Alertas de máquinas Linux
En este artículo se enumeran las alertas de seguridad que puede obtener para las máquinas Linux de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:
Descripción: el análisis de datos de host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus seguimientos. El usuario "%{user name}" realizó la operación.
Tácticas de MITRE: -
Gravedad: media
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.
Tácticas de MITRE: Ejecución
Gravedad: informativo
(VM_AmBroadFilesExclusion)
Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: media
(VM_AmDisablementAndCodeExecution)
Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
(VM_AmDisablement)
Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
(VM_AmFileExclusionAndCodeExecution)
Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
(VM_AmTempFileExclusionAndCodeExecution)
Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
(VM_AmTempFileExclusion)
Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
(VM_AmRealtimeProtectionDisabled)
Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
(VM_AmTempRealtimeProtectionDisablement)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)
(VM_AmMalwareCampaignRelatedExclusion)
Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
(VM_AmTemporarilyDisablement)
Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: -
Gravedad: media
(VM_UnusualAmFileExclusion)
Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Descripción: El análisis de datos de host en %{Compromised Host} detectó la ejecución de archivos que tienen similitud con el ransomware conocido que puede impedir que los usuarios accedan a sus archivos personales o del sistema, y exigen el pago de rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: alta
(AzureDNS_ThreatIntelSuspectDomain)
Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.
Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación
Gravedad: media
(VM_MinerInContainerImage)
Descripción: los registros de la máquina indican la ejecución de un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.
Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis de los datos del host ha detectado la descarga de un archivo de un origen de malware conocido en %{Compromised Host}.
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.
Tácticas de MITRE: -
Gravedad: baja
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.
Tácticas de MITRE: -
Gravedad: alta
Descripción: el sistema de auditoría de Linux proporciona una manera de realizar un seguimiento de la información relevante para la seguridad en el sistema. Registra tanta información como sea posible sobre los eventos que se producen en el sistema. Deshabilitar los registros de auditd puede interrumpir la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden usar esta técnica en intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
(VM_SshBruteForceFailed)
Descripción: se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Atacantes}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Accounts used on failed sign in to host attempts}.
Tácticas de MITRE: sondeo
Gravedad: media
(VM_FilelessAttackBehavior.Linux)
Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Ejecución
Gravedad: baja
(VM_FilelessAttackTechnique.Linux)
Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Ejecución
Gravedad: alta
(VM_FilelessAttackToolkit.Linux)
Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Los comportamientos específicos incluyen: {list of observed behaviors}
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Descripción: el análisis de datos de host indica que %{nombre de usuario}ejecutó un archivo oculto. Esta actividad podría indicar una actividad legítima o que un host se encuentra en peligro.
Tácticas de MITRE: -
Gravedad: informativo
(VM_SshKeyAddition)
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: Persistencia
Gravedad: baja
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas.
Tácticas de MITRE: -
Gravedad: baja
Descripción: el análisis de datos de host ha detectado que se descarga un archivo sospechoso y, a continuación, se ejecuta en %{Compromised Host} en la suscripción. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
(VM_MailserverExploitation )
Descripción: el análisis de datos de host en %{Compromised Host} detectó una ejecución inusual en la cuenta del servidor de correo.
Tácticas de MITRE: Explotación
Gravedad: media
Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento.
Tácticas de MITRE: -
Gravedad: media
Se detectó un posible cambio de contraseña mediante el método de cifrado. [Se ha detectado varias veces].
Descripción: el análisis de datos de host en %{Compromised Host} detectó el cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso normalmente asociado a la minería de monedas digitales. Este comportamiento se ha detectado más de 100 veces en la actualidad en las siguientes máquinas: [nombre de la máquina].
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis de datos del host detectó la ejecución de un proceso que normalmente está asociado a la minería de moneda digital.
Tácticas de MITRE: Explotación, Ejecución
Gravedad: media
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede ser una indicación de actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden usar estas herramientas para acceder a datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Descripción: el análisis de datos de host en %{Compromised Host} detectó que el código de shell se genera desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
(VM_SshBruteForceSuccess)
Descripción: el análisis de los datos del host ha detectado un ataque de fuerza bruta correcta. Se detectó que la IP %{Attacker source IP} realizaba varios intentos de inicio de sesión. Se realizaron inicios de sesión correctos desde esa IP con los siguientes usuarios: %{Accounts used to successfully sign in to host}. Esto significa que el host podría estar en peligro y controlado por un actor malintencionado.
Tácticas de MITRE: Explotación
Gravedad: alta
Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cargaba un archivo de objeto compartido como módulo de kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: informativo
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}.
Tácticas de MITRE: -
Gravedad: informativo
(VM_KubernetesDashboard)
Descripción: los registros de la máquina indican que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro.
Tácticas de MITRE: LateralMovement
Gravedad: media
(VM_VMAccessUnusualConfigReset)
Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
(VM_VMAccessUnusualPasswordReset)
Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
(VM_VMAccessUnusualSSHReset)
Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
(VM_GPUDriverExtensionUnusualExecution)
Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.
Tácticas de MITRE: Impacto
Gravedad: baja
Nota
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.