Sicherheitswarnungen (Referenzhandbuch)
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise von Microsoft Defender für Cloud erhalten, und alle microsoft Defender-Pläne, die Sie aktiviert haben. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Unten auf dieser Seite befindet sich eine Tabelle, in der die Microsoft Defender für Cloud-Killchain beschrieben wird, die mit Version 9 der MITRE ATT&CK-Matrix übereinstimmt.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Warnungen für Windows-Computer
Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Windows-Computer bereitgestellten Warnungen sind:
Es wurde eine Anmeldung von einer schädlichen IP erkannt. [mehrfach gesehen]
Beschreibung: Eine erfolgreiche Remoteauthentifizierung für das Konto [Konto] und der Prozess [Prozess] ist aufgetreten, die Anmelde-IP-Adresse (x.x.x.x.x)) wurde jedoch zuvor als böswillig oder höchst ungewöhnlich gemeldet. Wahrscheinlich ist ein erfolgreicher Angriff erfolgt. Dateien mit der Erweiterung SCR sind Bildschirmschonerdateien und werden normalerweise im Windows-Systemverzeichnis gespeichert und ausgeführt.
Schweregrad: hoch
Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.
VM_AdaptiveApplicationControlWindowsViolationAudited
Beschreibung: Die folgenden Benutzer haben Anwendungen ausgeführt, die die Anwendungssteuerungsrichtlinie Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.
MITRE-Taktiken: Ausführung
Schweregrad: Informational
Hinzufügen eines Gastkontos zur Gruppe der lokalen Administratoren
Beschreibung: Die Analyse von Hostdaten hat das Hinzufügen des integrierten Gastkontos zur Gruppe "Lokale Administratoren" auf "%{Kompromittierter Host}" erkannt, der stark mit Angreiferaktivitäten verknüpft ist.
Schweregrad: Mittel
Ein Ereignisprotokoll wurde gelöscht
Beschreibung: Computerprotokolle deuten auf einen verdächtigen Vorgang zum Löschen von Ereignisprotokollen nach Benutzer hin: '%{Benutzername}' auf Computer: '%{CompromisedEntity}'. Das Protokoll %{log channel} wurde gelöscht.
Schweregrad: Informational
Fehler bei Antimalware-Aktion
Beschreibung: Microsoft Antischadsoftware hat beim Ausführen einer Aktion auf Schadsoftware oder anderer potenziell unerwünschter Software einen Fehler festgestellt.
Schweregrad: Mittel
AntiMalware-Aktion wurde ausgeführt
Beschreibung: Microsoft Antischadsoftware für Azure hat eine Aktion ergriffen, um diesen Computer vor Schadsoftware oder anderer potenziell unerwünschter Software zu schützen.
Schweregrad: Mittel
Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmBroadFilesExclusion)
Beschreibung: Der Ausschluss von Dateien aus der Antischadsoftwareerweiterung mit breiter Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Durch einen solchen Ausschluss wird der Antischadsoftware-Schutz praktisch deaktiviert. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: Mittel
Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM
(VM_AmDisablementAndCodeExecution)
Beschreibung: Antischadsoftware ist gleichzeitig mit der Codeausführung auf Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer deaktivieren Antischadsoftwarescanner, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Die Antischadsoftware auf Ihrer VM wurde deaktiviert
(VM_AmDisablement)
Beschreibung: Antischadsoftware in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmFileExclusionAndCodeExecution)
Beschreibung: Datei, die vom Antischadsoftwarescanner zur gleichen Zeit wie Code über eine benutzerdefinierte Skripterweiterung auf Ihrem virtuellen Computer ausgeführt wurde. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmTempFileExclusionAndCodeExecution)
Beschreibung: Der temporäre Dateiausschluss von der Antischadsoftwareerweiterung parallel zur Ausführung von Code über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmTempFileExclusion)
Beschreibung: Datei, die vom Antischadsoftwarescanner auf Ihrem virtuellen Computer ausgeschlossen ist. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmRealtimeProtectionDisabled)
Beschreibung: Die Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmTempRealtimeProtectionDisablement)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit parallel zur Codeausführung über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Antischadsoftwareüberprüfungen für Dateien auf Ihrem virtuellen Computer blockiert, für die eine potenzielle Verbindung mit Schadsoftwarekampagnen besteht (Vorschau)
(VM_AmMalwareCampaignRelatedExclusion)
Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert
(VM_AmTemporarilyDisablement)
Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
Schweregrad: Mittel
Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_UnusualAmFileExclusion)
Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Kommunikation mit verdächtigem Do Standard wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten bösartigen Aktionen verglichen werden Standard die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Es wurden Aktionen erkannt, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hindeuten
Beschreibung: Analyse der erkannten Hostdatenaktionen, die anzeigen, dass IIS-Protokolldateien deaktiviert und/oder gelöscht werden.
Schweregrad: Mittel
Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Befehlszeile mit einer anomalien Mischung aus Groß- und Kleinbuchstaben erkannt. Diese Art von Muster, obwohl möglicherweise harmlos, ist auch typisch für Angreifer, die versuchen, sich vor dem Abgleich von Groß- und Kleinschreibung oder hashbasierten Regeln zu schützen, wenn sie administrative Aufgaben auf einem kompromittierten Host ausführen.
Schweregrad: Mittel
Erkannte Änderung an einem Registrierungsschlüssel, der zur Umgehung der Benutzerkontensteuerung missbraucht werden kann
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein Registrierungsschlüssel, der missbraucht werden kann, um UAC (Benutzerkontensteuerung) zu umgehen, geändert wurde. Diese Art der Konfiguration ist zwar möglicherweise harmlos, aber auch typisch für Angreifer, die versuchen, von einem nicht privilegierten (Standardbenutzer) zu einem privilegierten (z. B. Administrator) Zugang auf einem kompromittierten Host zu wechseln.
Schweregrad: Mittel
Erkannte Decodierung einer ausführbaren Datei mithilfe des integrierten Tools „certutil.exe“
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat festgestellt, dass certutil.exe, ein integriertes Administratorprogramm, verwendet wurde, um eine ausführbare Datei anstelle des Standard stream-Zwecks zu decodieren, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und beispielsweise ein Tool wie „certutil.exe“ verwenden, um eine schädliche ausführbare Datei zu decodieren, die anschließend ausgeführt wird.
Schweregrad: hoch
Erkannte Aktivierung des Registrierungsschlüssels „WDigest UseLogonCredential“
Beschreibung: Die Analyse von Hostdaten hat eine Änderung im Registrierungsschlüssel HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" erkannt. Insbesondere wurde dieser Schlüssel aktualisiert, um die Speicherung von Anmeldeinformationen im Klartext im LSA-Speicher zu ermöglichen. Einmal aktiviert, kann ein Angreifer mithilfe von Tools zum Abgreifen von Anmeldeinformationen wie Mimikatz entsprechende Klartextkennwörter aus dem LSA-Speicher auslesen.
Schweregrad: Mittel
Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine base64-codierte ausführbare Datei erkannt. Dies wurde früher mit Angreifern assoziiert, die versuchten, ausführbare Dateien direkt durch eine Folge von Befehlen zu erstellen und versuchten, Intrusion-Detection-Systeme zu umgehen, indem sie sicherstellten, dass kein einziger Befehl einen Alarm auslöste. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Erkannte verschleierte Befehlszeile
Beschreibung: Angreifer verwenden immer komplexere Verschleierungstechniken, um Erkennungen zu umgehen, die gegen die zugrunde liegenden Daten ausgeführt werden. Bei der Analyse der Hostdaten auf %{Compromised Host} wurden verdächtige Anzeichen der Verschleierung in der Befehlszeile erkannt.
Schweregrad: Informational
Erkannte mögliche Ausführung der ausführbaren Datei eines Schlüsselgenerierungstools
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses erkannt, deren Name auf ein Keygen-Tool hinweist. Solche Tools werden in der Regel verwendet, um Softwarelizenzmechanismen zu besiegen, aber ihr Download wird häufig mit anderen bösartigen Software gebündelt. Es ist bekannt, dass die Aktivitätsgruppe GOLD solche Schlüsselgenerierungstools verwendet, um sich durch eine Hintertür Zugang zu Hosts zu verschaffen, die sie kompromittieren.
Schweregrad: Mittel
Erkannte mögliche Ausführung eines Schadsoftware-Droppers
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat einen Dateinamen erkannt, der zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurde, um Schadsoftware auf einem Opferhost zu installieren.
Schweregrad: hoch
Erkannte mögliche lokale Reconnaissance-Aktivität
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zur Durchführung von Aufklärungsaktivitäten zugeordnet wurden. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander ausgeführt.
Schweregrad: Niedrig
Erkannte potenzielle verdächtige Verwendung des Telegram-Tools
Beschreibung: Die Analyse von Hostdaten zeigt die Installation von Telegram, einem kostenlosen cloudbasierten Instant Messaging-Dienst, der sowohl für mobile als auch für Desktopsysteme vorhanden ist. Angreifer sind dafür bekannt, diesen Dienst zu missbrauchen, um schädliche Binärdateien auf einen anderen Computer, ein Telefon oder ein Tablet zu übertragen.
Schweregrad: Mittel
Erkannte Unterdrückung der Anzeige eines rechtlichen Hinweises für Benutzer bei der Anmeldung
Beschreibung: Bei der Analyse von Hostdaten auf %{Kompromittierten Host} wurden Änderungen am Registrierungsschlüssel erkannt, die steuern, ob benutzern beim Anmelden eine rechtliche Benachrichtigung angezeigt wird. Die Sicherheitsanalyse von Microsoft hat ergeben, dass dies eine häufige Aktivität ist, die von Angreifern nach der Kompromittierung eines Hosts durchgeführt wird.
Schweregrad: Niedrig
Erkannte verdächtige Kombination aus HTA und PowerShell
Beschreibung: mshta.exe (Microsoft HTML-Anwendungshost), bei dem es sich um eine signierte Microsoft-Binärdatei handelt, wird von den Angreifern zum Starten bösartiger PowerShell-Befehle verwendet. Angreifer greifen oft auf eine HTA-Datei mit Inline-VBScript zurück. Wenn ein Opfer zu der HTA-Datei navigiert und sich dazu entschließt, sie auszuführen, werden die darin enthaltenen PowerShell-Befehle und Skripts ausgeführt. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde „mshta.exe“ beim Starten von PowerShell-Befehlen erkannt.
Schweregrad: Mittel
Erkannte verdächtige Befehlszeilenargumente
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat verdächtige Befehlszeilenargumente erkannt, die in Verbindung mit einer Reverseshell verwendet wurden, die von der Aktivitätsgruppe HYDROGEN verwendet wurde.
Schweregrad: hoch
Erkannte verdächtige Befehlszeile, die zum Starten aller ausführbaren Dateien in einem Verzeichnis verwendet wird
Beschreibung: Die Analyse von Hostdaten hat einen verdächtigen Prozess erkannt, der auf %{Kompromittierten Host} ausgeführt wird. Die Befehlszeile gibt an, dass versucht wird, alle ausführbaren Dateien (*.exe) zu starten, die sich möglicherweise in einem Verzeichnis befinden. Dies könnte ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Mittel
Erkannte verdächtige Anmeldeinformationen in der Befehlszeile
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat ein verdächtiges Kennwort erkannt, das zur Ausführung einer Datei durch die Aktivitätsgruppe BORON verwendet wird. Es ist bekannt, dass diese Aktivitätsgruppe dieses Kennwort verwendet, um Pirpi-Schadsoftware auf einem Opferhost auszuführen.
Schweregrad: hoch
Erkannte verdächtige Dokumentanmeldeinformationen
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen verdächtigen, gängigen, vorkompilierten Kennworthash erkannt, der von Schadsoftware verwendet wird, um eine Datei auszuführen. Es ist bekannt, dass die Aktivitätsgruppe HYDROGEN dieses Kennwort verwendet, um Schadsoftware auf einem Opferhost auszuführen.
Schweregrad: hoch
Erkannte verdächtige Ausführung des Befehls „VBScript.Encode“
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung des Befehls VBScript.Encode erkannt. Dadurch werden die Skripts in nicht lesbaren Text codiert, wodurch es für Benutzer schwieriger wird, den Code zu untersuchen. Die Microsoft-Bedrohungsforschung zeigt, dass Angreifer häufig verschlüsselte VBscript-Dateien als Teil ihres Angriffs verwenden, um Erkennungssystemen zu entgehen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Mittel
Erkannte verdächtige Ausführung über „rundll32.exe“
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass rundll32.exe verwendet werden, um einen Prozess mit einem ungewöhnlichen Namen auszuführen, der mit dem Prozessbenennungsschema übereinstimmt, das zuvor von der Aktivitätsgruppe GOLD beim Installieren des ersten Implantats auf einem kompromittierten Host verwendet wurde.
Schweregrad: hoch
Erkannte verdächtige Dateibereinigungsbefehle
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Kombination von Systeminfo-Befehlen erkannt, die zuvor einer der Methoden der Aktivitätsgruppe GOLD zugeordnet wurden, um nach der Kompromittierung selbst sauber up-Aktivität durchzuführen. Obwohl „systeminfo.exe“ ein legitimes Windows-Tool ist, wird es jedoch selten wie hier zweimal hintereinander und gefolgt von einem Löschbefehl ausgeführt.
Schweregrad: hoch
Erkannte verdächtige Dateierstellung
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierter Host} hat die Erstellung oder Ausführung eines Prozesses festgestellt, der zuvor eine nach der Kompromittierung durchgeführte Aktion auf einem Opferhost durch die Aktivitätsgruppe BARIUM angegeben hat. Es ist bekannt, dass diese Aktivitätsgruppe dieses Verfahren nutzt, um nach dem Öffnen einer Anlage in einem Phishingdokument weitere Schadsoftware auf einen kompromittierten Host herunterzuladen.
Schweregrad: hoch
Erkannte verdächtige Named Pipe-Kommunikation
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass Daten aus einem Windows-Konsolenbefehl in eine lokale benannte Pipe geschrieben wurden. Named Pipes werden gerne von Angreifern als Kanal verwendet, um mit einer schädlichen Einschleusung zu kommunizieren und ihr Anweisungen zu erteilen. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Erkannte verdächtige Netzwerkaktivität
Beschreibung: Die Analyse des Netzwerkdatenverkehrs von %{Kompromittierten Host} hat verdächtige Netzwerkaktivitäten erkannt. Ein solcher Datenverkehr ist möglicherweise gutartig, wird aber in der Regel von einem Angreifer zur Kommunikation mit schädlichen Servern zum Herunterladen von Tools, in Befehl-und-Steuerung-Szenarien und zur Exfiltration von Daten verwendet. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.
Schweregrad: Niedrig
Erkannte verdächtige neue Firewallregel
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine neue Firewallregel über netsh.exe hinzugefügt wurde, um datenverkehr von einer ausführbaren Datei an einem verdächtigen Speicherort zuzulassen.
Schweregrad: Mittel
Erkannte verdächtige Verwendung von CACLS zur Verringerung des Sicherheitsniveaus des Systems
Beschreibung: Angreifer verwenden unterschiedliche Methoden wie Brute Force, Spearphishing usw., um erste Kompromisse zu erzielen und einen Fuß auf das Netzwerk zu setzen. Sobald eine erste Kompromittierung erreicht ist, unternehmen sie oft Schritte, um die Sicherheitseinstellungen eines Systems herabzusetzen. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for change the security permission on folders and files. Häufig wird die Binärdatei von den Angreifern dazu verwendet, die Sicherheitseinstellungen eines Systems herabzusetzen. Dies wird dadurch erreicht, dass allen der uneingeschränkte Zugriff auf einige der Systembinärdateien wie „ftp.exe“, „net.exe“, „wscript.exe“ usw. gewährt wird. Bei der Analyse der Hostdaten auf %{Compromised Host} wurde eine verdächtige Verwendung von CACLS zur Herabsetzung der Sicherheit eines Systems erkannt.
Schweregrad: Mittel
Erkannte verdächtige Verwendung des FTP-Switchs „-s“
Beschreibung: Die Analyse von Prozesserstellungsdaten aus dem %{Kompromittierten Host} hat die Verwendung des FTP-Schalters "-s:filename" erkannt. Dieser Switch wird verwendet, um eine FTP-Skriptdatei anzugeben, die vom Client ausgeführt werden soll. Es ist bekannt, dass Schadsoftware oder bösartige Prozesse diesen FTP-Switch (-s:filename) verwenden, um auf eine Skriptdatei zu verweisen, die so konfiguriert ist, dass sie eine Verbindung mit einem FTP-Remoteserver herstellt und weitere schädliche Binärdateien herunterlädt.
Schweregrad: Mittel
Erkannte verdächtige Verwendung von „Pcalua.exe“ zum Starten von ausführbarem Code
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von pcalua.exe erkannt, um ausführbaren Code zu starten. Pcalua.exe ist eine Komponente des „Programmkompatibilitätsassistenten“ von Microsoft Windows, der Kompatibilitätsprobleme während der Installation oder Ausführung eines Programms erkennt. Angreifer sind dafür bekannt, dass sie die Funktionalität legitimer Windows-Systemtools missbrauchen, um schädliche Aktionen durchzuführen, indem sie z. B. „pcalua.exe“ mit dem Switch „-a“ verwenden, um schädliche ausführbare Dateien entweder lokal oder von Remotefreigaben aus zu starten.
Schweregrad: Mittel
Erkannte Deaktivierung wichtiger Dienste
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass die Ausführung des Befehls "net.exe beenden" verwendet wird, um kritische Dienste wie SharedAccess oder die Windows-Sicherheit-App zu beenden. Das Beenden von einem dieser beiden Dienste kann ein Hinweis auf ein schädliches Verhalten sein.
Schweregrad: Mittel
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.
Schweregrad: hoch
Dynamische PS-Skripterstellung
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass ein PowerShell-Skript dynamisch erstellt wird. Angreifer nutzen diesen Ansatz mitunter, indem sie schrittweise ein Skript aufbauen, um IDS-Systeme zu umgehen. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.
Schweregrad: Mittel
Ausführbare Datei gefunden, die von einem verdächtigen Ort ausgeführt wird
Beschreibung: Die Analyse von Hostdaten hat eine ausführbare Datei auf %{Kompromittierten Host} erkannt, die von einem Speicherort aus ausgeführt wird, der mit bekannten verdächtigen Dateien gemeinsam ist. Diese ausführbare Datei könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Verhaltensweise eines dateilosen Angriffs erkannt
(VM_FilelessAttackBehavior.Windows)
Beschreibung: Der Speicher des angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten:
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
- Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
- Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Niedrig
Fileless attack technique detected (Dateilose Angriffstechnik erkannt)
(VM_FilelessAttackTechnique.Windows)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten:
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Ausführbares Bild, das in den Prozess eingefügt wurde, z. B. in einem Codeeinfügungsangriff.
- Aktive Netzwerkverbindungen. Weitere Informationen finden Sie unten unter „Netzwerkverbindungen“.
- Funktionsaufrufe für sicherheitsrelevante Betriebssystemschnittstellen. Verweise auf Betriebssystemfunktionen finden Sie unten unter „Funktionen“.
- Prozesshöhlung, die eine Technik ist, die von Schadsoftware verwendet wird, in der ein legitimer Prozess auf das System geladen wird, um als Container für feindlichen Code zu fungieren.
- Enthält einen Thread, der in einem dynamisch zugeordneten Codesegment gestartet wurde. Dies ist ein gängiges Muster für Angriffe mit Einschleusung in Prozesse.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Toolkit für dateilosen Angriff erkannt
(VM_FilelessAttackToolkit.Windows)
Beschreibung: Der speicher des angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: [Toolkitname]. Bei Toolkits für dateilose Angriffe werden Verfahren verwendet, mit denen Spuren von Schadsoftware auf dem Datenträger verringert oder beseitigt werden und die Wahrscheinlichkeit für eine Erkennung durch datenträgerbasierte Schadsoftware-Scanlösungen stark reduziert wird. Beispiele für spezifisches Verhalten:
- Bekannte Toolkits und Krypto-Mining-Software.
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Nutzlast bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Injizierte schädliche ausführbare Datei im Prozessspeicher.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: Mittel
Software mit hohem Risiko erkannt
Beschreibung: Die Analyse von Hostdaten von %{Compromised Host} hat die Verwendung von Software erkannt, die der Installation von Schadsoftware in der Vergangenheit zugeordnet wurde. Ein übliches Verfahren, das bei der Verteilung von Schadsoftware verwendet wird, besteht darin, diese in ansonsten harmlosen Tools zu verpacken, wie in dieser Warnung zu sehen ist. Bei Verwendung dieser Tools kann die Schadsoftware unbemerkt im Hintergrund installiert werden.
Schweregrad: Mittel
Mitglieder der Gruppe „Lokale Administratoren“ wurden aufgezählt
Beschreibung: Computerprotokolle geben eine erfolgreiche Aufzählung für die Gruppe "%{Aufgezählte Gruppe do Standard Name}%{Enumerated Group Name}" an. Insbesondere wurden durch %{Enumerating User Domain Name}%{Enumerating User Name} die Mitglieder der Gruppe %{Enumerated Group Domain Name}%{Enumerated Group Name} remote aufgezählt. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis darauf sein, dass ein Computer in Ihrer Organisation kompromittiert und zur Aufklärung %{vmname} benutzt wurde.
Schweregrad: Informational
Schädliche Firewallregel, die durch die ZINC-Servereinschleusung erstellt wurde [mehrfach aufgetreten]
Beschreibung: Eine Firewallregel wurde mit Techniken erstellt, die einem bekannten Akteur ZINK entsprechen. Die Regel wurde möglicherweise dazu verwendet, einen Port auf dem %{Compromised Host} zu öffnen, um die Befehl-und-Steuerung-Kommunikation zu ermöglichen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Schädliche SQL-Aktivität
Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität wird als schädlich betrachtet.
Schweregrad: hoch
Mehrere Domänenkonten abgefragt
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine ungewöhnliche Anzahl unterschiedlicher Aufgaben Standard Konten innerhalb eines kurzen Zeitraums von %{Kompromittierter Host} abgefragt werden. Dies könnte eine legitime Aktivität, aber auch ein Hinweis auf eine Kompromittierung sein.
Schweregrad: Mittel
Mögliche Dumperstellung von Anmeldeinformationen erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat die Verwendung des systemeigenen Windows-Tools (z. B. sqldumper.exe) erkannt, das das Extrahieren von Anmeldeinformationen aus dem Arbeitsspeicher ermöglicht. Oftmals nutzen Angreifer diese Verfahren, um Anmeldeinformationen zu extrahieren, die sie dann für Lateral-Movement-Vorgänge und die Eskalation von Berechtigungen nutzen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Potenzieller Versuch erkannt, AppLocker zu umgehen
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen potenziellen Versuch erkannt, AppLocker-Einschränkungen zu umgehen. AppLocker kann so konfiguriert werden, dass eine Richtlinie implementiert wird, die einschränkt, welche ausführbaren Dateien auf einem Windows-System ausgeführt werden dürfen. Das Befehlszeilenmuster, das dem in dieser Warnung identifizierten ähnelt, wurde zuvor mit Versuchen von Angreifern in Verbindung gebracht, die AppLocker-Richtlinie zu umgehen, indem sie vertrauenswürdige ausführbare Dateien (die von der AppLocker-Richtlinie zugelassen werden) zur Ausführung von nicht vertrauenswürdigem Code verwenden. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Seltene SVCHOST-Dienstgruppe ausgeführt
(VM_SvcHostRunInRareServiceGroup)
Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, wenn eine seltene Dienstgruppe ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: Informational
Auf der Einrastfunktion basierender Angriff erkannt
Beschreibung: Analyse von Hostdaten weist darauf hin, dass ein Angreifer möglicherweise eine Binärdatei für die Barrierefreiheit (z. B. Sticky-Tasten, Bildschirmtastatur, Sprachausgabe) subvertiert, um den Backdoor-Zugriff auf den Host "%{Kompromittierter Host}" bereitzustellen.
Schweregrad: Mittel
Erfolgreicher Brute-Force-Angriff
(VM_LoginBruteForceSuccess)
Beschreibung: Mehrere Anmeldeversuche wurden aus derselben Quelle erkannt. Einige wurden vom Host erfolgreich authentifiziert. Dies ähnelt einem Burst-Angriff, bei dem ein Angreifer zahlreiche, Authentifizierungsversuche durchführt, um gültige Anmeldeinformationen für Konten zu finden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel/Hoch
Verdächtige Integritätsebene, die auf ein RDP-Hijacking hindeutet
Beschreibung: Die Analyse von Hostdaten hat die tscon.exe erkannt, die mit SYSTEM-Berechtigungen ausgeführt wird . Dies kann ein Hinweis darauf sein, dass ein Angreifer diese Binärdatei missbraucht, um den Kontext zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln. Es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral in einem Netzwerk zu wechseln.
Schweregrad: Mittel
Verdächtige Dienstinstallation
Beschreibung: Die Analyse von Hostdaten hat die Installation von tscon.exe als Dienst erkannt: Diese Binärdatei, die als Dienst gestartet wird, ermöglicht es einem Angreifer, trivial zu einem anderen angemeldeten Benutzer auf diesem Host zu wechseln, indem ER RDP-Verbindungen entjackt; es ist eine bekannte Angreifertechnik, mehr Benutzerkonten zu kompromittieren und lateral über ein Netzwerk zu wechseln.
Schweregrad: Mittel
Verdächtige Parameter für Kerberos Golden Ticket-Angriff beobachtet
Beschreibung: Analyse von Hostdaten ermittelte Befehlszeilenparameter, die mit einem Kerberos Golden Ticket-Angriff konsistent sind.
Schweregrad: Mittel
Verdächtige Kontoerstellung erkannt
Beschreibung: Die Analyse von Hostdaten auf '%{Kompromittierter Host}' hat die Erstellung oder Verwendung eines lokalen Kontos '%{Verdächtiger Kontoname}' erkannt: Dieser Kontoname ähnelt einem Standardmäßigen Windows-Konto oder Gruppennamen '%{Ähnlich dem Kontonamen}'. Es handelt sich hierbei möglicherweise um ein nicht autorisiertes Konto, das von einem Angreifer erstellt wurde und das so benannt wurde, um zu vermeiden, dass es von einem Administrator bemerkt wird.
Schweregrad: Mittel
Verdächtige Aktivität erkannt
(VM_SuspiciousActivity)
Beschreibung: Die Analyse von Hostdaten hat eine Abfolge eines oder mehrerer Prozesse erkannt, die auf %{Computername} ausgeführt werden, die historisch mit böswilligen Aktivitäten verknüpft wurden. Während einzelne Befehle möglicherweise gutartig erscheinen, wird die Warnung basierend auf einer Aggregation dieser Befehle bewertet. Dies könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtige Authentifizierungsaktivität
(VM_LoginBruteForceValidUserFailed)
Beschreibung: Obwohl keiner von ihnen erfolgreich war, wurden einige von ihnen verwendete Konten vom Host erkannt. Dies ähnelt einem Wörterbuchangriff, bei dem ein Angreifer zahlreiche Authentifizierungsversuche unter Verwendung eines Wörterbuchs mit vordefinierten Kontonamen und Kennwörtern durchführt, um gültige Anmeldeinformationen für den Zugriff auf den Host zu finden. Dies deutet darauf hin, dass einige der Namen Ihrer Gastkonten in einem bekannten Kontonamenwörterbuch existieren könnten.
MITRE-Taktiken: Probing
Schweregrad: Mittel
Verdächtiges Codesegment erkannt
Beschreibung: Gibt an, dass ein Codesegment mithilfe nicht standardmäßiger Methoden zugewiesen wurde, z. B. reflektierende Einfügung und Prozesshöhlung. Diese Warnung enthält weitere Merkmale des Codesegments, die verarbeitet wurden, um einen Kontext im Hinblick auf die Funktionen und das Verhalten des gemeldeten Codesegments bereitzustellen.
Schweregrad: Mittel
Datei mit verdächtiger doppelter Dateinamenerweiterung ausgeführt
Beschreibung: Die Analyse von Hostdaten weist auf eine Ausführung eines Prozesses mit einer verdächtigen Doppelerweiterung hin. Diese Erweiterung kann Benutzer dazu bringen, Dateien zu denken, sicher zu öffnen und könnte auf das Vorhandensein von Schadsoftware auf dem System hinweisen.
Schweregrad: hoch
Verdächtiger Download mit Certutil erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle des Standard stream-Zwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Download mit Certutil erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle des Standard stream-Zwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird.
Schweregrad: Mittel
Verdächtige PowerShell-Aktivität erkannt
Beschreibung: Die Analyse von Hostdaten hat ein PowerShell-Skript erkannt, das auf %{Kompromittierten Host} ausgeführt wird, das features enthält, die mit bekannten verdächtigen Skripts gemeinsam sind. Dieses Skript könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: hoch
Verdächtige PowerShell-Cmdlets ausgeführt
Beschreibung: Analyse von Hostdaten gibt die Ausführung bekannter bösartiger PowerShell PowerSploit-Cmdlets an.
Schweregrad: Mittel
Verdächtiger Prozess ausgeführt [mehrfach aufgetreten]
Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Verdächtiger Prozess ausgeführt
Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Verdächtiger Prozess}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen.
Schweregrad: hoch
Verdächtiger Prozessname erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Prozessname erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. einem bekannten Angreifertool entspricht oder auf eine Weise benannt wurde, die von Angreifertools vorgeschlagen wird, die versuchen, sich nur in nur sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde.
Schweregrad: Mittel
Verdächtige SQL-Aktivität
Beschreibung: Computerprotokolle geben an, dass '%{Prozessname}' von Konto ausgeführt wurde: %{Benutzername}. Diese Aktivität ist bei diesem Konto unüblich.
Schweregrad: Mittel
Verdächtiger SVCHOST-Prozess ausgeführt
Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt den SVCHOST-Prozess häufig, um ihre schädliche Aktivität zu tarnen.
Schweregrad: hoch
Verdächtiger Systemprozess ausgeführt
(VM_SystemProcessInAbnormalContext)
Beschreibung: Der Systemprozess "%{Prozessname}" wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware nutzt diesen Prozessnamen häufig, um ihre schädliche Aktivität zu tarnen.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verdächtige Volumeschattenkopie-Aktivität
Beschreibung: Die Analyse von Hostdaten hat eine Aktivität zum Löschen von Schattenkopien für die Ressource erkannt. Volumeschattenkopie (Volume Shadow Copy, VSC) ist ein wichtiges Artefakt, das Datenmomentaufnahmen speichert. Einige Schadsoftware und insbesondere Ransomware ist auf VSC ausgerichtet, um Sicherungsstrategien zu sabotieren.
Schweregrad: hoch
Verdächtiger WindowPosition-Registrierungswert erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine versuchte WindowPosition-Registrierungskonfigurationsänderung erkannt, die sich auf das Ausblenden von Anwendungsfenstern in nichtvisiblen Abschnitten des Desktops auswirken könnte. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Computer sein: Diese Art von Aktivität wurde zuvor mit bekannter Adware (oder unerwünschter Software) wie Win32/OneSystemCare und Win32/SystemHealer und Schadsoftware wie Win32/Creprote assoziiert. Wenn der WindowPosition-Wert auf 201329664 (Hexadezimal: 0x0c00 0c00, entsprechend der X-Achse=0c00 und der Y-Achse=0c00) festgelegt ist, wird das Fenster der Konsolenanwendung in einem nicht sichtbaren Abschnitt des Bildschirms des Benutzers in einem Bereich platziert, der unterhalb des sichtbaren Startmenüs bzw. unter der Taskleiste ausgeblendet ist. Bekannte verdächtige Hex-Werte enthalten, aber nicht beschränkt auf c000c0000.
Schweregrad: Niedrig
Verdächtig benannter Prozess erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat einen Prozess erkannt, dessen Name sehr ähnlich ist, aber sich von einem sehr häufig ausgeführten Prozess unterscheidet (%{Ähnlicher Prozessname}). Obwohl dieser Prozess harmlos sein könnte, ist bekannt, dass sich die Angreifer manchmal vor aller Augen verstecken, indem sie ihre schädlichen Tools so benennen, dass sie dem Namen eines legitimen Prozesses ähneln.
Schweregrad: Mittel
Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM
(VM_VMAccessUnusualConfigReset)
Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche Prozessausführung erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses von %{Benutzername} festgestellt, der ungewöhnlich war. Konten wie %{Benutzername} neigen dazu, einen begrenzten Satz von Vorgängen auszuführen, diese Ausführung wurde als veraltet festgelegt und kann verdächtig sein.
Schweregrad: hoch
Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualPasswordReset)
Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualSSHReset)
Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
VBScript-HTTP-Objektzuordnung erkannt
Beschreibung: Das Erstellen einer VBScript-Datei mit der Eingabeaufforderung wurde erkannt. Das folgende Skript enthält den Befehl für die Zuordnung von HTTP-Objekten. Diese Aktion kann zum Herunterladen schädlicher Dateien verwendet werden.
Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
AzureHound-Toolaufruf erkannt
(ARM_AzureHound)
Beschreibung: AzureHound wurde in Ihrem Abonnement ausgeführt und durchgeführte Informationssammlungsvorgänge zum Aufzählen von Ressourcen. Bedrohungsakteure verwenden automatisierte Tools wie AzureHound, um Ressourcen aufzulisten und sie für den Zugriff auf vertrauliche Daten zu verwenden oder laterale Bewegungen durchzuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hinweisen, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Ihre Umgebung zu kompromittieren.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Warnungen für Linux-Computer
Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Linux-Computer bereitgestellten Warnungen sind:
Eine Verlaufsdatei wurde gelöscht
Beschreibung: Analyse von Hostdaten gibt an, dass die Protokolldatei des Befehlsverlaufs gelöscht wurde. Angreifer können dies tun, um ihre Spuren abzudecken. Der Vorgang wurde vom Benutzer durchgeführt: „%{user name}“.
Schweregrad: Mittel
Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Beschreibung: Die folgenden Benutzer haben Anwendungen ausgeführt, die die Anwendungssteuerungsrichtlinie Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.
MITRE-Taktiken: Ausführung
Schweregrad: Informational
Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmBroadFilesExclusion)
Beschreibung: Der Ausschluss von Dateien aus der Antischadsoftwareerweiterung mit breiter Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Durch einen solchen Ausschluss wird der Antischadsoftware-Schutz praktisch deaktiviert. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: Mittel
Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM
(VM_AmDisablementAndCodeExecution)
Beschreibung: Antischadsoftware ist gleichzeitig mit der Codeausführung auf Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer deaktivieren Antischadsoftwarescanner, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Die Antischadsoftware auf Ihrer VM wurde deaktiviert
(VM_AmDisablement)
Beschreibung: Antischadsoftware in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmFileExclusionAndCodeExecution)
Beschreibung: Datei, die vom Antischadsoftwarescanner zur gleichen Zeit wie Code über eine benutzerdefinierte Skripterweiterung auf Ihrem virtuellen Computer ausgeführt wurde. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmTempFileExclusionAndCodeExecution)
Beschreibung: Der temporäre Dateiausschluss von der Antischadsoftwareerweiterung parallel zur Ausführung von Code über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmTempFileExclusion)
Beschreibung: Datei, die vom Antischadsoftwarescanner auf Ihrem virtuellen Computer ausgeschlossen ist. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmRealtimeProtectionDisabled)
Beschreibung: Die Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmTempRealtimeProtectionDisablement)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit parallel zur Codeausführung über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Antischadsoftwareüberprüfungen für Dateien auf Ihrem virtuellen Computer blockiert, für die eine potenzielle Verbindung mit Schadsoftwarekampagnen besteht (Vorschau)
(VM_AmMalwareCampaignRelatedExclusion)
Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert
(VM_AmTemporarilyDisablement)
Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
Schweregrad: Mittel
Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_UnusualAmFileExclusion)
Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verhalten ähnlich dem von Ransomware erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat die Ausführung von Dateien erkannt, die eine Ähnlichkeit mit bekannten Ransomware haben, die benutzer daran hindern kann, auf ihr System oder ihre persönlichen Dateien zuzugreifen, und fordert Lösegeldzahlung, um wieder Zugriff zu erhalten. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Kommunikation mit verdächtigem Do Standard wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten bösartigen Aktionen verglichen werden Standard die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Container with a miner image detected (Container mit Mining-Image erkannt)
(VM_MinerInContainerImage)
Beschreibung: Computerprotokolle geben die Ausführung eines Docker-Containers an, der ein Image ausführt, das einem digitalen Währungsmining zugeordnet ist.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Befehlszeile mit einer anomalien Mischung aus Groß- und Kleinbuchstaben erkannt. Diese Art von Muster, obwohl möglicherweise harmlos, ist auch typisch für Angreifer, die versuchen, sich vor dem Abgleich von Groß- und Kleinschreibung oder hashbasierten Regeln zu schützen, wenn sie administrative Aufgaben auf einem kompromittierten Host ausführen.
Schweregrad: Mittel
Erkannter Dateidownload von einer bekannten schädlichen Quelle
Beschreibung: Die Analyse von Hostdaten hat den Download einer Datei aus einer bekannten Schadsoftwarequelle auf %{Kompromittiertes Host} erkannt.
Schweregrad: Mittel
Erkannte verdächtige Netzwerkaktivität
Beschreibung: Die Analyse des Netzwerkdatenverkehrs von %{Kompromittierten Host} hat verdächtige Netzwerkaktivitäten erkannt. Ein solcher Datenverkehr ist möglicherweise gutartig, wird aber in der Regel von einem Angreifer zur Kommunikation mit schädlichen Servern zum Herunterladen von Tools, in Befehl-und-Steuerung-Szenarien und zur Exfiltration von Daten verwendet. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.
Schweregrad: Niedrig
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.
Schweregrad: hoch
Deaktivierung der auditd-Protokollierung [mehrfach aufgetreten]
Beschreibung: Das Linux Audit System bietet eine Möglichkeit, sicherheitsrelevante Informationen auf dem System nachzuverfolgen. Es zeichnet so viele Informationen wie möglich über die in Ihrem System auftretenden Ereignisse auf. Die Deaktivierung der auditd-Protokollierung könnte die Ermittlung von Verstößen gegen die auf dem System verwendeten Sicherheitsrichtlinien erschweren. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Ausnutzung des Xorg-Sicherheitsrisikos [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat den Benutzer von Xorg mit verdächtigen Argumenten erkannt. Angreifer verwenden diese Technik möglicherweise bei Berechtigungseskalationsversuchen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Erfolgloser SSH-Brute-Force-Angriff
(VM_SshBruteForceFailed)
Beschreibung: Fehlgeschlagene Brute-Force-Angriffe wurden von den folgenden Angreifern erkannt: %{Angreifer}. Die Angreifer haben versucht, auf den Host mit den folgenden Benutzernamen zuzugreifen: %{Accounts used on failed sign in to host attempts}.
MITRE-Taktiken: Probing
Schweregrad: Mittel
Verhaltensweise eines dateilosen Angriffs erkannt
(VM_FilelessAttackBehavior.Linux)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Dateilose Angriffstechnik erkannt
(VM_FilelessAttackTechnique.Linux)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Toolkit für dateilosen Angriff erkannt
(VM_FilelessAttackToolkit.Linux)
Beschreibung: Der speicher des unten angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: {ToolKitName}. Toolkits für dateilose Angriffe sind in der Regel nicht im Dateisystem vorhanden und somit für herkömmliche Antivirensoftware nur schwer zu erkennen. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verborgene Dateiausführung erkannt
Beschreibung: Die Analyse von Hostdaten gibt an, dass eine ausgeblendete Datei von %{Benutzername} ausgeführt wurde. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Informational
Neuer SSH-Schlüssel hinzugefügt [mehrfach aufgetreten]
(VM_SshKeyAddition)
Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Neuer SSH-Schlüssel hinzugefügt
Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt.
Schweregrad: Niedrig
Mögliche Hintertür erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine verdächtige Datei heruntergeladen wird, und führen Sie dann in Ihrem Abonnement auf %{Kompromittierte Host} aus. Diese Aktivität war in der Vergangenheit mit der Installation einer Hintertür verbunden. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Mögliche Ausnutzung des erkannten Mailservers
(VM_MailserverExploitation)
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine ungewöhnliche Ausführung unter dem E-Mail-Serverkonto erkannt.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Mögliche schädliche Webshell erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine mögliche Webshell erkannt. Angreifer laden häufig eine Webshell auf einen Computer hoch, den sie kompromittiert haben, um Persistenz zu erreichen oder ihn weiter auszunutzen.
Schweregrad: Mittel
Mögliche Kennwortänderung durch crypt-Methode erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Kennwortänderung mithilfe der Verschlüsselungsmethode erkannt. Angreifer können diese Änderung vornehmen, um auch nach einer Kompromittierung weiterhin Zugang und Persistenz zu erreichen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Mit dem Mining von Digitalwährungen assoziierter Prozess erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses festgestellt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist. Dieses Verhalten wurde heute mehr als 100 mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Process associated with digital currency mining detected (Prozess erkannt, der mit digitalem Währungs-Mining assoziiert wird)
Beschreibung: Die Hostdatenanalyse hat die Ausführung eines Prozesses erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.
MITRE-Taktiken: Ausbeutung, Ausführung
Schweregrad: Mittel
Mit Python codiertes Downloadprogramm erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat die Ausführung codierter Python erkannt, die Code von einem Remotestandort herunterlädt und ausführt. Dies kann ein Hinweis auf böswillige Aktivitäten sein. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Auf dem Host aufgenommener Screenshot [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat den Benutzer eines Bildschirmaufnahmetools erkannt. Angreifer können diese Tools verwenden, um auf private Daten zuzugreifen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Shellcode erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass shellcode aus der Befehlszeile generiert wurde. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Erfolgreicher SSH-Brute-Force-Angriff
(VM_SshBruteForceSuccess)
Beschreibung: Die Analyse von Hostdaten hat einen erfolgreichen Brute-Force-Angriff erkannt. Die IP-Adresse %{Attacker source IP} wurde bei mehreren Anmeldeversuchen beobachtet. Erfolgreiche Anmeldungen wurden von dieser IP-Adresse aus mit dem/den folgenden Benutzer(n) vorgenommen: %{Accounts used to successfully sign in to host}. Dies bedeutet, dass der Host kompromittiert und von einem böswilligen Akteur gesteuert wird.
MITRE-Taktiken: Ausbeutung
Schweregrad: hoch
Verdächtige Kontoerstellung erkannt
Beschreibung: Die Analyse von Hostdaten auf '%{Kompromittierter Host}' hat die Erstellung oder Verwendung eines lokalen Kontos '%{Verdächtiger Kontoname}' erkannt: Dieser Kontoname ähnelt einem Standardmäßigen Windows-Konto oder Gruppennamen '%{Ähnlich dem Kontonamen}'. Es handelt sich hierbei möglicherweise um ein nicht autorisiertes Konto, das von einem Angreifer erstellt wurde und das so benannt wurde, um zu vermeiden, dass es von einem Administrator bemerkt wird.
Schweregrad: Mittel
Verdächtiges Kernelmodul erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass eine freigegebene Objektdatei als Kernelmodul geladen wird. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Kennwortzugriff [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat verdächtigen Zugriff auf verschlüsselte Benutzerpasswörter auf %{Kompromittierter Host} erkannt. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Informational
Verdächtiger Kennwortzugriff
Beschreibung: Die Analyse von Hostdaten hat verdächtigen Zugriff auf verschlüsselte Benutzerpasswörter auf %{Kompromittierter Host} erkannt.
Schweregrad: Informational
Suspicious request to the Kubernetes Dashboard (Verdächtige Anforderung an Kubernetes-Dashboard)
(VM_KubernetesDashboard)
Beschreibung: Computerprotokolle deuten darauf hin, dass eine verdächtige Anforderung an das Kubernetes-Dashboard gestellt wurde. Die Anforderung wurde von einem Kubernetes-Knoten gesendet – unter Umständen von einem der Container, die auf dem Knoten ausgeführt werden. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass auf dem Knoten ein kompromittierter Container ausgeführt wird.
MITRE-Taktiken: LateralMovement
Schweregrad: Mittel
Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM
(VM_VMAccessUnusualConfigReset)
Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualPasswordReset)
Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualSSHReset)
Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
Warnungen für DNS
Wichtig
Ab dem 1 2023. August können Kunden mit einem vorhandenen Abonnement für Defender for DNS den Dienst weiterhin verwenden, aber neue Abonnenten erhalten Benachrichtigungen zu verdächtigen DNS-Aktivitäten als Teil von Defender for Servers P2.
Anomale Netzwerkprotokollnutzung
(AzureDNS_ProtocolAnomaly)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine anomaliele Protokollverwendung festgestellt. Ein solcher Datenverkehr könnte zwar möglicherweise gutartig sein, aber auf einen Missbrauch dieses gemeinsamen Protokolls hinweisen, um die Netzwerkdatenverkehrsfilterung zu umgehen. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.
MITRE-Taktiken: Exfiltration
Schweregrad: -
Anonyme Netzwerkaktivität
(AzureDNS_DarkWeb)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anonymitätsnetzwerkaktivität erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, diese Vorgehensweise wird jedoch auch häufig von Angreifern genutzt, um die Nachverfolgung und Fingerabdrücke in der Netzwerkkommunikation zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Anonyme Netzwerkaktivität unter Verwendung eines Webproxys
(AzureDNS_DarkWebProxy)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anonymitätsnetzwerkaktivität erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, diese Vorgehensweise wird jedoch auch häufig von Angreifern genutzt, um die Nachverfolgung und Fingerabdrücke in der Netzwerkkommunikation zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Versuchte Kommunikation mit einer verdächtigen Sinkhole-Domäne
(AzureDNS_SinkholedDomain)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Anforderung für sinkholed do erkannt Standard. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Kommunikation mit einer möglichen Phishingdomäne
(AzureDNS_PhishingDomain)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine Anforderung für eine mögliche Phishing-Aktion erkannt Standard. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um Anmeldeinformationen für Remotedienste auszulesen. Zu den typischen Aktivitäten von Angreifern zählt in diesem Fall die Ausnutzung von Anmeldeinformationen für den legitimen Dienst.
MITRE-Taktiken: Exfiltration
Schweregrad: Informational
Kommunikation mit einer verdächtigen algorithmisch generierten Domäne
(AzureDNS_DomainGenerationAlgorithm)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die mögliche Verwendung eines Do Standard Generierungsalgorithmus erkannt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Informational
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Kommunikation mit verdächtigem Do Standard wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten bösartigen Aktionen verglichen werden Standard die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Kommunikation mit einem verdächtigen zufälligen Domänennamen
(AzureDNS_RandomizedDomain)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Verwendung eines verdächtigen zufällig generierten Do Standard Namens festgestellt. Solche Aktivitäten können harmlos sein, sie werden jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Informational
Digital Currency Mining-Aktivität
(AzureDNS_CurrencyMining)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat die Miningaktivität digitaler Währungen festgestellt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Erkennung eines Netzwerkangriffs mittels Signaturaktivierung
(AzureDNS_SuspiciousDomain)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat eine bekannte bösartige Netzwerksignatur erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Möglicher Datendownload über einen DNS-Tunnel
(AzureDNS_DataInfiltration)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Mögliche Datenexfiltration über einen DNS-Tunnel
(AzureDNS_DataExfiltration)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Mögliche Datenübertragung über einen DNS-Tunnel
(AzureDNS_DataObfuscation)
Beschreibung: Die Analyse von DNS-Transaktionen von %{CompromisedEntity} hat einen möglichen DNS-Tunnel erkannt. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, sie wird jedoch auch oft von Angreifern durchgeführt, um die Netzwerküberwachung und -filterung zu umgehen. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung von Schadsoftware oder Remoteverwaltungstools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Warnungen für Azure-VM-Erweiterungen
Diese Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Erweiterungen für virtuelle Azure-Computer und bietet Einblicke in die Versuche von Angreifern, böswillige Aktivitäten auf Ihren virtuellen Computern zu kompromittieren und auszuführen.
Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:
Datensammlung und -überwachung
Codeausführung und Konfigurationsbereitstellung mit erhöhten Berechtigungen
Zurücksetzen von Anmeldeinformationen und Erstellen von Administratorbenutzerkonten
Verschlüsseln von Datenträgern
Erfahren Sie mehr über Defender for Cloud– neuesten Schutz vor dem Missbrauch von Azure VM-Erweiterungen.
Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau)
(VM_GPUExtensionSuspiciousFailure)
Beschreibung: Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousScript)
Beschreibung: Ein Befehl "Ausführen" mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousFailure)
Beschreibung: Verdächtige nicht autorisierte Verwendung des Ausführungsbefehls ist fehlgeschlagen und wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten versuchen, mithilfe der Skriptausführung über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousUsage)
Beschreibung: Verdächtige Verwendung des Ausführungsbefehls wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit erhöhten Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_SuspiciousMultiExtensionUsage)
Beschreibung: Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Aufklärung
Schweregrad: Mittel
Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_DiskEncryptionSuspiciousUsage)
Beschreibung: Verdächtige Installation von Datenträgerverschlüsselungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Datenträgerverschlüsselungserweiterung missbrauchen, um vollständige Datenträgerverschlüsselungen auf Ihren VMs über den Azure Resource Manager bereitzustellen und so zu versuchen, Ransomware-Aktivitäten durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige Nutzung der VMAccess-Erweiterung auf Ihren VMs erkannt (Vorschau)
(VM_VMAccessSuspiciousUsage)
Beschreibung: Verdächtige Verwendung der VMAccess-Erweiterung wurde auf Ihren virtuellen Computern erkannt. Angreifer missbrauchen die VMAccess-Erweiterung möglicherweise, um Zugriff zu erhalten und Ihre virtuellen Computer mit hohen Berechtigungen zu kompromittieren, indem Sie den Zugriff zurücksetzen oder Administrative Benutzer verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.
Schweregrad: Mittel
DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt (Vorschau)
(VM_DSCExtensionSuspiciousScript)
Beschreibung: Die DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt (Vorschau)
(VM_DSCExtensionSuspiciousUsage)
Beschreibung: Verdächtige Verwendung einer DSC-Erweiterung (Desired State Configuration) wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_CustomScriptExtensionSuspiciousCmd)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten eine benutzerdefinierte Skripterweiterung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige fehlgeschlagene Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousFailure)
Beschreibung: Verdächtiger Fehler einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Solche Fehler können böswilligen Skripts zugeordnet werden, die von dieser Erweiterung ausgeführt werden.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Ungewöhnliche Löschung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionUnusualDeletion)
Beschreibung: Ungewöhnliches Löschen einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionUnusualExecution)
Beschreibung: Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Benutzerdefinierte Skripterweiterung mit verdächtigem Einstiegspunkt auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Einstiegspunkt wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Der Einstiegspunkt verweist auf ein verdächtiges GitHub-Repository. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Benutzerdefinierte Skripterweiterung mit verdächtiger Payload auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousPayload)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einer Nutzlast aus einem verdächtigen GitHub-Repository wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Warnungen für Azure App Service
An attempt to run Linux commands on a Windows App Service (Versuchte Ausführung von Linux-Befehlen für eine App Service-Instanz unter Windows)
(AppServices_LinuxCommandOnWindows)
Beschreibung: Analyse von App Service-Prozessen hat einen Versuch erkannt, einen Linux-Befehl auf einem Windows-App-Dienst auszuführen. Diese Aktion wurde von der Webanwendung ausgeführt. Ein solches Verhalten ist häufig bei Angriffen zu beobachten, die sich eine Sicherheitslücke in einer gängigen Webanwendung zunutze machen. (Gilt für: App Service für Windows)
Schweregrad: Mittel
An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (Eine IP-Adresse, über die eine Verbindung mit Ihrer FTP-Schnittstelle von Azure App Service hergestellt wurde, wurde in Threat Intelligence gefunden.)
(AppServices_IncomingTiClientIpFtp)
Beschreibung: Azure-App Dienst-FTP-Protokoll gibt eine Verbindung von einer Quelladresse an, die im Threat Intelligence-Feed gefunden wurde. Im Rahmen dieser Verbindung hat ein Benutzer auf die aufgeführten Seiten zugegriffen. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Attempt to run high privilege command detected (Versuchte Ausführung eines Befehls mit hohen Berechtigungen erkannt)
(AppServices_HighPrivilegeCommand)
Beschreibung: Die Analyse von App Service-Prozessen hat einen Versuch erkannt, einen Befehl auszuführen, der hohe Berechtigungen erfordert. Der Befehl wurde im Kontext der Webanwendung ausgeführt. Dieses Verhalten kann zwar legitim sein, in Webanwendungen ist es jedoch auch im Zusammenhang mit schädlichen Aktivitäten zu beobachten. (Gilt für: App Service für Windows)
Schweregrad: Mittel
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Kommunikation mit verdächtigem Do Standard wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten bösartigen Aktionen verglichen werden Standard die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Connection to web page from anomalous IP address detected (Verbindung mit einer Webseite über eine anomale IP-Adresse erkannt)
(AppServices_AnomalousPageAccess)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine anomalieale Verbindung mit einer vertraulichen Webseite aus der aufgelisteten Quell-IP-Adresse an. Dies deutet möglicherweise auf einen Brute-Force-Angriff auf Ihre Web-App-Verwaltungsseiten hin. Es ist aber auch denkbar, dass ein berechtigter Benutzer lediglich eine neue IP-Adresse verwendet. Wenn die Quell-IP-Adresse vertrauenswürdig ist, können Sie diese Warnung für diese Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Erstzugriff
Schweregrad: Niedrig
Verwaister DNS-Eintrag für eine App Service-Ressource erkannt
(AppServices_DanglingDomain)
Beschreibung: Ein DNS-Eintrag, der auf eine kürzlich gelöschte App Service-Ressource verweist (auch bekannt als "dangling DNS"-Eintrag), wurde erkannt. Dadurch besteht die Gefahr einer Unterdomänenübernahme. Durch die Übernahme von Unterdomänen können böswillige Akteure Datenverkehr, der für die Domäne eines Unternehmens bestimmt ist, an eine Website für schädliche Aktivitäten umleiten. (Gilt für: App Service für Windows und App Service für Linux)
Schweregrad: hoch
Erkannte verschlüsselte ausführbare Datei in den Befehlszeilendaten
(AppServices_Base64EncodedExecutableInCommandLineParams)
Beschreibung: Die Analyse von Hostdaten auf {Compromised host} hat eine base64-codierte ausführbare Datei erkannt. Dies wurde früher mit Angreifern assoziiert, die versuchten, ausführbare Dateien direkt durch eine Folge von Befehlen zu erstellen und versuchten, Intrusion-Detection-Systeme zu umgehen, indem sie sicherstellten, dass kein einziger Befehl einen Alarm auslöste. Dies könnte eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein. (Gilt für: App Service für Windows)
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Erkannter Dateidownload von einer bekannten schädlichen Quelle
(AppServices_SuspectDownload)
Beschreibung: Die Analyse von Hostdaten hat den Download einer Datei aus einer bekannten Schadsoftwarequelle auf Ihrem Host erkannt. (Gilt für: App Service für Linux)
MITRE-Taktiken: Berechtigungseskalation, Ausführung, Exfiltration, Befehl und Kontrolle
Schweregrad: Mittel
Erkannter verdächtiger Dateidownload
(AppServices_SuspectDownloadArtifacts)
Beschreibung: Die Analyse von Hostdaten hat verdächtigen Download der Remotedatei erkannt. (Gilt für: App Service für Linux)
Schweregrad: Mittel
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
(AppServices_DigitalCurrencyMining)
Beschreibung: Die Analyse von Hostdaten in Inn-Flow-WebJobs hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Ausführbare Datei mit Certutil decodiert
(AppServices_ExecutableDecodedUsingCertutil)
Beschreibung: Die Analyse von Hostdaten für [Kompromittierte Entität] hat festgestellt, dass certutil.exe, ein integriertes Administratorhilfsprogramm, verwendet wurde, um eine ausführbare Datei anstelle des Standard stream-Zwecks zu decodieren, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und beispielsweise ein Tool wie „certutil.exe“ verwenden, um eine schädliche ausführbare Datei zu decodieren, die anschließend ausgeführt wird. (Gilt für: App Service für Windows)
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verhaltensweise eines dateilosen Angriffs erkannt
(AppServices_FilelessAttackBehaviorDetection)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Spezifische Verhaltensweisen sind: {Liste der beobachteten Verhaltensweisen} (Gilt für: App-Dienst unter Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Dateilose Angriffstechnik erkannt
(AppServices_FilelessAttackTechniqueDetection)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Spezifische Verhaltensweisen sind: {Liste der beobachteten Verhaltensweisen} (Gilt für: App-Dienst unter Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Toolkit für dateilosen Angriff erkannt
(AppServices_FilelessAttackToolkitDetection)
Beschreibung: Der speicher des unten angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: {ToolKitName}. Toolkits für dateilose Angriffe sind in der Regel nicht im Dateisystem vorhanden und somit für herkömmliche Antivirensoftware nur schwer zu erkennen. Spezifische Verhaltensweisen sind: {Liste der beobachteten Verhaltensweisen} (Gilt für: App-Dienst unter Windows und App Service für Linux)
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Microsoft Defender für Cloud-Testwarnung für App Service (keine Bedrohung)
(AppServices_EICAR)
Beschreibung: Dies ist eine Testwarnung, die von Microsoft Defender für Cloud generiert wird. Weitere Schritte sind nicht erforderlich. (Gilt für: App Service für Windows und App Service für Linux)
Schweregrad: hoch
NMap-Überprüfung erkannt
(AppServices_Nmap)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Webfingerabdrücke-Aktivität für Ihre App Service-Ressource an. Die erkannte verdächtige Aktivität steht mit NMAP im Zusammenhang. Angreifer verwenden dieses Tool häufig, um die Webanwendung auf Schwachstellen zu testen. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: PreAttack
Schweregrad: Informational
In Azure-Web-Apps gehostete Phishinginhalte
(AppServices_PhishingContent)
Beschreibung: URL, die für Phishingangriffe auf der website Azure-App Services verwendet wird. Diese URL war Teil eines Phishingangriffs, der an Microsoft 365-Kunden gesendet wurde. Der Inhalt spioniert typischerweise Unternehmensanmeldeinformationen oder Finanzdaten aus, die von Besuchern in eine legitime aussehende Website eingegeben werden. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Sammlung
Schweregrad: hoch
PHP file in upload folder (PHP-Datei im Uploadordner)
(AppServices_PhpInUploadFolder)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt einen Zugriff auf eine verdächtige PHP-Seite im Uploadordner an. Diese Art von Ordner enthält normalerweise keine PHP-Dateien. Ist ein solcher Dateityp vorhanden, kann dies auf die Ausnutzung von Sicherheitslücken beim Dateiupload hindeuten. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Möglicher Cryptocoinminer-Download erkannt
(AppServices_CryptoCoinMinerDownload)
Beschreibung: Die Analyse von Hostdaten hat den Download einer Datei erkannt, die normalerweise mit dem Digitalen Währungsmining verknüpft ist. (Gilt für: App Service für Linux)
MITRE-Taktiken: Verteidigungshinterziehung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Mögliche Datenexfiltration erkannt
(AppServices_DataEgressArtifacts)
Beschreibung: Die Analyse von Host-/Gerätedaten hat eine mögliche Datenausgangsbedingung erkannt. Angreifer greifen häufig Daten von Computern ab, die sie kompromittiert haben. (Gilt für: App Service für Linux)
MITRE-Taktiken: Sammlung, Exfiltration
Schweregrad: Mittel
Potenziell verwaister DNS-Eintrag für eine App Service-Ressource erkannt
(AppServices_PotentialDanglingDomain)
Beschreibung: Ein DNS-Eintrag, der auf eine kürzlich gelöschte App Service-Ressource verweist (auch bekannt als "dangling DNS"-Eintrag), wurde erkannt. Dadurch besteht ggf. die Gefahr einer Unterdomänenübernahme. Durch die Übernahme von Unterdomänen können böswillige Akteure Datenverkehr, der für die Domäne eines Unternehmens bestimmt ist, an eine Website für schädliche Aktivitäten umleiten. In diesem Fall wurde ein Textdatensatz mit der Domänenverifizierungs-ID gefunden. Solche Textdatensätze verhindern zwar die Unterdomänenübernahme, wir empfehlen aber dennoch, die verwaiste Domäne zu entfernen. Wenn Sie den auf die Unterdomäne verweisenden DNS-Eintrag beibehalten und jemand in Ihrer Organisation die TXT-Datei oder den Eintrag löscht, besteht ein Risiko. (Gilt für: App Service für Windows und App Service für Linux)
Schweregrad: Niedrig
Mögliche Reverse Shell erkannt
(AppServices_ReverseShell)
Beschreibung: Die Analyse von Hostdaten hat eine potenzielle Reverseshell erkannt. Diese werden verwendet, um einen kompromittierten Computer dazu zu bringen, einen Computer zurückzurufen, der im Besitz eines Angreifers ist. (Gilt für: App Service für Linux)
MITRE-Taktiken: Exfiltration, Ausbeutung
Schweregrad: Mittel
Download von Rohdaten erkannt
(AppServices_DownloadCodeFromWebsite)
Beschreibung: Analyse von App Service-Prozessen hat einen Versuch erkannt, Code von Rohdatenwebsites wie Pastebin herunterzuladen. Diese Aktion wurde von einem PHP-Prozess ausgeführt. Dieses Verhalten wird mit Versuchen assoziiert, Webshells oder andere schädliche Komponenten in App Service herunterzuladen. (Gilt für: App Service für Windows)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Speichern der CURL-Ausgabe auf Datenträger erkannt
(AppServices_CurlToDisk)
Beschreibung: Die Analyse von App Service-Prozessen hat die Ausführung eines curl-Befehls erkannt, in dem die Ausgabe auf dem Datenträger gespeichert wurde. Dieses Verhalten kann zwar legitim sein, in Webanwendungen ist es jedoch auch im Zusammenhang mit schädlichen Aktivitäten zu beobachten – etwa bei Versuchen, Websites mit Webshells zu infizieren. (Gilt für: App Service für Windows)
Schweregrad: Niedrig
Referrer für Spam-Ordner erkannt
(AppServices_SpamReferrer)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt Webaktivitäten an, die als Ursprung einer Website identifiziert wurden, die mit Spamaktivitäten verknüpft ist. Dies kann auftreten, wenn Ihre Website kompromittiert und für Spam-Aktivitäten genutzt wurde. (Gilt für: App Service für Windows und App Service für Linux)
Schweregrad: Niedrig
Suspicious access to possibly vulnerable web page detected (Verdächtigen Zugriff auf möglicherweise anfällige Webseite erkannt)
(AppServices_ScanSensitivePage)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass auf eine Webseite zugegriffen wurde, auf die zugegriffen werden muss. Diese verdächtige Aktivität geht von einer Quell-IP-Adresse aus, deren Zugriffsmuster dem Zugriffsmuster eines Webscanners ähnelt. Diese Aktivität wird oft mit dem Versuch eines Angreifers in Verbindung gebracht, Ihr Netzwerk zu scannen, um Zugang zu sensiblen oder anfälligen Webseiten zu erhalten. (Gilt für: App Service für Windows und App Service für Linux)
Schweregrad: Niedrig
Verdächtiger Domänennamenverweis
(AppServices_CommandlineSuspectDomain)
Beschreibung: Analyse der erkannten Hostdaten referenziert auf verdächtige Do Standard Name. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen weist sie jedoch auf den Download oder die Ausführung von Schadsoftware hin. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung weiterer Schadsoftware oder Remoteverwaltungstools. (Gilt für: App Service für Linux)
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Verdächtiger Download mit Certutil erkannt
(AppServices_DownloadUsingCertutil)
Beschreibung: Die Analyse von Hostdaten auf {NAME} hat die Verwendung von certutil.exe, einem integrierten Administratorprogramm, für den Download einer Binärdatei anstelle des Standard stream-Zwecks erkannt, der sich auf die Bearbeitung von Zertifikaten und Zertifikatdaten bezieht. Es ist bekannt, dass Angreifer Funktionen legitimer Administratortools für schädliche Aktionen missbrauchen und z. B. „certutil.exe“ verwenden, um eine schädliche ausführbare Datei herunterzuladen und zu decodieren, die anschließend ausgeführt wird. (Gilt für: App Service für Windows)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Suspicious PHP execution detected (Verdächtige PHP-Ausführung erkannt)
(AppServices_SuspectPhp)
Beschreibung: Computerprotokolle deuten darauf hin, dass ein verdächtiger PHP-Prozess ausgeführt wird. Bei der Aktion wurde versucht, mithilfe des PHP-Prozesses Betriebssystembefehle oder PHP-Code über die Befehlszeile auszuführen. Dieses Verhalten kann zwar legitim sein, in Webanwendungen kann es jedoch auch auf schädliche Aktivitäten hindeuten – etwa bei Versuchen, Websites mit Webshells zu infizieren. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtige PowerShell-Cmdlets ausgeführt
(AppServices_PowerShellPowerSploitScriptExecution)
Beschreibung: Analyse von Hostdaten gibt die Ausführung bekannter bösartiger PowerShell PowerSploit-Cmdlets an. (Gilt für: App Service für Windows)
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtiger Prozess ausgeführt
(AppServices_KnownCredential AccessTools)
Beschreibung: Computerprotokolle deuten darauf hin, dass der verdächtige Prozess "%{Prozesspfad}" auf dem Computer ausgeführt wurde, häufig mit Angreifern verknüpfte Versuche, auf Anmeldeinformationen zuzugreifen. (Gilt für: App Service für Windows)
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: hoch
Verdächtiger Prozessname erkannt
(AppServices_ProcessWithKnownSuspiciousExtension)
Beschreibung: Die Analyse von Hostdaten in {NAME} hat einen Prozess erkannt, dessen Name verdächtig ist, z. B. ein bekanntes Angreifertool oder einen Namen in einer Weise, die vorschlagend für Angreifertools ist, die versuchen, sich nur in sichtiger Sicht auszublenden. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. (Gilt für: App Service für Windows)
MITRE-Taktiken: Persistenz, Verteidigungshinterziehung
Schweregrad: Mittel
Verdächtiger SVCHOST-Prozess ausgeführt
(AppServices_SVCHostFromInvalidPath)
Beschreibung: Der Systemprozess SVCHOST wurde beobachtet, der in einem ungewöhnlichen Kontext ausgeführt wird. Schadsoftware verwendet SVCHOST häufig, um seine schädliche Aktivität zu maskieren. (Gilt für: App Service für Windows)
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verdächtiger Benutzer-Agent erkannt
(AppServices_UserAgentInjection)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt Anforderungen mit verdächtigem Benutzer-Agent an. Dieses Verhalten kann auf Versuche hinweisen, ein Sicherheitsrisiko in Ihrer App Service-Anwendung auszunutzen. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Erstzugriff
Schweregrad: Informational
Suspicious WordPress theme invocation detected (Verdächtigen Aufruf eines WordPress-Designs erkannt)
(AppServices_WpThemeInjection)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Codeeinfügungsaktivität für Ihre App Service-Ressource an. Die erkannte verdächtige Aktivität ähnelt der einer Veränderung eines WordPress-Designs, sodass die serverseitige Ausführung von Code möglich wird – gefolgt von einer direkten Webanforderung zum Aufrufen der veränderten Designdatei. Diese Art von Aktivität wurde in der Vergangenheit bei Angriffen über WordPress beobachtet. Wenn Ihre App Service-Ressource keine WordPress-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Überprüfung auf Sicherheitsrisiken erkannt
(AppServices_DrupalScanner)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf ein Content-Management-System (CMS) ausgerichtet sind. Wenn Ihre App Service-Ressource keine Drupal-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows)
MITRE-Taktiken: PreAttack
Schweregrad: Niedrig
Überprüfung auf Sicherheitsrisiken erkannt
(AppServices_JoomlaScanner)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf Joomla-Anwendungen ausgerichtet sind. Wenn Ihre App Service-Ressource keine Joomla-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: PreAttack
Schweregrad: Niedrig
Überprüfung auf Sicherheitsrisiken erkannt
(AppServices_WpScanner)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt an, dass ein möglicher Sicherheitsrisikoscanner in Ihrer App Service-Ressource verwendet wurde. Die erkannte verdächtige Aktivität ähnelt der von Tools, die auf WordPress-Anwendungen ausgerichtet sind. Wenn Ihre App Service-Ressource keine WordPress-Website hostet, ist sie nicht anfällig für diesen speziellen Codeinjektions-Exploit, und Sie können diese Warnung für die Ressource gefahrlos unterdrücken. Informationen zum Unterdrücken von Sicherheitswarnungen finden Sie unter Unterdrücken von Warnungen von Microsoft Defender für Cloud. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: PreAttack
Schweregrad: Niedrig
Web fingerprinting detected (Erstellung eines digitalen Webfingerabdrucks erkannt)
(AppServices_WebFingerprinting)
Beschreibung: Azure-App Dienstaktivitätsprotokoll gibt eine mögliche Webfingerabdrücke-Aktivität für Ihre App Service-Ressource an. Die verdächtige Aktivität hängt mit einem Tool namens Blind Elephant zusammen. Das Tool erstellt einen digitalen Fingerabdruck von Webservern und versucht, die installierten Anwendungen und die Version zu ermitteln. Angreifer verwenden dieses Tool häufig, um die Webanwendung auf Schwachstellen zu testen. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Website im Threat Intelligence-Feed als bösartig markiert
(AppServices_SmartScreen)
Beschreibung: Ihre Website wie unten beschrieben wird von Windows SmartScreen als böswillige Website gekennzeichnet. Wenn Sie der Meinung sind, dass es sich um ein falsch positives Ergebnis handelt, wenden Sie sich an Windows SmartScreen über den angegebenen Link zum Senden von Feedback. (Gilt für: App Service für Windows und App Service für Linux)
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Warnungen für Container: Kubernetes-Cluster
Microsoft Defender für Container stellt Sicherheitswarnungen auf Clusterebene und auf den zugrunde liegenden Clusterknoten bereit, indem sowohl die Steuerungsebene (API-Server) als auch die Containerworkload selbst überwacht wird. Sicherheitswarnungen auf Steuerungsebene können durch ein Präfix K8S_
des Warnungstyps erkannt werden. Sicherheitswarnungen für die Laufzeitworkload in den Clustern können durch das Präfix K8S.NODE_
des Warnungstyps erkannt werden. Alle Warnungen werden nur auf Linux unterstützt, sofern nicht anders angegeben.
Verfügbar gemachter Postgres-Dienst mit Konfiguration für die Authentifizierung mit Vertrauensstellung in Kubernetes erkannt (Vorschau)
(K8S_ExposedPostgresTrustAuth)
Beschreibung: Kubernetes-Clusterkonfigurationsanalyse hat die Exposition eines Postgres-Diensts durch einen Lastenausgleich erkannt. Der Dienst ist mit der Methode für die Authentifizierung mit Vertrauensstellung konfiguriert, für die keine Anmeldeinformationen erforderlich sind.
MITRE-Taktiken: InitialAccess
Schweregrad: Mittel
Verfügbar gemachter Postgres-Dienst mit Risikokonfiguration in Kubernetes erkannt (Vorschau)
(K8S_ExposedPostgresBroadIPRange)
Beschreibung: Kubernetes-Clusterkonfigurationsanalyse erkannte die Exposition eines Postgres-Diensts durch einen Lastenausgleich mit einer riskanten Konfiguration. Das Verfügbarmachen des Diensts für eine Vielzahl von IP-Adressen stellt ein Sicherheitsrisiko dar.
MITRE-Taktiken: InitialAccess
Schweregrad: Mittel
Versuch, einen neuen Linux-Namespace aus einem erkannten Container zu erstellen
(K8S.NODE_NamespaceCreation) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container im Kubernetes-Cluster ausgeführt werden, hat versucht, einen neuen Linux-Namespace zu erstellen. Obwohl dieses Verhalten möglicherweise legitim ist, kann es auch darauf hinweisen, dass ein Angreifer versucht, vom Container zum Knoten zu entkommen. Einige CVE-2022-0185-Exploits verwenden diese Technik.
MITRE-Taktiken: PrivilegeEscalation
Schweregrad: Informational
Eine Verlaufsdatei wurde gelöscht
(K8S.NODE_HistoryFileCleared) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass die Protokolldatei des Befehlsverlaufs gelöscht wurde. Angreifer können dies tun, um ihre Spuren abzudecken. Der Vorgang wurde vom angegebenen Benutzerkonto ausgeführt.
MITRE-Taktiken: DefenseEvasion
Schweregrad: Mittel
Ungewöhnliche Aktivität der verwalteten Identität, die Kubernetes zugeordnet ist (Vorschau)
(K8S_AbnormalMiActivity)
Beschreibung: Die Analyse von Azure Resource Manager-Vorgängen hat ein ungewöhnliches Verhalten einer verwalteten Identität erkannt, die von einem AKS-Addon verwendet wird. Die erkannte Aktivität ist nicht mit dem Verhalten des zugeordneten Add-Ons konsistent. Obwohl diese Aktivität legitim sein kann, kann ein solches Verhalten darauf hindeuten, dass ein Angreifer Zugriff auf die Identität erlangt hat (möglicherweise über einen kompromittierten Container im Kubernetes-Cluster).
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Ungewöhnlicher Kubernetes-Dienstkontovorgang erkannt
(K8S_ServiceAccountRareOperation)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat ein ungewöhnliches Verhalten durch ein Dienstkonto in Ihrem Kubernetes-Cluster erkannt. Das Dienstkonto wurde für einen Vorgang verwendet, der für dieses Dienstkonto nicht üblich ist. Diese Aktivität kann zwar legitim sein, ein solches Verhalten kann aber darauf hindeuten, dass das Dienstkonto für böswillige Zwecke verwendet wird.
MITRE-Taktiken: Lateral Movement, Credential Access
Schweregrad: Mittel
Es wurde ein ungewöhnlicher Verbindungsversuch erkannt
(K8S.NODE_SuspectConnection) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen ungewöhnlichen Verbindungsversuch mithilfe eines Sockenprotokolls erkannt. Dies ist im normalen Betrieb sehr selten, aber ein bekanntes Verfahren für Angreifer, die versuchen, Erkennungen auf Netzwerkebene zu umgehen.
MITRE-Taktiken: Ausführung, Exfiltration, Ausbeutung
Schweregrad: Mittel
Versuch, den Dienst „apt-daily-upgrade.timer“ zu beenden, wurde erkannt
(K8S.NODE_TimerServiceDisabled) 1
Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Versuch erkannt, apt-daily-upgrade.timer-Dienst zu beenden. Es wurde beobachtet, dass Angreifer diesen Dienst beendet haben, um schädliche Dateien herunterzuladen und Ausführungsberechtigungen für ihren Angriff zu gewähren. Diese Aktivität kann auch auftreten, wenn der Dienst durch normale administrative Aktionen aktualisiert wird.
MITRE-Taktiken: DefenseEvasion
Schweregrad: Informational
Verhalten ähnlich dem von häufigen Linux-Bots erkannt (Vorschau)
(K8S.NODE_CommonBot)
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Ausführung eines Prozesses erkannt, der normalerweise mit allgemeinen Linux-Botnets verknüpft ist.
MITRE-Taktiken: Ausführung, Sammlung, Befehl und Kontrolle
Schweregrad: Mittel
Befehl in einem Container, der mit hohen Berechtigungen ausgeführt wird
(K8S.NODE_PrivilegedExecutionInContainer) 1
Beschreibung: Computerprotokolle geben an, dass ein privilegierter Befehl in einem Docker-Container ausgeführt wurde. Ein privilegierter Befehl verfügt auf dem Hostcomputer über erweiterte Berechtigungen.
MITRE-Taktiken: PrivilegeEscalation
Schweregrad: Informational
Container, der im privilegierten Modus ausgeführt wird
(K8S.NODE_PrivilegedContainerArtifacts) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Ausführung eines Docker-Befehls erkannt, der einen privilegierten Container ausführt. Der privilegierte Container verfügt über Vollzugriff auf den hostenden Pod oder die Hostressource. Wenn kompromittiert, verwendet ein Angreifer möglicherweise den privilegierten Container, um Zugriff auf den Host-Pod oder -Host zu erhalten.
MITRE-Taktiken: PrivilegeEscalation, Ausführung
Schweregrad: Informational
Container with a sensitive volume mount detected (Container mit sensiblem Volume erkannt)
(K8S_SensitiveMount)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen Container mit einem sensiblen Volume-Mount erkannt. Das erkannte Volume verfügt über den Typ „hostPath“, mit dem eine sensible Datei bzw. ein Ordner vom Knoten aus in den Container eingebunden wird. Wenn der Container kompromittiert wird, kann der Angreifer diese Einbindung verwenden, um Zugriff auf den Knoten zu erlangen.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Informational
CoreDNS-Änderung in erkannter Kubernetes-Instanz
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine Änderung der CoreDNS-Konfiguration festgestellt. Die Konfiguration von CoreDNS kann durch Überschreiben der configmap geändert werden. Auch wenn diese Aktivität legitim sein kann, können Angreifer, die Berechtigungen zum Bearbeiten der configmap haben, das Verhalten des DNS-Clusterservers ändern und diesen beschädigen.
MITRE-Taktiken: Lateral Movement
Schweregrad: Niedrig
Erstellung der erkannten Konfiguration des Zustellungswebhooks
(K8S_AdmissionController) 3
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Webhook-Konfiguration für die Zulassung erkannt. Kubernetes verfügt über zwei integrierte generische Zugangscontroller: MutatingAdmissionWebhook und ValidatingAdmissionWebhook. Das Verhalten dieser Zugangscontroller wird durch einen Zustellungswebhook festgelegt, den der Benutzer für den Cluster bereitstellt. Die Verwendung solcher Zugangscontroller kann legitim sein, aber Angreifer können solche Webhooks zum Ändern der Anforderungen (im Fall von MutatingAdmissionWebhook) oder zum Untersuchen der Anforderungen und zum Abrufen von vertraulichen Informationen (bei ValidatingAdmissionWebhook) verwenden.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen, Persistenz
Schweregrad: Informational
Erkannter Dateidownload von einer bekannten schädlichen Quelle
(K8S.NODE_SuspectDownload) 1
Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Download einer Datei aus einer Quelle erkannt, die häufig zum Verteilen von Schadsoftware verwendet wird.
MITRE-Taktiken: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Schweregrad: Mittel
Erkannter verdächtiger Dateidownload
(K8S.NODE_SuspectDownloadArtifacts) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Download einer Remotedatei erkannt.
Schweregrad: Informational
Erkannte verdächtige Verwendung des nohup-Befehls
(K8S.NODE_SuspectNohup) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Verwendung des Nohup-Befehls erkannt. Es kommt vor, dass Angreifer den Befehl „nohup“ zum Ausführen von versteckten Dateien aus einem temporären Verzeichnis ausführen, damit ihre ausführbaren Dateien im Hintergrund ausgeführt werden können. Es ist selten, dass dieser Befehl für versteckte Dateien in einem temporären Verzeichnis ausgeführt wird.
MITRE-Taktiken: Persistenz, DefenseEvasion
Schweregrad: Mittel
Erkannte verdächtige Verwendung des useradd-Befehls
(K8S.NODE_SuspectUserAddition) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Verwendung des useradd-Befehls erkannt.
Schweregrad: Mittel
Digital currency mining container detected (Digital Currency Mining-Container erkannt)
(K8S_MaliciousContainerImage) 3
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen Container erkannt, der ein Image enthält, das einem Digitalen Währungsminingtool zugeordnet ist.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
(K8S.NODE_DigitalCurrencyMining) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Erkannter Docker-Buildvorgang auf einem Kubernetes-Knoten
(K8S.NODE_ImageBuildOnNode) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Buildvorgang eines Containerimages auf einem Kubernetes-Knoten erkannt. Obwohl dieses Verhalten legitim sein kann, können Angreifer ihre schädlichen Images lokal erstellen, um die Erkennung zu vermeiden.
MITRE-Taktiken: DefenseEvasion
Schweregrad: Informational
Exposed Kubernetes dashboard detected (Verfügbar gemachtes Kubeflow-Dashboard erkannt)
(K8S_ExposedKubeflow)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition des Istio Ingress durch einen Lastenausgleich in einem Cluster erkannt, der Kubeflow ausführt. Durch diese Aktion wird das Kubeflow-Dashboard möglicherweise im Internet verfügbar gemacht. Wenn das Dashboard über das Internet verfügbar ist, können Angreifer darauf zugreifen und böswillige Container oder Code im Cluster ausführen. Weitere Details finden Sie im folgenden Artikel: https://aka.ms/exposedkubeflow-blog
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Exposed Kubernetes dashboard detected (Verfügbar gemachtes Kubernetes-Dashboard erkannt)
(K8S_ExposedDashboard)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition des Kubernetes-Dashboards durch einen LoadBalancer-Dienst erkannt. Verfügbar gemachte Dashboards ermöglichen den nicht authentifizierten Zugriff auf die Clusterverwaltung und stellen eine Sicherheitsbedrohung dar.
MITRE-Taktiken: Erstzugriff
Schweregrad: hoch
Exposed Kubernetes service detected (Verfügbar gemachter Kubernetes-Dienst erkannt)
(K8S_ExposedService)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition eines Diensts durch einen Lastenausgleich erkannt. Dieser Dienst bezieht sich auf eine vertrauliche Anwendung, die Vorgänge mit schwerwiegenden Auswirkungen im Cluster ermöglicht, z. B. das Ausführen von Prozessen auf dem Knoten oder das Erstellen neuer Container. In einigen Fällen ist für diesen Dienst keine Authentifizierung erforderlich. Wenn für den Dienst keine Authentifizierung erforderlich ist, stellt das Verfügbarmachen des Diensts im Internet ein Sicherheitsrisiko dar.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Exposed Redis service in AKS detected (Verfügbar gemachter Redis-Dienst in AKS erkannt)
(K8S_ExposedRedis)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Exposition eines Redis-Diensts durch einen Lastenausgleich erkannt. Wenn für den Dienst keine Authentifizierung erforderlich ist, stellt das Verfügbarmachen des Diensts im Internet ein Sicherheitsrisiko dar.
MITRE-Taktiken: Erstzugriff
Schweregrad: Niedrig
Mit dem DDOS-Toolkit verbundene Indikatoren erkannt
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat Dateinamen erkannt, die Teil eines Toolkits sind, das mit Schadsoftware verbunden ist, die DDoS-Angriffe starten, Ports und Dienste öffnen und die vollständige Kontrolle über das infizierte System übernehmen. Dies könnte möglicherweise auch eine legitime Aktivität sein.
MITRE-Taktiken: Persistenz, LateralMovement, Ausführung, Ausbeutung
Schweregrad: Mittel
K8S-API-Anforderungen über Proxy-IP-Adresse erkannt
(K8S_TI_Proxy) 3
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat API-Anforderungen an Ihren Cluster von einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Obwohl dieses Verhalten legitim sein kann, wird es oft mit bösartigen Aktivitäten in Verbindung gebracht, wenn Angreifer versuchen, ihre Quell-IP zu verbergen.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Gelöschte Kubernetes-Ereignisse
Beschreibung: Defender für Cloud hat festgestellt, dass einige Kubernetes-Ereignisse gelöscht wurden. Kubernetes-Ereignisse sind Objekte in Kubernetes, die Informationen zu Änderungen im Cluster enthalten. Angreifer können diese Ereignisse löschen, um ihre Vorgänge im Cluster zu verbergen.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Niedrig
Erkannte Tools für Kubernetes-Penetrationstests
(K8S_PenTestToolsKubeHunter)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat die Verwendung des Kubernetes-Penetrationstesttools im AKS-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Microsoft Defender für Cloud-Testwarnung (keine Bedrohung).
(K8S.NODE_EICAR) 1
Beschreibung: Dies ist eine Testwarnung, die von Microsoft Defender für Cloud generiert wird. Weitere Schritte sind nicht erforderlich.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
New container in the kube-system namespace detected (Neuen Container im Namespace „kube-system“ erkannt)
(K8S_KubeSystemContainer) 3
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen Container im Kube-System-Namespace erkannt, der sich nicht unter den Containern befindet, die normalerweise in diesem Namespace ausgeführt werden. Die kube-system-Namespaces sollten keine Benutzerressourcen enthalten. Angreifer können diesen Namespace verwenden, um darin schädliche Komponenten zu verbergen.
Schweregrad: Informational
New high privileges role detected (Neue Rolle mit hohen Berechtigungen erkannt)
(K8S_HighPrivilegesRole) 3
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Rolle mit hohen Berechtigungen erkannt. Eine Bindung an eine Rolle mit hohen Berechtigungen führt dazu, dass der Benutzer bzw. die Gruppe im Cluster über eine höhere Berechtigungsebene verfügt. Unnötige Berechtigungen können zu einer Rechteausweitung im Cluster führen.
Schweregrad: Informational
Mögliches Angriffstool erkannt
(K8S.NODE_KnownLinuxAttackTool) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Toolaufruf erkannt. Dieses Tool wird häufig mit schädlichen Benutzern in Verbindung gebracht, die andere angreifen.
MITRE-Taktiken: Ausführung, Sammlung, Befehl und Kontrolle, Probing
Schweregrad: Mittel
Mögliche Hintertür erkannt
(K8S.NODE_LinuxBackdoorArtifact) 1
Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass eine verdächtige Datei heruntergeladen und ausgeführt wird. Diese Aktivität war in der Vergangenheit mit der Installation einer Hintertür verbunden.
MITRE-Taktiken: Persistenz, DefenseEvasion, Ausführung, Ausbeutung
Schweregrad: Mittel
Möglicher Versuch zur Ausnutzung der Befehlszeile
(K8S.NODE_ExploitAttempt) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen möglichen Ausbeutungsversuch gegen eine bekannte Sicherheitsanfälligkeit erkannt.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Mögliches Tool für den Zugriff auf Anmeldeinformationen erkannt
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Beschreibung: Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass ein mögliches bekanntes Anmeldeinformationszugriffstool auf dem Container ausgeführt wurde, wie durch das angegebene Prozess- und Befehlszeilenverlaufselement identifiziert wurde. Dieses Tool wird häufig mit den Versuchen von Angreifern in Verbindung gebracht, auf Anmeldeinformationen zuzugreifen.
MITRE-Taktiken: CredentialAccess
Schweregrad: Mittel
Möglicher Cryptocoinminer-Download erkannt
(K8S.NODE_CryptoCoinMinerDownload) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat den Download einer Datei erkannt, die normalerweise mit dem digitalen Währungsmining verknüpft ist.
MITRE-Taktiken: DefenseEvasion, Command And Control, Exploitation
Schweregrad: Mittel
Mögliche Aktivität zur Protokollmanipulation erkannt
(K8S.NODE_SystemLogRemoval) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Entfernung von Dateien erkannt, die die Aktivitäten des Benutzers während des Vorgangs nachverfolgen. Angreifer versuchen häufig, sich der Erkennung zu entziehen und hinterlassen keine Spuren schädlicher Aktivitäten, indem sie solche Protokolldateien löschen.
MITRE-Taktiken: DefenseEvasion
Schweregrad: Mittel
Mögliche Kennwortänderung durch crypt-Methode erkannt
(K8S.NODE_SuspectPasswordChange) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Kennwortänderung mithilfe der Verschlüsselungsmethode erkannt. Angreifer können diese Änderung vornehmen, um auch nach einer Kompromittierung weiterhin Zugang und Persistenz zu erreichen.
MITRE-Taktiken: CredentialAccess
Schweregrad: Mittel
Potential port forwarding to external IP address (Potenzielle Portweiterleitung an eine externe IP-Adresse)
(K8S.NODE_SuspectPortForwarding) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Initiierung der Portweiterleitung an eine externe IP-Adresse erkannt.
MITRE-Taktiken: Exfiltration, Befehl und Kontrolle
Schweregrad: Mittel
Mögliche Reverse Shell erkannt
(K8S.NODE_ReverseShell) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine potenzielle Reverseshell erkannt. Diese werden verwendet, um einen kompromittierten Computer dazu zu bringen, einen Computer zurückzurufen, der im Besitz eines Angreifers ist.
MITRE-Taktiken: Exfiltration, Ausbeutung
Schweregrad: Mittel
Privileged Container Detected (Privilegierter Container erkannt)
(K8S_PrivilegedContainer)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat einen neuen privilegierten Container erkannt. Mit einem privilegierten Container besteht Zugriff auf die Ressourcen des Knotens, und die Isolation der Container wird aufgelöst. Im Falle einer Kompromittierung kann ein Angreifer den privilegierten Container verwenden, um Zugriff auf den Knoten zu erhalten.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Informational
Process associated with digital currency mining detected (Prozess erkannt, der mit digitalem Währungs-Mining assoziiert wird)
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat die Ausführung eines Prozesses erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.
MITRE-Taktiken: Ausführung, Ausbeutung
Schweregrad: Mittel
Process seen accessing the SSH authorized keys file in an unusual way (Ein Prozess hat auf ungewöhnliche Weise auf eine Datei mit autorisierten SSH-Schlüsseln zugegriffen.)
(K8S.NODE_SshKeyAccess) 1
Beschreibung: Auf eine SSH-authorized_keys Datei wurde in einer Methode zugegriffen, die bekannten Schadsoftwarekampagnen ähnelt. Dieser Zugriff deutet möglicherweise darauf hin, dass ein Akteur versucht, sich dauerhaft Zugang zu einem Computer zu verschaffen.
MITRE-Taktiken: Unbekannt
Schweregrad: Informational
Role binding to the cluster-admin role detected (Rollenbindung an Clusteradministratorrolle erkannt)
(K8S_ClusterAdminBinding)
Beschreibung: Die Kubernetes-Überwachungsprotokollanalyse hat eine neue Bindung an die Clusteradministratorrolle erkannt, die Administratorrechte gewährt. Unnötige Administratorberechtigungen können zu einer Rechteausweitung im Cluster führen.
Schweregrad: Informational
Sicherheitsbezogene Prozessbeendigung erkannt
(K8S.NODE_SuspectProcessTermination) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen Versuch erkannt, Prozesse im Zusammenhang mit der Sicherheitsüberwachung auf dem Container zu beenden. Angreifer versuchen häufig, solche Prozesse mithilfe vordefinierter Skripts nach einer Kompromittierung zu beenden.
Schweregrad: Niedrig
SSH server is running inside a container (SSH-Server wird in einem Container ausgeführt)
(K8S.NODE_ContainerSSH) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat einen SSH-Server erkannt, der innerhalb des Containers ausgeführt wird.
MITRE-Taktiken: Ausführung
Schweregrad: Informational
Suspicious file timestamp modification (Verdächtige Änderung von Dateizeitstempeln)
(K8S.NODE_TimestampTampering) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine verdächtige Zeitstempeländerung erkannt. Angreifer kopieren oftmals Zeitstempel aus vorhandenen legitimen Dateien in neue Tools, um die Erkennung dieser neu abgelegten Dateien zu verhindern.
MITRE-Taktiken: Persistenz, DefenseEvasion
Schweregrad: Niedrig
Suspicious request to Kubernetes API (Verdächtige Anforderung an Kubernetes-API)
(K8S.NODE_KubernetesAPI) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, weist darauf hin, dass eine verdächtige Anforderung an die Kubernetes-API gestellt wurde. Die Anforderung wurde von einem Container im Cluster gesendet. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass im Cluster ein kompromittierter Container ausgeführt wird.
MITRE-Taktiken: LateralMovement
Schweregrad: Mittel
Suspicious request to the Kubernetes Dashboard (Verdächtige Anforderung an Kubernetes-Dashboard)
(K8S.NODE_KubernetesDashboard) 1
Beschreibung: Analyse von Prozessen, die in einem Container ausgeführt werden, weist darauf hin, dass eine verdächtige Anforderung an das Kubernetes-Dashboard gestellt wurde. Die Anforderung wurde von einem Container im Cluster gesendet. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass im Cluster ein kompromittierter Container ausgeführt wird.
MITRE-Taktiken: LateralMovement
Schweregrad: Mittel
Potenzieller Crypto Coin Miner gestartet
(K8S.NODE_CryptoCoinMinerExecution) 1
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass ein Prozess gestartet wird, der normalerweise mit dem Digitalen Währungsmining verbunden ist.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtiger Kennwortzugriff
(K8S.NODE_SuspectPasswordFileAccess) 1
Beschreibung: Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat verdächtigen Versuch erkannt, auf verschlüsselte Benutzerpasswörter zuzugreifen.
Schweregrad: Informational
Mögliche schädliche Webshell erkannt
(K8S.NODE_Webshell) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container ausgeführt werden, hat eine mögliche Webshell erkannt. Angreifer laden häufig eine Webshell auf einen Computer hoch, den sie kompromittiert haben, um Persistenz zu erreichen oder um ihn weiter auszunutzen.
MITRE-Taktiken: Persistenz, Ausbeutung
Schweregrad: Mittel
Häufung mehrerer Aufklärungsbefehle könnte auf erste Aktivitäten nach der Kompromittierung hinweisen
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Beschreibung: Analyse von Host-/Gerätedaten hat die Ausführung mehrerer Aufklärungsbefehle im Zusammenhang mit dem Sammeln von System- oder Hostdetails erkannt, die von Angreifern nach der ersten Kompromittierung ausgeführt werden.
MITRE-Taktiken: Ermittlung, Sammlung
Schweregrad: Niedrig
Verdächtige Aktivität „Datei herunterladen und ausführen“
(K8S.NODE_DownloadAndRunCombo) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat festgestellt, dass eine Datei heruntergeladen wird, die dann im selben Befehl ausgeführt wird. Obwohl dies nicht immer bösartig ist, ist dies eine sehr gängige Technik, die Angreifer verwenden, um schädliche Dateien auf Opfercomputern zu erhalten.
MITRE-Taktiken: Ausführung, CommandAndControl, Exploitation
Schweregrad: Mittel
Zugriff auf die Datei kubelet.kubeconfig erkannt
(K8S.NODE_KubeConfigAccess) 1
Beschreibung: Analyse von Prozessen, die auf einem Kubernetes-Clusterknoten ausgeführt werden, hat den Zugriff auf die Kubeconfig-Datei auf dem Host erkannt. Die Datei kubeconfig, die normalerweise vom Kubelet-Prozess verwendet wird, enthält Anmeldeinformationen für den API-Server des Kubernetes-Clusters. Der Zugriff auf diese Datei wird oft mit Angreifern in Verbindung gebracht, die versuchen, auf diese Anmeldeinformationen zuzugreifen, oder mit Sicherheitsscannern, die prüfen, ob die Datei zugänglich ist.
MITRE-Taktiken: CredentialAccess
Schweregrad: Mittel
Zugriff auf den Cloudmetadatendienst wurde erkannt
(K8S.NODE_ImdsCall) 1
Beschreibung: Analyse von Prozessen, die in einem Container ausgeführt werden, hat den Zugriff auf den Cloudmetadatendienst zum Abrufen von Identitätstoken erkannt. Der Container führt solch einen Vorgang normalerweise nicht aus. Obwohl dieses Verhalten legitim sein könnte, könnten Angreifer diese Technik nutzen, um auf Cloudressourcen zuzugreifen, nachdem sie den ersten Zugriff auf einen ausgeführten Container erhalten haben.
MITRE-Taktiken: CredentialAccess
Schweregrad: Mittel
MITRE Caldera-Agent erkannt
(K8S.NODE_MitreCalderaTools) 1
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat einen verdächtigen Prozess erkannt. Dies ist häufig mit dem MITRE 54ndc47-Agent verbunden, der böswillig verwendet werden kann, um andere Computer anzugreifen.
MITRE-Taktiken: Persistenz, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Schweregrad: Mittel
1: Vorschau für Nicht-AKS-Cluster: Diese Warnung ist allgemein für AKS-Cluster verfügbar, sie befindet sich jedoch in der Vorschau für andere Umgebungen, z. B. Azure Arc, EKS und GKE.
2: Einschränkungen für GKE-Cluster: GKE verwendet eine Kubernetes-Überwachungsrichtlinie, die nicht alle Warnungstypen unterstützt. Deshalb wird diese Sicherheitswarnung, die auf Kubernetes-Überwachungsereignissen basiert, bei GKE-Clustern nicht unterstützt.
3: Diese Warnung wird in Windows-Knoten/-Containern unterstützt.
Warnungen für SQL-Datenbank und Azure Synapse Analytics
Mögliche Anfälligkeit für die Einschleusung von SQL-Befehlen
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Beschreibung: Eine Anwendung hat eine fehlerhafte SQL-Anweisung in der Datenbank generiert. Dies kann ein Hinweis auf ein mögliches Sicherheitsrisiko in Bezug auf Angriffe mit Einschleusung von SQL-Befehlen sein. Es gibt zwei mögliche Gründe für eine fehlerhafte Anweisung. Ein Fehler im Anwendungscode, der zu der fehlerhaften SQL-Anweisung geführt hat. Oder: Anwendungscode oder gespeicherte Prozeduren, die bei der Erstellung der fehlerhaften SQL-Anweisung keine Bereinigung der Benutzereingabe durchgeführt haben, was zur Einschleusung von SQL-Befehlen ausgenutzt werden kann.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Anmeldeaktivitäten von einer potenziell schädlichen Anwendung
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Anmeldung über ein ungewöhnliches Azure-Rechenzentrum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für einen SQL Server, bei dem sich jemand von einem ungewöhnlichen Azure Data Center aus beim Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder einen Azure-Dienst). In anderen Fällen erkennt die Warnung eine schädliche Aktion (der Angreifer operiert von einer unberechtigt zugänglichen Ressource in Azure aus).
MITRE-Taktiken: Probing
Schweregrad: Niedrig
Anmeldung von einem ungewöhnlichen Ort aus
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für SQL Server, bei dem sich jemand von einem ungewöhnlichen geografischen Standort an dem Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Wartungsarbeiten von Entwicklern). In anderen Fällen erkennt die Warnung eine schädliche Aktion (einen ehemaligen Mitarbeiter oder einen externen Angreifer.)
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Erste Anmeldung von einem Prinzipalbenutzer nach 60 Tagen
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Beschreibung: Ein Prinzipalbenutzer, der in den letzten 60 Tagen nicht gesehen wurde, hat sich bei Ihrer Datenbank angemeldet. Falls diese Datenbank neu ist oder dieses erwartete Verhalten durch aktuelle Änderungen der Benutzer verursacht wird, die auf die Datenbank zugreifen, ermittelt Defender for Cloud bedeutende Änderungen an den Zugriffsmustern und versucht, künftige False Positives zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Keine Anmeldung von Domäne seit 60 Tagen
(SQL. DB_Do Standard Anomaly SQL. VM_Do Standard Anomaly SQL. DW_Do Standard Anomaly SQL.MI_Do Standard Anomaly Synapse.SQLPool_Do Standard Anomaly)
Beschreibung: Ein Benutzer hat sich von einer Aufgabe aus bei Ihrer Ressource angemeldet Standard keine anderen Benutzer in den letzten 60 Tagen eine Verbindung hergestellt haben. Falls diese Ressource neu oder dies ein erwartetes Verhalten ist, weil sich vor Kurzem Änderungen bei den Benutzern ergeben haben, die auf die Ressource zugreifen, wird wie folgt vorgegangen: Defender for Cloud ermittelt signifikante Änderungen an den Zugriffsmustern und versucht, künftige False-Positive-Meldungen zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung über eine verdächtige IP-Adresse
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Beschreibung: Auf Ihre Ressource wurde erfolgreich über eine IP-Adresse zugegriffen, die Microsoft Threat Intelligence verdächtigen Aktivitäten zugeordnet hat.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Potenzielle Einschleusung von SQL-Befehlen
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Beschreibung: Ein aktiver Exploit ist gegen eine identifizierte Anwendung aufgetreten, die für die SQL-Einfügung anfällig ist. Das bedeutet, dass ein Angreifer versucht, schädliche SQL-Anweisungen einzuschleusen, indem er den anfälligen Anwendungscode bzw. die gespeicherten Prozeduren verwendet.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf einen Brute-Force-Angriff mit einem gültigen Benutzer
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt. Der Angreifer verwendet den gültigen Benutzer (Benutzernamen), der die Berechtigung hat, sich anzumelden.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf erfolgreichen Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Nach einem scheinbaren Brute-Force-Angriff auf Ihre Ressource ist eine erfolgreiche Anmeldung aufgetreten.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
SQL Server hat möglicherweise eine Windows-Befehlsshell erzeugt und auf eine ungewöhnliche externe Quelle zugegriffen.
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Beschreibung: Eine verdächtige SQL-Anweisung hat möglicherweise eine Windows-Befehlsshell mit einer externen Quelle geöffnet, die noch nicht gesehen wurde. Das Ausführen einer Shell, die auf eine externe Quelle zugreift, ist eine Methode, die von Angreifern verwendet wird, um schädliche Nutzlasten herunterzuladen, diese dann auf dem Computer auszuführen und ihn zu kompromittieren. Dadurch kann ein Angreifer per Remotezugriff schädliche Aufgaben ausführen. Alternativ kann der Zugriff auf eine externe Quelle verwendet werden, um Daten an ein externes Ziel zu exfiltrieren.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Eine ungewöhnliche Nutzlast mit verschleierten Teilen wurde von SQL Server initiiert.
(SQL.VM_PotentialSqlInjection)
Beschreibung: Jemand hat eine neue Nutzlast unter Verwendung der Ebene in SQL Server initiiert, die mit dem Betriebssystem kommuniziert, während der Befehl in der SQL-Abfrage verdeckt wird. Angreifer verbergen gewöhnlich Befehle mit erheblichen Auswirkungen wie „xp_cmdshell“, „sp_add_job“ usw., die häufig überwacht werden. Obfuskationstechniken missbrauchen legitime Befehle wie Zeichenfolgenverkettung, Umwandlung, Basisänderung usw., um die Erkennung regulärer Ausdrücke zu verhindern und die Lesbarkeit der Protokolle zu beeinträchtigen.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Warnungen für relationale Open-Source-Datenbanken
Verdacht auf einen Brute-Force-Angriff mit einem gültigen Benutzer
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt. Der Angreifer verwendet den gültigen Benutzer (Benutzernamen), der die Berechtigung hat, sich anzumelden.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf erfolgreichen Brute-Force-Angriff
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Beschreibung: Nach einem scheinbaren Brute-Force-Angriff auf Ihre Ressource ist eine erfolgreiche Anmeldung aufgetreten.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf Brute-Force-Angriff
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Versuchte Anmeldung über eine potenziell schädliche Anwendung
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Erste Anmeldung von einem Prinzipalbenutzer nach 60 Tagen
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Beschreibung: Ein Prinzipalbenutzer, der in den letzten 60 Tagen nicht gesehen wurde, hat sich bei Ihrer Datenbank angemeldet. Falls diese Datenbank neu ist oder dieses erwartete Verhalten durch aktuelle Änderungen der Benutzer verursacht wird, die auf die Datenbank zugreifen, ermittelt Defender for Cloud bedeutende Änderungen an den Zugriffsmustern und versucht, künftige False Positives zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Keine Anmeldung von Domäne seit 60 Tagen
(SQL. MariaDB_Do Standard Anomaly SQL. PostgreSQL_Do Standard Anomaly SQL. MySQL_Do Standard Anomaly)
Beschreibung: Ein Benutzer hat sich von einer Aufgabe aus bei Ihrer Ressource angemeldet Standard keine anderen Benutzer in den letzten 60 Tagen eine Verbindung hergestellt haben. Falls diese Ressource neu oder dies ein erwartetes Verhalten ist, weil sich vor Kurzem Änderungen bei den Benutzern ergeben haben, die auf die Ressource zugreifen, wird wie folgt vorgegangen: Defender for Cloud ermittelt signifikante Änderungen an den Zugriffsmustern und versucht, künftige False-Positive-Meldungen zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung über ein ungewöhnliches Azure-Rechenzentrum
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Beschreibung: Jemand hat sich über ein ungewöhnliches Azure Data Center bei Ihrer Ressource angemeldet.
MITRE-Taktiken: Probing
Schweregrad: Niedrig
Anmeldung von einem ungewöhnlichen Cloudanbieter
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Beschreibung: Jemand hat sich bei Ihrer Ressource von einem Cloudanbieter angemeldet, der in den letzten 60 Tagen nicht angezeigt wurde. Für Bedrohungsakteure ist es schnell und einfach möglich, verfügbare Computeleistung für die Verwendung in ihren Kampagnen zu erhalten. Falls es sich hierbei um ein erwartetes Verhalten handelt, das durch die kürzlich erfolgte Umstellung auf einen neuen Cloudanbieter verursacht wird, wird dies von Defender for Cloud im Laufe der Zeit erlernt. Es wird dann versucht, die Anzeige dieser False-Positive-Meldungen in Zukunft zu verhindern.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung von einem ungewöhnlichen Ort aus
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Beschreibung: Jemand hat sich über ein ungewöhnliches Azure Data Center bei Ihrer Ressource angemeldet.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung über eine verdächtige IP-Adresse
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Beschreibung: Auf Ihre Ressource wurde erfolgreich über eine IP-Adresse zugegriffen, die Microsoft Threat Intelligence verdächtigen Aktivitäten zugeordnet hat.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Warnungen für Resource Manager
Hinweis
Warnungen mit einer delegierten Zugriffsanzeige werden aufgrund von Aktivitäten von Drittanbietern ausgelöst. Erfahren Sie mehr über Aktivitätsanzeigen von Dienstanbietern.
Azure Resource Manager-Operation von verdächtiger IP-Adresse
(ARM_OperationFromSuspiciousIP)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen Vorgang aus einer IP-Adresse erkannt, die in Bedrohungserkennungsfeeds als verdächtig gekennzeichnet wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Azure Resource Manager-Operation von verdächtiger Proxy-IP-Adresse
(ARM_OperationFromSuspiciousProxyIP)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen Ressourcenverwaltungsvorgang aus einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verwendung des MicroBurst-Exploit-Toolkits zum Auflisten von Ressourcen in Ihren Abonnements
(ARM_MicroBurst.AzDomainInfo)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat verdächtige Muster zum Ausführen eines Informationssammlungsvorgangs ausgeführt, um Ressourcen, Berechtigungen und Netzwerkstrukturen zu ermitteln. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Informationen für böswillige Aktivitäten zu sammeln. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: Niedrig
Verwendung des MicroBurst-Exploit-Toolkits zum Auflisten von Ressourcen in Ihren Abonnements
(ARM_MicroBurst.AzureDomainInfo)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat verdächtige Muster zum Ausführen eines Informationssammlungsvorgangs ausgeführt, um Ressourcen, Berechtigungen und Netzwerkstrukturen zu ermitteln. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Informationen für böswillige Aktivitäten zu sammeln. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: Niedrig
Verwendung des MicroBurst-Exploit-Toolkits zum Ausführen von Code auf Ihrer VM
(ARM_MicroBurst.AzVMBulkCMD)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Ausführen von Code auf einem virtuellen Computer oder einer Liste von VMs ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um auf einer VM Skripts für böswillige Aktivitäten auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Ausführen von Code auf Ihrer VM
(RM_MicroBurst.AzureRmVMBulkCMD)
Beschreibung: Das Exploit Toolkit von MicroBurst wurde verwendet, um Code auf Ihren virtuellen Computern auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Schlüsseln aus Ihren Azure-Schlüsseltresoren
(ARM_MicroBurst.AzKeyVaultKeysREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von Schlüsseln aus einem Azure Key Vault(n) ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Schlüssel aufzulisten und für den Zugriff auf vertrauliche Daten oder für laterale Verschiebungen zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Schlüsseln in Ihre Speicherkonten
(ARM_MicroBurst.AZStorageKeysREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von Schlüsseln in Speicherkonten ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Schlüssel aufzulisten und für den Zugriff auf vertrauliche Daten in Ihren Speicherkonten zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Geheimnissen aus Ihren Azure-Schlüsseltresoren
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von geheimen Schlüsseln aus einem Azure Key Vault(n) ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Geheimnisse aufzulisten und für den Zugriff auf vertrauliche Daten oder für laterale Verschiebungen zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Erhöhen der Zugriffsrechte von Azure AD auf Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde verwendet, um den Zugriff von AzureAD auf Azure zu erhöhen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Mandanten erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Auflisten von Ressourcen
(ARM_PowerZure.GetAzureTargets)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Aufzählen von Ressourcen im Namen eines legitimen Benutzerkontos in Ihrer Organisation verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Auflisten von Speichercontainern, Freigaben und Tabellen
(ARM_PowerZure.ShowStorageContent)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Aufzählen von Speicherfreigaben, Tabellen und Containern verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Ausführen eines Runbooks in Ihrem Abonnement
(ARM_PowerZure.StartRunbook)
Beschreibung: Das PowerZure Exploitation Toolkit wurde verwendet, um ein Runbook auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Extrahieren von Runbookinhalten
(ARM_PowerZure.AzureRunbookContent)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Extrahieren von Runbook-Inhalten verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
VORSCHAU: Ausführung von Azurit-Toolkit erkannt
(ARM_Azurite)
Beschreibung: In Ihrer Umgebung wurde ein bekanntes Cloudumgebungs-Reconnaissance-Toolkit ausgeführt. Das Tool Azurite kann von einem Angreifer (oder Penetrationstester) verwendet werden, um Ihre Abonnementressourcen zu erfassen und unsichere Konfigurationen zu ermitteln.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
VORSCHAU – Verdächtige Erstellung von Compute-Ressourcen erkannt
(ARM_SuspiciousComputeCreation)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Erstellung von Computeressourcen in Ihrem Abonnement mithilfe von virtuellen Computern/Azure Scale Set identifiziert. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können, indem sie bei Bedarf neue Ressourcen bereitstellen. Obwohl diese Aktivität legitim sein könnte, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um Cryptomining durchzuführen. Die Aktivität wird als verdächtig eingestuft, da die Skalierung der Compute-Ressourcen höher ist als zuvor im Abonnement beobachtet. Dies kann darauf hinweisen, dass der Prinzipal kompromittiert ist und mit böswilliger Absicht benutzt wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
VORSCHAU: Verdächtige Schlüsseltresorwiederherstellung erkannt
(Arm_Suspicious_Vault_Recovering)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Wiederherstellungsvorgang für eine vorläufig gelöschte Schlüsseltresorressource erkannt. Der Benutzer, der die Ressource wiederherstellt, stimmt nicht mit dem Benutzer überein, von dem die Ressource gelöscht wurde. Dies ist sehr verdächtig, da der Benutzer einen solchen Vorgang nur selten ausführt. Darüber hinaus hat sich der Benutzer ohne mehrstufige Authentifizierung (MFA) angemeldet. Dies kann darauf hindeuten, dass der Benutzer kompromittiert wurde und versucht, Geheimnisse und Schlüssel zu ermitteln, um Zugriff auf vertrauliche Ressourcen zu erhalten oder sich per Lateral Movement durch Ihr Netzwerk zu bewegen.
MITRE-Taktiken: Laterale Bewegung
Schweregrad: Mittel/Hoch
VORSCHAU – Verdächtige Verwaltungssitzung mit einem inaktiven Konto erkannt
(ARM_UnusedAccountPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der längere Zeit nicht verwendet wurde, führt nun Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Zugriff auf Anmeldeinformationen“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.CredentialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hinweisen könnte, auf Anmeldeinformationen zuzugreifen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Datensammlung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Collection)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch zum Sammeln von Daten hindeuten könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um vertrauliche Daten zu Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Umgehen von Verteidigungsmaßnahmen“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.DefenseEvasion)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, Abwehrmaßnahmen auszuweichen. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zu vermeiden, dass Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Ausführung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Execution)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch zum Ausführen von Code hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Defense Execution
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Auswirkung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Impact)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf eine versuchte Konfigurationsänderung hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Anfänglicher Zugriff“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.InitialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf eingeschränkte Ressourcen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um anfänglichen Zugriff auf eingeschränkte Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Lateral-Movement-Zugriff“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.LateralMovement)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, laterale Bewegungen durchzuführen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Laterale Bewegung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Persistenz“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Persistence)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, persistenz zu schaffen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Persistenz in Ihrer Umgebung herzustellen. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Rechteausweitung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, Berechtigungen zu eskalieren. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Berechtigungen zu eskalieren, während Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktik: Berechtigungseskalation
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit einem inaktiven Konto erkannt
(ARM_UnusedAccountPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der längere Zeit nicht verwendet wurde, führt nun Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit PowerShell erkannt
(ARM_UnusedAppPowershellPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der nicht regelmäßig PowerShell verwendet, um die Abonnementumgebung zu verwalten, verwendet nun PowerShell und führt Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit Azure-Portal erkannt
(ARM_UnusedAppIbizaPersistence)
Beschreibung: Die Analyse Ihrer Abonnementaktivitätsprotokolle hat ein verdächtiges Verhalten erkannt. Ein Prinzipal, der das Azure-Portal (Ibiza) nicht regelmäßig zur Verwaltung der Abonnementumgebung verwendet (er hat in den letzten 45 Tagen weder das Azure-Portal zur Verwaltung verwendet noch ein Abonnement, das er aktiv verwaltet), verwendet jetzt das Azure-Portal und führt Aktionen durch, die einem Angreifer eine gewisse Persistenz sichern können.
Schweregrad: Mittel
Für Ihr Abonnement wurde auf verdächtige Weise eine benutzerdefinierte privilegierte Rolle erstellt (Vorschau)
(ARM_PrivilegedRoleDefinitionCreation)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Erstellung der Definition privilegierter benutzerdefinierter Rollen in Ihrem Abonnement erkannt. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto in Ihrer Organisation übernommen wurde und der Bedrohungsakteur versucht, eine privilegierte Rolle für die zukünftige Verwendung zu erstellen, um eine Erkennung zu vermeiden.
MITRE-Taktiken: Berechtigungseskalation, Verteidigungshinterziehung
Schweregrad: Informational
Verdächtige Azure-Rollenzuweisung entdeckt (Vorschau)
(ARM_AnomalousRBACRoleAssignment)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Azure-Rollenzuweisung identifiziert/mithilfe von PIM (Privileged Identity Management) in Ihrem Mandanten ausgeführt, was möglicherweise darauf hindeutet, dass ein Konto in Ihrer Organisation kompromittiert wurde. Die identifizierten Operationen sollen es Administratoren ermöglichen, Prinzipalen Zugriff auf Azure-Ressourcen zu gewähren. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur die Rollenzuweisung verwenden, um ihre Berechtigungen zu eskalieren, sodass sie ihren Angriff voranbringen können.
MITRE-Taktiken: Lateral Movement, Defense Evasion
Schweregrad: Niedrig (PIM) / Hoch
Verdächtiger Aufruf eines risikoreichen Vorgangs "Credential Access" entdeckt (Vorschau)
(ARM_AnomalousOperation.CredentialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hinweisen könnte, auf Anmeldeinformationen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen Operation "Datenerfassung" entdeckt (Vorschau)
(ARM_AnomalousOperation.Collection)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch zum Sammeln von Daten hindeuten könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um vertrauliche Daten zu Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Defense Evasion'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.DefenseEvasion)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, Abwehrmaßnahmen auszuweichen. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zu vermeiden, dass Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Ausführungs"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Execution)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch zum Ausführen von Code hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Impact"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Impact)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf eine versuchte Konfigurationsänderung hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Initial Access"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.InitialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf eingeschränkte Ressourcen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um anfänglichen Zugriff auf eingeschränkte Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Verdächtiger Aufruf einer Hochrisiko-Operation "Seitliche Bewegung" entdeckt (Vorschau)
(ARM_AnomalousOperation.LateralMovement)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, laterale Bewegungen durchzuführen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Verdächtiger Vorgang zur Erhöhung des Zugriffs (Preview)(ARM_AnomalousElevateAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Vorgang "Erhöhten Zugriff" identifiziert. Die Aktivität wird als verdächtig eingestuft, da dieser Prinzipal selten solche Vorgänge aufruft. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet möglicherweise einen Vorgang "Erhöhten Zugriff", um eine Berechtigungseskalation für einen kompromittierten Benutzer auszuführen.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Persistenz'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Persistence)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, persistenz zu schaffen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Persistenz in Ihrer Umgebung herzustellen. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Privilege Escalation'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.PrivilegeEscalation)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, Berechtigungen zu eskalieren. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Berechtigungen zu eskalieren, während Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Mittel
Das MicroBurst-Exploit-Toolkit wurde verwendet, um beliebigen Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren
(ARM_MicroBurst.RunCodeOnBehalf)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster ausgeführt, um einen beliebigen Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um beliebigen Code für böswillige Aktivitäten auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Persistenz, Zugriff auf Anmeldeinformationen
Schweregrad: hoch
Verwendung von NetSPI-Methoden zum Erhalten der Persistenz in Ihrer Azure-Umgebung
(ARM_NetSPI.MaintainPersistence)
Beschreibung: Verwendung der NetSPI-Persistenztechnik zum Erstellen einer Webhook-Hintertür und Standard nachhaltige Persistenz in Ihrer Azure-Umgebung. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Ausführen von beliebigem Code oder Exfiltrieren von Azure Automation-Kontoanmeldeinformationen
(ARM_PowerZure.RunCodeOnBehalf)
Beschreibung: Das PowerZure-Exploit-Toolkit hat erkannt, dass versucht wurde, Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung der PowerZure-Funktion zum Erhalten der Persistenz in Ihrer Azure-Umgebung
(ARM_PowerZure.MaintainPersistence)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit hat festgestellt, dass eine Webhook-Hintertür erstellt wurde, um die Persistenz in Ihrer Azure-Umgebung zu Standard. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verdächtige klassische Rollenzuweisung entdeckt (Vorschau)
(ARM_AnomalousClassicRoleAssignment)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige klassische Rollenzuweisung in Ihrem Mandanten identifiziert, was möglicherweise darauf hindeutet, dass ein Konto in Ihrer Organisation kompromittiert wurde. Die identifizierten Operationen wurden entwickelt, um Abwärtskompatibilität mit klassischen Rollen zu gewährleisten, die nicht mehr häufig verwendet werden. Diese Aktivität kann zwar legitim sein, ein Bedrohungsakteur kann eine solche Zuordnung verwenden, um Berechtigungen für ein anderes Benutzerkonto unter seiner Kontrolle zu erteilen.
MITRE-Taktiken: Lateral Movement, Defense Evasion
Schweregrad: hoch
Warnungen für Azure Storage
Zugriff über eine verdächtige Anwendung
(Storage. Blob_SuspiciousApp)
Beschreibung: Gibt an, dass eine verdächtige Anwendung erfolgreich auf einen Container eines Speicherkontos mit Authentifizierung zugegriffen hat. Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde. Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel
Zugriff über eine verdächtige IP-Adresse
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Beschreibung: Gibt an, dass auf dieses Speicherkonto erfolgreich über eine IP-Adresse zugegriffen wurde, die als verdächtig eingestuft wird. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Pre Attack
Schweregrad: Hoch/Mittel/Niedrig
Phishinginhalte in einem Speicherkonto gehostet
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Beschreibung: Eine URL, die in einem Phishingangriff verwendet wird, verweist auf Ihr Azure Storage-Konto. Diese URL war Teil eines Phishingangriffs, der Microsoft 365-Kunden betraf. In der Regel ist der auf solchen Seiten gehostete Inhalt dafür konzipiert, Besucher zur Eingabe ihrer Unternehmensanmeldeinformationen oder Finanzinformationen in einem Webformular zu verleiten, das legitim aussieht. Diese Warnung stammt von Microsoft Threat Intelligence. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Speicherkonto als Quelle für die Verteilung von Schadsoftware identifiziert
(Storage.Files_WidespreadeAm)
Beschreibung: Antischadsoftwarewarnungen deuten darauf hin, dass eine infizierte Datei(n) in einer Azure-Dateifreigabe gespeichert ist, die an mehrere VMs bereitgestellt wird. Wenn Angreifer Zugriff auf einen virtuellen Computer mit einer eingebundenen Azure-Dateifreigabe erhalten, können sie diese verwenden, um Schadsoftware auf andere virtuelle Computer zu verteilen, auf denen dieselbe Freigabe eingebunden ist. Gilt für: Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Die Zugriffsebene eines potenziell vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen
(Storage.Blob_OpenACL)
Beschreibung: Die Warnung gibt an, dass jemand die Zugriffsebene eines BLOB-Containers im Speicherkonto geändert hat, das vertrauliche Daten auf der Ebene "Container" enthalten kann, um den nicht authentifizierten (anonymen) öffentlichen Zugriff zuzulassen. Die Änderung erfolgte über das Azure-Portal. Basierend auf statistischen Analysen wird der Blobcontainer als möglicherweise vertrauliche Daten enthaltend gekennzeichnet. Diese Analyse deutet darauf hin, dass Blob-Container oder Speicherkonten mit ähnlichen Namen in der Regel nicht für den öffentlichen Zugriff freigegeben sind. Gilt für: Azure Blob-Speicherkonten (Standard Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs).
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Authentifizierter Zugriff von einem Tor-Exitknoten
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Beschreibung: Auf einen oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich von einer IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Anfänglicher Zugriff / Vorabangriff
Schweregrad: Hoch/Mittel
Zugriff auf ein Speicherkonto von einem ungewöhnlichen Ort aus
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Beschreibung: Gibt an, dass es eine Änderung des Zugriffsmusters für ein Azure Storage-Konto gab. Im Vergleich zu den letzten Aktivitäten hat jemand von einer unbekannten IP-Adresse aus auf dieses Konto zugegriffen. Entweder hat ein Angreifer Zugriff auf das Konto erlangt, oder ein berechtigter Benutzer hat von einem neuen oder ungewöhnlichen geografischen Standort eine Verbindung hergestellt. Ein Beispiel für Letzteres wäre etwa eine Remotewartung durch eine neue Anwendung oder einen neuen Entwickler. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel/Niedrig
Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer
(Storage.Blob_AnonymousAccessAnomaly)
Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Niedrig
Potenzielle Schadsoftware, die in ein Speicherkonto hochgeladen wurde
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Beschreibung: Gibt an, dass ein Blob, das potenzielle Schadsoftware enthält, in einen BLOB-Container oder eine Dateifreigabe in einem Speicherkonto hochgeladen wurde. Diese Warnung basiert auf der Hashzuverlässigkeitsanalyse und nutzt Threat Intelligence von Microsoft, u. a. Hashes für Viren, Trojaner, Spyware und Ransomware. Mögliche Ursachen können einen absichtlichen Malware-Upload durch einen Angreifer oder einen unbeabsichtigten Upload eines potenziell schädlichen Blobs durch einen legitimen Benutzer umfassen. Gilt für: Azure Blob Storage, Azure Files (nur für Transaktionen über REST-API) Erfahren Sie mehr über die Funktionen der Bedrohungserkennung von Microsoft.
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Öffentlich zugängliche Speichercontainer erfolgreich gefunden
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Beschreibung: Eine erfolgreiche Ermittlung von öffentlich geöffneten Speichercontainern in Ihrem Speicherkonto wurde in der letzten Stunde durch ein Scanskript oder -tool durchgeführt.
Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-Taktiken: Sammlung
Schweregrad: Hoch/Mittel
Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Beschreibung: Eine Reihe fehlgeschlagener Versuche, nach öffentlich geöffneten Speichercontainern zu suchen, wurden in der letzten Stunde durchgeführt.
Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Der Bedrohungsakteur verwendet möglicherweise ein eigenes Skript oder bekannte Scantools wie Microburst, um nach öffentlich geöffneten Containern zu suchen.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-Taktiken: Sammlung
Schweregrad: Hoch/Niedrig
Ungewöhnliche Zugriffsüberprüfung in einem Speicherkonto
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Beschreibung: Gibt an, dass die Zugriffsberechtigungen eines Speicherkontos ungewöhnlich überprüft wurden, verglichen mit den letzten Aktivitäten auf diesem Konto. Mögliche Ursache: Ein Angreifer hat für einen späteren Angriff eine Reconnaissance durchgeführt. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ermittlung
Schweregrad: Hoch/Mittel
Ungewöhnliche Menge von Daten, die aus einem Speicherkonto extrahiert wurden
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Beschreibung: Gibt an, dass im Vergleich zu den letzten Aktivitäten in diesem Speichercontainer eine ungewöhnlich große Datenmenge extrahiert wurde. Mögliche Ursache: Ein Angreifer hat eine große Menge an Daten aus einem Container extrahiert, der Blobspeicher enthält. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Exfiltration
Schweregrad: Hoch/Niedrig
Ungewöhnliche Anwendung, die auf ein Speicherkonto zugegriffen hat
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Beschreibung: Gibt an, dass eine ungewöhnliche Anwendung auf dieses Speicherkonto zugegriffen hat. Mögliche Ursache: Ein Angreifer hat mit einer neuen Anwendung auf Ihr Speicherkonto zugegriffen. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Ungewöhnliche Untersuchung von Daten in einem Speicherkonto
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Beschreibung: Gibt an, dass Blobs oder Container in einem Speicherkonto auf ungewöhnliche Weise im Vergleich zu den letzten Aktivitäten auf diesem Konto aufgezählt wurden. Mögliche Ursache: Ein Angreifer hat für einen späteren Angriff eine Reconnaissance durchgeführt. Gilt für: Azure Blob Storage, Azure Files
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Ungewöhnliche Löschvorgänge in einem Speicherkonto
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Beschreibung: Gibt an, dass ein oder mehrere unerwartete Löschvorgänge in einem Speicherkonto aufgetreten sind, verglichen mit der letzten Aktivität für dieses Konto. Mögliche Ursache: Ein Angreifer hat Daten im Speicherkonto gelöscht. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-Taktiken: Exfiltration
Schweregrad: Hoch/Mittel
Ungewöhnlicher nicht authentifizierter öffentlicher Zugriff auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto ohne Authentifizierung zugegriffen hat, wobei eine externe (öffentliche) IP-Adresse verwendet wird. Dieser Zugriff ist verdächtig, da der Blobcontainer öffentlich zugänglich ist und in der Regel nur mit Authentifizierung über interne Netzwerke (private IP-Adressen) darauf zugegriffen wird. Dieser Zugriff könnte darauf hinweisen, dass die Zugriffsebene des BLOB-Containers falsch konfiguriert ist, und ein böswilliger Akteur hat den öffentlichen Zugriff möglicherweise ausgenutzt. Die Sicherheitswarnung umfasst den ermittelten Kontext vertraulicher Informationen (Überprüfungszeit, Klassifizierungsbezeichnung, Informationstypen und Dateitypen). Informieren Sie sich über die Bedrohungserkennung für vertrauliche Daten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Erstzugriff
Schweregrad: hoch
Ungewöhnliche Datenmenge aus einem vertraulichen Blobcontainer extrahiert (Vorschau)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand eine ungewöhnlich große Menge von Daten aus einem BLOB-Container mit vertraulichen Daten im Speicherkonto extrahiert hat. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Ungewöhnliche Anzahl von Blobs aus einem vertraulichen Blobcontainer extrahiert (Vorschau)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand eine ungewöhnlich große Anzahl von Blobs aus einem BLOB-Container mit vertraulichen Daten im Speicherkonto extrahiert hat. Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Erkennung von Bedrohungen für Datenvertraulichkeit
MITRE-Taktiken: Exfiltration
Zugriff mit einer bekannten verdächtigen Anwendung auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_SuspiciousApp.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand mit einer bekannten verdächtigen Anwendung auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto zugegriffen und authentifizierte Vorgänge ausgeführt hat.
Der Zugriff kann darauf hinweisen, dass ein Bedrohungsakteur Anmeldeinformationen für den Zugriff auf das Speicherkonto mithilfe einer bekannten verdächtigen Anwendung erhalten hat. Der Zugriff könnte jedoch auch auf einen Penetrationstest hinweisen, der in der Organisation durchgeführt wird.
Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Erkennung von Bedrohungen für Datenvertraulichkeit
MITRE-Taktiken: Erstzugriff
Schweregrad: hoch
Zugriff mit einer bekannten verdächtigen IP-Adresse auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_SuspiciousIp.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto von einer bekannten verdächtigen IP-Adresse zugegriffen hat, die mit Bedrohungsintelligenz von Microsoft Threat Intelligence verknüpft ist. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Zugriff über einen Tor-Exitknoten auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_TorAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass eine Person mit einer IP-Adresse, die als Tor-Beendigungsknoten bekannt ist, auf einen BLOB-Container mit vertraulichen Daten im Speicherkonto mit authentifizierten Zugriff zugegriffen hat. Der authentifizierte Zugriff über einen Tor-Exitknoten weist stark darauf hin, dass der Akteur versucht, für mögliche böswillige Zwecke anonym zu bleiben. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Zugriff von einem ungewöhnlichen Ort auf einen vertraulichen Blobcontainer (Vorschau)
Storage.Blob_GeoAnomaly.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand auf blob-Container mit vertraulichen Daten im Speicherkonto mit Authentifizierung von einem ungewöhnlichen Ort aus zugegriffen hat. Da der Zugriff authentifiziert wurde, liegt möglicherweise eine Kompromittierung der Anmeldeinformationen vor, die den Zugriff auf dieses Speicherkonto gestatten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Die Zugriffsebene eines vertraulichen Speicherblobcontainers wurde geändert, um nicht authentifizierten öffentlichen Zugriff zuzulassen (Vorschau)
Storage.Blob_OpenACL.Sensitive
Beschreibung: Die Warnung gibt an, dass jemand die Zugriffsebene eines BLOB-Containers im Speicherkonto, das vertrauliche Daten enthält, auf die Ebene "Container" geändert hat, die den nicht authentifizierten (anonymen) öffentlichen Zugriff ermöglicht. Die Änderung erfolgte über das Azure-Portal. Die Änderung der Zugriffsebene kann die Sicherheit der Daten beeinträchtigen. Es wird empfohlen, sofortige Maßnahmen zu ergreifen, um die Daten zu schützen und unbefugten Zugriff zu verhindern, falls diese Warnung ausgelöst wird. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature für die Erkennung von Datenempfindlichkeitsbedrohungen.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Verdächtiger externer Zugriff auf ein Azure-Speicherkonto mit zu freizügigem SAS-Token (Vorschau)
Storage.Blob_AccountSas.InternalSasUsedExternally
Beschreibung: Die Warnung gibt an, dass jemand mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto zugegriffen hat, indem ein übermäßig zulässiges SAS-Token mit einem langen Ablaufdatum verwendet wird. Diese Art des Zugriffs gilt als verdächtig, da das SAS-Token in der Regel nur in internen Netzwerken (von privaten IP-Adressen) verwendet wird. Die Aktivität kann darauf hinweisen, dass ein SAS-Token von einem böswilligen Akteur geleert wurde oder unbeabsichtigt von einer legitimen Quelle geleert wurde. Selbst wenn der Zugriff legitim ist, widerspricht die Verwendung eines SAS-Tokens mit hoher Berechtigung und einem langen Ablaufdatum den bewährten Sicherheitsmethoden und stellt ein potenzielles Sicherheitsrisiko dar. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Mittel
Verdächtiger externer Vorgang für ein Azure-Speicherkonto mit zu freizügigem SAS-Token (Vorschau)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Beschreibung: Die Warnung gibt an, dass jemand mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto zugegriffen hat, indem ein übermäßig zulässiges SAS-Token mit einem langen Ablaufdatum verwendet wird. Der Zugriff gilt als verdächtig, da Vorgänge, die außerhalb Ihres Netzwerks (nicht von privaten IP-Adressen) mit diesem SAS-Token aufgerufen werden, normalerweise für eine bestimmte Gruppe von Lese-/Schreib-/Löschvorgängen verwendet werden, aber andere Vorgänge aufgetreten sind, was diesen Zugriff verdächtig macht. Diese Aktivität kann darauf hinweisen, dass ein SAS-Token von einem böswilligen Akteur geleeckt wurde oder unbeabsichtigt von einer legitimen Quelle geleert wurde. Selbst wenn der Zugriff legitim ist, widerspricht die Verwendung eines SAS-Tokens mit hoher Berechtigung und einem langen Ablaufdatum den bewährten Sicherheitsmethoden und stellt ein potenzielles Sicherheitsrisiko dar. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Mittel
Ungewöhnliches SAS-Token wurde verwendet, um mit einer öffentlichen IP-Adresse auf ein Azure-Speicherkonto zuzugreifen (Vorschau)
Storage.Blob_AccountSas.UnusualExternalAccess
Beschreibung: Die Warnung gibt an, dass eine Person mit einer externen (öffentlichen) IP-Adresse auf das Speicherkonto über ein Konto-SAS-Token zugegriffen hat. Der Zugriff ist äußerst ungewöhnlich und gilt als verdächtig, da der Zugriff auf das Speicherkonto mithilfe von SAS-Token in der Regel nur über interne (private) IP-Adressen erfolgt. Es ist möglich, dass ein SAS-Token kompromittiert wurde oder von einem böswilligen Akteur innerhalb Ihrer Organisation oder extern generiert wurde, um Zugriff auf dieses Speicherkonto zu erhalten. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan.
MITRE-Taktiken: Exfiltration / Ressourcenentwicklung / Auswirkungen
Schweregrad: Niedrig
Schädliche Datei in Speicherkonto hochgeladen
Storage.Blob_AM.MalwareFound
Beschreibung: Die Warnung gibt an, dass ein bösartiges BLOB in ein Speicherkonto hochgeladen wurde. Diese Sicherheitswarnung wird von dem Feature zur Überprüfung auf Schadsoftware in Defender for Storage generiert. Mögliche Ursachen können einen absichtlichen Upload von Schadsoftware durch einen Bedrohungsakteur oder einen unbeabsichtigten Upload einer schädlichen Datei durch einen legitimen Benutzer umfassen. Gilt für: Azure Blob(Standard general-purpose v2, Azure Data Lake Storage Gen2 oder Premium Block Blobs) Speicherkonten mit dem neuen Defender for Storage-Plan mit aktiviertem Feature "Malware Scanning".
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Bösartiges BLOB wurde aus einem Speicherkonto heruntergeladen (Vorschau)
Storage.Blob_MalwareDownload
Beschreibung: Die Warnung gibt an, dass ein bösartiges BLOB aus einem Speicherkonto heruntergeladen wurde. Mögliche Ursachen können Schadsoftware sein, die in das Speicherkonto hochgeladen und nicht entfernt oder unter Quarantäne gestellt wurde, wodurch ein Bedrohungsakteur es herunterladen kann, oder einen unbeabsichtigten Download der Schadsoftware durch legitime Benutzer oder Anwendungen. Gilt für: Azure Blob-Speicherkonten (Standard, Universell V2, Azure Data Lake Storage Gen2 oder Premium-Blockblobs) mit dem neuen Defender for Storage-Plan mit aktiviertem Feature zur Überprüfung auf Schadsoftware
MITRE-Taktiken: Lateral Movement
Schweregrad: Hoch, wenn Eicar - niedrig
Warnungen für Azure Cosmos DB
Zugriff von einem Tor-Exitknoten
(CosmosDB_TorAnomaly)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exit-Knoten von Tor bekannt ist, einem anonymisierenden Proxy. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen.
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel
Zugriff von einer verdächtigen IP-Adresse
(CosmosDB_SuspiciousIp)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die von Microsoft Threat Intelligence als Bedrohung identifiziert wurde.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Zugriff von einem unüblichen Standort
(CosmosDB_GeoAnomaly)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde basierend auf dem üblichen Zugriffsmuster von einem Standort aus zugegriffen, der als unbekannt eingestuft wurde.
Entweder hat ein*e Bedrohungsakteur*in Zugriff auf das Konto erlangt, oder ein*e berechtigte*r Benutzer*in hat von einem neuen oder ungewöhnlichen geografischen Standort aus eine Verbindung hergestellt.
MITRE-Taktiken: Erstzugriff
Schweregrad: Niedrig
Unübliche Menge an extrahierten Daten
(CosmosDB_DataExfiltrationAnomaly)
Beschreibung: Ein ungewöhnlich großes Datenvolumen wurde aus diesem Azure Cosmos DB-Konto extrahiert. Dies kann darauf hindeuten, dass ein*e Bedrohungsakteur*in Daten exfiltriert hat.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Extraktion von Azure Cosmos DB-Kontenschlüsseln über ein potenziell schädliches Skript
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster von Schlüsselauflistungsvorgängen ausgeführt, um die Schlüssel von Azure Cosmos DB-Konten in Ihrem Abonnement abzurufen. Bedrohungsakteure verwenden automatisierte Skripts wie Microburst, um Schlüssel aufzulisten und Azure Cosmos DB-Konten zu finden, auf die sie zugreifen können.
Dieser Vorgang könnte darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Azure Cosmos DB-Konten in Ihrer Umgebung für böswillige Absichten zu gefährden.
Alternativ könnte ein*e böswillige*r Insider*in versuchen, auf vertrauliche Daten zuzugreifen und Lateral Movement durchzuführen.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Verdächtige Extraktion von Azure Cosmos DB-Kontoschlüsseln (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Beschreibung: Eine verdächtige Quelle extrahiert Azure Cosmos DB-Kontozugriffsschlüssel aus Ihrem Abonnement. Wenn diese Quelle keine legitime Quelle ist, kann dies ein Problem mit hohen Auswirkungen sein. Der Zugriffsschlüssel, der extrahiert wurde, bietet vollständige Kontrolle über die zugeordneten Datenbanken und die darin gespeicherten Daten. Sehen Sie sich die Details zu jeder einzelnen Warnung an, um zu verstehen, warum die Quelle als verdächtig gekennzeichnet wurde.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: hoch
SQL-Injektion: mögliche Herausschleusung von Daten
(CosmosDB_SqlInjection.DataExfiltration)
Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.
Die eingeschleuste Anweisung könnte Daten exfiltriert haben, auf die der Bedrohungsakteur nicht zugreifen darf.
Aufgrund der Struktur und der Funktionen von Azure Cosmos DB-Abfragen können viele bekannte Angriffe durch Einschleusung von SQL-Befehlen auf Azure Cosmos DB-Konten nicht funktionieren. Die variation, die in diesem Angriff verwendet wird, kann jedoch funktionieren, und Bedrohungsakteure können Daten exfiltrieren.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
SQL-Injection: Fuzzi-Versuch
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.
Wie andere bekannte SQL-Einschleusungsangriffe kann dieser Angriff das Azure Cosmos DB-Konto nicht gefährden.
Dennoch ist es ein Hinweis darauf, dass ein Bedrohungsakteur versucht, die Ressourcen in diesem Konto anzugreifen, und Ihre Anwendung kann kompromittiert werden.
Einige SQL-Einschleusungsangriffe können erfolgreich sein und zum Exfiltrieren von Daten verwendet werden. Dies bedeutet, dass, wenn der Angreifer weiterhin SQL-Injektionsversuche durchführt, möglicherweise Ihr Azure Cosmos DB-Konto kompromittieren und Daten exfiltrieren kann.
Sie können diese Bedrohung abwenden, indem Sie parametrisierte Abfragen verwenden.
MITRE-Taktiken: Vorangriff
Schweregrad: Niedrig
Warnungen auf Azure-Netzwerkebene
Netzwerkkommunikation mit einem schädlichen Computer erkannt
(Network_CommunicationWithC2)
Beschreibung: Die Netzwerkdatenverkehranalyse gibt an, dass Ihr Computer (IP %{Opfer-IP}) mit dem kommuniziert hat, was möglicherweise ein Befehls- und Kontrollcenter ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, kann die vermutete Aktivität darauf hindeuten, dass eine oder mehrere der Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) mit einem möglicherweise vorhandenen Befehls- und Steuerungszentrum (Command and Control Center) kommuniziert haben.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Möglicher kompromittierter Computer erkannt
(Network_ResourceIpIndicatedAsMalicious)
Beschreibung: Die Bedrohungserkennung gibt an, dass Ihr Computer (unter IP %{Machine IP}) möglicherweise von einer Schadsoftware vom Typ Conficker kompromittiert wurde. Conficker war ein Computerwurm, der auf das Betriebssystem Microsoft Windows ausgerichtet ist und erstmals im November 2008 entdeckt wurde. Conficker hat Millionen von Computern infiziert, darunter Regierungs-, Geschäfts- und Heimcomputer in über 200 Ländern bzw. Regionen. Damit ist es die größte bekannte Infektion mit einem Computerwurm seit dem Welchia-Wurm von 2003.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Mögliche eingehende %{Service Name} Brute-Force-Versuche erkannt
(Generic_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehranalyse hat eingehende %{Dienstname}-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} von %{Angreifer-IP}zugeordnet ist, erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Insbesondere zeigen die Stichprobendaten im Netzwerk verdächtige Aktivitäten zwischen %{Start Time} und %{End Time} an Port %{Victim Port}. Diese Aktivität entspricht versuchten Brute-Force-Angriffen auf %{Service Name}-Servern.
MITRE-Taktiken: PreAttack
Schweregrad: Informational
Mögliche eingehende SQL-Brute-Force-Angriffsversuche erkannt
(SQL_Incoming_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat eingehende SQL-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Insbesondere zeigen die Stichprobendaten im Netzwerk verdächtige Aktivitäten zwischen %{Start Time} und %{End Time} an Port %{Port Number} (%{SQL Service Type}). Diese Aktivität entspricht versuchten Brute-Force-Angriffen auf SQL Server-Instanzen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Möglichen Denial-of-Service-Angriff in ausgehender Richtung erkannt
(DDOS)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende Aktivitäten erkannt, die von %{Kompromittierter Host}, einer Ressource in Ihrer Bereitstellung, stammen. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt an Denial-of-Service-Angriffen auf externe Endpunkte beteiligt ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, weist die vermutete Aktivität möglicherweise darauf hin, dass eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) kompromittiert wurden. Aufgrund der Anzahl der Verbindungen glauben wir, dass die folgenden IP-Adressen möglicherweise die Ziele des DoS-Angriffs sind: %{Possible Victims}. Beachten Sie, dass es möglich ist, dass die Kommunikation zu einigen dieser IP-Adressen legitim ist.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität mit mehreren Quellen
(RDP_Incoming_BF_ManyToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, aus mehreren Quellen erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass %{Number of Attacking IPs} eindeutige IP-Adressen eine Verbindung mit Ihre Ressource herstellen, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität
(RDP_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} eingehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität mit mehreren Quellen
(SSH_Incoming_BF_ManyToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale eingehende SSH-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, aus mehreren Quellen erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass %{Number of Attacking IPs} eindeutige IP-Adressen eine Verbindung mit Ihre Ressource herstellen, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität
(SSH_Incoming_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale eingehende SSH-Kommunikation mit %{Opfer-IP}, die Ihrer Ressource %{Kompromittierter Host} zugeordnet ist, von %{Angreifer-IP}erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways) weitergeleitet. Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} eingehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt brute zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtiger ausgehender %{Attacked Protocol}-Datenverkehr erkannt
(PortScanning)
Beschreibung: Die Netzwerkdatenverkehranalyse hat verdächtige ausgehenden Datenverkehr von %{Kompromittierter Host} zum Zielport %{Häufigster Port} erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Dieses Verhalten kann darauf hindeuten, dass Ihre Ressource an Brute-Force-Versuchen des %{Attacked Protocol}-Brute-Force-Versuchen teilnimmt, oder Umräumangriffe portieren.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende RDP-Netzwerkaktivität für mehrere Ziele
(RDP_Outgoing_BF_OneToMany)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) an mehrere Ziele erkannt, die von %{Kompromittierten Host} (%{Angreifer-IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihr Computer eine Verbindung mit %{Number of Attacked IPs} eindeutigen IP-Adressen herstellt, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: hoch
Verdächtige ausgehende RDP-Netzwerkaktivität
(RDP_Outgoing_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP} erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammt, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} ausgehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihr Computer kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute force. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Verdächtige ausgehende SSH-Netzwerkaktivität für mehrere Ziele
(SSH_Outgoing_BF_OneToMany)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende SSH-Kommunikation mit mehreren Zielen erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource eine Verbindung mit %{Number of Attacked IPs} eindeutigen IP-Adressen herstellt, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende SSH-Netzwerkaktivität
(SSH_Outgoing_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat anomale ausgehende SSH-Kommunikation mit %{Opfer-IP} erkannt, die von %{Kompromittierter Host} (%{Angreifer-IP}) stammt, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Anhand der geprüften Netzwerkdaten wurde festgestellt, dass Ihre Ressource %{Number of Connections} ausgehende Verbindungen aufweist, was für diese Umgebung nicht normal ist. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Diese Art von Aktivität kann dazu führen, dass Ihre IP-Adresse von externen Entitäten als schädlich gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Von IP-Adressen erkannter Datenverkehr, deren Sperrung empfohlen wurde
(Network_TrafficFromUnrecommendedIP)
Beschreibung: Microsoft Defender für Cloud hat eingehenden Datenverkehr von IP-Adressen erkannt, die blockiert werden sollen. Dies tritt typischerweise dann auf, wenn diese IP-Adresse nicht regelmäßig mit dieser Ressource kommuniziert. Alternativ wurde die IP-Adresse von den Threat Intelligence-Quellen von Defender for Cloud als schädlich gekennzeichnet.
MITRE-Taktiken: Probing
Schweregrad: Informational
Warnungen für Azure Key Vault
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse
(KV_SuspiciousIPAccess)
Beschreibung: Auf einen Schlüsseltresor wurde erfolgreich von einer IP zugegriffen, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann darauf hindeuten, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Zugriff über einen TOR-Exitknoten auf einen Schlüsseltresor
(KV_TORAccess)
Beschreibung: Auf einen Schlüsseltresor wurde über einen bekannten TOR-Beendigungsknoten zugegriffen. Dies kann ein Hinweis darauf sein, dass ein Bedrohungsakteur auf den Schlüsseltresor zugegriffen hat und das TOR-Netzwerk verwendet, um den Quellstandort zu verbergen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Hohe Anzahl von Vorgängen in einem Schlüsseltresor
(KV_OperationVolumeAnomaly)
Beschreibung: Eine omale Anzahl von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Richtlinienänderung und Geheimnisabfrage in einem Schlüsseltresor
(KV_PutGetAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalien Vault Put-Richtlinienänderungsvorgang ausgeführt, gefolgt von einem oder mehreren Geheimen Get-Vorgängen. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur die Schlüsseltresorrichtlinie aktualisiert hat, um auf zuvor nicht zugängliche Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Geheimnisauflistung und -abfrage in einem Schlüsseltresor
(KV_ListGetAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalen Geheimlistenvorgang ausgeführt, gefolgt von mindestens einem geheimen Get-Vorgang. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt und steht üblicherweise mit dem Sichern von Geheimnissen im Zusammenhang. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erlangt hat und versucht, Geheimnisse zu entdecken, die verwendet werden können, um sich lateral über Ihr Netzwerk zu bewegen und/oder Zugriff auf vertrauliche Ressourcen zu erhalten. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert
(KV_AccountVolumeAccessDeniedAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden auf eine anomalie hohe Anzahl von Schlüsseltresorn zuzugreifen. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Ermittlung
Schweregrad: Niedrig
Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert
(KV_UserAccessDeniedAnomaly)
Beschreibung: Ein Schlüsseltresorzugriff wurde von einem Benutzer versucht, der normalerweise nicht darauf zugreift, dieses anomaliele Zugriffsmuster kann legitime Aktivitäten sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen.
MITRE-Taktiken: Initial Access, Discovery
Schweregrad: Niedrig
Ungewöhnliche Anwendung hat auf einen Schlüsseltresor zugegriffen
(KV_AppAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Dienstprinzipal zugegriffen, auf den normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliches Vorgangsmuster in einem Schlüsseltresor
(KV_OperationPatternAnomaly)
Beschreibung: Ein ungewöhnliches Muster von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnlicher Benutzer hat auf einen Schlüsseltresor zugegriffen
(KV_UserAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzer zugegriffen, der normalerweise nicht darauf zugreift. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliches Benutzer/Anwendungs-Paar hat auf einen Schlüsseltresor zugegriffen
(KV_UserAppAnomaly)
Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzerdienstprinzipalpaar zugegriffen, auf das normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Benutzerzugriff auf eine große Anzahl von Schlüsseltresoren
(KV_AccountVolumeAnomaly)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat auf ein anomalie hohes Volumen von Schlüsseltresorn zugegriffen. Dieses anomale Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf mehrere Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert
(KV_SuspiciousIPAccessDenied)
Beschreibung: Ein erfolgloser Schlüsseltresorzugriff wurde von einer IP versucht, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Niedrig
Ungewöhnlicher Zugriff auf den Schlüsseltresor von einer verdächtigen IP-Adresse (nicht von Microsoft oder extern)
(KV_UnusualAccessSuspiciousIP)
Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden anomale Zugriff auf Schlüsseltresor von einer nicht von Microsoft stammenden IP zu erhalten. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Warnungen für Azure DDoS Protection
DDoS-Angriff für öffentliche IP-Adresse erkannt
(NETWORK_DDOS_DETECTED)
Beschreibung: DDoS-Angriff für öffentliche IP (IP-Adresse) erkannt und abgemildert.
MITRE-Taktiken: Probing
Schweregrad: hoch
DDoS-Angriff für öffentliche IP-Adresse abgewehrt
(NETWORK_DDOS_MITIGATED)
Beschreibung: DDoS-Angriff für öffentliche IP (IP-Adresse) abgemildert.
MITRE-Taktiken: Probing
Schweregrad: Niedrig
Warnungen für Defender for APIs
Verdächtige Spitze auf Auffüllungsebene des API-Datenverkehrs an einen API-Endpunkt
(API_PopulationSpikeInAPITraffic)
Beschreibung: Eine verdächtige Spitze im API-Datenverkehr wurde an einem der API-Endpunkte erkannt. Das Erkennungssystem verwendet verlaufsbezogene Datenverkehrsmuster, um eine Baseline für das routinemäßige API-Datenverkehrsvolumen zwischen allen IP-Adressen und dem Endpunkt zu erstellen, wobei die Baseline für den API-Datenverkehr für den jeweiligen Statuscode spezifisch ist (z. B. 200 Erfolg). Das Erkennungssystem markierte eine ungewöhnliche Abweichung von dieser Baseline, die zur Erkennung verdächtiger Aktivitäten führte.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige Spitze des API-Datenverkehrs von einer einzelnen IP-Adresse zu einem API-Endpunkt
(API_SpikeInAPITraffic)
Beschreibung: Eine verdächtige Spitze im API-Datenverkehr wurde von einer Client-IP an den API-Endpunkt erkannt. Das Erkennungssystem verwendet verlaufsbezogene Datenverkehrsmuster, um eine Basislinie für das routinemäßige API-Datenverkehrsvolumen zwischen einer bestimmten IP-Adresse und dem Endpunkt zu erstellen. Das Erkennungssystem markierte eine ungewöhnliche Abweichung von dieser Baseline, die zur Erkennung verdächtiger Aktivitäten führte.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Ungewöhnlich große Antwortnutzdatenmenge, die zwischen einer einzelnen IP-Adresse und einem API-Endpunkt übertragen wird
(API_SpikeInPayload)
Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Spitzenmenge der API-Antwortnutzlast beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Menge der API-Antwortnutzdaten zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die Menge der API-Antwortnutzdaten erheblich von der verlaufsbezogenen Baseline abweicht.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
Ungewöhnlich großer Anforderungstext, der zwischen einer einzelnen IP-Adresse und einem API-Endpunkt übertragen wird
(API_SpikeInPayload)
Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Spitze in der Größe des API-Anforderungstexts beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Größe des API-Anforderungstexts zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die API-Anforderungstextgröße erheblich von der verlaufsbezogenen Baseline abweicht.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
(Vorschau) Verdächtige Latenzspitze für Datenverkehr zwischen einer einzelnen IP-Adresse und einem API-Endpunkt
(API_SpikeInLatency)
Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Latenzspitzen beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die routinemäßige Latenz des API-Datenverkehrs zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die Latenz eines API-Aufrufs erheblich von der verlaufsbezogenen Baseline abweicht.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
API-Anforderungen werden von einer einzelnen IP-Adresse auf eine ungewöhnlich große Anzahl unterschiedlicher API-Endpunkte gesendet
(API_SprayInRequests)
Beschreibung: Eine einzelne IP wurde beobachtet, die API-Aufrufe an eine ungewöhnlich große Anzahl unterschiedlicher Endpunkte sendet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Endpunkte darstellt, die von einer einzelnen IP-Adresse in 20-Minuten-Fenstern aufgerufen werden. Die Warnung wurde ausgelöst, weil das Verhalten der einzelnen IP-Adresse erheblich von der verlaufsbezogenen Baseline abweicht.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Parameteraufzählung auf einem API-Endpunkt
(API_ParameterEnumeration)
Beschreibung: Beim Zugriff auf einen der API-Endpunkte wurde eine einzelne IP beobachtet, die Parameter aufzählt. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Parameterwerte darstellt, die von einer einzelnen IP-Adresse beim Zugriff auf diesen Endpunkt in 20-Minuten-Fenstern verwendet werden. Die Warnung wurde ausgelöst, weil eine einzelne Client-IP-Adresse kürzlich mit einer ungewöhnlich großen Anzahl unterschiedlicher Parameterwerte auf einen Endpunkt zugegriffen hat.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
Verteilte Parameteraufzählung auf einem API-Endpunkt
(API_DistributedParameterEnumeration)
Beschreibung: Die aggregierte Benutzerpopulation (alle IPs) wurde beim Zugriff auf einen der API-Endpunkte beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Parameterwerte darstellt, die von der Benutzerpopulation beim Zugriff auf diesen Endpunkt in 20-Minuten-Fenstern verwendet werden. Die Warnung wurde ausgelöst, weil die Benutzerpopulation kürzlich mit einer ungewöhnlich großen Anzahl unterschiedlicher Parameterwerte auf einen Endpunkt zugegriffen hat.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
Parameterwert(e) mit anomalen Datentypen in einem API-Aufruf
(API_UnseenParamType)
Beschreibung: Beim Zugriff auf einen Ihrer API-Endpunkte wurde eine einzelne IP beobachtet und Parameterwerte eines Datentyps mit niedriger Wahrscheinlichkeit verwendet (z. B. Zeichenfolge, ganze Zahl usw.). Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs die erwarteten Datentypen für jeden API-Parameter. Die Warnung wurde ausgelöst, weil eine IP-Adresse kürzlich auf einen Endpunkt zugegriffen und dabei einen Datentyp mit niedriger Wahrscheinlichkeit als Parametereingabe verwendet hat.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Zuvor nicht angezeigter Parameter wurde in einem API-Aufruf verwendet
(API_UnseenParam)
Beschreibung: Es wurde festgestellt, dass eine einzelne IP auf einen der API-Endpunkte zugreift, wobei in der Anforderung ein zuvor nicht vorhandener parameter oder nicht gebundener Parameter verwendet wurde. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Reihe erwarteter Parameter, die Aufrufen eines Endpunkts zugeordnet sind. Die Warnung wurde ausgelöst, weil eine IP-Adresse kürzlich mithilfe eines zuvor nicht angezeigten Parameters auf einen Endpunkt zugegriffen hat.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Zugriff von einem Tor-Exitknoten auf einen API-Endpunkt
(API_AccessFromTorExitNode)
Beschreibung: Eine IP-Adresse aus dem Tor-Netzwerk hat auf einen Ihrer API-Endpunkte zugegriffen. Tor ist ein Netzwerk, mit dem Personen auf das Internet zugreifen können, während ihre echte IP-Adresse verborgen bleibt. Obwohl es legitime Verwendungen dafür gibt, wird Tor häufig von Angreifern verwendet, um ihre Identität beim Angriff auf Online-Systeme zu verbergen.
MITRE-Taktiken: Vorangriff
Schweregrad: Mittel
Zugriff auf API-Endpunkt von verdächtiger IP-Adresse
(API_AccessFromSuspiciousIP)
Beschreibung: Eine IP-Adresse, die auf einen Ihrer API-Endpunkte zugreift, wurde von Microsoft Threat Intelligence als eine hohe Wahrscheinlichkeit identifiziert, eine Bedrohung zu sein. Bei der Beobachtung von schädlichem Internetdatenverkehr wurde festgestellt, dass diese IP-Adresse an dem Angriff auf andere Onlineziele beteiligt ist.
MITRE-Taktiken: Vorangriff
Schweregrad: hoch
Verdächtiger Benutzer-Agent erkannt
(API_AccessFromSuspiciousUserAgent)
Beschreibung: Der Benutzer-Agent einer Anforderung, die auf einen Ihrer API-Endpunkte zugreift, enthielt anomale Werte für einen Versuch bei der Remotecodeausführung. Dies bedeutet nicht, dass einer Ihrer API-Endpunkte verletzt wurde, es deutet jedoch darauf hin, dass ein versuchter Angriff im Gange ist.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Warnungen für KI-Workloads
Erkannter Diebstahl von Anmeldeinformationen bei einer Azure Open AI-Modellbereitstellung
Beschreibung: Die Warnung zum Diebstahl von Anmeldeinformationen ist so konzipiert, dass die SOC benachrichtigt wird, wenn Anmeldeinformationen in GenAI-Modellantworten auf eine Benutzeraufforderung erkannt werden, was auf eine potenzielle Verletzung hinweist. Diese Warnung ist entscheidend für die Erkennung von Fällen des Verlusts oder Diebstahls von Anmeldeinformationen, die für generative KI einzigartig sind und schwerwiegende Folgen haben können, wenn dies erfolgreich ist.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen, Laterale Bewegung, Exfiltration
Schweregrad: Mittel
Ein Jailbreak-Versuch bei einer Azure Open AI-Modellbereitstellung wurde durch Prompt Shields blockiert.
Beschreibung: Die Jailbreak-Warnung, die mit einer direkten Eingabeaufforderungseinfügungsmethode durchgeführt wird, wurde entwickelt, um die SOC zu benachrichtigen, es gab einen Versuch, die Systemaufforderung zu manipulieren, um die Sicherheitsmaßnahmen der generativen KI zu umgehen, potenziell auf vertrauliche Daten oder privilegierte Funktionen zugreifen. Es hat darauf hingewiesen, dass solche Versuche von Azure Responsible AI Content Filtering (AKA Prompt Shields) blockiert wurden, um die Integrität der KI-Ressourcen und der Datensicherheit sicherzustellen.
MITRE-Taktiken: Berechtigungseskalation, Verteidigungshinterziehung
Schweregrad: Mittel
Ein Jailbreak-Versuch bei einer Azure Open AI-Modellbereitstellung wurde von Prompt Shields erkannt.
Beschreibung: Die Jailbreak-Warnung, die mit einer direkten Eingabeaufforderungseinfügungsmethode durchgeführt wird, wurde entwickelt, um die SOC zu benachrichtigen, es gab einen Versuch, die Systemaufforderung zu manipulieren, um die Sicherheitsmaßnahmen der generativen KI zu umgehen, potenziell auf vertrauliche Daten oder privilegierte Funktionen zugreifen. Es hat darauf hingewiesen, dass solche Versuche von Azure Responsible AI Content Filtering (AKA Prompt Shields) erkannt wurden, aufgrund von Inhaltsfiltereinstellungen oder aufgrund geringer Vertrauenswürdigkeit nicht blockiert wurden.
MITRE-Taktiken: Berechtigungseskalation, Verteidigungshinterziehung
Schweregrad: Mittel
Gefährdung vertraulicher Daten in Azure Open AI-Modellbereitstellung erkannt
Beschreibung: Die Warnung über vertrauliche Datenlecks wurde soC benachrichtigt, dass ein GenAI-Modell auf eine Benutzeraufforderung mit vertraulichen Informationen reagierte, was möglicherweise auf einen böswilligen Benutzer zurückzuführen ist, der versucht, die Sicherheit der generativen KI für den Zugriff auf nicht autorisierte vertrauliche Daten zu umgehen.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Veraltete Defender for Containers-Warnungen
Die folgenden Listen enthalten die Sicherheitswarnungen von Defender for Containers, die veraltet waren.
Manipulation der Hostfirewall erkannt
(K8S.NODE_FirewallDisabled)
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Manipulation der On-Host-Firewall erkannt. Angreifer deaktivieren diese häufig, um Daten zu exfiltrieren.
MITRE-Taktiken: DefenseEvasion, Exfiltration
Schweregrad: Mittel
Verdächtige Verwendung von DNS über HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Verwendung eines DNS-Aufrufs über HTTPS ungewöhnlich erkannt. Diese Technik wird von Angreifern verwendet, um Aufrufe von verdächtigen oder schädlichen Websites auszublenden.
MITRE-Taktiken: DefenseEvasion, Exfiltration
Schweregrad: Mittel
Eine mögliche Verbindung mit einem schädlichen Speicherort wurde erkannt.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Verbindung zu einem Speicherort erkannt, der als bösartig oder ungewöhnlich gemeldet wurde. Dies ist ein Indikator, dass möglicherweise eine Kompromittierung aufgetreten ist.
MITRE-Taktiken: InitialAccess
Schweregrad: Mittel
Digital Currency Mining-Aktivität
(K8S. NODE_CurrencyMining)
Beschreibung: Analyse von DNS-Transaktionen erkannte digitale Währungsminingaktivität. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Veraltete Defender für Server Linux-Warnungen
VM_AbnormalDaemonTermination
Anzeigename der Warnung: Abnorme Beendigung
Schweregrad: Niedrig
VM_BinaryGeneratedFromCommandLine
Anzeigename der Warnung: Verdächtige Binärdatei erkannt
Schweregrad: Mittel
VM_CommandlineSuspectDomain Suspicious
Warnungsanzeigename: Do Standard Namensreferenz
Schweregrad: Niedrig
VM_CommonBot
Warnungsanzeigename: Verhalten ähnlich wie gängige Linux-Bots erkannt
Schweregrad: Mittel
VM_CompCommonBots
Warnungsanzeigename: Befehle ähnlich wie gängige Linux-Bots erkannt
Schweregrad: Mittel
VM_CompSuspiciousScript
Anzeigename der Warnung: Shellskript erkannt
Schweregrad: Mittel
VM_CompTestRule
Anzeigename der Warnung: Zusammengesetzte Analysetestbenachrichtigung
Schweregrad: Niedrig
VM_CronJobAccess
Anzeigename der Warnung: Manipulation geplanter Vorgänge erkannt
Schweregrad: Informational
VM_CryptoCoinMinerArtifacts
Anzeigename der Warnung: Prozess, der mit dem erkannten digitalen Währungsmining verknüpft ist
Schweregrad: Mittel
VM_CryptoCoinMinerDownload
Warnungsanzeigename: Möglicher Cryptocoinminer Download erkannt
Schweregrad: Mittel
VM_CryptoCoinMinerExecution
Anzeigename der Warnung: Potenzieller Kryptomünzeminer gestartet
Schweregrad: Mittel
VM_DataEgressArtifacts
Warnungsanzeigename: Mögliche Datenexfiltration erkannt
Schweregrad: Mittel
VM_DigitalCurrencyMining
Warnungsanzeigename: Digitales Währungsminingverhalten erkannt
Schweregrad: hoch
VM_DownloadAndRunCombo
Anzeigename der Warnung: Verdächtiger Download Und dann Aktivität ausführen
Schweregrad: Mittel
VM_EICAR
Anzeigename der Warnung: Microsoft Defender für Cloud-Testwarnung (keine Bedrohung)
Schweregrad: hoch
VM_ExecuteHiddenFile
Anzeigename der Warnung: Ausführung der ausgeblendeten Datei
Schweregrad: Informational
VM_ExploitAttempt
Warnungsanzeigename: Möglicher Versuch der Befehlszeilenausnutzung
Schweregrad: Mittel
VM_ExposedDocker
Anzeigename der Warnung: Verfügbar gemachter Docker-Daemon im TCP-Socket
Schweregrad: Mittel
VM_FairwareMalware
Name der Warnungsanzeige: Verhalten ähnlich wie Fairware Ransomware erkannt
Schweregrad: Mittel
VM_FirewallDisabled
Warnungsanzeigename: Manipulation der erkannten Hostfirewall
Schweregrad: Mittel
VM_HadoopYarnExploit
Warnungsanzeigename: Mögliche Nutzung von Hadoop Yarn
Schweregrad: Mittel
VM_HistoryFileCleared
Anzeigename der Warnung: Eine Verlaufsdatei wurde gelöscht.
Schweregrad: Mittel
VM_KnownLinuxAttackTool
Anzeigename der Warnung: Mögliches Angriffstool erkannt
Schweregrad: Mittel
VM_KnownLinuxCredentialAccessTool
Anzeigename der Warnung: Mögliches Tool für den Zugriff auf Anmeldeinformationen erkannt
Schweregrad: Mittel
VM_KnownLinuxDDoSToolkit
Warnungsanzeigename: Indikatoren, die mit dem DDOS-Toolkit verknüpft sind, erkannt
Schweregrad: Mittel
VM_KnownLinuxScreenshotTool
Name der Warnungsanzeige: Screenshot, der auf dem Host erstellt wurde
Schweregrad: Niedrig
VM_LinuxBackdoorArtifact
Anzeigename der Warnung: Mögliche Hintertür erkannt
Schweregrad: Mittel
VM_LinuxReconnaissance
Warnungsanzeigename: Lokale Hostaufklärung erkannt
Schweregrad: Mittel
VM_MismatchedScriptFeatures
Warnungsanzeigename: Nicht übereinstimmende Skripterweiterungen erkannt
Schweregrad: Mittel
VM_MitreCalderaTools
Warnungsanzeigename: MITRE Caldera-Agent erkannt
Schweregrad: Mittel
VM_NewSingleUserModeStartupScript
Anzeigename der Warnung: Festgestellter Persistenzversuch
Schweregrad: Mittel
VM_NewSudoerAccount
Anzeigename der Warnung: Konto, das der Gruppe "sudo" hinzugefügt wurde
Schweregrad: Niedrig
VM_OverridingCommonFiles
Anzeigename der Warnung: Potenzielle Außerkraftsetzung allgemeiner Dateien
Schweregrad: Mittel
VM_PrivilegedContainerArtifacts
Warnungsanzeigename: Container, der im privilegierten Modus ausgeführt wird
Schweregrad: Niedrig
VM_PrivilegedExecutionInContainer
Warnungsanzeigename: Befehl in einem Container, der mit hohen Berechtigungen ausgeführt wird
Schweregrad: Niedrig
VM_ReadingHistoryFile
Anzeigename der Warnung: Ungewöhnlicher Zugriff auf bash-Verlaufsdatei
Schweregrad: Informational
VM_ReverseShell
Name der Warnungsanzeige: Potenzielle Reverseshell erkannt
Schweregrad: Mittel
VM_SshKeyAccess
Warnungsanzeigename: Prozess, der den Zugriff auf die SSH-Datei autorisierter Schlüssel auf ungewöhnliche Weise gesehen hat
Schweregrad: Niedrig
VM_SshKeyAddition
Anzeigename der Warnung: Neuer SSH-Schlüssel hinzugefügt
Schweregrad: Niedrig
VM_SuspectCompilation
Anzeigename der Warnung: Verdächtige Kompilierung erkannt
Schweregrad: Mittel
VM_SuspectConnection
Warnungsanzeigename: Ein ungewöhnlicher Verbindungsversuch wurde erkannt.
Schweregrad: Mittel
VM_SuspectDownload
Warnungsanzeigename: Erkannter Dateidownload aus einer bekannten schädlichen Quelle
Schweregrad: Mittel
VM_SuspectDownloadArtifacts
Anzeigename der Warnung: Verdächtiger Dateidownload erkannt
Schweregrad: Niedrig
VM_SuspectExecutablePath
Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde
Schweregrad: Mittel
VM_SuspectHtaccessFileAccess
Warnungsanzeigename: Zugriff auf htaccess-Datei erkannt
Schweregrad: Mittel
VM_SuspectInitialShellCommand
Anzeigename der Warnung: Verdächtiger erster Befehl in der Shell
Schweregrad: Niedrig
VM_SuspectMixedCaseText
Warnungsanzeigename: Erkannte anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile
Schweregrad: Mittel
VM_SuspectNetworkConnection
Anzeigename der Warnung: Verdächtige Netzwerkverbindung
Schweregrad: Informational
VM_SuspectNohup
Anzeigename der Warnung: Verdächtige Verwendung des Nohup-Befehls erkannt
Schweregrad: Mittel
VM_SuspectPasswordChange
Warnungsanzeigename: Mögliche Kennwortänderung mithilfe der crypt-Methode erkannt
Schweregrad: Mittel
VM_SuspectPasswordFileAccess
Anzeigename der Warnung: Verdächtiger Kennwortzugriff
Schweregrad: Informational
VM_SuspectPhp
Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt
Schweregrad: Mittel
VM_SuspectPortForwarding
Anzeigename der Warnung: Potenzielle Portweiterleitung an externe IP-Adresse
Schweregrad: Mittel
VM_SuspectProcessAccountPrivilegeCombo
Name der Warnungsanzeige: Prozess, der in einem Dienstkonto ausgeführt wird, wurde unerwartet stamm
Schweregrad: Mittel
VM_SuspectProcessTermination
Anzeigename der Warnung: Sicherheitsbezogene Prozessbeendigung erkannt
Schweregrad: Niedrig
VM_SuspectUserAddition
Anzeigename der Warnung: Verdächtige Verwendung des useradd-Befehls erkannt
Schweregrad: Mittel
VM_SuspiciousCommandLineExecution
Anzeigename der Warnung: Verdächtige Befehlsausführung
Schweregrad: hoch
VM_SuspiciousDNSOverHttps
Anzeigename der Warnung: Verdächtige Verwendung von DNS über HTTPS
Schweregrad: Mittel
VM_SystemLogRemoval
Anzeigename der Warnung: Mögliche Protokollmanipulationsaktivität erkannt
Schweregrad: Mittel
VM_ThreatIntelCommandLineSuspectDomain
Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.
Schweregrad: Mittel
VM_ThreatIntelSuspectLogon
Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.
Schweregrad: hoch
VM_TimerServiceDisabled
Warnungsanzeigename: Versuch, apt-daily-upgrade.timer service erkannt zu stoppen
Schweregrad: Informational
VM_TimestampTampering
Anzeigename der Warnung: Verdächtige Datei-Zeitstempeländerung
Schweregrad: Niedrig
VM_Webshell
Warnungsanzeigename: Mögliche bösartige Webshell erkannt
Schweregrad: Mittel
Veraltete Defender für Server-Windows-Warnungen
SCUBA_MULTIPLEACCOUNTCREATE
Anzeigename der Warnung: Verdächtige Erstellung von Konten auf mehreren Hosts
Schweregrad: Mittel
SCUBA_PSINSIGHT_CONTEXT
Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt
Schweregrad: Informational
SCUBA_RULE_AddGuestToAdministrators
Anzeigename der Warnung: Hinzufügen eines Gastkontos zur Gruppe "Lokale Administratoren"
Schweregrad: Mittel
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Anzeigename der Warnung: Apache_Tomcat_executing_suspicious_commands
Schweregrad: Mittel
SCUBA_RULE_KnownBruteForcingTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownCollectionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownDefenseEvasionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownExecutionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownPassTheHashTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownSpammingTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: Mittel
SCUBA_RULE_Lowering_Security_Settings
Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.
Schweregrad: Mittel
SCUBA_RULE_OtherKnownHackerTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_RDP_session_hijacking_via_tscon
Warnungsanzeigename: Verdächtige Integritätsstufe für RDP-Entführerung
Schweregrad: Mittel
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Anzeigename der Warnung: Verdächtige Dienstinstallation
Schweregrad: Mittel
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Anzeigename der Warnung: Erkannte Unterdrückung der rechtlichen Benachrichtigung, die Benutzern bei der Anmeldung angezeigt wird
Schweregrad: Niedrig
SCUBA_RULE_WDigest_Enabling
Warnungsanzeigename: Die Aktivierung des Registrierungsschlüssels "WDigest UseLogonCredential" wurde erkannt.
Schweregrad: Mittel
VM.Windows_ApplockerBypass
Warnungsanzeigename: Potenzieller Versuch, AppLocker zu umgehen, erkannt
Schweregrad: hoch
VM.Windows_BariumKnownSuspiciousProcessExecution
Warnungsanzeigename: Verdächtige Dateierstellung erkannt
Schweregrad: hoch
VM.Windows_Base64EncodedExecutableInCommandLineParams
Warnungsanzeigename: Erkannt, codierte ausführbare Datei in Befehlszeilendaten
Schweregrad: hoch
VM.Windows_CalcsCommandLineUse
Name der Warnungsanzeige: Verdächtige Verwendung von Cacls erkannt, um den Sicherheitsstatus des Systems zu senken
Schweregrad: Mittel
VM.Windows_CommandLineStartingAllExe
Anzeigename der Warnung: Verdächtige Befehlszeile erkannt, mit der alle ausführbaren Dateien in einem Verzeichnis gestartet werden
Schweregrad: Mittel
VM.Windows_DisablingAndDeletingIISLogFiles
Warnungsanzeigename: Erkannte Aktionen, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hinweisen
Schweregrad: Mittel
VM.Windows_DownloadUsingCertutil
Anzeigename der Warnung: Verdächtiger Download mithilfe von Certutil erkannt
Schweregrad: Mittel
VM.Windows_EchoOverPipeOnLocalhost
Name der Warnungsanzeige: Verdächtige benannte Pipe-Kommunikation erkannt
Schweregrad: hoch
VM.Windows_EchoToConstructPowerShellScript
Warnungsanzeigename: Dynamische PowerShell-Skripterstellung
Schweregrad: Mittel
VM.Windows_ExecutableDecodedUsingCertutil
Warnungsanzeigename: Erkannte Decodierung einer ausführbaren Datei mit integriertem certutil.exe-Tool
Schweregrad: Mittel
VM.Windows_FileDeletionIsSospisiousLocation
Anzeigename der Warnung: Verdächtige Dateilöschung erkannt
Schweregrad: Mittel
VM.Windows_KerberosGoldenTicketAttack
Warnungsanzeigename: Verdächtigte Kerberos Golden Ticket-Angriffsparameter beobachtet
Schweregrad: Mittel
VM.Windows_KeygenToolKnownProcessName
Warnungsanzeigename: Es wurde die mögliche Ausführung von ausführbaren Schlüsseln erkannt, die verdächtiger Prozess ausgeführt wurde.
Schweregrad: Mittel
VM.Windows_KnownCredentialAccessTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
VM.Windows_KnownSuspiciousPowerShellScript
Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt
Schweregrad: hoch
VM.Windows_KnownSuspiciousSoftwareInstallation
Anzeigename der Warnung: Software mit hohem Risiko erkannt
Schweregrad: Mittel
VM.Windows_MsHtaAndPowerShellCombination
Name der Warnungsanzeige: Verdächtige Kombination von HTA und PowerShell erkannt
Schweregrad: Mittel
VM.Windows_MultipleAccountsQuery
Anzeigename der Warnung: Mehrere Aufgaben Standard abgefragte Konten
Schweregrad: Mittel
VM.Windows_NewAccountCreation
Warnungsanzeigename: Kontoerstellung erkannt
Schweregrad: Informational
VM.Windows_ObfuscatedCommandLine
Warnungsanzeigename: Erkannte verschleierte Befehlszeile.
Schweregrad: hoch
VM.Windows_PcaluaUseToLaunchExecutable
Anzeigename der Warnung: Verdächtige Verwendung von Pcalua.exe erkannt, um ausführbaren Code zu starten
Schweregrad: Mittel
VM.Windows_PetyaRansomware
Anzeigename der Warnung: Erkannte Petya Ransomware-Indikatoren
Schweregrad: hoch
VM.Windows_PowerShellPowerSploitScriptExecution
Anzeigename der Warnung: Verdächtige PowerShell-Cmdlets ausgeführt
Schweregrad: Mittel
VM.Windows_RansomwareIndication
Anzeigename der Warnung: Ransomware-Indikatoren erkannt
Schweregrad: hoch
VM.Windows_SqlDumperUsedSuspiciously
Anzeigename der Warnung: Mögliches Dumping von Anmeldeinformationen wurde erkannt [mehrfach gesehen]
Schweregrad: Mittel
VM.Windows_StopCriticalServices
Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.
Schweregrad: Mittel
VM.Windows_SubvertingAccessibilityBinary
Anzeigename der Warnung: Angriff auf Sticky Keys erkannte verdächtige Kontoerstellung detected Medium
VM.Windows_SuspiciousAccountCreation
Anzeigename der Warnung: Verdächtige Kontoerstellung erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousFirewallRuleAdded
Anzeigename der Warnung: Verdächtige neue Firewallregel erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousFTPSSwitchUsage
Name der Warnungsanzeige: Verdächtige Verwendung des FTP-s Schalters erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousSQLActivity
Anzeigename der Warnung: Verdächtige SQL-Aktivität
Schweregrad: Mittel
VM.Windows_SVCHostFromInvalidPath
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
VM.Windows_SystemEventLogCleared
Anzeigename der Warnung: Das Windows-Sicherheit-Protokoll wurde gelöscht.
Schweregrad: Informational
VM.Windows_TelegramInstallation
Name der Warnungsanzeige: Potenziell verdächtige Verwendung des Telegram-Tools erkannt
Schweregrad: Mittel
VM.Windows_UndercoverProcess
Anzeigename der Warnung: Verdächtiger benannter Prozess erkannt
Schweregrad: hoch
VM.Windows_UserAccountControlBypass
Anzeigename der Warnung: Erkannte Änderung an einem Registrierungsschlüssel, der zum Umgehen des UAC missbraucht werden kann
Schweregrad: Mittel
VM.Windows_VBScriptEncoding
Anzeigename der Warnung: Verdächtige Ausführung des VBScript.Encode-Befehls erkannt
Schweregrad: Mittel
VM.Windows_WindowPositionRegisteryChange
Anzeigename der Warnung: Verdächtiger WindowPosition-Registrierungswert erkannt
Schweregrad: Niedrig
VM.Windows_ZincPortOpenningUsingFirewallRule
Warnungsanzeigename: Bösartige Firewallregel, die von ZINK-Serverimplantat erstellt wurde
Schweregrad: hoch
VM_DigitalCurrencyMining
Warnungsanzeigename: Digitales Währungsminingverhalten erkannt
Schweregrad: hoch
VM_MaliciousSQLActivity
Anzeigename der Warnung: Bösartige SQL-Aktivität
Schweregrad: hoch
VM_ProcessWithDoubleExtensionExecution
Anzeigename der Warnung: Verdächtige Doppelerweiterungsdatei ausgeführt
Schweregrad: hoch
VM_RegistryPersistencyKey
Warnungsanzeigename: Windows-Registrierungspersistenzmethode erkannt
Schweregrad: Niedrig
VM_ShadowCopyDeletion
Anzeigename der Warnung: Verdächtige Volume Shadow Copy Activity Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wird
Schweregrad: hoch
VM_SuspectExecutablePath
Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde, erkannt anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile
Schweregrad: Informational
Medium
VM_SuspectPhp
Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt
Schweregrad: Mittel
VM_SuspiciousCommandLineExecution
Anzeigename der Warnung: Verdächtige Befehlsausführung
Schweregrad: hoch
VM_SuspiciousScreenSaverExecution
Anzeigename der Warnung: Verdächtiger Bildschirmschonerprozess ausgeführt
Schweregrad: Mittel
VM_SvcHostRunInRareServiceGroup
Warnungsanzeigename: Seltene SVCHOST-Dienstgruppe ausgeführt
Schweregrad: Informational
VM_SystemProcessInAbnormalContext
Anzeigename der Warnung: Verdächtiger Systemprozess ausgeführt
Schweregrad: Mittel
VM_ThreatIntelCommandLineSuspectDomain
Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.
Schweregrad: Mittel
VM_ThreatIntelSuspectLogon
Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.
Schweregrad: hoch
VM_VbScriptHttpObjectAllocation
Warnungsanzeigename: VBScript-HTTP-Objektzuweisung erkannt
Schweregrad: hoch
VM_TaskkillBurst
Anzeigename der Warnung: Verdächtiger Prozessabbruch
Schweregrad: Niedrig
VM_RunByPsExec
Anzeigename der Warnung: PsExec-Ausführung erkannt
Schweregrad: Informational
MITRE ATT&CK-Taktik
Das Verständnis der Absicht eines Angriffs kann Ihnen helfen, das Ereignis leichter zu untersuchen und zu melden. Microsoft Defender für Cloud bietet in vielen Warnungen die MITRE-Taktik an, um diese Bemühungen zu unterstützen.
Die Reihe der Schritte, die den Fortschritt eines Cyberangriffs von der Erkennung bis zur Datenexfiltration beschreiben, wird häufig als „Kill Chain“ bezeichnet.
Defender für Clouds unterstützte KillChain-Absichten basieren auf Version 9 der MITRE ATT&CK-Matrix und werden in der folgenden Tabelle beschrieben.
Taktik | ATT&CK-Version | Beschreibung |
---|---|---|
PreAttack | Bei einem PreAttack kann es sich entweder um einen Versuch handeln, unabhängig von böswilligen Absichten auf eine bestimmte Ressource zuzugreifen, oder um einen fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erlangen, um Informationen vor deren Ausnutzung zu sammeln. Dieser Schritt wird normalerweise als Versuch von außerhalb des Netzwerks erkannt, das Zielsystem zu scannen und einen Einstiegspunkt zu identifizieren. | |
Erstzugriff | V7, V9 | „Erstzugriff“ ist die Phase, in der es einem Angreifer gelingt, auf der angegriffenen Ressource Fuß zu fassen. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant. Bedrohungsakteure können die Ressource nach dieser Phase oft steuern. |
Persistenz | V7, V9 | Als „Persistenz“ wird ein Zugriff, eine Aktion oder eine Konfigurationsänderung in einem System bezeichnet, der bzw. die einem Bedrohungsakteur dauerhafte Präsenz in diesem System ermöglicht. Bedrohungsakteure müssen den Zugriff häufig über Unterbrechungen (z.B. Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler, aufgrund derer ein Remotezugriffstool neu gestartet werden muss) hinweg beibehalten oder eine alternative Hintertür schaffen, um wieder Zugriff zu erhalten. |
Rechteausweitung | V7, V9 | „Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden. |
Umgehen von Verteidigungsmaßnahmen | V7, V9 | Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit (oder Variationen von) Techniken aus anderen Kategorien, die Angreifern den zusätzlichen Vorteil bieten, einen bestimmten Schutz oder eine bestimmte Abwehrmaßnahmen zu untergraben. |
Zugriff auf Anmeldeinformationen | V7, V9 | Als „Zugriff auf Anmeldeinformationen“ werden Techniken bezeichnet, die einen Zugriff oder die Kontrolle von System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, zur Folge haben. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
Ermittlung | V7, V9 | „Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können. |
LateralMovement | V7, V9 | „Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern. Die Ausführung von Tools auf Remotesystemen kann, muss jedoch nicht unbedingt möglich sein. Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen über ein System zu sammeln, ohne dass er weitere Tools, wie z. B. ein Tool für den Remotezugriff, benötigt. Ein Angreifer kann Lateral-Movement-Techniken für viele Zwecke verwenden, z. B. um Tools remote auszuführen, zu weiteren Systemen zu wechseln, auf bestimmte Informationen oder Dateien und weitere Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen. |
Ausführung | V7, V9 | Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral-Movement verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern. |
Sammlung | V7, V9 | Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
Command-and-Control | V7, V9 | „Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen. |
Exfiltration | V7, V9 | „Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
Auswirkung | V7, V9 | Ereignisse vom Typ „Auswirkung“ versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks unmittelbar zu verringern, einschließlich der Manipulation von Daten, um einen Geschäfts- oder Betriebsprozess zu beeinträchtigen. Dies bezieht sich häufig auf Techniken wie Ransomware, Verunstaltung, Datenmanipulation und andere. |
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.