Alertas de seguridad: una guía de referencia

En este artículo se enumeran las alertas de seguridad que puede obtener de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

En la parte inferior de esta página, hay una tabla que describe la cadena de eliminación de Microsoft Defender for Cloud que está en línea con la versión 9 de MITRE ATT&CK Matrix.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Nota

Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.

Alertas de máquinas Windows

El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Windows son:

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Se ha detectado un inicio de sesión desde una dirección IP malintencionada. [observado varias veces] Se produjo una autenticación remota correcta para la cuenta [cuenta] y el proceso [proceso]. Sin embargo, la dirección IP de inicio de sesión (x.x.x.x) se ha notificado previamente como malintencionada o muy inusual. Es probable que se haya producido un ataque correcto. Los archivos con las extensiones .src son archivos del protector de pantalla y suelen residir en el directorio del sistema de Windows, así como ejecutarse desde este. - Alto
Adición de una cuenta de invitado al grupo de administradores locales El análisis de datos del host ha detectado la adición de la cuenta de invitado integrada al grupo de administradores locales en el host %{Compromised Host}, lo que está estrechamente asociado con la actividad de los atacantes. - Media
Se ha borrado un registro de eventos Los registros de la máquina indican que el usuario "%{user name}" ha realizado una operación de borrado del registro de eventos sospechoso en la máquina "%{CompromisedEntity}". Se borró el registro %{log channel}. - Informativo
Error en la acción antimalware Microsoft Antimalware ha encontrado un error al realizar una acción en malware u otro software potencialmente no deseado. - Media
Acción antimalware realizada Microsoft Antimalware para Azure ha realizado una acción para proteger esta máquina contra malware u otro software potencialmente no deseado. - Media
Exclusión amplia de archivos antimalware en la máquina virtual
(VM_AmBroadFilesExclusion)
Se ha detectado una exclusión de archivos de la extensión antimalware con regla de exclusión amplia en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
- Media
Antimalware deshabilitado y ejecución de código en la máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware deshabilitado al mismo tiempo que se ejecuta código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
- Alto
Antimalware deshabilitado en la máquina virtual
(VM_AmDisablement)
Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Evasión defensiva Media
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Archivo excluido del escáner antimalware al mismo tiempo que se ha ejecutado código mediante una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Evasión de defensas, ejecución Alto
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Se ha detectado una exclusión de archivos temporal de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión de defensas, ejecución Alto
Exclusión de archivos antimalware en la máquina virtual
(VM_AmTempFileExclusion)
Archivo excluido del escáner antimalware de la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada en la máquina virtual
(VM_AmRealtimeProtectionDisabled)
Se ha detectado que se ha deshabilitado la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
- Alto
Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)
(VM_AmMalwareCampaignRelatedExclusion)
Se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examine determinados archivos que se sospecha que están relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. Evasión defensiva Media
Antimalware deshabilitado temporalmente en la máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
- Media
Exclusión de archivos antimalware inusual en la máquina virtual
(VM_UnusualAmFileExclusion)
Se ha detectado una exclusión de archivos inusual de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. Acceso inicial, persistencia, ejecución, comando y control, explotación Media
Extensión de script personalizado con un comando sospechoso en la máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
Se ha detectado una extensión de script personalizado con un comando sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar la extensión de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Se ha detectado una extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. El punto de entrada hace referencia a un repositorio de GitHub sospechoso.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Extensión de script personalizado con una carga útil sospechosa en la máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Se ha detectado una extensión de script personalizado con una carga útil de un repositorio de GitHub sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Se detectaron acciones que indican la deshabilitación y eliminación de archivos de registro de IIS El análisis de datos del host detectó acciones que muestran que se inhabilitaron o eliminaron archivos de registro de IIS. - Media
Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. El análisis de datos del host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres en mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro. - Media
Se detectó un cambio en una clave del Registro que se puede usar para omitir UAC. El análisis de datos del host en %{Compromised Host} detectó que se cambió una clave del Registro que se puede usar para omitir UAC (Control de cuentas de usuario). Aunque posiblemente este tipo de configuración es benigno, también es típico de la actividad de los atacantes cuando intentan pasar de la obtención de acceso sin privilegios (usuario estándar) a un acceso con privilegios (por ejemplo, administrador) en un host en peligro. - Media
Se detectó la descodificación de un archivo ejecutable mediante la herramienta integrada certutil.exe. El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente. - Alto
Se detectó la habilitación de la clave del Registro UseLogonCredential de WDigest. El análisis de datos del host detectó un cambio en la clave del Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Concretamente, esta clave se ha actualizado para permitir que las credenciales de inicio de sesión se almacenen en texto no cifrado en la memoria LSA. Una vez se habilita, un atacante puede volcar contraseñas de texto no cifrado de la memoria LSA con herramientas de recopilación de credenciales como Mimikatz. - Media
Se detectó un archivo ejecutable codificado en los datos de la línea de comandos. El análisis de datos del host en %{Compromised Host} ha detectado un archivo con codificación Base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. - Alto
Se detectó una línea de comandos ofuscada Los atacantes usan técnicas de ofuscación cada vez más complejas para eludir las detecciones que se ejecutan con los datos subyacentes. El análisis de datos del host en %{Compromised Host} detectó indicadores sospechosos de ofuscación en la línea de comandos. - Informativo
Se detectaron indicadores de ransomware de Petya. El análisis de datos de host en %{Compromised Host} detectó indicadores asociados al ransomware de Petya. Consulte https://aka.ms/petya-blog para obtener más información. Revise la línea de comandos asociada a esta alerta y escale dicha alerta al equipo de seguridad. - Alto
Se detectó una posible ejecución del archivo ejecutable keygen. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso cuyo nombre indica que se trata de una herramienta keygen. Estas herramientas se utilizan normalmente para anular los mecanismos de licencia de software, pero su descarga suele estar incluida con otro software malintencionado. Se sabe que el grupo de actividad GOLD usa archivos keygen para obtener acceso de manera encubierta por la puerta trasera a los hosts a los que pone en peligro. - Media
Se detectó una posible ejecución de un instalador de malware. El análisis de datos del host en %{Compromised Host} detectó un nombre de archivo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de instalación de malware en el host de las víctimas. - Alto
Se detectó una posible actividad de reconocimiento local. El análisis de datos del host en %{Compromised Host} detectó una combinación de comandos systeminfo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de realización de la actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta de Windows legítima, su ejecución dos veces seguidas de la forma en que se ha producido aquí es poco frecuente. -
Se detectó un uso potencialmente sospechoso de la herramienta Telegram. El análisis de datos del host muestra la instalación de Telegram, un servicio de mensajería instantánea gratuito basado en la nube que existe tanto para móviles como para sistemas de escritorio. Se sabe que los atacantes usan este servicio para transferir archivos binarios malintencionados a cualquier otro equipo, teléfono o tableta. - Media
Se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión. El análisis de datos del host en %{Compromised Host} detectó cambios en la clave del Registro que controla si se muestra un aviso legal a los usuarios cuando inician sesión. El análisis de seguridad de Microsoft ha determinado que se trata de una actividad que habitualmente llevan a cabo los atacantes después de poner en peligro un host. - Bajo
Se detectó una combinación sospechosa de HTA y PowerShell. Los atacantes usan mshta.exe (host de aplicación HTML de Microsoft), que es un archivo binario firmado de Microsoft, para iniciar comandos de PowerShell malintencionados. A menudo, los atacantes recurren a tener un archivo HTA con VBScript alineado. Cuando una víctima navega hasta el archivo HTA y elige ejecutarlo, se ejecutan los comandos y los scripts de PowerShell que contiene. El análisis de datos del host en %{Compromised Host} detectó que mshta.exe inicia comandos de PowerShell. - Media
Se detectaron argumentos de la línea de comandos sospechosos. El análisis de datos del host en %{Compromised Host} detectó que se han usado argumentos de la línea de comandos sospechosos junto con un shell inverso que utiliza el grupo de actividad HYDROGEN. - Alto
Se detectó una línea de comandos sospechosa que se usa para iniciar todos los archivos ejecutables en un directorio. El análisis de datos del host ha detectado la ejecución de un proceso sospechoso en el host %{Compromised Host}. La línea de comandos indica un intento de iniciar todos los archivos ejecutables (*.exe) que pueden residir en un directorio. Esto podría indicar que un host se encuentra en peligro. - Media
Se detectaron credenciales sospechosas en la línea de comandos. El análisis de datos del host en %{Compromised Host} detectó una contraseña sospechosa que el grupo de actividad BORON usa para ejecutar un archivo. Se sabe que este grupo de actividad utiliza esta contraseña para ejecutar malware de Pirpi en el host de las víctimas. - Alto
Se detectaron credenciales de documentos sospechosas. El análisis de datos del host en %{Compromised Host} detectó un hash de contraseña precalculado común y sospechoso que usa el malware para ejecutar un archivo. Se sabe que el grupo de actividad HYDROGEN utiliza esta contraseña para ejecutar malware en el host de las víctimas. - Alto
Se detectó la ejecución sospechosa del comando VBScript.Encode. El análisis de datos del host en %{Compromised Host} detectó la ejecución del comando VBScript.Encode. Este codifica los scripts en texto ilegible, lo que dificulta que los usuarios examinen el código. La investigación de amenazas de Microsoft muestra que los atacantes suelen usar archivos VBscript codificados como parte de su ataque para eludir los sistemas de detección. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. - Media
Se detectó una ejecución sospechosa mediante el archivo rundll32.exe. El análisis de datos del host en %{Compromised Host} detectó que se ha utilizado el archivo rundll32.exe para ejecutar un proceso con un nombre no común. Esto se ha hecho de forma coherente con el esquema de nomenclatura del proceso que anteriormente ha utilizado el grupo de actividad GOLD al instalar la primera fase del implante en un host en peligro. - Alto
Se detectaron comandos de limpieza de archivos sospechosos. El análisis de datos del host en %{Compromised Host} detectó una combinación de comandos systeminfo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de realización de la actividad de autolimpieza después de la puesta en peligro. Aunque "systeminfo.exe" es una herramienta legítima de Windows, ejecutarla dos veces consecutivas, seguida de un comando de eliminación en la forma en que se ha producido aquí es poco frecuente. - Alto
Se detectó la creación de un archivo sospechoso. El análisis de datos del host en %{Compromised Host} detectó la creación o la ejecución de un proceso que anteriormente ha indicado que se trataba de una acción llevada a cabo en el host de las víctimas por parte del grupo de actividad BARIUM después de la puesta en peligro. Se ha sabido que este grupo de actividad usa esta técnica para descargar malware adicional en un host en peligro después de abrir un archivo adjunto en un documento de suplantación de identidad (phishing). - Alto
Se detectaron comunicaciones de canalización con nombre sospechosas. El análisis de datos del host en %{Compromised Host} detectó datos que se escriben en una canalización con nombre local desde un comando de la consola Windows. Se sabe que los atacantes utilizan canalizaciones con nombre a fin de realizar tareas y comunicarse con un implante malintencionado. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. - Alto
Se detectó una actividad de red sospechosa. El análisis del tráfico de red desde el host %{Compromised Host} detectó una actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. - Bajo
Se detectó una nueva regla de firewall sospechosa. El análisis de datos del host ha detectado que se ha agregado una nueva regla de firewall a través de netsh.exe para permitir el tráfico desde un archivo ejecutable en una ubicación sospechosa. - Media
Se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema Los atacantes usan innumerables métodos, como la fuerza bruta, el phishing de objetivo definido, etc., para realizar una vulneración inicial y obtener una posición en la red. Una vez que se consigue la vulneración inicial, a menudo se llevan a cabo pasos para reducir la configuración de seguridad de un sistema. Cacls, que es la abreviatura de "cambiar la lista de control de acceso", es la utilidad de la línea de comandos nativa de Microsoft Windows que se usa a menudo para modificar el permiso de seguridad en carpetas y archivos. En muchas ocasiones, los atacantes usan el archivo binario para reducir la configuración de seguridad de un sistema. Para ello, se concede a todos los usuarios acceso completo a algunos de los archivos binarios del sistema, como ftp.exe, net.exe, wscript.exe, etc. El análisis de datos del host en %{Compromised Host} detectó un uso sospechoso de Cacls para reducir la seguridad de un sistema. - Media
Se detectó un uso sospechoso del modificador -s de FTP. El análisis de datos de creación de procesos en el host %{Compromised Host} ha detectado el uso del modificador "-s:filename" del FTP. Este modificador se usa para especificar un archivo de script FTP para que lo ejecute el cliente. Se sabe que el malware o los procesos malintencionados usan este conmutador FTP (-s:filename) para apuntar a un archivo de script que está configurado para conectarse a un servidor FTP remoto y descargar archivos binarios malintencionados adicionales. - Media
Se detectó un uso sospechoso del archivo Pcalua. exe para iniciar código ejecutable. El análisis de datos del host en %{Compromised Host} detectó el uso del archivo pcalua.exe para iniciar código ejecutable. El archivo Pcalua.exe es un componente del "Asistente para la compatibilidad de programas" de Microsoft Windows que detecta problemas de compatibilidad durante la instalación o la ejecución de un programa. Se sabe que los atacantes usan la funcionalidad de las herramientas del sistema Windows legítimas para realizar acciones malintencionadas, por ejemplo, usan el archivo pcalua.exe con el modificador -a para iniciar archivos ejecutables malintencionados localmente o desde recursos compartidos remotos. - Media
Se detectó la deshabilitación de servicios críticos. El análisis de datos del host en %{Compromised Host} detectó la ejecución del comando "net.exe stop" que se usa para detener servicios críticos como SharedAccess o la aplicación Windows Security. La detención de cualquiera de estos servicios puede ser una indicación de un comportamiento malintencionado. - Media
Se detectó un comportamiento relacionado con la minería de datos de moneda digital. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital. - Alto
Construcción dinámica del script de PS El análisis de datos del host en %{Compromised Host} detectó un script de PowerShell que se está construyendo dinámicamente. A veces, los atacantes usan esta técnica para generar progresivamente un script con el fin de eludir los sistemas IDS. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. - Media
Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa. El análisis de datos del host detectó un archivo ejecutable en el host %{Compromised Host} que se está ejecutando desde una ubicación comuna de archivos sospechosos conocidos. Este archivo ejecutable podría indicar una actividad legítima o que un host se encuentra en peligro. - Alto
Comportamiento de ataque sin archivos detectado
(VM_FilelessAttackBehavior.Windows)
La memoria del proceso especificado contiene comportamientos utilizados habitualmente por ataques sin archivos. Entre sus comportamientos específicos se incluyen los siguientes:
1) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
2) Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
3) Llamadas de función a interfaces del sistema operativo confidenciales. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
4) Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.
Evasión defensiva Bajo
Se detectó una técnica de ataque sin archivos
(VM_FilelessAttackTechnique.Windows)
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre sus comportamientos específicos se incluyen los siguientes:
1) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
2) Imagen ejecutable insertada en el proceso, como en un ataque por inyección de código.
3) Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
4) Llamadas de función a interfaces del sistema operativo confidenciales. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
5) Vaciado de proceso, que es una técnica utilizada por malware en la que se carga un proceso legítimo en el sistema para actuar como contenedor de código hostil.
6) Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.
Evasión de defensas, ejecución Alto
Kit de herramientas de ataques sin archivos detectado
(VM_FilelessAttackToolkit.Windows)
La memoria del proceso especificado contiene un kit de herramientas de ataques sin archivos: [nombre del kit de herramientas]. Los kits de herramientas de ataques sin archivos usan técnicas que minimizan o eliminan el rastro de malware en el disco y reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware basadas en disco. Entre sus comportamientos específicos se incluyen los siguientes:
1) Kits de herramientas conocidas y software de minería de datos de cifrado.
2) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
3) Archivo ejecutable malintencionado insertado en la memoria de proceso.
Evasión de defensas, ejecución Media
Se detectó un software de alto riesgo. El análisis de datos del host de %{Compromised Host} detectó que anteriormente se ha asociado el uso de software con la instalación de malware. Una técnica común que se emplea en la distribución de software malintencionado consiste en empaquetarlo con otras herramientas benignas, como la que se ha detectado en esta alerta. Al usar estas herramientas, el malware se puede instalar de forma silenciosa en segundo plano. - Media
Se enumeraron miembros del grupo de administradores locales. Los registros de la máquina indican una enumeración correcta en el grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. En concreto, el elemento %{Enumerating User Domain Name}%{Enumerating User Name} enumeraba de forma remota los miembros del grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Esta actividad puede ser una actividad legítima o puede indicar que una máquina de la organización se ha puesto en peligro y se ha usado para el reconocimiento de la máquina virtual %{vmname}. - Informativo
El implante del servidor ZINC creó una regla de firewall malintencionada [Se detectó varias veces]. Se creó una regla de firewall mediante técnicas que coinciden con un actor conocido, ZINC. Es posible que la regla se usara para abrir un puerto en el host %{Compromised Host} a fin de permitir las comunicaciones del comando y control. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Alto
Actividad SQL malintencionada Los registros de la máquina indican que la cuenta %{user name} ejecutó el proceso "%{process name}". Esta actividad se considera malintencionada. - Alto
Se consultaron varias cuentas de dominio. El análisis de datos del host ha determinado que se está realizando una consulta en un número inusual de cuentas de dominio distintas en un breve período desde el host %{Compromised Host}. Este tipo de actividad podría ser legítimo, pero también puede ser una indicación de un riesgo. - Media
Se detectó un posible volcado de credenciales [Se ha detectado varias veces]. El análisis de datos del host ha detectado que una herramienta nativa de Windows (por ejemplo, sqldumper.exe) se usa de una manera que permite extraer credenciales de la memoria. A menudo, los atacantes usan estas técnicas para extraer las credenciales que posteriormente usan para el movimiento lateral y la escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un posible intento de omitir AppLocker. El análisis de datos del host en %{Compromised Host} ha detectado un posible intento de omitir las restricciones de AppLocker. AppLocker se puede configurar para implementar una directiva que limite los archivos ejecutables que se pueden ejecutar en un sistema Windows. El patrón de la línea de comandos similar al identificado en esta alerta se ha asociado anteriormente con intentos por parte del atacante de eludir la directiva de AppLocker mediante el uso de archivos ejecutables de confianza (permitidos por la directiva de AppLocker) para ejecutar código que no es de confianza. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. - Alto
Se detectó la ejecución de PsExec.
(VM_RunByPsExec)
El análisis de datos del host indica que la utilidad PsExec ejecutó el proceso %{Process Name}. PsExec se puede usar para ejecutar procesos de forma remota. Esta técnica se puede utilizar con fines malintencionados. Desplazamiento lateral, ejecución Informativo
Se detectaron indicadores de ransomware [Se han detectado varias veces]. El análisis de datos del host indica una actividad sospechosa tradicionalmente asociada a la pantalla de bloqueo y a ransomware de cifrado. El ransomware de la pantalla de bloqueo muestra un mensaje de pantalla completa que impide el uso interactivo del host y el acceso a sus archivos. El ransomware de cifrado impide el acceso mediante el cifrado de archivos de datos. En ambos casos, normalmente se muestra un mensaje de rescate, en el que se solicita el pago para restaurar el acceso a los archivos. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Alto
Se detectaron indicadores de ransomware. El análisis de datos del host indica una actividad sospechosa tradicionalmente asociada a la pantalla de bloqueo y a ransomware de cifrado. El ransomware de la pantalla de bloqueo muestra un mensaje de pantalla completa que impide el uso interactivo del host y el acceso a sus archivos. El ransomware de cifrado impide el acceso mediante el cifrado de archivos de datos. En ambos casos, normalmente se muestra un mensaje de rescate, en el que se solicita el pago para restaurar el acceso a los archivos. - Alto
Se ejecutó un grupo de servicio SVCHOST inusual.
(VM_SvcHostRunInRareServiceGroup)
Se ha observado que el proceso del sistema SVCHOST se ejecuta en un grupo de servicio poco frecuente. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada. Evasión de defensas, ejecución Informativo
Se detectó un ataque de teclas especiales. El análisis de datos del host indica que un atacante puede haber alterado un archivo binario de accesibilidad (por ejemplo, las teclas especiales, el teclado en pantalla o el narrador) para proporcionar una puerta trasera de acceso al host %{Compromised Host}. - Media
Ataque por fuerza bruta correcto
(VM_LoginBruteForceSuccess)
Se detectaron varios intentos de iniciar sesión procedentes del mismo origen. Algunos se autenticaron correctamente en el host.
Esto se parece a un ataque por ráfagas, en el que un atacante realiza numerosos intentos de autenticación para buscar las credenciales de cuenta válidas.
Explotación Medio/Alt
Nivel de integridad sospechoso que indica un secuestro de RDP El análisis de datos del host ha detectado que el archivo tscon.exe se ejecuta con privilegios SYSTEM. Esto puede indicar que un atacante utiliza este archivo binario para cambiar el contexto al de cualquier otro usuario que haya iniciado sesión en este host. Se trata de una técnica conocida de los atacantes a fin de comprometer las cuentas de usuario adicionales y moverse lateralmente a través de una red. - Media
Instalación sospechosa de un servicio El análisis de datos del host detectó la instalación del archivo tscon.exe como servicio. Este archivo binario iniciado como un servicio puede permitir que un atacante cambie de forma trivial a cualquier otro usuario que haya iniciado sesión en este host mediante el secuestro de conexiones RDP. Se trata de una técnica conocida de los atacantes a fin de comprometer las cuentas de usuario adicionales y moverse lateralmente a través de una red. - Media
Se observó una sospecha de parámetros de ataque golden ticket de Kerberos. El análisis de datos del host detecta parámetros de la línea de comandos coherentes con un ataque golden ticket de Kerberos. - Media
Se detectó la creación de una cuenta sospechosa. El análisis de datos del host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Suspicious account name}. El nombre de esta cuenta se parece mucho al nombre de un grupo o una cuenta de Windows estándar "%{Similar To Account Name}". Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano. - Media
Se detectó una actividad sospechosa.
(VM_SuspiciousActivity)
El análisis de datos del host ha detectado una secuencia de uno o más procesos que se ejecutan en %{machine name} y que se han asociado históricamente a una actividad malintencionada. Aunque los comandos individuales pueden parecer benignos, la alerta se califica según una agregación de estos comandos. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. Ejecución Media
Actividad de autenticación sospechosa
(VM_LoginBruteForceValidUserFailed)
Aunque ninguna de las autenticaciones se completó correctamente, algunas usaban cuentas que el host reconoció. Esto es parecido a un ataque por diccionario, en el que un atacante realiza numerosos intentos de autenticación mediante un diccionario de nombres y contraseñas de cuentas predefinidos a fin de encontrar credenciales válidas para acceder al host. Indica que algunos de los nombres de cuentas de su host pueden existir en un diccionario de nombres de cuentas conocido. Sondeo Media
Se detectó un segmento de código sospechoso. Indica que se ha asignado un segmento de código con métodos no estándar, como el vaciado de proceso y la inserción reflexiva. La alerta ofrece características adicionales del segmento de código que se han procesado para proporcionar un contexto para las funcionalidades y los comportamientos del segmento de código notificado. - Media
Ejecución de comando sospechosa
(VM_SuspiciousCommandLineExecution)
Los registros de la máquina indican una ejecución de la línea de comandos sospechosa realizada por parte del usuario %{user name}. Ejecución Alto
Se ejecutó un archivo de extensión doble sospechoso. El análisis de datos del host indica una ejecución de un proceso con una extensión doble sospechosa. Esta extensión pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y puede indicar la presencia de malware en el sistema. - Alto
Se detectó una descarga sospechosa mediante CertUtil. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una descarga sospechosa mediante CertUtil. El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. - Media
Error de ejecución sospechoso de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Se ha detectado un error sospechoso de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Estos errores pueden estar asociados a scripts malintencionados ejecutados por esta extensión.
Ejecución Media
Se detectó una actividad de PowerShell sospechosa. El análisis de datos del host detectó un script de PowerShell que se ejecuta en el host %{Compromised Host} que tiene características en común con scripts sospechosos conocidos. Este script podría indicar una actividad legítima o que un host se encuentra en peligro. - Alto
SE ejecutaron cmdlets de PowerShell sospechosos. El análisis de datos del host indica la ejecución de cmdlets malintencionados conocidos de PowerSploit de PowerShell. - Media
Se ejecutó un proceso sospechoso. [Se ha detectado varias veces]. Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte del atacante de acceder a las credenciales. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Alto
Se ejecutó un proceso sospechoso. Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte del atacante de acceder a las credenciales. - Alto
Se ejecutó un proceso con un nombre sospechoso. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de los atacantes o tiene un nombre similar al que usarían los atacantes para las herramientas a fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un nombre de proceso sospechoso. El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de los atacantes o tiene un nombre similar al que usarían los atacantes para las herramientas a fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. - Media
Ráfaga de terminación de procesos sospechosa
(VM_TaskkillBurst)
El análisis de datos del host indica que se produjo una ráfaga de terminación de procesos sospechosa en %{Machine Name}. En concreto, se eliminaron %{NumberOfCommands} procesos entre %{Begin} y %{Ending}. Evasión defensiva Bajo
Se ejecutó un proceso del protector de pantalla sospechoso.
(VM_SuspiciousScreenSaverExecution)
Se observó que el proceso "%{process name}" se estaba ejecutando desde una ubicación no común. Los archivos con las extensiones .src son archivos del protector de pantalla y suelen residir en el directorio del sistema de Windows, así como ejecutarse desde este. Evasión de defensas, ejecución Media
Actividad de SQL sospechosa Los registros de la máquina indican que la cuenta %{user name} ejecutó el proceso "%{process name}". Esta actividad no es habitual en esta cuenta. - Media
Se ejecutó el proceso SVCHOST sospechoso. Se ha observado la ejecución del proceso del sistema SVCHOST en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada. - Alto
Se ejecutó un proceso del sistema sospechoso.
(VM_SystemProcessInAbnormalContext)
Se observó que la ejecución del proceso del sistema %{process name} en un contexto anómalo. A menudo, el malware usa este nombre de proceso para enmascarar su actividad malintencionada. Evasión de defensas, ejecución Alto
Actividad de instantánea de volumen sospechosa El análisis de datos del host ha detectado una actividad de eliminación de instantáneas en el recurso. Instantáneas de volumen (VSC) es un artefacto importante que almacena instantáneas de datos. Cierto malware y, en concreto, el ransomware, dirige el VSC a las estrategias de copia de seguridad de sabotaje. - Alto
Se detectó un valor de registro de WindowPosition sospechoso. El análisis de datos del host en %{Compromised Host} detectó un intento de cambio de configuración del registro de WindowPosition, lo que puede indicar que se han intentado ocultar ventanas de la aplicación en secciones no visibles del escritorio. Esto podría indicar una actividad legítima o que una máquina se ha puesto en peligro. Este tipo de actividad se ha asociado previamente con adware conocido (o software no deseado) como Win32/OneSystemCare y Win32/SystemHealer, y malware como Win32/Creprote. Cuando el valor de WindowPosition se establece en 201329664, (hexadecimal: 0x0c00 0c00, correspondiente al eje X = 0c00 y al eje Y = 0c00), la ventana de la aplicación de consola se coloca en una sección que no es visible de la pantalla del usuario de un área que está oculta en la vista de la barra de tareas o el menú Inicio visible. El valor hexadecimal sospechoso conocido incluye c000c000, pero no se limita a este. - Bajo
Se detectó un proceso con nombre sospechoso. El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es muy similar a un proceso de ejecución muy común (%{Similar To Process Name}). Aunque este proceso podría ser benigno, se sabe que los atacantes a veces asignan nombres a sus herramientas malintencionadas para que se parezcan a otros del proceso legítimo y no se puedan detectar a simple vista. - Media
Restablecimiento de configuración inusual en la máquina virtual
(VM_VMAccessUnusualConfigReset)
Se ha detectado un restablecimiento de configuración inusual en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la configuración de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media
Eliminación inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Se ha detectado una eliminación inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Ejecución inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Se ha detectado una ejecución inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Se detectó una ejecución de procesos poco frecuente. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso por parte del usuario %{User Name} que es poco habitual. Las cuentas como %{User Name} tienden a realizar un conjunto limitado de operaciones, por lo que se determinó que esta ejecución no es comuna y puede ser sospechosa. - Alto
Restablecimiento de contraseña de usuario inusual en la máquina virtual
(VM_VMAccessUnusualPasswordReset)
Se ha detectado un restablecimiento de contraseña de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer las credenciales de un usuario local de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media
Restablecimiento de clave SSH de usuario inusual en la máquina virtual
(VM_VMAccessUnusualSSHReset)
Se ha detectado un restablecimiento de clave SSH de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la clave SSH de una cuenta de usuario de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media
Se detectó la asignación de un objeto HTTP de VBScript. Se ha detectado la creación de un archivo VBScript mediante el símbolo del sistema. El siguiente script contiene el comando de asignación de objetos HTTP. Esta acción se puede usar para descargar archivos malintencionados. - Alto
Se detectó un método de persistencia del Registro de Windows.
(VM_RegistryPersistencyKey)
El análisis de datos del host ha detectado un intento de conservar un archivo ejecutable en el registro de Windows. El malware suele utilizar esta técnica para sobrevivir a un reinicio. Persistencia Bajo

Alertas de máquinas Linux

El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Se ha borrado un archivo del historial El análisis de datos del host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes pueden hacer esto para cubrir sus seguimientos. El usuario "%{user name}" realizó la operación. - Media
Se detectó un acceso al archivo htaccess.
(VM_SuspectHtaccessFileAccess)
El análisis de datos del host en %{Compromised Host} detectó una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que le permite hacer varios cambios en un servidor web que ejecuta el software web Apache, incluida la funcionalidad básica de redireccionamiento, o funciones más avanzadas, como la protección de contraseña básica. A menudo, los atacantes modificarán archivos htaccess en máquinas que han puesto en peligro a fin de lograr persistencia. Persistencia, evasión de las defensas, ejecución Media
Exclusión amplia de archivos antimalware en la máquina virtual
(VM_AmBroadFilesExclusion)
Se ha detectado una exclusión de archivos de la extensión antimalware con regla de exclusión amplia en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
- Media
Antimalware deshabilitado y ejecución de código en la máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware deshabilitado al mismo tiempo que se ejecuta código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
- Alto
Antimalware deshabilitado en la máquina virtual
(VM_AmDisablement)
Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Evasión defensiva Media
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Archivo excluido del escáner antimalware al mismo tiempo que se ha ejecutado código mediante una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Evasión de defensas, ejecución Alto
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Se ha detectado una exclusión de archivos temporal de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión de defensas, ejecución Alto
Exclusión de archivos antimalware en la máquina virtual
(VM_AmTempFileExclusion)
Archivo excluido del escáner antimalware de la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada en la máquina virtual
(VM_AmRealtimeProtectionDisabled)
Se ha detectado que se ha deshabilitado la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
- Alto
Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)
(VM_AmMalwareCampaignRelatedExclusion)
Se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examine determinados archivos que se sospecha que están relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. Evasión defensiva Media
Antimalware deshabilitado temporalmente en la máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.
Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
- Media
Exclusión de archivos antimalware inusual en la máquina virtual
(VM_UnusualAmFileExclusion)
Se ha detectado una exclusión de archivos inusual de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Evasión defensiva Media
Se detectó un intento de detener el servicio apt-daily-upgrade.timer. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó un intento de detener el servicio apt-daily-upgrade.timer. En algunos ataques recientes, se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para su ataque. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Bajo
Se detectó un intento de detener el servicio apt-daily-upgrade.timer.
(VM_TimerServiceDisabled)
El análisis de datos del host en %{Compromised Host} detectó un intento de detener el servicio apt-daily-upgrade.timer. En algunos ataques recientes, se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para su ataque. Evasión defensiva Bajo
Se detectó un comportamiento similar a los bots comunes de Linux. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso que normalmente se asocia con las redes de robots (botnets) comunes de Linux. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un comportamiento similar a los bots comunes de Linux.
(VM_CommonBot)
El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso que normalmente se asocia con las redes de robots (botnets) comunes de Linux. Ejecución, recopilación, comando y control Media
Se detectó un comportamiento similar al del ransomware Fairware. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de los comandos rm -rf aplicados a ubicaciones sospechosas. Dado que rm -rf elimina archivos de manera recursiva, normalmente se usa en carpetas discretas. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un comportamiento similar al de ransomware Fairware.
(VM_FairwareMalware)
El análisis de datos del host en %{Compromised Host} detectó la ejecución de los comandos rm -rf aplicados a ubicaciones sospechosas. Dado que rm -rf elimina archivos de manera recursiva, normalmente se usa en carpetas discretas. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. Ejecución Media
Se detectó un comportamiento similar al del ransomware. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de archivos que parecen ransomware conocido y que pueden impedir que los usuarios accedan a los archivos del sistema o personales, y exigen el pago de un rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Alto
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. Acceso inicial, persistencia, ejecución, comando y control, explotación Media
Se ha detectado un contenedor con la imagen de un extractor
(VM_MinerInContainerImage)
Los registros de la máquina indican que se ha ejecutado un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital. Ejecución Alto
Ejecución de minería de criptomonedas
(VM_CryptoCoinMinerExecution)
El análisis de los datos del host/dispositivo detectó el inicio de un proceso muy similar al de la minería de monedas. Ejecución Media
Extensión de script personalizado con un comando sospechoso en la máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
Se ha detectado una extensión de script personalizado con un comando sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar la extensión de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Se ha detectado una extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. El punto de entrada hace referencia a un repositorio de GitHub sospechoso.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Extensión de script personalizado con una carga útil sospechosa en la máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Se ha detectado una extensión de script personalizado con una carga útil de un repositorio de GitHub sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. El análisis de datos del host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres en mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro. - Media
Se detectó una descarga de archivos desde un origen malintencionado conocido. [Se ha detectado varias veces].
(VM_SuspectDownload)
El análisis de datos del host ha detectado la descarga de un archivo desde un origen de malware conocido en %{Compromised Host}. Este comportamiento se ha detectado más de [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. Elevación de privilegios, ejecución, filtración, comando y control Media
Se detectó una descarga de archivos desde un origen malintencionado conocido. El análisis de datos del host ha detectado la descarga de un archivo desde un origen de malware conocido en %{Compromised Host}. - Media
Se detectó un intento de persistencia. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la instalación de un script de inicio para el modo de usuario único. No es en absoluto habitual que los procesos legítimos tengan que ejecutarse de ese modo, por lo que este síntoma podría indicar que un atacante ha agregado un proceso malintencionado a cada nivel de ejecución para garantizar la persistencia. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se ha detectado un intento de persistencia
(VM_NewSingleUserModeStartupScript)
El análisis de datos del host ha detectado que se ha instalado un script de inicio para el modo de usuario único.
Como no es habitual que los procesos legítimos se ejecuten de ese modo, este síntoma podría indicar que un atacante ha agregado un proceso malintencionado a cada nivel de ejecución para garantizar la persistencia.
Persistencia Media
Se detectó una descarga de archivos sospechosa. [Se ha detectado varias veces]. El análisis de datos del host ha detectado una descarga sospechosa de un archivo remoto en el host %{Compromised Host}. Este comportamiento se ha detectado 10 veces en la actualidad en las siguientes máquinas: [nombre de la máquina]. - Bajo
Se detectó una descarga de archivos sospechosa.
(VM_SuspectDownloadArtifacts)
El análisis de datos del host ha detectado una descarga sospechosa de un archivo remoto en el host %{Compromised Host}. Persistencia Bajo
Se detectó una actividad de red sospechosa. El análisis del tráfico de red desde el host %{Compromised Host} detectó una actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. - Bajo
Se detectó un uso sospechoso del comando useradd. [Se ha detectado varias veces]. El análisis de datos del host ha detectado un uso sospechoso del comando useradd en el host %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un uso sospechoso del comando useradd.
(VM_SuspectUserAddition)
El análisis de datos del host ha detectado un uso sospechoso del comando useradd en el host %{Compromised Host}. Persistencia Media
Se detectó un comportamiento relacionado con la minería de datos de moneda digital. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital. - Alto
Deshabilitación de los registros de auditd [se ha detectado varias veces]. El sistema de auditoría de Linux proporciona una manera de hacer un seguimiento de información relacionada con la seguridad en el sistema. Registra tanta información como sea posible sobre los eventos que se producen en el sistema. Deshabilitar los registros de auditd puede interrumpir la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Bajo
Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa.
(VM_SuspectExecutablePath)
El análisis de datos del host detectó un archivo ejecutable en el host %{Compromised Host} que se está ejecutando desde una ubicación comuna de archivos sospechosos conocidos. Este archivo ejecutable podría indicar una actividad legítima o que un host se encuentra en peligro. Ejecución Alto
Aprovechamiento de la vulnerabilidad de Xorg [se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden utilizar esta técnica en los intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Demonio de Docker expuesto en el socket TCP
(VM_ExposedDocker)
Los registros de la máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De manera predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando un socket TCP está habilitado. Permite que cualquiera con acceso al puerto pertinente pueda obtener acceso total al demonio de Docker. Ejecución, vulnerabilidad de seguridad Media
Error en el ataque por fuerza bruta de SSH
(VM_SshBruteForceFailed)
Se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Attackers}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Accounts used on failed sign in to host attempts}. Sondeo Media
Se detectó un comportamiento de ataque sin archivos
(VM_FilelessAttackBehavior.Linux)
La memoria del proceso especificado a continuación contiene comportamientos utilizados habitualmente por ataques sin archivos.
Los comportamientos específicos incluyen: {list of observed behaviors}
Ejecución Bajo
Se detectó una técnica de ataque sin archivos
(VM_FilelessAttackTechnique.Linux)
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad.
Los comportamientos específicos incluyen: {list of observed behaviors}
Ejecución Alto
Se ha detectado un kit de herramientas de ataque sin archivos
(VM_FilelessAttackToolkit.Linux)
La memoria del proceso especificado a continuación contiene un kit de herramientas de ataque sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional.
Los comportamientos específicos incluyen: {list of observed behaviors}
Evasión de defensas, ejecución Alto
Se detectó una ejecución de archivos oculta. El análisis de datos del host indica que %{user name} ejecutó un archivo oculto. Esta actividad podría indicar una actividad legítima o que un host se encuentra en peligro. - Informativo
Se detectaron indicadores asociados al kit de herramientas de DDOS. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, de abrir puertos y servicios y de tener un control total sobre el sistema infectado. También se podría tratar de una actividad legítima. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectaron indicadores asociados al kit de herramientas de DDOS.
(VM_KnownLinuxDDoSToolkit)
El análisis de datos del host en %{Compromised Host} detectó nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, de abrir puertos y servicios y de tener un control total sobre el sistema infectado. También se podría tratar de una actividad legítima. Persistencia, movimiento lateral, ejecución, vulnerabilidad de seguridad Media
Se detectó un reconocimiento de host local. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un reconocimiento de host local.
(VM_LinuxReconnaissance)
El análisis de datos del host en %{Compromised Host} detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux. Detección Media
Se detectó una manipulación del firewall del host. [Se ha detectado varias veces].
(VM_FirewallDisabled)
El análisis de datos del host en %{Compromised Host} detectó una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. Evasión de defensas, filtración Media
Se detectó una manipulación del firewall del host. El análisis de datos del host en %{Compromised Host} detectó una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos. - Media
Se ha detectado un agente de MITRE Caldera
(VM_MitreCalderaTools)
Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en el host %{Compromised Host}. Esto a menudo se asocia con el agente MITRE 54ndc47, que podría usarse de forma malintencionada para atacar a otras máquinas de alguna forma. All Media
Se agregó una nueva clave SSH. [Se ha detectado varias veces].
(VM_SshKeyAddition)
Se agregó una nueva clave SSH al archivo de claves autorizado. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. Persistencia Bajo
Se agregó una nueva clave SSH. Se agregó una nueva clave SSH al archivo de claves autorizado. - Bajo
Se detectó una posible herramienta de ataque. [Se ha detectado varias veces]. Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en el host %{Compromised Host}. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan otras máquinas de alguna manera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una posible herramienta de ataque.
(VM_KnownLinuxAttackTool)
Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en el host %{Compromised Host}. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan otras máquinas de alguna manera. Ejecución, recopilación, comando y control, sondeo Media
Se detectó una posible puerta trasera. [Se ha detectado varias veces]. El análisis de datos del host ha detectado la descarga de un archivo sospechoso y su posterior ejecución en el host %{Compromised Host} de su suscripción. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una posible herramienta de acceso a credenciales. [Se ha detectado varias veces]. Los registros de la máquina indican que se estaba ejecutando una posible herramienta de acceso a credenciales conocida en el host %{Compromised Host} que inició el proceso "%{Suspicious Process}". A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una posible herramienta de acceso a credenciales.
(VM_KnownLinuxCredentialAccessTool)
Los registros de la máquina indican que se estaba ejecutando una posible herramienta de acceso a credenciales conocida en el host %{Compromised Host} que inició el proceso "%{Suspicious Process}". A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales. Acceso con credenciales Media
Posible filtración de datos [se ha visto varias veces] Un análisis de datos del host en %{Compromised Host} detectó una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Posible filtración de datos
(VM_DataEgressArtifacts)
Un análisis de datos del host en %{Compromised Host} detectó una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. Recopilación, filtración Media
Posible aprovechamiento de Hadoop Yarn
(VM_HadoopYarnExploit)
El análisis de datos del host en %{Compromised Host} detectó el posible aprovechamiento del servicio Hadoop Yarn. Explotación Media
Se ha detectado una posible vulnerabilidad de seguridad del servidor de correo
(VM_MailserverExploitation )
El análisis de datos de host en %{Compromised Host} ha detectado una ejecución inusual en la cuenta del servidor de correo Explotación Media
Se detectó una posible actividad de manipulación de registros. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó una posible eliminación de archivos que realizan un seguimiento de la actividad del usuario durante el transcurso de su operación. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una posible actividad de manipulación de registros.
(VM_SystemLogRemoval)
El análisis de datos del host en %{Compromised Host} detectó una posible eliminación de archivos que realizan un seguimiento de la actividad del usuario durante el transcurso de su operación. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas. Evasión defensiva Media
Se detectó un posible shell web malintencionado. [Se ha detectado varias veces].
(VM_Webshell)
El análisis de datos del host en %{Compromised Host} detectó el uso de un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. Persistencia, vulnerabilidad de seguridad Media
Se detectó un posible shell web malintencionado. El análisis de datos del host en %{Compromised Host} detectó el uso de un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento. - Media
Se detectó un posible cambio de contraseña mediante el método de cifrado. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó un cambio de contraseña mediante el método de cifrado. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Posible invalidación de archivos comunes [se ha detectado varias veces]. El análisis de datos del host ha detectado que se sobrescriben archivos ejecutables comunes en el host %{Compromised Host}. Los atacantes sobrescribirán los archivos comunes a fin de ofuscar sus acciones o por motivos de persistencia. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Posible invalidación de archivos comunes
(VM_OverridingCommonFiles)
El análisis de datos del host ha detectado que se sobrescriben archivos ejecutables comunes en el host %{Compromised Host}. Los atacantes sobrescribirán los archivos comunes a fin de ofuscar sus acciones o por motivos de persistencia. Persistencia Media
Posible reenvío de puertos a la dirección IP externa [se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó el inicio del reenvío de puertos a una dirección IP externa. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Posible reenvío de puertos a la dirección IP externa
(VM_SuspectPortForwarding)
El análisis de datos del host detectó el inicio del reenvío de puertos a una dirección IP externa. Filtración, comando y control Media
Se detectó un posible shell inverso. [Se ha detectado varias veces]. Un análisis de los datos del host en %{Compromised Host} ha detectado el uso de un shell inverso posible. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un posible shell inverso.
(VM_ReverseShell)
Un análisis de los datos del host en %{Compromised Host} ha detectado el uso de un shell inverso posible. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. Exfiltration, Exploitation Media
Se ha ejecutado un comando con privilegios en el contenedor
(VM_PrivilegedExecutionInContainer)
Los registros de la máquina indican que se ha ejecutado un comando con privilegios en un contenedor de Docker con privilegios. Un comando con privilegios ha extendido sus privilegios a la máquina host. Elevación de privilegios Bajo
Se ha detectado un contenedor con privilegios
(VM_PrivilegedContainerArtifacts)
Los registros de la máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso total a los recursos del host. Si se pone en peligro, un atacante puede usar el contenedor con privilegios para acceder a la máquina host. Elevación de privilegios, Ejecución Bajo
Se detectó un proceso asociado con la minería de moneda digital. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso que normalmente se asocia con la minería de moneda digital. Este comportamiento se ha detectado más de 100 veces en la actualidad en las siguientes máquinas: [nombre de la máquina]. - Media
Se ha detectado un proceso relacionado con la minería de datos de moneda digital El análisis de datos del host detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de moneda digital. Vulnerabilidad de seguridad, ejecución Media
Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual
(VM_SshKeyAccess)
Se ha accedido a un archivo de claves autorizadas SSH de una manera similar a campañas de malware conocidas. Este acceso puede indicar que un atacante está intentando conseguir acceso persistente a una máquina. - Bajo
Se detectó una aplicación de descarga codificada con Python. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede indicar que se trata de una actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Bajo
Captura de pantalla tomada en el host [se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden utilizar estas herramientas para acceder a los datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Bajo
Se detectó un error de coincidencia con la extensión del script. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Con frecuencia esto se ha asociado con ejecuciones de scripts de atacantes. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó un error de coincidencia con la extensión del script.
(VM_MismatchedScriptFeatures)
El análisis de datos del host en %{Compromised Host} ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Con frecuencia esto se ha asociado con ejecuciones de scripts de atacantes. Evasión defensiva Media
Se detectó shellcode. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó que se generó shellcode desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Ataque por fuerza bruta de SSH correcto
(VM_SshBruteForceSuccess)
El análisis de datos del host ha detectado un ataque por fuerza bruta correcto. Se detectó que la IP %{Attacker source IP} realizaba varios intentos de inicio de sesión. Se realizaron inicios de sesión correctos desde esa IP con los siguientes usuarios: %{Accounts used to successfully sign in to host}. Esto significa que es posible que el host se encuentre en peligro y que lo controle un actor malintencionado. Explotación Alto
Sospecha de acceso a archivos de contraseña
(VM_SuspectPasswordFileAccess)
El análisis de datos del host ha detectado un acceso sospechoso a las contraseñas de usuario cifradas. Persistencia Informativo
Se detectó la creación de una cuenta sospechosa. El análisis de datos del host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Suspicious account name}. El nombre de esta cuenta se parece mucho al nombre de un grupo o una cuenta de Windows estándar "%{Similar To Account Name}". Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano. - Media
Se detectó una compilación sospechosa. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó una compilación sospechosa. A menudo, los atacantes compilarán vulnerabilidades de seguridad en un equipo que han puesto en peligro a fin de elevar los privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Se detectó una compilación sospechosa.
(VM_SuspectCompilation)
El análisis de datos del host en %{Compromised Host} detectó una compilación sospechosa. A menudo, los atacantes compilarán vulnerabilidades de seguridad en un equipo que han puesto en peligro a fin de elevar los privilegios. Elevación de privilegios, vulnerabilidad de seguridad Media
DNS sospechoso a través de Https
(VM_SuspiciousDNSOverHttps)
El análisis de datos de host indica el uso de una llamada DNS a través de HTTPS de forma poco habitual. Esta técnica la usan los atacantes para ocultar las llamadas a sitios sospechosos o malintencionados. Evasión de defensas, filtración Media
Error de ejecución sospechoso de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Se ha detectado un error sospechoso de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Estos errores pueden estar asociados a scripts malintencionados ejecutados por esta extensión.
Ejecución Media
Se detectó un módulo de kernel sospechoso. [Se ha detectado varias veces]. El análisis de datos del host en %{Compromised Host} detectó la carga de un archivo objeto compartido como un módulo del kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Media
Acceso a contraseñas sospechoso [se ha detectado varias veces]. El análisis de datos del host ha detectado un acceso sospechoso a las contraseñas de usuario cifradas en el host %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. - Informativo
Acceso a contraseñas sospechoso El análisis de datos del host ha detectado un acceso sospechoso a las contraseñas de usuario cifradas en el host %{Compromised Host}. - Informativo
Ejecución de PHP sospechoso detectada
(VM_SuspectPhp)
Los registros de la máquina indican que se está ejecutando un proceso PHP sospechoso. La acción incluye un intento de ejecutar comandos del sistema operativo o código PHP desde la línea de comandos mediante el proceso PHP. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas, como intentos de infectar sitios web con shells web. Ejecución Media
Solicitud sospechosa al panel de Kubernetes
(VM_KubernetesDashboard)
Los registros de la máquina indican que se ha realizado una solicitud sospechosa al panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro. LateralMovement Media
Dominio sospechoso de la línea de comandos de Intel de amenazas
(VM_ThreatIntelCommandLineSuspectDomain)
El proceso "PROCESSNAME" en "HOST" conectado a una ubicación que se ha notificado como malintencionada o inusual. Esto es un indicador de que se puede haber producido un riesgo. Acceso inicial Media
Restablecimiento de configuración inusual en la máquina virtual
(VM_VMAccessUnusualConfigReset)
Se ha detectado un restablecimiento de configuración inusual en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la configuración de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media
Eliminación inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Se ha detectado una eliminación inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Ejecución inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Se ha detectado una ejecución inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager.
Ejecución Media
Restablecimiento de contraseña de usuario inusual en la máquina virtual
(VM_VMAccessUnusualPasswordReset)
Se ha detectado un restablecimiento de contraseña de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer las credenciales de un usuario local de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media
Restablecimiento de clave SSH de usuario inusual en la máquina virtual
(VM_VMAccessUnusualSSHReset)
Se ha detectado un restablecimiento de clave SSH de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción.
Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la clave SSH de una cuenta de usuario de la máquina virtual y ponerla en peligro.
Acceso con credenciales Media

Alertas de Azure App Service

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Intento de ejecución de comandos de Linux en una instancia de App Service de Windows
(AppServices_LinuxCommandOnWindows)
El análisis de procesos de App Service ha detectado un intento de ejecutar un comando de Linux en una instancia de App Service de Windows. La aplicación web estaba ejecutando esta acción. Este comportamiento se ve a menudo en campañas que aprovechan una vulnerabilidad en una aplicación web común
(se aplica a: App Service en Windows)
- Media
Se ha encontrado en Información sobre amenazas una dirección IP que se ha conectado a la interfaz de FTP de Azure App Service
(AppServices_IncomingTiClientIpFtp)
El registro de FTP de Azure App Service indica una conexión desde una dirección de origen que se ha encontrado en la fuente de inteligencia sobre amenazas. Durante esta conexión, un usuario ha accedido a las páginas que aquí se indican.
(se aplica a: App Service en Windows y App Service en Linux)
Acceso inicial Media
Intento de ejecución de comando con privilegios elevados detectado
(AppServices_HighPrivilegeCommand)
El análisis de procesos de App Service ha detectado un intento de ejecutar un comando que requiere privilegios elevados.
El comando se ejecutó en el contexto de la aplicación web. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas.
(se aplica a: App Service en Windows)
- Media
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. Acceso inicial, persistencia, ejecución, comando y control, explotación Media
Conexión a página web desde una dirección IP anómala detectada
(AppServices_AnomalousPageAccess)
El registro de actividad de Azure App Service indica una conexión anómala a una página web confidencial desde la dirección IP enumerada. Esto podría indicar que alguien está intentando realizar un ataque por fuerza bruta en las páginas de administración de la aplicación web. También puede deberse a que un usuario legítimo esté utilizando una nueva dirección IP. Si la dirección IP de origen es de confianza, puede suprimir de forma segura esta alerta para este recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud.
(se aplica a: App Service en Windows y App Service en Linux)
Acceso inicial Bajo
Registro de DNS pendiente para un recurso de App Service detectado
(AppServices_DanglingDomain)
Se ha detectado un registro DNS que apunta a un recurso de App Service que se ha eliminado recientemente (también conocido como entrada "DNS pendiente"). Esto permite que puedan realizar una adquisición de un subdominio. Las adquisición de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada.
(se aplica a: App Service en Windows y App Service en Linux)
- Alto
Se detectó un archivo ejecutable codificado en los datos de la línea de comandos.
(AppServices_Base64EncodedExecutableInCommandLineParams)
El análisis de datos del host en {Compromised host} ha detectado un archivo ejecutable con codificación Base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.
(se aplica a: App Service en Windows)
Evasión de defensas, ejecución Alto
Se detectó una descarga de archivos desde un origen malintencionado conocido.
(AppServices_SuspectDownload)
El análisis de datos del host ha detectado la descarga de un archivo desde un origen de malware conocido en el host.
(se aplica a: App Service en Linux)
Elevación de privilegios, ejecución, filtración, comando y control Media
Se detectó una descarga de archivos sospechosa.
(AppServices_SuspectDownloadArtifacts)
El análisis de datos del host ha detectado una descarga sospechosa de un archivo remoto.
(se aplica a: App Service en Linux)
Persistencia Media
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
(AppServices_DigitalCurrencyMining)
El análisis de datos del host en Inn-Flow-WebJobs detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital.
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Alto
Archivo ejecutable descodificado mediante certutil
(AppServices_ExecutableDecodedUsingCertutil)
El análisis de datos del host en [Entidad en peligro] detectó que certutil.exe, una utilidad de administración integrada, se usaba para descodificar un archivo ejecutable en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente.
(se aplica a: App Service en Windows)
Evasión de defensas, ejecución Alto
Se detectó un comportamiento de ataque sin archivos
(AppServices_FilelessAttackBehaviorDetection)
La memoria del proceso especificado a continuación contiene comportamientos utilizados habitualmente por ataques sin archivos.
Los comportamientos específicos incluyen: {list of observed behaviors}
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Media
Se detectó una técnica de ataque sin archivos
(AppServices_FilelessAttackTechniqueDetection)
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad.
Los comportamientos específicos incluyen: {list of observed behaviors}
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Alto
Se ha detectado un kit de herramientas de ataque sin archivos
(AppServices_FilelessAttackToolkitDetection)
La memoria del proceso especificado a continuación contiene un kit de herramientas de ataque sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional.
Los comportamientos específicos incluyen: {list of observed behaviors}
(se aplica a: App Service en Windows y App Service en Linux)
Evasión de defensas, ejecución Alto
Alerta de prueba de Microsoft Defender for Cloud para App Service (no una amenaza)
(AppServices_EICAR)
Esta es una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional.
(se aplica a: App Service en Windows y App Service en Linux)
- Alto
Exploración de NMap detectada
(AppServices_Nmap)
El registro de actividad de Azure App Service indica una posible actividad de huella digital web en su recurso de App Service.
La actividad sospechosa detectada está asociada a NMAP. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades.
(se aplica a: App Service en Windows y App Service en Linux)
PreAttack Media
Contenido de suplantación de identidad hospedado en Azure Web Apps
(AppServices_PhishingContent)
Dirección URL que se ha usado para el ataque de suplantación de identidad detectado en el sitio web de Azure App Services. Esta dirección URL formaba parte de un ataque de suplantación de identidad enviado a clientes de Microsoft 365. Normalmente, el contenido empuja a los visitantes a introducir sus credenciales corporativas o información financiera en un sitio web de aspecto legítimo.
(se aplica a: App Service en Windows y App Service en Linux)
Colección Alto
Archivo PHP en la carpeta de carga
(AppServices_PhpInUploadFolder)
El registro de actividad de Azure App Service indica que se ha accedido a una página PHP sospechosa ubicada en la carpeta de carga.
Este tipo de carpeta no suele contener archivos PHP. La existencia de este tipo de archivo podría indicar un ataque que aprovecha vulnerabilidades de carga de archivos arbitrarias.
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Media
Se ha detectado la posible descarga de Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
El análisis de datos del host ha detectado la descarga de un archivo que normalmente se asocia con la minería de moneda digital.
(se aplica a: App Service en Linux)
Evasión de defensas, comando y control, vulnerabilidades de seguridad Media
Posible filtración de datos detectada
(AppServices_DataEgressArtifacts)
El análisis de datos del host o el dispositivo ha detectado una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro.
(se aplica a: App Service en Linux)
Recopilación, filtración Media
Se ha detectado un potencial registro de DNS pendiente para un recurso de App Service detectado
(AppServices_PotentialDanglingDomain)
Se ha detectado un registro DNS que apunta a un recurso de App Service que se ha eliminado recientemente (también conocido como entrada "DNS pendiente"). Esto permite que puedan realizar una adquisición de un subdominio. Las adquisición de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. En este caso, se encontró un registro de texto con el identificador de comprobación de dominio. Estos registros de texto impiden la adquisición de subdominios, pero aun así, se recomienda quitar el dominio pendiente. Si deja el registro de DNS apuntando al subdominio, correrá peligro si cualquiera de su organización elimina el archivo TXT o el registro en el futuro.
(se aplica a: App Service en Windows y App Service en Linux)
- Bajo
Se detectó un posible shell inverso.
(AppServices_ReverseShell)
Un análisis de los datos del host ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante.
(se aplica a: App Service en Linux)
Exfiltration, Exploitation Media
Se detectó una descarga de datos sin procesar.
(AppServices_DownloadCodeFromWebsite)
El análisis de los procesos de App Service detectó un intento de descarga de código desde sitios web de datos sin procesar como Pastebin. Esta acción la ejecutó un proceso de PHP. Este comportamiento está asociado a intentos de descargar shells web u otros componentes malintencionados en App Service.
(se aplica a: App Service en Windows)
Ejecución Media
Se detectó el almacenamiento de la salida de cURL en el disco.
(AppServices_CurlToDisk)
El análisis de los procesos de App Service detectó la ejecución de un comando de cURL en el que la salida se guardó en el disco. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas, como intentos de infectar sitios web con shells web.
(se aplica a: App Service en Windows)
- Bajo
Se detectó un origen de referencia de la carpeta de correo no deseado.
(AppServices_SpamReferrer)
El registro de actividad de Azure App Service indica que se produjo actividad web que se identificó como procedente de un sitio web asociado a la actividad de spam. Esto puede ocurrir si el sitio web está en peligro y se usa para una actividad de spam.
(se aplica a: App Service en Windows y App Service en Linux)
- Bajo
Acceso sospechoso a página web posiblemente vulnerable detectado
(AppServices_ScanSensitivePage)
El registro de actividad de Azure App Service indica que se ha accedido a una página web que parece ser confidencial. Esta actividad sospechosa se ha originado en una dirección IP de origen cuyo patrón de acceso es similar al de un escáner web.
Esta actividad suele estar asociada a un intento de un atacante de examinar la red para intentar obtener acceso a páginas web confidenciales o vulnerables.
(se aplica a: App Service en Windows y App Service en Linux)
- Bajo
Referencia de nombre de dominio sospechoso
(AppServices_CommandlineSuspectDomain)
Un análisis de los datos de host detectó una referencia a un nombre de dominio sospechoso. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales.
(se aplica a: App Service en Linux)
Exfiltración Bajo
Se detectó una descarga sospechosa mediante CertUtil.
(AppServices_DownloadUsingCertutil)
El análisis de datos del host en {NAME} detectó que certutil.exe, una utilidad de administración integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente.
(se aplica a: App Service en Windows)
Ejecución Media
Ejecución de PHP sospechoso detectada
(AppServices_SuspectPhp)
Los registros de la máquina indican que se está ejecutando un proceso PHP sospechoso. La acción incluye un intento de ejecutar comandos del sistema operativo o código PHP desde la línea de comandos mediante el proceso PHP. Aunque este comportamiento puede ser legítimo, en aplicaciones web podría indicar actividades malintencionadas, como intentos de infectar sitios web con shells web.
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Media
SE ejecutaron cmdlets de PowerShell sospechosos.
(AppServices_PowerShellPowerSploitScriptExecution)
El análisis de datos del host indica la ejecución de cmdlets malintencionados conocidos de PowerSploit de PowerShell.
(se aplica a: App Service en Windows)
Ejecución Media
Se ejecutó un proceso sospechoso.
(AppServices_KnownCredential AccessTools)
Los registros de la máquina indican que el proceso sospechoso "%{process path}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte de un atacante de acceder a las credenciales.
(se aplica a: App Service en Windows)
Acceso con credenciales Alto
Se detectó un nombre de proceso sospechoso.
(AppServices_ProcessWithKnownSuspiciousExtension)
El análisis de datos del host en {NAME} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de ataque o tiene un nombre similar al que usarían los atacantes para las herramientas, con el fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro.
(se aplica a: App Service en Windows)
Persistencia, evasión de las defensas Media
Se ejecutó el proceso SVCHOST sospechoso.
(AppServices_SVCHostFromInvalidPath)
Se ha observado la ejecución del proceso del sistema SVCHOST en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada.
(se aplica a: App Service en Windows)
Evasión de defensas, ejecución Alto
Se detectó un agente de usuario sospechoso.
(AppServices_UserAgentInjection)
El registro de actividad de Azure App Service indica que se realizaron solicitudes con un agente de usuario sospechoso. Este comportamiento puede indicar que se realizaron intentos para aprovechar una vulnerabilidad en la aplicación de App Service.
(se aplica a: App Service en Windows y App Service en Linux)
Acceso inicial Media
Invocación de tema de WordPress sospechoso detectada
(AppServices_WpThemeInjection)
El registro de actividad de Azure App Service indica una posible actividad de inyección de código en un recurso de App Service.
La actividad sospechosa detectada se parece a la de una manipulación de un tema de WordPress para permitir la ejecución de código en el servidor, seguida de una solicitud web directa para invocar el archivo con el tema manipulado.
En el pasado, este tipo de actividad se ha observado como parte de una campaña de ataques a través de WordPress.
Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud.
(se aplica a: App Service en Windows y App Service en Linux)
Ejecución Alto
Se detectó un detector de vulnerabilidades.
(AppServices_DrupalScanner)
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service.
La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino un sistema de administración de contenido (CMS).
Si el recurso de App Service no hospeda un sitio de Drupal, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud.
(se aplica a: App Service en Windows)
PreAttack Media
Se detectó un detector de vulnerabilidades.
(AppServices_JoomlaScanner)
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service.
La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de Joomla.
Si el recurso de App Service no hospeda un sitio de Joomla, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud.
(se aplica a: App Service en Windows y App Service en Linux)
PreAttack Media
Se detectó un detector de vulnerabilidades.
(AppServices_WpScanner)
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service.
La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de WordPress.
Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud.
(se aplica a: App Service en Windows y App Service en Linux)
PreAttack Media
Huella digital web detectada
(AppServices_WebFingerprinting)
El registro de actividad de Azure App Service indica una posible actividad de huella digital web en su recurso de App Service.
La actividad sospechosa detectada está asociada con una herramienta llamada Blind Elephant. La herramienta crea una huella digital de servidores web e intenta detectar las aplicaciones instaladas y su versión.
Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades.
(se aplica a: App Service en Windows y App Service en Linux)
PreAttack Media
El sitio web se etiqueta como malintencionado en una fuente de inteligencia sobre amenazas
(AppServices_SmartScreen)
El sitio web, tal como se describe a continuación, se marca como un sitio malintencionado mediante Windows SmartScreen. Si cree que se trata de un falso positivo, póngase en contacto con Windows SmartScreen mediante el vínculo de comentarios de informe proporcionado.
(se aplica a: App Service en Windows y App Service en Linux)
Colección Media

Alertas para contenedores: clústeres de Kubernetes

Microsoft Defender para contenedores proporciona alertas de seguridad en el nivel de clúster y en los nodos de clúster subyacentes mediante la supervisión del plano de control (servidor de API) y la propia carga de trabajo contenedorizada. Las alertas de seguridad del plano de control se pueden reconocer mediante el prefijo K8S_ del tipo de alerta. Las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres se pueden reconocer mediante el prefijo K8S.NODE_ del tipo de alerta. Las alertas solo se admiten en Linux, a menos que se indique lo contrario.

