Alertes de sécurité - guide de référence

Article
03/17/2024

Cet article répertorie les alertes de sécurité que vous pouvez obtenir à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

En bas de cette page, il existe une table décrivant la chaîne de destruction Microsoft Defender pour le cloud alignée sur la version 9 de la matrice MITRE ATT&CK.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes pour les machines Windows

Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Windows :

Informations complémentaires et notes

Détection d’une connexion à partir d’une adresse IP malveillante. [vu plusieurs fois]

Description : Une authentification à distance réussie pour le compte [compte] et le processus [processus] se sont produits, mais l’adresse IP de connexion (x.x.x.x.x) a été signalée précédemment comme malveillante ou très inhabituelle. Une attaque a probablement eu lieu. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire.

Tactiques MITRE : -

Gravité : élevée

La violation de stratégie de contrôle d’application adaptative a été auditée

VM_AdaptiveApplicationControlWindowsViolationAudited

Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.

Tactiques MITRE : Exécution

Gravité : Information

Ajout d’un compte invité au groupe Administrateurs local

Description : l’analyse des données de l’hôte a détecté l’ajout du compte invité intégré au groupe Local Administration istrators sur %{Hôte compromis}, qui est fortement associé à l’activité de l’attaquant.

Tactiques MITRE : -

Gravité : moyenne

Un journal des événements a été effacé

Description : les journaux d’activité des ordinateurs indiquent une opération suspecte d’effacement des journaux d’événements par l’utilisateur : « %{nom d’utilisateur} » dans l’ordinateur : « %{CompromisdEntity} ». Le journal %{canal du journal} a été effacé.

Tactiques MITRE : -

Gravité : Information

Échec d’action anti-programme malveillant

Description : Microsoft Antimalware a rencontré une erreur lors de l’exécution d’une action sur des programmes malveillants ou d’autres logiciels potentiellement indésirables.

Tactiques MITRE : -

Gravité : moyenne

Mesure anti-programme malveillant prise

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle

(VM_AmTemporarilyDisablement)

Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.

Tactiques MITRE : -

Gravité : moyenne

Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_UnusualAmFileExclusion)

Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Communication avec un domaine suspect identifié par le renseignement sur les menaces

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande « net.exe arrêter » utilisée pour arrêter les services critiques tels que SharedAccess ou l’application Sécurité Windows. L’arrêt de l’un de ces services peut indiquer un comportement malveillant.

Tactiques MITRE : -

Gravité : moyenne

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.

Tactiques MITRE : -

Gravité : élevée

Construction de script dynamique PS

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la construction dynamique d’un script PowerShell. Les attaquants utilisent parfois cette approche pour générer un script progressivement afin d’échapper aux systèmes IDS. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise.

Tactiques MITRE : -

Gravité : moyenne

Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect

Description : l’analyse des données de l’hôte a détecté un fichier exécutable sur %{Hôte compromis} exécuté à partir d’un emplacement en commun avec les fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis.

Tactiques MITRE : -

Gravité : élevée

Comportement d’attaque sans fichier détecté

(VM_FilelessAttackBehavior.Windows)

Description : la mémoire du processus spécifié contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants :

Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.

Tactiques MITRE : Évasion de défense

Gravité : faible

Technique d’attaque sans fichier détectée

(VM_FilelessAttackTechnique.Windows)

Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants :

Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
Image exécutable injectée dans le processus, par exemple dans une attaque par injection de code.
Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
Creux du processus, qui est une technique utilisée par les programmes malveillants dans lequel un processus légitime est chargé sur le système pour agir comme un conteneur pour le code hostile.
Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Kit d’attaques sans fichier détecté

(VM_FilelessAttackToolkit.Windows)

Description : la mémoire du processus spécifié contient un kit de ressources d’attaque sans fichier : [nom du kit de ressources]. Les kits d’attaques sans fichier utilisent des techniques qui réduisent ou éliminent les traces de logiciels malveillants sur disque et réduisent considérablement les chances de détection par des solutions d’analyse de logiciels malveillants sur disque. Les comportements spécifiques sont les suivants :

Kits de ressources connus et logiciels d’exploration de données de chiffrement.
Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
Exécutable malveillant injecté dans la mémoire du processus.

Description : Le processus système SVCHOST a été observé en exécutant un groupe de services rare. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : Information

Détection d’attaque des touches rémanentes

Description : l’analyse des données de l’hôte indique qu’un attaquant peut subvertir un fichier binaire d’accessibilité (par exemple des touches sticky, clavier à l’écran, narrateur) afin de fournir un accès par porte dérobée à l’hôte %{Hôte compromis}.

Tactiques MITRE : -

Gravité : moyenne

Attaque par force brute réussie

(VM_LoginBruteForceSuccess)

Description : plusieurs tentatives de connexion ont été détectées à partir de la même source. Certaines authentification ont réussi. Ceci ressemble à une attaque en rafale, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification pour trouver des informations d'identification de compte valides.

