Alertas de seguridad en desuso
En este artículo se enumeran las alertas de seguridad en desuso en Microsoft Defender for Cloud.
Alertas de Defender for Containers en desuso
Las listas siguientes incluyen las alertas de seguridad de Defender for Containers que estaban en desuso.
Se detectó una manipulación del firewall del host.
(K8S.NODE_FirewallDisabled)
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos.
Tácticas de MITRE: DefenseEvasion, Exfiltration
Gravedad: media
Uso sospechoso de DNS a través de HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el uso de una llamada DNS a través de HTTPS de forma poco habitual. Esta técnica la usan los atacantes para ocultar las llamadas a sitios sospechosos o malintencionados.
Tácticas de MITRE: DefenseEvasion, Exfiltration
Gravedad: media
Se ha detectado una posible conexión a una ubicación malintencionada.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una conexión a una ubicación que se ha notificado que es malintencionada o inusual. Se trata de un indicador de que podría haberse producido un riesgo.
Tácticas de MITRE: InitialAccess
Gravedad: media
Actividad de minería de datos de moneda digital
(K8S. NODE_CurrencyMining)
Descripción: análisis de transacciones DNS detectadas actividad de minería de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes.
Tácticas de MITRE: Filtración
Gravedad: baja
Alertas de Defender para servidores Linux en desuso
VM_AbnormalDaemonTermination
Nombre para mostrar de alerta: Terminación anómala
Gravedad: baja
VM_BinaryGeneratedFromCommandLine
Nombre para mostrar de alerta: se detectó un binario sospechoso
Gravedad: media
VM_CommandlineSuspectDomain Suspicious
Nombre para mostrar de alerta: referencia de nombre de dominio
Gravedad: baja
VM_CommonBot
Nombre para mostrar de alerta: comportamiento similar al de los bots comunes de Linux detectados
Gravedad: media
VM_CompCommonBots
Nombre para mostrar de alerta: comandos similares a los bots comunes de Linux detectados
Gravedad: media
VM_CompSuspiciousScript
Nombre para mostrar de la alerta: script de shell detectado
Gravedad: media
VM_CompTestRule
Nombre para mostrar de alerta: alerta de prueba analítica compuesta
Gravedad: baja
VM_CronJobAccess
Nombre para mostrar de alerta: manipulación de tareas programadas detectadas
Gravedad: informativo
VM_CryptoCoinMinerArtifacts
Nombre para mostrar de alerta: proceso asociado a la minería de moneda digital detectada
Gravedad: media
VM_CryptoCoinMinerDownload
Nombre para mostrar de la alerta: Se detectó una posible descarga de Cryptocoinminer
Gravedad: media
VM_CryptoCoinMinerExecution
Nombre para mostrar de la alerta: Se inició el posible minero de moneda criptográfica
Gravedad: media
VM_DataEgressArtifacts
Nombre para mostrar de la alerta: posible filtración de datos detectada
Gravedad: media
VM_DigitalCurrencyMining
Nombre para mostrar de la alerta: comportamiento relacionado con la minería de moneda digital detectado
Gravedad: alta
VM_DownloadAndRunCombo
Nombre para mostrar de alerta: descarga sospechosa y, después, actividad de ejecución
Gravedad: media
VM_EICAR
Nombre para mostrar de alerta: alerta de prueba de Microsoft Defender for Cloud (no una amenaza)
Gravedad: alta
VM_ExecuteHiddenFile
Nombre para mostrar de la alerta: ejecución del archivo oculto
Gravedad: informativo
VM_ExploitAttempt
Nombre para mostrar de alerta: posible intento de explotación de la línea de comandos
Gravedad: media
VM_ExposedDocker
Nombre para mostrar de alerta: demonio de Docker expuesto en el socket TCP
Gravedad: media
VM_FairwareMalware
Nombre para mostrar de alerta: comportamiento similar al ransomware Fairware detectado
Gravedad: media
VM_FirewallDisabled
Nombre para mostrar de alerta: se detectó la manipulación del firewall de host
Gravedad: media
VM_HadoopYarnExploit
Nombre para mostrar de alerta: posible explotación de Hadoop Yarn
Gravedad: media
VM_HistoryFileCleared
Nombre para mostrar de alerta: se ha borrado un archivo de historial
Gravedad: media
VM_KnownLinuxAttackTool
Nombre para mostrar de alerta: se detectó una posible herramienta de ataque
Gravedad: media
VM_KnownLinuxCredentialAccessTool
Nombre para mostrar de alerta: se detectó la posible herramienta de acceso a credenciales
Gravedad: media
VM_KnownLinuxDDoSToolkit
Nombre para mostrar de alerta: se detectaron indicadores asociados con el kit de herramientas de DDOS
Gravedad: media
VM_KnownLinuxScreenshotTool
Nombre para mostrar de alerta: captura de pantalla tomada en el host
Gravedad: baja
VM_LinuxBackdoorArtifact
Nombre para mostrar de la alerta: se detectó posible retroceso
Gravedad: media
VM_LinuxReconnaissance
Nombre para mostrar de alerta: reconocimiento de host local detectado
Gravedad: media
VM_MismatchedScriptFeatures
Nombre para mostrar de alerta: error de coincidencia de la extensión de script detectada
Gravedad: media
VM_MitreCalderaTools
Nombre para mostrar de la alerta: se detectó el agente mitre caldera
Gravedad: media
VM_NewSingleUserModeStartupScript
Nombre para mostrar de alerta: intento de persistencia detectado
Gravedad: media
VM_NewSudoerAccount
Nombre para mostrar de alerta: cuenta agregada al grupo sudo
Gravedad: baja
VM_OverridingCommonFiles
Nombre para mostrar de alerta: posible invalidación de archivos comunes
Gravedad: media
VM_PrivilegedContainerArtifacts
Nombre para mostrar de alerta: contenedor que se ejecuta en modo con privilegios
Gravedad: baja
VM_PrivilegedExecutionInContainer
Nombre para mostrar de alerta: comando dentro de un contenedor que se ejecuta con privilegios elevados
Gravedad: baja
VM_ReadingHistoryFile
Nombre para mostrar de alerta: acceso inusual al archivo de historial de Bash
Gravedad: informativo
VM_ReverseShell
Nombre para mostrar de alerta: se detectó un posible shell inverso
Gravedad: media
VM_SshKeyAccess
Nombre para mostrar de alerta: proceso que ha visto el acceso al archivo de claves autorizadas ssh de forma inusual
Gravedad: baja
VM_SshKeyAddition
Nombre para mostrar de alerta: se ha agregado una nueva clave SSH
Gravedad: baja
VM_SuspectCompilation
Nombre para mostrar de alerta: se detectó una compilación sospechosa
Gravedad: media
VM_SuspectConnection
Nombre para mostrar de alerta: se detectó un intento de conexión poco común.
Gravedad: media
VM_SuspectDownload
Nombre para mostrar de alerta: se detectó la descarga de archivos de un origen malintencionado conocido.
Gravedad: media
VM_SuspectDownloadArtifacts
Nombre para mostrar de alerta: se detectó una descarga de archivos sospechosos
Gravedad: baja
VM_SuspectExecutablePath
Nombre para mostrar de la alerta: ejecutable encontrado que se ejecuta desde una ubicación sospechosa
Gravedad: media
VM_SuspectHtaccessFileAccess
Nombre para mostrar de alerta: se detectó el acceso al archivo htaccess.
Gravedad: media
VM_SuspectInitialShellCommand
Nombre para mostrar de alerta: primer comando sospechoso en el shell
Gravedad: baja
VM_SuspectMixedCaseText
Nombre para mostrar de alerta: se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos
Gravedad: media
VM_SuspectNetworkConnection
Nombre para mostrar de alerta: conexión de red sospechosa
Gravedad: informativo
VM_SuspectNohup
Nombre para mostrar de alerta: se detectó un uso sospechoso del comando nohup.
Gravedad: media
VM_SuspectPasswordChange
Nombre para mostrar de alerta: se detectó un posible cambio de contraseña mediante el método crypt
Gravedad: media
VM_SuspectPasswordFileAccess
Nombre para mostrar de alerta: acceso sospechoso a contraseñas
Gravedad: informativo
VM_SuspectPhp
Nombre para mostrar de la alerta: se detectó una ejecución de PHP sospechosa
Gravedad: media
VM_SuspectPortForwarding
Nombre para mostrar de alerta: posible reenvío de puertos a una dirección IP externa
Gravedad: media
VM_SuspectProcessAccountPrivilegeCombo
Nombre para mostrar de alerta: el proceso que se ejecuta en una cuenta de servicio se volvió raíz inesperadamente
Gravedad: media
VM_SuspectProcessTermination
Nombre para mostrar de la alerta: se detectó la terminación del proceso relacionada con la seguridad
Gravedad: baja
VM_SuspectUserAddition
Nombre para mostrar de alerta: se detectó un uso sospechoso del comando useradd.
Gravedad: media
VM_SuspiciousCommandLineExecution
Nombre para mostrar de alerta: ejecución sospechosa de comandos
Gravedad: alta
VM_SuspiciousDNSOverHttps
Nombre para mostrar de alertas: uso sospechoso de DNS a través de HTTPS
Gravedad: media
VM_SystemLogRemoval
Nombre para mostrar de alerta: se detectó posible actividad de alteración del registro
Gravedad: media
VM_ThreatIntelCommandLineSuspectDomain
Nombre para mostrar de alerta: se ha detectado una posible conexión a una ubicación malintencionada.
Gravedad: media
VM_ThreatIntelSuspectLogon
Nombre para mostrar de alerta: se ha detectado un inicio de sesión desde una dirección IP malintencionada.
Gravedad: alta
VM_TimerServiceDisabled
Nombre para mostrar de alerta: se ha detectado un intento de detener el servicio apt-daily-upgrade.timer.
Gravedad: informativo
VM_TimestampTampering
Nombre para mostrar de alerta: modificación de marca de tiempo de archivo sospechosa
Gravedad: baja
VM_Webshell
Nombre para mostrar de alerta: se detectó un posible shell web malintencionado
Gravedad: media
Alertas de Windows de Defender para servidores en desuso
SCUBA_MULTIPLEACCOUNTCREATE
Nombre para mostrar de alerta: creación sospechosa de cuentas en varios hosts
Gravedad: media
SCUBA_PSINSIGHT_CONTEXT
Nombre para mostrar de alerta: se detectó un uso sospechoso de PowerShell
Gravedad: informativo
SCUBA_RULE_AddGuestToAdministrators
Nombre para mostrar de alerta: adición de la cuenta de invitado al grupo Administradores locales
Gravedad: media
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nombre para mostrar de alerta: Apache_Tomcat_executing_suspicious_commands
Gravedad: media
SCUBA_RULE_KnownBruteForcingTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_KnownCollectionTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_KnownDefenseEvasionTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_KnownExecutionTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_KnownPassTheHashTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_KnownSpammingTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: media
SCUBA_RULE_Lowering_Security_Settings
Nombre para mostrar de alerta: se detectó la deshabilitación de los servicios críticos
Gravedad: media
SCUBA_RULE_OtherKnownHackerTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nombre para mostrar de alerta: sospecha de nivel de integridad indicativo de secuestro RDP
Gravedad: media
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nombre para mostrar de alerta: Instalación sospechosa del servicio
Gravedad: media
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nombre para mostrar de alerta: se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión.
Gravedad: baja
SCUBA_RULE_WDigest_Enabling
Nombre para mostrar de alerta: se detectó la habilitación de la clave del Registro WDigest UseLogonCredential.
Gravedad: media
VM.Windows_ApplockerBypass
Nombre para mostrar de alerta: posible intento de omitir AppLocker detectado
Gravedad: alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nombre para mostrar de alerta: se detectó la creación de archivos sospechosos
Gravedad: alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nombre para mostrar de alerta: se detectó un archivo ejecutable codificado en los datos de la línea de comandos.
Gravedad: alta
VM.Windows_CalcsCommandLineUse
Nombre para mostrar de alerta: se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema.
Gravedad: media
VM.Windows_CommandLineStartingAllExe
Nombre para mostrar de alerta: se detectó una línea de comandos sospechosa que se usó para iniciar todos los ejecutables de un directorio.
Gravedad: media
VM.Windows_DisablingAndDeletingIISLogFiles
Nombre para mostrar de alerta: acciones detectadas indica cómo deshabilitar y eliminar archivos de registro de IIS
Gravedad: media
VM.Windows_DownloadUsingCertutil
Nombre para mostrar de alerta: descarga sospechosa mediante Certutil detectado
Gravedad: media
VM.Windows_EchoOverPipeOnLocalhost
Nombre para mostrar de alerta: se detectaron comunicaciones de canalización con nombre sospechosas
Gravedad: alta
VM.Windows_EchoToConstructPowerShellScript
Nombre para mostrar de alerta: construcción dinámica de scripts de PowerShell
Gravedad: media
VM.Windows_ExecutableDecodedUsingCertutil
Nombre para mostrar de alerta: se detectó la descodificación de un archivo ejecutable mediante la herramienta de certutil.exe integrada
Gravedad: media
VM.Windows_FileDeletionIsSospisiousLocation
Nombre para mostrar de la alerta: se detectó una eliminación de archivos sospechosa
Gravedad: media
VM.Windows_KerberosGoldenTicketAttack
Nombre para mostrar de la alerta: se sospechan parámetros de ataque de Golden Ticket kerberos observados
Gravedad: media
VM.Windows_KeygenToolKnownProcessName
Nombre para mostrar de alerta: se detectó la posible ejecución del archivo ejecutable keygen Sospechoso ejecutado
Gravedad: media
VM.Windows_KnownCredentialAccessTools
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
VM.Windows_KnownSuspiciousPowerShellScript
Nombre para mostrar de alerta: se detectó un uso sospechoso de PowerShell
Gravedad: alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nombre para mostrar de alerta: software de alto riesgo detectado
Gravedad: media
VM.Windows_MsHtaAndPowerShellCombination
Nombre para mostrar de alerta: se detectó una combinación sospechosa de HTA y PowerShell
Gravedad: media
VM.Windows_MultipleAccountsQuery
Nombre para mostrar de alerta: varias cuentas de dominio consultadas
Gravedad: media
VM.Windows_NewAccountCreation
Nombre para mostrar de la alerta: se detectó la creación de la cuenta
Gravedad: informativo
VM.Windows_ObfuscatedCommandLine
Nombre para mostrar de alerta: se detectó una línea de comandos ofuscada.
Gravedad: alta
VM.Windows_PcaluaUseToLaunchExecutable
Nombre para mostrar de alerta: se detectó un uso sospechoso de Pcalua.exe para iniciar código ejecutable.
Gravedad: media
VM.Windows_PetyaRansomware
Nombre para mostrar de alerta: indicadores de ransomware petya detectados
Gravedad: alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nombre para mostrar de alerta: cmdlets de PowerShell sospechosos ejecutados
Gravedad: media
VM.Windows_RansomwareIndication
Nombre para mostrar de alerta: indicadores de ransomware detectados
Gravedad: alta
VM.Windows_SqlDumperUsedSuspiciously
Nombre para mostrar de alerta: se detectó un posible volcado de credenciales [se ha detectado varias veces]
Gravedad: media
VM.Windows_StopCriticalServices
Nombre para mostrar de alerta: se detectó la deshabilitación de los servicios críticos
Gravedad: media
VM.Windows_SubvertingAccessibilityBinary
Nombre para mostrar de alerta: se detectó un ataque de claves permanentes. Se detectó la creación de cuentas sospechosas.
VM.Windows_SuspiciousAccountCreation
Nombre para mostrar de alerta: se detectó la creación de cuentas sospechosas
Gravedad: media
VM.Windows_SuspiciousFirewallRuleAdded
Nombre para mostrar de alerta: se detectó una nueva regla de firewall sospechosa
Gravedad: media
VM.Windows_SuspiciousFTPSSwitchUsage
Nombre para mostrar de alerta: se detectó un uso sospechoso del modificador FTP -s
Gravedad: media
VM.Windows_SuspiciousSQLActivity
Nombre para mostrar de alerta: actividad SQL sospechosa
Gravedad: media
VM.Windows_SVCHostFromInvalidPath
Nombre para mostrar de alerta: proceso sospechoso ejecutado
Gravedad: alta
VM.Windows_SystemEventLogCleared
Nombre para mostrar de la alerta: se ha borrado el registro de Seguridad de Windows
Gravedad: informativo
VM.Windows_TelegramInstallation
Nombre para mostrar de alerta: se detectó un uso potencialmente sospechoso de la herramienta Telegram.
Gravedad: media
VM.Windows_UndercoverProcess
Nombre para mostrar de alerta: se detectó un proceso con nombre sospechoso
Gravedad: alta
VM.Windows_UserAccountControlBypass
Nombre para mostrar de alerta: se detectó un cambio en una clave del Registro que se puede abusar para omitir UAC.
Gravedad: media
VM.Windows_VBScriptEncoding
Nombre para mostrar de alerta: se detectó una ejecución sospechosa del comando VBScript.Encode.
Gravedad: media
VM.Windows_WindowPositionRegisteryChange
Nombre para mostrar de alerta: se detectó un valor sospechoso del Registro WindowPosition
Gravedad: baja
VM.Windows_ZincPortOpenningUsingFirewallRule
Nombre para mostrar de alerta: regla de firewall malintencionada creada por el implante del servidor ZINC
Gravedad: alta
VM_DigitalCurrencyMining
Nombre para mostrar de la alerta: comportamiento relacionado con la minería de moneda digital detectado
Gravedad: alta
VM_MaliciousSQLActivity
Nombre para mostrar de alerta: actividad SQL malintencionada
Gravedad: alta
VM_ProcessWithDoubleExtensionExecution
Nombre para mostrar de alerta: archivo de extensión doble sospechoso ejecutado
Gravedad: alta
VM_RegistryPersistencyKey
Nombre para mostrar de alerta: se detectó el método de persistencia del Registro de Windows
Gravedad: baja
VM_ShadowCopyDeletion
Nombre para mostrar de alerta: ejecutable de actividad de instantáneas de volumen sospechoso que se encuentra ejecutándose desde una ubicación sospechosa
Gravedad: alta
VM_SuspectExecutablePath
Nombre para mostrar de alerta: archivo ejecutable que se encuentra en ejecución desde una ubicación sospechosa. Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.
Gravedad: informativo
Media
VM_SuspectPhp
Nombre para mostrar de la alerta: se detectó una ejecución de PHP sospechosa
Gravedad: media
VM_SuspiciousCommandLineExecution
Nombre para mostrar de alerta: ejecución sospechosa de comandos
Gravedad: alta
VM_SuspiciousScreenSaverExecution
Nombre para mostrar de alerta: se ejecutó un proceso de protector de pantalla sospechoso
Gravedad: media
VM_SvcHostRunInRareServiceGroup
Nombre para mostrar de alerta: grupo de servicios SVCHOST raro ejecutado
Gravedad: informativo
VM_SystemProcessInAbnormalContext
Nombre para mostrar de alerta: proceso del sistema sospechoso ejecutado
Gravedad: media
VM_ThreatIntelCommandLineSuspectDomain
Nombre para mostrar de alerta: se ha detectado una posible conexión a una ubicación malintencionada.
Gravedad: media
VM_ThreatIntelSuspectLogon
Nombre para mostrar de alerta: se ha detectado un inicio de sesión desde una dirección IP malintencionada.
Gravedad: alta
VM_VbScriptHttpObjectAllocation
Nombre para mostrar de alerta: se detectó la asignación de objetos HTTP de VBScript
Gravedad: alta
VM_TaskkillBurst
Nombre para mostrar de alerta: ráfaga de terminación de proceso sospechosa
Gravedad: baja
VM_RunByPsExec
Nombre para mostrar de alerta: se detectó la ejecución de PsExec
Gravedad: informativo
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.