Alertas de máquinas Linux
En este artículo se enumeran las alertas de seguridad que puede obtener para las máquinas Linux de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de máquinas Linux
El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:
Se ha borrado un archivo del historial
Descripción: el análisis de datos de host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus seguimientos. El usuario "%{user name}" realizó la operación.
Tácticas de MITRE: -
Gravedad: media
Se auditó la infracción de la directiva de control de aplicaciones adaptable
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.
Tácticas de MITRE: Ejecución
Gravedad: informativo
Exclusión amplia de archivos antimalware en la máquina virtual
(VM_AmBroadFilesExclusion)
Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: media
Antimalware deshabilitado y ejecución de código en la máquina virtual
(VM_AmDisablementAndCodeExecution)
Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
Antimalware deshabilitado en la máquina virtual
(VM_AmDisablement)
Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Exclusión de archivos antimalware y ejecución de código en la máquina virtual (temporal)
(VM_AmTempFileExclusionAndCodeExecution)
Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Exclusión de archivos antimalware en la máquina virtual
(VM_AmTempFileExclusion)
Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada en la máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)
(VM_AmMalwareCampaignRelatedExclusion)
Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Antimalware deshabilitado temporalmente en la máquina virtual
(VM_AmTemporarilyDisablement)
Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: -
Gravedad: media
Exclusión de archivos antimalware inusual en la máquina virtual
(VM_UnusualAmFileExclusion)
Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Se detectó un comportamiento similar al del ransomware. [Se ha detectado varias veces].
Descripción: El análisis de datos de host en %{Compromised Host} detectó la ejecución de archivos que tienen similitud con el ransomware conocido que puede impedir que los usuarios accedan a sus archivos personales o del sistema, y exigen el pago de rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: alta
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.
Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación
Gravedad: media
Se ha detectado un contenedor con la imagen de un extractor
(VM_MinerInContainerImage)
Descripción: los registros de la máquina indican la ejecución de un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.
Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.
Tácticas de MITRE: -
Gravedad: media
Se detectó una descarga de archivos desde un origen malintencionado conocido.
Descripción: el análisis de los datos del host ha detectado la descarga de un archivo de un origen de malware conocido en %{Compromised Host}.
Tácticas de MITRE: -
Gravedad: media
Se detectó una actividad de red sospechosa.
Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.
Tácticas de MITRE: -
Gravedad: baja
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.
Tácticas de MITRE: -
Gravedad: alta
Deshabilitación de los registros de auditd [se ha detectado varias veces].
Descripción: el sistema de auditoría de Linux proporciona una manera de realizar un seguimiento de la información relevante para la seguridad en el sistema. Registra tanta información como sea posible sobre los eventos que se producen en el sistema. Deshabilitar los registros de auditd puede interrumpir la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Aprovechamiento de la vulnerabilidad de Xorg [se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden usar esta técnica en intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Error en el ataque por fuerza bruta de SSH
(VM_SshBruteForceFailed)
Descripción: se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Atacantes}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Accounts used on failed sign in to host attempts}.
Tácticas de MITRE: sondeo
Gravedad: media
Comportamiento de ataque sin archivos detectado
(VM_FilelessAttackBehavior.Linux)
Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Ejecución
Gravedad: baja
Se detectó una técnica de ataque sin archivos
(VM_FilelessAttackTechnique.Linux)
Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Ejecución
Gravedad: alta
Kit de herramientas de ataques sin archivos detectado
(VM_FilelessAttackToolkit.Linux)
Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Se detectó una ejecución de archivos oculta.
Descripción: el análisis de datos de host indica que %{nombre de usuario}ejecutó un archivo oculto. Esta actividad podría indicar una actividad legítima o que un host se encuentra en peligro.
Tácticas de MITRE: -
Gravedad: informativo
Se agregó una nueva clave SSH. [Se ha detectado varias veces].
(VM_SshKeyAddition)
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: Persistencia
Gravedad: baja
Se agregó una nueva clave SSH.
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas.
Tácticas de MITRE: -
Gravedad: baja
Se detectó una posible puerta trasera. [Se ha detectado varias veces].
Descripción: el análisis de datos de host ha detectado que se descarga un archivo sospechoso y, a continuación, se ejecuta en %{Compromised Host} en la suscripción. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Se ha detectado una posible vulnerabilidad de seguridad del servidor de correo
(VM_MailserverExploitation )
Descripción: el análisis de datos de host en %{Compromised Host} detectó una ejecución inusual en la cuenta del servidor de correo.
Tácticas de MITRE: Explotación
Gravedad: media
Se detectó un posible shell web malintencionado.
Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento.
Tácticas de MITRE: -
Gravedad: media
Se detectó un posible cambio de contraseña mediante el método de cifrado. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó el cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Se detectó un proceso asociado con la minería de moneda digital. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso normalmente asociado a la minería de monedas digitales. Este comportamiento se ha detectado más de 100 veces en la actualidad en las siguientes máquinas: [nombre de la máquina].
Tácticas de MITRE: -
Gravedad: media
Se ha detectado un proceso relacionado con la minería de datos de moneda digital
Descripción: el análisis de datos del host detectó la ejecución de un proceso que normalmente está asociado a la minería de moneda digital.
Tácticas de MITRE: Explotación, Ejecución
Gravedad: media
Se detectó una aplicación de descarga codificada con Python. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede ser una indicación de actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Captura de pantalla tomada en el host [se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden usar estas herramientas para acceder a datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Se detectó shellcode. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó que el código de shell se genera desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Ataque por fuerza bruta de SSH correcto
(VM_SshBruteForceSuccess)
Descripción: el análisis de los datos del host ha detectado un ataque de fuerza bruta correcta. Se detectó que la IP %{Attacker source IP} realizaba varios intentos de inicio de sesión. Se realizaron inicios de sesión correctos desde esa IP con los siguientes usuarios: %{Accounts used to successfully sign in to host}. Esto significa que el host podría estar en peligro y controlado por un actor malintencionado.
Tácticas de MITRE: Explotación
Gravedad: alta
Se detectó la creación de una cuenta sospechosa.
Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.
Tácticas de MITRE: -
Gravedad: media
Se detectó un módulo de kernel sospechoso. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cargaba un archivo de objeto compartido como módulo de kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Acceso a contraseñas sospechoso [se ha detectado varias veces].
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: informativo
Acceso a contraseñas sospechoso
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}.
Tácticas de MITRE: -
Gravedad: informativo
Solicitud sospechosa al panel de Kubernetes
(VM_KubernetesDashboard)
Descripción: los registros de la máquina indican que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro.
Tácticas de MITRE: LateralMovement
Gravedad: media
Restablecimiento de configuración inusual en la máquina virtual
(VM_VMAccessUnusualConfigReset)
Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Restablecimiento de contraseña de usuario inusual en la máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Restablecimiento de clave SSH de usuario inusual en la máquina virtual
(VM_VMAccessUnusualSSHReset)
Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)
(VM_GPUDriverExtensionUnusualExecution)
Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.
Tácticas de MITRE: Impacto
Gravedad: baja
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de