Tactiques MITRE : Exploitation

Gravité : moyenne/élevée

Niveau d’intégrité suspect indiquant un détournement RDP

Description : l’analyse des données de l’hôte a détecté l’tscon.exe s’exécutant avec des privilèges SYSTEM . Cela peut être indicatif d’un attaquant qui abuse de ce binaire afin de basculer le contexte vers tout autre utilisateur connecté sur cet hôte ; il s’agit d’une technique malveillante connue pour compromettre davantage de comptes d’utilisateur et se déplacer ultérieurement sur un réseau.

Tactiques MITRE : -

Gravité : moyenne

Installation de service suspecte

Description : l’analyse des données de l’hôte a détecté l’installation de tscon.exe en tant que service : ce binaire démarré en tant que service permet potentiellement à un attaquant de basculer trivialement vers un autre utilisateur connecté sur cet hôte en détournant les connexions RDP ; il s’agit d’une technique d’attaquant connue pour compromettre davantage de comptes d’utilisateur et passer ultérieurement sur un réseau.

Tactiques MITRE : -

Gravité : moyenne

Détection de paramètres d’attaque Kerberos Golden Ticket suspects

Description : l’analyse des données de l’hôte a détecté des paramètres de ligne de commande cohérents avec une attaque Kerberos Golden Ticket.

Tactiques MITRE : -

Gravité : moyenne

Description : indique qu’un segment de code a été alloué à l’aide de méthodes non standard, telles que l’injection de réflexion et le creux du processus. L’alerte présente d’autres caractéristiques du segment de code qui a été traité pour fournir un contexte relatif aux fonctionnalités et aux comportements du segment de code indiqué.

Tactiques MITRE : -

Gravité : moyenne

Exécution suspecte d’un fichier à double extension

Description : l’analyse des données de l’hôte indique une exécution d’un processus avec une double extension suspecte. Cette extension peut inciter les utilisateurs à penser que les fichiers sont sûrs d’être ouverts et peuvent indiquer la présence de programmes malveillants sur le système.

Tactiques MITRE : -

Gravité : élevée

Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Tactiques MITRE : -

Gravité : élevée

Détection d’un nom de processus suspect [constaté plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se cacher en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

(VM_SystemProcessInAbnormalContext)

Description : le processus système %{nom du processus} a été observé en cours d’exécution dans un contexte anormal. Le programme malveillant utilise souvent ce nom de processus pour masquer des activités malveillantes.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Activité suspecte de copie de clichés instantanés de volume

Description : l’analyse des données de l’hôte a détecté une activité de suppression de cliché instantané sur la ressource. Le cliché instantané de volume (VSC) est un artefact important qui stocke des clichés instantanés de données. Certains logiciels malveillants, et en particulier les ransomwares, ciblent VSC pour saboter les stratégies de sauvegarde.

Tactiques MITRE : -

Gravité : élevée

Détection d’une valeur de Registre WindowPosition suspecte

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative de modification de configuration de Registre WindowPosition qui pourrait indiquer le masquage des fenêtres d’application dans des sections nonvisibles du bureau. Il peut s’agir d’une activité légitime ou d’une indication que l’ordinateur est compromis : ce type d’activité a déjà été associé à un logiciel de publicité connu (ou à un logiciel indésirable), par exemple Win32/OneSystemCare et Win32/SystemHealer et à un programme malveillant tel que Win32/Creprote. Lorsque la valeur de WindowPosition est définie sur 201329664, (hex : 0x0c00 0C00, ce qui correspond à axe X = 0c00 et axe Y = 0c00), la fenêtre de l’application console est placée dans une partie non visible de l’écran de l’utilisateur, dans une zone masquée par le menu Démarrer/la barre des tâches visible. La valeur hex suspecte connue inclut, mais pas limitée à c000c000.

Tactiques MITRE : -

Gravité : faible

Détection d’un processus nommé de façon suspecte

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est très similaire mais différent d’un processus très couramment exécuté (%{Similaire au nom du processus}). Bien que ce processus puisse être inoffensif, les attaquants peuvent parfois masquer leurs outils malveillants en leur donnant un nom qui ressemble à celui d’un processus légitime.

Tactiques MITRE : -

Gravité : moyenne

Réinitialisation de configuration inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualConfigReset)

Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Détection de l’exécution suspecte d’un processus

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus par %{Nom d’utilisateur} inhabituel. Les comptes tels que %{Nom d’utilisateur} ont tendance à effectuer un ensemble limité d’opérations, cette exécution a été déterminée comme hors caractère et peut être suspecte.

Tactiques MITRE : -

Gravité : élevée

Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualPasswordReset)

Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualSSHReset)

Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Détection d’une allocation d’objet HTTP VBScript

Description : La création d’un fichier VBScript à l’aide de l’invite de commandes a été détectée. Le script suivant contient une commande d’allocation d’objets HTTP. Cette action peut être utilisée pour télécharger des fichiers malveillants.

Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)

(VM_GPUDriverExtensionUnusualExecution)

Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.

Tactiques MITRE : Impact

(VM_AmTempRealtimeProtectionDisablement)

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Tactiques MITRE : -

Gravité : élevée

(VM_MailserverExploitation)

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerie

Tactiques MITRE : Exploitation

Gravité : moyenne

Détection possible d’un interpréteur de commandes web malveillant

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une utilisation anormale du protocole. Ce trafic, même s’il est possible qu’il soit bénin, peut indiquer l’abus de ce protocole commun pour contourner le filtrage du trafic réseau. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.

Tactiques MITRE : Exfiltration

Gravité : -

Activité réseau anonyme

(AzureDNS_DarkWeb)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Activité réseau anonyme utilisant un proxy web

(AzureDNS_DarkWebProxy)

Tactiques MITRE : Exfiltration

Gravité : faible

Tentative de communication avec un domaine sinkhole suspect

(AzureDNS_SinkholedDomain)

Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté une demande de domaine récepteur. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Communication avec un domaine d’hameçonnage potentiel

(AzureDNS_PhishingDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande de domaine d’hameçonnage possible. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à collecter des informations d’identification auprès de services distants. L’activité associée type des attaquants est susceptible d’inclure l’exploitation d’informations d’identification dans le service légitime.

Tactiques MITRE : Exfiltration

Gravité : Information

Communication avec un domaine suspect généré par algorithmique

(AzureDNS_DomainGenerationAlgorithm)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation possible d’un algorithme de génération de domaine. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : Information

Communication avec un domaine suspect identifié par le renseignement sur les menaces

(AzureDNS_ThreatIntelSuspectDomain)

Tactiques MITRE : Accès initial

Gravité : moyenne

Communication avec un nom de domaine aléatoire suspect

(AzureDNS_RandomizedDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation d’un nom de domaine généré de manière aléatoire suspecte. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : Information

Activité d’exploration de données monétaires numériques

(AzureDNS_CurrencyMining)

Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté l’activité d’exploration de données de devise numérique. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.

Tactiques MITRE : Exfiltration

Gravité : faible

Activation de la signature de détection d’intrusion réseau

(AzureDNS_SuspiciousDomain)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une signature réseau malveillante connue. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Possible téléchargement de données via un tunnel DNS

(AzureDNS_DataInfiltration)

Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.

Tactiques MITRE : Exfiltration

Gravité : faible

Possible exfiltration de données via un tunnel DNS

(AzureDNS_DataExfiltration)

Tactiques MITRE : Exfiltration

Gravité : faible

Possible transfert de données via un tunnel DNS

(AzureDNS_DataObfuscation)

Tactiques MITRE : Exfiltration

Gravité : faible

Alertes pour les extensions de machine virtuelle Azure

Ces alertes se concentrent sur la détection des activités suspectes des extensions de machine virtuelle Azure et fournissent des insights sur les tentatives des attaquants de compromettre et d’effectuer des activités malveillantes sur vos machines virtuelles.

Les extensions de machine virtuelle Azure sont de petites applications qui exécutent un post-déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :

Collecte et surveillance des données
Déploiement de l’exécution et de la configuration du code avec des privilèges élevés
Réinitialisation des informations d’identification et création d’utilisateurs administratifs
Chiffrement des disques

Tactiques MITRE : Exécution

Gravité : élevée

Kit d’attaques sans fichier détecté

(AppServices_FilelessAttackToolkitDetection)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Alerte de test Microsoft Defender pour le cloud pour App Service (pas une menace)

(AppServices_EICAR)

Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : élevée

Analyse NMap détectée

(AppServices_Nmap)

Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à NMAP. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : Information

Contenu de hameçonnage hébergé sur Azure Webapps

(AppServices_PhishingContent)

Description : URL utilisée pour l’attaque par hameçonnage trouvée sur le site web Azure AppServices. Cette URL faisait partie d’une attaque par hameçonnage envoyée aux clients de Microsoft 365. En général, le contenu incite les visiteurs à entrer leurs informations d’identification d’entreprise ou leurs informations financières sur un site d’apparence légitime. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Collection

Gravité : élevée

Fichier PHP dans le dossier de chargement

(AppServices_PhpInUploadFolder)

Description : le journal d’activité Azure App Service indique un accès à une page PHP suspecte située dans le dossier de chargement. Généralement, ce type de dossier ne contient pas de fichiers PHP. L’existence de ce type de fichier peut indiquer une exploitation tirant parti des vulnérabilités du chargement de fichiers arbitraires. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection d’un possible téléchargement Cryptocoinminer

(AppServices_CryptoCoinMinerDownload)

Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaires numériques. (S’applique à : App Service sur Linux)

Tactiques MITRE : Évasion de défense, Commande et contrôle, Exploitation

Gravité : moyenne

Exfiltration de données possible détectée

(AppServices_DataEgressArtifacts)

Description : l’analyse des données de l’hôte/de l’appareil a détecté une condition de sortie de données possible. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. (S’applique à : App Service sur Linux)

Tactiques MITRE : Collection, Exfiltration

Gravité : moyenne

Détection d’un possible enregistrement DNS non résolu pour une ressource App Service

(AppServices_PotentialDanglingDomain)

Description : un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée entrée « dns déchiffrant ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. Ici, un enregistrement texte avec l’ID de vérification du domaine a été détecté. Ces enregistrements texte empêchent la prise de contrôle des sous-domaines. Cependant, nous vous recommandons de supprimer le domaine non résolu. Si vous laissez l’enregistrement DNS pointer vers le sous-domaine, vous courez le risque d’une prise de contrôle si une personne de votre organisation vient à supprimer le fichier TXT ou l’enregistrement. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Possible détection d’un interpréteur de commandes inverse

(AppServices_ReverseShell)

Description : l’analyse des données de l’hôte a détecté un interpréteur de commandes inverse potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. (S’applique à : App Service sur Linux)

Tactiques MITRE : Exfiltration, Exploitation

Gravité : moyenne

Détection de téléchargement de données brutes

(AppServices_DownloadCodeFromWebsite)

Description : l’analyse des processus App Service a détecté une tentative de téléchargement de code à partir de sites web de données brutes tels que Pastebin. Cette action a été exécutée par un processus PHP. Ce comportement est associé aux tentatives de téléchargement d’interpréteurs de commandes web ou autres composants malveillants sur Azure App Service. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection de l’enregistrement de la sortie curl sur le disque

(AppServices_CurlToDisk)

Description : l’analyse des processus App Service a détecté l’exécution d’une commande curl dans laquelle la sortie a été enregistrée sur le disque. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows)

Tactiques MITRE : -

Gravité : faible

Détection d’un référent de dossier de courrier indésirable

(AppServices_SpamReferrer)

Description : le journal d’activité Azure App Service indique l’activité web identifiée comme provenant d’un site web associé à l’activité de courrier indésirable. Cela peut se produire si votre site web est compromis et utilisé pour des activités de courrier indésirable. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Détection d’un accès suspect à une page web potentiellement vulnérable

(AppServices_ScanSensitivePage)

Description : le journal d’activité Azure App Service indique une page web qui semble sensible a été accessible. Cette activité suspecte provient d’une adresse IP source dont le modèle d’accès est semblable à celui d’un analyseur web. Cette activité est souvent associée à la tentative d’un attaquant pour analyser votre réseau et essayer d’accéder à des pages web sensibles ou vulnérables. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Référence de nom de domaine suspecte

(AppServices_CommandlineSuspectDomain)

Description : Analyse des données de l’hôte détectées référence au nom de domaine suspect. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants. (S’applique à : App Service sur Linux)

Tactiques MITRE : Exfiltration

Gravité : faible

Détection d’un téléchargement suspect à l’aide de Certutil

(AppServices_DownloadUsingCertutil)

Description : l’analyse des données d’hôte sur {NAME} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection de l’exécution d’un processus PHP suspect

(AppServices_SuspectPhp)

Description : les journaux d’activité des ordinateurs indiquent qu’un processus PHP suspect est en cours d’exécution. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande, en utilisant le processus PHP. Bien que ce comportement puisse être légitime, dans les applications web, il peut indiquer des activités malveillantes, telles que des tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : moyenne

Exécution de cmdlets PowerShell suspects

(AppServices_PowerShellPowerSploitScriptExecution)

Description : l’analyse des données de l’hôte indique l’exécution des applets de commande PowerSploit PowerSploit PowerShell connues. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Exécution d’un processus suspect

(AppServices_KnownCredential AccessTools)

Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{chemin du processus} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification. (S’applique à : App Service sur Windows)

Tactiques MITRE : Accès aux informations d’identification

Gravité : élevée

Détection d’un nom de processus suspect

(AppServices_ProcessWithKnownSuspiciousExtension)

Description : l’analyse des données de l’hôte sur {NAME} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se masquer en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. (S’applique à : App Service sur Windows)

Tactiques MITRE : Persistance, Évasion de défense

Gravité : moyenne

Exécution suspecte du processus SVCHOST

(AppServices_SVCHostFromInvalidPath)

Description : Le processus système SVCHOST a été observé en cours d’exécution dans un contexte anormal. Les programmes malveillants utilisent souvent SVCHOST pour masquer son activité malveillante. (S’applique à : App Service sur Windows)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Détection d’un agent utilisateur suspect

(AppServices_UserAgentInjection)

Description : le journal d’activité Azure App Service indique les demandes avec un agent utilisateur suspect. Ce comportement peut indiquer des tentatives d’exploitation d’une vulnérabilité dans votre application App Service. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Accès initial

Gravité : Information

Détection d’un appel de thème WordPress suspect

(AppServices_WpThemeInjection)

Description : le journal d’activité Azure App Service indique une activité d’injection de code possible sur votre ressource App Service. L’activité suspecte détectée ressemble à une manipulation d’un thème WordPress pour prendre en charge l’exécution de code côté serveur, suivie d’une requête web directe pour appeler le fichier de thème manipulé. Ce type d’activité a été observé par le passé dans le cadre d’une campagne d’attaque visant WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : élevée

Détection de l’analyseur de vulnérabilité

(AppServices_DrupalScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les systèmes de gestion de contenu (CMS). Si votre ressource App Service n’héberge pas de site Drupal, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows)

Tactiques MITRE : PreAttack

Gravité : faible

Détection de l’analyseur de vulnérabilité

(AppServices_JoomlaScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications Joomla. Si votre ressource App Service n’héberge pas de site Joomla, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : faible

Détection de l’analyseur de vulnérabilité

(AppServices_WpScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : faible

Détection d’une prise d’empreinte web

(AppServices_WebFingerprinting)

Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à un outil appelé Blind Elephant. L’outil prend l’empreinte des serveurs web et tente de détecter les applications installées et la version. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : moyenne

Le site web est marqué comme malveillant dans le flux de renseignement sur les menaces

(AppServices_SmartScreen)

Description : Votre site web, comme décrit ci-dessous, est marqué comme un site malveillant par Windows SmartScreen. Si vous pensez qu’il s’agit d’un faux positif, contactez Windows SmartScreen par le biais du lien de commentaires fourni. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Collection

(K8S.NODE_SuspectUserAddition) ¹

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande useradd.

Tactiques MITRE : Persistance

Gravité : moyenne

Conteneur d’extraction de données monétaires numériques détecté

(K8S_MaliciousContainerImage) ³

Description : l’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’exploration de données monétaire numérique.

Tactiques MITRE : Exécution

Gravité : élevée

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un processus suspect. Cela est souvent associé à l’agent MITRE 54ndc47, qui peut être utilisé de manière malveillante pour attaquer d’autres machines.

Tactiques MITRE : Persistance, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Gravité : moyenne

¹ : Préversion pour les clusters non AKS : cette alerte est généralement disponible pour les clusters AKS, mais elle est en préversion pour d’autres environnements, tels qu’Azure Arc, EKS et GKE.

² : Limitations sur les clusters GKE : GKE utilise une stratégie d’audit Kubernetes qui ne prend pas en charge tous les types d’alerte. Par conséquent, cette alerte de sécurité, qui est basée sur les événements d’audit Kubernetes, n’est pas prise en charge pour les clusters GKE.

³ : Cette alerte est prise en charge sur les nœuds/conteneurs Windows.

Alertes pour SQL Database et Azure Synapse Analytics

Informations complémentaires et notes

Vulnérabilité possible par injection de code SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Description : une application a généré une instruction SQL défectueuse dans la base de données. Cela peut indiquer une vulnérabilité aux attaques par injection de code SQL. Il y a deux causes possibles à une instruction défectueuse. Un défaut dans le code d’application peut avoir créé l’instruction SQL défectueuse. Ou bien, le code d’application ou les procédures stockées n’ont pas assaini les entrées utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par l’injection de code SQL.

Tactiques MITRE : PreAttack

Gravité : moyenne

Tentative de connexion par une application potentiellement dangereuse

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

Connexion à partir d’un centre de données Azure inhabituel

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Description : Il y a eu une modification du modèle d’accès à un serveur SQL Server, où une personne s’est connectée au serveur à partir d’un Centre de données Azure inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un nouveau service Azure). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant opérant à partir d’une ressource compromise dans Azure).

Tactiques MITRE : détection

Gravité : faible

Connexion à partir d’un emplacement inhabituel

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Description : il y a eu un changement dans le modèle d’accès à SQL Server, où une personne s’est connectée au serveur à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).

Tactiques MITRE : Exploitation

Gravité : moyenne

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

(SQL.VM_PotentialSqlInjection)

Description : une personne a lancé une nouvelle charge utile utilisant la couche dans SQL Server qui communique avec le système d’exploitation tout en cachant la commande dans la requête SQL. Les attaquants masquent généralement les commandes percutantes qui sont couramment analysées comme xp_cmdshell, sp_add_job et autres. Les techniques d’obfuscation abusent des commandes légitimes telles que la concaténation de chaînes, le forçage de type, la modification de base, etc., pour éviter la détection d’expression régulière et nuire à la lisibilité des journaux.

Tactiques MITRE : Exécution

Gravité : élevée

Alertes pour les bases de données relationnelles open source

Informations complémentaires et notes

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Tactiques MITRE : Exploitation

Gravité : moyenne

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un centre de données Azure inhabituel

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

Description : Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements

(ARM_MicroBurst.AzDomainInfo)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’opérations de collecte d’informations pour découvrir les ressources, les autorisations et les structures réseau. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour collecter des informations sur les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.

Tactiques MITRE : -

Gravité : faible

(Storage.Blob_SuspiciousApp)

Description : indique qu’une application suspecte a accédé à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2

Tactiques MITRE : Accès initial

Gravité : haut/moyen

Accès à partir d’une adresse IP suspecte

(Stockage. Blob_SuspiciousIp Stockage. Files_SuspiciousIp)

Description : indique que ce compte de stockage a été correctement accessible à partir d’une adresse IP considérée comme suspecte. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2

Tactiques MITRE : Pré attaque

Gravité : haut/moyen/faible

Contenu d’hameçonnage hébergé sur un compte de stockage

(Stockage. Blob_PhishingContent Stockage. Files_PhishingContent)

Description : URL utilisée dans une attaque par hameçonnage pointe vers votre compte Stockage Azure. Cette URL faisait partie d’une attaque par hameçonnage qui affecte des utilisateurs de Microsoft 365. En règle générale, le contenu hébergé sur ces pages est conçu pour inciter les visiteurs à entrer leurs informations d’identification d’entreprise ou financières dans un formulaire web qui semble légitime. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files

Tactiques MITRE : Collection

Gravité : élevée

Compte de stockage identifié comme source de distribution de logiciels malveillants

(Storage.Files_WidespreadeAm)

Description : Les alertes anti-programme malveillant indiquent qu’un ou plusieurs fichiers infectés sont stockés dans un partage de fichiers Azure monté sur plusieurs machines virtuelles. Si des attaquants obtiennent l’accès à une machine virtuelle avec un partage de fichiers Azure monté, ils peuvent l’utiliser pour propager des logiciels malveillants sur d’autres machines virtuelles qui montent le même partage. S’applique à : Azure Files

Tactiques MITRE : Exécution

Gravité : moyenne

Le niveau d’accès d’un conteneur d’objets blob de stockage potentiellement sensible a été modifié pour autoriser l’accès public non authentifié

(Storage.Blob_OpenACL)

Description : l’alerte indique qu’une personne a modifié le niveau d’accès d’un conteneur d’objets blob dans le compte de stockage, qui peut contenir des données sensibles, au niveau « Conteneur », pour autoriser l’accès public non authentifié (anonyme). La modification a été apportée par le biais du portail Azure. D’après l’analyse statistique, le conteneur d’objets blob est marqué comme pouvant contenir des données sensibles. Cette analyse suggère que les conteneurs d’objets blob ou les comptes de stockage avec des noms similaires ne sont généralement pas exposés à l’accès public. S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium).

Tactiques MITRE : Collection

Gravité : moyenne

Accès authentifié à partir d’un nœud de sortie Tor

(Stockage. Blob_TorAnomaly Stockage. Files_TorAnomaly)

Description : Un ou plusieurs conteneurs de stockage /partages de fichiers dans votre compte de stockage ont été correctement accessibles à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor (un proxy anonymisé). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2

Tactiques MITRE : Accès initial / Attaque préalable

Gravité : haut/moyen

Accès à partir d’un emplacement inhabituel dans un compte de stockage

(Stockage. Blob_GeoAnomaly Stockage. Files_GeoAnomaly)

Description : indique qu’il y a eu une modification du modèle d’accès à un compte Stockage Azure. Quelqu’un a accédé à ce compte à partir d’une adresse IP considérée comme peu familière par rapport à l’activité récente. Soit un attaquant a obtenu l’accès au compte, soit un utilisateur légitime s’est connecté à partir d’un emplacement géographique nouveau ou inhabituel. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2

Tactiques MITRE : Accès initial

Gravité : haut/moyen/faible

Accès non authentifié inhabituel à un conteneur de stockage

(Storage.Blob_AnonymousAccessAnomaly)

Description : ce compte de stockage a été accessible sans authentification, ce qui est une modification du modèle d’accès commun. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure

Tactiques MITRE : Accès initial

Gravité : haut/bas

Programme potentiellement malveillant chargé vers un compte de stockage

(Stockage. Blob_MalwareHashReputation Stockage. Files_MalwareHashReputation)

Description : indique qu’un objet blob contenant des programmes malveillants potentiels a été chargé dans un conteneur d’objets blob ou un partage de fichiers dans un compte de stockage. Cette alerte est basée sur une analyse de réputation de code de hachage tirant parti de la puissance du renseignement sur les menaces Microsoft, qui inclut des codes de hachage pour des virus, Cheval de Troie, logiciels espions et autres rançongiciels. Les causes potentielles peuvent inclure un chargement intentionnel de programmes malveillants par un attaquant ou un chargement involontaire d’un objet blob potentiellement malveillant par un utilisateur légitime. S’applique à : Stockage Blob Azure, Azure Files (uniquement pour les transactions via l’API REST) En savoir plus sur les fonctionnalités de renseignement sur les menaces de Microsoft.

Tactiques MITRE : Mouvement latéral

Gravité : élevée

Des conteneurs de stockage accessibles publiquement ont été découverts

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Description : une découverte réussie des conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse.

Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.

L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement.

✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Tactiques MITRE : Collection

Gravité : haut/moyen

Échec de l’analyse des conteneurs de stockage accessibles publiquement

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Description : Une série d’échecs de tentatives d’analyse des conteneurs de stockage ouverts publiquement ont été effectuées au cours de la dernière heure.

Description : l’alerte indique qu’un objet blob malveillant a été téléchargé à partir d’un compte de stockage. Les causes potentielles peuvent inclure des programmes malveillants chargés sur le compte de stockage et non supprimés ou mis en quarantaine, ce qui permet à un acteur de menace de le télécharger, ou d’un téléchargement involontaire du programme malveillant par des utilisateurs ou applications légitimes. S’applique aux comptes de stockage Blob Azure (Standard v2 à usage général, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité Analyse des programmes malveillants activée.

Tactiques MITRE : Mouvement latéral

Gravité : Élevé, si Eicar - faible

Alertes pour Azure Cosmos DB

Informations complémentaires et notes

Accès à partir d’un nœud de sortie Tor

(CosmosDB_TorAnomaly)

Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor, un proxy anonymisant. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité.

Tactiques MITRE : Accès initial

Gravité : haut/moyen

Accès à partir d’une adresse IP suspecte

(CosmosDB_SuspiciousIp)

Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP identifiée comme une menace par Microsoft Threat Intelligence.

Tactiques MITRE : Accès initial

Gravité : moyenne

Accès à partir d’un emplacement inhabituel

(CosmosDB_GeoAnomaly)

Description : Ce compte Azure Cosmos DB a été accessible à partir d’un emplacement considéré comme inconnu, en fonction du modèle d’accès habituel.

Un acteur de menace a peut-être obtenu l’accès au compte, ou un utilisateur légitime s’est connecté à partir d’une localisation géographique nouvelle ou inhabituelle

Tactiques MITRE : Accès initial

Gravité : faible

Volume inhabituel de données extraites

(CosmosDB_DataExfiltrationAnomaly)

Description : Un volume inhabituel de données a été extrait de ce compte Azure Cosmos DB. Un acteur de menace a peut-être exfiltrer des données.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Extraction de clés de comptes Azure Cosmos DB avec un script potentiellement malveillant

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’opérations de référencement de clés pour obtenir les clés des comptes Azure Cosmos DB dans votre abonnement. Les acteurs de menace utilisent des scripts automatisés, comme Microburst, pour lister des clés et rechercher les comptes Azure Cosmos DB auxquels ils peuvent accéder.

Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre les comptes Azure Cosmos DB de votre environnement à des fins malveillantes.

Il se peut aussi qu’une personne malveillante au sein de l’organisation tente d’accéder aux données sensibles et d’effectuer un mouvement latéral.

Tactiques MITRE : Collection

Gravité : moyenne

Extraction suspecte des clés de compte Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Description : une source suspecte extraite des clés d’accès du compte Azure Cosmos DB à partir de votre abonnement. Si cette source n’est pas une source légitime, il peut s’agir d’un problème d’impact élevé. La clé d’accès extraite fournit un contrôle total sur les bases de données associées et les données qui y sont stockées. Consultez les détails de chaque alerte pour comprendre pourquoi la source a été signalée comme suspecte.

Tactiques MITRE : Accès aux informations d’identification

Gravité : élevé

Injection de code SQL : exfiltration de données potentielle

(CosmosDB_SqlInjection.DataExfiltration)

Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.

L’instruction injectée a peut-être réussi à exfiltrer des données que l’acteur de menace n’est pas autorisé à consulter.

En raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL connues sur les comptes Azure Cosmos DB ne peuvent pas fonctionner. Toutefois, la variation utilisée dans cette attaque peut fonctionner et les acteurs de menace peuvent exfiltrer des données.

Tactiques MITRE : Exfiltration

Gravité : moyenne

Injection de code SQL : tentative de fuzzing

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.

Comme les autres attaques bien connues par injection de code SQL, cette attaque ne peut pas compromettre le compte Azure Cosmos DB.

Néanmoins, il est indiqué qu’un acteur de menace tente d’attaquer les ressources dans ce compte et que votre application peut être compromise.

Certaines attaques par injection de code SQL peuvent réussir et être utilisées pour exfiltrer des données. Cela signifie que si l’attaquant continue d’effectuer des tentatives d’injection SQL, il peut être en mesure de compromettre votre compte Azure Cosmos DB et d’exfiltrer des données.

Vous pouvez empêcher cette menace en utilisant des requêtes paramétrables.

Gravité : moyenne

Alertes pour Azure DDoS Protection

Informations complémentaires et notes

Détection d’une attaque DDoS pour l’adresse IP publique

(NETWORK_DDOS_DETECTED)

Description : Attaque DDoS détectée pour l’adresse IP publique (adresse IP) et atténuée.

Tactiques MITRE : détection

Gravité : élevée

Attaque DDoS atténuée pour l’adresse IP publique

(NETWORK_DDOS_MITIGATED)

Les listes suivantes incluent les alertes de sécurité Defender pour conteneurs qui ont été déconseillées.

Détection d’une manipulation du pare-feu sur l’hôte

(K8S.NODE_FirewallDisabled)

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une manipulation possible du pare-feu hôte. Les attaquants le désactivent souvent pour exfiltrer des données.

Tactiques MITRE : DefenseEvasion, Exfiltration

Gravité : moyenne

Utilisation suspecte de DNS sur HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’utilisation d’un appel DNS via HTTPS de manière rare. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants.

Tactiques MITRE : DefenseEvasion, Exfiltration

Gravité : moyenne

Une connexion possible à un emplacement malveillant a été détectée.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une connexion à un emplacement signalé comme malveillant ou inhabituel. Il s’agit d’un indicateur indiquant qu’une compromission a pu se produire.

Tactiques MITRE : InitialAccess

Gravité : moyenne

Activité d’exploration de données monétaires numériques

(K8S. NODE_CurrencyMining)

Description : Analyse des transactions DNS détectées dans l’activité d’exploration de données monétaires numériques. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.

Tactiques MITRE : Exfiltration

Nom d’affichage de l’alerte : interpréteur de commandes web malveillant possible détecté

Nom complet de l’alerte : détection de la désactivation des services critiques

Gravité : moyenne

les intentions de chaîne de destruction prises en charge de Defender pour le cloud sont basées sur la version 9 de la matrice MITRE ATT&CK et décrites dans le tableau ci-dessous.

Tactique	ATT&CK Version	Description
PreAttack		La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée.
Accès initial	V7, V9	La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. En général, les acteurs des menaces sont en mesure de prendre le contrôle après cette étape.
Persistance	V7, V9	La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès.
Élévation des privilèges	V7, V9	L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateur disposant d’autorisations pour accéder à des systèmes spécifiques ou exécuter des fonctions spécifiques nécessaires aux adversaires pour atteindre leur objectif peuvent également être considérés comme une escalade de privilèges.
Évasion de défense	V7, V9	L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.
Accès aux informations d’identification	V7, V9	L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.
Découverte	V7, V9	La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.
LateralMovement	V7, V9	Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des d’autres outils tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers d’autres systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à davantage d’informations d’identification, ou dans le but de causer un effet.
Exécution	V7, V9	La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.
Collection	V7, V9	La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
Commande et contrôle	V7, V9	La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Exfiltration	V7, V9	L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
Impact	V7, V9	Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc.

Notes

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Alertes de sécurité - guide de référence

Alertes pour les machines Windows

Détection d’une connexion à partir d’une adresse IP malveillante. [vu plusieurs fois]

La violation de stratégie de contrôle d’application adaptative a été auditée

Ajout d’un compte invité au groupe Administrateurs local

Un journal des événements a été effacé

Échec d’action anti-programme malveillant

Mesure anti-programme malveillant prise

Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle

Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle

Logiciel anti-programme malveillant désactivé dans votre machine virtuelle

Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle

Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle

Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle

La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle

La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle

La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle

Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)

Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle

Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle

Communication avec un domaine suspect identifié par le renseignement sur les menaces

Actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS

Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande

Détection d’une modification apportée à une clé de Registre pouvant être utilisée pour contourner l’UAC

Détection du décodage d’un exécutable à l’aide de l’outil certutil.exe intégré

Détection de l’activation de la clé de Registre WDigest UseLogonCredential

Détection d’un fichier exécutable encodé dans les données de la ligne de commande

Détection d’une ligne de commande masquée

Possible détection de l’exécution d’un exécutable de génération de clés

Possible détection de l’exécution d’une installation de logiciel malveillant

Possible détection d’une activité de reconnaissance locale

Détection d’une utilisation potentiellement suspecte de l’outil Telegram

Détection de la notice légale présentée aux utilisateurs lors de la connexion

Détection d’une combinaison suspecte de HTA et PowerShell

Détection d’arguments de ligne de commande suspects

Détection d’une ligne de commande suspecte utilisée pour démarrer tous les exécutables dans un répertoire

Détection d’informations d’identification suspectes dans la ligne de commande

Détection d’informations d’identification de document suspectes

Détection de l’exécution suspecte de la commande VBScript.Encode

Détection d’une exécution suspecte via rundll32.exe

Détection de commandes suspectes de nettoyage de fichier

Détection d’une création de fichier suspecte

Détection de communications de canal nommé suspectes

Détection d’une activité réseau suspecte

Détection d’une nouvelle règle de pare-feu suspecte

Détection de l’utilisation suspecte de Cacls pour abaisser le niveau de sécurité du système

Détection d’une utilisation suspecte du commutateur FTP -s

Détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable

Détection de la désactivation de services essentiels

Détection d’un comportement lié au minage de devises numériques

Construction de script dynamique PS

Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect

Comportement d’attaque sans fichier détecté

Technique d’attaque sans fichier détectée

Kit d’attaques sans fichier détecté

Détection d’un logiciel à haut risque

Les membres du groupe Administrateurs locaux ont été énumérés

Règle de pare-feu malveillante créée par l’implant de serveur ZINC [constaté plusieurs fois]

Activité SQL malveillante

Interrogations de plusieurs comptes de domaine

Possible détection d’un vidage des informations d’identification [constaté plusieurs fois]

Possible détection d’une tentative de contournement d’AppLocker

Groupe de service SVCHOST rare exécuté

Détection d’attaque des touches rémanentes

Attaque par force brute réussie

Niveau d’intégrité suspect indiquant un détournement RDP

Installation de service suspecte

Détection de paramètres d’attaque Kerberos Golden Ticket suspects

Détection de création de compte suspecte

Activité suspecte détectée

Activité d’authentification suspecte

Détection de segment de code suspect

Exécution suspecte d’un fichier à double extension

Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois]

Détection d’un téléchargement suspect à l’aide de Certutil

Détection d’activité PowerShell suspecte

Exécution de cmdlets PowerShell suspects

Exécution d’un processus suspect [constaté plusieurs fois]

Exécution d’un processus suspect

Détection d’un nom de processus suspect [constaté plusieurs fois]