachen können Schadsoftware sein, die in das Speicherkonto hochgeladen und nicht entfernt oder unter Quarantäne gestellt wurde, wodurch ein Bedrohungsakteur es herunterladen kann, oder einen unbeabsichtigten Download der Schadsoftware durch legitime Benutzer oder Anwendungen. Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Überprüfung auf Schadsoftware

MITRE-Taktiken: Lateral Movement

Schweregrad: Hoch, wenn Eicar - niedrig

Warnungen für Azure Cosmos DB

Weitere Details und Hinweise

Zugriff von einem Tor-Exitknoten

(CosmosDB_TorAnomaly)

Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exit-Knoten von Tor bekannt ist, einem anonymisierenden Proxy. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen.

MITRE-Taktiken: Erstzugriff

Schweregrad: Hoch/Mittel

Zugriff von einer verdächtigen IP-Adresse

(CosmosDB_SuspiciousIp)

Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die von Microsoft Threat Intelligence als Bedrohung identifiziert wurde.

MITRE-Taktiken: Erstzugriff

Schweregrad: Mittel

Zugriff von einem unüblichen Standort

(CosmosDB_GeoAnomaly)

Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde basierend auf dem üblichen Zugriffsmuster von einem Standort aus zugegriffen, der als unbekannt eingestuft wurde.

Entweder hat ein*e Bedrohungsakteur*in Zugriff auf das Konto erlangt, oder ein*e berechtigte*r Benutzer*in hat von einem neuen oder ungewöhnlichen geografischen Standort aus eine Verbindung hergestellt.

MITRE-Taktiken: Erstzugriff

Schweregrad: Niedrig

Unübliche Menge an extrahierten Daten

(CosmosDB_DataExfiltrationAnomaly)

Beschreibung: Ein ungewöhnlich großes Datenvolumen wurde aus diesem Azure Cosmos DB-Konto extrahiert. Dies kann darauf hindeuten, dass ein*e Bedrohungsakteur*in Daten exfiltriert hat.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

Extraktion von Azure Cosmos DB-Kontenschlüsseln über ein potenziell schädliches Skript

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster von Schlüsselauflistungsvorgängen ausgeführt, um die Schlüssel von Azure Cosmos DB-Konten in Ihrem Abonnement abzurufen. Bedrohungsakteure verwenden automatisierte Skripts wie Microburst, um Schlüssel aufzulisten und Azure Cosmos DB-Konten zu finden, auf die sie zugreifen können.

Dieser Vorgang könnte darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Azure Cosmos DB-Konten in Ihrer Umgebung für böswillige Absichten zu gefährden.

Alternativ könnte ein*e böswillige*r Insider*in versuchen, auf vertrauliche Daten zuzugreifen und Lateral Movement durchzuführen.

MITRE-Taktiken: Sammlung

Schweregrad: Mittel

Verdächtige Extraktion von Azure Cosmos DB-Kontoschlüsseln (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Beschreibung: Eine verdächtige Quelle extrahiert Azure Cosmos DB-Kontozugriffsschlüssel aus Ihrem Abonnement. Wenn diese Quelle keine legitime Quelle ist, kann dies ein Problem mit hohen Auswirkungen sein. Der Zugriffsschlüssel, der extrahiert wurde, bietet vollständige Kontrolle über die zugeordneten Datenbanken und die darin gespeicherten Daten. Sehen Sie sich die Details zu jeder einzelnen Warnung an, um zu verstehen, warum die Quelle als verdächtig gekennzeichnet wurde.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: hoch

SQL-Injektion: mögliche Herausschleusung von Daten

(CosmosDB_SqlInjection.DataExfiltration)

Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.

Die eingeschleuste Anweisung könnte Daten exfiltriert haben, auf die der Bedrohungsakteur nicht zugreifen darf.

Aufgrund der Struktur und der Funktionen von Azure Cosmos DB-Abfragen können viele bekannte Angriffe durch Einschleusung von SQL-Befehlen auf Azure Cosmos DB-Konten nicht funktionieren. Die variation, die in diesem Angriff verwendet wird, kann jedoch funktionieren, und Bedrohungsakteure können Daten exfiltrieren.

MITRE-Taktiken: Exfiltration

Schweregrad: Mittel

SQL-Injection: Fuzzi-Versuch

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.

Wie andere bekannte SQL-Einschleusungsangriffe kann dieser Angriff das Azure Cosmos DB-Konto nicht gefährden.

Dennoch ist es ein Hinweis darauf, dass ein Bedrohungsakteur versucht, die Ressourcen in diesem Konto anzugreifen, und Ihre Anwendung kann kompromittiert werden.

Einige SQL-Einschleusungsangriffe können erfolgreich sein und zum Exfiltrieren von Daten verwendet werden. Dies bedeutet, dass, wenn der Angreifer weiterhin SQL-Injektionsversuche durchführt, möglicherweise Ihr Azure Cosmos DB-Konto kompromittieren und Daten exfiltrieren kann.

Sie können diese Bedrohung abwenden, indem Sie parametrisierte Abfragen verwenden.

Schweregrad: Mittel

Warnungen für Azure DDoS Protection

Weitere Details und Hinweise

DDoS-Angriff für öffentliche IP-Adresse erkannt

(NETWORK_DDOS_DETECTED)

Beschreibung: DDoS-Angriff für öffentliche IP (IP-Adresse) erkannt und abgemildert.

MITRE-Taktiken: Probing

Schweregrad: hoch

DDoS-Angriff für öffentliche IP-Adresse abgewehrt

(NETWORK_DDOS_MITIGATED)

Die folgenden Listen enthalten die Sicherheitswarnungen von Defender for Containers, die veraltet waren.

Manipulation der Hostfirewall erkannt

(K8S.NODE_FirewallDisabled)

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Manipulation der On-Host-Firewall erkannt. Angreifer deaktivieren diese häufig, um Daten zu exfiltrieren.

MITRE-Taktiken: DefenseEvasion, Exfiltration

Schweregrad: Mittel

Verdächtige Verwendung von DNS über HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Verwendung eines DNS-Aufrufs über HTTPS ungewöhnlich erkannt. Diese Technik wird von Angreifern verwendet, um Aufrufe von verdächtigen oder schädlichen Websites auszublenden.

MITRE-Taktiken: DefenseEvasion, Exfiltration

Schweregrad: Mittel

Eine mögliche Verbindung mit einem schädlichen Speicherort wurde erkannt.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Verbindung zu einem Speicherort erkannt, der als bösartig oder ungewöhnlich gemeldet wurde. Dies ist ein Indikator, dass möglicherweise eine Kompromittierung aufgetreten ist.

MITRE-Taktiken: InitialAccess

Schweregrad: Mittel

Digital Currency Mining-Aktivität

(K8S. NODE_CurrencyMining)

Beschreibung: Analyse von DNS-Transaktionen erkannte digitale Währungsminingaktivität. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.

MITRE-Taktiken: Exfiltration

Warnungsanzeigename: Mögliche bösartige Webshell erkannt

Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.

Schweregrad: Mittel

Defender für Clouds unterstützte KillChain-Absichten basieren auf Version 9 der MITRE ATT&CK-Matrix und werden in der folgenden Tabelle beschrieben.

Taktik	ATT&CK-Version	Beschreibung
PreAttack		Bei einem PreAttack kann es sich entweder um einen Versuch handeln, unabhängig von böswilligen Absichten auf eine bestimmte Ressource zuzugreifen, oder um einen fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erlangen, um Informationen vor deren Ausnutzung zu sammeln. Dieser Schritt wird normalerweise als Versuch von außerhalb des Netzwerks erkannt, das Zielsystem zu scannen und einen Einstiegspunkt zu identifizieren.
Erstzugriff	V7, V9	„Erstzugriff“ ist die Phase, in der es einem Angreifer gelingt, auf der angegriffenen Ressource Fuß zu fassen. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant. Bedrohungsakteure können die Ressource nach dieser Phase oft steuern.
Persistenz	V7, V9	Als „Persistenz“ wird ein Zugriff, eine Aktion oder eine Konfigurationsänderung in einem System bezeichnet, der bzw. die einem Bedrohungsakteur dauerhafte Präsenz in diesem System ermöglicht. Bedrohungsakteure müssen den Zugriff häufig über Unterbrechungen (z.B. Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler, aufgrund derer ein Remotezugriffstool neu gestartet werden muss) hinweg beibehalten oder eine alternative Hintertür schaffen, um wieder Zugriff zu erhalten.
Rechteausweitung	V7, V9	„Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden.
Umgehen von Verteidigungsmaßnahmen	V7, V9	Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit (oder Variationen von) Techniken aus anderen Kategorien, die Angreifern den zusätzlichen Vorteil bieten, einen bestimmten Schutz oder eine bestimmte Abwehrmaßnahmen zu untergraben.
Zugriff auf Anmeldeinformationen	V7, V9	Als „Zugriff auf Anmeldeinformationen“ werden Techniken bezeichnet, die einen Zugriff oder die Kontrolle von System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, zur Folge haben. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen.
Ermittlung	V7, V9	„Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können.
LateralMovement	V7, V9	„Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern. Die Ausführung von Tools auf Remotesystemen kann, muss jedoch nicht unbedingt möglich sein. Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen über ein System zu sammeln, ohne dass er weitere Tools, wie z. B. ein Tool für den Remotezugriff, benötigt. Ein Angreifer kann Lateral-Movement-Techniken für viele Zwecke verwenden, z. B. um Tools remote auszuführen, zu weiteren Systemen zu wechseln, auf bestimmte Informationen oder Dateien und weitere Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen.
Ausführung	V7, V9	Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral-Movement verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern.
Sammlung	V7, V9	Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen.
Command-and-Control	V7, V9	„Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen.
Exfiltration	V7, V9	„Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen.
Auswirkung	V7, V9	Ereignisse vom Typ „Auswirkung“ versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks unmittelbar zu verringern, einschließlich der Manipulation von Daten, um einen Geschäfts- oder Betriebsprozess zu beeinträchtigen. Dies bezieht sich häufig auf Techniken wie Ransomware, Verunstaltung, Datenmanipulation und andere.

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Sicherheitswarnungen (Referenzhandbuch)

Warnungen für Windows-Computer

Es wurde eine Anmeldung von einer schädlichen IP erkannt. [mehrfach gesehen]

Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.

Hinzufügen eines Gastkontos zur Gruppe der lokalen Administratoren

Ein Ereignisprotokoll wurde gelöscht

Fehler bei Antimalware-Aktion

AntiMalware-Aktion wurde ausgeführt

Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM

Die Antischadsoftware auf Ihrer VM wurde deaktiviert

Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM

Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM

Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM

Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM

Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM

Antischadsoftwareüberprüfungen für Dateien auf Ihrem virtuellen Computer blockiert, für die eine potenzielle Verbindung mit Schadsoftwarekampagnen besteht (Vorschau)

Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert

Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM

Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence

Es wurden Aktionen erkannt, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hindeuten

Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt

Erkannte Änderung an einem Registrierungsschlüssel, der zur Umgehung der Benutzerkontensteuerung missbraucht werden kann

Erkannte Decodierung einer ausführbaren Datei mithilfe des integrierten Tools „certutil.exe“

Erkannte Aktivierung des Registrierungsschlüssels „WDigest UseLogonCredential“

Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten

Erkannte verschleierte Befehlszeile

Erkannte mögliche Ausführung der ausführbaren Datei eines Schlüsselgenerierungstools

Erkannte mögliche Ausführung eines Schadsoftware-Droppers

Erkannte mögliche lokale Reconnaissance-Aktivität

Erkannte potenzielle verdächtige Verwendung des Telegram-Tools

Erkannte Unterdrückung der Anzeige eines rechtlichen Hinweises für Benutzer bei der Anmeldung

Erkannte verdächtige Kombination aus HTA und PowerShell

Erkannte verdächtige Befehlszeilenargumente

Erkannte verdächtige Befehlszeile, die zum Starten aller ausführbaren Dateien in einem Verzeichnis verwendet wird

Erkannte verdächtige Anmeldeinformationen in der Befehlszeile

Erkannte verdächtige Dokumentanmeldeinformationen

Erkannte verdächtige Ausführung des Befehls „VBScript.Encode“

Erkannte verdächtige Ausführung über „rundll32.exe“

Erkannte verdächtige Dateibereinigungsbefehle

Erkannte verdächtige Dateierstellung

Erkannte verdächtige Named Pipe-Kommunikation

Erkannte verdächtige Netzwerkaktivität

Erkannte verdächtige neue Firewallregel

Erkannte verdächtige Verwendung von CACLS zur Verringerung des Sicherheitsniveaus des Systems

Erkannte verdächtige Verwendung des FTP-Switchs „-s“

Erkannte verdächtige Verwendung von „Pcalua.exe“ zum Starten von ausführbarem Code

Erkannte Deaktivierung wichtiger Dienste

Erkanntes Verhalten hinsichtlich des digitalen Currency Mining

Dynamische PS-Skripterstellung

Ausführbare Datei gefunden, die von einem verdächtigen Ort ausgeführt wird

Verhaltensweise eines dateilosen Angriffs erkannt

Fileless attack technique detected (Dateilose Angriffstechnik erkannt)

Toolkit für dateilosen Angriff erkannt

Software mit hohem Risiko erkannt

Mitglieder der Gruppe „Lokale Administratoren“ wurden aufgezählt

Schädliche Firewallregel, die durch die ZINC-Servereinschleusung erstellt wurde [mehrfach aufgetreten]

Schädliche SQL-Aktivität

Mehrere Domänenkonten abgefragt

Mögliche Dumperstellung von Anmeldeinformationen erkannt [mehrfach aufgetreten]

Potenzieller Versuch erkannt, AppLocker zu umgehen

Seltene SVCHOST-Dienstgruppe ausgeführt

Auf der Einrastfunktion basierender Angriff erkannt

Erfolgreicher Brute-Force-Angriff

Verdächtige Integritätsebene, die auf ein RDP-Hijacking hindeutet

Verdächtige Dienstinstallation

Verdächtige Parameter für Kerberos Golden Ticket-Angriff beobachtet

Verdächtige Kontoerstellung erkannt

Verdächtige Aktivität erkannt

Verdächtige Authentifizierungsaktivität

Verdächtiges Codesegment erkannt

Datei mit verdächtiger doppelter Dateinamenerweiterung ausgeführt

Verdächtiger Download mit Certutil erkannt [mehrfach aufgetreten]

Verdächtiger Download mit Certutil erkannt

Verdächtige PowerShell-Aktivität erkannt

Verdächtige PowerShell-Cmdlets ausgeführt

Verdächtiger Prozess ausgeführt [mehrfach aufgetreten]

Verdächtiger Prozess ausgeführt

Verdächtiger Prozessname erkannt [mehrfach aufgetreten]