Alertes de sécurité - guide de référence

Cet article liste les alertes de sécurité que vous pouvez recevoir de la part de Microsoft Defender pour le cloud et des plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

En bas de cette page, un tableau décrit la kill chain de Microsoft Defender pour le cloud alignée sur la version 9 de la matrice MITRE ATT&CK.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes pour les machines Windows

Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Windows :

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
Détection d’une connexion à partir d’une adresse IP malveillante. [vu plusieurs fois] Une authentification distante réussie pour le compte [compte] et le processus [processus] s’est produite, mais l’adresse IP de connexion (x.x.x.x) a déjà été signalée comme malveillante ou très inhabituelle. Une attaque a probablement eu lieu. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire. - Élevé
Ajout d’un compte invité au groupe Administrateurs local L’analyse des données de l’hôte a détecté l’ajout du compte Invité intégré au groupe Administrateurs local sur %{Hôte compromis}, action qui est très souvent associée à une activité de la part d’un attaquant. - Moyenne
Un journal des événements a été effacé Les journaux de l’ordinateur indiquent une opération suspecte d’effacement du journal des événements par l’utilisateur : %{nom d’utilisateur} sur l’ordinateur %{Entité compromise}. Le journal %{canal du journal} a été effacé. - Informationnel
Échec d’action anti-programme malveillant Microsoft Antimalware a rencontré une erreur en effectuant une action sur un programme malveillant ou un autre logiciel potentiellement indésirable. - Moyenne
Mesure anti-programme malveillant prise Microsoft Antimalware pour Azure a pris une mesure pour protéger cet ordinateur contre les programmes malveillants ou d’autres logiciels potentiellement indésirables. - Moyenne
Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmBroadFilesExclusion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers de l’extension anti-programme malveillant dans votre machine virtuelle avec une règle d’exclusion large. Cette exclusion désactive pratiquement la protection anti-programme malveillant.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
- Moyenne
Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle
(VM_AmDisablementAndCodeExecution)
Logiciel anti-programme malveillant désactivé pendant l’exécution de code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.
- Importante
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle
(VM_AmDisablement)
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Évasion de défense Moyenne
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmFileExclusionAndCodeExecution)
Fichiers exclus de votre scanneur anti-programme malveillant pendant que du code était exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Defense Evasion, Execution Importante
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmTempFileExclusionAndCodeExecution)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers temporaire de l’extension anti-programme malveillant dans votre machine virtuelle parallèlement à une exécution de code via une extension de script personnalisé.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Defense Evasion, Execution Importante
Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmTempFileExclusion)
Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle
(VM_AmRealtimeProtectionDisabled)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps de l’extension anti-programme malveillant a été désactivée dans votre machine virtuelle.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle
(VM_AmTempRealtimeProtectionDisablement)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps de l’extension anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle
(VM_AmRealtimeProtectionDisablementAndCodeExec)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps réel de l’extension anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle parallèlement à une exécution de code via une extension de script personnalisé.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
- Importante
Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)
(VM_AmMalwareCampaignRelatedExclusion)
Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’extension anti-programme malveillant d’analyser certains fichiers suspectés d’être liés à une campagne de logiciel malveillant. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants. Évasion de défense Moyenne
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle
(VM_AmTemporarilyDisablement)
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
- Moyenne
Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_UnusualAmFileExclusion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers inhabituelle de l’extension anti-programme malveillant dans votre machine virtuelle.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. Accès initial, persistance, exécution, commande et contrôle, exploitation Moyenne
Extension de script personnalisé avec commande suspecte dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousCmd)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec une commande suspecte.
Des attaquants peuvent utiliser une extension de script personnalisé pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager.
Exécution Moyenne
Extension de script personnalisé avec point d’entrée suspect dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousEntryPoint)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec un point d’entrée suspect. Le point d’entrée fait référence à un dépôt GitHub suspect.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Extension de script personnalisé avec une charge utile suspecte dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousPayload)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec une charge utile issue d’un dépôt GitHub suspect.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS L’analyse des données de l’hôte a détecté des actions qui indiquent que les fichiers journaux IIS sont désactivés et/ou supprimés. - Moyenne
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande L’analyse des données de l’hôte sur%{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères en majuscules et en minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis. - Moyenne
Détection d’une modification apportée à une clé de Registre pouvant être utilisée pour contourner l’UAC L’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’une clé de Registre qui peut être utilisée pour contourner le contrôle de compte d’utilisateur (UAC) a été modifiée. Ce type de configuration, même s’il est peut-être bénin, est également typique de l’activité d’un attaquant qui tente de passer d’un accès non privilégié (utilisateur standard) à un accès privilégié (par exemple, administrateur) sur un hôte compromis. - Moyenne
Détection du décodage d’un exécutable à l’aide de l’outil certutil.exe intégré L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le décodage d’un exécutable au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté. - Élevé
Détection de l’activation de la clé de Registre WDigest UseLogonCredential L’analyse des données de l’hôte a détecté une modification dans la clé de Registre HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Dans ce cas précis, la clé a été mise à jour pour permettre le stockage des informations d’identification pour l’ouverture de session en texte clair dans la mémoire LSA. Une fois activée, l’attaquant peut vider les mots de passe en texte clair de la mémoire LSA à l’aide d’outils de collecte des informations d’identification tels que Mimikatz. - Moyenne
Détection d’un fichier exécutable encodé dans les données de la ligne de commande L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation d’un exécutable encodé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Élevé
Détection d’une ligne de commande masquée Les attaquants utilisent des techniques d’obscurcissement de plus en plus complexes pour échapper aux détections qui s’exécutent sur les données sous-jacentes. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs suspects de brouillage sur la ligne de commande. - Informationnel
Détection d’indicateurs de ransomware Petya L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs associés au ransomware Petya. Consultez la rubrique https://aka.ms/petya-blog (éventuellement en anglais) pour plus d'informations. Examinez la ligne de commande associée à cette alerte et réaffectez cette alerte à votre équipe de sécurité. - Élevé
Possible détection de l’exécution d’un exécutable de génération de clés L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus dont le nom indique un outil de génération de clés. Ces outils sont généralement utilisés pour contourner les mécanismes de licence logicielle, mais leur téléchargement est souvent accompagné d’autres logiciels malveillants. Le groupe d’activités GOLD est réputé pour profiter de ces outils pour bénéficier de façon dissimulée d’un accès aux hôtes qu’ils compromettent. - Moyenne
Possible détection de l’exécution d’une installation de logiciel malveillant L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un nom de fichier qui a déjà été associé à l’une des méthodes du groupe d’activités GOLD liées à l’installation de programmes malveillants sur l’hôte victime. - Élevé
Possible détection d’une activité de reconnaissance locale L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systemInfo qui a déjà été associée à l’une des méthodes du groupe d’activités GOLD pour ses activités de reconnaissance. Même si systeminfo.exe est un outil Windows légitime, son exécution deux fois de suite, suivie d’une commande de suppression comme survenu ici est rare. -
Détection d’une utilisation potentiellement suspecte de l’outil Telegram L’analyse des données de l’hôte montre l’installation de Telegram, un service de messagerie instantanée gratuit basé dans le cloud et qui existe à la fois pour les systèmes mobiles et les ordinateurs de bureau. Les attaquants sont connus pour abuser de ce service pour transférer des fichiers binaires malveillants sur un autre ordinateur, téléphone ou tablette. - Moyenne
Détection de la notice légale présentée aux utilisateurs lors de la connexion L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des modifications apportées à la clé de Registre qui contrôle si un avis légal est présenté aux utilisateurs lorsqu’ils se connectent. L’analyse de sécurité Microsoft a déterminé qu’il s’agissait d’une activité couramment utilisée par les attaquants une fois l’hôte compromis. - Faible
Détection d’une combinaison suspecte de HTA et PowerShell mshta. exe (Microsoft HTML application Host) est un fichier binaire Microsoft signé qui est utilisé par les attaquants pour lancer des commandes PowerShell malveillantes. Les attaquants ont souvent recours à un fichier HTA avec VBScript inclus. Lorsque la victime parcourt le fichier HTA et choisit de l’exécuter, les commandes et les scripts PowerShell qu’il contient sont exécutés. L’analyse des données de l’hôte sur%{Hôte compromis} a détecté le lancement par mshta.exe de commandes PowerShell. - Moyenne
Détection d’arguments de ligne de commande suspects L’analyse des données de l’hôte sur %{Hôte compromis} a détecté que des arguments de ligne de commande suspects ont été utilisés conjointement avec un interpréteur de commandes inverse utilisé par le groupe d’activités HYDROGEN. - Élevé
Détection d’une ligne de commande suspecte utilisée pour démarrer tous les exécutables dans un répertoire L’analyse des données de l’hôte a détecté un processus suspect en cours d’exécution sur %{Hôte compromis}. La ligne de commande indique une tentative de démarrage de tous les exécutables (*.exe) qui peuvent résider dans un répertoire. Il peut s’agir d’une indication que l’hôte est compromis. - Moyenne
Détection d’informations d’identification suspectes dans la ligne de commande L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un mot de passe suspect utilisé pour exécuter un fichier par le groupe d’activités BORON. Ce groupe d’activités utilise souvent ce mot de passe pour exécuter des programmes malveillants Pirpi sur l’hôte victime. - Élevé
Détection d’informations d’identification de document suspectes L’analyse des données de l’hôte sur %{Hôte compromis} indique qu’un hachage de mot de passe précalculé, commun et suspect est utilisé par des programmes malveillants pour exécuter un fichier. Le groupe d’activité HYDROGEN utilise souvent ce mot de passe pour exécuter des programmes malveillants sur l’hôte victime. - Élevé
Détection de l’exécution suspecte de la commande VBScript.Encode L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande VBScript.Encode. Cette commande encode les scripts en texte illisible, ce qui rend plus difficile l’examen du code par les utilisateurs. La recherche Microsoft sur les menaces montre que les attaquants utilisent souvent des fichiers VBscript encodés dans le cadre de leur attaque afin d’échapper aux systèmes de détection. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Moyenne
Détection d’une exécution suspecte via rundll32.exe L’analyse des données de l’hôte sur %{Hôte compromis} a détecté que rundll32.exe avait été utilisé pour exécuter un processus avec un nom rare, conformément au schéma d’attribution de noms de processus précédemment constaté chez le groupe GOLD lors de l’installation de son implantation initiale sur un hôte compromis. - Élevé
Détection de commandes suspectes de nettoyage de fichier L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systemInfo qui a déjà été associée à l’une des méthodes du groupe d’activités GOLD pour ses activités de nettoyage après action. Même si systeminfo.exe est un outil Windows légitime, une exécution deux fois de suite, suivie d’une commande de suppression comme survenue ici est rare. - Élevé
Détection d’une création de fichier suspecte L’analyse des données de l’hôte sur l’hôte %{Hôte compromis} a détecté la création ou l’exécution d’un processus qui a déjà indiqué une action suite à une attaque menée sur un hôte victime par le groupe d’activités BARIUM. Ce groupe est réputé pour utiliser cette technique pour télécharger des logiciels malveillants supplémentaires vers un hôte compromis après l’ouverture d’une pièce jointe dans un document de hameçonnage. - Élevé
Détection de communications de canal nommé suspectes L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’écriture de données dans un canal nommé local à partir d’une commande de la console Windows. Les canaux nommés sont souvent utilisés par les attaquants afin d’attribuer et de communiquer avec un implant malveillant. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Élevé
Détection d’une activité réseau suspecte L’analyse du trafic réseau provenant de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur. - Faible
Détection d’une nouvelle règle de pare-feu suspecte L’analyse des données de l’hôte a détecté l’ajout d’une règle de pare-feu via netsh.exe pour autoriser le trafic à partir d’un exécutable situé dans un emplacement suspect. - Moyenne
Détection de l’utilisation suspecte de Cacls pour abaisser le niveau de sécurité du système Les attaquants utilisent tout un arsenal de procédures, comme la force brute, le harponnage, etc., pour créer une brèche sur le réseau et y entrer. Une fois l’attaque initiale effectuée, ils prennent souvent des mesures pour réduire les paramètres de sécurité du système. Cacls, ou modification de liste de contrôle d’accès, est un utilitaire en ligne de commande Microsoft Windows natif souvent utilisé pour modifier les autorisations de sécurité sur les dossiers et les fichiers. Souvent, le fichier binaire est utilisé par les attaquants pour abaisser le niveau de sécurité du système. Pour ce faire, tous les utilisateurs se voient attribuer ont un accès complet à certains fichiers binaires du système, comme ftp.exe, net.exe, wscript.exe, etc. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une utilisation suspecte de cacls pour réduire la sécurité du système. - Moyenne
Détection d’une utilisation suspecte du commutateur FTP -s L’analyse des données de création de processus de %{Hôte compromis} a détecté l’utilisation du commutateur FTP « -s:filename ». Ce commutateur est utilisé pour spécifier un fichier de script FTP à exécuter par le client. Les programmes ou processus malveillants sont connus pour utiliser ce commutateur FTP (-s :nom_fichier) pour pointer vers un fichier de script configuré pour se connecter à un serveur FTP distant et télécharger d’autres fichiers binaires malveillants. - Moyenne
Détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de pcalua.exe pour lancer du code exécutable. Pcalua.exe est un composant de l’Assistant Compatibilité des programmes de Microsoft Windows, qui détecte les problèmes de compatibilité lors de l’installation ou de l’exécution d’un programme. Les attaquants abusent souvent des fonctionnalités des outils système Windows légitimes pour exécuter des actions malveillantes, par exemple en utilisant pcalua.exe avec le commutateur -a pour lancer des exécutables malveillants, localement ou à partir de partages distants. - Moyenne
Détection de la désactivation de services essentiels L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande « net.exe stop », utilisée pour arrêter les services critiques tels que SharedAccess ou l’application Windows Security. L’arrêt de l’un de ces services peut indiquer un comportement malveillant. - Moyenne
Détection d’un comportement lié au minage de devises numériques L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques. - Élevé
Construction de script dynamique PS L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la construction dynamique d’un script PowerShell. Les attaquants utilisent parfois cette approche pour générer un script progressivement afin d’échapper aux systèmes IDS. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise. - Moyenne
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect L’analyse des données de l’hôte a détecté un fichier exécutable %{Hôte compromis} qui s’exécute dans un emplacement commun avec des fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis. - Élevé
Comportement d’attaque sans fichier détecté
(VM_FilelessAttackBehavior.Windows)
La mémoire du processus spécifié contient des comportements fréquemment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants :
1) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.
2) Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
3) Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
4) Contient un thread qui a été démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Évasion de défense Faible
Technique d’attaque sans fichier détectée
(VM_FilelessAttackTechnique.Windows)
La mémoire du processus spécifié ci-dessous contient une preuve de technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants :
1) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.
2) Image exécutable injectée dans le processus, tel qu’une attaque par injection de code.
3) Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
4) Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
5) Processus creux, qui est une technique utilisée par un programme malveillant dans lequel un processus légitime est chargé sur le système pour agir en tant que conteneur du code hostile.
6) Contient un thread qui a été démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Defense Evasion, Execution Importante
Kit d’attaques sans fichier détecté
(VM_FilelessAttackToolkit.Windows)
La mémoire du processus spécifié contient un kit de ressources des attaques sans fichier : [nom du kit de ressources]. Les kits d’attaques sans fichier utilisent des techniques qui réduisent ou éliminent les traces de logiciels malveillants sur disque et réduisent considérablement les chances de détection par des solutions d’analyse de logiciels malveillants sur disque. Les comportements spécifiques sont les suivants :
1) Trousses à outils et logiciels d’exploration de données de chiffrement connus.
2) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.
3) Injection d’un exécutable malveillant dans la mémoire du processus.
Defense Evasion, Execution Moyenne
Détection d’un logiciel à haut risque L’analyse des données de l’hôte %{Hôte compromis} a détecté l’utilisation de logiciels qui ont déjà été associés à l’installation de logiciels malveillants. Une technique courante utilisée dans la distribution de logiciels malveillants consiste à les empaqueter dans des outils bénins, comme celui présenté dans cette alerte. Lors de l’utilisation de ces outils, les logiciels malveillants peuvent être installés en arrière-plan de façon silencieuse. - Moyenne
Les membres du groupe Administrateurs locaux ont été énumérés Les journaux de l’ordinateur indiquent une énumération réussie sur le groupe %{Nom de domaine de groupe énuméré}%{Nom de groupe énuméré}. Plus précisément, %{Énumération du nom de domaine de l’utilisateur}%{Énumération du nom d’utilisateur} a énuméré à distance les membres du groupe %{Nom de domaine du groupe énuméré}%{Nom du groupe énuméré}. Il s’agit peut-être d’une activité légitime ou bien d’une indication qu’un des ordinateurs de votre organisation a été compromis et utilisé pour la reconnaissance de %{nom_machine_virtuelle}. - Informationnel
Règle de pare-feu malveillante créée par l’implant de serveur ZINC [constaté plusieurs fois] Une règle de pare-feu a été créée à l’aide de techniques qui correspondent à un acteur connu, ZINC. Cette règle a peut-être été utilisée pour ouvrir un port sur l’hôte %{Hôte compromis} afin d’autoriser les communications de contrôle et de commande. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Élevé
Activité SQL malveillante Les journaux de l’ordinateur indiquent que %{Nom du processus} a été exécuté par le compte : %{Nom d’utilisateur}. Cette activité est considérée comme malveillante. - Élevé
Interrogations de plusieurs comptes de domaine L’analyse des données de l’hôte a déterminé qu’un nombre inhabituel de comptes de domaine distincts sont interrogés dans un laps de temps court depuis %{Hôte compromis}. Ce type d’activité peut être légitime, mais peut également être l’indication d’une attaque. - Moyenne
Possible détection d’un vidage des informations d’identification [constaté plusieurs fois] L’analyse des données de l’hôte a détecté l’utilisation d’un outil Windows natif (par exemple, sqldumper.exe) de façon à extraire des informations d’identification de la mémoire. Les attaquants utilisent souvent ces techniques pour extraire des informations d’identification qu’ils utilisent ensuite pour se déplacer et pour augmenter les privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’une tentative de contournement d’AppLocker L’analyse des données hôte sur %{Hôte compromis} a détecté le contournement possible des restrictions d’AppLocker. AppLocker peut être configuré pour mettre en œuvre une stratégie qui limite les exécutables autorisés à s’exécuter sur un système Windows. Le modèle de ligne de commande similaire à celui identifié dans cette alerte a déjà été associé aux actions d’un attaquant qui tentait de contourner la stratégie AppLocker à l’aide de fichiers exécutables approuvés (autorisés par la stratégie AppLocker) pour exécuter du code non approuvé. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Élevé
Détection de l’exécution de PsExec
(VM_RunByPsExec)
L’analyse des données de l’hôte indique que le processus %{Nom du processus} a été exécuté par l’utilitaire PsExec. PsExec peut être utilisé pour exécuter des processus à distance. Cette technique peut être utilisée à des fins malveillantes. Lateral Movement, Execution Informationnel
Détection d’indicateurs de ransomware [constaté plusieurs fois] L’analyse des données de l’hôte indique une activité suspecte généralement associée aux ransomware par écran de verrouillage et chiffrement. Le ransomware avec écran de verrouillage affiche un message en plein écran qui empêche l’utilisation de l’hôte et l’accès aux fichiers qu’il contient. Le ransomware avec chiffrement empêche l’accès aux fichiers de données en les chiffrant. Dans les deux cas, un message de rançon s’affiche généralement, demandant le paiement de la rançon avant de restaurer l’accès aux fichiers. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Élevé
Détection d’indicateurs de ransomware L’analyse des données de l’hôte indique une activité suspecte généralement associée aux ransomware par écran de verrouillage et chiffrement. Le ransomware avec écran de verrouillage affiche un message en plein écran qui empêche l’utilisation de l’hôte et l’accès aux fichiers qu’il contient. Le ransomware avec chiffrement empêche l’accès aux fichiers de données en les chiffrant. Dans les deux cas, un message de rançon s’affiche généralement, demandant le paiement de la rançon avant de restaurer l’accès aux fichiers. - Élevé
Groupe de service SVCHOST rare exécuté
(VM_SvcHostRunInRareServiceGroup)
Le processus système SVCHOST a exécuté dans un groupe de services rare. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes. Defense Evasion, Execution Informationnel
Détection d’attaque des touches rémanentes L’analyse des données de l’hôte indique qu’un attaquant est peut-être en train de compromettre un binaire d’accessibilité (par exemple, les touches rémanentes, le clavier visuel, le narrateur) afin de fournir un accès par une porte dérobée à l’hôte %{Hôte compromis}. - Moyenne
Attaque par force brute réussie
(VM_LoginBruteForceSuccess)
Plusieurs tentatives de connexion ont été détectées à partir de la même source. Certaines authentification ont réussi.
Ceci ressemble à une attaque en rafale, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification pour trouver des informations d'identification de compte valides.
Exploitation Moyenne/élevée
Niveau d’intégrité suspect indiquant un détournement RDP L’analyse des données de l’hôte a détecté l’exécution de tscon.exe avec des privilèges système. Cela peut indiquer qu’un intrus abusait de ce fichier binaire pour changer de contexte et passer à un autre utilisateur connecté sur cet ordinateur hôte. Il s’agit d’une technique d’attaque connue pour compromettre d’autres comptes d’utilisateur et se déplacer sur un réseau. - Moyenne
Installation de service suspecte L’analyse des données de l’hôte a détecté l’installation de tscon.exe en tant que service : ce fichier binaire démarré comme service permet potentiellement à un attaquant de changer facilement d’utilisateur connecté sur cet ordinateur hôte en détournant les connexions RDP. Il s’agit d’une technique d’attaque connue pour compromettre d’autres comptes d’utilisateur et se déplacer sur un réseau. - Moyenne
Détection de paramètres d’attaque Kerberos Golden Ticket suspects L’analyse des données de l’hôte a détecté des paramètres de ligne de commande ressemblant à une attaque Kerberos Golden Ticket. - Moyenne
Détection de création de compte suspecte L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation du compte local %{Nom du compte suspect} : ce nom de compte ressemble à un compte Windows standard ou à un nom de groupe %{Similaire au nom du compte}. Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain. - Moyenne
Activité suspecte détectée
(VM_SuspiciousActivity)
L’analyse des données de l’hôte a détecté une séquence d’un ou plusieurs processus en cours d’exécution sur %{nom de l’ordinateur} qui ont déjà été associés à une activité malveillante. Alors que des commandes individuelles peuvent sembler sans gravité, l’alerte est basée sur une agrégation de ces commandes. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. Exécution Moyenne
Activité d’authentification suspecte
(VM_LoginBruteForceValidUserFailed)
Bien qu’aucun d’entre eux n’ait abouti, certains comptes utilisés ont été reconnus par l’hôte. Cela ressemble à une attaque par dictionnaire, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification à l’aide d’un dictionnaire prédéfini de noms de comptes et de mots de passe, afin de trouver des informations d’identification valides pour accéder à l’hôte. Cela indique que certains noms de compte de votre hôte peuvent se trouver dans un dictionnaire de noms de compte connus. Détection Moyenne
Détection de segment de code suspect Indique qu’un segment de code a été alloué à l’aide de méthodes non standard, comme l’injection par réflexion et le remplacement de processus (« process hollowing »). L’alerte présente d’autres caractéristiques du segment de code qui a été traité pour fournir un contexte relatif aux fonctionnalités et aux comportements du segment de code indiqué. - Moyenne
Exécution de commande suspecte
(VM_SuspiciousCommandLineExecution)
Les journaux de l’ordinateur indiquent l’exécution d’une ligne de commande suspecte par l’utilisateur %{nom d’utilisateur}. Exécution Élevé
Exécution suspecte d’un fichier à double extension L’analyse des données de l’hôte indique l’exécution d’un processus avec une double extension suspecte. Cette extension peut amener l’utilisateur à penser que les fichiers peuvent être ouverts en toute sécurité, ce qui peut indiquer la présence de programmes malveillants dans le système. - Élevé
Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’un téléchargement suspect à l’aide de Certutil L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. - Moyenne
Échec d’exécution suspect d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousFailure)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’échec suspect d’une extension de script personnalisé.
Ce type d’échec peut être associé à des scripts malveillants exécutés par cette extension.
Exécution Moyenne
Détection d’activité PowerShell suspecte L’analyse des données de l’hôte a détecté un script PowerShell s’exécutant sur %{Hôte compromis}, avec des caractéristiques courantes dans les scripts suspects connus. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Élevé
Exécution de cmdlets PowerShell suspects L’analyse des données de l’hôte indique l’exécution de cmdlets PowerShell PowerSploit malveillants connus. - Moyenne
Exécution d’un processus suspect [constaté plusieurs fois] Les journaux de l’ordinateur indiquent que le processus suspect %{processus suspect} était en cours d’exécution sur l’ordinateur. Il est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Élevé
Exécution d’un processus suspect Les journaux de l’ordinateur indiquent que le processus suspect %{processus suspect} était en cours d’exécution sur l’ordinateur. Il est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant. - Élevé
Détection d’un nom de processus suspect [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’un nom de processus suspect L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. - Moyenne
Rafale de fin du processus suspecte
(VM_TaskkillBurst)
L’analyse des données de l’hôte indique une rafale de fin de processus suspecte sir %{Nom de l’ordinateur}. Plus précisément, %{NombredeCommandes} processus ont été supprimés entre %{Début} et %{Fin}. Évasion de défense Faible
Exécution d’un processus d’économiseur d’écran suspect
(VM_SuspiciousScreenSaverExecution)
L’exécution du processus « %{nom du processus} » a été constatée dans un emplacement rare. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire. Defense Evasion, Execution Moyenne
Activité SQL suspecte Les journaux de l’ordinateur indiquent que %{Nom du processus} a été exécuté par le compte : %{Nom d’utilisateur}. Cette activité est rare avec ce compte. - Moyenne
Exécution suspecte du processus SVCHOST Le processus système SVCHOST a été exécuté dans un contexte anormal. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes. - Élevé
Exécution suspecte d’un processus système
(VM_SystemProcessInAbnormalContext)
Le processus système %{nom du processus} a été exécuté dans un contexte anormal. Le programme malveillant utilise souvent ce nom de processus pour masquer des activités malveillantes. Defense Evasion, Execution Importante
Activité suspecte de copie de clichés instantanés de volume L’analyse des données de l’hôte a détecté une activité de suppression des clichés instantanés sur la ressource. Le cliché instantané de volume (VSC) est un artefact important qui stocke des clichés instantanés de données. Certains logiciels malveillants, et en particulier les ransomwares, ciblent VSC pour saboter les stratégies de sauvegarde. - Élevé
Détection d’une valeur de Registre WindowPosition suspecte L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative de modification de la configuration de Registre WindowPosition, ce qui peut indiquer un masquage de fenêtres d’application dans des parties non visibles du bureau. Il peut s’agir d’une activité légitime ou d’une indication que l’ordinateur est compromis : ce type d’activité a déjà été associé à un logiciel de publicité connu (ou à un logiciel indésirable), par exemple Win32/OneSystemCare et Win32/SystemHealer et à un programme malveillant tel que Win32/Creprote. Lorsque la valeur de WindowPosition est définie sur 201329664, (hex : 0x0c00 0C00, ce qui correspond à axe X = 0c00 et axe Y = 0c00), la fenêtre de l’application console est placée dans une partie non visible de l’écran de l’utilisateur, dans une zone masquée par le menu Démarrer/la barre des tâches visible. La valeur hexadécimale suspecte connue comprend entre autres c000c000. - Faible
Détection d’un processus nommé de façon suspecte L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est très similaire à celui d’un processus très communément exécuté (%{semblable au nom du processus}). Bien que ce processus puisse être inoffensif, les attaquants peuvent parfois masquer leurs outils malveillants en leur donnant un nom qui ressemble à celui d’un processus légitime. - Moyenne
Réinitialisation de configuration inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualConfigReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de configuration inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser la configuration de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne
Suppression inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualDeletion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle la suppression inhabituelle d’une extension de script personnalisé.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Exécution inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualExecution)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’exécution inhabituelle d’une extension de script personnalisé.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Détection de l’exécution suspecte d’un processus L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus par %{Nom de l’utilisateur}, ce qui est inhabituel. Les comptes tels que %{Nom d’utilisateur} ont tendance à exécuter un ensemble limité d’opérations et cette exécution a été considérée comme étant inhabituelle et donc suspecte. - Élevé
Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualPasswordReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser les informations d’identification d’un utilisateur local de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne
Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualSSHReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser la clé SSH d’un compte d’utilisateur de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne
Détection d’une allocation d’objet HTTP VBScript La création d’un fichier VBScript à l’aide de l’invite de commandes a été détectée. Le script suivant contient une commande d’allocation d’objets HTTP. Cette action peut être utilisée pour télécharger des fichiers malveillants. - Élevé
Détection d’une méthode de persistance du Registre Windows
(VM_RegistryPersistencyKey)
L’analyse des données de l’hôte a détecté une tentative de conservation d’un fichier exécutable dans le Registre Windows. Les logiciels malveillants utilisent souvent cette technique pour survivre à un démarrage. Persistance Faible

Alertes pour les machines Linux

Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Linux :

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
un fichier d’historique a été effacé L’analyse des données de l’hôte indique que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. Cette opération a été effectuée par l’utilisateur : {Nom de l’utilisateur}. - Moyenne
Détection d’un accès au fichier htaccess
(VM_SuspectHtaccessFileAccess)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du fichier htaccess. Htaccess est un puissant fichier de configuration qui vous permet d’apporter plusieurs modifications à un serveur web exécutant le logiciel Web Apache, notamment la fonctionnalité de redirection de base, ou pour des fonctions plus avancées telles que la protection de mot de passe de base. Les attaquants modifieront souvent les fichiers htaccess sur les ordinateurs qu’ils ont compromis pour s’y installer. Persistance, Intrusion dans la défense, Exécution Moyenne
Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmBroadFilesExclusion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers de l’extension anti-programme malveillant dans votre machine virtuelle avec une règle d’exclusion large. Cette exclusion désactive pratiquement la protection anti-programme malveillant.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
- Moyenne
Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle
(VM_AmDisablementAndCodeExecution)
Logiciel anti-programme malveillant désactivé pendant l’exécution de code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.
- Importante
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle
(VM_AmDisablement)
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Évasion de défense Moyenne
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmFileExclusionAndCodeExecution)
Fichiers exclus de votre scanneur anti-programme malveillant pendant que du code était exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Defense Evasion, Execution Importante
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmTempFileExclusionAndCodeExecution)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers temporaire de l’extension anti-programme malveillant dans votre machine virtuelle parallèlement à une exécution de code via une extension de script personnalisé.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Defense Evasion, Execution Importante
Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmTempFileExclusion)
Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle
(VM_AmRealtimeProtectionDisabled)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps de l’extension anti-programme malveillant a été désactivée dans votre machine virtuelle.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle
(VM_AmTempRealtimeProtectionDisablement)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps de l’extension anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle
(VM_AmRealtimeProtectionDisablementAndCodeExec)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté que la protection en temps réel de l’extension anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle parallèlement à une exécution de code via une extension de script personnalisé.
Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
- Importante
Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)
(VM_AmMalwareCampaignRelatedExclusion)
Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’extension anti-programme malveillant d’analyser certains fichiers suspectés d’être liés à une campagne de logiciel malveillant. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants. Évasion de défense Moyenne
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle
(VM_AmTemporarilyDisablement)
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
- Moyenne
Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_UnusualAmFileExclusion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une exclusion de fichiers inhabituelle de l’extension anti-programme malveillant dans votre machine virtuelle.
Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Évasion de défense Moyenne
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Dans certaines attaques récentes, il a été observé que des attaquants ont arrêté ce service, pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leur attaque. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Faible
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer
(VM_TimerServiceDisabled)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Dans certaines attaques récentes, il a été observé que des attaquants ont arrêté ce service, pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leur attaque. Évasion de défense Faible
Détection d’un comportement similaire aux bots Linux courants [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé aux botnet Linux. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’un comportement similaire aux bots Linux courants
(VM_CommonBot)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé aux botnet Linux. Exécution, collection, commande et contrôle Moyenne
Détection d’un comportement similaire au ransomware Fairware [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime les fichiers de façon récursive et elle est normalement appliquée aux dossiers discrets. Dans le cas présent, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’un comportement similaire au ransomware Fairware
(VM_FairwareMalware)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime les fichiers de façon récursive et elle est normalement appliquée aux dossiers discrets. Dans le cas présent, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. Exécution Moyenne
Détection d’un comportement similaire à un ransomware [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de fichiers ressemblant à des rançongiciels connus qui peuvent empêcher les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exiger le paiement d’une rançon visant à récupérer l’accès. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Élevé
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. Accès initial, persistance, exécution, commande et contrôle, exploitation Moyenne
Conteneur avec une image d’extracteur détecté
(VM_MinerInContainerImage)
Les journaux de la machine indiquent l’exécution d’un conteneur Docker qui exécute une image associée au minage de devises numériques. Exécution Élevé
Exécution du mineur de cryptomonnaie
(VM_CryptoCoinMinerExecution)
L’analyse des données de l’hôte/appareil a détecté le démarrage d’un processus très similaire à un processus de minage de cryptomonnaie. Exécution Moyenne
Extension de script personnalisé avec commande suspecte dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousCmd)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec une commande suspecte.
Des attaquants peuvent utiliser une extension de script personnalisé pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager.
Exécution Moyenne
Extension de script personnalisé avec point d’entrée suspect dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousEntryPoint)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec un point d’entrée suspect. Le point d’entrée fait référence à un dépôt GitHub suspect.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Extension de script personnalisé avec une charge utile suspecte dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousPayload)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle une extension de script personnalisé avec une charge utile issue d’un dépôt GitHub suspect.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande L’analyse des données de l’hôte sur%{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères en majuscules et en minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis. - Moyenne
Détection de téléchargements de fichiers à partir d’une source malveillante connue [constaté plusieurs fois]
(VM_SuspectDownload)
L’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source connue de programmes malveillants sur %{Hôte compromis}. Ce comportement a été observé plus de [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] Escalade de privilèges, exécution, exfiltration, commande et contrôle Moyenne
Détection de téléchargements de fichiers à partir d’une source malveillante connue L’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source connue de programmes malveillants sur %{Hôte compromis}. - Moyenne
Détection d’une tentative de persistance [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’installation d’un script de démarrage pour le mode mono-utilisateur. Il est extrêmement rare qu’un processus légitime doive s’exécuter dans ce mode, cela peut indiquer qu’un attaquant a ajouté un processus malveillant à chaque niveau d’exécution pour garantir la persistance. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Tentative de persistance détectée
(VM_NewSingleUserModeStartupScript)
L’analyse des données de l’hôte a détecté qu’un script de démarrage pour le mode mono-utilisateur a été installé.
Dans la mesure où il est rare qu’un processus légitime doive s’exécuter dans ce mode, cela peut indiquer qu’un attaquant a ajouté un processus malveillant à chaque niveau d’exécution pour garantir la persistance.
Persistance Moyenne
Détection d’un téléchargement de fichiers suspect [constaté plusieurs fois] L’analyse des données de l’hôte a détecté le téléchargement suspect d’un fichier distant sur %{Hôte compromis}. Ce comportement a été observé 10 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur] - Faible
Détection d’un téléchargement de fichier suspect
(VM_SuspectDownloadArtifacts)
L’analyse des données de l’hôte a détecté le téléchargement suspect d’un fichier distant sur %{Hôte compromis}. Persistance Faible
Détection d’une activité réseau suspecte L’analyse du trafic réseau provenant de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur. - Faible
Détection d’une utilisation suspecte de la commande useradd [constaté plusieurs fois] L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande useradd sur %{Hôte compromis}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’une utilisation suspecte de la commande useradd
(VM_SuspectUserAddition)
L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande useradd sur %{Hôte compromis}. Persistance Moyenne
Détection d’un comportement lié au minage de devises numériques L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques. - Élevé
Désactivation de la journalisation Auditd [constaté plusieurs fois] Le système Linux Auditd permet d’effectuer le suivi des informations système relatives à la sécurité. Il enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. La désactivation de la journalisation Auditd peut interférer avec la détection des violations des stratégies de sécurité utilisées sur le système. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Faible
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect
(VM_SuspectExecutablePath)
L’analyse des données de l’hôte a détecté un fichier exécutable %{Hôte compromis} qui s’exécute dans un emplacement commun avec des fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis. Exécution Élevé
Exploitation de la vulnérabilité Xorg [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de Xorg avec des arguments suspects. Les attaquants peuvent utiliser cette technique pour les tentatives de réaffectation de privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Démon Docker exposé sur le socket TCP
(VM_ExposedDocker)
Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification quand un socket TCP est activé. Toute personne ayant accès au port approprié peut alors obtenir un accès complet au démon Docker. Execution, Exploitation Moyenne
Échec d’une attaque par force brute SSH
(VM_SshBruteForceFailed)
Des attaques par force brute ont échoué. Elles provenaient des attaquants suivants : %{Attaquants}. Des attaquants essaient d’accéder à l’hôte avec les noms d’utilisateur suivants : %{Comptes utilisés lors des échecs de connexion à l’hôte}. Détection Moyenne
Comportement d’attaque sans fichier détecté
(VM_FilelessAttackBehavior.Linux)
La mémoire du processus spécifié ci-dessous contient des comportements fréquemment utilisés par les attaques sans fichier.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
Exécution Faible
Technique d’attaque sans fichier détectée
(VM_FilelessAttackTechnique.Linux)
La mémoire du processus spécifié ci-dessous contient une preuve de technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
Exécution Élevé
Kit d’attaques sans fichier détecté
(VM_FilelessAttackToolkit.Linux)
La mémoire du processus spécifié ci-dessous contient un kit d’attaques sans fichier : {NomKit}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
Defense Evasion, Execution Importante
Détection de l’exécution d’un fichier masqué L’analyse des données de l’hôte indique qu’un fichier masqué a été exécuté par %{nom d’utilisateur}. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. - Informationnel
Détection d’indicateurs associés à DDOS Toolkit [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des noms de fichiers qui font partie d’une boîte à outils associée à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre le contrôle total du système infecté. Il peut également s’agir d’une activité légitime. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’indicateurs associés à DDOS Toolkit
(VM_KnownLinuxDDoSToolkit)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des noms de fichiers qui font partie d’une boîte à outils associée à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre le contrôle total du système infecté. Il peut également s’agir d’une activité légitime. Persistance, mouvement latéral, exécution, exploitation Moyenne
Détection d’une reconnaissance d’hôte local [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’une commande qui est normalement associée à la reconnaissance de robots Linux. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’une reconnaissance d’hôte local
(VM_LinuxReconnaissance)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’une commande qui est normalement associée à la reconnaissance de robots Linux. Découverte Moyenne
Détection d’une manipulation du pare-feu sur l’hôte [constaté plusieurs fois]
(VM_FirewallDisabled)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du pare-feu sur l’hôte. Les attaquants le désactivent souvent pour exfiltrer des données. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] Évasion de défense, exfiltration Moyenne
Détection d’une manipulation du pare-feu sur l’hôte L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du pare-feu sur l’hôte. Les attaquants le désactivent souvent pour exfiltrer des données. - Moyenne
Agent MITRE Caldera détecté
(VM_MitreCalderaTools)
Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}. Cela est souvent associé à l’agent MITRE 54ndc47 qui peut être utilisé à des fins malveillantes pour attaquer d’autres machines d’une certaine façon. Tous Moyenne
Nouvelle clé SSH ajoutée [constaté plusieurs fois]
(VM_SshKeyAddition)
Une nouvelle clé SSH a été ajoutée au fichier des clés autorisées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] Persistance Faible
Nouvelle clé SSH ajoutée Une nouvelle clé SSH a été ajoutée au fichier des clés autorisées. - Faible
Possible détection d’un outil d’attaque [constaté plusieurs fois] Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}. Cet outil est souvent associé à des utilisateurs malveillants qui attaquent d’autres ordinateurs d’une certaine façon. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’un outil d’attaque
(VM_KnownLinuxAttackTool)
Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}. Cet outil est souvent associé à des utilisateurs malveillants qui attaquent d’autres ordinateurs d’une certaine façon. Exécution, collection, commande et contrôle, détection Moyenne
Possible détection d’une porte dérobée [constaté plusieurs fois] L’analyse des données de l’hôte a détecté un fichier suspect téléchargé puis exécuté sur l’hôte %{Hôte compromis} dans votre abonnement. Cette activité a été précédemment associée à l’installation d’une porte dérobée. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’un outil d’accès aux informations d’identification [constaté plusieurs fois] Les journaux de l’ordinateur indiquent qu’un outil d’accès aux informations d’identification connu était en cours d’exécution sur %{Hôte compromis}, lancé par le processus %{Processus suspect}. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’un outil d’accès aux informations d’identification
(VM_KnownLinuxCredentialAccessTool)
Les journaux de l’ordinateur indiquent qu’un outil d’accès aux informations d’identification connu était en cours d’exécution sur %{Hôte compromis}, lancé par le processus %{Processus suspect}. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant. Accès aux informations d’identification Moyenne
Exfiltration de données possible [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible extraction de données. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Exfiltration de données possible
(VM_DataEgressArtifacts)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible extraction de données. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. Collection, exfiltration Moyenne
Possible exploitation de Hadoop Yarn
(VM_HadoopYarnExploit)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible exploitation du service Hadoop Yarn. Exploitation Moyenne
Possible exploitation du serveur de messagerie détectée
(VM_MailserverExploitation)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerie Exploitation Moyenne
Détection possible d’une activité de falsification du journal [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la suppression possible des fichiers qui assurent le suivi de l’activité de l’utilisateur au cours de son fonctionnement. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’une activité de falsification du journal
(VM_SystemLogRemoval)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la suppression possible des fichiers qui assurent le suivi de l’activité de l’utilisateur au cours de son fonctionnement. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux. Évasion de défense Moyenne
Détection possible d’un interpréteur de commandes web malveillant [constaté plusieurs fois]
(VM_Webshell)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible utilisation d’un interpréteur de commandes web. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] Persistance, exploitation Moyenne
Détection possible d’un interpréteur de commandes web malveillant L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible utilisation d’un interpréteur de commandes web. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie. - Moyenne
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la modification du mot de passe détectée à l’aide d’une méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à accéder et bénéficier de la persistance après une attaque. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible remplacement de fichiers courants [constaté plusieurs fois] L’analyse des données de l’hôte a détecté des exécutables communs remplacés sur %{Hôte compromis}. Les attaquants remplacent les fichiers communs pour masquer leurs actions ou en assurer la persistance. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible remplacement de fichiers courants
(VM_OverridingCommonFiles)
L’analyse des données de l’hôte a détecté des exécutables communs remplacés sur %{Hôte compromis}. Les attaquants remplacent les fichiers communs pour masquer leurs actions ou en assurer la persistance. Persistance Moyenne
Réacheminement potentiel d’un port vers une adresse IP externe [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté le lancement d’un réacheminement de port vers une adresse IP externe. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Réacheminement potentiel d’un port vers une adresse IP externe
(VM_SuspectPortForwarding)
L’analyse des données de l’hôte a détecté le lancement d’un réacheminement de port vers une adresse IP externe. Exfiltration, commande et contrôle Moyenne
Possible détection d’un interpréteur de commandes inverse [constaté plusieurs fois] L’analyse des données hôte sur %{Hôte compromis} a détecté l’utilisation d’un interpréteur de commandes inversées potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Possible détection d’un interpréteur de commandes inverse
(VM_ReverseShell)
L’analyse des données hôte sur %{Hôte compromis} a détecté l’utilisation d’un interpréteur de commandes inversées potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. Exfiltration, Exploitation Moyenne
Exécution d’une commande privilégiée dans le conteneur
(VM_PrivilegedExecutionInContainer)
Les journaux de la machine indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker. Une commande privilégiée a des privilèges étendus sur la machine hôte. Réaffectation de privilèges Faible
Conteneur privilégié détecté
(VM_PrivilegedContainerArtifacts)
Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution. Un conteneur privilégié a un accès complet aux ressources de l’hôte. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder à l’ordinateur hôte. Élévation des privilèges, exécution Faible
Détection d’un processus associé au minage de devises numériques [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé au minage de devises numériques. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur] - Moyenne
Détection d’un processus associé au minage de devises numériques L’analyse des données de l’hôte a détecté l’exécution d’un processus qui est normalement associé au minage de devises numériques. Exploitation, Exécution Moyenne
Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSH
(VM_SshKeyAccess)
Un fichier de clés autorisées SSH a fait l’objet d’un accès d’une façon rappelant les campagnes de programmes malveillants connus. Cet accès peut indiquer qu’un attaquant tente d’obtenir un accès persistant à une machine. - Faible
Détection d’un outil de téléchargement Python [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de code Python encodé qui télécharge et exécute du code à partir d’un emplacement distant. Cela peut indiquer une activité malveillante. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Faible
Capture d’écran prise sur l’hôte [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation d’un outil de capture d’écran. Les attaquants peuvent utiliser ces outils pour accéder aux données privées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Faible
Détection d’une incompatibilité d’extension de script détectée [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée. Cela a été fréquemment associé aux exécutions d’un script malveillant. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’une incompatibilité d’extension de script
(VM_MismatchedScriptFeatures)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée. Cela a été fréquemment associé aux exécutions d’un script malveillant. Évasion de défense Moyenne
Détection d’un interpréteur de commandes [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un interpréteur de commandes en cours de génération à partir de la ligne de commande. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Attaques par force brute RDP/SSH réussie
(VM_SshBruteForceSuccess)
L’analyse des données de l’hôte a détecté une attaque par force brute réussie. L’adresse IP %{Adresse IP source de l’attaquant} a effectué plusieurs tentatives de connexion. Des connexions réussies ont été effectuées à partir de cette adresse IP par les utilisateurs suivants : %{Comptes utilisés pour se connecter à l’hôte}. Cela signifie que l’hôte est peut-être compromis et contrôlé par un acteur malveillant. Exploitation Élevé
Accès suspect au fichier de mots de passe
(VM_SuspectPasswordFileAccess)
L’analyse des données de l’hôte a détecté un accès suspect aux mots de passe chiffrés de l’utilisateur. Persistance Informationnel
Détection de création de compte suspecte L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation du compte local %{Nom du compte suspect} : ce nom de compte ressemble à un compte Windows standard ou à un nom de groupe %{Similaire au nom du compte}. Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain. - Moyenne
Détection d’une compilation suspecte [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une compilation suspecte. Les attaquants compilent souvent des exploitations sur une machine qu'ils ont compromise pour élever les privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Détection d’une compilation suspecte
(VM_SuspectCompilation)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une compilation suspecte. Les attaquants compilent souvent des exploitations sur une machine qu'ils ont compromise pour élever les privilèges. Escalade des privilèges, exploitation Moyenne
DNS suspect sur Https
(VM_SuspiciousDNSOverHttps)
L’analyse des données de l’hôte indique l’utilisation d’un appel DNS sur HTTPS d’une manière peu commune. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants. Évasion de défense, exfiltration Moyenne
Échec d’exécution suspect d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousFailure)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’échec suspect d’une extension de script personnalisé.
Ce type d’échec peut être associé à des scripts malveillants exécutés par cette extension.
Exécution Moyenne
Détection d’un module de noyau suspect [constaté plusieurs fois] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’un fichier objet partagé est chargé en tant que module de noyau. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Moyenne
Accès suspect aux mots de passe [constaté plusieurs fois] L’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs] - Informationnel
Accès suspect aux mots de passe L’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}. - Informationnel
Détection de l’exécution d’un processus PHP suspect
(VM_SuspectPhp)
Les journaux des machines indiquent qu’un processus PHP suspect est en cours d’exécution. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande en utilisant le processus PHP. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web. Exécution Moyenne
Demande suspecte au tableau de bord Kubernetes
(VM_KubernetesDashboard)
Les journaux de la machine indiquent qu’une demande suspecte a été adressée au tableau de bord Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis. LateralMovement Moyenne
Domaine suspect dans le ligne de commande du renseignement sur les menaces
(VM_ThreatIntelCommandLineSuspectDomain)
Le processus « PROCESSNAME » sur « HOST » s’est connecté à un emplacement qui a été signalé comme malveillant ou inhabituel. C’est un indicateur qu’une compromission a pu se produire. Accès initial Moyenne
Réinitialisation de configuration inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualConfigReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de configuration inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser la configuration de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne
Suppression inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualDeletion)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle la suppression inhabituelle d’une extension de script personnalisé.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Exécution inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualExecution)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté dans votre machine virtuelle l’exécution inhabituelle d’une extension de script personnalisé.
Des attaquants peuvent utiliser des extensions de script personnalisé pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Exécution Moyenne
Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualPasswordReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser les informations d’identification d’un utilisateur local de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne
Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualSSHReset)
L’analyse des opérations Azure Resource Manager dans votre abonnement a détecté une réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle.
Bien que cette action puisse être légitime, des attaquants peuvent essayer d’utiliser l’extension d’accès à la machine virtuelle pour réinitialiser la clé SSH d’un compte d’utilisateur de votre machine virtuelle et la compromettre.
Accès aux informations d’identification Moyenne

Alertes pour Azure App Service

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
Tentative d’exécution de commandes Linux sur un service d’application Windows
(AppServices_LinuxCommandOnWindows)
L’analyse des processus App Service a détecté une tentative d’exécution d’une commande Linux sur un service d’application Windows. Cette action s’exécutait aux côtés de l’application web. Ce comportement est souvent observé pendant les campagnes qui exploitent une vulnérabilité dans une application web courante.
(S’applique à : App Service sur Windows)
- Moyenne
Une adresse IP qui s’est connectée à votre interface FTP Azure App Service a été trouvée dans Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Le journal FTP d’Azure App Service indique l’établissement d’une connexion à partir d’une adresse source qui a été trouvée dans le flux de Threat Intelligence. Durant cette connexion, un utilisateur a accédé aux pages listées.
(S’applique à : App Service sur Windows et App Service sur Linux)
Accès initial Moyenne
Détection d’une tentative d’exécution d’une commande qui requiert des privilèges élevés
(AppServices_HighPrivilegeCommand)
L’analyse des processus App Service a détecté une tentative d’exécution d’une commande qui nécessite des privilèges élevés.
La commande s’est exécutée dans le contexte de l’application web. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes.
(S’applique à : App Service sur Windows)
- Moyenne
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. Accès initial, persistance, exécution, commande et contrôle, exploitation Moyenne
Détection d’une connexion à une page web à partir d’une adresse IP anormale
(AppServices_AnomalousPageAccess)
Le journal d’activité d’Azure App Service indique une connexion anormale à une page web sensible à partir de l’adresse IP source listée. Cette situation peut indiquer que quelqu’un tente une attaque par force brute dans les pages d’administration de votre application web. Elle peut également être le résultat de l’utilisation d’une nouvelle adresse IP par un utilisateur légitime. Si l’adresse IP source est approuvée, vous pouvez supprimer cette alerte pour cette ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud.
(S’applique à : App Service sur Windows et App Service sur Linux)
Accès initial Faible
Détection d’un enregistrement DNS non résolu pour une ressource App Service
(AppServices_DanglingDomain)
Un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée « entrée DNS non résolue ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante.
(S’applique à : App Service sur Windows et App Service sur Linux)
- Importante
Détection d’un fichier exécutable encodé dans les données de la ligne de commande
(AppServices_Base64EncodedExecutableInCommandLineParams)
L’analyse des données de l’hôte sur {Hôte compromis} a détecté l’utilisation d’un exécutable encodé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
(S’applique à : App Service sur Windows)
Defense Evasion, Execution Importante
Détection de téléchargements de fichiers à partir d’une source malveillante connue
(AppServices_SuspectDownload)
L’analyse des données d’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur votre hôte.
(S’applique à : App Service sur Linux)
Escalade de privilèges, exécution, exfiltration, commande et contrôle Moyenne
Détection d’un téléchargement de fichier suspect
(AppServices_SuspectDownloadArtifacts)
L’analyse des données de l’hôte a détecté le téléchargement suspect d’un fichier distant.
(S’applique à : App Service sur Linux)
Persistance Moyenne
Détection d’un comportement lié au minage de devises numériques
(AppServices_DigitalCurrencyMining)
L’analyse des données de l’hôte sur Inn-Flow-WebJobs a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques.
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Élevé
Exécutable décodé à l’aide de certutil
(AppServices_ExecutableDecodedUsingCertutil)
L’analyse des données de l’hôte sur [Entité compromise] a détecté l’utilisation de certutil.exe, un utilitaire administrateur intégré, pour le décodage d’un exécutable au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté.
(S’applique à : App Service sur Windows)
Defense Evasion, Execution Importante
Comportement d’attaque sans fichier détecté
(AppServices_FilelessAttackBehaviorDetection)
La mémoire du processus spécifié ci-dessous contient des comportements fréquemment utilisés par les attaques sans fichier.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Moyenne
Technique d’attaque sans fichier détectée
(AppServices_FilelessAttackTechniqueDetection)
La mémoire du processus spécifié ci-dessous contient une preuve de technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Élevé
Kit d’attaques sans fichier détecté
(AppServices_FilelessAttackToolkitDetection)
La mémoire du processus spécifié ci-dessous contient un kit d’attaques sans fichier : {NomKit}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel.
Les comportements spécifiques sont les suivants : {liste des comportements observés}
(S’applique à : App Service sur Windows et App Service sur Linux)
Defense Evasion, Execution Importante
Alerte de test Microsoft Defender pour le cloud pour App Service (pas une menace)
(AppServices_EICAR)
Il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise.
(S’applique à : App Service sur Windows et App Service sur Linux)
- Importante
Analyse NMap détectée
(AppServices_Nmap)
Le journal d’activité d’Azure App Service indique une activité de prise d’empreinte web possible sur votre ressource App Service.
L’activité suspecte détectée est associée à NMAP. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités.
(S’applique à : App Service sur Windows et App Service sur Linux)
PreAttack Moyenne
Contenu de hameçonnage hébergé sur Azure Webapps
(AppServices_PhishingContent)
URL utilisée pour les attaques par hameçonnage détectées sur le site Azure AppServices. Cette URL faisait partie d’une attaque par hameçonnage envoyée aux clients de Microsoft 365. En général, le contenu incite les visiteurs à entrer leurs informations d’identification d’entreprise ou leurs informations financières sur un site d’apparence légitime.
(S’applique à : App Service sur Windows et App Service sur Linux)
Collection Élevé
Fichier PHP dans le dossier de chargement
(AppServices_PhpInUploadFolder)
Le journal d’activité d’Azure App Service indique un accès à une page PHP suspecte située dans le dossier de chargement.
Généralement, ce type de dossier ne contient pas de fichiers PHP. L’existence de ce type de fichier peut indiquer une exploitation tirant parti des vulnérabilités du chargement de fichiers arbitraires.
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Moyenne
Détection d’un possible téléchargement Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
L’analyse des données d’hôte a détecté le téléchargement d’un fichier normalement associé à l’exploration de devises numérique.
(S’applique à : App Service sur Linux)
Protection contre la défense, commande et contrôle, exploitation Moyenne
Exfiltration de données possible détectée
(AppServices_DataEgressArtifacts)
L’analyse des données de l’hôte/appareil a détecté une possible extraction de données. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis.
(S’applique à : App Service sur Linux)
Collection, exfiltration Moyenne
Détection d’un possible enregistrement DNS non résolu pour une ressource App Service
(AppServices_PotentialDanglingDomain)
Un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée « entrée DNS non résolue ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. Ici, un enregistrement texte avec l’ID de vérification du domaine a été détecté. Ces enregistrements texte empêchent la prise de contrôle des sous-domaines. Cependant, nous vous recommandons de supprimer le domaine non résolu. Si vous laissez l’enregistrement DNS pointer vers le sous-domaine, vous courez le risque d’une prise de contrôle si une personne de votre organisation vient à supprimer le fichier TXT ou l’enregistrement.
(S’applique à : App Service sur Windows et App Service sur Linux)
- Faible
Possible détection d’un interpréteur de commandes inverse
(AppServices_ReverseShell)
L’analyse des données de l’hôte a détecté un interpréteur de commandes inversé potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.
(S’applique à : App Service sur Linux)
Exfiltration, Exploitation Moyenne
Détection de téléchargement de données brutes
(AppServices_DownloadCodeFromWebsite)
L’analyse des processus App Service a détecté une tentative de téléchargement de code à partir de sites web de données brutes, par exemple pastebin. Cette action a été exécutée par un processus PHP. Ce comportement est associé aux tentatives de téléchargement d’interpréteurs de commandes web ou autres composants malveillants sur Azure App Service.
(S’applique à : App Service sur Windows)
Exécution Moyenne
Détection de l’enregistrement de la sortie curl sur le disque
(AppServices_CurlToDisk)
L’analyse des processus App Service a détecté l’exécution d’une commande curl dont la sortie a été enregistrée sur le disque. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web.
(S’applique à : App Service sur Windows)
- Faible
Détection d’un référent de dossier de courrier indésirable
(AppServices_SpamReferrer)
Le journal d’activité d’Azure App Service indique une activité web qui a été identifiée comme provenant d’un site web associé à des activités de courrier indésirable. Cela peut se produire si votre site web est compromis et utilisé pour des activités de courrier indésirable.
(S’applique à : App Service sur Windows et App Service sur Linux)
- Faible
Détection d’un accès suspect à une page web potentiellement vulnérable
(AppServices_ScanSensitivePage)
Le journal d’activité d’Azure App Service indique un accès à une page web qui semble sensible. Cette activité suspecte provient d’une adresse IP source dont le modèle d’accès est semblable à celui d’un analyseur web.
Cette activité est souvent associée à une tentative par un attaquant d’analyser votre réseau pour essayer d’accéder à des pages web sensibles ou vulnérables.
(S’applique à : App Service sur Windows et App Service sur Linux)
- Faible
Référence de nom de domaine suspecte
(AppServices_CommandlineSuspectDomain)
L’analyse des données de l’hôte a détecté une référence au nom de domaine suspect. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.
(S’applique à : App Service sur Linux)
Exfiltration Faible
Détection d’un téléchargement suspect à l’aide de Certutil
(AppServices_DownloadUsingCertutil)
L’analyse des données de l’hôte sur {NOM} a détecté l’utilisation de certutil.exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.
(S’applique à : App Service sur Windows)
Exécution Moyenne
Détection de l’exécution d’un processus PHP suspect
(AppServices_SuspectPhp)
Les journaux des machines indiquent qu’un processus PHP suspect est en cours d’exécution. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande, en utilisant le processus PHP. Bien que ce comportement puisse être légitime, dans les applications web, il peut indiquer des activités malveillantes, telles que des tentatives d’infecter des sites web avec des interpréteurs de commandes web.
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Moyenne
Exécution de cmdlets PowerShell suspects
(AppServices_PowerShellPowerSploitScriptExecution)
L’analyse des données de l’hôte indique l’exécution de cmdlets PowerShell PowerSploit malveillants connus.
(S’applique à : App Service sur Windows)
Exécution Moyenne
Exécution d’un processus suspect
(AppServices_KnownCredential AccessTools)
Les journaux de l’ordinateur indiquent que le processus suspect « %{chemin du processus} » était en cours d’exécution sur l’ordinateur. Cela est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.
(S’applique à : App Service sur Windows)
Accès aux informations d’identification Importante
Détection d’un nom de processus suspect
(AppServices_ProcessWithKnownSuspiciousExtension)
L’analyse des données de l’hôte sur {NOM} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.
(S’applique à : App Service sur Windows)
Persistance, Intrusion dans la défense Moyenne
Exécution suspecte du processus SVCHOST
(AppServices_SVCHostFromInvalidPath)
Le processus système SVCHOST a été exécuté dans un contexte anormal. Les programmes malveillants utilisent souvent SVCHOST pour masquer leurs activités malveillantes.
(S’applique à : App Service sur Windows)
Defense Evasion, Execution Importante
Détection d’un agent utilisateur suspect
(AppServices_UserAgentInjection)
Le journal d’activité Azure App Service indique des requêtes avec un agent utilisateur suspect. Ce comportement peut indiquer des tentatives d’exploitation d’une vulnérabilité dans votre application App Service.
(S’applique à : App Service sur Windows et App Service sur Linux)
Accès initial Moyenne
Détection d’un appel de thème WordPress suspect
(AppServices_WpThemeInjection)
Le journal d’activité d’Azure App Service indique une activité d’injection de code possible sur votre ressource App Service.
L’activité suspecte détectée ressemble à une manipulation d’un thème WordPress pour prendre en charge l’exécution de code côté serveur, suivie d’une requête web directe pour appeler le fichier de thème manipulé.
Ce type d’activité a été observé par le passé dans le cadre d’une campagne d’attaque visant WordPress.
Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud.
(S’applique à : App Service sur Windows et App Service sur Linux)
Exécution Élevé
Détection de l’analyseur de vulnérabilité
(AppServices_DrupalScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.
L’activité suspecte détectée ressemble à celle des outils ciblant les systèmes de gestion de contenu (CMS).
Si votre ressource App Service n’héberge pas de site Drupal, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud.
(S’applique à : App Service sur Windows)
PreAttack Moyenne
Détection de l’analyseur de vulnérabilité
(AppServices_JoomlaScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.
L’activité suspecte détectée ressemble à celle des outils ciblant les applications Joomla.
Si votre ressource App Service n’héberge pas de site Joomla, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud.
(S’applique à : App Service sur Windows et App Service sur Linux)
PreAttack Moyenne
Détection de l’analyseur de vulnérabilité
(AppServices_WpScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.
L’activité suspecte détectée ressemble à celle des outils ciblant les applications WordPress.
Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud.
(S’applique à : App Service sur Windows et App Service sur Linux)
PreAttack Moyenne
Détection d’une prise d’empreinte web
(AppServices_WebFingerprinting)
Le journal d’activité d’Azure App Service indique une activité de prise d’empreinte web possible sur votre ressource App Service.
L’activité suspecte détectée est associée à un outil appelé Blind Elephant. L’outil prend l’empreinte des serveurs web et tente de détecter les applications installées et la version.
Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités.
(S’applique à : App Service sur Windows et App Service sur Linux)
PreAttack Moyenne
Le site web est marqué comme malveillant dans le flux de renseignement sur les menaces
(AppServices_SmartScreen)
Votre site web, comme décrit ci-dessous, est marqué comme site malveillant par Windows SmartScreen. Si vous pensez qu’il s’agit d’un faux positif, contactez Windows SmartScreen par le biais du lien de commentaires fourni.
(S’applique à : App Service sur Windows et App Service sur Linux)
Collection Moyenne

Alertes pour les conteneurs - Clusters Kubernetes

Microsoft Defender pour les conteneurs fournit des alertes de sécurité au niveau du cluster et sur les nœuds de cluster sous-jacents en supervisant le plan de contrôle (serveur d’API) et la charge de travail conteneurisée elle-même. Les alertes de sécurité du plan de contrôle peuvent être identifiées par un préfixe K8S_ du type d’alerte. Les alertes de sécurité pour la charge de travail d’exécution dans les clusters peuvent être reconnues par le préfixe K8S.NODE_ du type d’alerte. Toutes les alertes sont prises en charge uniquement sur Linux, sauf indication contraire.

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
Tentative de création d’un espace de noms Linux à partir d’un conteneur détecté
(K8S.NODE_NamespaceCreation) 1
L’analyse des processus exécutés dans un conteneur dans un cluster Kubernetes a détecté une tentative de création d’un espace de noms Linux. Bien que ce comportement soit légitime, il peut indiquer qu’un attaquant tente de s’échapper du conteneur au nœud. Certaines exploitations de faille CVE-2022-0185 utilisent cette technique. PrivilegeEscalation Moyenne
Un fichier d’historique a été effacé
(K8S.NODE_HistoryFileCleared) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent procéder ainsi pour couvrir leurs traces. L’opération a été effectuée par le compte d’utilisateur spécifié. DefenseEvasion Moyenne
Activité anormale de l’identité managée associée à Kubernetes (préversion)
(K8S_AbnormalMiAcitivty)
L’analyse des opérations Azure Resource Manager a détecté un comportement anormal d’une identité managée utilisée par un module complémentaire AKS. L’activité détectée n’est pas cohérente avec le comportement du module complémentaire associé. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que l’identité a été acquise par une personne malveillante, éventuellement à partir d’un conteneur compromis dans le cluster Kubernetes. Déplacement latéral Moyenne
Opération de compte de service Kubernetes anormale détectée
(K8S_ServiceAccountRareOperation)
L’analyse du journal d’audit Kubernetes a détecté un comportement anormal par un compte de service dans votre cluster Kubernetes. Le compte de service a été utilisé pour une opération qui n’est pas courante pour ce compte de service. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que le compte de service est actuellement utilisé à des fins malveillantes. Mouvement latéral, accès aux informations d’identification Moyenne
Une tentative de connexion non courante a été détectée
(K8S.NODE_SuspectConnection) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative de connexion rare utilisant un protocole socks. Cela est très rare lors du fonctionnement normal, mais il s’agit d’une technique connue pour les attaquants tentant de contourner les détections de couche réseau. Exécution, exfiltration, exploitation Moyenne
Déploiement anormal d’un pod (préversion)
(K8S_AnomalousPodDeployment) 3
L’analyse du journal d’audit Kubernetes a détecté le déploiement d’un pod qui est anormal en fonction de l’activité de déploiement de pod précédente. Cette activité est considérée comme une anomalie lorsque l’on prend en compte la façon dont les différentes fonctionnalités vues dans l’opération de déploiement sont dans les relations entre elles. Les fonctionnalités supervisées incluent le registre d’images conteneur utilisé, le compte qui effectue le déploiement, le jour de la semaine, la fréquence à laquelle ce compte effectue des déploiements de pod, l’agent utilisateur utilisé dans l’opération ou d’autres fonctionnalités. Il est également possible de déterminer s’il s’agit d’un espace de noms dans lequel le déploiement du pod se produit souvent. Les principales raisons justifiant le déclenchement de cette alerte en tant qu’activité anormale sont détaillées dans les propriétés étendues de l’alerte. Exécution Moyenne
Accès au secret anormal (préversion)
(K8S_AnomalousSecretAccess) 2
L’analyse des journaux d’audit Kubernetes a détecté une demande d’accès au secret qui est anormale en fonction de l’activité d’accès aux secrets précédente. Cette activité est considérée comme une anomalie lorsque l’on prend en compte la façon dont les différentes fonctionnalités vues dans l’opération d’accès secret sont dans les relations entre elles. Les fonctionnalités surveillées par cette analyse incluent le nom d’utilisateur utilisé, le nom du secret, le nom de l’espace de noms, l’agent utilisateur utilisé dans l’opération ou d’autres fonctionnalités. Les principales raisons justifiant le déclenchement de cette alerte en tant qu’activité anormale sont détaillées dans les propriétés étendues de l’alerte. CredentialAccess Moyenne
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer
(K8S.NODE_TimerServiceDisabled) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Il a été observé que des attaquants ont arrêté ce service pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leurs attaques. Cette activité peut également se produire si le service est mis à jour par le biais d’actions d’administration normales. DefenseEvasion Informationnel
Détection d’un comportement similaire aux bots Linux courants (préversion)
(K8S.NODE_CommonBot)
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’un processus normalement associé à des botnets Linux courants. Exécution, collecte, commande et contrôle Moyenne
Détection d’un comportement similaire au ransomware Fairware
(K8S.NODE_FairwareMalware) 1
L’analyse des processus en cours d’exécution dans un conteneur a détecté l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime les fichiers de façon récursive et elle est normalement appliquée aux dossiers discrets. Dans le cas présent, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. Exécution Moyenne
Commande dans un conteneur s’exécutant avec des privilèges élevés
(K8S.NODE_PrivilegedExecutionInContainer) 1
Les journaux de la machine indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker. Une commande privilégiée a des privilèges étendus sur la machine hôte. PrivilegeEscalation Faible
Conteneur s’exécutant en mode privilégié
(K8S.NODE_PrivilegedContainerArtifacts) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’une commande Docker qui exécute un conteneur privilégié. Le conteneur privilégié dispose d’un accès total au pod d’hébergement ou à la ressource hôte. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au pod d’hébergement ou à l’hôte. PrivilegeEscalation, Execution Faible
Conteneur avec un montage de volume sensible détecté
(K8S_SensitiveMount)
L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur avec un montage de volume sensible. Le volume détecté est un type hostPath qui monte un fichier ou un dossier sensible depuis le nœud sur le conteneur. Si le conteneur est compromis, l’attaquant peut utiliser ce montage pour accéder au nœud. Réaffectation de privilèges Moyenne
Détection d’une modification de CoreDNS dans Kubernetes
(K8S_CoreDnsModification) 23
L’analyse du journal d’audit de Kubernetes a détecté une modification de la configuration de CoreDNS. Vous pouvez modifier la configuration de CoreDNS en remplaçant son configmap. Bien que cette activité puisse être légitime, si des attaquants sont autorisés à modifier le configmap, ils peuvent modifier le comportement du serveur DNS du cluster et l’empoisonner. Déplacement latéral Faible
Détection de la création d’une configuration de webhook d’admission
(K8S_AdmissionController) 3
L’analyse du journal d’audit de Kubernetes a détecté une nouvelle configuration de webhook d’admission. Kubernetes possède deux contrôleurs d’admission génériques intégrés : MutatingAdmissionWebhook et ValidatingAdmissionWebhook. Le comportement de ces contrôleurs d’admission est déterminé par un webhook d’admission que l’utilisateur déploie sur le cluster. L’utilisation de ces contrôleurs d’admission peut être légitime, mais des attaquants peuvent utiliser ces webhooks pour modifier les demandes (dans le cas de MutatingAdmissionWebhook) ou inspecter les demandes et obtenir des informations sensibles (dans le cas de ValidatingAdmissionWebhook). Credential Access, Persistence Faible
Détection de téléchargements de fichiers à partir d’une source malveillante connue
(K8S.NODE_SuspectDownload) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement d’un fichier à partir d’une source fréquemment utilisée pour distribuer des logiciels malveillants. Escalade de privilèges, exécution, exfiltration, commande et contrôle Moyenne
Détection d’un téléchargement de fichier suspect
(K8S.NODE_SuspectDownloadArtifacts) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement suspect d’un fichier distant. Persistance Faible
Détection d’une utilisation suspecte de la commande nohup
(K8S.NODE_SuspectNohup) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande nohup. Des attaquants ont exécuté la commande nohup pour exécuter des fichiers masqués à partir d’un répertoire temporaire afin de permettre à leurs exécutables de se lancer en arrière-plan. Il est rare que cette commande s’exécute sur des fichiers masqués situés dans un répertoire temporaire. Persistance, Intrusion dans la défense Moyenne
Détection d’une utilisation suspecte de la commande useradd
(K8S.NODE_SuspectUserAddition) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande useradd. Persistance Moyenne
Conteneur d’extraction de données monétaires numériques détecté
(K8S_MaliciousContainerImage) 3
L’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’extraction de monnaies numériques. Exécution Importante
Détection d’un comportement lié au minage de devises numériques
(K8S.NODE_DigitalCurrencyMining) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’un processus ou d’une commande normalement associé à une activité d’exploration de données monétaires numériques. Exécution Élevé
Détection d’une opération de création Docker sur un nœud Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés. DefenseEvasion Faible
Autorisations de rôle excessives affectées dans le cluster Kubernetes (préversion)
(K8S_ServiceAcountPermissionAnomaly) 3
L’analyse des journaux d’audit Kubernetes a détecté une attribution de rôle d’autorisations excessive à votre cluster. Les autorisations listées pour les rôles affectés sont rares pour le compte de service spécifique. Cette détection prend en compte les attributions de rôles antérieures au même compte de service sur les clusters contrôlés par Azure, le volume par autorisation et l’impact de l’autorisation spécifique. Le modèle de détection d’anomalie utilisé pour cette alerte prend en compte la façon dont cette autorisation est utilisée sur tous les clusters supervisés par Microsoft Defender pour le cloud. Réaffectation de privilèges Faible
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect (préversion)
(K8S.NODE_SuspectExecutablePath)
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté un fichier exécutable qui s’exécute à partir d’un emplacement associé à des fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que le système est compromis. Exécution Moyenne
Tableau de bord Kubeflow exposé détecté
(K8S_ExposedKubeflow)
L’analyse du journal d’audit Kubernetes a détecté l’exposition de l’entrée Istio par un équilibreur de charge dans un cluster qui exécute Kubeflow. Cette action peut exposer le tableau de bord Kubeflow à Internet. Si le tableau de bord est exposé à Internet, les attaquants peuvent y accéder et exécuter du code ou des conteneurs malveillants sur le cluster. Pour plus d’informations, consultez l’article suivant : https://aka.ms/exposedkubeflow-blog. Accès initial Moyenne
Tableau de bord Kubernetes exposé détecté
(K8S_ExposedDashboard)
L’analyse du journal d’audit Kubernetes a détecté une exposition du tableau de bord Kubernetes par un service LoadBalancer. Un tableau de bord exposé permet un accès non authentifié à la gestion des clusters et constitue une menace pour la sécurité. Accès initial Élevé
Service Kubernetes exposé détecté
(K8S_ExposedService)
L’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service par un équilibreur de charge. Ce service est lié à une application sensible qui autorise des opérations à impact élevé dans le cluster, comme l’exécution de processus sur le nœud ou la création de conteneurs. Dans certains cas, ce service ne requiert pas d’authentification. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité. Accès initial Moyenne
Service Redis exposé dans AKS détecté
(K8S_ExposedRedis)
L’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service Redis par un équilibreur de charge. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité. Accès initial Faible
Détection d’indicateurs associés à DDOS Toolkit
(K8S.NODE_KnownLinuxDDoSToolkit) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté des noms de fichiers qui font partie d’une boîte à outils associée à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services, et de prendre le contrôle total du système infecté. Il peut également s’agir d’une activité légitime. Persistance, mouvement latéral, exécution, exploitation Moyenne
Détection de demandes d’API K8S provenant d’une adresse IP de proxy
(K8S_TI_Proxy) 3
L’analyse du journal d’audit de Kubernetes a détecté des demandes d’API adressées à votre cluster depuis une adresse IP associée aux services de proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les attaquants tentent de dissimuler leur adresse IP source. Exécution Faible
Événements Kubernetes supprimés
(K8S_DeleteEvents) 23
Defender pour le cloud a détecté que certains événements Kubernetes ont été supprimés. Les événements Kubernetes sont des objets dans Kubernetes qui contiennent des informations concernant les modifications apportées au cluster. Des attaquants peuvent supprimer ces événements pour dissimuler leurs opérations dans le cluster. Évasion de défense Faible
Détection d’un outil de test d’intrusion Kubernetes
(K8S_PenTestToolsKubeHunter)
L’analyse du journal d’audit de Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes. Exécution Faible
Détection d’une manipulation du pare-feu sur l’hôte
(K8S.NODE_FirewallDisabled) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une manipulation possible du pare-feu hôte. Les attaquants le désactivent souvent pour exfiltrer des données. Évasion de défense, exfiltration Moyenne
Alerte de test Microsoft Defender pour le cloud (pas une menace).
(K8S.NODE_EICAR) 1
Il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise. Exécution Élevé
Nouveau conteneur détecté dans l’espace de noms kube-system
(K8S_KubeSystemContainer) 3
L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur dans l’espace de noms kube-system qui ne fait pas partie des conteneurs qui s’exécutent normalement dans cet espace de noms. Les espaces de noms kube-system ne doivent pas contenir de ressources utilisateur. Des attaquants peuvent utiliser cet espace de noms pour dissimuler des composants malveillants. Persistance Faible
Nouveau rôle avec privilèges élevés détecté
(K8S_HighPrivilegesRole) 3
L’analyse du journal d’audit Kubernetes a détecté un nouveau rôle avec des privilèges élevés. Une liaison à un rôle avec des privilèges élevés donne à l’utilisateur/au groupe des privilèges élevés dans le cluster. Des privilèges inutiles peuvent entraîner une escalade des privilèges dans le cluster. Persistance Faible
Possible détection d’un outil d’attaque
(K8S.NODE_KnownLinuxAttackTool) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une invocation suspecte d’outil. Cet outil est souvent associé à l’attaque d’autres ordinateurs par des utilisateurs malveillants. Exécution, collecte, commande et contrôle, détection Moyenne
Détection d’une possible porte dérobée
(K8S.NODE_LinuxBackdoorArtifact) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement et l’exécution d’un fichier suspect. Cette activité a été précédemment associée à l’installation d’une porte dérobée. Persistance, évasion de défense, exécution, exploitation Moyenne
Tentative d’exploitation de la ligne de commande possible
(K8S.NODE_ExploitAttempt) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’exploitation possible contre une vulnérabilité connue. Exploitation Moyenne
Possible détection d’un outil d’accès aux informations d’identification
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un outil d’accès aux informations d’identification connu était en cours d’exécution sur le conteneur, comme identifié par le processus et l’élément de l’historique de la ligne de commande spécifiés. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant. CredentialAccess Moyenne
Détection d’un possible téléchargement Cryptocoinminer
(K8S.NODE_CryptoCoinMinerDownload) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement d’un fichier normalement associé à une activité d’exploration de données monétaires numériques. Évasion de défense, commande et contrôle, exploitation Moyenne
Exfiltration de données possible détectée
(K8S.NODE_DataEgressArtifacts) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une condition de sortie possible des données. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. Collection, exfiltration Moyenne
Possible détection d’une activité de falsification du journal
(K8S.NODE_SystemLogRemoval) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté la suppression possible de fichiers qui assurent le suivi de l’activité de l’utilisateur au cours de son fonctionnement. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux. DefenseEvasion Moyenne
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée
(K8S.NODE_SuspectPasswordChange) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté un changement de mot de passe à l’aide de la méthode crypt. Les attaquants peuvent effectuer cette modification pour continuer à bénéficier d’un accès et obtenir la persistance après une attaque. CredentialAccess Moyenne
Réacheminement potentiel d’un port vers une adresse IP externe
(K8S.NODE_SuspectPortForwarding) 1
L’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté l’initiation du transfert de port vers une adresse IP externe. Exfiltration, commande et contrôle Moyenne
Possible détection d’un interpréteur de commandes inverse
(K8S.NODE_ReverseShell) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté un potentiel interpréteur de commandes inversé. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. Exfiltration, Exploitation Moyenne
Conteneur privilégié détecté
(K8S_PrivilegedContainer)
L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur privilégié. Un conteneur privilégié a accès aux ressources du nœud et rompt l’isolation entre les conteneurs. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au nœud. Réaffectation de privilèges Faible
Détection d’un processus associé au minage de devises numériques
(K8S.NODE_CryptoCoinMinerArtifacts) 1
L’analyse des processus en cours d’exécution dans un conteneur a détecté l’exécution d’un processus normalement associé au minage de devises numériques. Execution, Exploitation Moyenne
Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSH
(K8S.NODE_SshKeyAccess) 1
Un fichier de clés autorisées SSH a fait l’objet d’un accès d’une façon rappelant les campagnes de programmes malveillants connus. Cet accès peut signifier qu’un acteur tente d’obtenir un accès permanent à une machine. Unknown Faible
Liaison de rôle au rôle d’administrateur de cluster détecté
(K8S_ClusterAdminBinding)
L’analyse du journal d’audit de Kubernetes a détecté une nouvelle liaison au rôle d’administrateur de cluster aboutissant à des privilèges d’administrateur. Des privilèges d’administrateur inutiles peuvent entraîner une escalade des privilèges dans le cluster. Persistance Faible
Arrêt de processus liés à la sécurité détecté
(K8S.NODE_SuspectProcessTermination) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt de processus liés au monitoring de la sécurité sur le conteneur. Les attaquants essaient souvent d’arrêter ces processus à l’aide de la compromission de scripts prédéfinis. Persistance Faible
Le serveur SSH s’exécute à l’intérieur d’un conteneur
(K8S.NODE_ContainerSSH) 1
L’analyse des processus en cours d’exécution dans un conteneur a détecté un serveur SSH s’exécutant dans le conteneur. Exécution Moyenne
Modification suspecte de l’horodatage des fichiers
(K8S.NODE_TimestampTampering) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification suspecte de l’horodatage. Les attaquants copient souvent les horodatages de fichiers légitimes existants dans de nouveaux outils pour empêcher la détection de ces fichiers supprimés. Persistance, Intrusion dans la défense Faible
Demande suspecte à l’API Kubernetes
(K8S.NODE_KubernetesAPI) 1
L’analyse des processus en cours d’exécution dans un conteneur indique qu’une requête suspecte a été envoyée à l’API Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster. LateralMovement Moyenne
Demande suspecte au tableau de bord Kubernetes
(K8S.NODE_KubernetesDashboard) 1
L’analyse des processus en cours d’exécution dans un conteneur indique qu’une requête suspecte a été envoyée au tableau de bord Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster. LateralMovement Moyenne
Un mineur potentiel de cryptomonnaie a démarré
(K8S.NODE_CryptoCoinMinerExecution) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le démarrage d’un processus d’une manière normalement associée à une activité d’exploration de données monétaires numériques. Exécution Moyenne
Accès suspect aux mots de passe
(K8S.NODE_SuspectPasswordFileAccess) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative suspecte d’accès aux mots de passe utilisateur chiffrés. Persistance Informationnel
Utilisation suspecte de DNS sur HTTPS
(K8S.NODE_SuspiciousDNSOverHttps) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté l’utilisation d’un appel DNS sur HTTPS de manière inhabituelle. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants. Évasion de défense, exfiltration Moyenne
Une connexion possible à un emplacement malveillant a été détectée.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
L’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une connexion à un emplacement qui a été signalé comme malveillant ou inhabituel. C’est un indicateur qu’une compromission a pu se produire. InitialAccess Moyenne
Détection possible d’un interpréteur de commandes web malveillant.
(K8S.NODE_Webshell) 1
L’analyse des processus en cours d’exécution dans un conteneur a détecté un potentiel interpréteur de commandes. Les attaquants chargent généralement un interpréteur de commandes web sur une ressource de calcul compromise pour s’y installer ou l’exploiter de manière approfondie. Persistance, exploitation Moyenne
Une rafale de plusieurs commandes de reconnaissance peut indiquer l’activité initiale après la compromission
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
L’analyse des données de l’hôte/de l’appareil a détecté l’exécution de plusieurs commandes de reconnaissance liées à la collecte des détails du système ou de l’hôte effectuées par des attaquants après la compromission initiale. Découverte, collecte Faible
Activité de téléchargement puis d’exécution suspecte
(K8S.NODE_DownloadAndRunCombo) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement et l’exécution d’un fichier dans la même commande. Bien que cela ne soit pas toujours malveillant, il s’agit d’une technique très courante utilisée par les attaquants pour obtenir des fichiers malveillants sur des ordinateurs victimes. Exécution, CommandAndControl, Exploitation Moyenne
Activité d’exploration de données monétaires numériques
(K8S.NODE_CurrencyMining) 1
L’analyse des transactions DNS a détecté une activité de minage de cryptomonnaies. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants. Exfiltration Faible
Accès au fichier kubelet kubeconfig détecté
(K8S.NODE_KubeConfigAccess) 1
L’analyse des processus exécutés sur un nœud de cluster Kubernetes a détecté l’accès au fichier kubeconfig sur l’hôte. Le fichier kubeconfig, normalement utilisé par le processus Kubelet, contient des informations d’identification pour le serveur d’API du cluster Kubernetes. L’accès à ce fichier est souvent associé à des attaquants qui tentent d’accéder à ces informations d’identification ou à des outils d’analyse de la sécurité qui vérifient si le fichier est accessible. CredentialAccess Moyenne
Détection de l’accès au service de métadonnées cloud
(K8S.NODE_ImdsCall) 1
L’analyse des processus exécutés dans un conteneur a détecté l’accès au service de métadonnées cloud pour acquérir un jeton d’identité. Le conteneur n’effectue normalement pas de telles opérations. Bien que ce comportement soit légitime, les attaquants peuvent utiliser cette technique pour accéder aux ressources cloud après avoir obtenu un accès initial à un conteneur en cours d’exécution. CredentialAccess Moyenne
Agent MITRE Caldera détecté
(K8S.NODE_MitreCalderaTools) 1
L’analyse des processus en cours d’exécution dans un conteneur ou directement sur un nœud Kubernetes a détecté un processus suspect. Cela est souvent associé à l’agent MITRE 54ndc47, qui peut être utilisé à des fins malveillantes pour attaquer d’autres machines. Persistance, escalade de privilèges, évasion de défense, accès aux informations d’identification, découverte, mouvement latéral, exécution, collecte, exfiltration, commande et contrôle, détection, exploitation Moyenne

1 : Préversion pour les clusters non AKS : cette alerte est généralement disponible pour les clusters AKS, mais elle est en préversion pour d’autres environnements, tels qu’Azure Arc, EKS et GKE.

2 : Limitations sur les clusters GKE : GKE utilise une stratégie d’audit Kuberenetes qui ne prend pas en charge tous les types d’alerte. Par conséquent, cette alerte de sécurité, qui est basée sur les événements d’audit Kubernetes, n’est pas prise en charge pour les clusters GKE.

3 : Cette alerte est prise en charge sur les nœuds/conteneurs Windows.

Alertes pour SQL Database et Azure Synapse Analytics

Informations complémentaires et notes

Alerte Description Tactiques MITRE
(En savoir plus)
severity
Vulnérabilité possible par injection de code SQL
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
Une application a généré une instruction SQL défectueuse dans la base de données. Cela peut indiquer une vulnérabilité aux attaques par injection de code SQL. Il y a deux causes possibles à une instruction défectueuse. Un défaut dans le code d’application peut avoir créé l’instruction SQL défectueuse. Ou bien, le code d’application ou les procédures stockées n’ont pas assaini les entrées utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par l’injection de code SQL. PreAttack Moyenne
Tentative de connexion par une application potentiellement dangereuse
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
Une application potentiellement dangereuse a tenté d’accéder à SQL Server « {nom} ». PreAttack Élevé
Connexion à partir d’un centre de données Azure inhabituel
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Le modèle d’accès à SQL Server a changé, car un utilisateur s’est connecté au serveur à partir d’un centre de données Azure inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un nouveau service Azure). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant opérant à partir d’une ressource compromise dans Azure). Détection Faible
Connexion à partir d’un emplacement inhabituel
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Le modèle d’accès à SQL Server a changé, car un utilisateur s’est connecté au serveur à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe). Exploitation Moyenne
Connexion à partir d’un utilisateur principal non vu en 60 jours
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Un utilisateur principal non vu depuis 60 jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs. Exploitation Moyenne
Connexion à partir d’une adresse IP suspecte
(SQL.VM_SuspiciousIpAnomaly)
L’accès à votre ressource a été correctement effectué à partir d’une adresse IP que Microsoft Threat Intelligence a associée à une activité suspecte. PreAttack Moyenne
Tentative de force brute SQL potentielle Il y a eu un nombre anormalement élevé d’échecs de tentatives de connexion avec des informations d’identification différentes. Dans certains cas, l’alerte détecte le test d’intrusion en action. Dans d’autres cas, l’alerte détecte une attaque par force brute. Détection Élevé
Injection potentielle de code SQL
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Une attaque active a eu lieu contre une application identifiée vulnérable aux injections SQL. Cela signifie qu’un attaquant tente d’injecter des instructions SQL malveillantes en utilisant les procédures stockées ou le code d’application vulnérables. PreAttack Élevé
Action potentiellement dangereuse
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
Une action potentiellement dangereuse a été tentée sur votre base de données « {nom} » sur le serveur « {nom} ». - Élevé
Attaque par force brute probable à l’aide d’un utilisateur valide Une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant utilise l’utilisateur valide sa, qui dispose des autorisations pour se connecter. PreAttack Élevé
Attaque par force brute probable Une attaque par force brute potentielle a été détectée sur votre serveur SQL « {nom} ». PreAttack Élevé
Attaque par force brute réussie probable
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
Une connexion a été correctement établie après une attaque par force brute apparente sur votre ressource PreAttack Élevé
Emplacement d’exportation inhabituel Quelqu’un a extrait une quantité importante de données de votre serveur SQL « {nom} » vers un emplacement inhabituel. Exfiltration Élevé

Alertes pour les bases de données relationnelles open source

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
Gravité
Attaque par force brute probable à l’aide d’un utilisateur valide
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
Une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter. PreAttack Élevé
Attaque par force brute réussie probable
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
Une connexion a été correctement établie après une attaque par force brute apparente sur votre ressource. PreAttack Élevé
Attaque par force brute probable
("SQL.MySQL_BruteForce")
Une attaque par force brute potentielle a été détectée sur votre serveur SQL « {nom} ». PreAttack Élevé
Tentative de connexion par une application potentiellement dangereuse
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
Une application potentiellement dangereuse a tenté d’accéder à votre ressource. PreAttack Élevé
Connexion à partir d’un utilisateur principal non vu en 60 jours
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
Un utilisateur principal non vu depuis 60 jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs. Exploitation Moyenne
Connexion à partir d’un domaine pas vu pendant 60 jours
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
Un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur ne s’est connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs. Exploitation Moyenne
Connexion à partir d’un centre de données Azure inhabituel
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
Une personne s’est connectée à votre ressource à partir d’un centre de données Azure inhabituel. Détection Faible
Ouverture de session à partir d’un fournisseur de cloud inhabituel
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
Une personne a ouvert une session sur votre ressource à partir d’un fournisseur de cloud non vu au cours des 60 derniers jours. Il est facile et rapide pour les acteurs de menaces d’obtenir une puissance de calcul à disposition à utiliser dans leurs campagnes. Si ce comportement est attendu suite à l’adoption récente d’un nouveau fournisseur de cloud, Defender pour le cloud apprendra au fur et à mesure et tentera d’éviter les futurs faux positifs. Exploitation Moyenne
Connexion à partir d’un emplacement inhabituel
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
Une personne s’est connectée à votre ressource à partir d’un centre de données Azure inhabituel. Exploitation Moyenne
Connexion à partir d’une adresse IP suspecte
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
L’accès à votre ressource a été correctement effectué à partir d’une adresse IP que Microsoft Threat Intelligence a associée à une activité suspecte. PreAttack Moyenne

Alertes pour Resource Manager

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
Gravité
Opération Azure Resource Manager depuis une adresse IP suspecte
(ARM_OperationFromSuspiciousIP)
Microsoft Defender pour Resource Manager a détecté une opération à partir d’une adresse IP qui a été marquée comme suspecte dans les flux de renseignement sur les menaces. Exécution Moyenne
Opération Azure Resource Manager depuis une adresse IP proxy suspecte
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée à des services proxy comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source. Évasion de défense Moyenne
Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements
(ARM_MicroBurst.AzDomainInfo)
Le module de collecte d’informations de MicroBurst a été exécuté sur votre abonnement. Cet outil peut être utilisé pour découvrir les ressources, les autorisations et les structures réseau. Cela a été détecté par l’analyse des journaux d’activité Azure et des opérations de gestion de ressources dans votre abonnement. - Importante
Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements
(ARM_MicroBurst.AzureDomainInfo)
Le module de collecte d’informations de MicroBurst a été exécuté sur votre abonnement. Cet outil peut être utilisé pour découvrir les ressources, les autorisations et les structures réseau. Cela a été détecté par l’analyse des journaux d’activité Azure et des opérations de gestion de ressources dans votre abonnement. - Importante
Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle
(ARM_MicroBurst.AzVMBulkCMD)
La boîte à outils d’exploitation de MicroBurst a été utilisée pour exécuter du code sur vos machines virtuelles. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Exécution Élevé
Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle
(RM_MicroBurst.AzureRmVMBulkCMD)
La boîte à outils d’exploitation de MicroBurst a été utilisée pour exécuter du code sur vos machines virtuelles. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés de vos coffres de clés Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
La boîte à outils d’exploitation de MicroBurst a été utilisée pour extraire des clés de vos coffres de clés Azure. Cela a été détecté par l’analyse des journaux d’activité Azure et des opérations de gestion de ressources dans votre abonnement. - Importante
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés vers vos comptes de stockage
(ARM_MicroBurst.AZStorageKeysREST)
La boîte à outils d’exploitation de MicroBurst a été utilisée pour extraire des clés vers vos comptes de stockage. Cela a été détecté par l’analyse des journaux d’activité Azure et des opérations de gestion de ressources dans votre abonnement. Collection Élevé
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des secrets vos coffres de clés Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
La boîte à outils d’exploitation de MicroBurst a été utilisée pour extraire des secrets de vos coffres de clés Azure. Cela a été détecté par l’analyse des journaux d’activité Azure et des opérations de gestion de ressources dans votre abonnement. - Importante
Boîte à outils d’exploitation PowerZure utilisée pour élever l’accès d’Azure AD à Azure
(ARM_PowerZure.AzureElevatedPrivileges)
La boîte à outils d’exploitation PowerZure a été utilisée pour élever l’accès d’Azure AD à Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre locataire. - Importante
Boîte à outils d’exploitation PowerZure utilisée pour énumérer les ressources
(ARM_PowerZure.GetAzureTargets)
La boîte à outils d’exploitation PowerZure a été utilisée pour énumérer les ressources pour un compte d’utilisateur légitime de votre organisation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Collection Élevé
Boîte à outils d’exploitation PowerZure utilisée pour énumérer les conteneurs, partages et tables de stockage
(ARM_PowerZure.ShowStorageContent)
La boîte à outils d’exploitation PowerZure a été utilisée pour énumérer les partages, tables et conteneurs de stockage. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Boîte à outils d’exploitation PowerZure utilisée pour exécuter un Runbook dans votre abonnement
(ARM_PowerZure.StartRunbook)
La boîte à outils d’exploitation PowerZure a été utilisée pour exécuter un Runbook. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Boîte à outils d’exploitation PowerZure utilisée pour extraire du contenu de Runbooks
(ARM_PowerZure.AzureRunbookContent)
La boîte à outils d’exploitation PowerZure a été utilisée pour extraire du contenu de Runbooks. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Collection Élevé
PRÉVERSION – Activité à partir d’une adresse IP à risque
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Une activité utilisateur depuis une adresse IP qui a été identifiée comme adresse IP de proxy anonyme a été détectée.
Ces proxys sont utilisés par des individus souhaitant masquer l’adresse IP de leur appareil et peuvent être utilisés dans un but malveillant. Cette détection utilise un algorithme Machine Learning qui réduit les faux positifs, tels que les adresses IP mal étiquetées qui sont largement utilisées par d’autres utilisateurs de l’organisation.
Requiert une licence active Microsoft Defender for Cloud Apps.
- Moyenne
PRÉVERSION - Activité à partir de pays peu fréquents
(ARM.MCAS_ActivityFromInfrequentCountry)
Une activité s’est produite à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par un utilisateur de l’organisation.
Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation.
Requiert une licence active Microsoft Defender for Cloud Apps.
- Moyenne
PRÉVERSION - Détection de l’exécution du Kit de ressources Azurite
(ARM_Azurite)
L’exécution d’un Kit de ressources de reconnaissance d’environnement cloud connu a été détectée dans votre environnement. L’outil Azurite peut être utilisé par un attaquant (ou testeur d’intrusion) pour mapper les ressources de vos abonnements et identifier les configurations non sécurisées. Collection Élevé
PRÉVERSION - Activité de type Voyage impossible
(ARM.MCAS_ImpossibleTravelActivity)
Deux activités utilisateur (dans une ou plusieurs sessions) se sont produites, provenant d’emplacements géographiquement distants. Cela se produit dans une période plus courte que celle qu’il aurait fallu à l’utilisateur pour se déplacer du premier emplacement vers le second. Cela indique qu’un autre utilisateur utilise les mêmes informations d’identification.
Cette détection utilise un algorithme Machine Learning qui ignore les faux positifs évidents contribuant aux conditions de voyage impossibles, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation. La détection présente une période d’apprentissage initiale de 7 jours, lui servant à assimiler le modèle d’activité d’un nouvel utilisateur.
Requiert une licence active Microsoft Defender for Cloud Apps.
- Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès aux informations d’identification » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.CredentialAccess)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Accès aux informations d’identification Medium
PRÉVERSION - Détection d’un appel suspect d’une opération « Collecte de données » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Collection)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte des informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur les ressources de votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Collection Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Évasion de défense » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.DefenseEvasion)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’échappement aux défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un intervenant représentant une menace peut utiliser ces opérations pour éviter d’être détecté quand il compromet les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Évasion de défense Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Exécution » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Execution)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur une machine dans votre abonnement, ce qui peut indiquer une tentative d’exécution de code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Exécution de défense Medium
PRÉVERSION - Détection d’un appel suspect d’une opération « Impact » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Impact)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de la configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Impact Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès initial » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.InitialAccess)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources limitées. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour un accès initial aux ressources limitées dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Accès initial Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès de mouvement latéral » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.LateralMovement)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, il est possible qu’un acteur de menace exploite ces opérations pour compromettre des ressources supplémentaires dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Mouvement latéral Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « persistance » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Persistence)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative pour établir une persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour établir la persistance de votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Persistance Moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Élévation des privilèges » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’élévation des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour élever les privilèges quand il compromet les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante. Élévation des privilèges Moyenne
PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactif
(ARM_UnusedAccountPersistence)
L’analyse des journaux d’activité liés aux abonnements a détecté un comportement suspect. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant. Persistance Moyenne
PRÉVERSION - Détection d’une session de gestion suspecte utilisant PowerShell
(ARM_UnusedAppPowershellPersistence)
L’analyse des journaux d’activité liés aux abonnements a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement PowerShell pour gérer l’environnement des abonnements utilise maintenant PowerShell, et effectue des actions qui peuvent sécuriser la persistance d’un attaquant. Persistance Moyenne
PRÉVERSION - Détection d’une session de gestion suspecte utilisant le portail Azure
(ARM_UnusedAppIbizaPersistence)
L’analyse des journaux d’activité liés à votre abonnement a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement le Portail Azure (Ibiza) pour gérer l’environnement de l’abonnement (qui n’a pas utilisé le portail Azure au cours des 45 derniers jours ou un abonnement qu’il gère activement), utilise désormais le Portail Azure et effectue des actions qui peuvent assurer une certaine persistance pour un attaquant. Persistance Moyenne
Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégié dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection. Escalade de privilèges, fraude à la défense Faible
Attribution de rôle Azure suspecte détectée (préversion)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender pour Resource Manager a identifié une attribution de rôle Azure suspecte effectuée à l’aide de PIM (Privileged Identity Management) dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accorder aux principaux l’accès aux ressources Azure. Bien que cette activité puisse être légitime, un acteur de menace peut utiliser l’attribution de rôle pour élever ses autorisations lui permettant de faire progresser son attaque. Mouvement latéral, évasion de la défense Faible (PIM)/Élevé
Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Accès aux informations d’identification Moyenne
Appel suspect d’une opération de collecte de données à haut risque détecté (préversion)
(ARM_AnomalousOperation.Collection)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte des informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur les ressources de votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Collection Moyenne
Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’échappement aux défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un intervenant représentant une menace peut utiliser ces opérations pour éviter d’être détecté quand il compromet les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Évasion de défense Moyenne
Appel suspect d’une opération d’exécution à haut risque détecté (préversion)
(ARM_AnomalousOperation.Execution)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur une machine dans votre abonnement, ce qui peut indiquer une tentative d’exécution de code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Exécution Moyenne
Appel suspect d’une opération d’impact à haut risque détecté (préversion)
(ARM_AnomalousOperation.Impact)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de la configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour accéder à des informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Impact Moyenne
Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources limitées. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour un accès initial aux ressources limitées dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Accès initial Moyenne
Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, il est possible qu’un acteur de menace exploite ces opérations pour compromettre des ressources supplémentaires dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Déplacement latéral Moyenne
Appel suspect d’une opération de persistance à haut risque détecté (préversion)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative pour établir une persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour établir la persistance de votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Persistance Moyenne
Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’élévation des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité puisse être légitime, un intervenant représentant une menace peut utiliser ces opérations pour élever les privilèges quand il compromet les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante. Réaffectation de privilèges Moyenne
Utilisation de la boîte à outils d’exploitation MicroBurst pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Utilisation de la boîte à outils d’exploitation MicroBurst pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Persistance, accès aux informations d’identification Élevé
Utilisation de techniques NetSPI pour préserver la persistance dans votre environnement Azure
(ARM_NetSPI.MaintainPersistence)
Utilisation de la technique de persistance NetSPI pour créer une porte dérobée webhook et préserver la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Utilisation de la boîte à outils d’exploitation PowerZure pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
La boîte à outils d’exploitation PowerZure a détecté une tentative d’exécution de code ou d’exfiltration d’informations d’identification de compte Azure Automation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Utilisation d’une fonction PowerZure pour préserver la persistance dans votre environnement Azure
(ARM_PowerZure.MaintainPersistence)
La boîte à outils d’exploitation PowerZure a détecté la création d’une porte dérobée webhook afin de préserver la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. - Élevé
Attribution de rôle classique suspecte détectée (préversion)
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender pour Resource Manager a identifié une attribution de rôle classique suspecte dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour assurer la compatibilité descendante avec les rôles classiques qui ne sont plus couramment utilisés. Bien que cette activité puisse être légitime, un acteur de menace peut utiliser cette attribution pour accorder des autorisations à un compte d’utilisateur supplémentaire sous son contrôle.  Mouvement latéral, évasion de la défense Élevé

Alertes pour DNS

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
Gravité
Utilisation d’un protocole réseau anormale
(AzureDNS_ProtocolAnomaly)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une utilisation de protocole anormale. Ce trafic, bien qu’il puisse être bénin, peut indiquer un abus de ce protocole commun pour contourner le filtrage du trafic réseau. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur. Exfiltration -
Activité réseau anonyme
(AzureDNS_DarkWeb)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Activité réseau anonyme utilisant un proxy web
(AzureDNS_DarkWebProxy)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Tentative de communication avec un domaine sinkhole suspect
(AzureDNS_SinkholedDomain)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande de domaine skinhole. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants. Exfiltration -
Communication avec un domaine d’hameçonnage potentiel
(AzureDNS_PhishingDomain)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande pour un domaine d’hameçonnage potentiel. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à collecter des informations d’identification auprès de services distants. L’activité associée type des attaquants est susceptible d’inclure l’exploitation d’informations d’identification dans le service légitime. Exfiltration -
Communication avec un domaine suspect généré par algorithmique
(AzureDNS_DomainGenerationAlgorithm)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation possible d’un algorithme de génération de domaine. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en les comparant aux domaines malveillants connus identifiés par les flux de renseignements sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise. Accès initial Moyenne
Communication avec un nom de domaine aléatoire suspect
(AzureDNS_RandomizedDomain)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation d’un nom de domaine suspect généré de manière aléatoire. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Activité d’exploration de données monétaires numériques
(AzureDNS_CurrencyMining)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une activité d’exploration de données monétaires numériques. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants. Exfiltration -
Activation de la signature de détection d’intrusion réseau
(AzureDNS_SuspiciousDomain)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté une signature réseau connue pour être malveillante. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants. Exfiltration -
Possible téléchargement de données via un tunnel DNS
(AzureDNS_DataInfiltration)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté l’existence possible d’un tunnel DNS. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Possible exfiltration de données via un tunnel DNS
(AzureDNS_DataExfiltration)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté l’existence possible d’un tunnel DNS. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -
Possible transfert de données via un tunnel DNS
(AzureDNS_DataObfuscation)
L’analyse des transactions DNS de %{CompromisedEntity} a détecté l’existence possible d’un tunnel DNS. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants. Exfiltration -

Alertes pour le Stockage Azure

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
PRÉVERSION - Accès à partir d’une application suspecte
(Storage.Blob_SuspiciousApp)
Indique qu’une application suspecte a réussi à accéder à un conteneur d’un compte de stockage avec authentification.
Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation.
S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2
Accès initial Moyenne
Accès à partir d’une adresse IP suspecte
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Indique que le compte de stockage a fait l’objet d’un accès réussi à partir d’une adresse IP considérée comme suspecte. Cette alerte est générée par Microsoft Threat Intelligence.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Accès initial Moyenne
PRÉVERSION - contenu de hameçonnage hébergé sur un compte de stockage
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Une URL utilisée dans une attaque par hameçonnage pointe vers votre compte de stockage Azure. Cette URL faisait partie d’une attaque par hameçonnage qui affecte des utilisateurs de Microsoft 365.
En règle générale, le contenu hébergé sur ces pages est conçu pour inciter les visiteurs à entrer leurs informations d’identification d’entreprise ou financières dans un formulaire web qui semble légitime.
Cette alerte est générée par Microsoft Threat Intelligence.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.
S’applique à : Stockage Blob Azure, Azure Files
Collection Élevé
PRÉVERSION - Compte de stockage identifié comme source de distribution de logiciels malveillants
(Storage.Files_WidespreadeAm)
Les alertes de logiciel anti-programme malveillant indiquent qu’un ou plusieurs fichiers infectés sont stockés dans un partage de fichiers Azure monté sur plusieurs machines virtuelles. Si des attaquants obtiennent l’accès à une machine virtuelle avec un partage de fichiers Azure monté, ils peuvent l’utiliser pour propager des logiciels malveillants sur d’autres machines virtuelles qui montent le même partage.
S’applique à : Azure Files
Lateral Movement, Execution Élevé
PRÉVERSION - Un compte de stockage contenant des données potentiellement sensibles a été détecté avec un conteneur exposé publiquement
(Storage.Blob_OpenACL)
La stratégie d’accès d’un conteneur dans votre compte de stockage a été modifiée pour autoriser l’accès anonyme. Cette action peut aboutir à une violation de données si le conteneur renferme des données sensibles. Cette alerte est basée sur l’analyse du journal d’activité Azure.
S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2
Réaffectation de privilèges Moyenne
Accès authentifié à partir d’un nœud de sortie Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Un ou plusieurs conteneurs de stockage/partages de fichiers dans votre compte de stockage ont été sollicités avec succès à partir d’une adresse IP connue en tant que nœud de sortie actif de Tor (un proxy d’anonymisation). Les acteurs des menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Accès initial Élevé/Moyen
Accès à partir d’un emplacement inhabituel dans un compte de stockage
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Indique un changement dans le modèle d’accès à un compte Stockage Azure. Quelqu’un a accédé à ce compte à partir d’une adresse IP considérée comme peu familière par rapport à l’activité récente. Soit un attaquant a obtenu l’accès au compte, soit un utilisateur légitime s’est connecté à partir d’un emplacement géographique nouveau ou inhabituel. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Exploitation Faible
Accès non authentifié inhabituel à un conteneur de stockage
(Storage.Blob_AnonymousAccessAnomaly)
Ce compte de stockage a fait l’objet d’un accès sans authentification, ce qui constitue un changement par rapport au modèle d’accès courant. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage.
S’applique à : Stockage Blob Azure
Collection Faible
Programme potentiellement malveillant chargé vers un compte de stockage
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Indique qu’un blob pouvant contenir des programmes malveillants a été chargé dans le conteneur de blobs ou le partage de fichiers d’un compte de stockage. Cette alerte est basée sur une analyse de réputation de code de hachage tirant parti de la puissance du renseignement sur les menaces Microsoft, qui inclut des codes de hachage pour des virus, Cheval de Troie, logiciels espions et autres rançongiciels. Les causes potentielles peuvent inclure le chargement intentionnel d’un programme malveillant par un agresseur ou le chargement non intentionnel d’un objet blob potentiellement malveillant par un utilisateur légitime.
S’applique à : Stockage Blob Azure, Azure Files (uniquement pour les transactions sur API REST)
En savoir plus sur l’analyse de réputation du code de hachage pour les programmes malveillants d’Azure.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.
Déplacement latéral Élevé
Des conteneurs de stockage accessibles publiquement ont été découverts
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Une découverte de conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse.

Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.

L’acteur de menace peut utiliser son propre script ou des outils d’analyse connus tels que Microburst pour rechercher des conteneurs ouverts publiquement.

✔ Stockage Blob Azure
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Collection Moyenne
Échec de l’analyse des conteneurs de stockage accessibles publiquement
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Une série de tentatives d’analyse des conteneurs de stockage ouverts publiquement ayant échoué ont été effectuées au cours de la dernière heure.

Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.

L’acteur de menace peut utiliser son propre script ou des outils d’analyse connus tels que Microburst pour rechercher des conteneurs ouverts publiquement.

✔ Stockage Blob Azure
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Collection Faible
Inspection d’accès inhabituelle dans un compte de stockage
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Indique que les autorisations d’accès d’un compte de stockage ont été inspectées de façon inhabituelle, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future.
S’applique à : Stockage Blob Azure, Azure Files
Collection Moyenne
Quantité inhabituelle de données extraites d’un compte de stockage
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Indique qu’une quantité anormalement élevée de données a été extraite par rapport à l’activité récente sur ce conteneur de stockage. Un attaquant a peut-être extrait une grande quantité de données à partir d’un conteneur de stockage d’objets blob.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Exfiltration Moyenne
Une application inhabituelle a accédé à un compte de stockage
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Indique qu’une application inhabituelle a accédé à ce compte de stockage. Un attaquant a peut-être accédé à votre compte de stockage à l’aide d’une nouvelle application.
S’applique à : Stockage Blob Azure, Azure Files
Exploitation Moyenne
Modification inhabituelle des autorisations d’accès dans un compte de stockage
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Indique que les autorisations d’accès de ce conteneur de stockage ont été modifiées de façon inhabituelle. Un attaquant a peut-être changé les autorisations du conteneur pour affaiblir son état de sécurité ou y accéder de façon persistante.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Persistance Moyenne
Exploration de données inhabituelle dans un compte de stockage
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Indique que les objets blob ou les conteneurs dans un compte de stockage ont été énumérés de manière inhabituelle, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future.
S’applique à : Stockage Blob Azure, Azure Files
Collection Moyenne
Suppression inhabituelle dans un compte de stockage
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Indique qu’une ou plusieurs opérations de suppression inattendues se sont produites dans un compte de stockage, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait supprimé des données à partir de votre compte de stockage.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Exfiltration Moyenne
Chargement inhabituel de fichier .cspkg dans un compte de stockage
(Storage.Blob_CspkgUploadAnomaly)
Indique qu’un package Azure Cloud Services (fichier .cspkg) a été chargé dans un compte de stockage de façon inhabituelle par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant se prépare à déployer un code malveillant à partir de votre compte de stockage vers un service cloud Azure.
S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2
Lateral Movement, Execution Moyenne
Chargement inhabituel d’un fichier .exe dans un compte de stockage
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Indique qu’un fichier .exe a été chargé dans un compte de stockage de façon inhabituelle, par rapport à l’activité récente sur ce compte. Une cause possible est qu’un attaquant a chargé un fichier exécutable malveillant dans votre compte de stockage ou qu’un utilisateur légitime a chargé un fichier exécutable.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Lateral Movement, Execution Moyenne

Alertes pour Azure Cosmos DB

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
Accès à partir d’un nœud de sortie Tor
(CosmosDB_TorAnomaly)
Ce compte Azure Cosmos DB a été consulté à partir d’une adresse IP connue comme nœud de sortie actif de Tor, un proxy anonyme. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. Accès initial Élevé/Moyen
Accès à partir d’une adresse IP suspecte
(CosmosDB_SuspiciousIp)
Ce compte Azure Cosmos DB a été consulté à partir d’une adresse IP identifiée comme une menace par Microsoft Threat Intelligence. Accès initial Moyenne
Accès à partir d’un emplacement inhabituel
(CosmosDB_GeoAnomaly)
Ce compte Azure Cosmos DB a été consulté à partir d’un emplacement considéré comme inhabituel par rapport au modèle d’accès habituel.

Un acteur de menace a peut-être obtenu l’accès au compte, ou un utilisateur légitime s’est connecté à partir d’une localisation géographique nouvelle ou inhabituelle
Accès initial Faible
Volume inhabituel de données extraites
(CosmosDB_DataExfiltrationAnomaly)
Un volume anormalement important de données a été extrait de ce compte Azure Cosmos DB. Un acteur de menace a peut-être exfiltrer des données. Exfiltration Moyenne
Extraction de clés de comptes Azure Cosmos DB avec un script potentiellement malveillant
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’opérations de liste de clés pour obtenir les clés des comptes Azure Cosmos DB de votre abonnement. Les acteurs de menace utilisent des scripts automatisés, comme Microburst, pour lister des clés et rechercher les comptes Azure Cosmos DB auxquels ils peuvent accéder.

Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre les comptes Azure Cosmos DB de votre environnement à des fins malveillantes.

Il se peut aussi qu’une personne malveillante au sein de l’organisation tente d’accéder aux données sensibles et d’effectuer un mouvement latéral.
Collection Élevé
Extraction suspecte des clés de compte Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Une source suspecte a extrait les clés d’accès du compte Azure Cosmos DB à partir de votre abonnement. Si cette source n’est pas une source légitime, il peut s’agir d’un problème avec un impact élevé. La clé d’accès extraite fournit un contrôle total sur les bases de données associées et les données qui y sont stockées. Consultez les détails de chaque alerte pour comprendre pourquoi la source a été signalée comme suspecte. Accès aux informations d’identification high
Injection de code SQL : exfiltration de données potentielle
(CosmosDB_SqlInjection.DataExfiltration)
Une instruction SQL suspecte a été utilisée pour interroger un conteneur de ce compte Azure Cosmos DB.

L’instruction injectée a peut-être réussi à exfiltrer des données que l’acteur de menace n’est pas autorisé à consulter.

En raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL parmi celles connues ne pourront pas fonctionner dans Azure Cosmos DB. Toutefois, la variante utilisée dans cette attaque peut fonctionner et les acteurs de menace peuvent exfiltrer des données.
Exfiltration Moyenne
Injection de code SQL : tentative de fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Une instruction SQL suspecte a été utilisée pour interroger un conteneur de ce compte Azure Cosmos DB.

Comme les autres attaques bien connues par injection de code SQL, cette attaque ne peut pas compromettre le compte Azure Cosmos DB.

Néanmoins, cela indique qu’un acteur de menace tente d’attaquer les ressources de ce compte et que votre application est peut-être compromise.

Certaines attaques par injection de code SQL peuvent réussir et être utilisées pour exfiltrer des données. Cela signifie que si l’attaquant continue d’effectuer des tentatives d’injection de code SQL, il peut peut-être compromettre votre compte Azure Cosmos DB et exfiltrer des données.

Vous pouvez empêcher cette menace en utilisant des requêtes paramétrables.
Pré-attaque Faible

Alertes pour la couche réseau Azure

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
severity
Détection d’une communication réseau avec un ordinateur malveillant
(Network_CommunicationWithC2)
L’analyse du trafic réseau indique que votre ordinateur (Adresse IP %{Adresse IP victime}) a communiqué avec ce qui semble être un centre de contrôle et de commande. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont communiqué avec ce qui semble être un centre de contrôle et de commande. Commande et contrôle Moyenne
Détection possible d’un ordinateur compromis
(Network_ResourceIpIndicatedAsMalicious)
Les renseignements sur les menaces indiquent que votre ordinateur (à l’adresse IP %{Adresse IP de l’ordinateur}) a peut-être été compromis par un programme malveillant de type Conficker. Conficker était un ver informatique qui ciblait le système d’exploitation Microsoft Windows et qui a été détecté pour la première fois en novembre 2008. Conficker a infecté des millions d’ordinateurs, notamment ceux des services publics, ceux des entreprises, mais aussi des ordinateurs personnels dans plus de 200 pays/régions, ce qui en fait la plus grande infection connue par un ver informatique depuis le ver Welchia en 2003. Commande et contrôle Moyenne
Détection possible de tentatives de force brute entrante sur %{Nom du service}
(Generic_Incoming_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication %{Nom du service} entrante vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Port de la victime}. Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs %{Nom du service}. PreAttack Moyenne
Détection possible de tentatives d’attaque SQL par force brute
(SQL_Incoming_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication SQL entrante vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Numéro de port} (%{Type de service SQL}). Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs SQL. PreAttack Moyenne
Détection possible d’une attaque par déni de service sortant
(DDOS)
L’analyse du trafic réseau a détecté une activité sortante anormale provenant de %{Hôte compromis}, une ressource de votre déploiement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant engagée dans des attaques par déni de service contre des points de terminaison externes. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). D’après le volume des connexions, nous pensons que les adresses IP suivantes sont peut-être les cibles de l’attaque DOS : %{Victimes possibles}. Notez qu’il est possible que la communication avec certaines de ces adresses IP soit légitime. Impact Moyenne
Activité réseau entrante RDP suspecte à partir de plusieurs sources
(RDP_Incoming_BF_ManyToOne)
L’analyse du trafic réseau a détecté une communication RDP vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison RDP à partir de plusieurs hôtes (Botnet). PreAttack Moyenne
Activité réseau entrante RDP suspecte
(RDP_Incoming_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication RDP vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison RDP. PreAttack Moyenne
Activité réseau entrante SSH suspecte à partir de plusieurs sources
(SSH_Incoming_BF_ManyToOne)
L’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison SSH à partir de plusieurs hôtes (Botnet). PreAttack Moyenne
Activité réseau entrante SSH suspecte
(SSH_Incoming_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison SSH. PreAttack Moyenne
Détection de trafic entrant suspect %{Protocole attaqué}
(PortScanning)
L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis} vers le port de destination %{Port le plus courant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Ce comportement peut indiquer que votre ressource participe à des tentatives d’attaque par force brute dans %{Protocole attaqué} ou à des attaques par balayage des ports. Découverte Moyenne
Activité réseau sortante RDP suspecte vers plusieurs destinations
(RDP_Outgoing_BF_OneToMany)
L’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers plusieurs destinations depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre machine se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante. Découverte Élevé
Activité réseau sortante RDP suspecte
(RDP_Outgoing_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers %{IP victime} depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre machine a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante. Déplacement latéral Élevé
Activité réseau sortante SHH suspecte vers plusieurs destinations
(SSH_Outgoing_BF_OneToMany)
L’analyse du trafic réseau a détecté une communication SSH sortante anormale vers plusieurs destinations depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre ressource se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante. Découverte Moyenne
Activité réseau sortante SSH suspecte
(SSH_Outgoing_BF_OneToOne)
L’analyse du trafic réseau a détecté une communication SSH sortante anormale vers %{IP victime} depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante. Déplacement latéral Moyenne
Détection de trafic depuis des adresses IP recommandées comme à bloquer Microsoft Defender pour le cloud a détecté du trafic entrant provenant d’adresses IP qui sont recommandées comme devant être bloquées. Cela se produit généralement lorsque cette adresse IP ne communique pas régulièrement avec cette ressource. Il est aussi possible que l’adresse IP ait été signalée comme malveillante par les sources de renseignement sur les menaces de Microsoft Defender pour le cloud. Détection Faible

Alertes pour Azure Key Vault

Informations complémentaires et notes

Alerte (type d’alerte) Description Tactiques MITRE
(En savoir plus)
Gravité
Accès à partir d’une adresse IP suspecte à un coffre de clés
(KV_SuspiciousIPAccess)
Un coffre de clés a fait l’objet d’un accès réussi par une IP qui a été identifiée par Microsoft Threat Intelligence comme adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. Accès aux informations d’identification Moyenne
Accès à un coffre de clés à partir d’un nœud de sortie TOR
(KV_TORAccess)
Un accès à un coffre de clés à partir d’un nœud de sortie TOR connu a été détecté. Cela peut indiquer qu’un acteur de menace a accédé au coffre de clés et utilise le réseau TOR pour masquer son emplacement source. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Volume élevé d’opérations dans un coffre de clés
(KV_OperationVolumeAnomaly)
Un nombre anormal d’opérations sur le coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Changement de stratégie suspect et requête secrète dans un coffre de clés
(KV_PutGetAnomaly)
Un utilisateur ou un principal de service a effectué un changement de stratégie Vault Put anormal, puis une ou plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié. Il peut s’agir d’une activité légitime, mais cela peut indiquer qu’un acteur de menace a mis à jour la stratégie de coffre de clés pour pouvoir accéder à des secrets précédemment inaccessibles. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Listing des secrets et requête suspectes dans un coffre de clés
(KV_ListGetAnomaly)
Un utilisateur ou un principal de service a effectué une opération Secret List anormale, puis une ou plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié, et il est généralement associé au dumping des secrets. Il peut s’agir d’une activité légitime, mais cela peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et tente de découvrir des secrets qu’il pourra ensuite utiliser pour se déplacer latéralement dans votre réseau et/ou accéder à des ressources sensibles. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé
(KV_AccountVolumeAccessDeniedAnomaly)
Un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des dernières 24 heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires. Découverte Faible
Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés
(KV_UserAccessDeniedAnomaly)
Un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Accès initial, découverte Faible
Une application inhabituelle a accédé à un coffre de clés
(KV_AppAnomaly)
Un principal de service a accédé à un coffre de clés alors qu’il n’y accède pas normalement. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Modèle d’opération inhabituelle dans un coffre de clés
(KV_OperationPatternAnomaly)
Un modèle anormal d’opérations sur le coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Un utilisateur inhabituel a accédé à un coffre de clés
(KV_UserAnomaly)
Un utilisateur a accédé à un coffre de clés alors qu’il n’y accède pas normalement. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
Une paire utilisateur-application inhabituelle a accédé à un coffre de clés
(KV_UserAppAnomaly)
Une paire utilisateur-principal de service a accédé à un coffre de clés alors qu’elle n’y accède pas normalement. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne
L’utilisateur a accédé à un grand nombre de coffres de clés
(KV_AccountVolumeAnomaly)
Un utilisateur ou un principal de service a accédé à un nombre de coffres de clés anormalement élevé. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès à de multiples coffres de clés pour essayer d’obtenir les secrets qui y sont stockés. Nous vous recommandons de faire des investigations supplémentaires. Accès aux informations d’identification Moyenne

Alertes pour Azure DDoS Protection

Informations complémentaires et notes

Alerte Description Tactiques MITRE
(En savoir plus)
severity
Détection d’une attaque DDoS pour l’adresse IP publique Une attaque DDoS a été détectée et atténuée pour l’adresse IP publique (Adresse IP). Détection Élevé
Attaque DDoS atténuée pour l’adresse IP publique Attaque DDoS atténuée pour l’adresse IP publique (Adresse IP). Détection Faible

Alertes d’incident de sécurité

Informations complémentaires et notes

Alerte Description Tactiques MITRE
(En savoir plus)
Gravité
Incident de sécurité avec processus partagé détecté L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} votre ressource {Host} - Importante
Incident de sécurité détecté sur plusieurs ressources L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique que des méthodes d’attaque similaires ont été utilisées sur vos ressources cloud {Host} - Medium
Incident de sécurité détectéde la même source L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} votre ressource {Host} - Importante
Incident de sécurité détecté sur plusieurs machines L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} vos ressources {Host} - Medium

Tactiques MITRE ATTCK

Comprendre l’intention d’une attaque facilite l’examen et le signalement de l’événement. Pour faciliter ces efforts, les alertes de Microsoft Defender pour le cloud incluent les tactiques MITRE avec de nombreuses alertes.

La série d’étapes qui décrit la progression d’une cyberattaque, de la reconnaissance à l’exfiltration de données, est souvent appelée « kill chain ».

Les intentions de kill chain prises en charge par Defender pour le cloud sont basées sur la version 9 de la matrice MITRE ATT&CK et décrites dans le tableau ci-dessous.

Tactique ATT&CK Version Description
PreAttack La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée.
Accès initial V7, V9 La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. En général, les acteurs des menaces sont en mesure de prendre le contrôle après cette étape.
Persistance V7, V9 La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès.
Élévation des privilèges V7, V9 L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges.
Évasion de défense V7, V9 L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.
Accès aux informations d’identification V7, V9 L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.
Découverte V7, V9 La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.
LateralMovement V7, V9 Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des d’autres outils tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers d’autres systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à davantage d’informations d’identification, ou dans le but de causer un effet.
Exécution V7, V9 La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.
Collection V7, V9 La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
Commande et contrôle V7, V9 La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Exfiltration V7, V9 L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
Impact V7, V9 Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc.

Notes

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes

Pour en savoir plus sur les alertes de sécurité de Microsoft Defender pour le cloud, consultez les ressources suivantes :