Partager via


Alertes pour les machines Linux

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les machines Linux à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes des machines Linux

Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Linux :

Informations complémentaires et notes

Un fichier d’historique a été effacé

Description : l’analyse des données de l’hôte indique que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. Cette opération a été effectuée par l’utilisateur : {Nom de l’utilisateur}.

Tactiques MITRE : -

Gravité : moyenne

La violation de stratégie de contrôle d’application adaptative a été auditée

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.

Tactiques MITRE : Exécution

Gravité : Information

Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_AmBroadFilesExclusion)

Description : L’exclusion de fichiers de l’extension anti-programme malveillant avec une règle d’exclusion étendue a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Cette exclusion désactive pratiquement la protection anti-programme malveillant. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : -

Gravité : moyenne

Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle

(VM_AmDisablementAndCodeExecution)

Description : Logiciel anti-programme malveillant désactivé en même temps que l’exécution du code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.

Tactiques MITRE : -

Gravité : élevée

Logiciel anti-programme malveillant désactivé dans votre machine virtuelle

(VM_AmDisablement)

Description : Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle

(VM_AmFileExclusionAndCodeExecution)

Description : Fichier exclu de votre scanneur anti-programme malveillant en même temps que le code a été exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Exclusion de fichier anti-programme malveillant et exécution du code dans votre machine virtuelle (temporaire)

(VM_AmTempFileExclusionAndCodeExecution)

Description : Une exclusion temporaire du fichier de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_AmTempFileExclusion)

Description : Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle

(VM_AmRealtimeProtectionDisabled)

Description : La désactivation de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle

(VM_AmTempRealtimeProtectionDisablement)

Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : -

Gravité : élevée

(VM_AmMalwareCampaignRelatedExclusion)

Description : Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’analyse de votre extension anti-programme malveillant d’analyser certains fichiers soupçonnés d’être liés à une campagne de programmes malveillants. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle

(VM_AmTemporarilyDisablement)

Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.

Tactiques MITRE : -

Gravité : moyenne

Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_UnusualAmFileExclusion)

Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Détection d’un comportement similaire à un ransomware [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de fichiers qui ressemblent à des ransomwares connus qui peuvent empêcher les utilisateurs d’accéder à leurs fichiers système ou personnels et demandent un paiement de rançon pour récupérer l’accès. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : élevée

Communication avec un domaine suspect identifié par le renseignement sur les menaces

(AzureDNS_ThreatIntelSuspectDomain)

Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.

Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation

Gravité : moyenne

Conteneur avec une image d’extracteur détecté

(VM_MinerInContainerImage)

Description : les journaux d’activité des machines indiquent l’exécution d’un conteneur Docker qui exécute une image associée à une exploration de données monétaire numérique.

Tactiques MITRE : Exécution

Gravité : élevée

Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères majuscules et minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.

Tactiques MITRE : -

Gravité : moyenne

Détection de téléchargements de fichiers à partir d’une source malveillante connue

Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur %{Hôte compromis}.

Tactiques MITRE : -

Gravité : moyenne

Détection d’une activité réseau suspecte

Description : l’analyse du trafic réseau de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.

Tactiques MITRE : -

Gravité : faible

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.

Tactiques MITRE : -

Gravité : élevée

Désactivation de la journalisation Auditd [constaté plusieurs fois]

Description : Le système d’audit Linux permet de suivre les informations pertinentes sur la sécurité sur le système. Il enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. La désactivation de la journalisation Auditd peut interférer avec la détection des violations des stratégies de sécurité utilisées sur le système. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Exploitation de la vulnérabilité Xorg [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur de Xorg avec des arguments suspects. Les attaquants peuvent utiliser cette technique dans les tentatives d’escalade de privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Échec d’une attaque par force brute SSH

(VM_SshBruteForceFailed)

Description : Les attaques par force brute ayant échoué ont été détectées par les attaquants suivants : %{Attaquants}. Des attaquants essaient d’accéder à l’hôte avec les noms d’utilisateur suivants : %{Comptes utilisés lors des échecs de connexion à l’hôte}.

Tactiques MITRE : détection

Gravité : moyenne

Comportement d’attaque sans fichier détecté

(VM_FilelessAttackBehavior.Linux)

Description : la mémoire du processus spécifié ci-dessous contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Exécution

Gravité : faible

Technique d’attaque sans fichier détectée

(VM_FilelessAttackTechnique.Linux)

Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Exécution

Gravité : élevée

Kit d’attaques sans fichier détecté

(VM_FilelessAttackToolkit.Linux)

Description : la mémoire du processus spécifié ci-dessous contient un kit de ressources d’attaque sans fichier : {ToolKitName}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Détection de l’exécution d’un fichier masqué

Description : l’analyse des données de l’hôte indique qu’un fichier masqué a été exécuté par %{nom d’utilisateur}. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.

Tactiques MITRE : -

Gravité : Information

Nouvelle clé SSH ajoutée [constaté plusieurs fois]

(VM_SshKeyAddition)

Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : Persistance

Gravité : faible

Nouvelle clé SSH ajoutée

Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées.

Tactiques MITRE : -

Gravité : faible

Possible détection d’une porte dérobée [constaté plusieurs fois]

Description : l’analyse des données de l’hôte a détecté un fichier suspect téléchargé, puis exécuté sur %{Hôte compromis} dans votre abonnement. Cette activité a été précédemment associée à l’installation d’une porte dérobée. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Possible exploitation du serveur de messagerie détectée

(VM_MailserverExploitation)

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerie

Tactiques MITRE : Exploitation

Gravité : moyenne

Détection possible d’un interpréteur de commandes web malveillant

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un interpréteur de commandes web possible. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie.

Tactiques MITRE : -

Gravité : moyenne

Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la modification du mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à accéder et bénéficier de la persistance après une attaque. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Détection d’un processus associé au minage de devises numériques [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus normalement associé à l’exploration de données monétaires numériques. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur]

Tactiques MITRE : -

Gravité : moyenne

Détection d’un processus associé au minage de devises numériques

Description : l’analyse des données de l’hôte a détecté l’exécution d’un processus qui est normalement associé à l’exploration de données monétaire numérique.

Tactiques MITRE : Exploitation, Exécution

Gravité : moyenne

Détection d’un outil de téléchargement Python [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de Python encodé qui télécharge et exécute du code à partir d’un emplacement distant. Il peut s’agir d’une indication de l’activité malveillante. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Capture d’écran prise sur l’hôte [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur d’un outil de capture d’écran. Les attaquants peuvent utiliser ces outils pour accéder aux données privées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Détection d’un interpréteur de commandes [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que le code shell est généré à partir de la ligne de commande. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Attaques par force brute RDP/SSH réussie

(VM_SshBruteForceSuccess)

Description : l’analyse des données de l’hôte a détecté une attaque par force brute réussie. L’adresse IP %{Adresse IP source de l’attaquant} a effectué plusieurs tentatives de connexion. Des connexions réussies ont été effectuées à partir de cette adresse IP par les utilisateurs suivants : %{Comptes utilisés pour se connecter à l’hôte}. Cela signifie que l’hôte peut être compromis et contrôlé par un acteur malveillant.

Tactiques MITRE : Exploitation

Gravité : élevée

Détection de création de compte suspecte

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation d’un compte local %{Nom de compte suspect} : ce nom de compte ressemble étroitement à un compte Windows standard ou un nom de groupe « %{Similaire au nom du compte} ». Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.

Tactiques MITRE : -

Gravité : moyenne

Détection d’un module de noyau suspect [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un fichier objet partagé chargé en tant que module de noyau. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Accès suspect aux mots de passe [constaté plusieurs fois]

Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : Information

Accès suspect aux mots de passe

Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}.

Tactiques MITRE : -

Gravité : Information

Demande suspecte au tableau de bord Kubernetes

(VM_KubernetesDashboard)

Description : les journaux d’activité des machines indiquent qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.

Tactiques MITRE : LateralMovement

Gravité : moyenne

Réinitialisation de configuration inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualConfigReset)

Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualPasswordReset)

Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualSSHReset)

Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)

(VM_GPUDriverExtensionUnusualExecution)

Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.

Tactiques MITRE : Impact

Gravité : faible

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes