Alertes de sécurité déconseillées
Cet article répertorie les alertes de sécurité déconseillées dans Microsoft Defender pour le cloud.
Alertes Defender pour conteneurs déconseillées
Les listes suivantes incluent les alertes de sécurité Defender pour conteneurs qui ont été déconseillées.
Détection d’une manipulation du pare-feu sur l’hôte
(K8S.NODE_FirewallDisabled)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une manipulation possible du pare-feu hôte. Les attaquants le désactivent souvent pour exfiltrer des données.
Tactiques MITRE : DefenseEvasion, Exfiltration
Gravité : moyenne
Utilisation suspecte de DNS sur HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’utilisation d’un appel DNS via HTTPS de manière rare. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants.
Tactiques MITRE : DefenseEvasion, Exfiltration
Gravité : moyenne
Une connexion possible à un emplacement malveillant a été détectée
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une connexion à un emplacement signalé comme malveillant ou inhabituel. Il s’agit d’un indicateur indiquant qu’une compromission a pu se produire.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Activité d’exploration de données monétaires numériques
(K8S. NODE_CurrencyMining)
Description : Analyse des transactions DNS détectées dans l’activité d’exploration de données monétaires numériques. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.
Tactiques MITRE : Exfiltration
Gravité : faible
Alertes Defender pour serveurs Linux déconseillées
VM_AbnormalDaemonTermination
Nom complet de l’alerte : arrêt anormal
Gravité : faible
VM_BinaryGeneratedFromCommandLine
Nom complet de l’alerte : binaire suspect détecté
Gravité : moyenne
VM_CommandlineSuspectDomain Suspicious
Nom complet de l’alerte : référence de nom de domaine
Gravité : faible
VM_CommonBot
Nom complet de l’alerte : comportement similaire aux bots Linux courants détectés
Gravité : moyenne
VM_CompCommonBots
Nom complet de l’alerte : commandes similaires aux bots Linux courants détectés
Gravité : moyenne
VM_CompSuspiciousScript
Nom complet de l’alerte : Script shell détecté
Gravité : moyenne
VM_CompTestRule
Nom complet de l’alerte : alerte de test analytique composite
Gravité : faible
VM_CronJobAccess
Nom complet de l’alerte : manipulation des tâches planifiées détectées
Gravité : Information
VM_CryptoCoinMinerArtifacts
Nom complet de l’alerte : processus associé à l’exploration de données monétaire numérique détectée
Gravité : moyenne
VM_CryptoCoinMinerDownload
Nom complet de l’alerte : téléchargement possible de Cryptocoinminer détecté
Gravité : moyenne
VM_CryptoCoinMinerExecution
Nom d’affichage de l’alerte : le mineur potentiel de jeton de chiffrement a démarré
Gravité : moyenne
VM_DataEgressArtifacts
Nom complet de l’alerte : détection d’exfiltration de données possibles
Gravité : moyenne
VM_DigitalCurrencyMining
Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté
Gravité : élevée
VM_DownloadAndRunCombo
Nom complet de l’alerte : Téléchargement suspect, puis activité d’exécution
Gravité : moyenne
VM_EICAR
Nom complet de l’alerte : alerte de test Microsoft Defender pour le cloud (pas une menace)
Gravité : élevée
VM_ExecuteHiddenFile
Nom d’affichage de l’alerte : exécution du fichier masqué
Gravité : Information
VM_ExploitAttempt
Nom complet de l’alerte : tentative d’exploitation de ligne de commande possible
Gravité : moyenne
VM_ExposedDocker
Nom complet de l’alerte : Démon Docker exposé sur le socket TCP
Gravité : moyenne
VM_FairwareMalware
Nom complet de l’alerte : comportement similaire au ransomware Fairware détecté
Gravité : moyenne
VM_FirewallDisabled
Nom complet de l’alerte : manipulation du pare-feu hôte détectée
Gravité : moyenne
VM_HadoopYarnExploit
Nom complet de l’alerte : exploitation possible de Hadoop Yarn
Gravité : moyenne
VM_HistoryFileCleared
Nom complet de l’alerte : un fichier d’historique a été effacé
Gravité : moyenne
VM_KnownLinuxAttackTool
Nom complet de l’alerte : outil d’attaque possible détecté
Gravité : moyenne
VM_KnownLinuxCredentialAccessTool
Nom complet de l’alerte : outil d’accès aux informations d’identification possible détecté
Gravité : moyenne
VM_KnownLinuxDDoSToolkit
Nom complet de l’alerte : indicateurs associés au kit de ressources DDOS détectés
Gravité : moyenne
VM_KnownLinuxScreenshotTool
Nom complet de l’alerte : capture d’écran prise sur l’hôte
Gravité : faible
VM_LinuxBackdoorArtifact
Nom complet de l’alerte : Détection possible d’une porte dérobée
Gravité : moyenne
VM_LinuxReconnaissance
Nom complet de l’alerte : reconnaissance de l’hôte local détectée
Gravité : moyenne
VM_MismatchedScriptFeatures
Nom complet de l’alerte : incompatibilité de l’extension de script détectée
Gravité : moyenne
VM_MitreCalderaTools
Nom complet de l’alerte : agent MITRE Caldera détecté
Gravité : moyenne
VM_NewSingleUserModeStartupScript
Nom complet de l’alerte : tentative de persistance détectée
Gravité : moyenne
VM_NewSudoerAccount
Nom complet de l’alerte : compte ajouté au groupe sudo
Gravité : faible
VM_OverridingCommonFiles
Nom complet de l’alerte : substitution potentielle de fichiers communs
Gravité : moyenne
VM_PrivilegedContainerArtifacts
Nom complet de l’alerte : conteneur s’exécutant en mode privilégié
Gravité : faible
VM_PrivilegedExecutionInContainer
Nom complet de l’alerte : commande au sein d’un conteneur s’exécutant avec des privilèges élevés
Gravité : faible
VM_ReadingHistoryFile
Nom complet de l’alerte : accès inhabituel au fichier d’historique bash
Gravité : Information
VM_ReverseShell
Nom complet de l’alerte : interpréteur de commandes inversé potentiel détecté
Gravité : moyenne
VM_SshKeyAccess
Nom complet de l’alerte : processus vu accéder au fichier de clés autorisées SSH de manière inhabituelle
Gravité : faible
VM_SshKeyAddition
Nom complet de l’alerte : nouvelle clé SSH ajoutée
Gravité : faible
VM_SuspectCompilation
Nom complet de l’alerte : compilation suspecte détectée
Gravité : moyenne
VM_SuspectConnection
Nom complet de l’alerte : une tentative de connexion rare détectée
Gravité : moyenne
VM_SuspectDownload
Nom complet de l’alerte : téléchargement de fichier détecté à partir d’une source malveillante connue
Gravité : moyenne
VM_SuspectDownloadArtifacts
Nom d’affichage de l’alerte : téléchargement de fichiers suspect détecté
Gravité : faible
VM_SuspectExecutablePath
Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect
Gravité : moyenne
VM_SuspectHtaccessFileAccess
Nom complet de l’alerte : accès au fichier htaccess détecté
Gravité : moyenne
VM_SuspectInitialShellCommand
Nom complet de l’alerte : première commande suspecte dans l’interpréteur de commandes
Gravité : faible
VM_SuspectMixedCaseText
Nom complet de l’alerte : combinaison anormale de caractères majuscules et minuscules détectés dans la ligne de commande
Gravité : moyenne
VM_SuspectNetworkConnection
Nom complet de l’alerte : connexion réseau suspecte
Gravité : Information
VM_SuspectNohup
Nom complet de l’alerte : détection d’une utilisation suspecte de la commande nohup
Gravité : moyenne
VM_SuspectPasswordChange
Nom complet de l’alerte : modification possible du mot de passe à l’aide de la méthode de chiffrement détectée
Gravité : moyenne
VM_SuspectPasswordFileAccess
Nom complet de l’alerte : accès suspect au mot de passe
Gravité : Information
VM_SuspectPhp
Nom complet de l’alerte : exécution PHP suspecte détectée
Gravité : moyenne
VM_SuspectPortForwarding
Nom complet de l’alerte : transfert de port potentiel vers une adresse IP externe
Gravité : moyenne
VM_SuspectProcessAccountPrivilegeCombo
Nom complet de l’alerte : le processus en cours d’exécution dans un compte de service est devenu racine de manière inattendue
Gravité : moyenne
VM_SuspectProcessTermination
Nom complet de l’alerte : arrêt du processus lié à la sécurité détecté
Gravité : faible
VM_SuspectUserAddition
Nom complet de l’alerte : détection d’une utilisation suspecte de la commande useradd
Gravité : moyenne
VM_SuspiciousCommandLineExecution
Nom d’affichage de l’alerte : exécution de commande suspecte
Gravité : élevée
VM_SuspiciousDNSOverHttps
Nom complet de l’alerte : utilisation suspecte du DNS via HTTPS
Gravité : moyenne
VM_SystemLogRemoval
Nom complet de l’alerte : activité de falsification de journal possible détectée
Gravité : moyenne
VM_ThreatIntelCommandLineSuspectDomain
Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée
Gravité : moyenne
VM_ThreatIntelSuspectLogon
Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée
Gravité : élevée
VM_TimerServiceDisabled
Nom complet de l’alerte : tentative d’arrêt du service apt-daily-upgrade.timer détecté
Gravité : Information
VM_TimestampTampering
Nom d’affichage de l’alerte : modification suspecte de l’horodatage du fichier
Gravité : faible
VM_Webshell
Nom d’affichage de l’alerte : interpréteur de commandes web malveillant possible détecté
Gravité : moyenne
Alertes Windows déconseillées de Defender pour serveurs
SCUBA_MULTIPLEACCOUNTCREATE
Nom complet de l’alerte : création suspecte de comptes sur plusieurs hôtes
Gravité : moyenne
SCUBA_PSINSIGHT_CONTEXT
Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée
Gravité : Information
SCUBA_RULE_AddGuestToAdministrators
Nom complet de l’alerte : ajout d’un compte invité au groupe Administrateurs locaux
Gravité : moyenne
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nom complet de l’alerte : Apache_Tomcat_executing_suspicious_commands
Gravité : moyenne
SCUBA_RULE_KnownBruteForcingTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownCollectionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownDefenseEvasionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownExecutionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownPassTheHashTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownSpammingTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : moyenne
SCUBA_RULE_Lowering_Security_Settings
Nom complet de l’alerte : détection de la désactivation des services critiques
Gravité : moyenne
SCUBA_RULE_OtherKnownHackerTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nom complet de l’alerte : niveau d’intégrité suspect indiquant le détournement RDP
Gravité : moyenne
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nom complet de l’alerte : Installation suspecte du service
Gravité : moyenne
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nom complet de l’alerte : détection de la suppression de mentions légales affichées aux utilisateurs lors de l’ouverture de session
Gravité : faible
SCUBA_RULE_WDigest_Enabling
Nom complet de l’alerte : détection de l’activation de la clé de Registre WDigest UseLogonCredential
Gravité : moyenne
VM.Windows_ApplockerBypass
Nom complet de l’alerte : tentative potentielle de contournement d’AppLocker détectée
Gravité : élevée
VM.Windows_BariumKnownSuspiciousProcessExecution
Nom complet de l’alerte : détection d’une création de fichier suspecte
Gravité : élevée
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nom d’affichage de l’alerte : exécutable encodé détecté dans les données de ligne de commande
Gravité : élevée
VM.Windows_CalcsCommandLineUse
Nom complet de l’alerte : Détection d’une utilisation suspecte de cacls pour réduire l’état de sécurité du système
Gravité : moyenne
VM.Windows_CommandLineStartingAllExe
Nom complet de l’alerte : ligne de commande suspecte détectée utilisée pour démarrer tous les exécutables dans un répertoire
Gravité : moyenne
VM.Windows_DisablingAndDeletingIISLogFiles
Nom complet de l’alerte : actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS
Gravité : moyenne
VM.Windows_DownloadUsingCertutil
Nom complet de l’alerte : téléchargement suspect à l’aide de Certutil détecté
Gravité : moyenne
VM.Windows_EchoOverPipeOnLocalhost
Nom complet de l’alerte : détection de communications suspectes nommées de canal
Gravité : élevée
VM.Windows_EchoToConstructPowerShellScript
Nom complet de l’alerte : construction de script PowerShell dynamique
Gravité : moyenne
VM.Windows_ExecutableDecodedUsingCertutil
Nom complet de l’alerte : décodage détecté d’un exécutable à l’aide de l’outil intégré certutil.exe
Gravité : moyenne
VM.Windows_FileDeletionIsSospisiousLocation
Nom d’affichage de l’alerte : suppression suspecte de fichier détectée
Gravité : moyenne
VM.Windows_KerberosGoldenTicketAttack
Nom complet de l’alerte : paramètres d’attaque Kerberos Golden Ticket observés
Gravité : moyenne
VM.Windows_KeygenToolKnownProcessName
Nom d’affichage de l’alerte : détection de l’exécution possible d’un processus suspect exécutable keygen exécuté
Gravité : moyenne
VM.Windows_KnownCredentialAccessTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
VM.Windows_KnownSuspiciousPowerShellScript
Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée
Gravité : élevée
VM.Windows_KnownSuspiciousSoftwareInstallation
Nom complet de l’alerte : logiciel à haut risque détecté
Gravité : moyenne
VM.Windows_MsHtaAndPowerShellCombination
Nom complet de l’alerte : combinaison suspecte détectée d’HTA et de PowerShell
Gravité : moyenne
VM.Windows_MultipleAccountsQuery
Nom complet de l’alerte : plusieurs comptes de domaine interrogés
Gravité : moyenne
VM.Windows_NewAccountCreation
Nom complet de l’alerte : création de compte détectée
Gravité : Information
VM.Windows_ObfuscatedCommandLine
Nom complet de l’alerte : ligne de commande masquée détectée.
Gravité : élevée
VM.Windows_PcaluaUseToLaunchExecutable
Nom complet de l’alerte : détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable
Gravité : moyenne
VM.Windows_PetyaRansomware
Nom complet de l’alerte : indicateurs de ransomware Petya détectés
Gravité : élevée
VM.Windows_PowerShellPowerSploitScriptExecution
Nom complet de l’alerte : applets de commande PowerShell suspectes exécutées
Gravité : moyenne
VM.Windows_RansomwareIndication
Nom d’affichage de l’alerte : indicateurs de ransomware détectés
Gravité : élevée
VM.Windows_SqlDumperUsedSuspiciously
Nom d’affichage de l’alerte : vidage possible des informations d’identification détectées [vues plusieurs fois]
Gravité : moyenne
VM.Windows_StopCriticalServices
Nom complet de l’alerte : détection de la désactivation des services critiques
Gravité : moyenne
VM.Windows_SubvertingAccessibilityBinary
Nom d’affichage de l’alerte : attaque de clés sticky détectée à la création d’un compte suspect détectée moyen
VM.Windows_SuspiciousAccountCreation
Nom complet de l’alerte : Détection de la création suspecte d’un compte
Gravité : moyenne
VM.Windows_SuspiciousFirewallRuleAdded
Nom complet de l’alerte : détection d’une nouvelle règle de pare-feu suspecte
Gravité : moyenne
VM.Windows_SuspiciousFTPSSwitchUsage
Nom complet de l’alerte : Détection d’une utilisation suspecte du commutateur FTP-s
Gravité : moyenne
VM.Windows_SuspiciousSQLActivity
Nom complet de l’alerte : activité SQL suspecte
Gravité : moyenne
VM.Windows_SVCHostFromInvalidPath
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
VM.Windows_SystemEventLogCleared
Nom complet de l’alerte : le journal Sécurité Windows a été effacé
Gravité : Information
VM.Windows_TelegramInstallation
Nom complet de l’alerte : détection d’une utilisation potentiellement suspecte de l’outil Telegram
Gravité : moyenne
VM.Windows_UndercoverProcess
Nom complet de l’alerte : processus nommé suspectement détecté
Gravité : élevée
VM.Windows_UserAccountControlBypass
Nom complet de l’alerte : détection d’une modification d’une clé de Registre qui peut être abusée pour contourner l’UAC
Gravité : moyenne
VM.Windows_VBScriptEncoding
Nom d’affichage de l’alerte : exécution suspecte détectée de la commande VBScript.Encode
Gravité : moyenne
VM.Windows_WindowPositionRegisteryChange
Nom d’affichage de l’alerte : valeur de Registre WindowPosition suspecte détectée
Gravité : faible
VM.Windows_ZincPortOpenningUsingFirewallRule
Nom complet de l’alerte : règle de pare-feu malveillante créée par l’implant de serveur ZINC
Gravité : élevée
VM_DigitalCurrencyMining
Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté
Gravité : élevée
VM_MaliciousSQLActivity
Nom complet de l’alerte : activité SQL malveillante
Gravité : élevée
VM_ProcessWithDoubleExtensionExecution
Nom complet de l’alerte : fichier d’extension double suspect exécuté
Gravité : élevée
VM_RegistryPersistencyKey
Nom complet de l’alerte : méthode de persistance du Registre Windows détectée
Gravité : faible
VM_ShadowCopyDeletion
Nom complet de l’alerte : exécutable d’activité de cliché instantané de volume suspect trouvé en cours d’exécution à partir d’un emplacement suspect
Gravité : élevée
VM_SuspectExecutablePath
Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect Détecté une combinaison anormale de caractères majuscules et minuscules dans la ligne de commande
Gravité : Information
Moyenne
VM_SuspectPhp
Nom complet de l’alerte : exécution PHP suspecte détectée
Gravité : moyenne
VM_SuspiciousCommandLineExecution
Nom d’affichage de l’alerte : exécution de commande suspecte
Gravité : élevée
VM_SuspiciousScreenSaverExecution
Nom d’affichage de l’alerte : processus de filtre d’écran suspect exécuté
Gravité : moyenne
VM_SvcHostRunInRareServiceGroup
Nom complet de l’alerte : Groupe de services SVCHOST rare exécuté
Gravité : Information
VM_SystemProcessInAbnormalContext
Nom complet de l’alerte : processus système suspect exécuté
Gravité : moyenne
VM_ThreatIntelCommandLineSuspectDomain
Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée
Gravité : moyenne
VM_ThreatIntelSuspectLogon
Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée
Gravité : élevée
VM_VbScriptHttpObjectAllocation
Nom complet de l’alerte : allocation d’objets HTTP VBScript détectée
Gravité : élevée
VM_TaskkillBurst
Nom complet de l’alerte : rafale d’arrêt de processus suspect
Gravité : faible
VM_RunByPsExec
Nom complet de l’alerte : exécution PsExec détectée
Gravité : Information
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.