Alertas de seguridad: una guía de referencia
En este artículo se enumeran las alertas de seguridad que puede obtener de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
En la parte inferior de esta página, hay una tabla que describe la cadena de eliminación de Microsoft Defender for Cloud que está en línea con la versión 9 de MITRE ATT&CK Matrix.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de máquinas Windows
El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Windows son:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Se ha detectado un inicio de sesión desde una dirección IP malintencionada. [observado varias veces] | Se produjo una autenticación remota correcta para la cuenta [cuenta] y el proceso [proceso]. Sin embargo, la dirección IP de inicio de sesión (x.x.x.x) se ha notificado previamente como malintencionada o muy inusual. Es probable que se haya producido un ataque correcto. Los archivos con las extensiones .src son archivos del protector de pantalla y suelen residir en el directorio del sistema de Windows, así como ejecutarse desde este. | - | Alto |
| Adición de una cuenta de invitado al grupo de administradores locales | El análisis de datos del host ha detectado la adición de la cuenta de invitado integrada al grupo de administradores locales en el host %{Compromised Host}, lo que está estrechamente asociado con la actividad de los atacantes. | - | Media |
| Se ha borrado un registro de eventos | Los registros de la máquina indican que el usuario "%{user name}" ha realizado una operación de borrado del registro de eventos sospechoso en la máquina "%{CompromisedEntity}". Se borró el registro %{log channel}. | - | Informativo |
| Error en la acción antimalware | Microsoft Antimalware ha encontrado un error al realizar una acción en malware u otro software potencialmente no deseado. | - | Media |
| Acción antimalware realizada | Microsoft Antimalware para Azure ha realizado una acción para proteger esta máquina contra malware u otro software potencialmente no deseado. | - | Media |
| Exclusión amplia de archivos antimalware en la máquina virtual (VM_AmBroadFilesExclusion) |
Se ha detectado una exclusión de archivos de la extensión antimalware con regla de exclusión amplia en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
- | Media |
| Antimalware deshabilitado y ejecución de código en la máquina virtual (VM_AmDisablementAndCodeExecution) |
Antimalware deshabilitado al mismo tiempo que se ejecuta código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
- | Alto |
| Antimalware deshabilitado en la máquina virtual (VM_AmDisablement) |
Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección. |
Evasión defensiva | Media |
| Exclusión de archivos antimalware y ejecución de código en la máquina virtual (VM_AmFileExclusionAndCodeExecution) |
Archivo excluido del escáner antimalware al mismo tiempo que se ha ejecutado código mediante una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
Evasión de defensas, ejecución | Alto |
| Exclusión de archivos antimalware y ejecución de código en la máquina virtual (VM_AmTempFileExclusionAndCodeExecution) |
Se ha detectado una exclusión de archivos temporal de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión de defensas, ejecución | Alto |
| Exclusión de archivos antimalware en la máquina virtual (VM_AmTempFileExclusion) |
Archivo excluido del escáner antimalware de la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada en la máquina virtual (VM_AmRealtimeProtectionDisabled) |
Se ha detectado que se ha deshabilitado la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual (VM_AmTempRealtimeProtectionDisablement) |
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
- | Alto |
| Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar) (VM_AmMalwareCampaignRelatedExclusion) |
Se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examine determinados archivos que se sospecha que están relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. | Evasión defensiva | Media |
| Antimalware deshabilitado temporalmente en la máquina virtual (VM_AmTemporarilyDisablement) |
Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección. |
- | Media |
| Exclusión de archivos antimalware inusual en la máquina virtual (VM_UnusualAmFileExclusion) |
Se ha detectado una exclusión de archivos inusual de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas (AzureDNS_ThreatIntelSuspectDomain) |
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. | Acceso inicial, persistencia, ejecución, comando y control, explotación | Media |
| Se detectaron acciones que indican la deshabilitación y eliminación de archivos de registro de IIS | El análisis de datos del host detectó acciones que muestran que se inhabilitaron o eliminaron archivos de registro de IIS. | - | Media |
| Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. | El análisis de datos del host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres en mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro. | - | Media |
| Se detectó un cambio en una clave del Registro que se puede usar para omitir UAC. | El análisis de datos del host en %{Compromised Host} detectó que se cambió una clave del Registro que se puede usar para omitir UAC (Control de cuentas de usuario). Aunque posiblemente este tipo de configuración es benigno, también es típico de la actividad de los atacantes cuando intentan pasar de la obtención de acceso sin privilegios (usuario estándar) a un acceso con privilegios (por ejemplo, administrador) en un host en peligro. | - | Media |
| Se detectó la descodificación de un archivo ejecutable mediante la herramienta integrada certutil.exe. | El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente. | - | Alto |
| Se detectó la habilitación de la clave del Registro UseLogonCredential de WDigest. | El análisis de datos del host detectó un cambio en la clave del Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Concretamente, esta clave se ha actualizado para permitir que las credenciales de inicio de sesión se almacenen en texto no cifrado en la memoria LSA. Una vez se habilita, un atacante puede volcar contraseñas de texto no cifrado de la memoria LSA con herramientas de recopilación de credenciales como Mimikatz. | - | Media |
| Se detectó un archivo ejecutable codificado en los datos de la línea de comandos. | El análisis de datos del host en %{Compromised Host} ha detectado un archivo con codificación Base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Alto |
| Se detectó una línea de comandos ofuscada | Los atacantes usan técnicas de ofuscación cada vez más complejas para eludir las detecciones que se ejecutan con los datos subyacentes. El análisis de datos del host en %{Compromised Host} detectó indicadores sospechosos de ofuscación en la línea de comandos. | - | Informativo |
| Se detectó una posible ejecución del archivo ejecutable keygen. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso cuyo nombre indica que se trata de una herramienta keygen. Estas herramientas se utilizan normalmente para anular los mecanismos de licencia de software, pero su descarga suele estar incluida con otro software malintencionado. Se sabe que el grupo de actividad GOLD usa archivos keygen para obtener acceso de manera encubierta por la puerta trasera a los hosts a los que pone en peligro. | - | Media |
| Se detectó una posible ejecución de un instalador de malware. | El análisis de datos del host en %{Compromised Host} detectó un nombre de archivo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de instalación de malware en el host de las víctimas. | - | Alto |
| Se detectó una posible actividad de reconocimiento local. | El análisis de datos del host en %{Compromised Host} detectó una combinación de comandos systeminfo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de realización de la actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta de Windows legítima, su ejecución dos veces seguidas de la forma en que se ha producido aquí es poco frecuente. | - | |
| Se detectó un uso potencialmente sospechoso de la herramienta Telegram. | El análisis de datos del host muestra la instalación de Telegram, un servicio de mensajería instantánea gratuito basado en la nube que existe tanto para móviles como para sistemas de escritorio. Se sabe que los atacantes usan este servicio para transferir archivos binarios malintencionados a cualquier otro equipo, teléfono o tableta. | - | Media |
| Se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión. | El análisis de datos del host en %{Compromised Host} detectó cambios en la clave del Registro que controla si se muestra un aviso legal a los usuarios cuando inician sesión. El análisis de seguridad de Microsoft ha determinado que se trata de una actividad que habitualmente llevan a cabo los atacantes después de poner en peligro un host. | - | Bajo |
| Se detectó una combinación sospechosa de HTA y PowerShell. | Los atacantes usan mshta.exe (host de aplicación HTML de Microsoft), que es un archivo binario firmado de Microsoft, para iniciar comandos de PowerShell malintencionados. A menudo, los atacantes recurren a tener un archivo HTA con VBScript alineado. Cuando una víctima navega hasta el archivo HTA y elige ejecutarlo, se ejecutan los comandos y los scripts de PowerShell que contiene. El análisis de datos del host en %{Compromised Host} detectó que mshta.exe inicia comandos de PowerShell. | - | Media |
| Se detectaron argumentos de la línea de comandos sospechosos. | El análisis de datos del host en %{Compromised Host} detectó que se han usado argumentos de la línea de comandos sospechosos junto con un shell inverso que utiliza el grupo de actividad HYDROGEN. | - | Alto |
| Se detectó una línea de comandos sospechosa que se usa para iniciar todos los archivos ejecutables en un directorio. | El análisis de datos del host ha detectado la ejecución de un proceso sospechoso en el host %{Compromised Host}. La línea de comandos indica un intento de iniciar todos los archivos ejecutables (*.exe) que pueden residir en un directorio. Esto podría indicar que un host se encuentra en peligro. | - | Media |
| Se detectaron credenciales sospechosas en la línea de comandos. | El análisis de datos del host en %{Compromised Host} detectó una contraseña sospechosa que el grupo de actividad BORON usa para ejecutar un archivo. Se sabe que este grupo de actividad utiliza esta contraseña para ejecutar malware de Pirpi en el host de las víctimas. | - | Alto |
| Se detectaron credenciales de documentos sospechosas. | El análisis de datos del host en %{Compromised Host} detectó un hash de contraseña precalculado común y sospechoso que usa el malware para ejecutar un archivo. Se sabe que el grupo de actividad HYDROGEN utiliza esta contraseña para ejecutar malware en el host de las víctimas. | - | Alto |
| Se detectó la ejecución sospechosa del comando VBScript.Encode. | El análisis de datos del host en %{Compromised Host} detectó la ejecución del comando VBScript.Encode. Este codifica los scripts en texto ilegible, lo que dificulta que los usuarios examinen el código. La investigación de amenazas de Microsoft muestra que los atacantes suelen usar archivos VBscript codificados como parte de su ataque para eludir los sistemas de detección. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Media |
| Se detectó una ejecución sospechosa mediante el archivo rundll32.exe. | El análisis de datos del host en %{Compromised Host} detectó que se ha utilizado el archivo rundll32.exe para ejecutar un proceso con un nombre no común. Esto se ha hecho de forma coherente con el esquema de nomenclatura del proceso que anteriormente ha utilizado el grupo de actividad GOLD al instalar la primera fase del implante en un host en peligro. | - | Alto |
| Se detectaron comandos de limpieza de archivos sospechosos. | El análisis de datos del host en %{Compromised Host} detectó una combinación de comandos systeminfo que se ha asociado previamente a uno de los métodos del grupo de actividad GOLD de realización de la actividad de autolimpieza después de la puesta en peligro. Aunque "systeminfo.exe" es una herramienta legítima de Windows, ejecutarla dos veces consecutivas, seguida de un comando de eliminación en la forma en que se ha producido aquí es poco frecuente. | - | Alto |
| Se detectó la creación de un archivo sospechoso. | El análisis de datos del host en %{Compromised Host} detectó la creación o la ejecución de un proceso que anteriormente ha indicado que se trataba de una acción llevada a cabo en el host de las víctimas por parte del grupo de actividad BARIUM después de la puesta en peligro. Se ha sabido que este grupo de actividad usa esta técnica para descargar malware adicional en un host en peligro después de abrir un archivo adjunto en un documento de suplantación de identidad (phishing). | - | Alto |
| Se detectaron comunicaciones de canalización con nombre sospechosas. | El análisis de datos del host en %{Compromised Host} detectó datos que se escriben en una canalización con nombre local desde un comando de la consola Windows. Se sabe que los atacantes utilizan canalizaciones con nombre a fin de realizar tareas y comunicarse con un implante malintencionado. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Alto |
| Se detectó una actividad de red sospechosa. | El análisis del tráfico de red desde el host %{Compromised Host} detectó una actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. | - | Bajo |
| Se detectó una nueva regla de firewall sospechosa. | El análisis de datos del host ha detectado que se ha agregado una nueva regla de firewall a través de netsh.exe para permitir el tráfico desde un archivo ejecutable en una ubicación sospechosa. | - | Media |
| Se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema | Los atacantes usan innumerables métodos, como la fuerza bruta, el phishing de objetivo definido, etc., para realizar una vulneración inicial y obtener una posición en la red. Una vez que se consigue la vulneración inicial, a menudo se llevan a cabo pasos para reducir la configuración de seguridad de un sistema. Cacls, que es la abreviatura de "cambiar la lista de control de acceso", es la utilidad de la línea de comandos nativa de Microsoft Windows que se usa a menudo para modificar el permiso de seguridad en carpetas y archivos. En muchas ocasiones, los atacantes usan el archivo binario para reducir la configuración de seguridad de un sistema. Para ello, se concede a todos los usuarios acceso completo a algunos de los archivos binarios del sistema, como ftp.exe, net.exe, wscript.exe, etc. El análisis de datos del host en %{Compromised Host} detectó un uso sospechoso de Cacls para reducir la seguridad de un sistema. | - | Media |
| Se detectó un uso sospechoso del modificador -s de FTP. | El análisis de datos de creación de procesos en el host %{Compromised Host} ha detectado el uso del modificador "-s:filename" del FTP. Este modificador se usa para especificar un archivo de script FTP para que lo ejecute el cliente. Se sabe que el malware o los procesos malintencionados usan este conmutador FTP (-s:filename) para apuntar a un archivo de script que está configurado para conectarse a un servidor FTP remoto y descargar archivos binarios malintencionados adicionales. | - | Media |
| Se detectó un uso sospechoso del archivo Pcalua. exe para iniciar código ejecutable. | El análisis de datos del host en %{Compromised Host} detectó el uso del archivo pcalua.exe para iniciar código ejecutable. El archivo Pcalua.exe es un componente del "Asistente para la compatibilidad de programas" de Microsoft Windows que detecta problemas de compatibilidad durante la instalación o la ejecución de un programa. Se sabe que los atacantes usan la funcionalidad de las herramientas del sistema Windows legítimas para realizar acciones malintencionadas, por ejemplo, usan el archivo pcalua.exe con el modificador -a para iniciar archivos ejecutables malintencionados localmente o desde recursos compartidos remotos. | - | Media |
| Se detectó la deshabilitación de servicios críticos. | El análisis de datos del host en %{Compromised Host} detectó la ejecución del comando "net.exe stop" que se usa para detener servicios críticos como SharedAccess o la aplicación Windows Security. La detención de cualquiera de estos servicios puede ser una indicación de un comportamiento malintencionado. | - | Media |
| Se detectó un comportamiento relacionado con la minería de datos de moneda digital. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital. | - | Alto |
| Construcción dinámica del script de PS | El análisis de datos del host en %{Compromised Host} detectó un script de PowerShell que se está construyendo dinámicamente. A veces, los atacantes usan esta técnica para generar progresivamente un script con el fin de eludir los sistemas IDS. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. | - | Media |
| Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa. | El análisis de datos del host detectó un archivo ejecutable en el host %{Compromised Host} que se está ejecutando desde una ubicación comuna de archivos sospechosos conocidos. Este archivo ejecutable podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Alto |
| Comportamiento de ataque sin archivos detectado (VM_FilelessAttackBehavior.Windows) |
La memoria del proceso especificado contiene comportamientos utilizados habitualmente por ataques sin archivos. Entre sus comportamientos específicos se incluyen los siguientes: 1) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software. 2) Conexiones de red activas. Consulte NetworkConnections a continuación para más información. 3) Llamadas de función a interfaces del sistema operativo confidenciales. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia. 4) Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos. |
Evasión defensiva | Bajo |
| Se detectó una técnica de ataque sin archivos (VM_FilelessAttackTechnique.Windows) |
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre sus comportamientos específicos se incluyen los siguientes: 1) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software. 2) Imagen ejecutable insertada en el proceso, como en un ataque por inyección de código. 3) Conexiones de red activas. Consulte NetworkConnections a continuación para más información. 4) Llamadas de función a interfaces del sistema operativo confidenciales. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia. 5) Vaciado de proceso, que es una técnica utilizada por malware en la que se carga un proceso legítimo en el sistema para actuar como contenedor de código hostil. 6) Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos. |
Evasión de defensas, ejecución | Alto |
| Kit de herramientas de ataques sin archivos detectado (VM_FilelessAttackToolkit.Windows) |
La memoria del proceso especificado contiene un kit de herramientas de ataques sin archivos: [nombre del kit de herramientas]. Los kits de herramientas de ataques sin archivos usan técnicas que minimizan o eliminan el rastro de malware en el disco y reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware basadas en disco. Entre sus comportamientos específicos se incluyen los siguientes: 1) Kits de herramientas conocidas y software de minería de datos de cifrado. 2) Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software. 3) Archivo ejecutable malintencionado insertado en la memoria de proceso. |
Evasión de defensas, ejecución | Media |
| Se detectó un software de alto riesgo. | El análisis de datos del host de %{Compromised Host} detectó que anteriormente se ha asociado el uso de software con la instalación de malware. Una técnica común que se emplea en la distribución de software malintencionado consiste en empaquetarlo con otras herramientas benignas, como la que se ha detectado en esta alerta. Al usar estas herramientas, el malware se puede instalar de forma silenciosa en segundo plano. | - | Media |
| Se enumeraron miembros del grupo de administradores locales. | Los registros de la máquina indican una enumeración correcta en el grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. En concreto, el elemento %{Enumerating User Domain Name}%{Enumerating User Name} enumeraba de forma remota los miembros del grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Esta actividad puede ser una actividad legítima o puede indicar que una máquina de la organización se ha puesto en peligro y se ha usado para el reconocimiento de la máquina virtual %{vmname}. | - | Informativo |
| El implante del servidor ZINC creó una regla de firewall malintencionada [Se detectó varias veces]. | Se creó una regla de firewall mediante técnicas que coinciden con un actor conocido, ZINC. Es posible que la regla se usara para abrir un puerto en el host %{Compromised Host} a fin de permitir las comunicaciones del comando y control. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Alto |
| Actividad SQL malintencionada | Los registros de la máquina indican que la cuenta %{user name} ejecutó el proceso "%{process name}". Esta actividad se considera malintencionada. | - | Alto |
| Se consultaron varias cuentas de dominio. | El análisis de datos del host ha determinado que se está realizando una consulta en un número inusual de cuentas de dominio distintas en un breve período desde el host %{Compromised Host}. Este tipo de actividad podría ser legítimo, pero también puede ser una indicación de un riesgo. | - | Media |
| Se detectó un posible volcado de credenciales [Se ha detectado varias veces]. | El análisis de datos del host ha detectado que una herramienta nativa de Windows (por ejemplo, sqldumper.exe) se usa de una manera que permite extraer credenciales de la memoria. A menudo, los atacantes usan estas técnicas para extraer las credenciales que posteriormente usan para el movimiento lateral y la escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Se detectó un posible intento de omitir AppLocker. | El análisis de datos del host en %{Compromised Host} ha detectado un posible intento de omitir las restricciones de AppLocker. AppLocker se puede configurar para implementar una directiva que limite los archivos ejecutables que se pueden ejecutar en un sistema Windows. El patrón de la línea de comandos similar al identificado en esta alerta se ha asociado anteriormente con intentos por parte del atacante de eludir la directiva de AppLocker mediante el uso de archivos ejecutables de confianza (permitidos por la directiva de AppLocker) para ejecutar código que no es de confianza. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Alto |
| Se detectó la ejecución de PsExec. (VM_RunByPsExec) |
El análisis de datos del host indica que la utilidad PsExec ejecutó el proceso %{Process Name}. PsExec se puede usar para ejecutar procesos de forma remota. Esta técnica se puede utilizar con fines malintencionados. | Desplazamiento lateral, ejecución | Informativo |
| Se ejecutó un grupo de servicio SVCHOST inusual. (VM_SvcHostRunInRareServiceGroup) |
Se ha observado que el proceso del sistema SVCHOST se ejecuta en un grupo de servicio poco frecuente. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada. | Evasión de defensas, ejecución | Informativo |
| Se detectó un ataque de teclas especiales. | El análisis de datos del host indica que un atacante puede haber alterado un archivo binario de accesibilidad (por ejemplo, las teclas especiales, el teclado en pantalla o el narrador) para proporcionar una puerta trasera de acceso al host %{Compromised Host}. | - | Media |
| Ataque por fuerza bruta correcto (VM_LoginBruteForceSuccess) |
Se detectaron varios intentos de iniciar sesión procedentes del mismo origen. Algunos se autenticaron correctamente en el host. Esto se parece a un ataque por ráfagas, en el que un atacante realiza numerosos intentos de autenticación para buscar las credenciales de cuenta válidas. |
Explotación | Medio/Alt |
| Nivel de integridad sospechoso que indica un secuestro de RDP | El análisis de datos del host ha detectado que el archivo tscon.exe se ejecuta con privilegios SYSTEM. Esto puede indicar que un atacante utiliza este archivo binario para cambiar el contexto al de cualquier otro usuario que haya iniciado sesión en este host. Se trata de una técnica conocida de los atacantes a fin de comprometer las cuentas de usuario adicionales y moverse lateralmente a través de una red. | - | Media |
| Instalación sospechosa de un servicio | El análisis de datos del host detectó la instalación del archivo tscon.exe como servicio. Este archivo binario iniciado como un servicio puede permitir que un atacante cambie de forma trivial a cualquier otro usuario que haya iniciado sesión en este host mediante el secuestro de conexiones RDP. Se trata de una técnica conocida de los atacantes a fin de comprometer las cuentas de usuario adicionales y moverse lateralmente a través de una red. | - | Media |
| Se observó una sospecha de parámetros de ataque golden ticket de Kerberos. | El análisis de datos del host detecta parámetros de la línea de comandos coherentes con un ataque golden ticket de Kerberos. | - | Media |
| Se detectó la creación de una cuenta sospechosa. | El análisis de datos del host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Suspicious account name}. El nombre de esta cuenta se parece mucho al nombre de un grupo o una cuenta de Windows estándar "%{Similar To Account Name}". Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano. | - | Media |
| Se detectó una actividad sospechosa. (VM_SuspiciousActivity) |
El análisis de datos del host ha detectado una secuencia de uno o más procesos que se ejecutan en %{machine name} y que se han asociado históricamente a una actividad malintencionada. Aunque los comandos individuales pueden parecer benignos, la alerta se califica según una agregación de estos comandos. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. | Ejecución | Media |
| Actividad de autenticación sospechosa (VM_LoginBruteForceValidUserFailed) |
Aunque ninguna de las autenticaciones se completó correctamente, algunas usaban cuentas que el host reconoció. Esto es parecido a un ataque por diccionario, en el que un atacante realiza numerosos intentos de autenticación mediante un diccionario de nombres y contraseñas de cuentas predefinidos a fin de encontrar credenciales válidas para acceder al host. Indica que algunos de los nombres de cuentas de su host pueden existir en un diccionario de nombres de cuentas conocido. | Sondeo | Media |
| Se detectó un segmento de código sospechoso. | Indica que se ha asignado un segmento de código con métodos no estándar, como el vaciado de proceso y la inserción reflexiva. La alerta ofrece características adicionales del segmento de código que se han procesado para proporcionar un contexto para las funcionalidades y los comportamientos del segmento de código notificado. | - | Media |
| Se ejecutó un archivo de extensión doble sospechoso. | El análisis de datos del host indica una ejecución de un proceso con una extensión doble sospechosa. Esta extensión pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y puede indicar la presencia de malware en el sistema. | - | Alto |
| Se detectó una descarga sospechosa mediante CertUtil. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Se detectó una descarga sospechosa mediante CertUtil. | El análisis de datos del host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. | - | Media |
| Se detectó una actividad de PowerShell sospechosa. | El análisis de datos del host detectó un script de PowerShell que se ejecuta en el host %{Compromised Host} que tiene características en común con scripts sospechosos conocidos. Este script podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Alto |
| SE ejecutaron cmdlets de PowerShell sospechosos. | El análisis de datos del host indica la ejecución de cmdlets malintencionados conocidos de PowerSploit de PowerShell. | - | Media |
| Se ejecutó un proceso sospechoso. [Se ha detectado varias veces]. | Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte del atacante de acceder a las credenciales. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Alto |
| Se ejecutó un proceso sospechoso. | Los registros de la máquina indican que el proceso sospechoso "%{Suspicious Process}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte del atacante de acceder a las credenciales. | - | Alto |
| Se ejecutó un proceso con un nombre sospechoso. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de los atacantes o tiene un nombre similar al que usarían los atacantes para las herramientas a fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Se detectó un nombre de proceso sospechoso. | El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de los atacantes o tiene un nombre similar al que usarían los atacantes para las herramientas a fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. | - | Media |
| Ráfaga de terminación de procesos sospechosa (VM_TaskkillBurst) |
El análisis de datos del host indica que se produjo una ráfaga de terminación de procesos sospechosa en %{Machine Name}. En concreto, se eliminaron %{NumberOfCommands} procesos entre %{Begin} y %{Ending}. | Evasión defensiva | Bajo |
| Actividad de SQL sospechosa | Los registros de la máquina indican que la cuenta %{user name} ejecutó el proceso "%{process name}". Esta actividad no es habitual en esta cuenta. | - | Media |
| Se ejecutó el proceso SVCHOST sospechoso. | Se ha observado la ejecución del proceso del sistema SVCHOST en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada. | - | Alto |
| Se ejecutó un proceso del sistema sospechoso. (VM_SystemProcessInAbnormalContext) |
Se observó que la ejecución del proceso del sistema %{process name} en un contexto anómalo. A menudo, el malware usa este nombre de proceso para enmascarar su actividad malintencionada. | Evasión de defensas, ejecución | Alto |
| Actividad de instantánea de volumen sospechosa | El análisis de datos del host ha detectado una actividad de eliminación de instantáneas en el recurso. Instantáneas de volumen (VSC) es un artefacto importante que almacena instantáneas de datos. Cierto malware y, en concreto, el ransomware, dirige el VSC a las estrategias de copia de seguridad de sabotaje. | - | Alto |
| Se detectó un valor de registro de WindowPosition sospechoso. | El análisis de datos del host en %{Compromised Host} detectó un intento de cambio de configuración del registro de WindowPosition, lo que puede indicar que se han intentado ocultar ventanas de la aplicación en secciones no visibles del escritorio. Esto podría indicar una actividad legítima o que una máquina se ha puesto en peligro. Este tipo de actividad se ha asociado previamente con adware conocido (o software no deseado) como Win32/OneSystemCare y Win32/SystemHealer, y malware como Win32/Creprote. Cuando el valor de WindowPosition se establece en 201329664, (hexadecimal: 0x0c00 0c00, correspondiente al eje X = 0c00 y al eje Y = 0c00), la ventana de la aplicación de consola se coloca en una sección que no es visible de la pantalla del usuario de un área que está oculta en la vista de la barra de tareas o el menú Inicio visible. El valor hexadecimal sospechoso conocido incluye c000c000, pero no se limita a este. | - | Bajo |
| Se detectó un proceso con nombre sospechoso. | El análisis de datos del host en %{Compromised Host} detectó un proceso cuyo nombre es muy similar a un proceso de ejecución muy común (%{Similar To Process Name}). Aunque este proceso podría ser benigno, se sabe que los atacantes a veces asignan nombres a sus herramientas malintencionadas para que se parezcan a otros del proceso legítimo y no se puedan detectar a simple vista. | - | Media |
| Restablecimiento de configuración inusual en la máquina virtual (VM_VMAccessUnusualConfigReset) |
Se ha detectado un restablecimiento de configuración inusual en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la configuración de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Se detectó una ejecución de procesos poco frecuente. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso por parte del usuario %{User Name} que es poco habitual. Las cuentas como %{User Name} tienden a realizar un conjunto limitado de operaciones, por lo que se determinó que esta ejecución no es comuna y puede ser sospechosa. | - | Alto |
| Restablecimiento de contraseña de usuario inusual en la máquina virtual (VM_VMAccessUnusualPasswordReset) |
Se ha detectado un restablecimiento de contraseña de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer las credenciales de un usuario local de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Restablecimiento de clave SSH de usuario inusual en la máquina virtual (VM_VMAccessUnusualSSHReset) |
Se ha detectado un restablecimiento de clave SSH de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la clave SSH de una cuenta de usuario de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Se detectó la asignación de un objeto HTTP de VBScript. | Se ha detectado la creación de un archivo VBScript mediante el símbolo del sistema. El siguiente script contiene el comando de asignación de objetos HTTP. Esta acción se puede usar para descargar archivos malintencionados. | ||
| Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar) (VM_GPUDriverExtensionUnusualExecution) |
Se detectó la instalación sospechosa de una extensión de GPU en su máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes pueden utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. | Impacto | Bajo |
Alertas de máquinas Linux
El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Se ha borrado un archivo del historial | El análisis de datos del host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes pueden hacer esto para cubrir sus seguimientos. El usuario "%{user name}" realizó la operación. | - | Media |
| Exclusión amplia de archivos antimalware en la máquina virtual (VM_AmBroadFilesExclusion) |
Se ha detectado una exclusión de archivos de la extensión antimalware con regla de exclusión amplia en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
- | Media |
| Antimalware deshabilitado y ejecución de código en la máquina virtual (VM_AmDisablementAndCodeExecution) |
Antimalware deshabilitado al mismo tiempo que se ejecuta código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
- | Alto |
| Antimalware deshabilitado en la máquina virtual (VM_AmDisablement) |
Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección. |
Evasión defensiva | Media |
| Exclusión de archivos antimalware y ejecución de código en la máquina virtual (VM_AmFileExclusionAndCodeExecution) |
Archivo excluido del escáner antimalware al mismo tiempo que se ha ejecutado código mediante una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
Evasión de defensas, ejecución | Alto |
| Exclusión de archivos antimalware y ejecución de código en la máquina virtual (VM_AmTempFileExclusionAndCodeExecution) |
Se ha detectado una exclusión de archivos temporal de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión de defensas, ejecución | Alto |
| Exclusión de archivos antimalware en la máquina virtual (VM_AmTempFileExclusion) |
Archivo excluido del escáner antimalware de la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada en la máquina virtual (VM_AmRealtimeProtectionDisabled) |
Se ha detectado que se ha deshabilitado la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual (VM_AmTempRealtimeProtectionDisablement) |
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Se ha detectado que se ha deshabilitado temporalmente la protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código mediante una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
- | Alto |
| Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar) (VM_AmMalwareCampaignRelatedExclusion) |
Se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examine determinados archivos que se sospecha que están relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. | Evasión defensiva | Media |
| Antimalware deshabilitado temporalmente en la máquina virtual (VM_AmTemporarilyDisablement) |
Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección. |
- | Media |
| Exclusión de archivos antimalware inusual en la máquina virtual (VM_UnusualAmFileExclusion) |
Se ha detectado una exclusión de archivos inusual de la extensión antimalware en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware. |
Evasión defensiva | Media |
| Se detectó un comportamiento similar al del ransomware. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de archivos que parecen ransomware conocido y que pueden impedir que los usuarios accedan a los archivos del sistema o personales, y exigen el pago de un rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Alto |
| Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas (AzureDNS_ThreatIntelSuspectDomain) |
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. | Acceso inicial, persistencia, ejecución, comando y control, explotación | Media |
| Se ha detectado un contenedor con la imagen de un extractor (VM_MinerInContainerImage) |
Los registros de la máquina indican que se ha ejecutado un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital. | Ejecución | Alto |
| Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. | El análisis de datos del host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres en mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro. | - | Media |
| Se detectó una descarga de archivos desde un origen malintencionado conocido. | El análisis de datos del host ha detectado la descarga de un archivo desde un origen de malware conocido en %{Compromised Host}. | - | Media |
| Se detectó una actividad de red sospechosa. | El análisis del tráfico de red desde el host %{Compromised Host} detectó una actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. | - | Bajo |
| Se detectó un comportamiento relacionado con la minería de datos de moneda digital. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital. | - | Alto |
| Deshabilitación de los registros de auditd [se ha detectado varias veces]. | El sistema de auditoría de Linux proporciona una manera de hacer un seguimiento de información relacionada con la seguridad en el sistema. Registra tanta información como sea posible sobre los eventos que se producen en el sistema. Deshabilitar los registros de auditd puede interrumpir la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Bajo |
| Aprovechamiento de la vulnerabilidad de Xorg [se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden utilizar esta técnica en los intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Error en el ataque por fuerza bruta de SSH (VM_SshBruteForceFailed) |
Se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Attackers}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Accounts used on failed sign in to host attempts}. | Sondeo | Media |
| Se detectó un comportamiento de ataque sin archivos (VM_FilelessAttackBehavior.Linux) |
La memoria del proceso especificado a continuación contiene comportamientos utilizados habitualmente por ataques sin archivos. Los comportamientos específicos incluyen: {list of observed behaviors} |
Ejecución | Bajo |
| Se detectó una técnica de ataque sin archivos (VM_FilelessAttackTechnique.Linux) |
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Los comportamientos específicos incluyen: {list of observed behaviors} |
Ejecución | Alto |
| Se ha detectado un kit de herramientas de ataque sin archivos (VM_FilelessAttackToolkit.Linux) |
La memoria del proceso especificado a continuación contiene un kit de herramientas de ataque sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Los comportamientos específicos incluyen: {list of observed behaviors} |
Evasión de defensas, ejecución | Alto |
| Se detectó una ejecución de archivos oculta. | El análisis de datos del host indica que %{user name} ejecutó un archivo oculto. Esta actividad podría indicar una actividad legítima o que un host se encuentra en peligro. | - | Informativo |
| Se agregó una nueva clave SSH. [Se ha detectado varias veces]. (VM_SshKeyAddition) |
Se agregó una nueva clave SSH al archivo de claves autorizado. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | Persistencia | Bajo |
| Se agregó una nueva clave SSH. | Se agregó una nueva clave SSH al archivo de claves autorizado. | - | Bajo |
| Se detectó una posible puerta trasera. [Se ha detectado varias veces]. | El análisis de datos del host ha detectado la descarga de un archivo sospechoso y su posterior ejecución en el host %{Compromised Host} de su suscripción. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Se ha detectado una posible vulnerabilidad de seguridad del servidor de correo (VM_MailserverExploitation ) |
El análisis de datos de host en %{Compromised Host} ha detectado una ejecución inusual en la cuenta del servidor de correo | Explotación | Media |
| Se detectó un posible shell web malintencionado. | El análisis de datos del host en %{Compromised Host} detectó el uso de un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento. | - | Media |
| Se detectó un posible cambio de contraseña mediante el método de cifrado. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó un cambio de contraseña mediante el método de cifrado. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Se detectó un proceso asociado con la minería de moneda digital. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de un proceso que normalmente se asocia con la minería de moneda digital. Este comportamiento se ha detectado más de 100 veces en la actualidad en las siguientes máquinas: [nombre de la máquina]. | - | Media |
| Se ha detectado un proceso relacionado con la minería de datos de moneda digital | El análisis de datos del host detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de moneda digital. | Vulnerabilidad de seguridad, ejecución | Media |
| Se detectó una aplicación de descarga codificada con Python. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede indicar que se trata de una actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Bajo |
| Captura de pantalla tomada en el host [se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden utilizar estas herramientas para acceder a los datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Bajo |
| Se detectó shellcode. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó que se generó shellcode desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Ataque por fuerza bruta de SSH correcto (VM_SshBruteForceSuccess) |
El análisis de datos del host ha detectado un ataque por fuerza bruta correcto. Se detectó que la IP %{Attacker source IP} realizaba varios intentos de inicio de sesión. Se realizaron inicios de sesión correctos desde esa IP con los siguientes usuarios: %{Accounts used to successfully sign in to host}. Esto significa que es posible que el host se encuentre en peligro y que lo controle un actor malintencionado. | Explotación | Alto |
| Se detectó la creación de una cuenta sospechosa. | El análisis de datos del host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Suspicious account name}. El nombre de esta cuenta se parece mucho al nombre de un grupo o una cuenta de Windows estándar "%{Similar To Account Name}". Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano. | - | Media |
| Se detectó un módulo de kernel sospechoso. [Se ha detectado varias veces]. | El análisis de datos del host en %{Compromised Host} detectó la carga de un archivo objeto compartido como un módulo del kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Media |
| Acceso a contraseñas sospechoso [se ha detectado varias veces]. | El análisis de datos del host ha detectado un acceso sospechoso a las contraseñas de usuario cifradas en el host %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas]. | - | Informativo |
| Acceso a contraseñas sospechoso | El análisis de datos del host ha detectado un acceso sospechoso a las contraseñas de usuario cifradas en el host %{Compromised Host}. | - | Informativo |
| Solicitud sospechosa al panel de Kubernetes (VM_KubernetesDashboard) |
Los registros de la máquina indican que se ha realizado una solicitud sospechosa al panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro. | LateralMovement | Media |
| Restablecimiento de configuración inusual en la máquina virtual (VM_VMAccessUnusualConfigReset) |
Se ha detectado un restablecimiento de configuración inusual en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la configuración de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Restablecimiento de contraseña de usuario inusual en la máquina virtual (VM_VMAccessUnusualPasswordReset) |
Se ha detectado un restablecimiento de contraseña de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer las credenciales de un usuario local de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Restablecimiento de clave SSH de usuario inusual en la máquina virtual (VM_VMAccessUnusualSSHReset) |
Se ha detectado un restablecimiento de clave SSH de usuario en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso de la máquina virtual para restablecer la clave SSH de una cuenta de usuario de la máquina virtual y ponerla en peligro. |
Acceso con credenciales | Media |
| Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar) (VM_GPUDriverExtensionUnusualExecution) |
Se detectó la instalación sospechosa de una extensión de GPU en su máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes pueden utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. | Impacto | Bajo |
Alertas de DNS
Importante
A partir del 1 de agosto, los clientes con una suscripción existente a Defender para DNS pueden seguir usando el servicio, pero los nuevos suscriptores recibirán alertas sobre la actividad DNS sospechosa como parte de Defender para servidores P2.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Uso de protocolo de red anómalo (AzureDNS_ProtocolAnomaly) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un uso de protocolo anómalo. Dicho tráfico, aunque posiblemente benigno, puede indicar un abuso de este protocolo común para omitir el filtrado del tráfico de red. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia. | Exfiltración | - |
| Actividad de red de anonimato (AzureDNS_DarkWeb) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Actividad de red de anonimato mediante proxy web (AzureDNS_DarkWebProxy) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Intento de comunicación con dominio de sinkhole sospechoso (AzureDNS_SinkholedDomain) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una solicitud para un dominio de sinkhole. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. | Exfiltración | Media |
| Comunicación con posible dominio de suplantación de identidad (AzureDNS_PhishingDomain) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una solicitud para un posible dominio de suplantación de identidad. Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para obtener credenciales en servicios remotos. Entre las actividades típicas de los atacantes suele incluirse la explotación de credenciales en el servicio legítimo. | Exfiltración | Bajo |
| Comunicación con un dominio generado por algoritmo sospechoso (AzureDNS_DomainGenerationAlgorithm) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible uso de un algoritmo de generación de dominios. Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas (AzureDNS_ThreatIntelSuspectDomain) |
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. | Acceso inicial | Media |
| Comunicación con un nombre de dominio aleatorio sospechoso (AzureDNS_RandomizedDomain) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un uso de un nombre de dominio generado aleatoriamente sospechoso. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Actividad de minería de datos de moneda digital (AzureDNS_CurrencyMining) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una actividad de minería de datos de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes. | Exfiltración | Bajo |
| Activación de la firma de detección de intrusiones de red (AzureDNS_SuspiciousDomain) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado una firma de red malintencionada conocida. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. | Exfiltración | Media |
| Posible descarga de datos a través de un túnel DNS (AzureDNS_DataInfiltration) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Posible filtración de datos a través de un túnel DNS (AzureDNS_DataExfiltration) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
| Posible transferencia de datos a través de un túnel DNS (AzureDNS_DataObfuscation) |
El análisis de transacciones DNS de %{CompromisedEntity} ha detectado un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota. | Exfiltración | Bajo |
Alertas de extensiones de máquina virtual de Azure
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Error sospechoso al instalar la extensión de GPU en la suscripción (versión preliminar) (VM_GPUExtensionSuspiciousFailure) |
Intención sospechosa de instalar una extensión de GPU en máquinas virtuales no admitidas. Esta extensión debe instalarse en máquinas virtuales equipadas con un procesador gráfico y, en este caso, las máquinas virtuales no están equipadas con este. Estos errores se pueden ver cuando los adversarios malintencionados ejecutan varias instalaciones de dicha extensión con fines criptográficos. | Impacto | Media |
| Se detectó una instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar) (VM_GPUDriverExtensionUnusualExecution) |
Se detectó la instalación sospechosa de una extensión de GPU en su máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes pueden utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales. | Impacto | Bajo |
| Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousScript) |
Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
| Se detectó un uso sospechoso de Ejecutar comando no autorizado en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousFailure) |
Error en el uso sospechoso de Ejecutar comando no autorizado. Se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían intentar usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes. | Ejecución | Media |
| Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual (versión preliminar) (VM_RunCommandSuspiciousUsage) |
Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en las máquinas virtuales mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes. | Ejecución | Bajo |
| Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales (versión preliminar) (VM_SuspiciousMultiExtensionUsage) |
Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden abusar de estas extensiones para la recopilación de datos, la supervisión del tráfico de red, etc., en la suscripción. Este uso se considera sospechoso, ya que normalmente no se ha visto antes. | Reconocimiento | Media |
| Se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales (versión preliminar) (VM_DiskEncryptionSuspiciousUsage) |
Se detectó la instalación sospechosa de extensiones de cifrado de discos en sus máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en su suscripción. Los atacantes pueden abusar de la extensión de cifrado de disco para implementar cifrados de disco completos en las máquinas virtuales a través de Azure Resource Manager en un intento de realizar actividad ransomware. Esta actividad se considera sospechosa, ya que no se ha visto normalmente antes y debido al alto número de instalaciones de extensiones. | Impacto | Media |
| Se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales (versión preliminar) (VM_VMAccessSuspiciousUsage) |
Se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales. Los atacantes pueden abusar de la extensión VMAccess para obtener acceso y poner en peligro las máquinas virtuales con privilegios elevados al restablecer el acceso o administrar usuarios administrativos. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones. | Persistencia | Media |
| Se detectó una extensión Desired State Configuration (DSC) con un script sospechoso en la máquina virtual (versión preliminar) (VM_DSCExtensionSuspiciousScript) |
Se detectó una extensión de Desired State Configuration (DSC) con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
| Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales (versión preliminar) (VM_DSCExtensionSuspiciousUsage) |
Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones. | Ejecución | Bajo |
| Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual (versión preliminar) (VM_CustomScriptExtensionSuspiciousCmd) |
Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión de Script personalizado para ejecutar un código malintencionado con permisos elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas. | Ejecución | Alto |
| Error de ejecución sospechoso de extensión de script personalizado en la máquina virtual (VM_CustomScriptExtensionSuspiciousFailure) |
Se ha detectado un error sospechoso de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Estos errores pueden estar asociados a scripts malintencionados ejecutados por esta extensión. | Ejecución | Media |
| Eliminación inusual de extensión de script personalizado en la máquina virtual (VM_CustomScriptExtensionUnusualDeletion) |
Se ha detectado una eliminación inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager. | Ejecución | Media |
| Ejecución inusual de extensión de script personalizado en la máquina virtual (VM_CustomScriptExtensionUnusualExecution) |
Se ha detectado una ejecución inusual de una extensión de script personalizado en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager. | Ejecución | Media |
| Extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual (VM_CustomScriptExtensionSuspiciousEntryPoint) |
Se ha detectado una extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. El punto de entrada hace referencia a un repositorio de GitHub sospechoso. Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager. | Ejecución | Media |
| Extensión de script personalizado con una carga útil sospechosa en la máquina virtual (VM_CustomScriptExtensionSuspiciousPayload) |
Se ha detectado una extensión de script personalizado con una carga útil de un repositorio de GitHub sospechoso en la máquina virtual al analizar las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar extensiones de script personalizado para ejecutar un código malintencionado en la máquina virtual mediante Azure Resource Manager. | Ejecución | Media |
Alertas de Azure App Service
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Intento de ejecución de comandos de Linux en una instancia de App Service de Windows (AppServices_LinuxCommandOnWindows) |
El análisis de procesos de App Service ha detectado un intento de ejecutar un comando de Linux en una instancia de App Service de Windows. La aplicación web estaba ejecutando esta acción. Este comportamiento se ve a menudo en campañas que aprovechan una vulnerabilidad en una aplicación web común (se aplica a: App Service en Windows) |
- | Media |
| Se ha encontrado en Información sobre amenazas una dirección IP que se ha conectado a la interfaz de FTP de Azure App Service (AppServices_IncomingTiClientIpFtp) |
El registro de FTP de Azure App Service indica una conexión desde una dirección de origen que se ha encontrado en la fuente de inteligencia sobre amenazas. Durante esta conexión, un usuario ha accedido a las páginas que aquí se indican. (se aplica a: App Service en Windows y App Service en Linux) |
Acceso inicial | Media |
| Intento de ejecución de comando con privilegios elevados detectado (AppServices_HighPrivilegeCommand) |
El análisis de procesos de App Service ha detectado un intento de ejecutar un comando que requiere privilegios elevados. El comando se ejecutó en el contexto de la aplicación web. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas. (se aplica a: App Service en Windows) |
- | Media |
| Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas (AzureDNS_ThreatIntelSuspectDomain) |
Se ha detectado la comunicación con un dominio sospechoso mediante el análisis de las transacciones de DNS desde el recurso y la comparación con los dominios malintencionados conocidos identificados por las fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido. | Acceso inicial, persistencia, ejecución, comando y control, explotación | Media |
| Conexión a página web desde una dirección IP anómala detectada (AppServices_AnomalousPageAccess) |
El registro de actividad de Azure App Service indica una conexión anómala a una página web confidencial desde la dirección IP enumerada. Esto podría indicar que alguien está intentando realizar un ataque por fuerza bruta en las páginas de administración de la aplicación web. También puede deberse a que un usuario legítimo esté utilizando una nueva dirección IP. Si la dirección IP de origen es de confianza, puede suprimir de forma segura esta alerta para este recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux) |
Acceso inicial | Bajo |
| Registro de DNS pendiente para un recurso de App Service detectado (AppServices_DanglingDomain) |
Se ha detectado un registro DNS que apunta a un recurso de App Service que se ha eliminado recientemente (también conocido como entrada "DNS pendiente"). Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. (se aplica a: App Service en Windows y App Service en Linux) |
- | Alto |
| Se detectó un archivo ejecutable codificado en los datos de la línea de comandos. (AppServices_Base64EncodedExecutableInCommandLineParams) |
El análisis de datos del host en {Compromised host} ha detectado un archivo ejecutable con codificación Base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. (se aplica a: App Service en Windows) |
Evasión de defensas, ejecución | Alto |
| Se detectó una descarga de archivos desde un origen malintencionado conocido. (AppServices_SuspectDownload) |
El análisis de datos del host ha detectado la descarga de un archivo desde un origen de malware conocido en el host. (se aplica a: App Service en Linux) |
Elevación de privilegios, ejecución, filtración, comando y control | Media |
| Se detectó una descarga de archivos sospechosa. (AppServices_SuspectDownloadArtifacts) |
El análisis de datos del host ha detectado una descarga sospechosa de un archivo remoto. (se aplica a: App Service en Linux) |
Persistencia | Media |
| Se detectó un comportamiento relacionado con la minería de datos de moneda digital. (AppServices_DigitalCurrencyMining) |
El análisis de datos del host en Inn-Flow-WebJobs detectó la ejecución de un proceso o comando que normalmente se asocia con la minería de moneda digital. (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Alto |
| Archivo ejecutable descodificado mediante certutil (AppServices_ExecutableDecodedUsingCertutil) |
El análisis de datos del host en [Entidad en peligro] detectó que certutil.exe, una utilidad de administración integrada, se usaba para descodificar un archivo ejecutable en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows) |
Evasión de defensas, ejecución | Alto |
| Se detectó un comportamiento de ataque sin archivos (AppServices_FilelessAttackBehaviorDetection) |
La memoria del proceso especificado a continuación contiene comportamientos utilizados habitualmente por ataques sin archivos. Los comportamientos específicos incluyen: {list of observed behaviors} (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Media |
| Se detectó una técnica de ataque sin archivos (AppServices_FilelessAttackTechniqueDetection) |
La memoria del proceso especificado a continuación contiene una evidencia de una técnica de ataque sin archivos: Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Los comportamientos específicos incluyen: {list of observed behaviors} (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Alto |
| Se ha detectado un kit de herramientas de ataque sin archivos (AppServices_FilelessAttackToolkitDetection) |
La memoria del proceso especificado a continuación contiene un kit de herramientas de ataque sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Los comportamientos específicos incluyen: {list of observed behaviors} (se aplica a: App Service en Windows y App Service en Linux) |
Evasión de defensas, ejecución | Alto |
| Alerta de prueba de Microsoft Defender for Cloud para App Service (no una amenaza) (AppServices_EICAR) |
Esta es una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional. (se aplica a: App Service en Windows y App Service en Linux) |
- | Alto |
| Exploración de NMap detectada (AppServices_Nmap) |
El registro de actividad de Azure App Service indica una posible actividad de huella digital web en su recurso de App Service. La actividad sospechosa detectada está asociada a NMAP. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux) |
PreAttack | Media |
| Contenido de suplantación de identidad hospedado en Azure Web Apps (AppServices_PhishingContent) |
Dirección URL que se ha usado para el ataque de suplantación de identidad detectado en el sitio web de Azure App Services. Esta dirección URL formaba parte de un ataque de suplantación de identidad enviado a clientes de Microsoft 365. Normalmente, el contenido empuja a los visitantes a introducir sus credenciales corporativas o información financiera en un sitio web de aspecto legítimo. (se aplica a: App Service en Windows y App Service en Linux) |
Colección | Alto |
| Archivo PHP en la carpeta de carga (AppServices_PhpInUploadFolder) |
El registro de actividad de Azure App Service indica que se ha accedido a una página PHP sospechosa ubicada en la carpeta de carga. Este tipo de carpeta no suele contener archivos PHP. La existencia de este tipo de archivo podría indicar un ataque que aprovecha vulnerabilidades de carga de archivos arbitrarias. (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Media |
| Se ha detectado la posible descarga de Cryptocoinminer (AppServices_CryptoCoinMinerDownload) |
El análisis de datos del host ha detectado la descarga de un archivo que normalmente se asocia con la minería de moneda digital. (se aplica a: App Service en Linux) |
Evasión de defensas, comando y control, vulnerabilidades de seguridad | Media |
| Posible filtración de datos detectada (AppServices_DataEgressArtifacts) |
El análisis de datos del host o el dispositivo ha detectado una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. (se aplica a: App Service en Linux) |
Recopilación, filtración | Media |
| Se ha detectado un potencial registro de DNS pendiente para un recurso de App Service detectado (AppServices_PotentialDanglingDomain) |
Se ha detectado un registro DNS que apunta a un recurso de App Service que se ha eliminado recientemente (también conocido como entrada "DNS pendiente"). Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. En este caso, se encontró un registro de texto con el identificador de comprobación de dominio. Estos registros de texto impiden la adquisición de subdominios, pero aun así, se recomienda quitar el dominio pendiente. Si deja el registro de DNS apuntando al subdominio, correrá peligro si cualquiera de su organización elimina el archivo TXT o el registro en el futuro. (se aplica a: App Service en Windows y App Service en Linux) |
- | Bajo |
| Se detectó un posible shell inverso. (AppServices_ReverseShell) |
Un análisis de los datos del host ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. (se aplica a: App Service en Linux) |
Exfiltration, Exploitation | Media |
| Se detectó una descarga de datos sin procesar. (AppServices_DownloadCodeFromWebsite) |
El análisis de los procesos de App Service detectó un intento de descarga de código desde sitios web de datos sin procesar como Pastebin. Esta acción la ejecutó un proceso de PHP. Este comportamiento está asociado a intentos de descargar shells web u otros componentes malintencionados en App Service. (se aplica a: App Service en Windows) |
Ejecución | Media |
| Se detectó el almacenamiento de la salida de cURL en el disco. (AppServices_CurlToDisk) |
El análisis de los procesos de App Service detectó la ejecución de un comando de cURL en el que la salida se guardó en el disco. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows) |
- | Bajo |
| Se detectó un origen de referencia de la carpeta de correo no deseado. (AppServices_SpamReferrer) |
El registro de actividad de Azure App Service indica que se produjo actividad web que se identificó como procedente de un sitio web asociado a la actividad de spam. Esto puede ocurrir si el sitio web está en peligro y se usa para una actividad de spam. (se aplica a: App Service en Windows y App Service en Linux) |
- | Bajo |
| Acceso sospechoso a página web posiblemente vulnerable detectado (AppServices_ScanSensitivePage) |
El registro de actividad de Azure App Service indica que se ha accedido a una página web que parece ser confidencial. Esta actividad sospechosa se ha originado en una dirección IP de origen cuyo patrón de acceso es similar al de un escáner web. Esta actividad suele estar asociada a un intento de un atacante de examinar la red para intentar obtener acceso a páginas web confidenciales o vulnerables. (se aplica a: App Service en Windows y App Service en Linux) |
- | Bajo |
| Referencia de nombre de dominio sospechoso (AppServices_CommandlineSuspectDomain) |
Un análisis de los datos de host detectó una referencia a un nombre de dominio sospechoso. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. (se aplica a: App Service en Linux) |
Exfiltración | Bajo |
| Se detectó una descarga sospechosa mediante CertUtil. (AppServices_DownloadUsingCertutil) |
El análisis de datos del host en {NAME} detectó que certutil.exe, una utilidad de administración integrada, se usaba para la descarga de un archivo binario en lugar de para su finalidad estándar relacionada con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows) |
Ejecución | Media |
| Ejecución de PHP sospechoso detectada (AppServices_SuspectPhp) |
Los registros de la máquina indican que se está ejecutando un proceso PHP sospechoso. La acción incluye un intento de ejecutar comandos del sistema operativo o código PHP desde la línea de comandos mediante el proceso PHP. Aunque este comportamiento puede ser legítimo, en aplicaciones web podría indicar actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Media |
| SE ejecutaron cmdlets de PowerShell sospechosos. (AppServices_PowerShellPowerSploitScriptExecution) |
El análisis de datos del host indica la ejecución de cmdlets malintencionados conocidos de PowerSploit de PowerShell. (se aplica a: App Service en Windows) |
Ejecución | Media |
| Se ejecutó un proceso sospechoso. (AppServices_KnownCredential AccessTools) |
Los registros de la máquina indican que el proceso sospechoso "%{process path}" se estaba ejecutando en la máquina, lo que a menudo se asocia a intentos por parte de un atacante de acceder a las credenciales. (se aplica a: App Service en Windows) |
Acceso con credenciales | Alto |
| Se detectó un nombre de proceso sospechoso. (AppServices_ProcessWithKnownSuspiciousExtension) |
El análisis de datos del host en {NAME} detectó un proceso cuyo nombre es sospechoso, por ejemplo, porque corresponde a una herramienta conocida de ataque o tiene un nombre similar al que usarían los atacantes para las herramientas, con el fin de que no se puedan detectar a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. (se aplica a: App Service en Windows) |
Persistencia, evasión de las defensas | Media |
| Se ejecutó el proceso SVCHOST sospechoso. (AppServices_SVCHostFromInvalidPath) |
Se ha observado la ejecución del proceso del sistema SVCHOST en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada. (se aplica a: App Service en Windows) |
Evasión de defensas, ejecución | Alto |
| Se detectó un agente de usuario sospechoso. (AppServices_UserAgentInjection) |
El registro de actividad de Azure App Service indica que se realizaron solicitudes con un agente de usuario sospechoso. Este comportamiento puede indicar que se realizaron intentos para aprovechar una vulnerabilidad en la aplicación de App Service. (se aplica a: App Service en Windows y App Service en Linux) |
Acceso inicial | Media |
| Invocación de tema de WordPress sospechoso detectada (AppServices_WpThemeInjection) |
El registro de actividad de Azure App Service indica una posible actividad de inyección de código en un recurso de App Service. La actividad sospechosa detectada se parece a la de una manipulación de un tema de WordPress para permitir la ejecución de código en el servidor, seguida de una solicitud web directa para invocar el archivo con el tema manipulado. En el pasado, este tipo de actividad se ha observado como parte de una campaña de ataques a través de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux) |
Ejecución | Alto |
| Se detectó un detector de vulnerabilidades. (AppServices_DrupalScanner) |
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino un sistema de administración de contenido (CMS). Si el recurso de App Service no hospeda un sitio de Drupal, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows) |
PreAttack | Bajo |
| Se detectó un detector de vulnerabilidades. (AppServices_JoomlaScanner) |
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de Joomla. Si el recurso de App Service no hospeda un sitio de Joomla, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux) |
PreAttack | Bajo |
| Se detectó un detector de vulnerabilidades. (AppServices_WpScanner) |
El registro de actividad de Azure App Service indica que es posible que se usara un detector de vulnerabilidades en su recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux) |
PreAttack | Bajo |
| Huella digital web detectada (AppServices_WebFingerprinting) |
El registro de actividad de Azure App Service indica una posible actividad de huella digital web en su recurso de App Service. La actividad sospechosa detectada está asociada con una herramienta llamada Blind Elephant. La herramienta crea una huella digital de servidores web e intenta detectar las aplicaciones instaladas y su versión. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux) |
PreAttack | Media |
| El sitio web se etiqueta como malintencionado en una fuente de inteligencia sobre amenazas (AppServices_SmartScreen) |
El sitio web, tal como se describe a continuación, se marca como un sitio malintencionado mediante Windows SmartScreen. Si cree que se trata de un falso positivo, póngase en contacto con Windows SmartScreen mediante el vínculo de comentarios de informe proporcionado. (se aplica a: App Service en Windows y App Service en Linux) |
Colección | Media |
Alertas para contenedores: clústeres de Kubernetes
Microsoft Defender para contenedores proporciona alertas de seguridad en el nivel de clúster y en los nodos de clúster subyacentes mediante la supervisión del plano de control (servidor de API) y la propia carga de trabajo contenedorizada. Las alertas de seguridad del plano de control se pueden reconocer mediante el prefijo K8S_ del tipo de alerta. Las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres se pueden reconocer mediante el prefijo K8S.NODE_ del tipo de alerta. Las alertas solo se admiten en Linux, a menos que se indique lo contrario.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Servicio de Postgres expuesto con la configuración de autenticación de confianza en Kubernetes detectado (versión preliminar) (K8S_ExposedPostgresTrustAuth) |
El análisis de la configuración del clúster de Kubernetes detectó la exposición de un servicio de Postgres mediante un equilibrador de carga. El servicio se configura con el método de autenticación de confianza, que no requiere credenciales. | InitialAccess | Media |
| Servicio de Postgres expuesto con configuración de riesgo en Kubernetes detectado (versión preliminar) (K8S_ExposedPostgresBroadIPRange) |
El análisis de la configuración del clúster de Kubernetes detectó la exposición de un servicio de Postgres mediante un equilibrador de carga con una configuración de riesgo. Exponer el servicio a un intervalo amplio de direcciones IP supone un riesgo de seguridad. | InitialAccess | Media |
| Intento de creación de un nuevo espacio de nombres de Linux a partir de un contenedor detectado (K8S.NODE_NamespaceCreation) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor del clúster de Kubernetes detectó un intento de creación de un nuevo espacio de nombres de Linux. Aunque este comportamiento podría ser legítimo, es posible que indique que un atacante intenta escapar del contenedor al nodo. Algunas vulnerabilidades CVE-2022-0185 usan esta técnica. | PrivilegeEscalation | Media |
| Se ha borrado un archivo del historial (K8S.NODE_HistoryFileCleared) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se ha borrado el archivo de registro del historial de comandos. Los atacantes pueden hacer esto para ocultar sus huellas. La operación la realizó la cuenta de usuario especificada. | DefenseEvasion | Media |
| Actividad anómala de la identidad administrada asociada a Kubernetes (versión preliminar) (K8S_AbnormalMiActivity) |
El análisis de las operaciones de Azure Resource Manager detectó un comportamiento anómalo de una identidad administrada que usa un complemento de AKS. La actividad detectada no es coherente con el comportamiento del complemento asociado. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la identidad la adquirió un atacante, posiblemente de un contenedor en peligro en el clúster de Kubernetes. | Movimiento lateral | Media |
| Se detectó una operación anómala de la cuenta de servicio de Kubernetes (K8S_ServiceAccountRareOperation) |
El análisis del registro de auditoría de Kubernetes detectó un comportamiento anómalo por parte de una cuenta de servicio en el clúster de Kubernetes. La cuenta de servicio se usó para una operación que no es común para esta cuenta de servicio. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la cuenta de servicio se está utilizando con fines malintencionados. | Desplazamiento lateral, acceso a credenciales | Media |
| Se ha detectado un intento de conexión poco común (K8S.NODE_SuspectConnection) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de conexión poco común mediante un protocolo SOCKS. Esto es muy poco común en operaciones normales, pero es una técnica conocida de los atacantes que intentan omitir las detecciones de nivel de red. | Ejecución, filtración y vulnerabilidad | Media |
| Implementación de pods anómalos (versión preliminar) (K8S_AnomalousPodDeployment) 3 |
El análisis del registro de auditoría de Kubernetes detectó una implementación de pods, lo que es anómalo según la actividad de implementación de pods anterior. Esta actividad se considera una anomalía al tener en cuenta cómo las distintas características que se ven en la operación de implementación se relacionan entre sí. Entre las características supervisadas se incluye el registro de imágenes de contenedor usado, la cuenta que realiza la implementación, el día de la semana, la frecuencia con la que esta cuenta realiza implementaciones de pods, el agente de usuario utilizado en la operación, si se trata de un espacio de nombres en que la implementación de pods se da a menudo y otras características. Las razones que contribuyen a la notificación de esta alerta como actividad anómala se detallan en las propiedades extendidas de la alerta. | Ejecución | Media |
| Acceso anómalo a secretos (versión preliminar) (K8S_AnomalousSecretAccess) 2 |
El análisis del registro de auditoría de Kubernetes detectó una solicitud de acceso secreta que es anómala en función de la actividad de acceso a secretos anterior. Esta actividad se considera una anomalía al tener en cuenta cómo las distintas características que se ven en la operación de acceso a secretos se relacionan entre sí. Las características supervisadas por este análisis incluyen el nombre de usuario usado, el nombre del secreto, el nombre del espacio de nombres, el agente de usuario usado en la operación u otras características. Las razones que contribuyen a la notificación de esta alerta como actividad anómala se detallan en las propiedades extendidas de la alerta. | CredentialAccess | Media |
| Se detectó un intento de detener el servicio apt-daily-upgrade.timer. (K8S.NODE_TimerServiceDisabled) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de detener el servicio apt-daily-upgrade.timer. Se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para sus ataques. Esta actividad también puede producirse si el servicio se actualiza mediante acciones administrativas normales. | DefenseEvasion | Informativo |
| Se ha detectado un comportamiento parecido a los bots comunes de Linux (versión preliminar) (K8S.NODE_CommonBot) |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un proceso asociado normalmente a redes de bots comunes de Linux. | Ejecución, recopilación, comando y control | Media |
| Comando dentro de un contenedor que se ejecuta con privilegios elevados (K8S.NODE_PrivilegedExecutionInContainer) 1 |
Los registros de la máquina indican que se ha ejecutado un comando con privilegios en un contenedor de Docker con privilegios. Un comando con privilegios ha extendido sus privilegios a la máquina host. | PrivilegeEscalation | Bajo |
| Contenedor que se ejecuta en modo con privilegios (K8S.NODE_PrivilegedContainerArtifacts) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un comando de Docker que se está ejecutando un contenedor con privilegios. El contenedor con privilegios tiene acceso completo al pod de hospedaje o al recurso de host. Si se compromete, un atacante puede usar el contenedor con privilegios para acceder a la máquina host. | Elevación de privilegios, ejecución | Bajo |
| Se detectó un contenedor con un volumen confidencial montado. (K8S_SensitiveMount) |
El análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con un volumen confidencial montado. El volumen detectado es del tipo hostPath, que monta una carpeta o un archivo confidenciales del nodo en el contenedor. Si el contenedor se ve en peligro, el atacante puede usar este montaje para obtener acceso al nodo. | Elevación de privilegios | Media |
| Se detectó una modificación de CoreDNS en Kubernetes. (K8S_CoreDnsModification) 23 |
El análisis de registros de auditoría de Kubernetes detectó una modificación de la configuración de CoreDNS. La configuración de CoreDNS se puede modificar mediante la sustitución de su archivo configmap. Aunque esta actividad puede ser legítima, si los atacantes tienen permisos para modificar el archivo configmap, pueden cambiar el comportamiento del servidor DNS del clúster y manipularlo. | Movimiento lateral | Bajo |
| Se ha detectado la creación de una configuración del webhook de admisión. (K8S_AdmissionController) 3 |
El análisis de registros de auditoría de Kubernetes detectó una nueva configuración del webhook de admisión. Kubernetes tiene dos controladores de admisión genéricos integrados: MutatingAdmissionWebhook y ValidatingAdmissionWebhook. El comportamiento de estos controladores de admisión viene determinado por un webhook de admisión que el usuario implementa en el clúster. El uso de estos controladores de admisión puede ser legítimo, sin embargo, los atacantes pueden usar estos webhooks para modificar las solicitudes (en el caso de MutatingAdmissionWebhook) o inspeccionar las solicitudes y obtener información confidencial (en el caso de ValidatingAdmissionWebhook). | Acceso a credenciales, persistencia | Bajo |
| Se detectó una descarga de archivos desde un origen malintencionado conocido. (K8S.NODE_SuspectDownload) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo desde un origen que se usa habitualmente para distribuir malware. | Elevación de privilegios, ejecución, filtración, comando y control | Media |
| Se detectó una descarga de archivos sospechosa. (K8S.NODE_SuspectDownloadArtifacts) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga sospechosa de un archivo remoto. | Persistencia | Bajo |
| Se detectó un uso sospechoso del comando nohup. (K8S.NODE_SuspectNohup) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando nohup. Se han observado atacantes que usan el comando nohup para ejecutar archivos ocultos desde un directorio temporal para permitir que sus archivos ejecutables se ejecuten en segundo plano. No es habitual ver que este comando se ejecute en archivos ocultos ubicados en un directorio temporal. | Persistencia, DefenseEvasion | Media |
| Se detectó un uso sospechoso del comando useradd. (K8S.NODE_SuspectUserAddition) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando useradd. | Persistencia | Media |
| Se detectó un contenedor de minería de datos de moneda digital. (K8S_MaliciousContainerImage) 3 |
El análisis del registro de auditoría de Kubernetes detectó un contenedor que tiene una imagen asociada a una herramienta de minería de monedas digitales. | Ejecución | Alto |
| Se detectó un comportamiento relacionado con la minería de datos de moneda digital. (K8S.NODE_DigitalCurrencyMining) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una ejecución de un proceso o comando asociado normalmente a la minería de moneda digital. | Ejecución | Alto |
| Se ha detectado una operación de creación de Docker en un nodo de Kubernetes. (K8S.NODE_ImageBuildOnNode) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor, o directamente en un nodo de Kubernetes, ha detectado una operación de compilación de una imagen de contenedor en un nodo de Kubernetes. Aunque este comportamiento podría ser legítimo, los atacantes podrían crear sus imágenes malintencionadas localmente para evitar la detección. | DefenseEvasion | Bajo |
| Permisos de rol excesivos asignados en el clúster de Kubernetes (versión preliminar) (K8S_ServiceAcountPermissionAnomaly) 3 |
El análisis de los registros de auditoría de Kubernetes detectó una asignación excesiva de roles de permisos en el clúster. Los permisos enumerados para los roles asignados son poco comunes para la cuenta de servicio específica. Esta detección tiene en cuenta las asignaciones de roles anteriores a la misma cuenta de servicio en los clústeres supervisados por Azure, el volumen por permiso y el impacto del permiso específico. El modelo de detección de anomalías usado para esta alerta tiene en cuenta cómo se usa este permiso en todos los clústeres supervisados por Microsoft Defender for Cloud. | Elevación de privilegios | Bajo |
| Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa (versión preliminar) (K8S.NODE_SuspectExecutablePath) |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un archivo ejecutable que se está ejecutando desde una ubicación asociada a archivos sospechosos conocidos. Este archivo ejecutable puede indicar una actividad legítima o que un host se encuentra en peligro. | Ejecución | Media |
| Panel de Kubeflow expuesto detectado (K8S_ExposedKubeflow) |
El análisis de registros de auditoría de Kubernetes detectó la exposición de la entrada de Istio mediante un equilibrador de carga en un clúster que ejecuta Kubeflow. Esta acción podría exponer el panel de Kubeflow a Internet. Si el panel se expone a Internet, los atacantes pueden acceder a él y ejecutar código o contenedores malintencionados en el clúster. Encontrará más detalles en el siguiente artículo: https://aka.ms/exposedkubeflow-blog | Acceso inicial | Media |
| Se detectó un panel de Kubernetes expuesto. (K8S_ExposedDashboard) |
El análisis del registro de auditoría de Kubernetes detectó la exposición del panel de Kubernetes por un servicio LoadBalancer. Un panel expuesto permite el acceso sin autenticación a la administración del clúster, lo que supone una amenaza para la seguridad. | Acceso inicial | Alto |
| Se detectó el servicio de Kubernetes expuesto (K8S_ExposedService) |
El análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio mediante un equilibrador de carga. Este servicio está relacionado con una aplicación confidencial que permite operaciones de alto impacto en el clúster, como la ejecución de procesos en el nodo o la creación de contenedores. En algunos casos, este servicio no requiere autenticación. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad. | Acceso inicial | Media |
| Se detectó el servicio de Redis expuesto en AKS (K8S_ExposedRedis) |
El análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio de Redis mediante un equilibrador de carga. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad. | Acceso inicial | Bajo |
| Se detectaron indicadores asociados al kit de herramientas de DDOS. (K8S.NODE_KnownLinuxDDoSToolkit) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, abrir puertos y servicios, y tomar el control total del sistema infectado. También se podría tratar de una actividad legítima. | Persistencia, movimiento lateral, ejecución, vulnerabilidad de seguridad | Media |
| Se han detectado solicitudes de la API K8S desde direcciones IP de proxy. (K8S_TI_Proxy) 3 |
El análisis de registros de auditoría de Kubernetes detectó solicitudes de API en el clúster desde una dirección IP que está asociada a servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se consideran como actividades malintencionadas, cuando los atacantes intentan ocultar su dirección IP de origen. | Ejecución | Bajo |
| Se han eliminado eventos de Kubernetes. (K8S_DeleteEvents) 23 |
Defender for Cloud ha detectado que se han eliminado algunos eventos Kubernetes. Los eventos de Kubernetes son objetos de Kubernetes que contienen información sobre los cambios en el clúster. Los atacantes podrían eliminar esos eventos para ocultar sus operaciones en el clúster. | Evasión defensiva | Bajo |
| Se ha detectado la herramienta de pruebas de penetración de Kubernetes. (K8S_PenTestToolsKubeHunter) |
El análisis de registros de auditoría de Kubernetes ha detectado el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de AKS. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados. | Ejecución | Bajo |
| Se detectó una manipulación del firewall del host. (K8S.NODE_FirewallDisabled) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos. | Evasión de defensas, filtración | Media |
| Alerta de prueba de Microsoft Defender for Cloud (no una amenaza). (K8S.NODE_EICAR) 1 |
Esta es una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional. | Ejecución | Alto |
| Se detectó un contenedor nuevo en el espacio de nombres kube-system. (K8S_KubeSystemContainer) 3 |
El análisis del registro de auditoría de Kubernetes detectó un contenedor nuevo en el espacio de nombres kube-system que no está entre los contenedores que se ejecutan normalmente en este espacio de nombres. Los espacios de nombres kube-system no deben contener recursos de usuario. Los atacantes pueden usar este espacio de nombres para ocultar componentes malintencionados. | Persistencia | Bajo |
| Se detectó un nuevo rol con privilegios elevados. (K8S_HighPrivilegesRole) 3 |
El análisis del registro de auditoría de Kubernetes detectó un nuevo rol con privilegios elevados. Un enlace a un rol con privilegios elevados concede al usuario o grupo privilegios elevados en el clúster. Los privilegios innecesarios pueden dar lugar a una elevación de privilegios en el clúster. | Persistencia | Bajo |
| Se detectó una posible herramienta de ataque. (K8S.NODE_KnownLinuxAttackTool) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una invocación sospechosa de herramienta. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan a otros. | Ejecución, recopilación, comando y control, sondeo | Media |
| Possible backdoor detected (Detección de posible puerta trasera) (K8S.NODE_LinuxBackdoorArtifact) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga y ejecución de un archivo sospechoso. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. | Persistencia, evasión de defensas, ejecución, vulnerabilidad de seguridad | Media |
| Posible intento de explotación de una vulnerabilidad de seguridad de la línea de comandos (K8S.NODE_ExploitAttempt) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible intento de explotación de una vulnerabilidad conocida. | Explotación | Media |
| Se detectó una posible herramienta de acceso a credenciales. (K8S.NODE_KnownLinuxCredentialAccessTool) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se estaba ejecutando en el contenedor una herramienta de acceso a credenciales posiblemente conocida, identificada mediante el proceso especificado y el elemento del historial de la línea de comandos. A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales. | CredentialAccess | Media |
| Se ha detectado la posible descarga de Cryptocoinminer (K8S.NODE_CryptoCoinMinerDownload) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo asociado normalmente a la minería de moneda digital. | Evasión de defensas, comando y control, vulnerabilidad de seguridad | Media |
| Posible filtración de datos detectada (K8S.NODE_DataEgressArtifacts) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. | Recopilación, filtración | Media |
| Se detectó una posible actividad de manipulación de registros. (K8S.NODE_SystemLogRemoval) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible eliminación de archivos que realizan el seguimiento de la actividad del usuario durante el transcurso de su operación. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas. | DefenseEvasion | Media |
| Se detectó un posible cambio de contraseña mediante el método de cifrado (K8S.NODE_SuspectPasswordChange) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. | CredentialAccess | Media |
| Posible reenvío de puertos a la dirección IP externa (K8S.NODE_SuspectPortForwarding) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un inicio de reenvío de puertos a una dirección IP externa. | Filtración, comando y control | Media |
| Se detectó un posible shell inverso. (K8S.NODE_ReverseShell) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. | Exfiltration, Exploitation | Media |
| Se detectó un contenedor con privilegios (K8S_PrivilegedContainer) |
El análisis del registro de auditoría de Kubernetes detectó un contenedor nuevo con privilegios. Un contenedor con privilegios tiene acceso a los recursos del nodo y rompe el aislamiento entre contenedores. Si se pone en peligro, un atacante puede usar el contenedor con privilegios para acceder al nodo. | Elevación de privilegios | Bajo |
| Se ha detectado un proceso relacionado con la minería de datos de moneda digital (K8S.NODE_CryptoCoinMinerArtifacts) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor ha detectado la ejecución de un proceso que normalmente se asocia a la minería de moneda digital. | Ejecución, vulnerabilidad de seguridad | Media |
| Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual (K8S.NODE_SshKeyAccess) 1 |
Se ha accedido a un archivo SSH authorized_keys de una manera similar a campañas de malware conocidas. Este acceso podría indicar que un actor está intentando conseguir acceso persistente a una máquina. | Unknown | Bajo |
| Se detectó un enlace de rol al rol de administrador de clústeres. (K8S_ClusterAdminBinding) |
El análisis del registro de auditoría de Kubernetes ha detectado un nuevo enlace al rol de administrador del clúster, lo que proporciona privilegios de administrador. Los privilegios de administrador innecesarios pueden provocar una elevación de privilegios en el clúster. | Persistencia | Bajo |
| Se ha detectado la terminación de un proceso relacionado con la seguridad (K8S.NODE_SuspectProcessTermination) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de finalizar los procesos relacionados con la supervisión de seguridad en el contenedor. A menudo, los atacantes intentarán terminar estos procesos mediante scripts predefinidos después de estar en peligro. | Persistencia | Bajo |
| Se ejecuta un servidor SSH dentro de un contenedor (K8S.NODE_ContainerSSH) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor ha detectado un servidor SSH que se ejecuta dentro del contenedor. | Ejecución | Media |
| Modificación sospechosa de la marca de tiempo de los archivos (K8S.NODE_TimestampTampering) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una modificación sospechosa de la marca de tiempo. Los atacantes suelen copiar las marcas de tiempo de archivos legítimos existentes en nuevas herramientas para evitar la detección de estos archivos recién quitados. | Persistencia, DefenseEvasion | Bajo |
| Solicitud sospechosa a la API de Kubernetes (K8S.NODE_KubernetesAPI) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor indica que se realizó una solicitud sospechosa a la API de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster. | LateralMovement | Media |
| Solicitud sospechosa al panel de Kubernetes (K8S.NODE_KubernetesDashboard) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor indica que se ha realizado una solicitud sospechosa al panel de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster. | LateralMovement | Media |
| Se ha iniciado una posible minería de criptomonedas (K8S.NODE_CryptoCoinMinerExecution) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el inicio de un proceso de un modo asociado normalmente a la minería de moneda digital. | Ejecución | Media |
| Acceso a contraseñas sospechoso (K8S.NODE_SuspectPasswordFileAccess) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento sospechoso de acceder a las contraseñas de usuario cifradas. | Persistencia | Informativo |
| Uso sospechoso de DNS a través de HTTPS (K8S.NODE_SuspiciousDNSOverHttps) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el uso de una llamada de DNS sobre HTTPS de una manera poco habitual. Esta técnica la usan los atacantes para ocultar las llamadas a sitios sospechosos o malintencionados. | Evasión de defensas, filtración | Media |
| Se ha detectado una posible conexión a una ubicación malintencionada. (K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1 |
El análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una conexión a una ubicación que se ha notificado como malintencionada o inusual. Esto es un indicador de que se puede haber producido un riesgo. | InitialAccess | Media |
| Se detectó un posible shell web malintencionado. (K8S.NODE_Webshell) 1 |
El análisis de los procesos que se ejecutan en un contenedor ha detectado un posible shell web. A menudo, los atacantes cargan un shell web en un recurso de proceso que han puesto en peligro para obtener persistencia o para realizar un mayor aprovechamiento. | Persistencia, vulnerabilidad de seguridad | Media |
| La ráfaga de varios comandos de reconocimiento podría indicar la actividad inicial después de un peligro (K8S.NODE_ReconnaissanceArtifactsBurst) 1 |
El análisis de los datos de host o dispositivo detectó que se ejecutaron varios comandos de reconocimiento relacionados con la recopilación de detalles del sistema o del host por parte atacantes tras ponerlos en peligro. | Discovery, Collection | Bajo |
| Actividad de descarga y ejecución sospechosa (K8S.NODE_DownloadAndRunCombo) 1 |
El análisis de los procesos que se ejecutan en un contenedor, o directamente en un nodo de Kubernetes, ha detectado que la descarga y posterior ejecución de un archivo en el mismo comando. Aunque esta técnica no siempre es malintencionada, es muy común que los atacantes la usen para obtener archivos malintencionados de las máquinas víctimas. | Execution, CommandAndControl, Exploitation | Media |
| Actividad de minería de datos de moneda digital (K8S.NODE_CurrencyMining) 1 |
El análisis de transacciones DNS ha detectado una actividad de minería de datos de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes. | Exfiltración | Bajo |
| Se detectó el acceso al archivo kubeconfig kubelet (K8S.NODE_KubeConfigAccess) 1 |
El análisis de los procesos que se ejecutan en un nodo de clúster de Kubernetes detectó acceso al archivo kubeconfig en el host. El archivo kubeconfig, que normalmente usa el proceso de Kubelet, contiene credenciales para el servidor de API del clúster de Kubernetes. El acceso a este archivo suele estar asociado a que los atacantes intenten acceder a esas credenciales o a herramientas de análisis de seguridad que comprueban si se puede acceder al archivo. | CredentialAccess | Media |
| Se detectó acceso al servicio de metadatos en la nube (K8S.NODE_ImdsCall) 1 |
El análisis de los procesos que se ejecutan en un contenedor detectó el acceso al servicio de metadatos en la nube para adquirir el token de identidad. Normalmente, el contenedor no realiza esa operación. Aunque este comportamiento puede ser legítimo, los atacantes pueden usar esta técnica para acceder a los recursos en la nube después de obtener acceso inicial a un contenedor en ejecución. | CredentialAccess | Media |
| Se ha detectado un agente de MITRE Caldera (K8S.NODE_MitreCalderaTools) 1 |
El análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un proceso sospechoso. Esto a menudo se asocia con el agente MITRE 54ndc47, que podría usarse de forma malintencionada para atacar a otras máquinas. | Persistencia, elevación de privilegios, evasión de defensas, acceso a credenciales, detección, movimiento lateral, ejecución, recopilación, filtración, comando y control, sondeo, vulnerabilidad de seguridad | Media |
1: versión preliminar para clústeres que no son de AKS: esta alerta está disponible con carácter general para los clústeres de AKS, pero está en versión preliminar para otros entornos, como Azure Arc, EKS y GKE.
2: Limitaciones de los clústeres de GKE: GKE usa una directiva de auditoría de Kubernetes que no admite todos los tipos de alertas. Como resultado, esta alerta de seguridad, que se basa en eventos de auditoría de Kubernetes, no se admite para los clústeres de GKE.
3: esta alerta la admiten los nodos o contenedores de Windows.
Alertas de SQL Database y Azure Synapse Analytics
| Alerta | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Una posible vulnerabilidad a la inyección de código SQL (SQL.DB_VulnerabilityToSqlInjection SQL.VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL.DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
Una aplicación ha generado una instrucción SQL errónea en la base de datos. Esto puede indicar una posible vulnerabilidad ante ataques por inyección de código SQL. Hay dos razones posibles para una instrucción errónea. Es posible que haya un defecto en el código de la aplicación que esté creando la instrucción SQL errónea. O bien, el código de la aplicación o los procedimientos almacenados no corrigen los datos que proporciona el usuario al construir la instrucción SQL errónea, lo que se puede aprovechar para ataques por inyección de código SQL. | PreAttack | Media |
| Intento de inicio de sesión desde una aplicación potencialmente dañina (SQL.DB_HarmfulApplication SQL.VM_HarmfulApplication SQL.MI_HarmfulApplication SQL.DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
Una aplicación potencialmente dañina intentó acceder al recurso. | PreAttack | Alto |
| Inicio de sesión desde un centro de datos de Azure inusual (SQL.DB_DataCenterAnomaly SQL.VM_DataCenterAnomaly SQL.DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
Se ha producido un cambio en el patrón de acceso a SQL Server por el que alguien ha iniciado sesión en el servidor desde un centro de datos de Azure inusual. En algunos casos, la alerta detecta que se trata de una acción legítima (una nueva aplicación o un servicio de Azure). En otros casos, la alerta detecta que la acción es malintencionada (el atacante realizó la acción desde un recurso vulnerado de Azure). | Sondeo | Bajo |
| Inicio de sesión desde una ubicación inusual (SQL.DB_GeoAnomaly SQL.VM_GeoAnomaly SQL.DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
Se ha producido un cambio en el patrón de acceso a SQL Server por el que alguien ha iniciado sesión en el servidor desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador). En otros casos, la alerta detecta una acción malintencionada (un antiguo empleado o un atacante externo). | Explotación | Media |
| Inicio de sesión de un usuario principal que no se ha visto en 60 días (SQL.DB_PrincipalAnomaly SQL.VM_PrincipalAnomaly SQL.DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
Un usuario principal que no se ha visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. | Explotación | Media |
| Inicio de sesión desde un dominio no visto en 60 días (SQL.DB_DomainAnomaly SQL.VM_DomainAnomaly SQL.DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly) |
Un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. | Explotación | Media |
| Inicio de sesión desde una dirección IP sospechosa (SQL.DB_SuspiciousIpAnomaly SQL.VM_SuspiciousIpAnomaly SQL.DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
Se ha accedido correctamente al recurso desde una dirección IP que la inteligencia sobre amenazas de Microsoft ha asociado con actividad sospechosa. | PreAttack | Media |
| Posible ataque por inyección de código SQL (SQL.DB_PotentialSqlInjection SQL.VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL.DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
Se ha producido una vulnerabilidad de la seguridad activa contra una aplicación identificada como vulnerable a la inyección de SQL. Esto significa que un atacante está intentando inyectar instrucciones SQL malintencionadas mediante el código de la aplicación vulnerable o procedimientos almacenados. | PreAttack | Alto |
| Posible ataque por fuerza bruta mediante un usuario válido (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión. | PreAttack | Alto |
| Sospecha de ataque por fuerza bruta (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Se ha detectado un posible ataque por fuerza bruta en el recurso. | PreAttack | Alto |
| Sospecha de ataque por fuerza bruta con éxito (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Un inicio de sesión con éxito se ha producido después de un aparente ataque por fuerza bruta en el recurso. | PreAttack | Alto |
| SQL Server potencialmente generó un shell de comandos de Windows y accedió a un origen externo anómalo. (SQL.DB_ShellExternalSourceAnomaly SQL.VM_ShellExternalSourceAnomaly SQL.DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
Una instrucción SQL sospechosa genera potencialmente un shell de comandos de Windows con un origen externo que no se ha visto antes. La ejecución de un shell que accede a un origen externo es un método que usan los atacantes para descargar la carga malintencionada y, a continuación, ejecutarlo en el equipo y ponerlo en peligro. Esto permite a un atacante realizar tareas malintencionadas en dirección remota. Como alternativa, el acceso a un origen externo se puede usar para filtrar datos a un destino externo. | Ejecución | Alto |
| La carga inusual con piezas ofuscadas ha sido iniciada por SQL Server (SQL.VM_PotentialSqlInjection) |
Alguien ha iniciado una nueva carga usando la capa en SQL Server que se comunica con el sistema operativo mientras oculta el comando en la consulta SQL. Los atacantes suelen ocultar comandos impactantes que se supervisan popularmente como xp_cmdshell, sp_add_job y otros. Las técnicas de ofuscación abusan de comandos legítimos como la concatenación de cadenas, la conversión, el cambio base y otros, para evitar la detección de expresiones regulares y dañar la legibilidad de los registros. | Ejecución | Alto |
Alertas para bases de datos relacionales de código abierto
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Posible ataque por fuerza bruta mediante un usuario válido (SQL.PostgreSQL_BruteForce SQL.MariaDB_BruteForce SQL.MySQL_BruteForce) |
Se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión. | PreAttack | Alto |
| Sospecha de ataque por fuerza bruta con éxito (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce) |
Un inicio de sesión con éxito se ha producido después de un aparente ataque por fuerza bruta en el recurso. | PreAttack | Alto |
| Sospecha de ataque por fuerza bruta (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce) |
Se ha detectado un posible ataque por fuerza bruta en el recurso. | PreAttack | Alto |
| Intento de inicio de sesión desde una aplicación potencialmente dañina (SQL.PostgreSQL_HarmfulApplication SQL.MariaDB_HarmfulApplication SQL.MySQL_HarmfulApplication) |
Una aplicación potencialmente dañina intentó acceder al recurso. | PreAttack | Alto |
| Inicio de sesión de un usuario principal que no se ha visto en 60 días (SQL.PostgreSQL_PrincipalAnomaly SQL.MariaDB_PrincipalAnomaly SQL.MySQL_PrincipalAnomaly) |
Un usuario principal que no se ha visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. | Explotación | Media |
| Inicio de sesión desde un dominio no visto en 60 días (SQL.MariaDB_DomainAnomaly SQL.PostgreSQL_DomainAnomaly SQL.MySQL_DomainAnomaly) |
Un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos. | Explotación | Media |
| Inicio de sesión desde un centro de datos de Azure inusual (SQL.PostgreSQL_DataCenterAnomaly SQL.MariaDB_DataCenterAnomaly SQL.MySQL_DataCenterAnomaly) |
Alguien ha iniciado sesión en el recurso desde un centro de datos de Azure inusual. | Sondeo | Bajo |
| Inicio de sesión desde un proveedor de nube inusual (SQL.PostgreSQL_CloudProviderAnomaly SQL.MariaDB_CloudProviderAnomaly SQL.MySQL_CloudProviderAnomaly) |
Alguien ha iniciado sesión en el recurso desde un proveedor de nube que no se ha visto en los últimos 60 días. Es rápido y fácil que los agentes de amenazas obtengan potencia de proceso descartable para utilizarla en sus campañas. Si este es el comportamiento esperado causado por la reciente adopción de un nuevo proveedor de nube, Defender for Cloud aprenderá con el tiempo e intentará evitar futuros falsos positivos. | Explotación | Media |
| Inicio de sesión desde una ubicación inusual (SQL.MariaDB_GeoAnomaly SQL.PostgreSQL_GeoAnomaly SQL.MySQL_GeoAnomaly) |
Alguien ha iniciado sesión en el recurso desde un centro de datos de Azure inusual. | Explotación | Media |
| Inicio de sesión desde una dirección IP sospechosa (SQL.PostgreSQL_SuspiciousIpAnomaly SQL.MariaDB_SuspiciousIpAnomaly SQL.MySQL_SuspiciousIpAnomaly) |
Se ha accedido correctamente al recurso desde una dirección IP que la inteligencia sobre amenazas de Microsoft ha asociado con actividad sospechosa. | PreAttack | Media |
Alertas para Resource Manager
Nota
Las alertas con una indicación de acceso delegado se desencadenan debido a la actividad de proveedores de servicios de terceros. obtenga más información sobre las indicaciones de actividad de los proveedores de servicios.
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Operación de Azure Resource Manager desde una dirección IP sospechosa (ARM_OperationFromSuspiciousIP) |
Microsoft Defender para Resource Manager detectó una operación desde una dirección IP que se ha marcado como sospechosa en fuentes de inteligencia sobre amenazas. | Ejecución | Media |
| Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender para Resource Manager ha detectado una operación de administración de recursos desde una dirección IP asociada a servicios de proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen. | Evasión defensiva | Media |
| Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones (ARM_MicroBurst.AzDomainInfo) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | - | Bajo |
| Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones (ARM_MicroBurst.AzureDomainInfo) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | - | Bajo |
| Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual (ARM_MicroBurst.AzVMBulkCMD) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecución de código en una máquina virtual o una lista de máquinas virtuales. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar un script en una máquina virtual para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | Ejecución | Alto |
| Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual (RM_MicroBurst.AzureRmVMBulkCMD) |
El kit de herramientas de explotación MicroBurst se ha usado para ejecutar código en las máquinas virtuales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Kit de herramientas de explotación MicroBurst usado para extraer claves de los almacenes de claves de Azure (ARM_MicroBurst.AzKeyVaultKeysREST) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer claves de una o varias instancias de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | - | Alto |
| Kit de herramientas de explotación MicroBurst usado para extraer claves de las cuentas de almacenamiento (ARM_MicroBurst.AZStorageKeysREST) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extracción de claves en las cuentas de almacenamiento. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales en las cuentas de almacenamiento. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | Colección | Alto |
| Kit de herramientas de explotación MicroBurst usado para extraer secretos de los almacenes de claves de Azure (ARM_MicroBurst.AzKeyVaultSecretsREST) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer secretos de una o varias instancias de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar secretos y usarlos para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | - | Alto |
| Kit de herramientas de explotación PowerZure usado para elevar los privilegios de acceso de Azure AD a Azure (ARM_PowerZure.AzureElevatedPrivileges) |
El kit de herramientas de explotación PowerZure se ha usado para elevar los privilegios de acceso de Azure AD a Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su inquilino. | - | Alto |
| Kit de herramientas de explotación PowerZure usado para enumerar recursos (ARM_PowerZure.GetAzureTargets) |
El kit de herramientas de explotación PowerZure se ha usado para enumerar recursos en nombre de una cuenta de usuario legítima de su organización. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | Colección | Alto |
| Kit de herramientas de explotación PowerZure usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento (ARM_PowerZure.ShowStorageContent) |
El kit de herramientas de explotación PowerZure se ha usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Kit de herramientas de explotación PowerZure usado para ejecutar un runbook en su suscripción (ARM_PowerZure.StartRunbook) |
El kit de herramientas de explotación PowerZure se ha usado para ejecutar un runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Kit de herramientas de explotación PowerZure usado para extraer el contenido de runbooks (ARM_PowerZure.AzureRunbookContent) |
El kit de herramientas de explotación PowerZure se ha usado para extraer el contenido de runbooks. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | Colección | Alto |
| VERSIÓN PRELIMINAR: se detectó la ejecución del kit de herramientas de Azurite. (ARM_Azurite) |
Se ha detectado la ejecución de un conocido kit de herramientas de reconocimiento de entornos de nube en su entorno. Un atacante (o evaluador de penetración) puede usar la herramienta Azurite para asignar recursos de sus suscripciones e identificar configuraciones poco seguras. | Colección | Alto |
| VERSIÓN PRELIMINAR: se detectó la creación sospechosa de recursos de proceso (ARM_SuspiciousComputeCreation) |
Microsoft Defender para Resource Manager identificó la creación sospechosa de recursos de proceso en la suscripción mediante Virtual Machines o el conjunto de escalado de Azure. Las operaciones identificadas están diseñadas para permitir que los administradores gestionen los entornos de manera eficaz mediante la implementación de nuevos recursos cuando sea necesario. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para efectuar criptominería. La actividad se considera sospechosa, ya que la escala de recursos de proceso es superior a la observada anteriormente en la suscripción. Esto puede indicar que la entidad de seguridad está en peligro y se está utilizando de manera malintencionada. |
Impacto | Media |
| VERSIÓN PRELIMINAR: se detectó una recuperación sospechosa del almacén de claves (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender for Resource Manager detectó una operación de recuperación sospechosa de un recurso de almacén de claves eliminado temporalmente. El usuario que recupera el recurso no es el que lo eliminó. Esto es muy sospechoso, ya que el usuario casi nunca invoca dicha operación. Además, el usuario ha iniciado sesión sin autenticación multifactor (MFA), lo que puede indicar que el usuario corre peligro y está intentando detectar secretos y claves para obtener acceso a recursos confidenciales, o bien realizar un movimiento lateral a través de la red. |
Desplazamiento lateral | Medio y alto |
| VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva. (ARM_UnusedAccountPersistence) |
El análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante. | Persistencia | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.CredentialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Acceso de credencial | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "recopilación de datos" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.Collection) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para recopilar datos confidenciales sobre los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Colección | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "evasión de defensa" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.DefenseEvasion) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de evadir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para evitar que lo detecten mientras pone en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Evasión defensiva | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "ejecución" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.Execution) |
Microsoft Defender para Resource Manager identificó en una máquina de su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Ejecución de defensa | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "impacto" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.Impact) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de modificar la configuración. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Impacto | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso inicial" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.InitialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a los recursos restringidos en el entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Acceso inicial | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso de desplazamiento lateral" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.LateralMovement) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de realizar un desplazamiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Desplazamiento lateral | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "persistencia" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.Persistence) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de establecer persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para establecer persistencia en el entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Persistencia | Media |
| VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo por parte de una entidad de servicio detectada (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de elevar los privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para elevar los privilegios mientras pone en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada. | Escalación de privilegios | Media |
| VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva. (ARM_UnusedAccountPersistence) |
El análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante. | Persistencia | Media |
| VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa PowerShell. (ARM_UnusedAppPowershellPersistence) |
El análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no usa con frecuencia PowerShell para administrar el entorno de suscripción ahora usa PowerShell y realiza acciones que pueden garantizar la persistencia de un atacante. | Persistencia | Media |
| VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa Azure Portal. (ARM_UnusedAppIbizaPersistence) |
El análisis de registros de actividad de la suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que normalmente no usa Azure Portal (Ibiza) para administrar el entorno de la suscripción (no ha usado Azure Portal para la administración durante los últimos 45 días, ni una suscripción que administra de manera activa), ahora usa Azure Portal y realiza acciones que pueden garantizar la persistencia de un atacante. | Persistencia | Media |
| Rol personalizado con privilegios creado para la suscripción de forma sospechosa (versión preliminar) (ARM_PrivilegedRoleDefinitionCreation) |
Microsoft Defender para Resource Manager detectó una creación sospechosa de la definición de roles personalizados con privilegios en la suscripción. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de la organización y que el actor de la amenaza intenta crear un rol con privilegios para usarlo en el futuro para eludir la detección. | Elevación de privilegios, evasión de defensas | Bajo |
| Se detectó una asignación de roles de Azure sospechosa (versión preliminar) (ARM_AnomalousRBACRoleAssignment) |
Microsoft Defender para Resource Manager identificó una asignación de roles de Azure sospechosa o que se realizó mediante PIM (Privileged Identity Management) en el inquilino, lo que puede indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para que los administradores concedan a las entidades de seguridad acceso a los recursos de Azure. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar la asignación de roles para escalar sus permisos y así avanzar en su ataque. | Desplazamiento lateral, evasión de las defensas | Bajo (PIM) / Alto |
| Se detectó la invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Acceso con credenciales | Media |
| Se detectó la invocación sospechosa de una operación de "colección de datos" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Collection) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para recopilar datos confidenciales sobre los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Colección | Media |
| Se detectó la invocación sospechosa de una operación de "evasión defensiva" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de evadir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para evitar que lo detecten mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Evasión defensiva | Media |
| Se detectó la invocación sospechosa de una operación de "ejecución" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Execution) |
Microsoft Defender para Resource Manager identificó en una máquina de su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Ejecución | Media |
| Se detectó la invocación sospechosa de una operación de "impacto" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Impact) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de modificar la configuración. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Impacto | Media |
| Se detectó la invocación sospechosa de una operación de "acceso inicial" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de acceder a recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a los recursos restringidos en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Acceso inicial | Media |
| Se detectó la invocación sospechosa de una operación de "desplazamiento lateral" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de realizar un desplazamiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Movimiento lateral | Media |
| Operación de acceso elevado sospechosa (versión preliminar)(ARM_AnomalousElevateAccess) | Microsoft Defender para Resource Manager identificó una operación sospechosa de "Elevar acceso". La actividad se considera sospechosa, ya que esta entidad de seguridad rara vez invoca dichas operaciones. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar una operación "Elevar acceso" para realizar la elevación de privilegios para un usuario en peligro. | Elevación de privilegios | Media |
| Se detectó la invocación sospechosa de una operación de "persistencia" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de establecer persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para establecer persistencia en el entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Persistencia | Media |
| Se detectó la invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo (versión preliminar) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender para Resource Manager identificó en su suscripción la invocación sospechosa de una operación de alto riesgo que podría indicar un intento de elevar los privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para elevar los privilegios mientras pone en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada. | Elevación de privilegios | Media |
| Uso del kit de herramientas de explotación MicroBurst para ejecutar un código arbitrario o extraer credenciales de usuario de Azure Automation (ARM_MicroBurst.RunCodeOnBehalf) |
Se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar un código arbitrario o filtrar credenciales de cuenta de Azure Automation. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar código arbitrario para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas. | Persistencia, acceso a credenciales | Alto |
| Uso de técnicas de NetSPI para mantener la persistencia en el entorno de Azure (ARM_NetSPI.MaintainPersistence) |
Uso de la técnica de persistencia de NetSPI para crear una puerta trasera de webhook y mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Uso del kit de herramientas de explotación PowerZure para ejecutar un código arbitrario o extraer credenciales de cuenta de Azure Automation (ARM_PowerZure.RunCodeOnBehalf) |
Se ha detectado que el kit de herramientas de explotación PowerZure ha intentado ejecutar código o extraer credenciales de usuario de Azure Automation. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Uso de la función PowerZure para mantener la persistencia en el entorno de Azure (ARM_PowerZure.MaintainPersistence) |
Se ha detectado que el kit de herramientas de explotación PowerZure ha creado una puerta trasera de webhook para mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. | - | Alto |
| Se detectó una asignación de roles clásica sospechosa (versión preliminar) (ARM_AnomalousClassicRoleAssignment) |
Microsoft Defender para Resource Manager identificó una asignación de roles clásica sospechosa en el inquilino, lo que puede indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para proporcionar compatibilidad con versiones anteriores con roles clásicos que ya no suelen usarse. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar dicha asignación para conceder permisos a otra cuenta de usuario bajo su control. | Desplazamiento lateral, evasión de las defensas | Alto |
Alertas de Azure Storage
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Acceso desde una aplicación sospechosa (Storage.Blob_SuspiciousApp) |
Indica que una aplicación sospechosa ha accedido correctamente a un contenedor de una cuenta de almacenamiento con autenticación. Esto puede indicar que un atacante ha obtenido las credenciales necesarias para acceder a la cuenta y está aprovechando sus vulnerabilidades de seguridad. Esto también podría ser una indicación de una prueba de penetración realizada en su organización. Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Acceso inicial | Alto/Medio |
| Acceso desde una dirección IP sospechosa (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
Indica que se ha accedido correctamente a esta cuenta de almacenamiento desde una dirección IP que se considera sospechosa. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Ataque previo | Alto/Medio/Bajo |
| Contenido de suplantación de identidad (phishing) hospedado en una cuenta de almacenamiento (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
Una dirección URL que se usa en un ataque de suplantación de identidad (phishing) apunta a su cuenta de Azure Storage. Esta dirección URL formaba parte de un ataque de suplantación de identidad que afectaba a los usuarios de Microsoft 365. Normalmente, el contenido hospedado en esas páginas está diseñado para engañar a los visitantes para que escriban sus credenciales corporativas o información financiera en un formulario web que parece legítimo. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files |
Colección | Alto |
| La cuenta de almacenamiento se ha identificado como un origen para la distribución de malware. (Storage.Files_WidespreadeAm) |
Las alertas antimalware indican que hay archivos infectados almacenados en un recurso compartido de archivos de Azure que está montado en varias máquinas virtuales. Si los atacantes obtienen acceso a una máquina virtual con un recurso compartido de archivos de Azure montado, pueden usarlo para propagar malware a otras máquinas virtuales que monten el mismo recurso compartido. Se aplica a: Azure Files |
Ejecución | Media |
| Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento potencialmente confidencial para permitir el acceso público no autenticado (Storage.Blob_OpenACL) |
La alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que puede contener datos confidenciales, al nivel "Contenedor", para permitir el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. Basándose en un análisis estadístico, el contenedor de blob se marca como posible contenedor de datos confidenciales. Este análisis sugiere que los contenedores de blobs o las cuentas de almacenamiento con nombres similares no suelen estar expuestos al acceso público. Se aplica a: cuentas de almacenamiento de blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium). |
Colección | Media |
| Acceso autenticado desde un nodo de salida de Tor (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
Se ha accedido correctamente a uno o varios contenedores de almacenamiento o recursos compartidos de archivos de la cuenta de almacenamiento desde una dirección IP conocida por ser un nodo de salida activo de Tor (un proxy anónimo). Los actores de amenazas usan Tor para dificultar el seguimiento de la actividad. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Acceso inicial/Ataque previo | Alto/Medio |
| Acceso desde una ubicación inusual a una cuenta de almacenamiento (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Indica que se ha producido un cambio en el patrón de acceso a una cuenta de Azure Storage. Alguien accedió a esta cuenta desde una dirección IP que se considera desconocida en comparación con la actividad reciente. Un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual. Un ejemplo de esto último es el mantenimiento remoto desde una nueva aplicación o desarrollador. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Acceso inicial | Alto/Medio/Bajo |
| Acceso no autenticado inusual a un contenedor de almacenamiento (Storage.Blob_AnonymousAccessAnomaly) |
Se ha accedido a esta cuenta de almacenamiento sin autenticación, lo que es un cambio en el patrón de acceso común. El acceso de lectura a este contenedor normalmente se autentica. Esto podría indicar que un actor de amenazas ha podido aprovechar el acceso de lectura público a los contenedores de almacenamiento de esta cuenta de almacenamiento. Se aplica a: Azure Blob Storage |
Acceso inicial | Alta/baja |
| Posible malware cargado en una cuenta de almacenamiento (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
Indica que un blob que contiene malware potencial se ha cargado en un contenedor de blobs o un recurso compartido de archivos de una cuenta de almacenamiento. Esta alerta se basa en el análisis de reputación de hash que aprovecha la eficacia de la inteligencia sobre amenazas de Microsoft, que incluye los valores hash de virus, troyanos, spyware y ransomware. Entre las posibles causas de ello, se pueden incluir una carga intencional del malware por parte de un atacante o una carga involuntaria de un blob potencialmente malintencionado por parte de un usuario legítimo. Se aplica a: Azure Blob Storage, Azure Files (solo para transacciones a través de la API de REST) Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. |
Movimiento lateral | Alto |
| Contenedores de almacenamiento accesibles públicamente detectados correctamente (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
En la última hora, se ha realizado una detección correcta de contenedores de almacenamiento abiertos públicamente en la cuenta de almacenamiento mediante un script o herramienta de análisis. Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial. El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Colección | Alto/Medio |
| Intentos fallidos de búsqueda en contenedores de almacenamiento públicamente accesibles (Storage.Blob_OpenContainersScanning.FailedAttempt) |
En la última hora se han realizado una serie de intentos fallidos de búsqueda en contenedores de almacenamiento abiertos públicamente. Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial. El actor de amenazas puede usar su propio script o usar herramientas de búsqueda conocidas como Microburst para buscar en contenedores abiertos públicamente. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Colección | Alta/baja |
| Inspección de acceso inusual en una cuenta de almacenamiento (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
Indica que los permisos de acceso de una cuenta de almacenamiento se han inspeccionado de un modo no habitual, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files |
Detección | Alto/Medio |
| Cantidad inusual de datos extraídos de una cuenta de almacenamiento (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
Indica que se ha extraído una cantidad de datos inusualmente grande en comparación con la actividad reciente en este contenedor de almacenamiento. Una causa posible es que un atacante haya extraído una gran cantidad de datos de un contenedor que incluye almacenamiento en blobs. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltración | Alta/baja |
| Acceso de una aplicación inusual a una cuenta de almacenamiento (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
Indica que una aplicación inusual ha accedido a esta cuenta de almacenamiento. Una posible causa es que un atacante ha accedido a la cuenta de almacenamiento mediante el uso de una aplicación nueva. Se aplica a: Azure Blob Storage, Azure Files |
Ejecución | Alto/Medio |
| Exploración de datos inusual en una cuenta de almacenamiento (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
Indica que los blobs o los contenedores de una cuenta de almacenamiento se han enumerado de un modo anómalo, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files |
Ejecución | Alto/Medio |
| Eliminación inusual en una cuenta de almacenamiento (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
Indica que se han producido una o varias operaciones de eliminación inesperadas en una cuenta de almacenamiento, en comparación con la actividad reciente en la cuenta. Una posible causa es que un atacante haya eliminado datos de la cuenta de almacenamiento. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltración | Alto/Medio |
| Acceso público no autenticado inusual a un contenedor de blobs confidencial (versión preliminar) Storage.Blob_AnonymousAccessAnomaly.Sensitive |
La alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento sin autenticación, mediante una dirección IP externa (pública). Este acceso es sospechoso, ya que el contenedor de blobs está abierto al acceso público y normalmente solo se accede a él con autenticación desde redes internas (direcciones IP privadas). Este acceso podría indicar que el nivel de acceso del contenedor de blobs está mal configurado y que un actor malintencionado puede haber vulnerado el acceso público. La alerta de seguridad incluye el contexto de información confidencial detectado (tiempo de examen, etiqueta de clasificación, tipos de información y tipos de archivo). Obtenga más información sobre la detección de amenazas de datos confidenciales. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Acceso inicial | Alto |
| Cantidad inusual de datos extraídos de un contenedor de blobs confidenciales (versión preliminar) Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive |
La alerta indica que alguien ha extraído un número inusualmente grande de blobs de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Exfiltración | Media |
| Cantidad inusual de número de blobs extraídos de un contenedor de blobs confidenciales (versión preliminar) Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive |
La alerta indica que alguien ha extraído una cantidad inusualmente grande de datos de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Exfiltración | |
| Acceso desde una aplicación sospechosa conocida a un contenedor de blobs confidencial (versión preliminar) Storage.Blob_SuspiciousApp.Sensitive |
La alerta indica que alguien con una aplicación sospechosa conocida accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento y realizó operaciones autenticadas. El acceso puede indicar que un actor de amenazas obtuvo credenciales para acceder a la cuenta de almacenamiento mediante una aplicación sospechosa conocida. Sin embargo, el acceso también podría indicar una prueba de penetración realizada en la organización. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Acceso inicial | Alto |
| Acceso desde una dirección IP sospechosa conocida a un contenedor de blobs confidencial (versión preliminar) Storage.Blob_SuspiciousIp.Sensitive |
La alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento desde una dirección IP sospechosa conocida asociada a la inteligencia sobre amenazas de Microsoft Threat Intelligence. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Ataque previo | Alto |
| Acceso desde un nodo de salida de Tor a un contenedor de blobs confidencial (versión preliminar) Storage.Blob_TorAnomaly.Sensitive |
La alerta indica que alguien con una dirección IP conocida como un nodo de salida de Tor accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con acceso autenticado. El acceso autenticado desde un nodo de salida de Tor indica fuertemente que el actor está intentando permanecer anónimo para una posible intención malintencionada. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Ataque previo | Alto |
| Acceso desde una ubicación inusual a un contenedor de blobs confidencial (versión preliminar) Storage.Blob_GeoAnomaly.Sensitive |
La alerta indica que alguien ha accedido al contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con autenticación desde una ubicación inusual. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Acceso inicial | Media |
| Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento confidencial para permitir el acceso público no autenticado (versión preliminar) Storage.Blob_OpenACL.Sensitive |
La alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que contiene datos confidenciales, al nivel "Contenedor", que permite el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. El cambio de nivel de acceso puede poner en peligro la seguridad de los datos. Se recomienda tomar medidas inmediatas para proteger los datos y evitar el acceso no autorizado en caso de que se desencadene esta alerta. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada. |
Colección | Alto |
| Acceso externo sospechoso a una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar) Storage.Blob_AccountSas.InternalSasUsedExternally |
La alerta indica que alguien con una dirección IP externa (pública) accedió a la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. Este tipo de acceso se considera sospechoso porque el token de SAS solo se usa normalmente en redes internas (desde direcciones IP privadas). La actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente desde un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage. |
Filtración/Desarrollo de recursos/Impacto | Media |
| Operación externa sospechosa en una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar) Storage.Blob_AccountSas.UnusualOperationFromExternalIp |
La alerta indica que alguien con una dirección IP externa (pública) accedió a la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. El acceso se considera sospechoso porque las operaciones invocadas fuera de la red (no desde direcciones IP privadas) con este token de SAS se suelen usar para un conjunto específico de operaciones de lectura, escritura y eliminación, pero se han producido otras operaciones, lo que hace que este acceso sea sospechoso. Esta actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente desde un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage. |
Filtración/Desarrollo de recursos/Impacto | Media |
| Se usó un token de SAS inusual para acceder a una cuenta de almacenamiento de Azure desde una dirección IP pública (versión preliminar) Storage.Blob_AccountSas.UnusualExternalAccess |
La alerta indica que alguien con una dirección IP externa (pública) ha accedido a la cuenta de almacenamiento mediante un token de SAS de cuenta. El acceso es muy inusual y se considera sospechoso, ya que el acceso a la cuenta de almacenamiento mediante tokens de SAS normalmente solo procede de direcciones IP internas (privadas). Es posible que un token de SAS se haya filtrado o generado por un actor malintencionado desde dentro de su organización o externamente para obtener acceso a esta cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage. |
Filtración/Desarrollo de recursos/Impacto | Bajo |
| Archivo malintencionado cargado en la cuenta de almacenamiento Storage.Blob_AM.MalwareFound |
La alerta indica que se cargó un blob malintencionado en una cuenta de almacenamiento. Esta alerta de seguridad la genera la característica Examen de malware en Defender para Storage. Entre las posibles causas de ello, se pueden incluir una carga intencional del malware por parte de un actor de amenazas o una carga involuntaria de un archivo malintencionado por parte de un usuario legítimo. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada. |
LateralMovement | Alto |
Alertas de Azure Cosmos DB
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Acceso desde un nodo de salida de Tor (CosmosDB_TorAnomaly) |
Se accedió correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP que se sabe que es un nodo de salida activo de Tor, un proxy anónimo. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. | Acceso inicial | Alto/Medio |
| Acceso desde una dirección IP sospechosa (CosmosDB_SuspiciousIp) |
Se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP identificada como amenaza por Microsoft Threat Intelligence. | Acceso inicial | Media |
| Acceso desde una ubicación inusual (CosmosDB_GeoAnomaly) |
Se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una ubicación que se considera desconocida según el patrón de acceso habitual. O bien, un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual. |
Acceso inicial | Bajo |
| Volumen inusual de datos extraídos (CosmosDB_DataExfiltrationAnomaly) |
Se ha extraído un volumen de datos inusualmente grande de esta cuenta Azure Cosmos DB. Esto podría indicar que un atacante ha filtrado datos. | Exfiltración | Media |
| Extracción de claves de cuenta de Azure Cosmos DB mediante un script potencialmente malintencionado (CosmosDB_SuspiciousListKeys.MaliciousScript) |
Se ha ejecutado un script de PowerShell en la suscripción y se ha realizado un patrón sospechoso de operaciones de lista de claves para obtener las claves de la cuenta de Azure Cosmos DB de la suscripción. Los atacantes usan scripts automatizados, como Microburst, para enumerar las claves y encontrar cuentas de Azure Cosmos DB a las que pueden acceder. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar las cuentas de Azure Cosmos DB de su entorno con intenciones malintencionadas. Como alternativa, un usuario interno malintencionado podría estar intentando acceder a datos confidenciales y realizar el movimiento lateral. |
Colección | Media |
| Extracción sospechosa de claves de cuenta de Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | Un origen sospechoso extrajo las claves de acceso de una cuenta de Azure Cosmos DB de la suscripción. Si este origen no es legítimo, puede ser un problema grave. La clave de acceso que se extrajo proporciona control total sobre las bases de datos asociadas y los datos que estas almacenan. Consulte los detalles de cada alerta específica para comprender por qué el origen se marcó como sospechoso. | Acceso con credenciales | high |
| Inyección de código SQL: posible filtración de datos (CosmosDB_SqlInjection.DataExfiltration) |
Se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB. Es posible que con la instrucción inyectada se hayan filtrado correctamente los datos para los que el actor de amenazas no tiene autorización de acceso. Debido a la estructura y las funcionalidades de Azure Cosmos DB, muchos ataques por inyección de código SQL en las cuentas de Azure Cosmos DB no funcionan. Sin embargo, la variación usada en este ataque puede funcionar y los atacantes pueden filtrar datos. |
Exfiltración | Media |
| Inyección de código SQL: intento de información aproximada (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
Se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB. Al igual que otros ataques por inyección de código SQL conocidos, este no podrá poner en peligro la cuenta de Azure Cosmos DB. No obstante, es una indicación de que un actor de amenazas está intentando atacar los recursos de esta cuenta y de que la aplicación podría estar en peligro. Algunos ataques por inyección de código SQL pueden realizarse correctamente y usarse para filtrar datos. Esto significa que si el atacante sigue intentando inyectar código SQL, puede poner en peligro su cuenta de Azure Cosmos DB y filtrar datos. Puede evitar esta amenaza mediante consultas parametrizadas. |
Ataque previo | Bajo |
Alertas de la capa de red de Azure
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Se detectó una comunicación de red con una máquina malintencionada. (Network_CommunicationWithC2) |
El análisis del tráfico de red indica que la máquina (IP %{Victim IP}) se ha comunicado con lo que posiblemente es un centro de comando y control. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones) se han comunicado con lo que posiblemente es un centro de comando y control. | Comando y control | Media |
| Se detectó una posible máquina en peligro. (Network_ResourceIpIndicatedAsMalicious) |
La información sobre amenazas indica que un malware de tipo Conficker puede haber puesto en peligro la máquina (con la IP %{Machine IP}). Conficker es un gusano de equipos que tiene como destino el sistema operativo Microsoft Windows y que se detectó por primera vez en noviembre de 2008. Ha infectado millones de equipos, incluidos equipos gubernamentales, empresariales y particulares de más de 200 países o regiones, lo que lo convierte en la infección de gusanos de equipos más importante, desde el gusano Welchia de 2003. | Comando y control | Media |
| Se detectaron posibles intentos de ataques por fuerza bruta entrantes del servicio %{Service Name}. (Generic_Incoming_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación entrante del servicio %{Service Name} dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Victim Port}. Esta actividad es coherente con los intentos de ataque por fuerza bruta contra los servidores del servicio %{Service Name}. | PreAttack | Media |
| Se detectaron posibles intentos de ataques por fuerza bruta de SQL entrantes. (SQL_Incoming_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación entrante de SQL dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Port Number} (%{SQL Service Type}). Esta actividad es coherente con los intentos de ataque por fuerza bruta contra servidores SQL. | PreAttack | Media |
| Se detectó un posible ataque por denegación de servicio de salida. (DDoS) |
El análisis del tráfico de red detectó una actividad de salida anómala procedente del host %{Compromised Host}, un recurso de la implementación. Esta actividad puede indicar que el recurso se puso en peligro y ahora está llevando a cabo ataques por denegación de servicio contra puntos de conexión externos. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa puede indicar que se pusieron en peligro uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Según el volumen de las conexiones, creemos que es posible que las siguientes direcciones IP sean los destinos del ataque DoS: %{Possible Victims}. Tenga en cuenta que puede que la comunicación con algunas de estas direcciones IP sea legítima. | Impacto | Media |
| Actividad de red RDP entrante sospechosa procedente de varios orígenes (RDP_Incoming_BF_ManyToOne) |
El análisis de tráfico de red detectó una comunicación entrante anómala del Protocolo de escritorio remoto dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de RDP desde varios hosts (botnet). | PreAttack | Media |
| Actividad de red RDP entrante sospechosa (RDP_Incoming_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación entrante anómala del Protocolo de escritorio remoto dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de RDP. | PreAttack | Media |
| Actividad de red SSH entrante sospechosa procedente de varios orígenes (SSH_Incoming_BF_ManyToOne) |
El análisis de tráfico de red detectó una comunicación entrante anómala de SSH dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de SSH desde varios hosts (botnet). | PreAttack | Media |
| Actividad de red SSH entrante sospechosa (SSH_Incoming_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación entrante anómala de SSH dirigida a la IP %{Victim IP}, que está asociada al recurso %{Compromised Host} de la IP %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar un intento de ataque por fuerza bruta al punto de conexión de SSH. | PreAttack | Media |
| Se detectó tráfico sospechoso del protocolo %{Attacked Protocol} saliente. (PortScanning) |
El análisis del tráfico de red detectó la presencia de tráfico saliente sospechoso desde el host %{Compromised Host} al puerto de destino %{Most Common Port}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Este comportamiento puede indicar que el recurso participa en intentos de ataques por fuerza bruta o de barrido de puertos en el protocolo %{Attacked Protocol}. | Detección | Media |
| Actividad de red RDP saliente sospechosa hacia varios destinos (RDP_Outgoing_BF_OneToMany) |
El análisis de tráfico de red detectó una comunicación saliente anómala del Protocolo de escritorio remoto (RDP) dirigida a varios destinos y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su máquina se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de RDP externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. | Detección | Alto |
| Actividad de red RDP saliente sospechosa (RDP_Outgoing_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación saliente anómala del Protocolo de escritorio remoto (RDP) dirigida a la IP %{Victim IP} y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el equipo está en peligro y ahora se utiliza para ataques por fuerza bruta contra puntos de conexión de RDP externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. | Movimiento lateral | Alto |
| Actividad de red de SSH saliente sospechosa hacia varios destinos (SSH_Outgoing_BF_OneToMany) |
El análisis de tráfico de red detectó una comunicación saliente anómala de SSH dirigida a varios destinos y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su recurso se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. | Detección | Media |
| Actividad de red de SSH saliente sospechosa (SSH_Outgoing_BF_OneToOne) |
El análisis de tráfico de red detectó una comunicación saliente anómala de SSH dirigida a la IP %{Victim IP} y procedente del host %{Compromised Host} (de la IP %{Attacker IP}), un recurso de su implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad puede indicar que el recurso está en peligro y ahora se utiliza para realizar ataques por fuerza bruta contra puntos de conexión de SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada. | Movimiento lateral | Media |
| Se detectó tráfico desde direcciones IP recomendadas para el bloqueo. | Microsoft Defender for Cloud detectó tráfico entrante procedente de direcciones IP que le recomendamos que bloquee. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud. | Sondeo | Bajo |
Alertas de Azure Key Vault
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Acceso desde una dirección IP sospechosa a un almacén de claves (KV_SuspiciousIPAccess) |
Una dirección IP identificada por la inteligencia sobre amenazas de Microsoft como una dirección IP sospechosa accedió correctamente a un almacén de claves. Esto puede indicar que la infraestructura se ha puesto en peligro. Se recomienda seguir investigando. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. | Acceso con credenciales | Media |
| Acceso desde un nodo de salida de TOR a un almacén de claves (KV_TORAccess) |
Se ha accedido a un almacén de claves desde un nodo de salida de TOR conocido. Esto podría indicar que un atacante ha accedido al almacén de claves y está usando la red TOR para ocultar su ubicación de origen. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Gran volumen de operaciones en un almacén de claves (KV_OperationVolumeAnomaly) |
Un usuario, una entidad de servicio o un almacén de claves concretos han realizado un número anómalo de operaciones de almacén de claves. Este patrón de actividad anómala puede ser legítimo, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Cambio sospechoso de directiva y consulta de secretos en un almacén de claves (KV_PutGetAnomaly) |
Un usuario o una entidad de servicio han realizado una operación anómala de cambio de directiva put de almacén seguida de una o varias operaciones get para secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados. Puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha actualizado la directiva del almacén de claves para acceder a secretos a los que antes no se podía acceder. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Lista y consulta de secretos sospechosos en un almacén de claves (KV_ListGetAnomaly) |
Un usuario o una entidad de servicio han realizado una operación list para secretos seguida de una o varias operaciones get para secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados y se suele asociar con el volcado de secretos. Puede tratarse de una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves e intenta detectar secretos que se pueden usar para realizar un ataque por desplazamiento lateral a través de la red o acceder a recursos confidenciales. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Acceso inusual denegado: acceso denegado de un usuario a un gran volumen de almacenes de claves (KV_AccountVolumeAccessDeniedAnomaly) |
Un usuario o una entidad de servicio ha intentado acceder a un volumen alto y anómalo de almacenes de claves en las últimas 24 horas. Este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Detección | Bajo |
| Acceso inusual denegado: acceso denegado de un usuario inusual al almacén de claves (KV_UserAccessDeniedAnomaly) |
Un usuario intentó obtener acceso a un almacén de claves al que no suele acceder; este patrón de acceso anómalo puede ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. | Acceso inicial, Discovery | Bajo |
| Acceso de una aplicación inusual a un almacén de claves (KV_AppAnomaly) |
Una entidad de servicio que normalmente no accede a un almacén de claves lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Patrón de operación inusual en un almacén de claves (KV_OperationPatternAnomaly) |
Un usuario, una entidad de servicio o un almacén de claves concretos han realizado un patrón anómalo de operaciones del almacén de claves. Este patrón de actividad anómala puede ser legítimo, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Acceso de un usuario inusual a un almacén de claves (KV_UserAnomaly) |
Un usuario que normalmente no accede a un almacén de claves, lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Acceso de un par inusual de usuario y aplicación a un almacén de claves (KV_UserAppAnomaly) |
Un par usuario-entidad de servicio que normalmente no accede a un almacén de claves lo ha hecho. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso al almacén de claves en un intento de acceder a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Acceso de un usuario a un gran volumen de almacenes de claves (KV_AccountVolumeAnomaly) |
Un usuario o una entidad de servicio han accedido a un volumen anómalo de almacenes de claves. Este patrón de acceso anómalo puede ser una actividad legítima, pero también podría ser una indicación de que un atacante ha obtenido acceso a varios almacenes de claves en un intento de acceder a los secretos que estos contienen. Se recomienda seguir investigando. | Acceso con credenciales | Media |
| Acceso denegado desde una dirección IP sospechosa a un almacén de claves (KV_SuspiciousIPAccessDenied) |
Hubo un intento fallido de acceso a un almacén de claves por parte de una dirección IP identificada por la inteligencia sobre amenazas de Microsoft como una dirección IP sospechosa. Aunque este intento no se realizó correctamente, indica que la infraestructura podría haberse puesto en peligro. Se recomienda seguir investigando. | Acceso con credenciales | Bajo |
| Acceso inusual al almacén de claves desde una IP sospechosa (ajena a Microsoft o externa) (KV_UnusualAccessSuspiciousIP) |
Un usuario o administrador de entidad de servicio ha intentado acceder de forma anómala a almacenes de claves desde una IP ajena a Microsoft en las últimas 24 horas. Este patrón de acceso anómalo puede ser una actividad legítima. Puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando. | Acceso con credenciales | Media |
Alertas de Azure DDoS Protection
| Alerta | Descripción | Tácticas MITRE (Más información) |
severity |
|---|---|---|---|
| Se detectó un ataque DDoS de la dirección IP pública. (NETWORK_DDOS_DETECTED) |
Se detectó un ataque DDoS de la dirección IP pública y se está mitigando. | Sondeo | Alto |
| Se mitigó un ataque DDoS de la dirección IP pública. (NETWORK_DDOS_MITIGATED) |
Se mitigó un ataque DDoS de la dirección IP pública (dirección IP). | Sondeo | Bajo |
Tácticas de MITRE ATTCK
Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Microsoft Defender for Cloud incluyen las tácticas de MITRE con muchas alertas.
La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".
Las intenciones de la cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de MITRE ATT&CK Matrix y se describen en la tabla siguiente.
| Táctica | Versión de ATT&CK | Descripción |
|---|---|---|
| PreAttack | PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada. | |
| Acceso inicial | V7, V9 | Acceso inicial es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. Los actores de amenazas suelen ser capaces de controlar el recurso después de esta fase. |
| Persistencia | V7, V9 | La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso. |
| Elevación de privilegios | V7, V9 | La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios alcancen su objetivo también se pueden considerar como una elevación de privilegios. |
| Evasión defensiva | V7, V9 | La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada. |
| Acceso de credenciales | V7, V9 | El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| Detección | V7, V9 | La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro. |
| LateralMovement | V7, V9 | El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a otras credenciales o la causa de un efecto. |
| Ejecución | V7, V9 | La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red. |
| Colección | V7, V9 | La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| Comando y control | V7, V9 | La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
| Exfiltración | V7, V9 | La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| Impacto | V7, V9 | Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto suele hacer referencia a técnicas como ransomware, desmiración, manipulación de datos y otros. |
Nota
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Alertas de Defender para servidores en desuso
En las tablas siguientes se incluyen las alertas de seguridad de Defender para servidores que han quedado en desuso en abril de 2023 debido a un procedimiento de mejora.
Alertas de Linux en desuso
| AlertType | Nombre para mostrar de la alerta | Gravedad |
|---|---|---|
| VM_AbnormalDaemonTermination | Finalización anómala | Bajo |
| VM_BinaryGeneratedFromCommandLine | Se ha detectado un binario sospechoso | Media |
| VM_CommandlineSuspectDomain Suspicious | Referencia de nombre de dominio | Bajo |
| VM_CommonBot | Behavior similar to common Linux bots detected (Detección de comportamiento similar a bots comunes de Linux) | Media |
| VM_CompCommonBots | Se han detectado comandos similares a bots comunes de Linux. | Media |
| VM_CompSuspiciousScript | Se ha detectado un script de shell | Media |
| VM_CompTestRule | Alerta de prueba analítica compuesta | Bajo |
| VM_CronJobAccess | Se ha detectado la manipulación de tareas programadas | Informativo |
| VM_CryptoCoinMinerArtifacts | Se ha detectado un proceso relacionado con la minería de datos de moneda digital | Media |
| VM_CryptoCoinMinerDownload | Se ha detectado la posible descarga de Cryptocoinminer | Media |
| VM_CryptoCoinMinerExecution | Se ha iniciado una posible minería de criptomonedas | Media |
| VM_DataEgressArtifacts | Posible filtración de datos detectada | Media |
| VM_DigitalCurrencyMining | Se detectó un comportamiento relacionado con la minería de datos de moneda digital. | Alto |
| VM_DownloadAndRunCombo | Actividad de descarga y ejecución sospechosa | Media |
| VM_EICAR | Alerta de prueba de Microsoft Defender for Cloud (no es una amenaza). | Alto |
| VM_ExecuteHiddenFile | Ejecución de un archivo oculto | Informativo |
| VM_ExploitAttempt | Posible intento de explotación de una vulnerabilidad de seguridad de la línea de comandos | Media |
| VM_ExposedDocker | Demonio de Docker expuesto en el socket TCP | Media |
| VM_FairwareMalware | Behavior similar to Fairware ransomware detected (Detección de comportamiento similar a ransomware Fairware) | Media |
| VM_FirewallDisabled | Se detectó una manipulación del firewall del host. | Media |
| VM_HadoopYarnExploit | Posible aprovechamiento de Hadoop Yarn | Media |
| VM_HistoryFileCleared | Se ha borrado un archivo del historial | Media |
| VM_KnownLinuxAttackTool | Se detectó una posible herramienta de ataque. | Media |
| VM_KnownLinuxCredentialAccessTool | Se detectó una posible herramienta de acceso a credenciales. | Media |
| VM_KnownLinuxDDoSToolkit | Se detectaron indicadores asociados al kit de herramientas de DDOS. | Media |
| VM_KnownLinuxScreenshotTool | Captura de pantalla tomada en el host | Bajo |
| VM_LinuxBackdoorArtifact | Possible backdoor detected (Detección de posible puerta trasera) | Media |
| VM_LinuxReconnaissance | Local host reconnaissance detected (Detección de reconocimiento de host local) | Media |
| VM_MismatchedScriptFeatures | Se detectó un error de coincidencia con la extensión del script. | Media |
| VM_MitreCalderaTools | Se ha detectado un agente de MITRE Caldera | Media |
| VM_NewSingleUserModeStartupScript | Se ha detectado un intento de persistencia | Media |
| VM_NewSudoerAccount | Cuenta agregada al grupo sudo | Bajo |
| VM_OverridingCommonFiles | Potential overriding of common files (Posible invalidación de archivos comunes) | Media |
| VM_PrivilegedContainerArtifacts | Contenedor que se ejecuta en modo con privilegios | Bajo |
| VM_PrivilegedExecutionInContainer | Comando dentro de un contenedor que se ejecuta con privilegios elevados | Bajo |
| VM_ReadingHistoryFile | Acceso sospechoso a archivo del historial de bash | Informativo |
| VM_ReverseShell | Se detectó un posible shell inverso. | Media |
| VM_SshKeyAccess | Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual | Bajo |
| VM_SshKeyAddition | Se agregó una nueva clave SSH. | Bajo |
| VM_SuspectCompilation | Suspicious compilation detected (Detección de compilación sospechosa) | Media |
| VM_SuspectConnection | Se ha detectado un intento de conexión poco común | Media |
| VM_SuspectDownload | Se detectó una descarga de archivos desde un origen malintencionado conocido. | Media |
| VM_SuspectDownloadArtifacts | Se detectó una descarga de archivos sospechosa. | Bajo |
| VM_SuspectExecutablePath | Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa. | Media |
| VM_SuspectHtaccessFileAccess | Access of htaccess file detected (Detección de acceso a archivo htaccess) | Media |
| VM_SuspectInitialShellCommand | El primer comando del shell es sospechoso | Bajo |
| VM_SuspectMixedCaseText | Se ha detectado una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. | Media |
| VM_SuspectNetworkConnection | Conexión de red sospechosa | Informativo |
| VM_SuspectNohup | Detected suspicious use of the nohup command (Detección de uso sospechoso del comando nohup) | Media |
| VM_SuspectPasswordChange | Se detectó un posible cambio de contraseña mediante el método de cifrado | Media |
| VM_SuspectPasswordFileAccess | Acceso a contraseñas sospechoso | Informativo |
| VM_SuspectPhp | Ejecución de PHP sospechoso detectada | Media |
| VM_SuspectPortForwarding | Posible reenvío de puertos a la dirección IP externa | Media |
| VM_SuspectProcessAccountPrivilegeCombo | El proceso que se ejecuta en una cuenta de servicio se ha convertido en raíz de forma inesperada. | Media |
| VM_SuspectProcessTermination | Se ha detectado la terminación de un proceso relacionado con la seguridad | Bajo |
| VM_SuspectUserAddition | Detected suspicious use of the useradd command (Detección de uso sospechoso del comando useradd) | Media |
| VM_SuspiciousCommandLineExecution | Ejecución de comando sospechosa | Alto |
| VM_SuspiciousDNSOverHttps | Uso sospechoso de DNS a través de HTTPS | Media |
| VM_SystemLogRemoval | Se detectó una posible actividad de manipulación de registros. | Media |
| VM_ThreatIntelCommandLineSuspectDomain | Se ha detectado una posible conexión a una ubicación malintencionada. | Media |
| VM_ThreatIntelSuspectLogon | Se ha detectado un inicio de sesión desde una dirección IP malintencionada | Alto |
| VM_TimerServiceDisabled | Se detectó un intento de detener el servicio apt-daily-upgrade.timer. | Informativo |
| VM_TimestampTampering | Modificación sospechosa de la marca de tiempo de los archivos | Bajo |
| VM_Webshell | Se detectó un posible shell web malintencionado. | Media |
Alertas de Windows en desuso
| AlertType | Nombre para mostrar de la alerta | Gravedad |
|---|---|---|
| SCUBA_MULTIPLEACCOUNTCREATE | Creación sospechosa de cuentas en varios hosts | Media |
| SCUBA_PSINSIGHT_CONTEXT | Se detectó un uso sospechoso de PowerShell | Informativo |
| SCUBA_RULE_AddGuestToAdministrators | Adición de una cuenta de invitado al grupo de administradores locales | Media |
| SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | Media |
| SCUBA_RULE_KnownBruteForcingTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_KnownCollectionTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_KnownDefenseEvasionTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_KnownExecutionTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_KnownPassTheHashTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_KnownSpammingTools | Proceso sospechoso ejecutado | Media |
| SCUBA_RULE_Lowering_Security_Settings | Se detectó la deshabilitación de servicios críticos. | Media |
| SCUBA_RULE_OtherKnownHackerTools | Proceso sospechoso ejecutado | Alto |
| SCUBA_RULE_RDP_session_hijacking_via_tscon | Nivel de integridad sospechoso que indica un secuestro de RDP | Media |
| SCUBA_RULE_RDP_session_hijacking_via_tscon_service | Instalación sospechosa de un servicio | Media |
| SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | Se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión. | Bajo |
| SCUBA_RULE_WDigest_Enabling | Se detectó la habilitación de la clave del Registro UseLogonCredential de WDigest. | Media |
| VM.Windows_ApplockerBypass | Se detectó un posible intento de omitir AppLocker. | Alto |
| VM.Windows_BariumKnownSuspiciousProcessExecution | Se detectó la creación de un archivo sospechoso. | Alto |
| VM.Windows_Base64EncodedExecutableInCommandLineParams | Se detectó un archivo ejecutable codificado en los datos de la línea de comandos. | Alto |
| VM.Windows_CalcsCommandLineUse | Se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema | Media |
| VM.Windows_CommandLineStartingAllExe | Se detectó una línea de comandos sospechosa que se usa para iniciar todos los archivos ejecutables en un directorio. | Media |
| VM.Windows_DisablingAndDeletingIISLogFiles | Se detectaron acciones que indican la deshabilitación y eliminación de archivos de registro de IIS | Media |
| VM.Windows_DownloadUsingCertutil | Se detectó una descarga sospechosa mediante CertUtil. | Media |
| VM.Windows_EchoOverPipeOnLocalhost | Se detectaron comunicaciones de canalización con nombre sospechosas. | Alto |
| VM.Windows_EchoToConstructPowerShellScript | Construcción dinámica de scripts de PowerShell | Media |
| VM.Windows_ExecutableDecodedUsingCertutil | Se detectó la descodificación de un archivo ejecutable mediante la herramienta integrada certutil.exe. | Media |
| VM.Windows_FileDeletionIsSospisiousLocation | Se ha detectado una eliminación sospechosa de archivos | Media |
| VM.Windows_KerberosGoldenTicketAttack | Se observó una sospecha de parámetros de ataque golden ticket de Kerberos. | Media |
| VM.Windows_KeygenToolKnownProcessName | Se detectó una posible ejecución del archivo ejecutable keygen: se ha ejecutado un proceso sospechoso. | Media |
| VM.Windows_KnownCredentialAccessTools | Proceso sospechoso ejecutado | Alto |
| VM.Windows_KnownSuspiciousPowerShellScript | Se detectó un uso sospechoso de PowerShell | Alto |
| VM.Windows_KnownSuspiciousSoftwareInstallation | Se detectó un software de alto riesgo. | Media |
| VM.Windows_MsHtaAndPowerShellCombination | Se detectó una combinación sospechosa de HTA y PowerShell. | Media |
| VM.Windows_MultipleAccountsQuery | Se consultaron varias cuentas de dominio. | Media |
| VM.Windows_NewAccountCreation | Se ha detectado la creación de una cuenta | Informativo |
| VM.Windows_ObfuscatedCommandLine | Se detectó una línea de comandos ofuscada. | Alto |
| VM.Windows_PcaluaUseToLaunchExecutable | Se detectó un uso sospechoso del archivo Pcalua. exe para iniciar código ejecutable. | Media |
| VM.Windows_PetyaRansomware | Indicadores de ransomware Petya detectados | Alto |
| VM.Windows_PowerShellPowerSploitScriptExecution | SE ejecutaron cmdlets de PowerShell sospechosos. | Media |
| VM.Windows_RansomwareIndication | Se detectaron indicadores de ransomware. | Alto |
| VM.Windows_SqlDumperUsedSuspiciously | Se detectó un posible volcado de credenciales [Se ha detectado varias veces]. | Media |
| VM.Windows_StopCriticalServices | Se detectó la deshabilitación de servicios críticos. | Media |
| VM.Windows_SubvertingAccessibilityBinary | Ataque de teclas especiales detectado Se ha detectado la creación de una cuenta sospechosa. Medio |
|
| VM.Windows_SuspiciousAccountCreation | Se detectó la creación de una cuenta sospechosa. | Media |
| VM.Windows_SuspiciousFirewallRuleAdded | Se detectó una nueva regla de firewall sospechosa. | Media |
| VM.Windows_SuspiciousFTPSSwitchUsage | Se detectó un uso sospechoso del modificador -s de FTP. | Media |
| VM.Windows_SuspiciousSQLActivity | Actividad de SQL sospechosa | Media |
| VM.Windows_SVCHostFromInvalidPath | Proceso sospechoso ejecutado | Alto |
| VM.Windows_SystemEventLogCleared | Se ha borrado el registro de Seguridad de Windows | Informativo |
| VM.Windows_TelegramInstallation | Se detectó un uso potencialmente sospechoso de la herramienta Telegram. | Media |
| VM.Windows_UndercoverProcess | Se detectó un proceso con nombre sospechoso. | Alto |
| VM.Windows_UserAccountControlBypass | Se detectó un cambio en una clave del Registro que se puede usar para omitir UAC. | Media |
| VM.Windows_VBScriptEncoding | Se detectó la ejecución sospechosa del comando VBScript.Encode. | Media |
| VM.Windows_WindowPositionRegisteryChange | Se detectó un valor de registro de WindowPosition sospechoso. | Bajo |
| VM.Windows_ZincPortOpenningUsingFirewallRule | El implante del servidor ZINC creó una regla de firewall malintencionada. | Alto |
| VM_DigitalCurrencyMining | Se detectó un comportamiento relacionado con la minería de datos de moneda digital. | Alto |
| VM_MaliciousSQLActivity | Actividad SQL malintencionada | Alto |
| VM_ProcessWithDoubleExtensionExecution | Archivo de extensión doble sospechoso ejecutado | Alto |
| VM_RegistryPersistencyKey | Se detectó un método de persistencia del Registro de Windows. | Bajo |
| VM_ShadowCopyDeletion | Actividad de instantánea de volumen sospechosa Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa. |
Alto |
| VM_SuspectExecutablePath | Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa Se ha detectado una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos. |
Informativo media |
| VM_SuspectPhp | Ejecución de PHP sospechoso detectada | Media |
| VM_SuspiciousCommandLineExecution | Ejecución de comando sospechosa | Alto |
| VM_SuspiciousScreenSaverExecution | Se ejecutó un proceso del protector de pantalla sospechoso. | Media |
| VM_SvcHostRunInRareServiceGroup | Se ejecutó un grupo de servicio SVCHOST inusual. | Informativo |
| VM_SystemProcessInAbnormalContext | Se ejecutó un proceso del sistema sospechoso. | Media |
| VM_ThreatIntelCommandLineSuspectDomain | Se ha detectado una posible conexión a una ubicación malintencionada. | Media |
| VM_ThreatIntelSuspectLogon | Se ha detectado un inicio de sesión desde una dirección IP malintencionada | Alto |
| VM_VbScriptHttpObjectAllocation | Se detectó la asignación de un objeto HTTP de VBScript. | Alto |
Alertas de Defender para API
| Alerta (tipo de alerta) | Descripción | Tácticas MITRE | Gravedad |
|---|---|---|---|
| Pico sospechoso de nivel de rellenado en el tráfico de API a un punto de conexión de API (API_PopulationSpikeInAPITraffic) |
Se detectó un pico sospechoso en el tráfico de API en uno de los puntos de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario entre todas las direcciones IP y el punto de conexión, con la línea de base que es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa. | Impacto | Media |
| Pico sospechoso en el tráfico de API desde una única dirección IP hasta un punto de conexión de API (API_SpikeInAPITraffic) |
Se detectó un pico sospechoso en el tráfico de API desde una dirección IP de cliente al punto de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario al punto de conexión procedente de una dirección IP específica al punto de conexión. El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa. | Impacto | Media |
| Carga de respuesta inusualmente grande transmitida entre una única dirección IP y un punto de conexión de API (API_SpikeInPayload) |
Se observó un pico sospechoso en el tamaño de la carga de respuesta de la API para el tráfico entre una única dirección IP y uno de los puntos de conexión de LA API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico de carga de respuesta de la API entre una dirección IP específica y un punto de conexión de API. La línea de base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). La alerta se desencadenó, porque el tamaño de carga de respuesta de una API se desvió significativamente de la línea de base histórica. | Acceso inicial | Media |
| Cuerpo de la solicitud inusualmente grande transmitido entre una única dirección IP y un punto de conexión de API (API_SpikeInPayload) |
Se observó un pico sospechoso en el tamaño del cuerpo de la solicitud de la API para el tráfico entre una única dirección IP y uno de los puntos de conexión de la API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico del cuerpo de la solicitud de la API entre una dirección IP específica y un punto de conexión de API. La línea de base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). La alerta se desencadenó, porque un tamaño de solicitud de API se desvió significativamente de la línea de base histórica. | Acceso inicial | Media |
| (Versión preliminar) Pico sospechoso de latencia del tráfico entre una única dirección IP y un punto de conexión de API (API_SpikeInLatency) |
Se observó un pico sospechoso en la latencia del tráfico entre una única dirección IP y uno de los puntos de conexión de la API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la latencia rutinaria del tráfico de la API entre una dirección IP específica y un punto de conexión de API. La línea de base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). La alerta se desencadenó, porque la latencia de una llamada API se desvió significativamente de la línea de base histórica. | Acceso inicial | Media |
| Las solicitudes de API se difunden desde una sola dirección IP a un número inusualmente grande de puntos de conexión de API distintos (API_SprayInRequests) |
Se observó una única dirección IP que hace llamadas API a un número inusualmente grande de puntos de conexión distintos. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de puntos de conexión distintos a los que llama una única dirección IP en ventanas de 20 minutos. La alerta se desencadenó, porque el comportamiento de una única IP se desvió significativamente de la línea de base histórica. | Detección | Media |
| Enumeración de parámetros en un punto de conexión de API (API_ParameterEnumeration) |
Se observó una única dirección IP que enumera los parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa una única dirección IP al acceder a este punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque una dirección IP de cliente única accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos. | Acceso inicial | Media |
| Enumeración de parámetros distribuidos en un punto de conexión de API (API_DistributedParameterEnumeration) |
El rellenado agregado de usuarios (todas las direcciones IP) se observó enumerando parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa el rellenado de usuarios (todas las direcciones IP) al acceder a un punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque el rellenado del usuario accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos. | Acceso inicial | Media |
| Valores de parámetro con tipos de datos anómalos en una llamada API (API_UnseenParamType) |
Se observó una única dirección IP que accede a uno de los puntos de conexión de API y usa valores de parámetro de un tipo de datos de baja probabilidad (por ejemplo, cadena, entero, etc.). En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende los tipos de datos esperados para cada parámetro de API. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un tipo de datos de probabilidad baja anteriormente como entrada de parámetros. | Impacto | Media |
| Parámetro no visto anteriormente que se usa en una llamada API (API_UnseenParam) |
Se observó que una única dirección IP accedía a uno de los puntos de conexión de API mediante un parámetro no visto o fuera de límite en la solicitud. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende un conjunto de parámetros esperados asociados a las llamadas a un punto de conexión. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un parámetro no visto anteriormente. | Impacto | Media |
| Acceso desde un nodo de salida de Tor hasta un punto de conexión de API (API_AccessFromTorExitNode) |
Una dirección IP de la red de Tor a la que se ha accedido a uno de los puntos de conexión de API. Tor es una red que permite a las personas acceder a Internet mientras mantiene oculta su dirección IP real. Aunque hay usos legítimos, los atacantes lo usan con frecuencia para ocultar su identidad cuando se dirigen a sistemas de personas en línea. | Ataque previo | Media |
| Acceso al punto de conexión de API desde una dirección IP sospechosa (API_AccessFromSuspiciousIP) |
Microsoft Threat Intelligence identificó una dirección IP que accede a uno de los puntos de conexión de API como de alta probabilidad de ser una amenaza. Mientras observa el tráfico malintencionado de Internet, esta dirección IP apareció como implicada en el ataque a otros destinos en línea. | Ataque previo | Alto |
| Se detectó un agente de usuario sospechoso. (API_AccessFromSuspiciousUserAgent) |
El agente de usuario de una solicitud que accede a uno de los puntos de conexión de API contenía valores anómalos que indican un intento de ejecución remota de código. Esto no significa que se haya infringido ninguno de los puntos de conexión de API, pero sugiere que está en curso un intento de ataque. | Ejecución | Media |