Alertes pour les machines Windows
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les machines Windows dans Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Alertes sur les machines Windows
Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Windows :
Informations complémentaires et notes
Détection d’une connexion à partir d’une adresse IP malveillante. [vu plusieurs fois]
Description : Une authentification à distance réussie pour le compte [compte] et le processus [processus] se sont produits, mais l’adresse IP de connexion (x.x.x.x.x) a été signalée précédemment comme malveillante ou très inhabituelle. Une attaque a probablement eu lieu. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire.
Tactiques MITRE : -
Gravité : élevée
La violation de stratégie de contrôle d’application adaptative a été auditée
VM_AdaptiveApplicationControlWindowsViolationAudited
Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.
Tactiques MITRE : Exécution
Gravité : Information
Ajout d’un compte invité au groupe Administrateurs local
Description : l’analyse des données de l’hôte a détecté l’ajout du compte invité intégré au groupe Administrateurs locaux sur %{Hôte compromis}, qui est fortement associé à l’activité de l’attaquant.
Tactiques MITRE : -
Gravité : moyenne
Un journal des événements a été effacé
Description : les journaux d’activité des ordinateurs indiquent une opération suspecte d’effacement des journaux d’événements par l’utilisateur : « %{nom d’utilisateur} » dans l’ordinateur : « %{CompromisdEntity} ». Le journal %{canal du journal} a été effacé.
Tactiques MITRE : -
Gravité : Information
Échec d’action anti-programme malveillant
Description : Microsoft Antimalware a rencontré une erreur lors de l’exécution d’une action sur des programmes malveillants ou d’autres logiciels potentiellement indésirables.
Tactiques MITRE : -
Gravité : moyenne
Mesure anti-programme malveillant prise
Description : Microsoft Antimalware pour Azure a pris une action pour protéger cet ordinateur contre les programmes malveillants ou d’autres logiciels potentiellement indésirables.
Tactiques MITRE : -
Gravité : moyenne
Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmBroadFilesExclusion)
Description : L’exclusion de fichiers de l’extension anti-programme malveillant avec une règle d’exclusion étendue a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Cette exclusion désactive pratiquement la protection anti-programme malveillant. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : moyenne
Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle
(VM_AmDisablementAndCodeExecution)
Description : Logiciel anti-programme malveillant désactivé en même temps que l’exécution du code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.
Tactiques MITRE : -
Gravité : élevée
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle
(VM_AmDisablement)
Description : Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmFileExclusionAndCodeExecution)
Description : Fichier exclu de votre scanneur anti-programme malveillant en même temps que le code a été exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichier anti-programme malveillant et exécution du code dans votre machine virtuelle (temporaire)
(VM_AmTempFileExclusionAndCodeExecution)
Description : Une exclusion temporaire du fichier de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmTempFileExclusion)
Description : Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle
(VM_AmRealtimeProtectionDisabled)
Description : La désactivation de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle
(VM_AmTempRealtimeProtectionDisablement)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : élevée
Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)
(VM_AmMalwareCampaignRelatedExclusion)
Description : Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’analyse de votre extension anti-programme malveillant d’analyser certains fichiers soupçonnés d’être liés à une campagne de programmes malveillants. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle
(VM_AmTemporarilyDisablement)
Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : -
Gravité : moyenne
Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_UnusualAmFileExclusion)
Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation
Gravité : moyenne
Actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS
Description : l’analyse des données de l’hôte a détecté des actions qui montrent que les fichiers journaux IIS sont désactivés et/ou supprimés.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères majuscules et minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une modification apportée à une clé de Registre pouvant être utilisée pour contourner l’UAC
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’une clé de Registre qui peut être abusée pour contourner l’UAC (contrôle de compte d’utilisateur) a été modifiée. Ce type de configuration, même s’il est peut-être bénin, est également typique de l’activité d’un attaquant qui tente de passer d’un accès non privilégié (utilisateur standard) à un accès privilégié (par exemple, administrateur) sur un hôte compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection du décodage d’un exécutable à l’aide de l’outil certutil.exe intégré
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que certutil.exe, un utilitaire d’administrateur intégré, était utilisé pour décoder un exécutable au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté.
Tactiques MITRE : -
Gravité : élevée
Détection de l’activation de la clé de Registre WDigest UseLogonCredential
Description : l’analyse des données de l’hôte a détecté une modification de la clé de Registre HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ « UseLogonCredential ». Dans ce cas précis, la clé a été mise à jour pour permettre le stockage des informations d’identification pour l’ouverture de session en texte clair dans la mémoire LSA. Une fois activée, l’attaquant peut vider les mots de passe en texte clair de la mémoire LSA à l’aide d’outils de collecte des informations d’identification tels que Mimikatz.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un fichier exécutable encodé dans les données de la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un exécutable codé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Détection d’une ligne de commande masquée
Description : les attaquants utilisent des techniques d’obfuscation de plus en plus complexes pour échapper aux détections qui s’exécutent sur les données sous-jacentes. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs suspects de brouillage sur la ligne de commande.
Tactiques MITRE : -
Gravité : Information
Possible détection de l’exécution d’un exécutable de génération de clés
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus dont le nom indique un outil keygen ; ces outils sont généralement utilisés pour vaincre les mécanismes de licence logicielle, mais leur téléchargement est souvent groupé avec d’autres logiciels malveillants. Le groupe d’activités GOLD est réputé pour profiter de ces outils pour bénéficier de façon dissimulée d’un accès aux hôtes qu’ils compromettent.
Tactiques MITRE : -
Gravité : moyenne
Possible détection de l’exécution d’une installation de logiciel malveillant
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un nom de fichier qui a déjà été associé à l’une des méthodes d’installation de programmes malveillants par GOLD du groupe d’activités sur un hôte victime.
Tactiques MITRE : -
Gravité : élevée
Possible détection d’une activité de reconnaissance locale
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systeminfo qui ont été précédemment associées à l’une des méthodes du groupe d’activités GOLD d’exécution de l’activité de reconnaissance. Même si systeminfo.exe est un outil Windows légitime, son exécution deux fois de suite, suivie d’une commande de suppression comme survenu ici est rare.
Tactiques MITRE : -
Gravité : faible
Détection d’une utilisation potentiellement suspecte de l’outil Telegram
Description : l’analyse des données hôtes montre l’installation de Telegram, un service de messagerie instantanée gratuit basé sur le cloud qui existe à la fois pour le système mobile et de bureau. Les attaquants sont connus pour abuser de ce service pour transférer des fichiers binaires malveillants sur un autre ordinateur, téléphone ou tablette.
Tactiques MITRE : -
Gravité : moyenne
Détection de la notice légale présentée aux utilisateurs lors de la connexion
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté des modifications apportées à la clé de Registre qui contrôle si une notification légale est affichée aux utilisateurs lorsqu’ils se connectent. L’analyse de sécurité Microsoft a déterminé qu’il s’agissait d’une activité couramment utilisée par les attaquants une fois l’hôte compromis.
Tactiques MITRE : -
Gravité : faible
Détection d’une combinaison suspecte de HTA et PowerShell
Description : mshta.exe (Hôte d’application MICROSOFT HTML) qui est un binaire Microsoft signé utilisé par les attaquants pour lancer des commandes PowerShell malveillantes. Les attaquants ont souvent recours à un fichier HTA avec VBScript inclus. Lorsque la victime parcourt le fichier HTA et choisit de l’exécuter, les commandes et les scripts PowerShell qu’il contient sont exécutés. L’analyse des données de l’hôte sur%{Hôte compromis} a détecté le lancement par mshta.exe de commandes PowerShell.
Tactiques MITRE : -
Gravité : moyenne
Détection d’arguments de ligne de commande suspects
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté des arguments de ligne de commande suspects qui ont été utilisés conjointement avec un interpréteur de commandes inversé utilisé par le groupe d’activités HYDROGEN.
Tactiques MITRE : -
Gravité : élevée
Détection d’une ligne de commande suspecte utilisée pour démarrer tous les exécutables dans un répertoire
Description : l’analyse des données de l’hôte a détecté un processus suspect s’exécutant sur %{Hôte compromis}. La ligne de commande indique une tentative de démarrage de tous les exécutables (*.exe) susceptibles de résider dans un répertoire. Il peut s’agir d’une indication que l’hôte est compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’informations d’identification suspectes dans la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un mot de passe suspect utilisé pour exécuter un fichier par le groupe d’activités BORON. Ce groupe d’activités utilise souvent ce mot de passe pour exécuter des programmes malveillants Pirpi sur l’hôte victime.
Tactiques MITRE : -
Gravité : élevée
Détection d’informations d’identification de document suspectes
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un hachage de mot de passe précomputé suspect et courant utilisé par des programmes malveillants pour exécuter un fichier. Le groupe d’activité HYDROGEN utilise souvent ce mot de passe pour exécuter des programmes malveillants sur l’hôte victime.
Tactiques MITRE : -
Gravité : élevée
Détection de l’exécution suspecte de la commande VBScript.Encode
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande VBScript.Encode. Cette commande encode les scripts en texte illisible, ce qui rend plus difficile l’examen du code par les utilisateurs. La recherche Microsoft sur les menaces montre que les attaquants utilisent souvent des fichiers VBscript encodés dans le cadre de leur attaque afin d’échapper aux systèmes de détection. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une exécution suspecte via rundll32.exe
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté rundll32.exe être utilisé pour exécuter un processus avec un nom rare, cohérent avec le schéma d’affectation de noms de processus précédemment vu par le groupe d’activités GOLD lors de l’installation de son implant de première étape sur un hôte compromis.
Tactiques MITRE : -
Gravité : élevée
Détection de commandes suspectes de nettoyage de fichier
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systeminfo qui ont été précédemment associées à l’une des méthodes du groupe d’activités GOLD d’exécution de l’activité d’auto-nettoyage après compromission. Même si systeminfo.exe est un outil Windows légitime, une exécution deux fois de suite, suivie d’une commande de suppression comme survenue ici est rare.
Tactiques MITRE : -
Gravité : élevée
Détection d’une création de fichier suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’exécution d’un processus qui a précédemment indiqué une action post-compromission effectuée sur un hôte victime par le groupe d’activités BARIUM. Ce groupe est réputé pour utiliser cette technique pour télécharger des logiciels malveillants supplémentaires vers un hôte compromis après l’ouverture d’une pièce jointe dans un document de hameçonnage.
Tactiques MITRE : -
Gravité : élevée
Détection de communications de canal nommé suspectes
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que les données sont écrites dans un canal nommé local à partir d’une commande de console Windows. Les canaux nommés sont souvent utilisés par les attaquants afin d’attribuer et de communiquer avec un implant malveillant. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Détection d’une activité réseau suspecte
Description : l’analyse du trafic réseau de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.
Tactiques MITRE : -
Gravité : faible
Détection d’une nouvelle règle de pare-feu suspecte
Description : l’analyse des données de l’hôte a détecté qu’une nouvelle règle de pare-feu a été ajoutée via netsh.exe pour autoriser le trafic à partir d’un exécutable à un emplacement suspect.
Tactiques MITRE : -
Gravité : moyenne
Détection de l’utilisation suspecte de Cacls pour abaisser le niveau de sécurité du système
Description : Les attaquants utilisent de nombreuses façons telles que la force brute, le hameçonnage, etc. pour obtenir une compromission initiale et obtenir un pied de main sur le réseau. Une fois l’attaque initiale effectuée, ils prennent souvent des mesures pour réduire les paramètres de sécurité du système. Cacls‫short for change access control list is Microsoft Windows native command-line utility souvent utilisé pour modifier l’autorisation de sécurité sur les dossiers et les fichiers. Souvent, le fichier binaire est utilisé par les attaquants pour abaisser le niveau de sécurité du système. Pour ce faire, tous les utilisateurs se voient attribuer ont un accès complet à certains fichiers binaires du système, comme ftp.exe, net.exe, wscript.exe, etc. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une utilisation suspecte de cacls pour réduire la sécurité du système.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une utilisation suspecte du commutateur FTP -s
Description : l’analyse des données de création de processus à partir de %{Hôte compromis} a détecté l’utilisation du commutateur FTP « -s :filename ». Ce commutateur est utilisé pour spécifier un fichier de script FTP à exécuter par le client. Les programmes ou processus malveillants sont connus pour utiliser ce commutateur FTP (-s:filename) afin de pointer vers un fichier de script, configuré pour se connecter à un serveur FTP distant et télécharger d’autres fichiers binaires malveillants.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de pcalua.exe pour lancer le code exécutable. Pcalua.exe est un composant de l’Assistant Compatibilité des programmes de Microsoft Windows, qui détecte les problèmes de compatibilité pendant l’installation ou l’exécution d’un programme. Les attaquants abusent souvent des fonctionnalités des outils système Windows légitimes pour exécuter des actions malveillantes, par exemple en utilisant pcalua.exe avec le commutateur -a pour lancer des exécutables malveillants, localement ou à partir de partages distants.
Tactiques MITRE : -
Gravité : moyenne
Détection de la désactivation de services essentiels
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande « net.exe arrêter » utilisée pour arrêter les services critiques tels que SharedAccess ou l’application Sécurité Windows. L’arrêt de l’un de ces services peut indiquer un comportement malveillant.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un comportement lié au minage de devises numériques
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.
Tactiques MITRE : -
Gravité : élevée
Construction de script dynamique PS
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la construction dynamique d’un script PowerShell. Les attaquants utilisent parfois cette approche pour générer un script progressivement afin d’échapper aux systèmes IDS. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect
Description : l’analyse des données de l’hôte a détecté un fichier exécutable sur %{Hôte compromis} exécuté à partir d’un emplacement en commun avec les fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Comportement d’attaque sans fichier détecté
(VM_FilelessAttackBehavior.Windows)
Description : la mémoire du processus spécifié contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants :
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
- Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
- Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Tactiques MITRE : Évasion de défense
Gravité : faible
Technique d’attaque sans fichier détectée
(VM_FilelessAttackTechnique.Windows)
Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants :
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Image exécutable injectée dans le processus, par exemple dans une attaque par injection de code.
- Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
- Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
- Creux du processus, qui est une technique utilisée par les programmes malveillants dans lequel un processus légitime est chargé sur le système pour agir comme un conteneur pour le code hostile.
- Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Kit d’attaques sans fichier détecté
(VM_FilelessAttackToolkit.Windows)
Description : la mémoire du processus spécifié contient un kit de ressources d’attaque sans fichier : [nom du kit de ressources]. Les kits d’attaques sans fichier utilisent des techniques qui réduisent ou éliminent les traces de logiciels malveillants sur disque et réduisent considérablement les chances de détection par des solutions d’analyse de logiciels malveillants sur disque. Les comportements spécifiques sont les suivants :
- Kits de ressources connus et logiciels d’exploration de données de chiffrement.
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Exécutable malveillant injecté dans la mémoire du processus.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : moyenne
Détection d’un logiciel à haut risque
Description : l’analyse des données de l’hôte de %{Hôte compromis} a détecté l’utilisation de logiciels associés à l’installation de programmes malveillants dans le passé. Une technique courante utilisée dans la distribution de logiciels malveillants consiste à les empaqueter dans des outils bénins, comme celui présenté dans cette alerte. Lors de l’utilisation de ces outils, les logiciels malveillants peuvent être installés en arrière-plan de façon silencieuse.
Tactiques MITRE : -
Gravité : moyenne
Les membres du groupe Administrateurs locaux ont été énumérés
Description : les journaux des machines indiquent une énumération réussie sur le groupe %{Nom de domaine de groupe énuméré}%{Nom de groupe énuméré}. Plus précisément, %{Énumération du nom de domaine de l’utilisateur}%{Énumération du nom d’utilisateur} a énuméré à distance les membres du groupe %{Nom de domaine du groupe énuméré}%{Nom du groupe énuméré}. Il s’agit peut-être d’une activité légitime ou bien d’une indication qu’un des ordinateurs de votre organisation a été compromis et utilisé pour la reconnaissance de %{nom_machine_virtuelle}.
Tactiques MITRE : -
Gravité : Information
Règle de pare-feu malveillante créée par l’implant de serveur ZINC [constaté plusieurs fois]
Description : une règle de pare-feu a été créée à l’aide de techniques qui correspondent à un acteur connu, ZINC. Cette règle a peut-être été utilisée pour ouvrir un port sur l’hôte %{Hôte compromis} afin d’autoriser les communications de contrôle et de commande. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : élevée
Activité SQL malveillante
Description : les journaux d’activité de l’ordinateur indiquent que « %{nom du processus} » a été exécuté par compte : %{nom d’utilisateur}. Cette activité est considérée comme malveillante.
Tactiques MITRE : -
Gravité : élevée
Interrogations de plusieurs comptes de domaine
Description : l’analyse des données de l’hôte a déterminé qu’un nombre inhabituel de comptes de domaine distincts sont interrogés dans un court délai à partir de %{Hôte compromis}. Ce type d’activité peut être légitime, mais peut également être l’indication d’une attaque.
Tactiques MITRE : -
Gravité : moyenne
Possible détection d’un vidage des informations d’identification [constaté plusieurs fois]
Description : l’analyse des données hôtes a détecté l’utilisation de l’outil Windows natif (par exemple, sqldumper.exe) utilisée de manière à extraire les informations d’identification de la mémoire. Les attaquants utilisent souvent ces techniques pour extraire des informations d’identification qu’ils utilisent ensuite pour se déplacer et pour augmenter les privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Possible détection d’une tentative de contournement d’AppLocker
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative potentielle de contourner les restrictions AppLocker. AppLocker peut être configuré pour mettre en œuvre une stratégie qui limite les exécutables autorisés à s’exécuter sur un système Windows. Le modèle de ligne de commande similaire à celui identifié dans cette alerte a déjà été associé aux actions d’un attaquant qui tentait de contourner la stratégie AppLocker à l’aide de fichiers exécutables approuvés (autorisés par la stratégie AppLocker) pour exécuter du code non approuvé. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Groupe de service SVCHOST rare exécuté
(VM_SvcHostRunInRareServiceGroup)
Description : Le processus système SVCHOST a été observé en exécutant un groupe de services rare. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : Information
Détection d’attaque des touches rémanentes
Description : l’analyse des données de l’hôte indique qu’un attaquant peut subvertir un fichier binaire d’accessibilité (par exemple des touches sticky, clavier à l’écran, narrateur) afin de fournir un accès par porte dérobée à l’hôte %{Hôte compromis}.
Tactiques MITRE : -
Gravité : moyenne
Attaque par force brute réussie
(VM_LoginBruteForceSuccess)
Description : plusieurs tentatives de connexion ont été détectées à partir de la même source. Certaines authentification ont réussi. Ceci ressemble à une attaque en rafale, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification pour trouver des informations d'identification de compte valides.
Tactiques MITRE : Exploitation
Gravité : moyenne/élevée
Niveau d’intégrité suspect indiquant un détournement RDP
Description : l’analyse des données de l’hôte a détecté l’tscon.exe s’exécutant avec des privilèges SYSTEM . Cela peut être indicatif d’un attaquant qui abuse de ce binaire afin de basculer le contexte vers tout autre utilisateur connecté sur cet hôte ; il s’agit d’une technique malveillante connue pour compromettre davantage de comptes d’utilisateur et se déplacer ultérieurement sur un réseau.
Tactiques MITRE : -
Gravité : moyenne
Installation de service suspecte
Description : l’analyse des données de l’hôte a détecté l’installation de tscon.exe en tant que service : ce binaire démarré en tant que service permet potentiellement à un attaquant de basculer trivialement vers un autre utilisateur connecté sur cet hôte en détournant les connexions RDP ; il s’agit d’une technique d’attaquant connue pour compromettre davantage de comptes d’utilisateur et passer ultérieurement sur un réseau.
Tactiques MITRE : -
Gravité : moyenne
Détection de paramètres d’attaque Kerberos Golden Ticket suspects
Description : l’analyse des données de l’hôte a détecté des paramètres de ligne de commande cohérents avec une attaque Kerberos Golden Ticket.
Tactiques MITRE : -
Gravité : moyenne
Détection de création de compte suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation d’un compte local %{Nom de compte suspect} : ce nom de compte ressemble étroitement à un compte Windows standard ou un nom de groupe « %{Similaire au nom du compte} ». Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.
Tactiques MITRE : -
Gravité : moyenne
Activité suspecte détectée
(VM_SuspiciousActivity)
Description : l’analyse des données de l’hôte a détecté une séquence d’un ou de plusieurs processus s’exécutant sur %{nom de l’ordinateur} qui ont historiquement été associés à une activité malveillante. Bien que les commandes individuelles semblent bénignes, l’alerte est notée en fonction d’une agrégation de ces commandes. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : Exécution
Gravité : moyenne
Activité d’authentification suspecte
(VM_LoginBruteForceValidUserFailed)
Description : Bien qu’aucun d’entre eux n’ait réussi, certains d’entre eux ont été reconnus par l’hôte. Cela ressemble à une attaque par dictionnaire, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification à l’aide d’un dictionnaire prédéfini de noms de comptes et de mots de passe, afin de trouver des informations d’identification valides pour accéder à l’hôte. Cela indique que certains noms de compte de votre hôte peuvent se trouver dans un dictionnaire de noms de compte connus.
Tactiques MITRE : détection
Gravité : moyenne
Détection de segment de code suspect
Description : indique qu’un segment de code a été alloué à l’aide de méthodes non standard, telles que l’injection de réflexion et le creux du processus. L’alerte présente d’autres caractéristiques du segment de code qui a été traité pour fournir un contexte relatif aux fonctionnalités et aux comportements du segment de code indiqué.
Tactiques MITRE : -
Gravité : moyenne
Exécution suspecte d’un fichier à double extension
Description : l’analyse des données de l’hôte indique une exécution d’un processus avec une double extension suspecte. Cette extension peut inciter les utilisateurs à penser que les fichiers sont sûrs d’être ouverts et peuvent indiquer la présence de programmes malveillants sur le système.
Tactiques MITRE : -
Gravité : élevée
Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un téléchargement suspect à l’aide de Certutil
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.
Tactiques MITRE : -
Gravité : moyenne
Détection d’activité PowerShell suspecte
Description : l’analyse des données de l’hôte a détecté un script PowerShell s’exécutant sur %{Hôte compromis} qui comporte des fonctionnalités communes aux scripts suspects connus. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Exécution de cmdlets PowerShell suspects
Description : l’analyse des données de l’hôte indique l’exécution des applets de commande PowerSploit PowerSploit PowerShell connues.
Tactiques MITRE : -
Gravité : moyenne
Exécution d’un processus suspect [constaté plusieurs fois]
Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{Processus suspect} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : élevée
Exécution d’un processus suspect
Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{Processus suspect} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification.
Tactiques MITRE : -
Gravité : élevée
Détection d’un nom de processus suspect [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se cacher en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un nom de processus suspect
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se cacher en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.
Tactiques MITRE : -
Gravité : moyenne
Activité SQL suspecte
Description : les journaux d’activité de l’ordinateur indiquent que « %{nom du processus} » a été exécuté par compte : %{nom d’utilisateur}. Cette activité est rare avec ce compte.
Tactiques MITRE : -
Gravité : moyenne
Exécution suspecte du processus SVCHOST
Description : Le processus système SVCHOST a été observé en cours d’exécution dans un contexte anormal. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.
Tactiques MITRE : -
Gravité : élevée
Exécution suspecte d’un processus système
(VM_SystemProcessInAbnormalContext)
Description : le processus système %{nom du processus} a été observé en cours d’exécution dans un contexte anormal. Le programme malveillant utilise souvent ce nom de processus pour masquer des activités malveillantes.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Activité suspecte de copie de clichés instantanés de volume
Description : l’analyse des données de l’hôte a détecté une activité de suppression de cliché instantané sur la ressource. Le cliché instantané de volume (VSC) est un artefact important qui stocke des clichés instantanés de données. Certains logiciels malveillants, et en particulier les ransomwares, ciblent VSC pour saboter les stratégies de sauvegarde.
Tactiques MITRE : -
Gravité : élevée
Détection d’une valeur de Registre WindowPosition suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative de modification de configuration de Registre WindowPosition qui pourrait indiquer le masquage des fenêtres d’application dans des sections nonvisibles du bureau. Il peut s’agir d’une activité légitime ou d’une indication que l’ordinateur est compromis : ce type d’activité a déjà été associé à un logiciel de publicité connu (ou à un logiciel indésirable), par exemple Win32/OneSystemCare et Win32/SystemHealer et à un programme malveillant tel que Win32/Creprote. Lorsque la valeur de WindowPosition est définie sur 201329664, (hex : 0x0c00 0C00, ce qui correspond à axe X = 0c00 et axe Y = 0c00), la fenêtre de l’application console est placée dans une partie non visible de l’écran de l’utilisateur, dans une zone masquée par le menu Démarrer/la barre des tâches visible. La valeur hex suspecte connue inclut, mais pas limitée à c000c000.
Tactiques MITRE : -
Gravité : faible
Détection d’un processus nommé de façon suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est très similaire mais différent d’un processus très couramment exécuté (%{Similaire au nom du processus}). Bien que ce processus puisse être inoffensif, les attaquants peuvent parfois masquer leurs outils malveillants en leur donnant un nom qui ressemble à celui d’un processus légitime.
Tactiques MITRE : -
Gravité : moyenne
Réinitialisation de configuration inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualConfigReset)
Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Détection de l’exécution suspecte d’un processus
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus par %{Nom d’utilisateur} inhabituel. Les comptes tels que %{Nom d’utilisateur} ont tendance à effectuer un ensemble limité d’opérations, cette exécution a été déterminée comme hors caractère et peut être suspecte.
Tactiques MITRE : -
Gravité : élevée
Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualPasswordReset)
Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualSSHReset)
Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Détection d’une allocation d’objet HTTP VBScript
Description : La création d’un fichier VBScript à l’aide de l’invite de commandes a été détectée. Le script suivant contient une commande d’allocation d’objets HTTP. Cette action peut être utilisée pour télécharger des fichiers malveillants.
Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)
(VM_GPUDriverExtensionUnusualExecution)
Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.
Tactiques MITRE : Impact
Gravité : faible
Appel de l’outil AzureHound détecté
(ARM_AzureHound)
Description : AzureHound a été exécuté dans votre abonnement et a effectué des opérations de collecte d’informations pour énumérer les ressources. Les acteurs des menaces utilisent des outils automatisés, comme AzureHound, pour énumérer les ressources et les utiliser pour accéder aux données sensibles ou effectuer un mouvement latéral. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité dans votre organisation a été violée et que l’acteur de menace tente de compromettre votre environnement.
Tactiques MITRE : Découverte
Gravité : moyenne
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.