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Intento de creación de un nuevo espacio de nombres de Linux a partir de un contenedor detectado
(K8S.NODE_NamespaceCreation) 1
El análisis de los procesos que se ejecutan dentro de un contenedor del clúster de Kubernetes detectó un intento de creación de un nuevo espacio de nombres de Linux. Aunque este comportamiento podría ser legítimo, es posible que indique que un atacante intenta escapar del contenedor al nodo. Algunas vulnerabilidades CVE-2022-0185 usan esta técnica. PrivilegeEscalation Media
Se ha borrado un archivo del historial
(K8S.NODE_HistoryFileCleared) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se ha borrado el archivo de registro del historial de comandos. Los atacantes pueden hacer esto para ocultar sus huellas. La operación la realizó la cuenta de usuario especificada. DefenseEvasion Media
Actividad anómala de la identidad administrada asociada a Kubernetes (versión preliminar)
(K8S_AbnormalMiActivity)
El análisis de las operaciones de Azure Resource Manager detectó un comportamiento anómalo de una identidad administrada que usa un complemento de AKS. La actividad detectada no es coherente con el comportamiento del complemento asociado. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la identidad la adquirió un atacante, posiblemente de un contenedor en peligro en el clúster de Kubernetes. Movimiento lateral Media
Se detectó una operación anómala de la cuenta de servicio de Kubernetes
(K8S_ServiceAccountRareOperation)
El análisis del registro de auditoría de Kubernetes detectó un comportamiento anómalo por parte de una cuenta de servicio en el clúster de Kubernetes. La cuenta de servicio se usó para una operación que no es común para esta cuenta de servicio. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la cuenta de servicio se está utilizando con fines malintencionados. Desplazamiento lateral, acceso a credenciales Media
Se ha detectado un intento de conexión poco común
(K8S.NODE_SuspectConnection) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de conexión poco común mediante un protocolo SOCKS. Esto es muy poco común en operaciones normales, pero es una técnica conocida de los atacantes que intentan omitir las detecciones de nivel de red. Ejecución, filtración y vulnerabilidad Media
Implementación de pods anómalos (versión preliminar)
(K8S_AnomalousPodDeployment) 3
El análisis del registro de auditoría de Kubernetes detectó una implementación de pods, lo que es anómalo según la actividad de implementación de pods anterior. Esta actividad se considera una anomalía al tener en cuenta cómo las distintas características que se ven en la operación de implementación se relacionan entre sí. Entre las características supervisadas se incluye el registro de imágenes de contenedor usado, la cuenta que realiza la implementación, el día de la semana, la frecuencia con la que esta cuenta realiza implementaciones de pods, el agente de usuario utilizado en la operación, si se trata de un espacio de nombres en que la implementación de pods se da a menudo y otras características. Las razones que contribuyen a la notificación de esta alerta como actividad anómala se detallan en las propiedades extendidas de la alerta. Ejecución Media
Acceso anómalo a secretos (versión preliminar)
(K8S_AnomalousSecretAccess) 2
El análisis del registro de auditoría de Kubernetes detectó una solicitud de acceso secreta que es anómala en función de la actividad de acceso a secretos anterior. Esta actividad se considera una anomalía al tener en cuenta cómo las distintas características que se ven en la operación de acceso a secretos se relacionan entre sí. Las características supervisadas por este análisis incluyen el nombre de usuario usado, el nombre del secreto, el nombre del espacio de nombres, el agente de usuario usado en la operación u otras características. Las razones que contribuyen a la notificación de esta alerta como actividad anómala se detallan en las propiedades extendidas de la alerta. CredentialAccess Media
Se detectó un intento de detener el servicio apt-daily-upgrade.timer.
(K8S.NODE_TimerServiceDisabled) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de detener el servicio apt-daily-upgrade.timer. Se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para sus ataques. Esta actividad también puede producirse si el servicio se actualiza mediante acciones administrativas normales. DefenseEvasion Informativo
Se ha detectado un comportamiento parecido a los bots comunes de Linux (versión preliminar)
(K8S.NODE_CommonBot)
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un proceso asociado normalmente a redes de bots comunes de Linux. Ejecución, recopilación, comando y control Media
Se detectó un comportamiento similar al de ransomware Fairware.
(K8S.NODE_FairwareMalware) 1
El análisis de los procesos que se ejecutan dentro de un contenedor ha detectado la ejecución de comandos rm -rf aplicados a ubicaciones sospechosas. Dado que rm -rf elimina archivos de manera recursiva, normalmente se usa en carpetas discretas. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. Ejecución Media
Comando dentro de un contenedor que se ejecuta con privilegios elevados
(K8S.NODE_PrivilegedExecutionInContainer) 1
Los registros de la máquina indican que se ha ejecutado un comando con privilegios en un contenedor de Docker con privilegios. Un comando con privilegios ha extendido sus privilegios a la máquina host. PrivilegeEscalation Bajo
Contenedor que se ejecuta en modo con privilegios
(K8S.NODE_PrivilegedContainerArtifacts) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un comando de Docker que se está ejecutando un contenedor con privilegios. El contenedor con privilegios tiene acceso completo al pod de hospedaje o al recurso de host. Si se compromete, un atacante puede usar el contenedor con privilegios para acceder a la máquina host. Elevación de privilegios, ejecución Bajo
Se detectó un contenedor con un volumen confidencial montado.
(K8S_SensitiveMount)
El análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con un volumen confidencial montado. El volumen detectado es del tipo hostPath, que monta una carpeta o un archivo confidenciales del nodo en el contenedor. Si el contenedor se ve en peligro, el atacante puede usar este montaje para obtener acceso al nodo. Elevación de privilegios Media
Se detectó una modificación de CoreDNS en Kubernetes.
(K8S_CoreDnsModification) 23
El análisis de registros de auditoría de Kubernetes detectó una modificación de la configuración de CoreDNS. La configuración de CoreDNS se puede modificar mediante la sustitución de su archivo configmap. Aunque esta actividad puede ser legítima, si los atacantes tienen permisos para modificar el archivo configmap, pueden cambiar el comportamiento del servidor DNS del clúster y manipularlo. Movimiento lateral Bajo
Se ha detectado la creación de una configuración del webhook de admisión.
(K8S_AdmissionController) 3
El análisis de registros de auditoría de Kubernetes detectó una nueva configuración del webhook de admisión. Kubernetes tiene dos controladores de admisión genéricos integrados: MutatingAdmissionWebhook y ValidatingAdmissionWebhook. El comportamiento de estos controladores de admisión viene determinado por un webhook de admisión que el usuario implementa en el clúster. El uso de estos controladores de admisión puede ser legítimo, sin embargo, los atacantes pueden usar estos webhooks para modificar las solicitudes (en el caso de MutatingAdmissionWebhook) o inspeccionar las solicitudes y obtener información confidencial (en el caso de ValidatingAdmissionWebhook). Acceso a credenciales, persistencia Bajo
Se detectó una descarga de archivos desde un origen malintencionado conocido.
(K8S.NODE_SuspectDownload) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo desde un origen que se usa habitualmente para distribuir malware. Elevación de privilegios, ejecución, filtración, comando y control Media
Se detectó una descarga de archivos sospechosa.
(K8S.NODE_SuspectDownloadArtifacts) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga sospechosa de un archivo remoto. Persistencia Bajo
Se detectó un uso sospechoso del comando nohup.
(K8S.NODE_SuspectNohup) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando nohup. Se han observado atacantes que usan el comando nohup para ejecutar archivos ocultos desde un directorio temporal para permitir que sus archivos ejecutables se ejecuten en segundo plano. No es habitual ver que este comando se ejecute en archivos ocultos ubicados en un directorio temporal. Persistencia, DefenseEvasion Media
Se detectó un uso sospechoso del comando useradd.
(K8S.NODE_SuspectUserAddition) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando useradd. Persistencia Media
Se detectó un contenedor de minería de datos de moneda digital.
(K8S_MaliciousContainerImage) 3
El análisis del registro de auditoría de Kubernetes detectó un contenedor que tiene una imagen asociada a una herramienta de minería de monedas digitales. Ejecución Alto
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
(K8S.NODE_DigitalCurrencyMining) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una ejecución de un proceso o comando asociado normalmente a la minería de moneda digital. Ejecución Alto
Se ha detectado una operación de creación de Docker en un nodo de Kubernetes.
(K8S.NODE_ImageBuildOnNode) 1
El análisis de los procesos que se ejecutan dentro de un contenedor, o directamente en un nodo de Kubernetes, ha detectado una operación de compilación de una imagen de contenedor en un nodo de Kubernetes. Aunque este comportamiento podría ser legítimo, los atacantes podrían crear sus imágenes malintencionadas localmente para evitar la detección. DefenseEvasion Bajo
Permisos de rol excesivos asignados en el clúster de Kubernetes (versión preliminar)
(K8S_ServiceAcountPermissionAnomaly) 3
El análisis de los registros de auditoría de Kubernetes detectó una asignación excesiva de roles de permisos en el clúster. Los permisos enumerados para los roles asignados son poco comunes para la cuenta de servicio específica. Esta detección tiene en cuenta las asignaciones de roles anteriores a la misma cuenta de servicio en los clústeres supervisados por Azure, el volumen por permiso y el impacto del permiso específico. El modelo de detección de anomalías usado para esta alerta tiene en cuenta cómo se usa este permiso en todos los clústeres supervisados por Microsoft Defender for Cloud. Elevación de privilegios Bajo
Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa (versión preliminar)
(K8S.NODE_SuspectExecutablePath)
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un archivo ejecutable que se está ejecutando desde una ubicación asociada a archivos sospechosos conocidos. Este archivo ejecutable puede indicar una actividad legítima o que un host se encuentra en peligro. Ejecución Media
Panel de Kubeflow expuesto detectado
(K8S_ExposedKubeflow)
El análisis de registros de auditoría de Kubernetes detectó la exposición de la entrada de Istio mediante un equilibrador de carga en un clúster que ejecuta Kubeflow. Esta acción podría exponer el panel de Kubeflow a Internet. Si el panel se expone a Internet, los atacantes pueden acceder a él y ejecutar código o contenedores malintencionados en el clúster. Encontrará más detalles en el siguiente artículo: https://aka.ms/exposedkubeflow-blog Acceso inicial Media
Se detectó un panel de Kubernetes expuesto.
(K8S_ExposedDashboard)
El análisis del registro de auditoría de Kubernetes detectó la exposición del panel de Kubernetes por un servicio LoadBalancer. Un panel expuesto permite el acceso sin autenticación a la administración del clúster, lo que supone una amenaza para la seguridad. Acceso inicial Alto
Se detectó el servicio de Kubernetes expuesto
(K8S_ExposedService)
El análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio mediante un equilibrador de carga. Este servicio está relacionado con una aplicación confidencial que permite operaciones de alto impacto en el clúster, como la ejecución de procesos en el nodo o la creación de contenedores. En algunos casos, este servicio no requiere autenticación. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad. Acceso inicial Media
Se detectó el servicio de Redis expuesto en AKS
(K8S_ExposedRedis)
El análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio de Redis mediante un equilibrador de carga. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad. Acceso inicial Bajo
Se detectaron indicadores asociados al kit de herramientas de DDOS.
(K8S.NODE_KnownLinuxDDoSToolkit) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, abrir puertos y servicios, y tomar el control total del sistema infectado. También se podría tratar de una actividad legítima. Persistencia, movimiento lateral, ejecución, vulnerabilidad de seguridad Media
Se han detectado solicitudes de la API K8S desde direcciones IP de proxy.
(K8S_TI_Proxy) 3
El análisis de registros de auditoría de Kubernetes detectó solicitudes de API en el clúster desde una dirección IP que está asociada a servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se consideran como actividades malintencionadas, cuando los atacantes intentan ocultar su dirección IP de origen. Ejecución Bajo
Se han eliminado eventos de Kubernetes.
(K8S_DeleteEvents) 23
Defender for Cloud ha detectado que se han eliminado algunos eventos Kubernetes. Los eventos de Kubernetes son objetos de Kubernetes que contienen información sobre los cambios en el clúster. Los atacantes podrían eliminar esos eventos para ocultar sus operaciones en el clúster. Evasión defensiva Bajo
Se ha detectado la herramienta de pruebas de penetración de Kubernetes.
(K8S_PenTestToolsKubeHunter)
El análisis de registros de auditoría de Kubernetes ha detectado el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de AKS. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados. Ejecución Bajo
Se detectó una manipulación del firewall del host.
(K8S.NODE_FirewallDisabled) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos. Evasión de defensas, filtración Media
Alerta de prueba de Microsoft Defender for Cloud (no una amenaza).
(K8S.NODE_EICAR) 1
Esta es una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional. Ejecución Alto
Se detectó un contenedor nuevo en el espacio de nombres kube-system.
(K8S_KubeSystemContainer) 3
El análisis del registro de auditoría de Kubernetes detectó un contenedor nuevo en el espacio de nombres kube-system que no está entre los contenedores que se ejecutan normalmente en este espacio de nombres. Los espacios de nombres de kube-system no deben contener recursos de usuario. Los atacantes pueden usar este espacio de nombres para ocultar componentes malintencionados. Persistencia Bajo
Se detectó un nuevo rol con privilegios elevados.
(K8S_HighPrivilegesRole) 3
El análisis del registro de auditoría de Kubernetes detectó un nuevo rol con privilegios elevados. Un enlace a un rol con privilegios elevados concede al usuario o grupo privilegios elevados en el clúster. Los privilegios innecesarios pueden dar lugar a una elevación de privilegios en el clúster. Persistencia Bajo
Se detectó una posible herramienta de ataque.
(K8S.NODE_KnownLinuxAttackTool) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una invocación sospechosa de herramienta. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan a otros. Ejecución, recopilación, comando y control, sondeo Media
Possible backdoor detected (Detección de posible puerta trasera)
(K8S.NODE_LinuxBackdoorArtifact) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga y ejecución de un archivo sospechoso. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Persistencia, evasión de defensas, ejecución, vulnerabilidad de seguridad Media
Posible intento de explotación de una vulnerabilidad de seguridad de la línea de comandos
(K8S.NODE_ExploitAttempt) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible intento de explotación de una vulnerabilidad conocida. Explotación Media
Se detectó una posible herramienta de acceso a credenciales.
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se estaba ejecutando en el contenedor una herramienta de acceso a credenciales posiblemente conocida, identificada mediante el proceso especificado y el elemento del historial de la línea de comandos. A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales. CredentialAccess Media
Se ha detectado la posible descarga de Cryptocoinminer
(K8S.NODE_CryptoCoinMinerDownload) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo asociado normalmente a la minería de moneda digital. Evasión de defensas, comando y control, vulnerabilidad de seguridad Media
Posible filtración de datos detectada
(K8S.NODE_DataEgressArtifacts) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. Recopilación, filtración Media
Se detectó una posible actividad de manipulación de registros.
(K8S.NODE_SystemLogRemoval) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible eliminación de archivos que realizan el seguimiento de la actividad del usuario durante el transcurso de su operación. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas. DefenseEvasion Media
Se detectó un posible cambio de contraseña mediante el método de cifrado
(K8S.NODE_SuspectPasswordChange) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. CredentialAccess Media
Posible reenvío de puertos a la dirección IP externa
(K8S.NODE_SuspectPortForwarding) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un inicio de reenvío de puertos a una dirección IP externa. Filtración, comando y control Media
Se detectó un posible shell inverso.
(K8S.NODE_ReverseShell) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. Exfiltration, Exploitation Media
Se detectó un contenedor con privilegios
(K8S_PrivilegedContainer)
El análisis del registro de auditoría de Kubernetes detectó un contenedor nuevo con privilegios. Un contenedor con privilegios tiene acceso a los recursos del nodo y rompe el aislamiento entre contenedores. Si se pone en peligro, un atacante puede usar el contenedor con privilegios para acceder al nodo. Elevación de privilegios Bajo
Se ha detectado un proceso relacionado con la minería de datos de moneda digital
(K8S.NODE_CryptoCoinMinerArtifacts) 1
El análisis de los procesos que se ejecutan dentro de un contenedor ha detectado la ejecución de un proceso que normalmente se asocia a la minería de moneda digital. Ejecución, vulnerabilidad de seguridad Media
Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual
(K8S.NODE_SshKeyAccess) 1
Se ha accedido a un archivo SSH authorized_keys de una manera similar a campañas de malware conocidas. Este acceso podría indicar que un actor está intentando conseguir acceso persistente a una máquina. Unknown Bajo
Se detectó un enlace de rol al rol de administrador de clústeres.
(K8S_ClusterAdminBinding)
El análisis del registro de auditoría de Kubernetes ha detectado un nuevo enlace al rol de administrador del clúster, lo que proporciona privilegios de administrador. Los privilegios de administrador innecesarios pueden provocar una elevación de privilegios en el clúster. Persistencia Bajo
Se ha detectado la terminación de un proceso relacionado con la seguridad
(K8S.NODE_SuspectProcessTermination) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de finalizar los procesos relacionados con la supervisión de seguridad en el contenedor. A menudo, los atacantes intentarán terminar estos procesos mediante scripts predefinidos después de estar en peligro. Persistencia Bajo
Se ejecuta un servidor SSH dentro de un contenedor
(K8S.NODE_ContainerSSH) 1
El análisis de procesos que se ejecutan dentro de un contenedor ha detectado un servidor SSH que se ejecuta dentro del contenedor. Ejecución Media
Modificación sospechosa de la marca de tiempo de los archivos
(K8S.NODE_TimestampTampering) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una modificación sospechosa de la marca de tiempo. Los atacantes suelen copiar las marcas de tiempo de archivos legítimos existentes en nuevas herramientas para evitar la detección de estos archivos recién quitados. Persistencia, DefenseEvasion Bajo
Solicitud sospechosa a la API de Kubernetes
(K8S.NODE_KubernetesAPI) 1
El análisis de los procesos que se ejecutan dentro de un contenedor indica que se realizó una solicitud sospechosa a la API de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster. LateralMovement Media
Solicitud sospechosa al panel de Kubernetes
(K8S.NODE_KubernetesDashboard) 1
El análisis de los procesos que se ejecutan dentro de un contenedor indica que se ha realizado una solicitud sospechosa al panel de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster. LateralMovement Media
Se ha iniciado una posible minería de criptomonedas
(K8S.NODE_CryptoCoinMinerExecution) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el inicio de un proceso de un modo asociado normalmente a la minería de moneda digital. Ejecución Media
Acceso a contraseñas sospechoso
(K8S.NODE_SuspectPasswordFileAccess) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento sospechoso de acceder a las contraseñas de usuario cifradas. Persistencia Informativo
Uso sospechoso de DNS a través de HTTPS
(K8S.NODE_SuspiciousDNSOverHttps) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el uso de una llamada de DNS sobre HTTPS de una manera poco habitual. Esta técnica la usan los atacantes para ocultar las llamadas a sitios sospechosos o malintencionados. Evasión de defensas, filtración Media
Se ha detectado una posible conexión a una ubicación malintencionada.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una conexión a una ubicación que se ha notificado como malintencionada o inusual. Esto es un indicador de que se puede haber producido un riesgo. InitialAccess Media
Se detectó un posible shell web malintencionado.
(K8S.NODE_Webshell) 1
El análisis de los procesos que se ejecutan en un contenedor ha detectado un posible shell web. A menudo, los atacantes cargan un shell web en un recurso de proceso que han puesto en peligro para obtener persistencia o para realizar un mayor aprovechamiento. Persistencia, vulnerabilidad de seguridad Media
La ráfaga de varios comandos de reconocimiento podría indicar la actividad inicial después de un peligro
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
El análisis de los datos de host o dispositivo detectó que se ejecutaron varios comandos de reconocimiento relacionados con la recopilación de detalles del sistema o del host por parte atacantes tras ponerlos en peligro. Discovery, Collection Bajo
Actividad de descarga y ejecución sospechosa
(K8S.NODE_DownloadAndRunCombo) 1
El análisis de los procesos que se ejecutan en un contenedor, o directamente en un nodo de Kubernetes, ha detectado que la descarga y posterior ejecución de un archivo en el mismo comando. Aunque esta técnica no siempre es malintencionada, es muy común que los atacantes la usen para obtener archivos malintencionados de las máquinas víctimas. Execution, CommandAndControl, Exploitation Media
Actividad de minería de datos de moneda digital
(K8S.NODE_CurrencyMining) 1
El análisis de transacciones DNS ha detectado una actividad de minería de datos de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes. Exfiltración Bajo
Se detectó el acceso al archivo kubeconfig kubelet
(K8S.NODE_KubeConfigAccess) 1
El análisis de los procesos que se ejecutan en un nodo de clúster de Kubernetes detectó acceso al archivo kubeconfig en el host. El archivo kubeconfig, que normalmente usa el proceso de Kubelet, contiene credenciales para el servidor de API del clúster de Kubernetes. El acceso a este archivo suele estar asociado a que los atacantes intenten acceder a esas credenciales o a herramientas de análisis de seguridad que comprueban si se puede acceder al archivo. CredentialAccess Media
Se detectó acceso al servicio de metadatos en la nube
(K8S.NODE_ImdsCall) 1
El análisis de los procesos que se ejecutan en un contenedor detectó el acceso al servicio de metadatos en la nube para adquirir el token de identidad. Normalmente, el contenedor no realiza esa operación. Aunque este comportamiento puede ser legítimo, los atacantes pueden usar esta técnica para acceder a los recursos en la nube después de obtener acceso inicial a un contenedor en ejecución. CredentialAccess Media
Se ha detectado un agente de MITRE Caldera
(K8S.NODE_MitreCalderaTools) 1
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un proceso sospechoso. Esto a menudo se asocia con el agente MITRE 54ndc47, que podría usarse de forma malintencionada para atacar a otras máquinas. Persistencia, elevación de privilegios, evasión de defensas, acceso a credenciales, detección, movimiento lateral, ejecución, recopilación, filtración, comando y control, sondeo, vulnerabilidad de seguridad Media

1: versión preliminar para clústeres que no son de AKS: esta alerta está disponible con carácter general para los clústeres de AKS, pero está en versión preliminar para otros entornos, como Azure Arc, EKS y GKE.

2: limitaciones de los clústeres de GKE: GKE usa una directiva de auditoría de Kuberenetes que no admite todos los tipos de alertas. Como resultado, esta alerta de seguridad, que se basa en eventos de auditoría de Kubernetes, no se admite para los clústeres de GKE.

3: esta alerta la admiten los nodos o contenedores de Windows.

Alertas de SQL Database y Azure Synapse Analytics

Más detalles y notas

Alerta Descripción Tácticas MITRE
(Más información)
severity
Una posible vulnerabilidad a la inyección de código SQL
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
Una aplicación ha generado una instrucción SQL errónea en la base de datos. Esto puede indicar una posible vulnerabilidad ante ataques por inyección de código SQL. Hay dos razones posibles para una instrucción errónea. Es posible que haya un defecto en el código de la aplicación que esté creando la instrucción SQL errónea. O bien, el código de la aplicación o los procedimientos almacenados no corrigen los datos que proporciona el usuario al construir la instrucción SQL errónea, lo que se puede aprovechar para ataques por inyección de código SQL. PreAttack Media
Intento de inicio de sesión desde una aplicación potencialmente dañina
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
Una aplicación potencialmente dañina intentó acceder a la instancia de SQL Server "{nombre}". PreAttack Alto
Inicio de sesión desde un centro de datos de Azure inusual
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Se ha producido un cambio en el patrón de acceso a SQL Server por el que alguien ha iniciado sesión en el servidor desde un centro de datos de Azure inusual. En algunos casos, la alerta detecta que se trata de una acción legítima (una nueva aplicación o un servicio de Azure). En otros casos, la alerta detecta que la acción es malintencionada (el atacante realizó la acción desde un recurso vulnerado de Azure). Sondeo Bajo
Inicio de sesión desde una ubicación inusual
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Se ha producido un cambio en el patrón de acceso a SQL Server por el que alguien ha iniciado sesión en el servidor desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador). En otros casos, la alerta detecta una acción malintencionada (un antiguo empleado o un atacante externo). Explotación Media
Inicio de sesión de un usuario principal que no se ha visto en 60 días
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Un usuario principal que no se ha visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. Explotación Media
Inicio de sesión desde una dirección IP sospechosa
(SQL.VM_SuspiciousIpAnomaly)
Se ha accedido correctamente al recurso desde una dirección IP que la inteligencia sobre amenazas de Microsoft ha asociado con actividad sospechosa. PreAttack Media
Posible intento de ataque de fuerza bruta de SQL Se produjo un número anormalmente elevado de intentos de inicio de sesión con error con distintas credenciales. En algunos casos, la alerta detecta la realización de pruebas de seguridad. En otros casos, la alerta detecta ataques por fuerza bruta. Sondeo Alto
Posible ataque por inyección de código SQL
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Se ha producido una vulnerabilidad de la seguridad activa contra una aplicación identificada como vulnerable a la inyección de SQL. Esto significa que un atacante está intentando inyectar instrucciones SQL malintencionadas mediante el código de la aplicación vulnerable o procedimientos almacenados. PreAttack Alto
Acción potencialmente insegura
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
Se intentó realizar una acción potencialmente no segura en la base de datos "{name}" del servidor "{name}". - Alto
Posible ataque por fuerza bruta mediante un usuario válido Se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido sa que tiene permisos para iniciar sesión. PreAttack Alto
Sospecha de ataque por fuerza bruta Se ha detectado un posible ataque por fuerza bruta en el servidor de SQL Server "{name}". PreAttack Alto
Sospecha de ataque por fuerza bruta con éxito
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
Un inicio de sesión con éxito se ha producido después de un aparente ataque por fuerza bruta en el recurso PreAttack Alto
Ubicación de exportación inusual Alguien ha extraído una cantidad masiva de datos de la instancia de SQL Server "{name}" a una ubicación inusual. Exfiltración Alto

Alertas para bases de datos relacionales de código abierto

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Posible ataque por fuerza bruta mediante un usuario válido
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
Se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión. PreAttack Alto
Sospecha de ataque por fuerza bruta con éxito
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
Un inicio de sesión con éxito se ha producido después de un aparente ataque por fuerza bruta en el recurso. PreAttack Alto
Sospecha de ataque por fuerza bruta
("SQL.MySQL_BruteForce")
Se ha detectado un posible ataque por fuerza bruta en el servidor de SQL Server "{name}". PreAttack Alto
Intento de inicio de sesión desde una aplicación potencialmente dañina
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
Una aplicación potencialmente dañina intentó acceder al recurso. PreAttack Alto
Inicio de sesión de un usuario principal que no se ha visto en 60 días
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
Un usuario principal que no se ha visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. Explotación Media
Inicio de sesión desde un dominio no visto en 60 días
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
Un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. Explotación Media
Inicio de sesión desde un centro de datos de Azure inusual
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
Alguien ha iniciado sesión en el recurso desde un centro de datos de Azure inusual. Sondeo Bajo
Inicio de sesión desde un proveedor de nube inusual
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
Alguien ha iniciado sesión en el recurso desde un proveedor de nube que no se ha visto en los últimos 60 días. Es rápido y fácil que los agentes de amenazas obtengan potencia de proceso descartable para utilizarla en sus campañas. Si este es el comportamiento esperado causado por la reciente adopción de un nuevo proveedor de nube, Defender for Cloud aprenderá con el tiempo e intentará evitar futuros falsos positivos. Explotación Media
Inicio de sesión desde una ubicación inusual
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
Alguien ha iniciado sesión en el recurso desde un centro de datos de Azure inusual. Explotación Media
Inicio de sesión desde una dirección IP sospechosa
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Se ha accedido correctamente al recurso desde una dirección IP que la inteligencia sobre amenazas de Microsoft ha asociado con actividad sospechosa. PreAttack Media

Alertas para Resource Manager

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Operación de Azure Resource Manager desde una dirección IP sospechosa
(ARM_OperationFromSuspiciousIP)
Microsoft Defender para Resource Manager detectó una operación desde una dirección IP que se ha marcado como sospechosa en fuentes de inteligencia sobre amenazas. Ejecución Media
Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender para Resource Manager ha detectado una operación de administración de recursos desde una dirección IP asociada a servicios de proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen. Evasión defensiva Media
Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones
(ARM_MicroBurst.AzDomainInfo)
El módulo de recopilación de información de MicroBurst se ha ejecutado en su suscripción. Esta herramienta se puede usar para detectar recursos, permisos y estructuras de red. Esto se ha detectado al analizar los registros de actividad de Azure y las operaciones de administración de recursos de su suscripción. - Alto
Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones
(ARM_MicroBurst.AzureDomainInfo)
El módulo de recopilación de información de MicroBurst se ha ejecutado en su suscripción. Esta herramienta se puede usar para detectar recursos, permisos y estructuras de red. Esto se ha detectado al analizar los registros de actividad de Azure y las operaciones de administración de recursos de su suscripción. - Alto
Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
El kit de herramientas de explotación MicroBurst se ha usado para ejecutar código en las máquinas virtuales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Ejecución Alto
Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
El kit de herramientas de explotación MicroBurst se ha usado para ejecutar código en las máquinas virtuales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Kit de herramientas de explotación MicroBurst usado para extraer claves de los almacenes de claves de Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
El kit de herramientas de explotación MicroBurst se ha usado para extraer claves de los almacenes de claves de Azure. Esto se ha detectado al analizar los registros de actividad de Azure y las operaciones de administración de recursos de su suscripción. - Alto
Kit de herramientas de explotación MicroBurst usado para extraer claves de las cuentas de almacenamiento
(ARM_MicroBurst.AZStorageKeysREST)
El kit de herramientas de explotación MicroBurst se ha usado para extraer claves de las cuentas de almacenamiento. Esto se ha detectado al analizar los registros de actividad de Azure y las operaciones de administración de recursos de su suscripción. Colección Alto
Kit de herramientas de explotación MicroBurst usado para extraer secretos de los almacenes de claves de Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
El kit de herramientas de explotación MicroBurst se ha usado para extraer secretos de los almacenes de claves de Azure. Esto se ha detectado al analizar los registros de actividad de Azure y las operaciones de administración de recursos de su suscripción. - Alto
Kit de herramientas de explotación PowerZure usado para elevar los privilegios de acceso de Azure AD a Azure
(ARM_PowerZure.AzureElevatedPrivileges)
El kit de herramientas de explotación PowerZure se ha usado para elevar los privilegios de acceso de Azure AD a Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su inquilino. - Alto
Kit de herramientas de explotación PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
El kit de herramientas de explotación PowerZure se ha usado para enumerar recursos en nombre de una cuenta de usuario legítima de su organización. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Colección Alto
Kit de herramientas de explotación PowerZure usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento
(ARM_PowerZure.ShowStorageContent)
El kit de herramientas de explotación PowerZure se ha usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Kit de herramientas de explotación PowerZure usado para ejecutar un runbook en su suscripción
(ARM_PowerZure.StartRunbook)
El kit de herramientas de explotación PowerZure se ha usado para ejecutar un runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Kit de herramientas de explotación PowerZure usado para extraer el contenido de runbooks
(ARM_PowerZure.AzureRunbookContent)
El kit de herramientas de explotación PowerZure se ha usado para extraer el contenido de runbooks. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Colección Alto
VERSIÓN PRELIMINAR: actividad desde direcciones IP de riesgo
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Se ha detectado actividad de usuarios desde una dirección IP que se ha identificado como una dirección IP de proxy anónima.
Estos servidores proxy los usan los usuarios que quieren ocultar la dirección IP del dispositivo y es posible que se usen con fines malintencionados. Esta detección usa un algoritmo de aprendizaje automático que reduce los falsos positivos, como las direcciones IP mal etiquetadas que otros usuarios de la organización usan ampliamente.
Requiere una licencia activa de Microsoft Defender for Cloud Apps.
- Media
VERSIÓN PRELIMINAR: actividad desde un país poco frecuente
(ARM.MCAS_ActivityFromInfrequentCountry)
Se ha producido actividad desde una ubicación que ningún usuario de la organización ha visitado recientemente o nunca.
Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización.
Requiere una licencia activa de Microsoft Defender for Cloud Apps.
- Media
VERSIÓN PRELIMINAR: se detectó la ejecución del kit de herramientas de Azurite.
(ARM_Azurite)
Se ha detectado la ejecución de un conocido kit de herramientas de reconocimiento de entornos de nube en su entorno. Un atacante (o evaluador de penetración) puede usar la herramienta Azurite para asignar recursos de sus suscripciones e identificar configuraciones poco seguras. Colección Alto
VERSIÓN PRELIMINAR: actividad de viaje imposible
(ARM.MCAS_ImpossibleTravelActivity)
Se han producido dos actividades de usuario (en una o varias sesiones) con origen en ubicaciones geográficamente distantes. Han tenido lugar en un período de tiempo más corto que el que tardaría el usuario en viajar de la primera ubicación a la segunda. Esto indica que otro usuario está usando las mismas credenciales.
Esta detección usa un algoritmo de aprendizaje automático que omite los falsos positivos obvios que contribuyen a las condiciones de viaje imposible, como las VPN y las ubicaciones que otros usuarios de la organización usan con regularidad. La detección tiene un período de aprendizaje inicial de siete días, durante el cual aprende el patrón de actividad del nuevo usuario.
Requiere una licencia activa de Microsoft Defender for Cloud Apps.
- Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.CredentialAccess)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Acceso de credencial Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "recopilación de datos" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Collection)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para recopilar datos confidenciales sobre los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Colección Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "evasión de defensa" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.DefenseEvasion)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de evadir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para evitar que lo detecten mientras pone en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Evasión defensiva Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "ejecución" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Execution)
Microsoft Defender para Resource Manager identificó en una máquina de su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Ejecución de defensa Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "impacto" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Impact)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de modificar la configuración. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Impacto Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso inicial" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.InitialAccess)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a los recursos restringidos en el entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Acceso inicial Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso de desplazamiento lateral" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.LateralMovement)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de realizar un desplazamiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Desplazamiento lateral Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "persistencia" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.Persistence)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de establecer persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para establecer persistencia en el entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Persistencia Media
VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo por parte de una entidad de servicio detectada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de elevar los privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para elevar los privilegios mientras pone en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. Escalación de privilegios Media
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva.
(ARM_UnusedAccountPersistence)
El análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante. Persistencia Media
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa PowerShell.
(ARM_UnusedAppPowershellPersistence)
El análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no usa con frecuencia PowerShell para administrar el entorno de suscripción ahora usa PowerShell y realiza acciones que pueden garantizar la persistencia de un atacante. Persistencia Media
VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa Azure Portal.
(ARM_UnusedAppIbizaPersistence)
El análisis de registros de actividad de la suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que normalmente no usa Azure Portal (Ibiza) para administrar el entorno de la suscripción (no ha usado Azure Portal para la administración durante los últimos 45 días, ni una suscripción que administra de manera activa), ahora usa Azure Portal y realiza acciones que pueden garantizar la persistencia de un atacante. Persistencia Media
Rol personalizado con privilegios creado para la suscripción de forma sospechosa (versión preliminar)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender para Resource Manager detectó una creación sospechosa de la definición de roles personalizados con privilegios en la suscripción. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de la organización y que el actor de la amenaza intenta crear un rol con privilegios para usarlo en el futuro para eludir la detección. Elevación de privilegios, evasión de defensas Bajo
Se detectó una asignación de roles de Azure sospechosa (versión preliminar)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender para Resource Manager identificó una asignación de roles de Azure sospechosa o que se realizó mediante PIM (Privileged Identity Management) en el inquilino, lo que puede indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para que los administradores concedan a las entidades de seguridad acceso a los recursos de Azure. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar la asignación de roles para escalar sus permisos y así avanzar en su ataque. Desplazamiento lateral, evasión de las defensas Bajo (PIM) / Alto
Se detectó la invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Acceso con credenciales Media
Se detectó la invocación sospechosa de una operación de "colección de datos" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Collection)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para recopilar datos confidenciales sobre los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Colección Media
Se detectó la invocación sospechosa de una operación de "evasión defensiva" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de evadir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para evitar que lo detecten mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Evasión defensiva Media
Se detectó la invocación sospechosa de una operación de "ejecución" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Execution)
Microsoft Defender para Resource Manager identificó en una máquina de su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Ejecución Media
Se detectó la invocación sospechosa de una operación de "impacto" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Impact)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de modificar la configuración. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Impacto Media
Se detectó la invocación sospechosa de una operación de "acceso inicial" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a los recursos restringidos en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Acceso inicial Media
Se detectó la invocación sospechosa de una operación de "desplazamiento lateral" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de realizar un desplazamiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Movimiento lateral Media
Se detectó la invocación sospechosa de una operación de "persistencia" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de establecer persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para establecer persistencia en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Persistencia Media
Se detectó la invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo (versión preliminar)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de elevar los privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para elevar los privilegios mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. Elevación de privilegios Media
Uso del kit de herramientas de explotación MicroBurst para ejecutar un código arbitrario o extraer credenciales de usuario de Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Uso del kit de herramientas de explotación MicroBurst para ejecutar un código arbitrario o extraer credenciales de usuario de Azure Automation. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Persistencia, acceso a credenciales Alto
Uso de técnicas de NetSPI para mantener la persistencia en el entorno de Azure
(ARM_NetSPI.MaintainPersistence)
Uso de la técnica de persistencia de NetSPI para crear una puerta trasera de webhook y mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Uso del kit de herramientas de explotación PowerZure para ejecutar un código arbitrario o extraer credenciales de cuenta de Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Se ha detectado que el kit de herramientas de explotación PowerZure ha intentado ejecutar código o extraer credenciales de usuario de Azure Automation. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Uso de la función PowerZure para mantener la persistencia en el entorno de Azure
(ARM_PowerZure.MaintainPersistence)
Se ha detectado que el kit de herramientas de explotación PowerZure ha creado una puerta trasera de webhook para mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. - Alto
Se detectó una asignación de roles clásica sospechosa (versión preliminar)
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender para Resource Manager identificó una asignación de roles clásica sospechosa en el inquilino, lo que puede indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para proporcionar compatibilidad con versiones anteriores con roles clásicos que ya no suelen usarse. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar dicha asignación para conceder permisos a una cuenta de usuario adicional que tenga bajo control.  Desplazamiento lateral, evasión de las defensas Alto

Alertas de DNS

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Uso de protocolo de red anómalo
(AzureDNS_ProtocolAnomaly)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un uso de protocolo anómalo. Dicho tráfico, aunque posiblemente benigno, puede indicar un abuso de este protocolo común para omitir el filtrado del tráfico de red. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. Exfiltración -
Actividad de red de anonimato
(AzureDNS_DarkWeb)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Actividad de red de anonimato mediante proxy web
(AzureDNS_DarkWebProxy)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Intento de comunicación con dominio de sinkhole sospechoso
(AzureDNS_SinkholedDomain)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una solicitud para un dominio de sinkhole. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. Exfiltración -
Comunicación con posible dominio de suplantación de identidad
(AzureDNS_PhishingDomain)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una solicitud para un posible dominio de suplantación de identidad. Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para obtener credenciales en servicios remotos. Entre las actividades típicas de los atacantes suele incluirse la explotación de credenciales en el servicio legítimo. Exfiltración -
Comunicación con un dominio generado por algoritmo sospechoso
(AzureDNS_DomainGenerationAlgorithm)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible uso de un algoritmo de generación de dominios. Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. Acceso inicial Media
Comunicación con un nombre de dominio aleatorio sospechoso
(AzureDNS_RandomizedDomain)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un uso de un nombre de dominio generado aleatoriamente sospechoso. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Actividad de minería de datos de moneda digital
(AzureDNS_CurrencyMining)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de minería de datos de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes. Exfiltración -
Activación de la firma de detección de intrusiones de red
(AzureDNS_SuspiciousDomain)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una firma de red malintencionada conocida. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. Exfiltración -
Posible descarga de datos a través de un túnel DNS
(AzureDNS_DataInfiltration)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Posible filtración de datos a través de un túnel DNS
(AzureDNS_DataExfiltration)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -
Posible transferencia de datos a través de un túnel DNS
(AzureDNS_DataObfuscation)
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. Exfiltración -

Alertas de Azure Storage

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
VERSIÓN PRELIMINAR: acceso desde una aplicación sospechosa
(Storage.Blob_SuspiciousApp)
Indica que una aplicación sospechosa ha accedido correctamente a un contenedor de una cuenta de almacenamiento con autenticación.
Esto puede indicar que un atacante ha obtenido las credenciales necesarias para acceder a la cuenta y está aprovechando sus vulnerabilidades de seguridad. Esto también podría ser una indicación de una prueba de penetración realizada en su organización.
Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2
Acceso inicial Media
Acceso desde una dirección IP sospechosa
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Indica que se ha accedido correctamente a esta cuenta de almacenamiento desde una dirección IP que se considera sospechosa. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft.
Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Acceso inicial Media
Versión preliminar: contenido de suplantación de identidad (phishing) hospedado en una cuenta de almacenamiento
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Una dirección URL que se usa en un ataque de suplantación de identidad (phishing) apunta a su cuenta de Azure Storage. Esta dirección URL formaba parte de un ataque de suplantación de identidad que afectaba a los usuarios de Microsoft 365.
Normalmente, el contenido hospedado en esas páginas está diseñado para engañar a los visitantes para que escriban sus credenciales corporativas o información financiera en un formulario web que parece legítimo.
Esta alerta está basada en la inteligencia sobre amenazas de Microsoft.
Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.
Se aplica a: Azure Blob Storage, Azure Files
Colección Alto
VERSIÓN PRELIMINAR: la cuenta de almacenamiento se ha identificado como un origen para la distribución de malware.
(Storage.Files_WidespreadeAm)
Las alertas antimalware indican que hay archivos infectados almacenados en un recurso compartido de archivos de Azure que está montado en varias máquinas virtuales. Si los atacantes obtienen acceso a una máquina virtual con un recurso compartido de archivos de Azure montado, pueden usarlo para propagar malware a otras máquinas virtuales que monten el mismo recurso compartido.
Se aplica a: Azure Files
Desplazamiento lateral, ejecución Alto
VERSIÓN PRELIMINAR: se ha detectado una cuenta de almacenamiento con datos potencialmente confidenciales con un contenedor expuesto públicamente.
(Storage.Blob_OpenACL)
La directiva de acceso de un contenedor de la cuenta de almacenamiento se ha modificado para permitir el acceso anónimo. Esto podría provocar una brecha de datos si el contenedor contiene datos confidenciales. Esta alerta se basa en el análisis del registro de actividad de Azure.
Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2
Elevación de privilegios Media
Acceso autenticado desde un nodo de salida de Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Se ha accedido correctamente a uno o varios contenedores de almacenamiento o recursos compartidos de archivos de la cuenta de almacenamiento desde una dirección IP conocida por ser un nodo de salida activo de Tor (un proxy anónimo). Los actores de amenazas usan Tor para dificultar el seguimiento de la actividad. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Acceso inicial Alto/Medio
Acceso desde una ubicación inusual a una cuenta de almacenamiento
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Indica que se ha producido un cambio en el patrón de acceso a una cuenta de Azure Storage. Alguien accedió a esta cuenta desde una dirección IP que se considera desconocida en comparación con la actividad reciente. Un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual. Un ejemplo de esto último es el mantenimiento remoto desde una nueva aplicación o desarrollador.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Explotación Bajo
Acceso no autenticado inusual a un contenedor de almacenamiento
(Storage.Blob_AnonymousAccessAnomaly)
Se ha accedido a esta cuenta de almacenamiento sin autenticación, lo que es un cambio en el patrón de acceso común. El acceso de lectura a este contenedor normalmente se autentica. Esto podría indicar que un actor de amenazas ha podido aprovechar el acceso de lectura público a los contenedores de almacenamiento de esta cuenta de almacenamiento.
Se aplica a: Azure Blob Storage
Colección Bajo
Posible malware cargado en una cuenta de almacenamiento
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Indica que un blob que contiene malware potencial se ha cargado en un contenedor de blobs o un recurso compartido de archivos de una cuenta de almacenamiento. Esta alerta se basa en el análisis de reputación de hash que aprovecha la eficacia de la inteligencia sobre amenazas de Microsoft, que incluye los valores hash de virus, troyanos, spyware y ransomware. Entre las posibles causas de ello, se pueden incluir una carga intencional del malware por parte de un atacante o una carga involuntaria de un blob potencialmente malintencionado por parte de un usuario legítimo.
Se aplica a: Azure Blob Storage, Azure Files (solo para transacciones a través de la API de REST)
Obtenga más información sobre el análisis de reputación de hash de Azure para malware.
Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.
Movimiento lateral Alto
Contenedores de almacenamiento accesibles públicamente detectados correctamente
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
En la última hora, se ha realizado una detección correcta de contenedores de almacenamiento abiertos públicamente en la cuenta de almacenamiento mediante un script o herramienta de análisis.

Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.

El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Colección Media
Intentos fallidos de búsqueda en contenedores de almacenamiento públicamente accesibles
(Storage.Blob_OpenContainersScanning.FailedAttempt)
En la última hora se han realizado una serie de intentos fallidos de búsqueda en contenedores de almacenamiento abiertos públicamente.

Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.

El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Colección Bajo
Inspección de acceso inusual en una cuenta de almacenamiento
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Indica que los permisos de acceso de una cuenta de almacenamiento se han inspeccionado de un modo no habitual, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro.
Se aplica a: Azure Blob Storage, Azure Files
Colección Media
Cantidad inusual de datos extraídos de una cuenta de almacenamiento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Indica que se ha extraído una cantidad de datos inusualmente grande en comparación con la actividad reciente en este contenedor de almacenamiento. Una causa posible es que un atacante haya extraído una gran cantidad de datos de un contenedor que incluye almacenamiento en blobs.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltración Media
Acceso de una aplicación inusual a una cuenta de almacenamiento
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Indica que una aplicación inusual ha accedido a esta cuenta de almacenamiento. Una posible causa es que un atacante ha accedido a la cuenta de almacenamiento mediante el uso de una aplicación nueva.
Se aplica a: Azure Blob Storage, Azure Files
Explotación Media
Cambio inusual de permisos de acceso en una cuenta de almacenamiento
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Indica que los permisos de acceso a un contenedor de almacenamiento se han cambiado de un modo inusual. Una causa posible es que un atacante ha cambiado los permisos del contenedor para debilitar su posición de seguridad o para ganar persistencia.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Persistencia Media
Exploración de datos inusual en una cuenta de almacenamiento
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Indica que los blobs o los contenedores de una cuenta de almacenamiento se han enumerado de un modo anómalo, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro.
Se aplica a: Azure Blob Storage, Azure Files
Colección Media
Eliminación inusual en una cuenta de almacenamiento
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Indica que se han producido una o varias operaciones de eliminación inesperadas en una cuenta de almacenamiento, en comparación con la actividad reciente en la cuenta. Una posible causa es que un atacante haya eliminado datos de la cuenta de almacenamiento.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltración Media
Carga inusual de .cspkg en una cuenta de almacenamiento
(Storage.Blob_CspkgUploadAnomaly)
Indica que se ha cargado un paquete de Azure Cloud Services (archivo .cspkg) en una cuenta de almacenamiento de manera inusual, en comparación con la actividad reciente en esta cuenta. Una posible causa es que un atacante ha estado preparándose para implementar código malintencionado desde la cuenta de almacenamiento en un servicio en la nube de Azure.
Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2
Desplazamiento lateral, ejecución Media
Carga inusual de un archivo .exe en una cuenta de almacenamiento
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Indica que se ha cargado un archivo .exe en una cuenta de almacenamiento de manera inusual, en comparación con la actividad reciente en esta cuenta. Una posible causa es que un atacante haya cargado un archivo ejecutable malintencionado en su cuenta de almacenamiento o que un usuario legítimo haya cargado un archivo ejecutable.
Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Desplazamiento lateral, ejecución Media

Alertas de Azure Cosmos DB

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Acceso desde un nodo de salida de Tor
(CosmosDB_TorAnomaly)
Se accedió correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP que se sabe que es un nodo de salida activo de Tor, un proxy anónimo. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. Acceso inicial Alto/Medio
Acceso desde una dirección IP sospechosa
(CosmosDB_SuspiciousIp)
Se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP identificada como amenaza por Microsoft Threat Intelligence. Acceso inicial Media
Acceso desde una ubicación inusual
(CosmosDB_GeoAnomaly)
Se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una ubicación que se considera desconocida según el patrón de acceso habitual.

O bien, un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual.
Acceso inicial Bajo
Volumen inusual de datos extraídos
(CosmosDB_DataExfiltrationAnomaly)
Se ha extraído un volumen de datos inusualmente grande de esta cuenta Azure Cosmos DB. Esto podría indicar que un atacante ha filtrado datos. Exfiltración Media
Extracción de claves de cuenta de Azure Cosmos DB mediante un script potencialmente malintencionado
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Se ha ejecutado un script de PowerShell en la suscripción y se ha realizado un patrón sospechoso de operaciones de lista de claves para obtener las claves de la cuenta de Azure Cosmos DB de la suscripción. Los atacantes usan scripts automatizados, como Microburst, para enumerar las claves y encontrar cuentas de Azure Cosmos DB a las que pueden acceder.

Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar las cuentas de Azure Cosmos DB de su entorno con intenciones malintencionadas.

Como alternativa, un usuario interno malintencionado podría estar intentando acceder a datos confidenciales y realizar el movimiento lateral.
Colección Alto
Extracción sospechosa de claves de cuenta de Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Un origen sospechoso extrajo las claves de acceso de una cuenta de Azure Cosmos DB de la suscripción. Si este origen no es legítimo, puede ser un problema grave. La clave de acceso que se extrajo proporciona control total sobre las bases de datos asociadas y los datos que estas almacenan. Consulte los detalles de cada alerta específica para comprender por qué el origen se marcó como sospechoso. Acceso con credenciales high
Inyección de código SQL: posible filtración de datos
(CosmosDB_SqlInjection.DataExfiltration)
Se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.

Es posible que con la instrucción inyectada se hayan filtrado correctamente los datos para los que el atacante no tiene autorización de acceso.

Debido a la estructura y las funcionalidades de Azure Cosmos DB, muchos ataques por inyección de código SQL en las cuentas de Azure Cosmos DB no funcionan. Sin embargo, la variación usada en este ataque puede funcionar y los atacantes pueden filtrar datos.
Exfiltración Media
Inyección de código SQL: intento de información aproximada
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.

Al igual que otros ataques por inyección de código SQL conocidos, este no podrá poner en peligro la cuenta de Azure Cosmos DB.

No obstante, es una indicación de que alguien está intentando atacar los recursos de esta cuenta y de que la aplicación está en peligro.

Algunos ataques por inyección de código SQL pueden realizarse correctamente y usarse para filtrar datos. Esto significa que si el atacante sigue intentando inyectar código SQL, puede poner en peligro su cuenta de Azure Cosmos DB y filtrar datos.

Puede evitar esta amenaza mediante consultas parametrizadas.
Ataque previo Bajo

Alertas de la capa de red de Azure

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Se detectó una comunicación de red con una máquina malintencionada.
(Network_CommunicationWithC2)
El análisis del tráfico de red indica que la máquina (IP %{Victim IP}) se ha comunicado con lo que posiblemente es un centro de comando y control. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones) se han comunicado con lo que posiblemente es un centro de comando y control. Comando y control Media
Se detectó una posible máquina en peligro.
(Network_ResourceIpIndicatedAsMalicious)
La información sobre amenazas indica que un malware de tipo Conficker puede haber puesto en peligro la máquina (con la IP %{Machine IP}). Conficker es un gusano de equipos que tiene como destino el sistema operativo Microsoft Windows y que se detectó por primera vez en noviembre de 2008. Ha infectado millones de equipos, incluidos equipos gubernamentales, empresariales y particulares de más de 200 países o regiones, lo que lo convierte en la infección de gusanos de equipos más importante, desde el gusano Welchia de 2003. Comando y control Media
Se detectaron posibles intentos de ataques por fuerza bruta entrantes del servicio %{Service Name}.
(Generic_Incoming_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación entrante del servicio %{Service Name} dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Victim Port}. Esta actividad es coherente con los intentos de ataque por fuerza bruta contra los servidores del servicio %{Service Name}. PreAttack Media
Se detectaron posibles intentos de ataques por fuerza bruta de SQL entrantes.
(SQL_Incoming_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación entrante de SQL dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Port Number} (%{SQL Service Type}). Esta actividad es coherente con los intentos de ataque por fuerza bruta contra servidores SQL. PreAttack Media
Se detectó un posible ataque por denegación de servicio de salida.
(DDoS)
El análisis del tráfico de red detectó una actividad de salida anómala procedente del host %{Compromised Host}, un recurso de la implementación. Esta actividad puede indicar que el recurso se puso en peligro y ahora está llevando a cabo ataques por denegación de servicio contra puntos de conexión externos. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa puede indicar que se pusieron en peligro uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Según el volumen de las conexiones, creemos que es posible que las siguientes direcciones IP sean los destinos del ataque DoS: %{Possible Victims}. Tenga en cuenta que puede que la comunicación con algunas de estas direcciones IP sea legítima. Impacto Media
Actividad de red RDP entrante sospechosa procedente de varios orígenes
(RDP_Incoming_BF_ManyToOne)
El análisis de tráfico de red detectó una comunicación entrante anómala del Protocolo de escritorio remoto dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de RDP desde varios hosts (botnet). PreAttack Media
Actividad de red RDP entrante sospechosa
(RDP_Incoming_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación entrante anómala del Protocolo de escritorio remoto dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de RDP. PreAttack Media
Actividad de red SSH entrante sospechosa procedente de varios orígenes
(SSH_Incoming_BF_ManyToOne)
El análisis de tráfico de red detectó una comunicación entrante anómala de SSH dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de SSH desde varios hosts (botnet). PreAttack Media
Actividad de red SSH entrante sospechosa
(SSH_Incoming_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación entrante anómala de SSH dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de SSH. PreAttack Media
Se detectó tráfico sospechoso del protocolo %{Attacked Protocol} saliente.
(PortScanning)
El análisis del tráfico de red detectó la presencia de tráfico saliente sospechoso desde el host %{Compromised Host} al puerto de destino %{Most Common Port}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Este comportamiento puede indicar que el recurso participa en intentos de ataques por fuerza bruta o de barrido de puertos en el protocolo %{Attacked Protocol}. Detección Media
Actividad de red RDP saliente sospechosa hacia varios destinos
(RDP_Outgoing_BF_OneToMany)
El análisis de tráfico de red detectó una comunicación saliente anómala del Protocolo de escritorio remoto (RDP) dirigida a varios destinos y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su máquina se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de RDP externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. Detección Alto
Actividad de red RDP saliente sospechosa
(RDP_Outgoing_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación saliente anómala del Protocolo de escritorio remoto (RDP) dirigida a la IP %{Victim IP} y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el equipo está en peligro y ahora se utiliza para ataques por fuerza bruta contra puntos de conexión de RDP externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. Movimiento lateral Alto
Actividad de red de SSH saliente sospechosa hacia varios destinos
(SSH_Outgoing_BF_OneToMany)
El análisis de tráfico de red detectó una comunicación saliente anómala de SSH dirigida a varios destinos y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su recurso se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. Detección Media
Actividad de red de SSH saliente sospechosa
(SSH_Outgoing_BF_OneToOne)
El análisis de tráfico de red detectó una comunicación saliente anómala de SSH dirigida a la IP %{Victim IP} y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. Movimiento lateral Media
Se detectó tráfico desde direcciones IP recomendadas para el bloqueo. Microsoft Defender for Cloud detectó tráfico entrante procedente de direcciones IP que le recomendamos que bloquee. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud. Sondeo Bajo

Alertas de Azure Key Vault

Más detalles y notas

Alerta (tipo de alerta) Descripción Tácticas MITRE
(Más información)
severity
Acceso desde una dirección IP sospechosa a un almacén de claves
(KV_SuspiciousIPAccess)
Una dirección IP identificada por la inteligencia sobre amenazas de Microsoft como una dirección IP sospechosa accedió correctamente a un almacén de claves. Esto puede indicar que la infraestructura se ha puesto en peligro. Se recomienda seguir investigando. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Acceso con credenciales Media
Acceso desde un nodo de salida de TOR a un almacén de claves
(KV_TORAccess)
Se ha accedido a un almacén de claves desde un nodo de salida de TOR conocido. Esto podría indicar que un atacante ha accedido al almacén de claves y está usando la red TOR para ocultar su ubicación de origen. Se recomienda seguir investigando. Acceso con credenciales Media
Gran volumen de operaciones en un almacén de claves
(KV_OperationVolumeAnomaly)
Un usuario, una entidad de servicio o un almacén de claves concretos han realizado un número anómalo de operaciones de almacén de claves. Este patrón de actividad anómala puede ser legítimo, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. Acceso con credenciales Media
Cambio sospechoso de directiva y consulta de secretos en un almacén de claves
(KV_PutGetAnomaly)
Un usuario o una entidad de servicio han realizado una operación anómala de cambio de directiva put de almacén seguida de una o varias operaciones get para secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados. Puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha actualizado la directiva del almacén de claves para acceder a secretos a los que antes no se podía acceder. Se recomienda seguir investigando. Acceso con credenciales Media
Lista y consulta de secretos sospechosos en un almacén de claves
(KV_ListGetAnomaly)
Un usuario o una entidad de servicio han realizado una operación list para secretos seguida de una o varias operaciones get para secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados y se suele asociar con el volcado de secretos. Puede tratarse de una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves e intenta detectar secretos que se pueden usar para realizar un ataque por desplazamiento lateral a través de la red o acceder a recursos confidenciales. Se recomienda seguir investigando. Acceso con credenciales Media
Acceso inusual denegado: acceso denegado de un usuario a un gran volumen de almacenes de claves
(KV_AccountVolumeAccessDeniedAnomaly)
Un usuario o una entidad de servicio ha intentado acceder a un volumen alto y anómalo de almacenes de claves en las últimas 24 horas. Este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. Detección Bajo
Acceso inusual denegado: acceso denegado de un usuario inusual al almacén de claves
(KV_UserAccessDeniedAnomaly)
Un usuario intentó obtener acceso a un almacén de claves al que no suele acceder; este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Acceso inicial, Discovery Bajo
Acceso de una aplicación inusual a un almacén de claves
(KV_AppAnomaly)
Una entidad de servicio que normalmente no accede a un almacén de claves lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. Acceso con credenciales Media
Patrón de operación inusual en un almacén de claves
(KV_OperationPatternAnomaly)
Un usuario, una entidad de servicio o un almacén de claves concretos han realizado un patrón anómalo de operaciones del almacén de claves. Este patrón de actividad anómala puede ser legítimo, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. Acceso con credenciales Media
Acceso de un usuario inusual a un almacén de claves
(KV_UserAnomaly)
Un usuario que normalmente no accede a un almacén de claves, lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. Acceso con credenciales Media
Acceso de un par inusual de usuario y aplicación a un almacén de claves
(KV_UserAppAnomaly)
Un par usuario-entidad de servicio que normalmente no accede a un almacén de claves lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. Acceso con credenciales Media
Acceso de un usuario a un gran volumen de almacenes de claves
(KV_AccountVolumeAnomaly)
Un usuario o una entidad de servicio han accedido a un volumen anómalo de almacenes de claves. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso a varios almacenes de claves en un intento de acceder a los secretos que estos contienen. Se recomienda seguir investigando. Acceso con credenciales Media

Alertas de Azure DDoS Protection

Más detalles y notas

Alerta Descripción Tácticas MITRE
(Más información)
severity
Se detectó un ataque DDoS de la dirección IP pública. Se detectó un ataque DDoS de la dirección IP pública y se está mitigando. Sondeo Alto
Se mitigó un ataque DDoS de la dirección IP pública. Se mitigó un ataque DDoS de la dirección IP pública (dirección IP). Sondeo Bajo

Alertas de incidente de seguridad

Más detalles y notas

Alerta Descripción Tácticas MITRE
(Más información)
severity
Incidente de seguridad detectado con proceso compartido El incidente que se inició a las {hora de inicio (UTC)} y que se detectó recientemente a las {hora de detección (UTC)} indica que un atacante ha {acción realizada} su recurso {host} - Alto
Incidente de seguridad detectado en varios recursos El incidente que se inició a las {hora de inicio (UTC)} y que se detectó recientemente a las {hora detectada (UTC)} indica que se realizaron métodos de ataque similares en los recursos en la nube {host} - Media
Incidente de seguridad detectado del mismo origen El incidente que se inició a las {hora de inicio (UTC)} y que se detectó recientemente a las {hora de detección (UTC)} indica que un atacante ha {acción realizada} su recurso {host} - Alto
Incidente de seguridad detectado en varias máquinas El incidente que se inició a las {hora de inicio (UTC)} y que se detectó recientemente a las {hora de detección (UTC)} indica que un atacante ha {acción realizada} sus recursos {host} - Media

Tácticas de MITRE ATTCK

Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Microsoft Defender for Cloud incluyen las tácticas de MITRE con muchas alertas.

La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".

Las intenciones de la cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de MITRE ATT&CK Matrix y se describen en la tabla siguiente.

Táctica Versión de ATT&CK Descripción
PreAttack PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada.
Acceso inicial V7, V9 Acceso inicial es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. Los actores de amenazas suelen ser capaces de controlar el recurso después de esta fase.
Persistencia V7, V9 La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso.
Elevación de privilegios V7, V9 La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios alcancen su objetivo también se pueden considerar como una elevación de privilegios.
Evasión defensiva V7, V9 La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada.
Acceso de credenciales V7, V9 El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno.
Detección V7, V9 La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro.
LateralMovement V7, V9 El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a otras credenciales o la causa de un efecto.
Ejecución V7, V9 La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red.
Colección V7, V9 La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado.
Comando y control V7, V9 La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino.
Exfiltración V7, V9 La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado.
Impacto V7, V9 Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto suele hacer referencia a técnicas como ransomware, desmiración, manipulación de datos y otros.

Nota

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes

Para obtener más información sobre las alertas de seguridad de Microsoft Defender for Cloud, consulte los artículos siguientes: