Partager via


Alertes pour Resource Manager

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Resource Manager à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes Resource Manager

Remarque

Les alertes avec une indication d’accès délégué sont déclenchées en raison de l’activité de fournisseurs de services tiers. En savoir plus sur les indications d’activité des fournisseurs de services.

Informations complémentaires et notes

Opération Azure Resource Manager depuis une adresse IP suspecte

(ARM_OperationFromSuspiciousIP)

Description : Microsoft Defender pour Resource Manager a détecté une opération à partir d’une adresse IP marquée comme suspecte dans les flux de renseignement sur les menaces.

Tactiques MITRE : Exécution

Gravité : moyenne

Opération Azure Resource Manager depuis une adresse IP proxy suspecte

(ARM_OperationFromSuspiciousProxyIP)

Description : Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements

(ARM_MicroBurst.AzDomainInfo)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’opérations de collecte d’informations pour découvrir les ressources, les autorisations et les structures réseau. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour collecter des informations sur les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : -

Gravité : faible

Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements

(ARM_MicroBurst.AzureDomainInfo)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’opérations de collecte d’informations pour découvrir les ressources, les autorisations et les structures réseau. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour collecter des informations sur les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : -

Gravité : faible

Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle

(ARM_MicroBurst.AzVMBulkCMD)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution de code sur une machine virtuelle ou une liste de machines virtuelles. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour exécuter un script sur une machine virtuelle pour des activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : Exécution

Gravité : élevée

Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle

(RM_MicroBurst.AzureRmVMBulkCMD)

Description : Le kit de ressources d’exploitation de MicroBurst a été utilisé pour exécuter du code sur vos machines virtuelles. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés de vos coffres de clés Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de clés à partir d’un ou plusieurs coffres de clés Azure. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour répertorier les clés et les utiliser pour accéder aux données sensibles ou effectuer un déplacement latéral. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés vers vos comptes de stockage

(ARM_MicroBurst.AZStorageKeysREST)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de clés dans les comptes de stockage. Les acteurs des menaces utilisent des scripts automatisés, tels que MicroBurst, pour répertorier les clés et les utiliser pour accéder aux données sensibles dans vos comptes de stockage. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : Collection

Gravité : faible

Boîte à outils d’exploitation MicroBurst utilisée pour extraire des secrets vos coffres de clés Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de secrets à partir d’un ou plusieurs coffres de clés Azure. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour répertorier les secrets et les utiliser pour accéder à des données sensibles ou effectuer un déplacement latéral. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation PowerZure utilisée pour élever l’accès d’Azure AD à Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour élever l’accès d’AzureAD à Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre locataire.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation PowerZure utilisée pour énumérer les ressources

(ARM_PowerZure.GetAzureTargets)

Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour énumérer les ressources pour le compte d’un compte d’utilisateur légitime dans votre organisation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : Collection

Gravité : élevée

Boîte à outils d’exploitation PowerZure utilisée pour énumérer les conteneurs, partages et tables de stockage

(ARM_PowerZure.ShowStorageContent)

Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour énumérer les partages de stockage, les tables et les conteneurs. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation PowerZure utilisée pour exécuter un Runbook dans votre abonnement

(ARM_PowerZure.StartRunbook)

Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour exécuter un Runbook. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Boîte à outils d’exploitation PowerZure utilisée pour extraire du contenu de Runbooks

(ARM_PowerZure.AzureRunbookContent)

Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour extraire le contenu du Runbook. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : Collection

Gravité : élevée

PRÉVERSION - Détection de l’exécution du Kit de ressources Azurite

(ARM_Azurite)

Description : une exécution connue du kit de ressources de reconnaissance de l’environnement cloud a été détectée dans votre environnement. L’outil Azurite peut être utilisé par un attaquant (ou testeur d’intrusion) pour mapper les ressources de vos abonnements et identifier les configurations non sécurisées.

Tactiques MITRE : Collection

Gravité : élevée

PRÉVERSION - Création suspecte de ressources de calcul détectée

(ARM_SuspiciousComputeCreation)

Description : Microsoft Defender pour Resource Manager a identifié une création suspecte de ressources de calcul dans votre abonnement utilisant Machines Virtuelles/Groupe identique Azure. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources si besoin. Bien que cette activité puisse être légitime, il est possible qu’un acteur malveillant exploite ces opérations pour réaliser une exploration cryptographique. L’activité est considérée comme suspecte, car l’échelle des ressources de calcul est plus élevée que celle observée précédemment dans l’abonnement. Cela peut indiquer que le principal est compromis et qu’il est utilisé dans une intention malveillante.

Tactiques MITRE : Impact

Gravité : moyenne

PRÉVERSION - Détection d’une récupération suspecte du coffre de clés

(Arm_Suspicious_Vault_Recovering)

Description : Microsoft Defender pour Resource Manager a détecté une opération de récupération suspecte pour une ressource de coffre de clés supprimée de manière réversible. L’utilisateur qui récupère la ressource est différent de l’utilisateur qui l’a supprimée. Cela est très suspect, car l’utilisateur appelle rarement une telle opération. En outre, l’utilisateur s’est connecté sans authentification multifacteur (MFA). Cela peut indiquer que l’utilisateur est compromis et tente de découvrir des secrets et des clés pour accéder aux ressources sensibles, ou d’effectuer un mouvement latéral sur votre réseau.

Tactiques MITRE : Mouvement latéral

Gravité : moyenne/élevée

PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactif

(ARM_UnusedAccountPersistence)

Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant.

Tactiques MITRE : Persistance

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Accès aux informations d’identification » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.CredentialAccess)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Collecte de données » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.Collection)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Collection

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Évasion de défense » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.DefenseEvasion)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’évasion des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Exécution » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.Execution)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur un ordinateur de votre abonnement, ce qui peut indiquer une tentative d’exécution du code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Exécution de la défense

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Impact » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.Impact)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Impact

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Accès initial » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.InitialAccess)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Accès initial

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Accès de mouvement latéral » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.LateralMovement)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’exécution de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre davantage de ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Mouvement latéral

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « persistance » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.Persistence)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’établissement de persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Persistance

Gravité : moyenne

PRÉVERSION - Détection d’un appel suspect d’une opération « Élévation des privilèges » à haut risque par un principal de service

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’escalade des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : escalade de privilèges

Gravité : moyenne

PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactif

(ARM_UnusedAccountPersistence)

Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant.

Tactiques MITRE : Persistance

Gravité : moyenne

PRÉVERSION - Détection d’une session de gestion suspecte utilisant PowerShell

(ARM_UnusedAppPowershellPersistence)

Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement PowerShell pour gérer l’environnement des abonnements utilise maintenant PowerShell, et effectue des actions qui peuvent sécuriser la persistance d’un attaquant.

Tactiques MITRE : Persistance

Gravité : moyenne

PRÉVERSION : session de gestion suspecte à l’aide de Portail Azure détectée

(ARM_UnusedAppIbizaPersistence)

Description : l’analyse des journaux d’activité de votre abonnement a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement le Portail Azure (Ibiza) pour gérer l’environnement de l’abonnement (qui n’a pas utilisé le portail Azure au cours des 45 derniers jours ou un abonnement qu’il gère activement), utilise désormais le Portail Azure et effectue des actions qui peuvent assurer une certaine persistance pour un attaquant.

Tactiques MITRE : Persistance

Gravité : moyenne

Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion)

(ARM_PrivilegedRoleDefinitionCreation)

Description : Microsoft Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégié dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection.

Tactiques MITRE : Escalade de privilèges, Évasion de défense

Gravité : Information

Attribution de rôle Azure suspecte détectée (préversion)

(ARM_AnomalousRBACRoleAssignment)

Description : Microsoft Defender pour Resource Manager a identifié une attribution de rôle Azure suspecte/ effectuée à l’aide de PIM (Privileged Identity Management) dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accorder aux principaux l’accès aux ressources Azure. Bien que cette activité soit légitime, un acteur de menace peut utiliser l’attribution de rôle pour élever ses autorisations leur permettant d’avancer leur attaque.

Tactiques MITRE : Mouvement latéral, Évasion de défense

Gravité : Faible (PIM) / Élevé

Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion)

(ARM_AnomalousOperation.CredentialAccess)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Appel suspect d’une opération de collecte de données à haut risque détecté (préversion)

(ARM_AnomalousOperation.Collection)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Collection

Gravité : moyenne

Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion)

(ARM_AnomalousOperation.DefenseEvasion)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’évasion des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Appel suspect d’une opération d’exécution à haut risque détecté (préversion)

(ARM_AnomalousOperation.Execution)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur un ordinateur de votre abonnement, ce qui peut indiquer une tentative d’exécution du code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Exécution

Gravité : moyenne

Appel suspect d’une opération d’impact à haut risque détecté (préversion)

(ARM_AnomalousOperation.Impact)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Impact

Gravité : moyenne

Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion)

(ARM_AnomalousOperation.InitialAccess)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Accès initial

Gravité : moyenne

Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion)

(ARM_AnomalousOperation.LateralMovement)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’exécution de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre davantage de ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Mouvement latéral

Gravité : moyenne

Opération d’élévation d’accès suspecte (préversion)(ARM_AnomalousElevateAccess)

Description : Microsoft Defender pour Resource Manager a identifié une opération suspecte « Élever l’accès ». L’activité est considérée comme suspecte, car ce principal appelle rarement de telles opérations. Bien que cette activité soit légitime, un acteur de menace peut utiliser une opération « Élever l’accès » pour effectuer l’escalade de privilèges pour un utilisateur compromis.

Tactiques MITRE : Escalade de privilèges

Gravité : moyenne

Appel suspect d’une opération de persistance à haut risque détecté (préversion)

(ARM_AnomalousOperation.Persistence)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’établissement de persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Persistance

Gravité : moyenne

Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion)

(ARM_AnomalousOperation.PrivilegeEscalation)

Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’escalade des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.

Tactiques MITRE : Escalade de privilèges

Gravité : moyenne

Utilisation de la boîte à outils d’exploitation MicroBurst pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation

(ARM_MicroBurst.RunCodeOnBehalf)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’un code arbitraire ou d’exfiltrer les informations d’identification du compte Azure Automation. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour exécuter du code arbitraire pour les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : persistance, accès aux informations d’identification

Gravité : élevée

Utilisation de techniques NetSPI pour préserver la persistance dans votre environnement Azure

(ARM_NetSPI.MaintainPersistence)

Description : Utilisation de la technique de persistance NetSPI pour créer une porte dérobée webhook et maintenir la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Utilisation de la boîte à outils d’exploitation PowerZure pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation

(ARM_PowerZure.RunCodeOnBehalf)

Description : Le kit de ressources d’exploitation PowerZure a détecté une tentative d’exécution de code ou d’exfiltrage des informations d’identification du compte Azure Automation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Utilisation d’une fonction PowerZure pour préserver la persistance dans votre environnement Azure

(ARM_PowerZure.MaintainPersistence)

Description : Le kit de ressources d’exploitation PowerZure a détecté la création d’une porte dérobée webhook pour maintenir la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.

Tactiques MITRE : -

Gravité : élevée

Attribution de rôle classique suspecte détectée (préversion)

(ARM_AnomalousClassicRoleAssignment)

Description : Microsoft Defender pour Resource Manager a identifié une attribution de rôle classique suspecte dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour assurer la compatibilité descendante avec les rôles classiques qui ne sont plus couramment utilisés. Bien que cette activité soit légitime, un acteur de menace peut utiliser cette attribution pour accorder des autorisations à un autre compte d’utilisateur sous leur contrôle.

Tactiques MITRE : Mouvement latéral, Évasion de défense

Gravité : élevée

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes