Biztonsági riasztások - – referencia-útmutató

Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek a Microsoft Defender for Cloudtól és az ön által engedélyezett Microsoft Defender-csomagoktól származhatnak. A környezetében megjelenő riasztások a védett erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.

A lap alján található egy táblázat, amely a Microsoft Defender for Cloud kill láncot írja le a MITRE ATT&CK mátrix 9-es verziójához igazítva.

Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.

Megtudhatja, hogyan exportálhat riasztásokat.

Megjegyzés

A különböző forrásokból származó riasztások megjelenése eltérő időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.

Windows rendszerű gépekre vonatkozó riasztások

A Microsoft Defender for Servers 2. csomagja az Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Windows rendszerű gépekre vonatkozó riasztások a következők:

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
A rendszer rosszindulatú IP-címről történő bejelentkezést észlelt. [többször is látható] Sikeres távoli hitelesítés történt a fiók [fiók] és a folyamat [folyamat] esetében, de a bejelentkezési IP-cím (x.x.x.x) korábban rosszindulatúként vagy rendkívül szokatlanként jelent meg. Valószínűleg sikeres támadás történt. A .scr kiterjesztésű fájlok képernyőkímélő fájlok, amelyek általában a Windows rendszerkönyvtárában találhatók és futnak. - Magas
Vendégfiók hozzáadása a Helyi rendszergazdák csoporthoz A gazdagépadatok elemzése azt észlelte, hogy a beépített vendégfiók hozzáadódott a(z) %{Feltört gazdagép} Helyi rendszergazdák csoportjához, amely erősen kapcsolódik a támadó tevékenységéhez. - Közepes
Az eseménynapló törölve lett A gépnaplók gyanús eseménynapló-törlési műveletet jeleznek a következő felhasználó szerint: "%{felhasználónév}" a gépben: "%{CompromisedEntity}". A(z) %{log channel} napló törölve lett. - Tájékoztató
A kártevőirtó művelet meghiúsult Microsoft Antimalware hibába ütközött, amikor kártevőt vagy más vélhetően nemkívánatos szoftvert műveletet végzett. - Közepes
Kártevőirtó művelet Microsoft Antimalware az Azure-hoz tett egy műveletet, hogy megvédje ezt a gépet a kártevőktől vagy más vélhetően nemkívánatos szoftverektől. - Közepes
Kártevőirtó – széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
A rendszer a fájlkizárást a kártevőirtó bővítményből széles körű kizárási szabvánnyal észlelte a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést tetszőleges kód futtatása vagy a gép kártevővel való megfertőzése során.
- Közepes
A kártevőirtó le van tiltva és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer.
A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
- Magas
A kártevőirtó le van tiltva a virtuális gépen
(VM_AmDisablement)
A kártevőirtó le van tiltva a virtuális gépen. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer.
A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Védelmi kijátszás Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
A kártevőirtó-ellenőrzőből kizárt fájl a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelem kijátszása, végrehajtás Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmTempFileExclusionAndCodeExecution)
A rendszer ideiglenes fájlkizárást észlelt a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést tetszőleges kód futtatása vagy a gép kártevővel való megfertőzése során.
Védelem kijátszása, végrehajtás Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
A virtuális gép kártevőirtó-ellenőrzőjéből kizárt fájl. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
A rendszer a kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálat ellen a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálat ellen a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva, miközben a kód a virtuális gépen lett végrehajtva
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A rendszer a virtuális gépen észlelte a kártevőirtó bővítmény valós idejű, az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamos ideiglenes letiltását az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálat ellen a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
- Magas
A kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőirtó-kampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvason bizonyos fájlokat, amelyekről feltételezhető, hogy egy kártevő-kampányhoz kapcsolódik. A szabályt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor vagy a gép kártevővel való megfertőzésekor. Védelmi kijátszás Közepes
A kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer.
A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
- Közepes
Kártevőirtó – szokatlan fájlkizárás a virtuális gépen
(VM_UnusualAmFileExclusion)
A rendszer szokatlan fájlkizárást észlelt a kártevőirtó bővítményből a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést tetszőleges kód futtatása vagy a gép kártevővel való megfertőzése során.
Védelmi kijátszás Közepes
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
A gyanús tartománnyal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományokkal való kommunikációt gyakran a támadók végzik, ami azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés, megőrzés, végrehajtás, parancs és ellenőrzés, hasznosítás Közepes
Egyéni szkriptbővítmény gyanús paranccsal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousCmd)
A rendszer gyanús parancsokkal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók egyéni szkriptbővítmény használatával rosszindulatú kódot hajthatnak végre a virtuális gépen az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény gyanús belépési ponttal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A rendszer gyanús belépési ponttal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével. A belépési pont gyanús GitHub-adattárra hivatkozik.
A támadók egyéni szkriptbővítmények használatával rosszindulatú kódot hajthatnak végre a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény gyanús hasznos adatokkal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousPayload)
A rendszer egy gyanús GitHub-adattárból származó hasznos adatokat tartalmazó egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók egyéni szkriptbővítmények használatával rosszindulatú kódot hajthatnak végre a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek A gazdagépadatok olyan műveletek elemzése, amelyek azt mutatják, hogy az IIS-naplófájlok le vannak tiltva és/vagy törölve vannak. - Közepes
Kis- és nagybetűk rendellenes kombinációját észlelte a parancssorban A(z) %{Compromised Host} gazdagépadatainak elemzése olyan parancssort észlelt, amely kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy feltört gazdagépen. - Közepes
Olyan beállításkulcs módosítása észlelhető, amely visszaélhet az UAC megkerülésével A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy módosult egy beállításkulcs, amellyel vissza lehet kerülni a felhasználói fiókok felügyeletét (UAC). Ez a konfiguráció, bár valószínűleg jóindulatú, a támadókra is jellemző, amikor jogosultság nélküli (standard) felhasználóról emelt szintű (például rendszergazdai) hozzáférésre próbál lépni egy feltört gazdagépen. - Közepes
Végrehajtható fájl dekódolása a beépített certutil.exe eszközzel A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a rendszer certutil.exe, egy beépített rendszergazdai segédprogramot használ egy végrehajtható fájl dekódolására a tanúsítványok és a tanúsítványadatok kezeléséhez kapcsolódó alapvető célja helyett. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt. - Magas
A rendszer a WDigest UseLogonCredential beállításkulcs engedélyezését észlelte A gazdagépadatok elemzése változást észlelt a HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" beállításkulcsban. Pontosabban ezt a kulcsot frissítettük, hogy a bejelentkezési hitelesítő adatok tiszta szövegben legyenek tárolva az LSA memóriájában. Az engedélyezést követően a támadó az LSA-memóriából üres szöveges jelszavakat tud kiíratni olyan hitelesítőadat-gyűjtési eszközökkel, mint a Mimikatz. - Közepes
Kódolt végrehajtható fájl észlelhető a parancssori adatokban A(z) %{Compromised Host} gazdagépadatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban olyan támadókkal volt társítva, amelyek menet közben próbálnak végrehajtható fájlokat létrehozni egy parancssorozaton keresztül, és megpróbálták elkerülni a behatolásészlelő rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Magas
Elrejtett parancssor észlelve A támadók egyre összetettebb rejtjelezési technikákat használnak a mögöttes adatokon futó észlelések elkerülésére. A(z) %{Compromised Host} gazdagépadatainak elemzése gyanús rejtjeleket észlelt a parancssorban. - Tájékoztató
Petya zsarolóprogramra utaló jelek A(z) %{Compromised Host} gazdagépadatainak elemzése a Petya ransomware-hez kapcsolódó mutatókat észlelt. További információ: https://aka.ms/petya-blog. Tekintse át a riasztáshoz társított parancssort, és eszkalálja a riasztást a biztonsági csapatnak. - Magas
A keygen végrehajtható fájl lehetséges végrehajtásának észlelve A(z) %{Compromised Host} gazdagépadatainak elemzése olyan folyamat végrehajtását észlelte, amelynek neve keygen eszközt jelez; az ilyen eszközöket általában a szoftverlicencelési mechanizmusok legyőzésére használják, de letöltésüket gyakran más rosszindulatú szoftverekkel kötik össze. A GOLD tevékenységcsoportról ismert, hogy az ilyen kulcsnemeket arra használja, hogy titkosan hozzáférjenek azokhoz a gazdagépekhez, amelyeket feltörnek. - Közepes
A kártevő-gyűjtő lehetséges végrehajtását észlelte A(z) %{Compromised Host} gazdagépadatainak elemzése olyan fájlnevet észlelt, amely korábban a GOLD tevékenységcsoport egyik kártevőtelepítési módszerével volt társítva az áldozat gazdagépén. - Magas
Lehetséges helyi felderítési tevékenység észlelhető A(z) %{Compromised Host} gazdagépadatainak elemzése olyan systeminfo-parancsok kombinációját észlelte, amelyek korábban a GOLD tevékenységcsoport felderítési tevékenységeinek egyik módszeréhez voltak társítva. Bár a "systeminfo.exe" egy legitim Windows-eszköz, ritkán fordul elő, hogy egymás után kétszer hajtsa végre, ahogyan itt történt. -
A Telegram eszköz potenciálisan gyanús használatát észlelte A gazdagépadatok elemzése a Telegram, egy ingyenes felhőalapú csevegőszolgáltatás telepítését mutatja be, amely mobil és asztali rendszerekhez is használható. A támadókról ismert, hogy visszaélnek ezzel a szolgáltatással, hogy rosszindulatú bináris fájlokat vigyenek át bármely más számítógépre, telefonra vagy táblagépre. - Közepes
A felhasználók bejelentkezéskor megjelenő jogi nyilatkozatának letiltását észlelte A(z) %{Compromised Host} gazdagépadatainak elemzése a beállításkulcs azon módosításait észlelte, amelyek azt vezérli, hogy megjelenik-e jogi értesítés a felhasználók számára a bejelentkezéskor. A Microsoft biztonsági elemzése megállapította, hogy ez egy gyakori tevékenység, amelyet a támadók a gazdagép feltörését követően végeznek. - Alacsony
A HTA és a PowerShell gyanús kombinációját észlelte mshta.exe (Microsoft HTML-alkalmazásgazda), amely egy aláírt Microsoft-bináris fájl, a támadók rosszindulatú PowerShell-parancsok indítására használják. A támadók gyakran egy beágyazott VBScripttel rendelkező HTA-fájllal rendelkeznek. Amikor egy áldozat tallózással megkeresi a HTA-fájlt, és a futtatás mellett dönt, a rendszer végrehajtja a benne található PowerShell-parancsokat és parancsfájlokat. A(z) %{Compromised Host} gazdagépadatainak elemzése mshta.exe PowerShell-parancsok indítását észlelte. - Közepes
Gyanús parancssori argumentumok észlelhetők A(z) %{Compromised Host} gazdagépadatainak elemzése gyanús parancssori argumentumokat észlelt, amelyeket a HYDROGEN tevékenységcsoport által használt fordított rendszerhéjjal együtt használtak. - Magas
Gyanús parancsvonal észlelhető a címtárban lévő összes végrehajtható fájl elindításához A gazdagépadatok elemzése gyanús folyamatot észlelt a következőn: %{Feltört gazdagép}. A parancssor azt jelzi, hogy az összes olyan végrehajtható fájl (*.exe) elindítható, amely egy könyvtárban található. Ez egy sérült gazdagépre utalhat. - Közepes
Gyanús hitelesítő adatokat észlelt a parancssorban A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer gyanús jelszót használt egy fájl BORON tevékenységcsoport általi végrehajtásához. Ez a tevékenységcsoport már ismert, hogy ezzel a jelszóval futtatja a Pirpi kártevőt egy áldozati gazdagépen. - Magas
Gyanús dokumentum hitelesítő adatainak észlelése A(z) %{Feltört gazdagép} gazdagépadatainak elemzése gyanús, gyakori előre lefordított jelszókivonatot észlelt, amelyet egy fájl végrehajtásához használt kártevő használ. A HYDROGEN tevékenységcsoport már ismert, hogy ezt a jelszót használja a kártevők áldozati gazdagépen való végrehajtásához. - Magas
A VBScript.Encode parancs gyanús végrehajtását észlelte A(z) %{Feltört gazdagép} gazdagépadatainak elemzése a VBScript.Encode parancs végrehajtását észlelte. Ez olvashatatlan szöveggé kódolja a szkripteket, ami megnehezíti a felhasználók számára a kód vizsgálatát. A Microsoft fenyegetéskutatása azt mutatja, hogy a támadók gyakran kódolt VBscript-fájlokat használnak a támadásuk részeként az észlelési rendszerek megkerülésére. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Közepes
Gyanús végrehajtás észlelhető a rundll32.exe A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, rundll32.exe egy nem gyakori nevű folyamat végrehajtására szolgálnak, összhangban azzal a folyamatelnevezési sémával, amelyet korábban a GOLD tevékenységcsoport használt az első fázisú implantátum feltört gazdagépre való telepítésekor. - Magas
Gyanús fájlkarbantartási parancsok észlelhetők A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan systeminfo-parancsok kombinációját észlelte, amelyek korábban a GOLD tevékenységcsoport egyik olyan módszeréhez voltak társítva, amely a feltörést követő öntisztítási tevékenységet hajtja végre. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, kétszer egymás után hajtja végre, majd egy törlési parancs az itt előforduló módon ritka. - Magas
Gyanús fájllétrehozás észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan folyamat létrehozását vagy végrehajtását észlelte, amely korábban a BARIUM tevékenységcsoport által az áldozat gazdagépen végrehajtott biztonsági rés utáni műveletet jelezte. Ez a tevékenységcsoport már ismert, hogy ezzel a technikával további kártevőket tölt le egy feltört gazdagépre, miután megnyílt egy adathalász dokumentum melléklete. - Magas
Gyanús elnevezett csőkommunikáció észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy az adatok egy windowsos konzolparancsból egy helyi elnevezett csőbe íródtak. A nevesített csövekről ismert, hogy a támadók egy rosszindulatú implantátummal való kommunikációra és feladatra használják a csatornát. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Magas
Gyanús hálózati tevékenység észlelhető A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen, bár valószínűleg jóindulatú forgalmat általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy feltört gazdagépre, és a felhasználói adatok kiszivárgása belőle. - Alacsony
Gyanús új tűzfalszabály észlelhető Az észlelt gazdagépadatok elemzése új tűzfalszabályt adott hozzá a netsh.exe, hogy gyanús helyen engedélyezze a futtatható adatok forgalmát. - Közepes
A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentése érdekében A támadók számtalan módszert használnak, például találgatásos támadást, lándzsás adathalászatot stb. a kezdeti biztonság eléréséhez és a hálózaton való talpraálláshoz. A kezdeti biztonság elérése után gyakran lépéseket tesznek a rendszer biztonsági beállításainak csökkentésére. Cacls – a hozzáférés-vezérlési lista rövid rövidsége a Microsoft Windows natív parancssori segédprogramja, amelyet gyakran használnak a mappák és fájlok biztonsági engedélyének módosítására. A támadók gyakran használják a bináris fájlt a rendszer biztonsági beállításainak csökkentésére. Ez úgy történik, hogy mindenki teljes hozzáférést biztosít a rendszer bináris fájljaihoz, például ftp.exe, net.exe, wscript.exe stb. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése a Cacls gyanús használatát észlelte a rendszer biztonságának csökkentése érdekében. - Közepes
Az FTP -s kapcsoló gyanús használatát észlelte A(z) "-s:filename" FTP-kapcsoló használatát a(z) %{Feltört gazdagép} folyamatlétrehozási adatainak elemzése észlelte. Ez a kapcsoló egy FTP-szkriptfájl megadására szolgál az ügyfél futtatásához. A kártevő vagy rosszindulatú folyamatok ezt az FTP-kapcsolót (-s:filename) használják arra, hogy egy parancsfájlra mutasson, amely úgy van konfigurálva, hogy távoli FTP-kiszolgálóhoz csatlakozzon, és további kártékony bináris fájlokat töltsön le. - Közepes
Gyanús Pcalua.exe használata a végrehajtható kód elindításához A(z) %{Feltört gazdagép} gazdagépadatainak elemzése pcalua.exe használatát észlelte a végrehajtható kód elindításához. Pcalua.exe a Microsoft Windows "Programkompatibilitási segéd" összetevője, amely kompatibilitási problémákat észlel egy program telepítése vagy végrehajtása során. A támadókról ismert, hogy visszaélnek a jogszerű Windows rendszereszközök funkcióival rosszindulatú műveletek végrehajtásához, például pcalua.exe a -a kapcsolóval a rosszindulatú végrehajtható fájlok helyi vagy távoli megosztásokból történő elindításához. - Közepes
Kritikus szolgáltatások letiltását észlelte A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a "net.exe stop" parancs végrehajtása olyan kritikus fontosságú szolgáltatások leállítására szolgál, mint a SharedAccess vagy a Windows biztonság alkalmazás. Bármelyik szolgáltatás leállítása rosszindulatú viselkedésre utalhat. - Közepes
Digitális pénznembányászattal kapcsolatos viselkedés észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése a digitális pénznembányászathoz általában kapcsolódó folyamat vagy parancs végrehajtását észlelte. - Magas
Dinamikus PS-szkriptek felépítése A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy egy PowerShell-szkript dinamikusan készült. A támadók néha ezt a módszert használják egy szkript fokozatos létrehozására az IDS-rendszerek megkerülése érdekében. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. - Közepes
Gyanús helyről futtatott végrehajtható fájl A gazdagépadatok elemzése olyan végrehajtható fájlt észlelt a(z) %{Feltört gazdagép} webhelyen, amely az ismert gyanús fájlokkal közös helyen fut. Ez a végrehajtható fájl lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Magas
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Windows)
A megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. A konkrét viselkedések a következők:
1) Rendszerhéjkód, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználása során.
2) Aktív hálózati kapcsolatok. A részletekért lásd alább a NetworkConnectionst.
3) Függvényhívások a biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekért tekintse meg az alábbi képességeket.
4) Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
Védelmi kijátszás Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Windows)
Az alább megadott folyamat memóriája fájl nélküli támadási technikára utaló bizonyítékokat tartalmaz. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. A konkrét viselkedések a következők:
1) Rendszerhéjkód, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználása során.
2) A folyamatba injektált végrehajtható kép, például kódinjektálási támadás esetén.
3) Aktív hálózati kapcsolatok. A részletekért lásd alább a NetworkConnectionst.
4) Függvényhívások a biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekért tekintse meg az alábbi képességeket.
5) Folyamatüregesítés, amely egy olyan módszer, amelyet a kártevők használnak, amelyben egy szabályos folyamat van betöltve a rendszerbe, hogy ellenséges kód tárolójaként működjön.
6) Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
Védelem kijátszása, végrehajtás Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Windows)
A megadott folyamat memóriája fájl nélküli támadási eszközkészletet tartalmaz: [eszközkészlet neve]. A fájl nélküli támadási eszközkészletek olyan technikákat használnak, amelyek minimalizálják vagy kiküszöbölik a kártevők nyomait a lemezen, és jelentősen csökkentik a lemezalapú kártevő-ellenőrzési megoldások észlelésének esélyét. A konkrét viselkedések a következők:
1) Jól ismert eszközkészletek és kriptobányászati szoftverek.
2) Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kiaknázása során.
3) Rosszindulatú végrehajtható fájl beszúrása a folyamat memóriájába.
Védelem kijátszása, végrehajtás Közepes
Magas kockázatú szoftver észlelhető A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a szoftver a múltban kártevő telepítésével volt társítva. A rosszindulatú szoftverek terjesztésében gyakran használt módszer az, hogy becsomagoltuk az egyéb jóindulatú eszközökbe, például a riasztásban látottakba. Ezen eszközök használata esetén a kártevő csendesen telepíthető a háttérben. - Közepes
A helyi rendszergazdák csoport tagjait enumerálták A gépnaplók a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoport sikeres számbavételét jelzik. Pontosabban a(z) %{Enumerating User Domain Name}%{Enumerating User Name} távolról enumerálta a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoport tagjait. Ez a tevékenység lehet jogszerű tevékenység, vagy annak jelzése, hogy a szervezet egyik gépét feltörték, és a(z) %{vmname} felderítésére használták. - Tájékoztató
A CINK kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály [többször is látható] Tűzfalszabályt olyan technikákkal hoztak létre, amelyek megfelelnek egy ismert aktornak, a CINK-nek. A szabályt valószínűleg arra használták, hogy portot nyisson meg a(z) %{Compromised Host} kiszolgálón a parancsvezérlés & kommunikációjának engedélyezéséhez. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Magas
Rosszindulatú SQL-tevékenység A gépnaplók azt jelzik, hogy a(z) "%{process name}" műveletet a(z) %{felhasználónév} fiók hajtotta végre. Ez a tevékenység rosszindulatúnak minősül. - Magas
Több tartományi fiók lekérdezve A gazdagépadatok elemzése megállapította, hogy a rendszer szokatlan számú különböző tartományi fiókot kérdez le rövid időn belül a(z) %{Sérült gazdagép} helyről. Ez a fajta tevékenység jogos lehet, de egyben a kompromisszumra is utalhat. - Közepes
Lehetséges hitelesítőadat-memóriakép észlelve [többször is látható] A gazdagépadatok elemzése azt észlelte, hogy a natív Windows-eszközök (például sqldumper.exe) olyan módon vannak használatban, amely lehetővé teszi a hitelesítő adatok kinyerását a memóriából. A támadók gyakran használják ezeket a technikákat a hitelesítő adatok kinyerésére, amelyeket később tovább használnak az oldalirányú mozgáshoz és a jogosultságok eszkalálásához. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges kísérlet az AppLocker megkerülésére A(z) %{Compromised Host} gazdagépadatainak elemzése potenciális kísérletet észlelt az AppLocker-korlátozások megkerülésére. Az AppLocker konfigurálható úgy, hogy olyan szabályzatot implementáljon, amely korlátozza, hogy mely végrehajtható fájlok futtathatók Windows rendszeren. A riasztásban azonosítotthoz hasonló parancssori minta korábban olyan támadókkal volt társítva, akik megkísérlik megkerülni az AppLocker-szabályzatot megbízható végrehajtható fájlokkal (amelyeket az AppLocker-házirend engedélyez) a nem megbízható kód végrehajtásához. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Magas
PsExec-végrehajtás észlelhető
(VM_RunByPsExec)
A gazdagépadatok elemzése azt jelzi, hogy a(z) %{Process Name} folyamatot a PsExec segédprogram hajtotta végre. A PsExec a folyamatok távoli futtatására használható. Ez a technika rosszindulatú célokra használható. Oldalirányú mozgás, végrehajtás Tájékoztató
Zsarolóprogram-jelzők észlelhetők [többször is] A gazdaadatok elemzése a zárolási képernyővel és a titkosítási zsarolóprogramokkal hagyományosan társított gyanús tevékenységeket jelzi. A zárolási képernyő zsarolóprogramja egy teljes képernyős üzenetet jelenít meg, amely megakadályozza a gazdagép interaktív használatát és a fájlokhoz való hozzáférést. A titkosítási zsarolóprogramok adatfájlok titkosításával megakadályozzák a hozzáférést. Mindkét esetben általában megjelenik egy váltságdíj-üzenet, amely kifizetést kér a fájlhozzáférés helyreállításához. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Magas
Zsarolóprogram-jelzők észlelhetők A gazdaadatok elemzése a zárolási képernyővel és a titkosítási zsarolóprogramokkal hagyományosan társított gyanús tevékenységeket jelzi. A zárolási képernyő zsarolóprogramja egy teljes képernyős üzenetet jelenít meg, amely megakadályozza a gazdagép interaktív használatát és a fájlokhoz való hozzáférést. A titkosítási zsarolóprogramok adatfájlok titkosításával megakadályozzák a hozzáférést. Mindkét esetben általában megjelenik egy váltságdíj-üzenet, amely kifizetést kér a fájlhozzáférés helyreállításához. - Magas
Ritka SVCHOST szolgáltatáscsoport végrehajtva
(VM_SvcHostRunInRareServiceGroup)
Az SVCHOST rendszerfolyamat egy ritka szolgáltatáscsoport futtatását észlelte. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására. Védelem kijátszása, végrehajtás Tájékoztató
Ragadós kulcsok támadása észlelhető A gazdagépadatok elemzése azt jelzi, hogy egy támadó egy akadálymentes bináris fájlt (például beragadó billentyűket, képernyő-billentyűzetet, narrátort) fordíthat le, hogy háttérbeli hozzáférést biztosítson a(z) %{Compromised Host} gazdagéphez. - Közepes
Sikeres találgatásos támadás
(VM_LoginBruteForceSuccess)
A rendszer több bejelentkezési kísérletet észlelt ugyanabból a forrásból. Néhány sikeresen hitelesítve van a gazdagépen.
Ez egy hirtelen támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet tesz a fiók érvényes hitelesítő adatainak megkeresésére.
Kizsákmányolás Közepes/magas
A gyanús integritási szint rdP-eltérítésre utal A gazdagépadatok elemzése a SYSTEM jogosultságokkal futtatott tscon.exe észlelte – ez arra utalhat, hogy egy támadó visszaél ezzel a bináris fájllal, hogy a környezetet a gazdagép bármely más bejelentkezett felhasználójára váltsa; ez egy ismert támadói technika, amely további felhasználói fiókok feltörésére és oldalirányú mozgásra képes a hálózaton. - Közepes
Gyanús szolgáltatás telepítése A gazdagépadatok elemzése szolgáltatásként észlelte a tscon.exe telepítését: ez a szolgáltatásként indított bináris fájl lehetővé teszi a támadó számára, hogy az RDP-kapcsolatok eltérítésével triviálisan átváltson a gazdagépen bejelentkezett bármely más bejelentkezett felhasználóra; ez egy ismert támadói technika, amely további felhasználói fiókok feltörésére és oldalirányú mozgásra képes a hálózaton. - Közepes
Kerberos-arany jegyre gyanús támadási paraméterek észlelhetők A gazdagépadatok elemzése a Kerberos Golden Ticket-támadással konzisztens parancssori paramétereket észlelt. - Közepes
Gyanús fióklétrehozás észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy helyi fiók (%{Gyanús fióknév} ) létrehozása vagy használata történt: ez a fióknév nagyon hasonlít a(z) %{Similar To Account Name} windowsos fiókra vagy csoportnévre. Ez egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse. - Közepes
Gyanús tevékenység észlelhető
(VM_SuspiciousActivity)
A gazdagépadatok elemzése egy vagy több olyan folyamat sorozatát észlelte, amelyek a(z) %{machine name} gépen futnak, és korábban rosszindulatú tevékenységgel voltak társítva. Bár az egyes parancsok ártalmatlannak tűnhetnek, a riasztás értékelése a parancsok összességére vonatkozik. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. Futtatási Közepes
Gyanús hitelesítési tevékenység
(VM_LoginBruteForceValidUserFailed)
Bár egyik sem sikerült, a gazdagép felismert néhány használt fiókot. Ez hasonlít a szótár támadására, amelyben a támadó számos hitelesítési kísérletet hajt végre előre definiált fióknevek és jelszavak szótárával, hogy érvényes hitelesítő adatokat találjon a gazdagép eléréséhez. Ez azt jelzi, hogy a gazdagépfiókok nevei közül néhány létezhet egy jól ismert fióknév-szótárban. Ellenőrzés Közepes
Gyanús kódszegmens észlelhető Azt jelzi, hogy egy kódszegmens nem szabványos módszerekkel lett lefoglalva, például fényvisszaverő injektálással és folyamatüregesítéssel. A riasztás további jellemzőket biztosít a feldolgozott kódszegmenshez, hogy kontextust biztosítson a jelentett kódszegmens képességeihez és viselkedéséhez. - Közepes
Gyanús parancsvégrehajtás
(VM_SuspiciousCommandLineExecution)
A gépnaplók gyanús parancssori végrehajtást jeleznek a(z) %{user name} felhasználó által. Futtatási Magas
Gyanús dupla kiterjesztésű fájl futtatása A gazdagépadatok elemzése gyanús dupla kiterjesztésű folyamat végrehajtását jelzi. Ez a bővítmény ráveheti a felhasználókat arra, hogy úgy gondolják, a fájlok biztonságosan megnyithatók, és kártevők jelenlétét jelezhetik a rendszeren. - Magas
Gyanús letöltés a Certutil használatával [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogramot használ a tanúsítványok és tanúsítványadatok kezeléséhez kapcsolódó alapvető célú bináris fájl letöltése helyett. A támadókról ismert, hogy visszaélnek a megbízható rendszergazdai eszközök funkcióival rosszindulatú műveletek végrehajtásához, például certutil.exe használatával letöltenek és dekódolnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyanús letöltés észlelhető a Certutil használatával A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogramot használ a tanúsítványok és tanúsítványadatok kezeléséhez kapcsolódó alapvető célú bináris fájl letöltése helyett. A támadókról ismert, hogy visszaélnek a megbízható rendszergazdai eszközök funkcióival rosszindulatú műveletek végrehajtásához, például certutil.exe használatával letöltenek és dekódolnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. - Közepes
Egyéni szkriptbővítmény gyanús sikertelen végrehajtása a virtuális gépen
(VM_CustomScriptExtensionSuspiciousFailure)
A rendszer gyanús hibát észlelt egy egyéni szkriptbővítményben a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
Az ilyen hibák a bővítmény által futtatott rosszindulatú szkriptekkel lehetnek társítva.
Futtatási Közepes
Gyanús PowerShell-tevékenység észlelhető A gazdagépadatok elemzése olyan PowerShell-szkriptet észlelt, amely a(z) %{Compromised Host} kiszolgálón fut, és az ismert gyanús parancsfájlokkal közös funkciókkal rendelkezik. Ez a szkript lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Magas
Gyanús PowerShell-parancsmagok végrehajtása A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi. - Közepes
Gyanús folyamat végrehajtása [többször is látható] A gépnaplók azt jelzik, hogy a(z) "%{Suspicious Process}" gyanús folyamat futott a gépen, amely gyakran a hitelesítő adatok elérésére tett kísérletekkel kapcsolatos. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Magas
Gyanús folyamat lett végrehajtva A gépnaplók azt jelzik, hogy a(z) "%{Suspicious Process}" gyanús folyamat futott a gépen, amely gyakran a hitelesítő adatok elérésére tett kísérletekkel kapcsolatos. - Magas
Gyanús folyamatnév észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése gyanúsnak talált egy folyamatot, amely például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy arra utaló jel, hogy az egyik gépe sérült. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyanús folyamatnév észlelhető A(z) %{Compromised Host} gazdagépadatainak elemzése gyanúsnak talált egy folyamatot, amely például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy arra utaló jel, hogy az egyik gépe sérült. - Közepes
Gyanús folyamatvégzítési csúcs
(VM_TaskkillBurst)
A gazdagépadatok elemzése gyanús folyamatmegszakítási csúcsot jelez a következőben: %{Machine Name}. A(z) %{Begin} és a(z) %{End} között a(z) %{NumberOfCommands} folyamat le lett állítva. Védelmi kijátszás Alacsony
Gyanús screensaver-folyamat végrehajtva
(VM_SuspiciousScreenSaverExecution)
A(z) "%{process name}" folyamat végrehajtása nem gyakori helyről történt. A .scr kiterjesztésű fájlok képernyőkímélő fájlok, amelyek általában a Windows rendszerkönyvtárában találhatók és futnak. Védelem kijátszása, végrehajtás Közepes
Gyanús SQL-tevékenység A gépnaplók azt jelzik, hogy a(z) "%{process name}" műveletet a(z) %{felhasználónév} fiók hajtotta végre. Ez a tevékenység ritkán fordul elő ebben a fiókban. - Közepes
Gyanús SVCHOST-folyamat végrehajtva Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására. - Magas
Gyanús rendszerfolyamat végrehajtása
(VM_SystemProcessInAbnormalContext)
A(z) %{process name} rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran ezt a folyamatnevet használják rosszindulatú tevékenységének álcázására. Védelem kijátszása, végrehajtás Magas
Gyanús tevékenység a Kötet árnyékmásolatában A gazdagépadatok elemzése árnyékmásolat-törlési tevékenységet észlelt az erőforráson. A kötet árnyékmásolata (Volume Shadow Copy, VSC) az adatok pillanatképeit tároló fontos összetevő. Néhány kártevő és különösen a Ransomware a VSC-t célozza a biztonsági mentési stratégiák szabotálására. - Magas
Gyanús WindowPosition beállításazonosító észlelhető A(z) %{Compromised Host} gazdagépadatainak elemzése olyan WindowsPosition beállításjegyzék-konfigurációmódosítási kísérletet észlelt, amely az alkalmazásablakok elrejtését jelezheti az asztal nem látható szakaszaiban. Ez lehet jogszerű tevékenység, vagy egy feltört gépre utaló jelzés: ez a tevékenység korábban olyan ismert adware-ekkel (vagy nemkívánatos szoftverekkel) volt társítva, mint például a Win32/OneSystemCare és a Win32/SystemHealer, valamint olyan kártevőkkel, mint a Win32/Creprote. Ha a WindowPosition értéke 201329664 (hexadecimális: 0x0c00 0c00, amely az X tengely=0c00 és az Y tengely=0c00 értéknek felel meg), akkor a konzolalkalmazás ablaka a felhasználó képernyőjének egy nem látható szakaszára kerül a látható start menü/tálca alatti nézet elől elrejtett területen. Ismert hexadecimális hexadecimális érték, de nem kizárólagosan c000c000 - Alacsony
Gyanúsan elnevezett folyamat észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan folyamatot észlelt, amelynek a neve nagyon hasonló, de eltér egy nagyon gyakran futtatott folyamattól (%{Hasonló a folyamat nevéhez}). Bár ez a folyamat lehet jóindulatú támadók is ismert, hogy néha elrejtőznek egyszerű szem előtt azáltal, hogy a rosszindulatú eszközök hasonlítanak a törvényes folyamat neve. - Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések sérüléséhez.
Hitelesítő adatok elérése Közepes
Egyéni szkriptbővítmény szokatlan törlése a virtuális gépen
(VM_CustomScriptExtensionUnusualDeletion)
A rendszer szokatlan módon törölte az egyéni szkriptbővítményt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
A támadók egyéni szkriptbővítményekkel futtathatnak rosszindulatú kódot a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény szokatlan végrehajtása a virtuális gépen
(VM_CustomScriptExtensionUnusualExecution)
A rendszer egy egyéni szkriptbővítmény szokatlan végrehajtását észlelte a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
A támadók egyéni szkriptbővítményekkel futtathatnak rosszindulatú kódot a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Szokatlan folyamatvégrehajtás észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése szokatlan folyamat végrehajtását észlelte a(z) %{User Name} által. A(z) %{User Name} fiókok általában korlátozott számú műveletet hajtanak végre, ezért a végrehajtás nem karakteres, és gyanús lehet. - Magas
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítmény használatával alaphelyzetbe állítani egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörni azt.
Hitelesítő adatok elérése Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a VM Access bővítményt egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és feltörhetik azt.
Hitelesítő adatok elérése Közepes
VBScript HTTP-objektumlefoglalás észlelhető A rendszer VBScript-fájl parancssor használatával történő létrehozását észlelte. A következő szkript HTTP-objektumfoglalási parancsot tartalmaz. Ez a művelet rosszindulatú fájlok letöltésére használható. - Magas
Windows beállításjegyzékbeli adatmegőrzési módszer észlelhető
(VM_RegistryPersistencyKey)
A gazdagépadatok elemzése egy végrehajtható fájl windowsos beállításjegyzékben való megőrzésére tett kísérletet észlelt. A rosszindulatú folyamatok gyakran alkalmaznak ehhez hasonló technikákat, hogy a rendszer újraindítása után is megmaradjanak. Kitartás Alacsony

Linux rendszerű gépekre vonatkozó riasztások

A Microsoft Defender for Servers Plan 2 az Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Linux rendszerű gépekre vonatkozó riasztások a következők:

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
egy előzményfájl törölve lett A gazdagépadatok elemzése azt jelzi, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt tehetik a nyomaik elfedésére. A műveletet a(z) %{felhasználónév} felhasználó hajtotta végre. - Közepes
Htaccess-fájl elérése észlelhető
(VM_SuspectHtaccessFileAccess)
A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy htaccess-fájl lehetséges manipulálását észlelte. A Htaccess egy hatékony konfigurációs fájl, amely lehetővé teszi az Apache webszoftvert futtató webkiszolgálókon végzett több módosítást, beleértve az alapvető átirányítási funkciókat, vagy a speciálisabb funkciókat, például az alapvető jelszóvédelmet. A támadók gyakran módosítják a htaccess-fájlokat az általuk feltört gépeken az adatmegőrzés érdekében. Megőrzés, védelmi kijátszás, végrehajtás Közepes
Kártevőirtó széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
A rendszer a fájlkizárást a kártevőirtó bővítményből széles körű kizárási szabvánnyal észlelte a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
- Közepes
Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben.
A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
- Magas
A kártevőirtó le van tiltva a virtuális gépen
(VM_AmDisablement)
A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben.
A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Védelmi kijátszás Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
A fájl ki lett zárva a kártevőirtó-ellenőrzőből, miközben a kódot egy egyéni szkriptbővítményen keresztül hajtották végre a virtuális gépen. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás, végrehajtás Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmTempFileExclusionAndCodeExecution)
A rendszer ideiglenes fájlkizárást észlelt a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás, végrehajtás Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
A fájl ki van zárva a kártevőirtó-ellenőrzőből a virtuális gépen. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
A rendszer a kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A rendszer az előfizetés azure-Resource Manager műveleteinek elemzésével észlelte a virtuális gépen a kártevőirtó bővítmény valós idejű, az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan történő ideiglenes letiltását.
A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
- Magas
Kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőirtó-kampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó-bővítmény beolvasson bizonyos fájlokat, amelyek gyanúsan kapcsolódnak egy kártevőkampányhoz. A szabályt az előfizetés azure-Resource Manager műveleteinek elemzésével észlelte a rendszer. A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor vagy a gép kártevővel való megfertőzésekor. Védelmi kijátszás Közepes
A kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben.
A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
- Közepes
Kártevőirtók szokatlan fájlkizárása a virtuális gépen
(VM_UnusualAmFileExclusion)
A rendszer szokatlan fájlkizárást észlelt a kártevőirtó-bővítményből a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
A támadók kizárhatnak fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Védelmi kijátszás Közepes
A(z) [többször is látható] apt-daily-upgrade.timer szolgáltatás leállítása A(z) %{Sérült gazdagép} gazdagépadatainak elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. Néhány közelmúltbeli támadás során megfigyelték, hogy a támadók leállították ezt a szolgáltatást, rosszindulatú fájlokat tölthetnek le, és végrehajtási jogosultságokat biztosítanak a támadásukhoz. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Alacsony
Kísérlet az apt-daily-upgrade.timer szolgáltatás leállítására
(VM_TimerServiceDisabled)
A(z) %{Sérült gazdagép} gazdagépadatainak elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. Néhány közelmúltbeli támadás során megfigyelték, hogy a támadók leállították ezt a szolgáltatást, rosszindulatú fájlokat tölthetnek le, és végrehajtási jogosultságokat biztosítanak a támadásukhoz. Védelmi kijátszás Alacsony
A gyakran észlelt Linux-robotokhoz hasonló viselkedés [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy olyan folyamat végrehajtását észlelte, amely általában a gyakori Linux-botnetekhez van társítva. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Az észlelt linuxos robotokhoz hasonló viselkedés
(VM_CommonBot)
A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy olyan folyamat végrehajtását észlelte, amely általában a gyakori Linux-botnetekhez van társítva. Végrehajtás, gyűjtemény, parancs és vezérlés Közepes
A Fairware zsarolóvírushoz hasonló viselkedés észlelhető [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése észlelte a gyanús helyekre alkalmazott RM -rf parancsok végrehajtását. Mivel az rm -rf rekurzív módon törli a fájlokat, általában különálló mappákban használják. Ebben az esetben olyan helyen használják, amely sok adatot eltávolíthat. A Fairware ransomware ismert, hogy rm -rf parancsokat hajt végre ebben a mappában. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
A Fairware zsarolóprogramhoz hasonló viselkedés észlelhető
(VM_FairwareMalware)
A(z) %{Feltört gazdagép} gazdagépadatainak elemzése észlelte a gyanús helyekre alkalmazott RM -rf parancsok végrehajtását. Mivel az rm -rf rekurzív módon törli a fájlokat, általában különálló mappákban használják. Ebben az esetben olyan helyen használják, amely sok adatot eltávolíthat. A Fairware ransomware ismert, hogy rm -rf parancsokat hajt végre ebben a mappában. Futtatási Közepes
A észlelt zsarolóprogramhoz hasonló viselkedés [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan fájlok végrehajtását észlelte, amelyek hasonlóak az ismert zsarolóprogramokhoz, amelyek megakadályozhatják a felhasználókat abban, hogy hozzáférjenek a rendszerükhöz vagy személyes fájljaikhoz, és váltságdíjat követelnek a hozzáférés visszaszerzése érdekében. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Magas
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
A gyanús tartománnyal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A támadók gyakran végeznek rosszindulatú tartományokkal folytatott kommunikációt, ami azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés, megőrzés, végrehajtás, parancs és vezérlés, kihasználás Közepes
Tároló bányász rendszerképpel
(VM_MinerInContainerImage)
A gépi naplók egy Docker-tároló végrehajtását jelzik, amely egy digitális pénznembányászathoz társított rendszerképet futtat. Futtatási Magas
Kriptopénz-bányász végrehajtása
(VM_CryptoCoinMinerExecution)
A gazdagép-/eszközadatok elemzése azt észlelte, hogy egy folyamat nagyon hasonló módon indult el, mint egy érmebányászati folyamat. Futtatási Közepes
Egyéni szkriptbővítmény gyanús paranccsal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousCmd)
A rendszer gyanús parancsokat tartalmazó egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
A támadók egyéni szkriptbővítménnyel rosszindulatú kódot hajthatnak végre a virtuális gépen az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény gyanús belépési ponttal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A rendszer gyanús belépési ponttal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével. A belépési pont egy gyanús GitHub-adattárra hivatkozik.
A támadók egyéni szkriptbővítményekkel futtathatnak rosszindulatú kódot a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény gyanús hasznos adatokkal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousPayload)
A rendszer egy gyanús GitHub-adattárból származó hasznos adattal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
A támadók egyéni szkriptbővítményekkel futtathatnak rosszindulatú kódot a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
A felső és kisbetűs karakterek rendellenes kombinációját észlelte a parancssorban A(z) %{Sérült gazdagép} gazdagépadatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a minta, bár valószínűleg jóindulatú, jellemzően arra is jellemző, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen. - Közepes
Fájlletöltés észlelte egy ismert kártékony forrásból [többször is látható]
(VM_SuspectDownload)
A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a(z) %{Feltört gazdagép} szolgáltatásban. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] Jogosultságok eszkalálása, végrehajtása, kiszivárgása, parancsok és vezérlés Közepes
Ismert kártevő forrásból származó fájlletöltés észlelhető A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a(z) %{Feltört gazdagép} szolgáltatásban. - Közepes
Észlelt adatmegőrzési kísérlet [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy indítási szkript telepítését észlelte egyfelhasználós módban. Rendkívül ritka, hogy bármilyen jogszerű folyamatot ebben a módban kell végrehajtani, ezért ez azt jelezheti, hogy a támadó minden futtatási szinten rosszindulatú folyamatot adott hozzá a megőrzés garantálása érdekében. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Észlelt adatmegőrzési kísérlet
(VM_NewSingleUserModeStartupScript)
A gazdagépadatok elemzése azt észlelte, hogy egy egyfelhasználós módhoz készült indítási szkript lett telepítve.
Mivel ritka, hogy bármilyen jogszerű folyamatnak ilyen módban kell futnia, ez azt jelezheti, hogy a támadó minden futtatási szinten rosszindulatú folyamatot adott hozzá a megőrzés garantálása érdekében.
Kitartás Közepes
Gyanús fájlletöltés észlelhető [többször is látható] A gazdagépadatok elemzése gyanús távoli fájlletöltést észlelt a(z) %{Feltört gazdagép} szolgáltatásban. Ezt a viselkedést tízszer látták ma a következő gépeken: [Gép neve] - Alacsony
Gyanús fájlletöltés észlelhető
(VM_SuspectDownloadArtifacts)
A gazdagépadatok elemzése gyanús távoli fájlletöltést észlelt a(z) %{Feltört gazdagép} szolgáltatásban. Kitartás Alacsony
Gyanús hálózati tevékenység észlelhető A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen, bár valószínűleg jóindulatú forgalmat általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy feltört gazdagépre, és a felhasználói adatok kiszivárgása belőle. - Alacsony
A useradd parancs gyanús használatát észlelte [többször is látható] A gazdagépadatok elemzése a(z) %{Feltört gazdagép} useradd parancsának gyanús használatát észlelte. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
A useradd parancs gyanús használatát észlelte
(VM_SuspectUserAddition)
A gazdagépadatok elemzése a(z) %{Feltört gazdagép} useradd parancsának gyanús használatát észlelte. Kitartás Közepes
Digitális pénznembányászattal kapcsolatos viselkedés észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése a digitális pénznembányászathoz általában kapcsolódó folyamat vagy parancs végrehajtását észlelte. - Magas
Naplózott naplózás letiltása [többször is látható] A Linux-naplózási rendszer lehetővé teszi a rendszer biztonsági szempontból releváns információinak nyomon követését. A lehető legtöbb információt rögzíti a rendszeren zajló eseményekről. A naplózott naplózás letiltása akadályozhatja a rendszeren használt biztonsági szabályzatok megsértésének felderítését. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Alacsony
Kubernetes-csomóponton észlelt Docker-buildművelet
(VM_ImageBuildOnNode)
A gépnaplók egy Kubernetes-csomóponton lévő tárolórendszerkép buildelési műveletét jelzik. Bár ez a viselkedés jogos lehet, a támadók helyileg hozhatják létre a rosszindulatú képeket az észlelés elkerülése érdekében. Védelmi kijátszás Alacsony
Gyanús helyről futtatott végrehajtható fájl
(VM_SuspectExecutablePath)
A gazdagépadatok elemzése olyan végrehajtható fájlt észlelt a(z) %{Feltört gazdagép} webhelyen, amely az ismert gyanús fájlokkal közös helyen fut. Ez a végrehajtható fájl lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. Futtatási Magas
Xorg biztonsági rés kihasználása [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése gyanús argumentumokkal észlelte a Xorg felhasználóját. A támadók ezt a technikát használhatják a jogosultságeszkalációs kísérletekben. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Közzétett Docker-démon a TCP-szoftvercsatornán
(VM_ExposedDocker)
A gépnaplók azt jelzik, hogy a Docker-démon (dockerd) TCP-szoftvercsatornát tesz elérhetővé. Alapértelmezés szerint a Docker-konfiguráció nem használ titkosítást vagy hitelesítést, ha engedélyezve van a TCP-szoftvercsatornák használata. Ez lehetővé teszi a Docker-démon teljes hozzáférését bárki számára, aki hozzáfér a megfelelő porthoz. Végrehajtás, kizsákmányolás Közepes
Sikertelen SSH találgatásos támadás
(VM_SshBruteForceFailed)
A rendszer sikertelen találgatásos támadásokat észlelt a következő támadóktól: %{Támadók}. A támadók a következő felhasználónevekkel próbálták elérni a gazdagépet: %{A sikertelen bejelentkezéskor használt fiókok a gazdakísérletekhez}. Ellenőrzés Közepes
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Linux)
Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz.
Konkrét viselkedések: {megfigyelt viselkedések listája}
Futtatási Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Linux)
Az alább megadott folyamat memóriája fájl nélküli támadási technikára utaló bizonyítékokat tartalmaz. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést.
Konkrét viselkedések: {megfigyelt viselkedések listája}
Futtatási Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Linux)
Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést.
Konkrét viselkedések: {megfigyelt viselkedések listája}
Védelmi kijátszás, végrehajtás Magas
Rejtett fájlvégrehajtás észlelhető A gazdagépadatok elemzése azt jelzi, hogy egy rejtett fájlt %{felhasználónév} hajtott végre. Ez a tevékenység lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése. - Tájékoztató
A DDOS-eszközkészlethez társított mutatók észlelhetők [többször is láthatók] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan fájlneveket észlelt, amelyek a DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes körű irányítására képes kártevőkkel társított eszközkészlet részét képezik. Ez akár jogszerű tevékenység is lehet. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
A DDOS-eszközkészlethez társított mutatók észlelhetők
(VM_KnownLinuxDDoSToolkit)
A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan fájlneveket észlelt, amelyek a DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes körű irányítására képes kártevőkkel társított eszközkészlet részét képezik. Ez akár jogszerű tevékenység is lehet. Megőrzés, oldalirányú mozgás, végrehajtás, kihasználás Közepes
Helyi gazdagép felderítése észlelhető [többször is látható] A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy, a linuxos robotok gyakori felderítésével általában társított parancs végrehajtását észlelte. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Helyi gazdagép felderítése észlelhető
(VM_LinuxReconnaissance)
A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy, a linuxos robotok gyakori felderítésével általában társított parancs végrehajtását észlelte. Felderítés Közepes
A gazdagép tűzfalának manipulálása [többször is látható]
(VM_FirewallDisabled)
A(z) %{Sérült gazdagép} gazdagépadatainak elemzése a gazdagépen lévő tűzfal lehetséges manipulálását észlelte. A támadók ezt gyakran letiltják az adatok kiszűréséhez. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] Védelmi kijátszás, kiszivárgás Közepes
A gazdagép tűzfalának manipulálása észlelhető A(z) %{Sérült gazdagép} gazdagépadatainak elemzése a gazdagépen lévő tűzfal lehetséges manipulálását észlelte. A támadók ezt gyakran letiltják az adatok kiszűréséhez. - Közepes
MITRE Caldera-ügynök észlelhető
(VM_MitreCalderaTools)
A gépnaplók azt jelzik, hogy a(z) "%{Suspicious Process}" gyanús folyamat a(z) %{Feltört gazdagép} szolgáltatáson futott. Ezt gyakran társítják a MITRE 54ndc47 ügynökkel, amely rosszindulatúan támadhat más gépeket valamilyen módon. Mind Közepes
Új SSH-kulcs hozzáadva [többször is látható]
(VM_SshKeyAddition)
Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] Kitartás Alacsony
Új SSH-kulcs hozzáadva Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz - Alacsony
Lehetséges támadási eszköz észlelhető [többször is látható] A gépnaplók azt jelzik, hogy a(z) "%{Suspicious Process}" gyanús folyamat a(z) %{Feltört gazdagép} szolgáltatáson futott. Ez az eszköz gyakran olyan rosszindulatú felhasználókkal van társítva, akik valamilyen módon más gépeket támadnak meg. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges támadási eszköz észlelhető
(VM_KnownLinuxAttackTool)
A gépnaplók azt jelzik, hogy a(z) "%{Suspicious Process}" gyanús folyamat a(z) %{Feltört gazdagép} szolgáltatáson futott. Ez az eszköz gyakran olyan rosszindulatú felhasználókkal van társítva, akik valamilyen módon más gépeket támadnak meg. Végrehajtás, gyűjtemény, parancs és vezérlés, próba Közepes
Lehetséges backdoor észlelt [többször is látható] A gazdagépadatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le, majd futtatja a(z) %{Feltört gazdagép} helyen az előfizetésben. Ezt a tevékenységet korábban egy hátsó ajtó telepítésével társították. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető [többször is látható] A gépnaplók azt jelzik, hogy egy lehetséges ismert hitelesítőadat-hozzáférési eszköz futott a(z) %{Feltört gazdagép} szolgáltatáson, amelyet a következő folyamat indított el: "%{Suspicious Process}". Ezt az eszközt gyakran társítják a támadók a hitelesítő adatok elérésére tett kísérletekkel. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető
(VM_KnownLinuxCredentialAccessTool)
A gépnaplók azt jelzik, hogy egy lehetséges ismert hitelesítőadat-hozzáférési eszköz futott a(z) %{Feltört gazdagép} szolgáltatáson, amelyet a következő folyamat indított el: "%{Suspicious Process}". Ezt az eszközt gyakran társítják a támadók a hitelesítő adatok elérésére tett kísérletekkel. Hitelesítő adatok elérése Közepes
Lehetséges adatkiszivárgás [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése lehetséges kimenő adatforgalom-feltételt észlelt. A támadók gyakran lépnek ki adatokból a feltört gépekről. Ez a viselkedés [x]] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges adatkiszivárgás
(VM_DataEgressArtifacts)
A(z) %{Compromised Host} gazdagépadatainak elemzése lehetséges kimenő adatforgalom-feltételt észlelt. A támadók gyakran lépnek ki adatokból a feltört gépekről. Gyűjtés, kiszivárgás Közepes
A Hadoop Yarn lehetséges kiaknázása
(VM_HadoopYarnExploit)
A(z) %{Compromised Host} gazdagépadatainak elemzése a Hadoop Yarn szolgáltatás lehetséges kihasználását észlelte. Kizsákmányolás Közepes
A rendszer a mailserver lehetséges kihasználását észlelte
(VM_MailserverExploitation )
A(z) %{Compromised Host} gazdagépadatainak elemzése szokatlan végrehajtást észlelt a levelezési kiszolgáló fiókjában Kizsákmányolás Közepes
Lehetséges napló-módosítási tevékenység észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése olyan fájlok lehetséges eltávolítását észlelte, amelyek nyomon követik a felhasználó tevékenységét a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomokat a rosszindulatú tevékenységekről. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges naplózási módosítási tevékenység észlelhető
(VM_SystemLogRemoval)
A(z) %{Compromised Host} gazdagépadatainak elemzése olyan fájlok lehetséges eltávolítását észlelte, amelyek nyomon követik a felhasználó tevékenységét a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomokat a rosszindulatú tevékenységekről. Védelmi kijátszás Közepes
Lehetséges rosszindulatú webes rendszerhéj észlelhető [többször is látható]
(VM_Webshell)
A(z) %{Compromised Host} gazdagépadatainak elemzése lehetséges webes rendszerhéjat észlelt. A támadók gyakran töltenek fel egy webes rendszerhéjat egy olyan gépre, amely biztonsága sérül az adatmegőrzés vagy a további kiaknázás érdekében. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] Adatmegőrzés, hasznosítás Közepes
Lehetséges rosszindulatú webes rendszerhéj észlelhető A(z) %{Compromised Host} gazdagépadatainak elemzése lehetséges webes rendszerhéjat észlelt. A támadók gyakran töltenek fel egy webes rendszerhéjat egy olyan gépre, amely biztonsága sérül az adatmegőrzés vagy a további kiaknázás érdekében. - Közepes
Lehetséges jelszómódosítás titkosítási módszerrel [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése a jelszóváltoztatást észlelte titkosítási módszerrel. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a biztonság sérülése után. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyakori fájlok lehetséges felülírása [többször is látható] A gazdagépadatok elemzése azt észlelte, hogy a rendszer felülírta a(z) %{Feltört gazdagép} általános végrehajtható fájljait. A támadók felülírják a gyakori fájlokat, hogy elfedjék a műveleteiket vagy az adatmegőrzést. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyakori fájlok lehetséges felülírása
(VM_OverridingCommonFiles)
A gazdagépadatok elemzése azt észlelte, hogy a rendszer felülírta a(z) %{Feltört gazdagép} általános végrehajtható fájljait. A támadók felülírják a gyakori fájlokat, hogy elfedjék a műveleteiket vagy az adatmegőrzést. Kitartás Közepes
Lehetséges porttovábbítás külső IP-címre [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy porttovábbítást kezdeményeztek egy külső IP-címre. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges porttovábbítás külső IP-címre
(VM_SuspectPortForwarding)
A gazdagépadatok elemzése a porttovábbítás kezdeményezését észlelte egy külső IP-címre. Exfiltration, Command and Control Közepes
Lehetséges fordított felület észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése potenciális fordított felületet észlelt. Ezek arra szolgálnak, hogy egy feltört gép visszahívható legyen egy olyan gépre, amely a támadó tulajdonában van. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Lehetséges fordított felület észlelhető
(VM_ReverseShell)
A(z) %{Compromised Host} gazdagépadatainak elemzése potenciális fordított felületet észlelt. Ezek arra szolgálnak, hogy egy feltört gép visszahívható legyen egy olyan gépre, amely a támadó tulajdonában van. Kiszivárgás, hasznosítás Közepes
Privileged parancs futtatása a tárolóban
(VM_PrivilegedExecutionInContainer)
A gépnaplók azt jelzik, hogy egy emelt szintű parancsot futtattak egy Docker-tárolóban. A rendszerjogosított parancsok kiterjesztett jogosultságokkal rendelkezik a gazdagépen. Jogosultság eszkalációja Alacsony
Rendszerjogosított tároló észlelve
(VM_PrivilegedContainerArtifacts)
A gépnaplók azt jelzik, hogy egy emelt szintű Docker-tároló fut. A kiemelt tároló teljes hozzáféréssel rendelkezik a gazdagép erőforrásaihoz. Ha feltörik, a támadó az emelt szintű tárolóval férhet hozzá a gazdagéphez. Jogosultságeszkaláció, végrehajtás Alacsony
A digitális valutabányászattal kapcsolatos folyamat észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását észlelte. Ez a viselkedés ma több mint 100 alkalommal volt látható a következő gépeken: [Gép neve] - Közepes
A digitális pénznembányászattal társított folyamat észlelhető A gazdagépadatok elemzése olyan folyamat végrehajtását észlelte, amely általában a digitális pénznembányászathoz van társítva. Hasznosítás, végrehajtás Közepes
A folyamat szokatlan módon fér hozzá az SSH-val hitelesített kulcsok fájlhoz
(VM_SshKeyAccess)
Egy engedélyezett SSH-kulcsfájl az ismert kártevőkampányokhoz hasonló módon érhető el. Ez a hozzáférés azt jelezheti, hogy egy támadó állandó hozzáférést próbál szerezni egy géphez. - Alacsony
Python kódolású letöltő észlelve [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése olyan kódolt Python végrehajtását észlelte, amely kódot tölt le és futtat távoli helyről. Ez rosszindulatú tevékenységre utalhat. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Alacsony
A gazdagépen készült képernyőkép [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése egy képernyőrögzítő eszköz felhasználóját észlelte. A támadók ezekkel az eszközökkel férhetnek hozzá a személyes adatokhoz. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Alacsony
A szkriptbővítmény eltérést észlelt [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése eltérést észlelt a parancsfájl-értelmező és a bemenetként megadott szkriptfájl kiterjesztése között. Ezt gyakran társították támadószkript-végrehajtásokkal. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
A szkriptbővítmény eltérést észlelt
(VM_MismatchedScriptFeatures)
A(z) %{Compromised Host} gazdagépadatainak elemzése eltérést észlelt a parancsfájl-értelmező és a bemenetként megadott szkriptfájl kiterjesztése között. Ezt gyakran társították támadószkript-végrehajtásokkal. Védelmi kijátszás Közepes
Rendszerhéjkód észlelve [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a rendszerhéjkód a parancssorból jött létre. Ez a folyamat lehet jogszerű tevékenység, vagy arra utaló jel, hogy az egyik gépe sérült. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Az SSH-kiszolgáló egy tárolóban fut
(VM_ContainerSSH)
A gépnaplók azt jelzik, hogy egy SSH-kiszolgáló egy Docker-tárolóban fut. Bár ez a viselkedés szándékos is lehet, gyakran azt jelzi, hogy egy tároló helytelenül van konfigurálva vagy megsértve. Futtatási Közepes
Sikeres SSH találgatásos támadás
(VM_SshBruteForceSuccess)
A gazdagépadatok elemzése sikeres találgatásos támadást észlelt. A(z) %{Attacker source IP} IP-cím többszöri bejelentkezési kísérletet tett. Az IP-címről a következő felhasználókkal történt sikeres bejelentkezés: %{A gazdagépre való sikeres bejelentkezéshez használt fiókok}. Ez azt jelenti, hogy a gazdagépet egy rosszindulatú szereplő feltörheti és szabályozhatja. Kizsákmányolás Magas
Jelszófájl-hozzáférés gyanúja
(VM_SuspectPasswordFileAccess)
A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz. Kitartás Tájékoztató
Gyanús fióklétrehozás észlelhető A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy helyi fiók (%{Gyanús fióknév} ) létrehozása vagy használata történt: ez a fióknév nagyon hasonlít a(z) %{Similar To Account Name} windowsos fiókra vagy csoportnévre. Ez egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse. - Közepes
Gyanús fordítás észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése gyanús fordítást észlelt. A támadók gyakran fordítják le a biztonsági réseket egy olyan gépen, amelyen feltörték őket a jogosultságok eszkalálása érdekében. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyanús fordítás észlelhető
(VM_SuspectCompilation)
A(z) %{Compromised Host} gazdagépadatainak elemzése gyanús fordítást észlelt. A támadók gyakran fordítják le a biztonsági réseket egy olyan gépen, amelyen feltörték őket a jogosultságok eszkalálása érdekében. Jogosultságok eszkalálása, hasznosítása Közepes
Gyanús DNS Https-en keresztül
(VM_SuspiciousDNSOverHttps)
A gazdagépadatok elemzése a HTTPS-en keresztüli DNS-hívás szokatlan használatát jelzi. A támadók ezt a technikát használják arra, hogy elrejtsék a gyanús vagy rosszindulatú webhelyek felé irányuló hívásokat. DefenseEvasion, Exfiltration Közepes
Egyéni szkriptbővítmény gyanús sikertelen végrehajtása a virtuális gépen
(VM_CustomScriptExtensionSuspiciousFailure)
A rendszer gyanús hibát észlelt egy egyéni szkriptbővítményben a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
Az ilyen hibák a bővítmény által futtatott rosszindulatú szkriptekkel lehetnek társítva.
Futtatási Közepes
Gyanús kernelmodul észlelhető [többször is látható] A(z) %{Compromised Host} gazdagépadatainak elemzése azt észlelte, hogy a rendszer kernelmodulként betöltött egy megosztott objektumfájlt. Ez lehet jogszerű tevékenység, vagy arra utaló jel, hogy az egyik gépe sérült. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Közepes
Gyanús jelszó-hozzáférés [többször is látható] A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a(z) %{Feltört gazdagép} esetében. Ez a viselkedés [x] alkalommal volt látható ma a következő gépeken: [Gépnevek] - Tájékoztató
Gyanús jelszó-hozzáférés A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a(z) %{Feltört gazdagép} esetében. - Tájékoztató
Gyanús PHP-végrehajtás észlelhető
(VM_SuspectPhp)
A gépnaplók azt jelzik, hogy gyanús PHP-folyamat fut. A művelet tartalmazott egy kísérletet az operációs rendszer parancsainak vagy PHP-kódjának parancssorból való futtatására a PHP-folyamat használatával. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés olyan rosszindulatú tevékenységekben is megfigyelhető, mint a webhelyek webes felületekkel való megfertőzésére tett kísérletek. Futtatási Közepes
Gyanús kérés a Kubernetes API-hoz
(VM_KubernetesAPI)
A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat. LateralMovement Közepes
Gyanús kérés a Kubernetes-irányítópultra
(VM_KubernetesDashboard)
A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat. LateralMovement Közepes
Fenyegetés intel parancssori gyanús tartománya
(VM_ThreatIntelCommandLineSuspectDomain)
A "HOST" folyamat "PROCESSNAME" folyamata egy rosszindulatú vagy szokatlan helyhez kapcsolódik. Ez azt jelzi, hogy lehetséges, hogy biztonsági rés lépett fel. Kezdeti hozzáférés Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítmény használatával alaphelyzetbe állítani a konfigurációt a virtuális gépen, és veszélyeztetni azt.
Hitelesítő adatok elérése Közepes
Egyéni szkriptbővítmény szokatlan törlése a virtuális gépen
(VM_CustomScriptExtensionUnusualDeletion)
A rendszer szokatlan módon törölt egy egyéni szkriptbővítményt a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók egyéni szkriptbővítmények használatával rosszindulatú kódot hajthatnak végre a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Egyéni szkriptbővítmény szokatlan végrehajtása a virtuális gépen
(VM_CustomScriptExtensionUnusualExecution)
A rendszer egy egyéni szkriptbővítmény szokatlan végrehajtását észlelte a virtuális gépen az előfizetésben található Azure Resource Manager műveletek elemzésével.
A támadók egyéni szkriptbővítmények használatával rosszindulatú kódot hajthatnak végre a virtuális gépeken az Azure Resource Manager keresztül.
Futtatási Közepes
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítmény használatával alaphelyzetbe állítani egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörni azt.
Hitelesítő adatok elérése Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az előfizetés azure-Resource Manager műveleteinek elemzésével.
Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítmény használatával alaphelyzetbe állítani egy felhasználói fiók SSH-kulcsát a virtuális gépen, és feltörni azt.
Hitelesítő adatok elérése Közepes

Riasztások Azure App Service

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Linux-parancsok futtatása Windows App Service
(AppServices_LinuxCommandOnWindows)
A App Service folyamatok elemzése linuxos parancs windowsos App Service való futtatására tett kísérletet észlelt. Ezt a műveletet a webalkalmazás futtatta. Ez a viselkedés gyakran előfordul olyan kampányok során, amelyek egy gyakori webalkalmazás biztonsági rését használják ki.
(A következőkre vonatkozik: App Service Windows rendszeren)
- Közepes
Az Azure App Service FTP-adapterhez csatlakozó IP-cím megtalálható a fenyegetésfelderítésben
(AppServices_IncomingTiClientIpFtp)
Azure App Service FTP-napló egy, a fenyegetésfelderítési hírcsatornában található forráscímről származó kapcsolatot jelez. A kapcsolat során egy felhasználó hozzáfért a felsorolt lapokhoz.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Kezdeti hozzáférés Közepes
A rendszer magas jogosultsági szintű parancs futtatására tett kísérletet észlelt
(AppServices_HighPrivilegeCommand)
A App Service folyamatok elemzése olyan parancs futtatására tett kísérletet észlelt, amely magas szintű jogosultságokat igényel.
A parancs a webalkalmazás környezetében futott. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységekben is megfigyelhető.
(A következőkre vonatkozik: App Service Windows rendszeren)
- Közepes
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
A gyanús tartománnyal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományokkal való kommunikációt gyakran a támadók végzik, ami azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés, megőrzés, végrehajtás, parancs és ellenőrzés, hasznosítás Közepes
Kapcsolódás a weblaphoz rendellenes IP-címről
(AppServices_AnomalousPageAccess)
Azure App Service tevékenységnapló rendellenes kapcsolatot jelez egy bizalmas weblaphoz a felsorolt forrás IP-címről. Ez azt jelezheti, hogy valaki találgatásos támadást kísérel meg a webalkalmazás felügyeleti lapjaira. Ennek az is lehet az eredménye, hogy egy megbízható felhasználó új IP-címet használ. Ha a forrás IP-címe megbízható, nyugodtan letilthatja ezt a riasztást ehhez az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Microsoft Defender for Cloud riasztásainak mellőzése című témakörben talál.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Kezdeti hozzáférés Alacsony
A rendszer egy App Service-erőforráshoz tartozó dangling DNS-rekordot észlelt
(AppServices_DanglingDomain)
A rendszer egy nemrégiben törölt App Service erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Így hajlamos lesz egy altartomány-átvételre. Az altartomány-átvételek lehetővé teszik, hogy a rosszindulatú szereplők átirányítsák a szervezet tartományához szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
- Magas
Kódolt végrehajtható fájl észlelhető a parancssori adatokban
(AppServices_Base64EncodedExecutableInCommandLineParams)
A(z) {Compromised host} gazdagépadatainak elemzése base-64 kódolású végrehajtható fájlt észlelt. Ez korábban olyan támadókkal volt társítva, amelyek menet közben próbálnak végrehajtható fájlokat létrehozni egy parancssorozaton keresztül, és megpróbálták elkerülni a behatolásészlelő rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy feltört gazdagép jelzése.
(A következőkre vonatkozik: App Service Windows rendszeren)
Védelem kijátszása, végrehajtás Magas
Ismert kártevő forrásból származó fájlletöltés észlelhető
(AppServices_SuspectDownload)
A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásból a gazdagépen.
(A következőkre vonatkozik: App Service on Linux)
Jogosultságeszkaláció, végrehajtás, kiszivárgás, parancs és vezérlés Közepes
Gyanús fájlletöltés észlelhető
(AppServices_SuspectDownloadArtifacts)
A gazdagépadatok elemzése gyanús távoli fájlletöltést észlelt.
(A következőkre vonatkozik: App Service on Linux)
Kitartás Közepes
Digitális pénznembányászattal kapcsolatos viselkedés észlelhető
(AppServices_DigitalCurrencyMining)
Az Inn-Flow-WebJobs gazdaadatainak elemzése egy digitális pénznembányászathoz általában kapcsolódó folyamat vagy parancs végrehajtását észlelte.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Futtatási Magas
Végrehajtható dekódolás a certutil használatával
(AppServices_ExecutableDecodedUsingCertutil)
A [feltört entitás] gazdagépadatainak elemzése azt észlelte, hogy a rendszer certutil.exe, egy beépített rendszergazdai segédprogramot használ egy végrehajtható fájl dekódolására a tanúsítványok és a tanúsítványadatok kezeléséhez kapcsolódó alapvető célja helyett. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt.
(A következőkre vonatkozik: App Service Windows rendszeren)
Védelem kijátszása, végrehajtás Magas
Fájl nélküli támadási viselkedés észlelhető
(AppServices_FilelessAttackBehaviorDetection)
Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz.
Konkrét viselkedések: {a megfigyelt viselkedések listája}
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Futtatási Közepes
Fájl nélküli támadási technika észlelhető
(AppServices_FilelessAttackTechniqueDetection)
Az alább megadott folyamat memóriája fájl nélküli támadási technikára utaló bizonyítékokat tartalmaz. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést.
Konkrét viselkedések: {a megfigyelt viselkedések listája}
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Futtatási Magas
Fájl nélküli támadási eszközkészlet észlelhető
(AppServices_FilelessAttackToolkitDetection)
Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést.
Konkrét viselkedések: {a megfigyelt viselkedések listája}
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Védelem kijátszása, végrehajtás Magas
Microsoft Defender for Cloud test alert for App Service (nem fenyegetés)
(AppServices_EICAR)
Ez a Microsoft Defender for Cloud által létrehozott tesztriasztás. Nincs szükség további műveletre.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
- Magas
NMap-vizsgálat észlelhető
(AppServices_Nmap)
Azure App Service tevékenységnapló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez az App Service-erőforráson.
Az észlelt gyanús tevékenység az NMAP-hoz van társítva. A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági rések kereséséhez.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Előzetes kiosztás Közepes
Az Azure WebAppsben üzemeltetett adathalász tartalom
(AppServices_PhishingContent)
Az Azure AppServices webhelyén található adathalász támadáshoz használt URL-cím. Ez az URL-cím egy Microsoft 365-ügyfeleknek küldött adathalász támadás része volt. A tartalom általában arra csábítja a látogatókat, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy legitim megjelenésű webhelyre írjanak be.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Gyűjtemény Magas
PHP-fájl a feltöltési mappában
(AppServices_PhpInUploadFolder)
Azure App Service tevékenységnapló a feltöltési mappában található gyanús PHP-laphoz való hozzáférést jelzi.
Ez a mappatípus általában nem tartalmaz PHP-fájlokat. Az ilyen típusú fájlok megléte arra utalhat, hogy kihasználják a fájlok tetszőleges feltöltési biztonsági réseit.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Futtatási Közepes
Lehetséges cryptocoinminer letöltés észlelhető
(AppServices_CryptoCoinMinerDownload)
A gazdagépadatok elemzése a digitális pénznembányászathoz általában kapcsolódó fájl letöltését észlelte.
(A következőkre vonatkozik: App Service on Linux)
Védelmi kijátszás, irányítás és ellenőrzés, hasznosítás Közepes
Lehetséges adatkiszivárgás észlelhető
(AppServices_DataEgressArtifacts)
A gazdagép/eszköz adatainak elemzése lehetséges adatforgalom-feltételt észlelt. A támadók gyakran lépnek ki adatokból a feltört gépekről.
(A következőkre vonatkozik: App Service on Linux)
Gyűjtés, kiszivárgás Közepes
Egy App Service-erőforrás potenciálisan dangoló DNS-rekordját észlelte
(AppServices_PotentialDanglingDomain)
A rendszer egy nemrégiben törölt App Service erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Ez érzékeny lehet egy altartomány-átvételre. Az altartomány-átvételek lehetővé teszik, hogy a rosszindulatú szereplők átirányítsák a szervezet tartományához szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre. Ebben az esetben a rendszer egy szöveges rekordot talált a tartomány-ellenőrzési azonosítóval. Az ilyen szöveges rekordok megakadályozzák az altartományok átvételét, de továbbra is azt javasoljuk, hogy távolítsa el a dangling tartományt. Ha a DNS-rekordot arra az altartományra mutatja, amely veszélynek van kitéve, ha a szervezet bármely tagja a jövőben törli a TXT-fájlt vagy -rekordot.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
- Alacsony
Lehetséges fordított felület észlelhető
(AppServices_ReverseShell)
A gazdagépadatok elemzése potenciális fordított felületet észlelt. Ezek arra szolgálnak, hogy egy feltört gép visszahívható legyen egy olyan gépre, amely a támadó tulajdonában van.
(A következőkre vonatkozik: App Service on Linux)
Kiszivárgás, hasznosítás Közepes
Nyers adatletöltés észlelhető
(AppServices_DownloadCodeFromWebsite)
A App Service folyamatok elemzése olyan nyersadat-webhelyekről kísérelt meg kódot letölteni, mint például a Pastebin. Ezt a műveletet egy PHP-folyamat futtatta. Ez a viselkedés webes rendszerhéjak vagy más rosszindulatú összetevők App Service való letöltésére tett kísérletekhez kapcsolódik.
(A következőkre vonatkozik: App Service Windows rendszeren)
Futtatási Közepes
Curl-kimenet mentése lemezre észlelve
(AppServices_CurlToDisk)
A App Service folyamatok elemzése egy curl-parancs futtatását észlelte, amely a kimenetet a lemezre mentette. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés olyan rosszindulatú tevékenységekben is megfigyelhető, mint a webhelyek webes felületekkel való megfertőzésére tett kísérletek.
(A következőkre vonatkozik: App Service Windows rendszeren)
- Alacsony
Levélszemétmappa-hivatkozó észlelve
(AppServices_SpamReferrer)
Azure App Service tevékenységnapló azt a webes tevékenységet jelzi, amelyet levélszemét-tevékenységgel társított webhelyről származóként azonosítottak. Ez akkor fordulhat elő, ha a webhely biztonsága sérül, és levélszemét-tevékenységhez használják.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
- Alacsony
Gyanús hozzáférés észlelhető a sebezhető weblaphoz
(AppServices_ScanSensitivePage)
Azure App Service tevékenységnapló egy olyan weblapot jelez, amely látszólag bizalmas. Ez a gyanús tevékenység egy olyan forrás IP-címről származik, amelynek hozzáférési mintája hasonlít egy webes képolvasóéra.
Ez a tevékenység gyakran ahhoz kapcsolódik, hogy egy támadó megpróbálja átvizsgálni a hálózatot, és megpróbál hozzáférni a bizalmas vagy sebezhető weblapokhoz.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
- Alacsony
Gyanús tartománynév-hivatkozás
(AppServices_CommandlineSuspectDomain)
Az észlelt gazdagépadatok elemzése gyanús tartománynévre mutató hivatkozással. Az ilyen tevékenység, bár lehetséges, hogy jogos felhasználói viselkedés, gyakran jelzi a letöltését vagy végrehajtását rosszindulatú szoftver. A támadók jellemző tevékenysége valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magában foglalja.
(A következőkre vonatkozik: App Service on Linux)
Kiszivárgás Alacsony
Gyanús letöltés észlelhető a Certutil használatával
(AppServices_DownloadUsingCertutil)
A(z) {NAME} gazdagépadatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogramot használ a tanúsítványok és tanúsítványadatok kezeléséhez kapcsolódó alapvető célú bináris fájl letöltése helyett. A támadókról ismert, hogy visszaélnek a megbízható rendszergazdai eszközök funkcióival rosszindulatú műveletek végrehajtásához, például certutil.exe használatával letöltenek és dekódolnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak.
(A következőkre vonatkozik: App Service Windows rendszeren)
Futtatási Közepes
Gyanús PHP-végrehajtás észlelhető
(AppServices_SuspectPhp)
A gépnaplók azt jelzik, hogy gyanús PHP-folyamat fut. A művelet tartalmazott egy operációsrendszer-parancsok vagy PHP-kód parancssorból történő futtatására tett kísérletet a PHP-folyamat használatával. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységeket jelezhet, például a webhelyek webes felülettel való megfertőzésére tett kísérleteket.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Futtatási Közepes
Gyanús PowerShell-parancsmagok végrehajtása
(AppServices_PowerShellPowerSploitScriptExecution)
A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi.
(A következőkre vonatkozik: App Service Windows rendszeren)
Futtatási Közepes
Gyanús folyamat lett végrehajtva
(AppServices_KnownCredential AccessTools)
A gépnaplók azt jelzik, hogy a gyanús folyamat( %{process path}) futott a gépen, gyakran a támadók megpróbálják elérni a hitelesítő adatokat.
(A következőkre vonatkozik: App Service Windows rendszeren)
Hitelesítő adatok elérése Magas
Gyanús folyamatnév észlelhető
(AppServices_ProcessWithKnownSuspiciousExtension)
A(z) {NAME} gazdagépadatainak elemzése olyan folyamatot észlelt, amelynek neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadói eszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy arra utaló jel, hogy az egyik gépe sérült.
(A következőkre vonatkozik: App Service Windows rendszeren)
Megőrzés, védelem kijátszása Közepes
Gyanús SVCHOST-folyamat végrehajtva
(AppServices_SVCHostFromInvalidPath)
Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-ot a rosszindulatú tevékenységek maszkolására.
(A következőkre vonatkozik: App Service Windows rendszeren)
Védelem kijátszása, végrehajtás Magas
Gyanús felhasználói ügynök észlelhető
(AppServices_UserAgentInjection)
Azure App Service tevékenységnapló gyanús felhasználói ügynökkel rendelkező kéréseket jelez. Ez a viselkedés arra utalhat, hogy megkísérel biztonsági rést kihasználni az App Service alkalmazásban.
(A következőkre vonatkozik: windowsos és App Service on Linux App Service)
Kezdeti hozzáférés Közepes
Gyanús WordPress-témahívás észlelhető
(AppServices_WpThemeInjection)
Azure App Service tevékenységnapló egy lehetséges kódinjektálási tevékenységet jelez a App Service erőforráson.
Az észlelt gyanús tevékenység hasonlít a WordPress-téma módosítására a kód kiszolgálóoldali végrehajtásának támogatásához, majd egy közvetlen webes kérés a manipulált témafájl meghívásához.
Ezt a fajta tevékenységet a múltban a WordPress elleni támadási kampány részeként látták.
Ha a App Service erőforrás nem üzemeltet WordPress-webhelyet, akkor nem sebezhető ez a kódinjektálási biztonsági rés, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról a Microsoft Defender for Cloud riasztásainak mellőzése című témakörben olvashat.
(A következőkre vonatkozik: App Service Windowson és App Service on Linux)
Futtatási Magas
Biztonságirés-ellenőrző észlelhető
(AppServices_DrupalScanner)
Azure App Service tevékenységnapló azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak a App Service erőforráson.
Az észlelt gyanús tevékenység hasonlít a tartalomkezelő rendszert (CMS) célzó eszközökre.
Ha a App Service-erőforrás nem üzemeltet Drupal-webhelyet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról a Microsoft Defender for Cloud riasztásainak mellőzése című témakörben olvashat.
(A következőkre vonatkozik: App Service Windows rendszeren)
Előzetes kiosztás Közepes
Biztonságirés-ellenőrző észlelhető
(AppServices_JoomlaScanner)
Azure App Service tevékenységnapló azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak a App Service erőforráson.
Az észlelt gyanús tevékenység hasonló a Joomla-alkalmazásokat célzó eszközökhöz.
Ha a App Service erőforrás nem Joomla-webhelyet üzemeltet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról a Microsoft Defender for Cloud riasztásainak mellőzése című témakörben olvashat.
(A következőkre vonatkozik: App Service Windowson és App Service on Linux)
Előzetes kiosztás Közepes
Biztonságirés-ellenőrző észlelhető
(AppServices_WpScanner)
Azure App Service tevékenységnapló azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak a App Service erőforráson.
Az észlelt gyanús tevékenység hasonló a WordPress-alkalmazásokat célzó eszközökhöz.
Ha a App Service erőforrás nem üzemeltet WordPress-webhelyet, akkor nem sebezhető ez a kódinjektálási biztonsági rés, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról a Microsoft Defender for Cloud riasztásainak mellőzése című témakörben olvashat.
(A következőkre vonatkozik: App Service Windowson és App Service on Linux)
Előzetes kiosztás Közepes
Webes ujjlenyomat-készítés észlelhető
(AppServices_WebFingerprinting)
Azure App Service tevékenységnapló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez a App Service erőforráson.
A észlelt gyanús tevékenység egy Vak elefánt nevű eszközzel van társítva. Az eszköz ujjlenyomat-webkiszolgálók, és megpróbálja észlelni a telepített alkalmazásokat és verziót.
A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági rések kereséséhez.
(A következőkre vonatkozik: App Service Windowson és App Service on Linux)
Előzetes kiosztás Közepes
A webhely kártevőként van megjelölve a fenyegetésfelderítési hírcsatornában
(AppServices_SmartScreen)
Webhelyét a Windows SmartScreen rosszindulatú webhelyként jelöli meg az alábbiak szerint. Ha úgy gondolja, hogy ez tévesen pozitív, lépjen kapcsolatba a Windows SmartScreen szolgáltatással a kapott visszajelzési hivatkozáson keresztül.
(A következőkre vonatkozik: App Service Windowson és App Service on Linux)
Gyűjtemény Közepes

Tárolókra vonatkozó riasztások – Kubernetes-fürtök

A Microsoft Defender for Containers biztonsági riasztásokat biztosít a fürt szintjén és a mögöttes fürtcsomópontokon a vezérlősík (API-kiszolgáló) és maga a tárolóalapú számítási feladat figyelésével. A vezérlősík biztonsági riasztásai a riasztástípus előtagjával K8S_ ismerhetők fel. A fürtök futásidejű számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_ riasztástípus előtagja ismerheti fel. Az összes riasztás csak Linux rendszeren támogatott, kivéve, ha másként van jelezve.

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Új Linux-névtér létrehozása egy észlelt tárolóból
(K8S. NODE_NamespaceCreation) 1
A Kubernetes-fürtben egy tárolóban futó folyamatok elemzése egy új Linux-névtér létrehozására tett kísérletet észlelt. Bár ez a viselkedés jogos lehet, azt jelezheti, hogy egy támadó megpróbál elmenekülni a tárolóból a csomópontra. Néhány CVE-2022-0185 kihasználtság ezt a technikát használja. PrivilegeEscalation Közepes
Törölve lett egy előzményfájl
(K8S. NODE_HistoryFileCleared) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt tehetik a nyomaik elfedésére. A műveletet a megadott felhasználói fiók hajtotta végre. DefenseEvasion Közepes
A Kuberneteshez társított felügyelt identitás rendellenes tevékenysége (előzetes verzió)
(K8S_AbnormalMiAcitivty)
Az Azure Resource Manager műveletek elemzése egy AKS-bővítmény által használt felügyelt identitás rendellenes viselkedését észlelte. Az észlelt tevékenység nem összhangban van a társított bővítmény viselkedésével. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy az identitást egy támadó szerezte, valószínűleg egy, a Kubernetes-fürtben található sérült tárolóból. Oldalirányú mozgás Közepes
Rendellenes Kubernetes-szolgáltatásfiók-művelet észlelhető
(K8S_ServiceAccountRareOperation)
A Kubernetes auditnapló-elemzése rendellenes viselkedést észlelt a Kubernetes-fürtben található szolgáltatásfiókok által. A szolgáltatásfiókot olyan művelethez használták, amely nem gyakori ehhez a szolgáltatásfiókhoz. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy a szolgáltatásfiókot rosszindulatú célokra használják. Oldalirányú mozgás, hitelesítő adatok elérése Közepes
Nem gyakori kapcsolati kísérlet észlelhető
(K8S. NODE_SuspectConnection) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése nem gyakori csatlakozási kísérletet észlelt egy zokniprotokoll használatával. Ez a normál műveletekben nagyon ritka, de a hálózati réteg észleléseit megkerülni próbáló támadók egyik ismert technikája. Végrehajtás, kiszivárgás, kizsákmányolás Közepes
Rendellenes pod üzembe helyezése (előzetes verzió)
(K8S_AnomalousPodDeployment) 3
A Kubernetes naplóelemzése podtelepítést észlelt, amely a pod korábbi üzembehelyezési tevékenysége alapján rendellenes. Ezt a tevékenységet anomáliának tekintjük, ha figyelembe vesszük, hogy az üzembe helyezési műveletben látott különböző funkciók hogyan viszonyulnak egymáshoz. A figyelt funkciók közé tartozik a használt tárolórendszerkép-beállításjegyzék, az üzembe helyezést végző fiók, a hét napja, a podok üzembe helyezésének gyakorisága, a műveletben használt felhasználói ügynök, hogy ez egy névtér, amelyre a podok központi telepítése gyakran történik, és egyéb funkciók. A riasztás rendellenes tevékenységként való emelésének leggyakoribb okait a riasztás kiterjesztett tulajdonságai részletezik. Futtatási Közepes
Kísérlet az apt-daily-upgrade.timer szolgáltatás leállítására
(K8S. NODE_TimerServiceDisabled) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. Megfigyelték, hogy a támadók leállították ezt a szolgáltatást, hogy rosszindulatú fájlokat töltsenek le, és végrehajtási jogosultságokat adjanak a támadásaikhoz. Ez a tevékenység akkor is előfordulhat, ha a szolgáltatást normál felügyeleti műveletekkel frissítik. DefenseEvasion Tájékoztató
Az észlelt gyakori Linux-robotokhoz hasonló viselkedés (előzetes verzió)
(K8S. NODE_CommonBot)
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy, a szokásos Linux-robothálózatokhoz általában kapcsolódó folyamat végrehajtását észlelte. Végrehajtás, gyűjtemény, parancs és vezérlés Közepes
Az észlelt Fairware ransomware-hez hasonló viselkedés
(K8S. NODE_FairwareMalware) 1
A tárolón belül futó folyamatok elemzése észlelte a gyanús helyekre alkalmazott RM -rf parancsok végrehajtását. Mivel az rm -rf rekurzívan törli a fájlokat, általában különálló mappákban használják. Ebben az esetben olyan helyen használják, amely sok adatot eltávolíthat. A Fairware ransomware ismert, hogy rm -rf parancsokat hajt végre ebben a mappában. Futtatási Közepes
Parancs magas jogosultságokkal futó tárolón belül
(K8S. NODE_PrivilegedExecutionInContainer) 1
A gépnaplók azt jelzik, hogy egy emelt szintű parancsot futtattak egy Docker-tárolóban. A rendszerjogosított parancsok kiterjesztett jogosultságokkal rendelkezik a gazdagépen. PrivilegeEscalation Alacsony
Emelt szintű módban futó tároló
(K8S. NODE_PrivilegedContainerArtifacts) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy kiemelt tárolót futtató Docker-parancs végrehajtását észlelte. A kiemelt tároló teljes hozzáféréssel rendelkezik az üzemeltetési podhoz vagy a gazdagép erőforrásához. Ha sérült a biztonság, a támadó az emelt szintű tárolóval férhet hozzá az üzemeltető podhoz vagy gazdagéphez. PrivilegeEscalation, Execution Alacsony
Tároló érzékeny kötetcsatlakoztatással
(K8S_SensitiveMount)
A Kubernetes auditnapló-elemzése bizalmas kötetcsatlakoztatású új tárolót észlelt. Az észlelt kötet egy hostPath-típus, amely egy bizalmas fájlt vagy mappát csatlakoztat a csomópontról a tárolóhoz. Ha a tároló biztonsága sérül, a támadó ezt a csatlakoztatást használhatja a csomóponthoz való hozzáféréshez. Jogosultság eszkalációja Közepes
CoreDNS-módosítás észlelhető a Kubernetesben
(K8S_CoreDnsModification) 23
A Kubernetes auditnapló-elemzése a CoreDNS-konfiguráció módosítását észlelte. A CoreDNS konfigurációja a konfigurációs térkép felülírásával módosítható. Bár ez a tevékenység jogos lehet, ha a támadók rendelkeznek engedéllyel a konfigurációtérkép módosításához, megváltoztathatják a fürt DNS-kiszolgálójának viselkedését, és megmérgezhetik azt. Oldalirányú mozgás Alacsony
A rendszer a belépés webhook-konfigurációjának létrehozását észlelte
(K8S_AdmissionController) 3
A Kubernetes auditnapló-elemzése új belépési webhook-konfigurációt észlelt. A Kubernetes két beépített általános belépésvezérlővel rendelkezik: MutatingAdmissionWebhook és ValidatingAdmissionWebhook. Ezeknek a belépésvezérlőknek a viselkedését a felhasználó által a fürtön üzembe helyezett belépési webhook határozza meg. Az ilyen belépésvezérlők használata jogszerű lehet, de a támadók használhatják ezeket a webhookokat a kérések módosításához (a MutatingAdmissionWebhook esetében), vagy megvizsgálhatják a kéréseket, és bizalmas információkat szerezhetnek (a ValidatingAdmissionWebhook esetében). Hitelesítő adatokhoz való hozzáférés, adatmegőrzés Alacsony
Ismert kártevő forrásból származó fájlletöltés észlelhető
(K8S. NODE_SuspectDownload) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy fájl letöltését észlelte egy olyan forrásból, amelyet gyakran használnak kártevők terjesztésére. PrivilegeEscalation, Execution, Exfiltration, Command And Control Közepes
Gyanús fájlletöltés észlelhető
(K8S. NODE_SuspectDownloadArtifacts) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús távoli fájlletöltést észlelt. Kitartás Alacsony
A nohup parancs gyanús használatát észlelte
(K8S. NODE_SuspectNohup) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése gyanús nohup parancs használatát észlelte. A támadók a parancs nohup parancsával rejtett fájlokat futtathatnak egy ideiglenes könyvtárból, hogy a végrehajtható fájlok a háttérben fussanak. Ritkán fordul elő, hogy ez a parancs egy ideiglenes könyvtárban található rejtett fájlokon fut. Adatmegőrzés, DefenseEvasion Közepes
A useradd parancs gyanús használatát észlelte
(K8S. NODE_SuspectUserAddition) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése gyanús felhasználótovábbítási parancs használatát észlelte. Kitartás Közepes
Digitális pénznembányászati tároló észlelhető
(K8S_MaliciousContainerImage) 3
A Kubernetes auditnapló-elemzése egy digitális pénznembányászati eszközhöz társított rendszerképpel rendelkező tárolót észlelt. Futtatási Magas
Digitális pénznembányászattal kapcsolatos viselkedés észlelhető
(K8S. NODE_DigitalCurrencyMining) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy, a digitális pénznembányászathoz általában kapcsolódó folyamat vagy parancs végrehajtását észlelte. Futtatási Magas
Kubernetes-csomóponton észlelt Docker-buildművelet
(K8S. NODE_ImageBuildOnNode) 1
A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy tárolórendszerkép buildelési műveletét észlelte egy Kubernetes-csomóponton. Bár ez a viselkedés jogos lehet, a támadók helyileg hozhatják létre a rosszindulatú képeket az észlelés elkerülése érdekében. DefenseEvasion Alacsony
Túlzott szerepköri engedélyek hozzárendelése a Kubernetes-fürtben (előzetes verzió)
(K8S_ServiceAcountPermissionAnomaly) 3
A Kubernetes auditnaplóinak elemzése túlzott engedély-szerepkör-hozzárendelést észlelt a fürthöz. A hozzárendelt szerepkörökhöz tartozó felsorolt engedélyek nem gyakoriak az adott szolgáltatásfiókban. Ez az észlelés figyelembe veszi a korábbi szerepkör-hozzárendeléseket ugyanarra a szolgáltatásfiókra az Azure által figyelt fürtökben, az engedélyenkénti köteteket és az adott engedély hatását. A riasztáshoz használt anomáliadetektálási modell figyelembe veszi, hogyan használja ezt az engedélyt a Microsoft Defender for Cloud által figyelt összes fürtön. Jogosultság eszkalációja Alacsony
Gyanús helyről futtatott végrehajtható fájl (előzetes verzió)
(K8S. NODE_SuspectExecutablePath)
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan végrehajtható fájlt észlelt, amely az ismert gyanús fájlokhoz társított helyről fut. Ez a végrehajtható fájl lehet jogszerű tevékenység, vagy egy feltört rendszer jelzése. Futtatási Közepes
Közzétett Kubeflow-irányítópult észlelve
(K8S_ExposedKubeflow)
A Kubernetes auditnapló-elemzése azt észlelte, hogy egy terheléselosztó ki van téve az Istio bejövő forgalmának egy Kubeflow-t futtató fürtben. Ez a művelet elérhetővé teheti a Kubeflow-irányítópultot az interneten. Ha az irányítópult elérhető az interneten, a támadók hozzáférhetnek hozzá, és rosszindulatú tárolókat vagy kódot futtathatnak a fürtön. További részleteket a következő cikkben talál: https://aka.ms/exposedkubeflow-blog Kezdeti hozzáférés Közepes
Közzétett Kubernetes-irányítópult észlelhető
(K8S_ExposedDashboard)
A Kubernetes auditnapló-elemzése a Kubernetes-irányítópult terheléselosztó szolgáltatás általi kitettségét észlelte. A közzétett irányítópult nem hitelesített hozzáférést biztosít a fürtkezeléshez, és biztonsági fenyegetést jelent. Kezdeti hozzáférés Magas
Közzétett Kubernetes-szolgáltatás észlelhető
(K8S_ExposedService)
A Kubernetes auditnapló-elemzése egy szolgáltatás terheléselosztó általi kitettségét észlelte. Ez a szolgáltatás egy bizalmas alkalmazáshoz kapcsolódik, amely nagy hatású műveleteket tesz lehetővé a fürtön, például folyamatokat futtat a csomóponton, vagy új tárolókat hoz létre. Bizonyos esetekben ez a szolgáltatás nem igényel hitelesítést. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent. Kezdeti hozzáférés Közepes
Közzétett Redis-szolgáltatás észlelhető az AKS-ben
(K8S_ExposedRedis)
A Kubernetes auditnapló-elemzése egy Redis-szolgáltatás terheléselosztó általi kitettségét észlelte. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent. Kezdeti hozzáférés Alacsony
A DDOS-eszközkészlethez társított mutatók észlelhetők
(K8S. NODE_KnownLinuxDDoSToolkit) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan fájlneveket észlelt, amelyek egy olyan eszközkészlet részét képezik, amely DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes körű irányítására képes. Ez akár jogszerű tevékenység is lehet. Adatmegőrzés, LateralMovement, Végrehajtás, Hasznosítás Közepes
K8S API-kérések észlelhetők a proxy IP-címéről
(K8S_TI_Proxy) 3
A Kubernetes auditnapló-elemzése API-kéréseket észlelt a fürthöz egy olyan IP-címről, amely a proxyszolgáltatásokhoz, például a TOR-hez van társítva. Bár ez a viselkedés jogos is lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a támadók megpróbálják elrejteni a forrás IP-címüket. Futtatási Alacsony
Kubernetes-események törölve
(K8S_DeleteEvents) 23
A Defender for Cloud azt észlelte, hogy néhány Kubernetes-esemény törölve lett. A Kubernetes-események a Kubernetes objektumai, amelyek a fürt változásaival kapcsolatos információkat tartalmaznak. A támadók törölhetik ezeket az eseményeket, hogy elrejtsék a műveleteiket a fürtben. Védelmi kijátszás Alacsony
Kubernetes behatolástesztelő eszköz észlelhető
(K8S_PenTestToolsKubeHunter)
A Kubernetes auditnapló-elemzése a Kubernetes behatolástesztelő eszköz használatát észlelte az AKS-fürtben. Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják ezeket a nyilvános eszközöket. Futtatási Alacsony
Az észlelt gazdagép tűzfalának kezelése
(K8S. NODE_FirewallDisabled) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a gazdagépen futó tűzfal lehetséges manipulálását észlelte. A támadók ezt gyakran letiltják az adatok kiszűréséhez. DefenseEvasion, Exfiltration Közepes
A Microsoft Defender for Cloud tesztriasztása (nem fenyegetés).
(K8S. NODE_EICAR) 1
Ez a Microsoft Defender for Cloud által létrehozott tesztriasztás. Nincs szükség további műveletre. Futtatási Magas
Új tároló észlelhető a kube-system névtérben
(K8S_KubeSystemContainer) 3
A Kubernetes auditnapló-elemzése olyan új tárolót észlelt a kube-rendszer névterében, amely nem szerepel az ebben a névtérben általában futó tárolók között. A kube-system névterek nem tartalmazhatnak felhasználói erőforrásokat. A támadók ezt a névteret használhatják rosszindulatú összetevők elrejtására. Kitartás Alacsony
Új magas jogosultsági szerepkör észlelhető
(K8S_HighPrivilegesRole) 3
A Kubernetes auditnapló-elemzése magas jogosultságokkal rendelkező új szerepkört észlelt. A magas jogosultságokkal rendelkező szerepkörhöz való kötés magas szintű jogosultságokat biztosít a felhasználó\csoport számára a fürtben. A szükségtelen jogosultságok jogosultságok eszkalálását okozhatják a fürtben. Kitartás Alacsony
Lehetséges támadási eszköz észlelhető
(K8S. NODE_KnownLinuxAttackTool) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús eszközhívást észlelt. Ez az eszköz gyakran társítva van másokat támadó rosszindulatú felhasználókkal. Végrehajtás, gyűjtemény, parancs és vezérlés, próba Közepes
Lehetséges backdoor észlelve
(K8S. NODE_LinuxBackdoorArtifact) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús fájlt észlelt a letöltés és a futtatás során. Ezt a tevékenységet korábban egy backdoor telepítésével társították. Adatmegőrzés, védelem, végrehajtás, hasznosítás Közepes
Lehetséges parancssori hasznosítási kísérlet
(K8S. NODE_ExploitAttempt) 1
A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése lehetséges kihasználási kísérletet észlelt egy ismert biztonsági rés ellen. Kizsákmányolás Közepes
Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tárolón egy lehetséges ismert hitelesítőadat-hozzáférési eszköz fut, amelyet a megadott folyamat- és parancssori előzményelem azonosít. Ezt az eszközt gyakran társítják a támadók a hitelesítő adatok elérésére tett kísérletekkel. CredentialAccess Közepes
Lehetséges cryptocoinminer letöltés észlelhető
(K8S. NODE_CryptoCoinMinerDownload) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy, a digitális pénznembányászathoz általában kapcsolódó fájl letöltését észlelte. DefenseEvasion, Command And Control, Exploitation Közepes
Lehetséges adatkiszivárgás észlelhető
(K8S. NODE_DataEgressArtifacts) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése lehetséges adatkimeneti feltételt észlelt. A támadók gyakran lépnek ki adatokból a feltört gépekről. Gyűjtés, kiszivárgás Közepes
Lehetséges naplózási módosítási tevékenység észlelhető
(K8S. NODE_SystemLogRemoval) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan fájlok lehetséges eltávolítását észlelte, amelyek nyomon követik a felhasználó tevékenységét a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomokat a rosszindulatú tevékenységekről. DefenseEvasion Közepes
Lehetséges jelszómódosítás titkosítási módszerrel észlelve
(K8S. NODE_SuspectPasswordChange) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése jelszómódosítást észlelt a titkosítási módszerrel. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a biztonság sérülése után. CredentialAccess Közepes
Lehetséges porttovábbítás külső IP-címre
(K8S. NODE_SuspectPortForwarding) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése porttovábbítás kezdeményezését észlelte egy külső IP-címre. Exfiltráció, parancs és vezérlés Közepes
Lehetséges fordított felület észlelhető
(K8S. NODE_ReverseShell) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése potenciális fordított felületet észlelt. Ezek arra szolgálnak, hogy egy feltört gép visszahívható legyen egy olyan gépre, amely a támadó tulajdonában van. Kiszivárgás, hasznosítás Közepes
Rendszerjogosított tároló észlelhető
(K8S_PrivilegedContainer)
A Kubernetes auditnapló-elemzése új emelt szintű tárolót észlelt. Egy kiemelt tároló hozzáfér a csomópont erőforrásaihoz, és megszakítja a tárolók közötti elkülönítést. Ha illetéktelen kezekbe kerül, a támadó az emelt szintű tárolóval férhet hozzá a csomóponthoz. Jogosultság eszkalációja Alacsony
A digitális pénznembányászattal társított folyamat észlelhető
(K8S. NODE_CryptoCoinMinerArtifacts) 1
A tárolón belül futó folyamatok elemzése egy digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását észlelte. Végrehajtás, hasznosítás Közepes
A folyamat szokatlan módon fér hozzá az SSH-val hitelesített kulcsok fájlhoz
(K8S. NODE_SshKeyAccess) 1
Egy SSH-authorized_keys fájlt az ismert kártevőkampányokhoz hasonló módon lehetett elérni. Ez a hozzáférés azt jelezheti, hogy egy szereplő állandó hozzáférést próbál szerezni egy géphez. Ismeretlen Alacsony
A rendszer szerepkör-kötést észlelt a fürt-rendszergazda szerepkörhöz
(K8S_ClusterAdminBinding)
A Kubernetes auditnapló-elemzése új kötést észlelt a fürt-rendszergazda szerepkörhöz, amely rendszergazdai jogosultságokat biztosít. A szükségtelen rendszergazdai jogosultságok jogosultságok eszkalálódását okozhatják a fürtben. Kitartás Alacsony
Biztonsági folyamat leállítása észlelhető
(K8S. NODE_SuspectProcessTermination) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan folyamatokat észlelt, amelyek a tároló biztonsági monitorozásához kapcsolódnak. A támadók gyakran megpróbálják megszakítani ezeket a folyamatokat előre meghatározott szkriptek használatával a biztonság sérülése után. Kitartás Alacsony
Az SSH-kiszolgáló egy tárolóban fut
(K8S. NODE_ContainerSSH) 1
A tárolón belül futó folyamatok elemzése egy, a tárolóban futó SSH-kiszolgálót észlelt. Futtatási Közepes
Gyanús fájl időbélyegének módosítása
(K8S. NODE_TimestampTampering) 1
A tárolóban vagy közvetlenül egy Kubernetes-csomóponton futó folyamatok elemzése gyanús időbélyeg-módosítást észlelt. A támadók gyakran átmásolják az időbélyegeket a meglévő megbízható fájlokból az új eszközökre, hogy elkerüljék az újonnan elvetett fájlok észlelését. Adatmegőrzés, DefenseEvasion Alacsony
Gyanús kérés a Kubernetes API-hoz
(K8S. NODE_KubernetesAPI) 1
A tárolóban futó folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos is lehet, azt jelezheti, hogy egy sérült tároló fut a fürtön. LateralMovement Közepes
Gyanús kérés a Kubernetes-irányítópultra
(K8S. NODE_KubernetesDashboard) 1
A tárolóban futó folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos is lehet, azt jelezheti, hogy egy sérült tároló fut a fürtön. LateralMovement Közepes
Megkezdődött a potenciális kriptopénz bányász
(K8S. NODE_CryptoCoinMinerExecution) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a folyamat a digitális pénznembányászathoz általában kapcsolódó módon indult el. Futtatási Közepes
Gyanús jelszó-hozzáférés
(K8S. NODE_SuspectPasswordFileAccess) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús kísérletet észlelt a titkosított felhasználói jelszavak elérésére. Kitartás Tájékoztató
A DNS gyanús használata HTTPS-en keresztül
(K8S. NODE_SuspiciousDNSOverHttps) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése szokatlan módon észlelte a HTTPS-en keresztüli DNS-hívás használatát. A támadók ezt a technikát használják arra, hogy elrejtsék a gyanús vagy rosszindulatú webhelyek felé irányuló hívásokat. DefenseEvasion, Exfiltration Közepes
A rendszer rosszindulatú hellyel létesített kapcsolatot észlelt.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan helyhez való kapcsolódást észlelt, amelyről a rendszer azt jelentette, hogy rosszindulatú vagy szokatlan. Ez azt jelzi, hogy lehetséges, hogy biztonsági rés lépett fel. InitialAccess Közepes
Lehetséges rosszindulatú webes rendszerhéj észlelhető.
(K8S. NODE_Webshell) 1
A tárolón belül futó folyamatok elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran töltenek fel egy webes rendszerhéjat egy olyan számítási erőforrásba, amely biztonsága sérül az adatmegőrzés vagy a további kiaknázás érdekében. Adatmegőrzés, hasznosítás Közepes
Több felderítési parancs kirobbanása a sérülés utáni kezdeti tevékenységet jelezheti
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
A gazdagép-/eszközadatok elemzése több felderítési parancs végrehajtását észlelte a rendszer vagy a támadók által a kezdeti biztonsági sérülés után végrehajtott gazdagépadatok gyűjtéséhez kapcsolódóan. Felderítés, gyűjtemény Alacsony
Gyanús letöltés, majd futtatási tevékenység
(K8S. NODE_DownloadAndRunCombo) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a fájl letöltődik, majd ugyanabban a parancsban fut. Bár ez nem mindig rosszindulatú, ez egy nagyon gyakori módszer, a támadók rosszindulatú fájlokat kapnak az áldozati gépekre. Végrehajtás, CommandAndControl, hasznosítás Közepes
Digitális valutabányászati tevékenység
(K8S. NODE_CurrencyMining) 1
A DNS-tranzakciók elemzése digitális pénznembányászati tevékenységet észlelt. Az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést is, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását. Kiszivárgás Alacsony
Kubelet kubeconfig-fájlhoz való hozzáférés észlelhető
(K8S. NODE_KubeConfigAccess) 1
A Kubernetes-fürtcsomóponton futó folyamatok elemzése a gazdagépen lévő Kubeconfig-fájlhoz való hozzáférést észlelte. A Kubelet-folyamat által általában használt Kubeconfig-fájl a Kubernetes-fürt API-kiszolgálójának hitelesítő adatait tartalmazza. A fájlhoz való hozzáférés gyakran olyan támadókhoz van társítva, akik megpróbálják elérni ezeket a hitelesítő adatokat, vagy olyan biztonsági ellenőrző eszközökkel, amelyek ellenőrzik, hogy a fájl elérhető-e. CredentialAccess Közepes
A rendszer a felhőalapú metaadat-szolgáltatáshoz való hozzáférést észlelte
(K8S. NODE_ImdsCall) 1
A tárolón belül futó folyamatok elemzése a felhőalapú metaadat-szolgáltatáshoz való hozzáférést észlelte az identitásjogkivonat beszerzéséhez. A tároló általában nem végez ilyen műveletet. Bár ez a viselkedés jogos lehet, a támadók ezzel a technikával férhetnek hozzá a felhőbeli erőforrásokhoz, miután kezdeti hozzáférést szereznek egy futó tárolóhoz. CredentialAccess Közepes
MITRE Caldera-ügynök észlelhető
(K8S. NODE_MitreCalderaTools) 1
A tárolóban vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús folyamatot észlelt. Ez gyakran kapcsolódik a MITRE 54ndc47 ügynökhöz, amely rosszindulatúan használható más gépek megtámadására. Adatmegőrzés, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation Közepes

1: Előzetes verzió a nem AKS-fürtökhöz: Ez a riasztás általánosan elérhető az AKS-fürtökhöz, de előzetes verzióban elérhető más környezetekhez, például az Azure Archoz, az EKS-hez és a GKE-hez.

2: A GKE-fürtök korlátozásai: A GKE olyan Kuberenetes-naplózási szabályzatot használ, amely nem támogatja az összes riasztástípust. Ennek eredményeképpen a Kubernetes naplózási eseményein alapuló biztonsági riasztás nem támogatott a GKE-fürtök esetében.

3: Ez a riasztás Windows-csomópontokon/-tárolókon támogatott.

Riasztások az SQL Database és a Azure Synapse Analytics szolgáltatáshoz

További részletek és megjegyzések

Riasztás Description MITRE-taktikák
(További információ)
Súlyosság
Az SQL-injektálás lehetséges biztonsági rése
(SQL. VM_VulnerabilityToSqlInjection
SQL. DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL. DW_VulnerabilityToSqlInjection)
Egy alkalmazás hibás SQL-utasítást hozott létre az adatbázisban. Ez az SQL-injektálási támadások lehetséges biztonsági rését jelezheti. A hibás utasításoknak két oka lehet. Előfordulhat, hogy az alkalmazáskód hibája létrehozta a hibás SQL-utasítást. Vagy az alkalmazáskód vagy a tárolt eljárások nem megtisztították a felhasználói bemenetet a hibás SQL-utasítás létrehozásakor, amelyet sql-injektáláshoz lehet kihasználni. Előzetes kiosztás Közepes
Potenciálisan káros alkalmazás általi bejelentkezésre tett kísérlet
(SQL. DB_HarmfulApplication
SQL. VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL. DW_HarmfulApplication)
Egy potenciálisan káros alkalmazás megpróbált hozzáférni a(z) {name} SQL-kiszolgálóhoz. Előzetes kiosztás Magas
Bejelentkezés szokatlan Azure-adatközpontból
(SQL. DB_DataCenterAnomaly
SQL. VM_DataCenterAnomaly
SQL. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Megváltozott a hozzáférési minta egy SQL Server, ahol valaki egy szokatlan Azure Data Centerből jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás egy jogszerű műveletet észlel (új alkalmazást vagy Azure-szolgáltatást). Más esetekben a riasztás rosszindulatú műveletet észlel (az Azure-ban feltört erőforrásból működő támadó). Ellenőrzés Alacsony
Bejelentkezés szokatlan helyről
(SQL. DB_GeoAnomaly
SQL. VM_GeoAnomaly
SQL. DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Megváltozott a SQL Server hozzáférési mintája, ahol valaki szokatlan földrajzi helyről jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás jogszerű műveleteket észlel (egy új alkalmazást vagy fejlesztői karbantartást). Más esetekben a riasztás rosszindulatú műveletet (korábbi alkalmazottat vagy külső támadót) észlel. Kizsákmányolás Közepes
Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható
(SQL. DB_PrincipalAnomaly
SQL. VM_PrincipalAnomaly
SQL. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók közelmúltbeli változásai ezt a viselkedést várják, a Defender for Cloud észleli a hozzáférési minták jelentős változásait, és megpróbálja megelőzni a jövőbeli téves riasztásokat. Kizsákmányolás Közepes
Bejelentkezés gyanús IP-címről
(SQL. VM_SuspiciousIpAnomaly)
Az erőforráshoz sikeresen hozzáfért egy OLYAN IP-címről, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított. Előzetes kiosztás Közepes
Lehetséges SQL Brute Force-kísérlet Rendellenesen sok sikertelen bejelentkezési kísérlet történt különböző hitelesítő adatokkal. Bizonyos esetekben a riasztás behatolási teszteket észlel működés közben. Más esetekben a riasztás találgatásos támadást észlel. Ellenőrzés Magas
Potenciális SQL-injektálás
(SQL. DB_PotentialSqlInjection
SQL. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Aktív biztonsági rés történt egy SQL-injektálásnak kitett azonosított alkalmazás ellen. Ez azt jelenti, hogy a támadó rosszindulatú SQL-utasításokat próbál beszúrni a sebezhető alkalmazáskód vagy a tárolt eljárások használatával. Előzetes kiosztás Magas
Potenciálisan nem biztonságos művelet
(SQL. DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL. DW_UnsafeCommands)
Potenciálisan nem biztonságos műveletet kíséreltek meg a(z) "{name}" kiszolgálón található {name} adatbázison. - Magas
Találgatásos támadás gyanúja érvényes felhasználóval A rendszer találgatásos támadást észlelt az erőforráson. A támadó az érvényes felhasználói sa-t használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel. Előzetes kiosztás Magas
Találgatásos támadás gyanúja A rendszer találgatásos támadást észlelt a(z) {name} SQL-kiszolgálón. Előzetes kiosztás Magas
Gyanús, sikeres találgatásos támadás
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce)
Sikeres bejelentkezés történt, miután találgatásos támadás történt az erőforráson Előzetes kiosztás Magas
Szokatlan exportálási hely Valaki nagy mennyiségű adatot gyűjtött ki a(z) {name} SQL Server egy szokatlan helyre. Kiszivárgás Magas

Riasztások nyílt forráskódú relációs adatbázisokhoz

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Találgatásos támadás gyanúja érvényes felhasználóval
(SQL. PostgreSQL_BruteForce
SQL. MariaDB_BruteForce
SQL. MySQL_BruteForce)
A rendszer találgatásos támadást észlelt az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel. Előzetes kiosztás Magas
Gyanús, sikeres találgatásos támadás
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
Sikeres bejelentkezés történt az erőforrást támadó találgatásos támadás után. Előzetes kiosztás Magas
Találgatásos támadás gyanúja
("SQL. MySQL_BruteForce")
A rendszer találgatásos támadást észlelt a(z) {name} SQL-kiszolgálón. Előzetes kiosztás Magas
Potenciálisan káros alkalmazás általi bejelentkezésre tett kísérlet
(SQL. PostgreSQL_HarmfulApplication
SQL. MariaDB_HarmfulApplication
SQL. MySQL_HarmfulApplication)
Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást. Előzetes kiosztás Magas
Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható
(SQL. PostgreSQL_PrincipalAnomaly
SQL. MariaDB_PrincipalAnomaly
SQL. MySQL_PrincipalAnomaly)
Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók közelmúltbeli változásai ezt a viselkedést várják, a Defender for Cloud észleli a hozzáférési minták jelentős változásait, és megpróbálja megelőzni a jövőbeli téves riasztásokat. Kizsákmányolás Közepes
Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható
(SQL. MariaDB_DomainAnomaly
SQL. PostgreSQL_DomainAnomaly
SQL. MySQL_DomainAnomaly)
Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy ezt a várt viselkedést az erőforráshoz hozzáférő felhasználók közelmúltbeli változásai okozzák, a Defender for Cloud észleli a hozzáférési minták jelentős változásait, és megpróbálja megakadályozni a jövőbeli téves pozitívumokat. Kizsákmányolás Közepes
Bejelentkezés szokatlan Azure-adatközpontból
(SQL. PostgreSQL_DataCenterAnomaly
SQL. MariaDB_DataCenterAnomaly
SQL. MySQL_DataCenterAnomaly)
Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba. Ellenőrzés Alacsony
Bejelentkezés szokatlan felhőszolgáltatótól
(SQL. PostgreSQL_CloudProviderAnomaly
SQL. MariaDB_CloudProviderAnomaly
SQL. MySQL_CloudProviderAnomaly)
Valaki olyan felhőszolgáltatótól jelentkezett be az erőforrásba, amely az elmúlt 60 napban nem volt látható. A fenyegetést kérő szereplők gyorsan és egyszerűen hozzájuthatnak az eldobható számítási teljesítményhez a kampányaikban való használathoz. Ha ezt egy új felhőszolgáltató közelmúltbeli bevezetése okozza, a Defender for Cloud idővel tanulni fog, és megpróbálja megakadályozni a jövőbeli téves riasztásokat. Kizsákmányolás Közepes
Bejelentkezés szokatlan helyről
(SQL. MariaDB_GeoAnomaly
SQL. PostgreSQL_GeoAnomaly
SQL. MySQL_GeoAnomaly)
Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba. Kizsákmányolás Közepes
Bejelentkezés gyanús IP-címről
(SQL. PostgreSQL_SuspiciousIpAnomaly
SQL. MariaDB_SuspiciousIpAnomaly
SQL. MySQL_SuspiciousIpAnomaly)
Az erőforráshoz sikeresen hozzáfért egy OLYAN IP-címről, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított. Előzetes kiosztás Közepes

Riasztások Resource Manager

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Azure Resource Manager művelet gyanús IP-címről
(ARM_OperationFromSuspiciousIP)
A Microsoft Defender for Resource Manager olyan műveletet észlelt egy IP-címről, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban. Futtatási Közepes
Azure Resource Manager művelet gyanús proxy IP-címről
(ARM_OperationFromSuspiciousProxyIP)
A Microsoft Defender for Resource Manager olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hez van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben fordul elő, amikor a fenyegetést jelentő szereplők megpróbálják elrejteni a forrás IP-címét. Védelmi kijátszás Közepes
MicroBurst-kihasználási eszközkészlet az előfizetésekben lévő erőforrások számbavételéhez
(ARM_MicroBurst.AzDomainInfo)
A MicroBurst Információgyűjtés modulja az előfizetésén futott. Ez az eszköz erőforrások, engedélyek és hálózati struktúrák felderítésére használható. Ezt az előfizetés azure-tevékenységnaplóinak és erőforrás-kezelési műveleteinek elemzésével észlelte. - Magas
MicroBurst-kihasználási eszközkészlet az előfizetésekben lévő erőforrások számbavételéhez
(ARM_MicroBurst.AzureDomainInfo)
A MicroBurst Információgyűjtés modulja az előfizetésén futott. Ez az eszköz erőforrások, engedélyek és hálózati struktúrák felderítésére használható. Ezt az előfizetés azure-tevékenységnaplóinak és erőforrás-kezelési műveleteinek elemzésével észlelte. - Magas
A virtuális gépen kódot végrehajtó MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzVMBulkCMD)
A MicroBurst kihasználási eszközkészlete kód végrehajtására szolgál a virtuális gépeken. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben. Futtatási Magas
A virtuális gépen kódot végrehajtó MicroBurst-kihasználási eszközkészlet
(RM_MicroBurst.AzureRmVMBulkCMD)
A MicroBurst kihasználási eszközkészlete kód végrehajtására szolgál a virtuális gépeken. Ezt az azure-Resource Manager-műveletek elemzésével észlelte az előfizetésben. - Magas
MicroBurst-kihasználási eszközkészlet, amellyel kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultKeysREST)
A MicroBurst kihasználási eszközkészlete kulcsok kinyerésére szolgál az Azure-kulcstartókból. Ezt az előfizetés azure-tevékenységnaplóinak és erőforrás-kezelési műveleteinek elemzésével észlelte a rendszer. - Magas
MicroBurst-kihasználási eszközkészlet, amellyel kulcsokat nyerhet ki a tárfiókokba
(ARM_MicroBurst.AZStorageKeysREST)
A MicroBurst kihasználási eszközkészletét a tárfiókok kulcsainak kinyerésére használták. Ezt az előfizetés azure-tevékenységnaplóinak és erőforrás-kezelési műveleteinek elemzésével észlelte a rendszer. Gyűjtemény Magas
MicroBurst-kihasználási eszközkészlet, amellyel titkos kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultSecretsREST)
A MicroBurst kihasználási eszközkészlete titkos kulcsok kinyerésére szolgál az Azure-kulcstartókból. Ezt az előfizetés azure-tevékenységnaplóinak és erőforrás-kezelési műveleteinek elemzésével észlelte a rendszer. - Magas
PowerZure-kihasználó eszközkészlet, amellyel emelhető a hozzáférés az Azure AD-ból az Azure-ba
(ARM_PowerZure.AzureElevatedPrivileges)
A PowerZure kihasználtsági eszközkészlete az AzureAD-ből az Azure-ba való hozzáférés emelésére szolgál. Ezt a rendszer az Azure Resource Manager-műveletek elemzésével észlelte a bérlőben. - Magas
PowerZure-kihasználási eszközkészlet erőforrások számbavételéhez
(ARM_PowerZure.GetAzureTargets)
A PowerZure kihasználási eszközkészlete az erőforrások számbavételére szolgál a szervezet egy jogszerű felhasználói fiókja nevében. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. Gyűjtemény Magas
Tárolók, megosztások és táblák enumerálásához használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.ShowStorageContent)
A PowerZure kihasználási eszközkészlete tárolómegosztások, táblák és tárolók számbavételére szolgál. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. - Magas
PowerZure-kihasználási eszközkészlet, amellyel runbookot futtathat az előfizetésében
(ARM_PowerZure.StartRunbook)
A PowerZure kihasználási eszközkészlete runbook végrehajtására szolgál. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. - Magas
Runbookok tartalmának kinyeréséhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.AzureRunbookContent)
A PowerZure kihasználási eszközkészlete Runbook-tartalom kinyerésére szolgál. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. Gyűjtemény Magas
ELŐZETES VERZIÓ – Kockázatos IP-címről származó tevékenység
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
A rendszer egy névtelen proxy IP-címként azonosított IP-címről származó felhasználói tevékenységet észlelt.
Ezeket a proxykat azok használják, akik el szeretnék rejteni eszközük IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a téves riasztásokat, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.
Aktív Microsoft Defender for Cloud Apps licenc szükséges.
- Közepes
ELŐZETES VERZIÓ – Tevékenység ritka országból
(ARM. MCAS_ActivityFromInfrequentCountry)
Olyan helyről végzett tevékenység, amelyet a szervezet egyik felhasználója sem keresett fel nemrég vagy soha nem látogatott meg.
Ez az észlelés a korábbi tevékenységi helyeket veszi figyelembe az új és ritka helyek meghatározásához. Az anomáliadetektálási motor a szervezet felhasználói által használt korábbi helyek adatait tárolja.
Aktív Microsoft Defender for Cloud Apps licenc szükséges.
- Közepes
ELŐZETES VERZIÓ – Az azurite-eszközkészlet futtatása észlelhető
(ARM_Azurite)
A rendszer egy ismert felhőkörnyezeti felderítési eszközkészlet-futtatást észlelt a környezetben. Az Azurite eszközt egy támadó (vagy behatolástesztelő) használhatja az előfizetések erőforrásainak leképezésére és a nem biztonságos konfigurációk azonosítására. Gyűjtemény Magas
ELŐZETES VERZIÓ – Lehetetlen utazási tevékenység
(ARM. MCAS_ImpossibleTravelActivity)
Két felhasználói tevékenység történt (egy vagy több munkamenetben) földrajzilag távoli helyekről. Ez egy rövidebb időtartamon belül következik be, mint amikor a felhasználónak az első helyről a másodikra kellett volna utaznia. Ez azt jelzi, hogy egy másik felhasználó ugyanazokat a hitelesítő adatokat használja.
Ez az észlelés olyan gépi tanulási algoritmust használ, amely figyelmen kívül hagyja a nyilvánvaló téves riasztásokat, amelyek hozzájárulnak a lehetetlen utazási feltételekhez, például a VPN-eket és a szervezet más felhasználói által rendszeresen használt helyeket. Az észlelés egy hétnapos kezdeti tanulási időszak, amely során egy új felhasználó tevékenységmintáját tanulja meg.
Aktív Microsoft Defender for Cloud Apps licenc szükséges.
- Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelt inaktív fiókkal
(ARM_UnusedAccountPersistence)
Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt rendszerbiztonsági tagok mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét. Kitartás Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelhető a PowerShell használatával
(ARM_UnusedAppPowershellPersistence)
Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az előfizetési környezet felügyeletére nem rendszeresen a PowerShellt használó rendszerbiztonsági tag most már a PowerShellt használja, és olyan műveleteket hajt végre, amelyek biztosítják a támadók számára a megőrzést. Kitartás Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelhető Azure Portal használatával
(ARM_UnusedAppIbizaPersistence)
Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Egy olyan rendszerbiztonsági tag, aki nem használja rendszeresen a Azure Portal (Ibiza) az előfizetési környezet felügyeletére (az elmúlt 45 napban nem használta Azure Portal kezelésére, vagy egy aktívan felügyelt előfizetést), most a Azure Portal használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét. Kitartás Közepes
Az előfizetéshez gyanús módon létrehozott emelt szintű egyéni szerepkör (előzetes verzió)
(ARM_PrivilegedRoleDefinitionCreation)
A Microsoft Defender for Resource Manager gyanús egyéni szerepkör-definíciót észlelt az előfizetésében. Előfordulhat, hogy ezt a műveletet a szervezet egy megbízható felhasználója hajtotta végre. Másik lehetőségként azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy emelt szintű szerepkört próbál létrehozni, amelyet a jövőben az észlelés elkerülése érdekében szeretne használni. Privilege Escalation, Defense Evasion Alacsony
Gyanús Azure-szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousRBACRoleAssignment)
A Microsoft Defender for Resource Manager gyanús Azure-beli szerepkör-hozzárendelést észlelt a bérlőben a PIM (Privileged Identity Management) használatával, ami azt jelezheti, hogy a szervezet egyik fiókját feltörték. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára, hogy hozzáférést biztosítsanak a rendszerbiztonsági tagoknak az Azure-erőforrásokhoz. Bár ez a tevékenység jogos lehet, a fenyegetéselosztó szerepkör-hozzárendeléssel eszkalálhatja az engedélyeit, így elősegítheti a támadást. Lateral Movement, Defense Evasion Alacsony (PIM) / Magas
Gyanús hívás egy magas kockázatú hitelesítőadat-hozzáférési művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.CredentialAccess)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésében egy magas kockázatú műveletről, amely a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony elérését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Hitelesítő adatok elérése Közepes
Nagy kockázatú adatgyűjtési művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Collection)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésében egy magas kockázatú műveletről, amely az adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveletek segítségével bizalmas adatokat gyűjthet a környezet erőforrásairól. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Gyűjtemény Közepes
Egy magas kockázatú "Defense Evasion" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.DefenseEvasion)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésében egy magas kockázatú műveletről, amely a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetek biztonsági helyzetének hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetések szereplői ilyen műveleteket használhatnak annak érdekében, hogy a rendszer ne észlelje őket, miközben veszélyeztetné az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Védelmi kijátszás Közepes
Nagy kockázatú "Végrehajtás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Execution)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, amely kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Futtatási Közepes
Nagy kockázatú "Hatás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Impact)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésben egy magas kockázatú műveletről, amely konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Hatás Közepes
Nagy kockázatú "Kezdeti hozzáférés" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.InitialAccess)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésben egy magas kockázatú műveletről, amely korlátozott erőforrások elérésére tett kísérletet jelezhet. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony elérését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő ilyen műveleteket használhat a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Kezdeti hozzáférés Közepes
Nagy kockázatú "Oldalirányú mozgás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.LateralMovement)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésben egy magas kockázatú műveletről, amely oldalirányú mozgásra tett kísérletet jelezhet. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva veszélyeztetheti a környezet további erőforrásait. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Oldalirányú mozgás Közepes
Egy magas kockázatú "Adatmegőrzés" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Persistence)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésben egy magas kockázatú művelettel, amely az adatmegőrzési kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Kitartás Közepes
Nagy kockázatú "Privilege Escalation" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.PrivilegeEscalation)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésben egy magas kockázatú műveletről, amely a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Jogosultság eszkalációja Közepes
A MicroBurst kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy Azure Automation fiók hitelesítő adatainak kiszivárgásához
(ARM_MicroBurst.RunCodeOnBehalf)
A MicroBurst-kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy Azure Automation fiók hitelesítő adatainak kiszivárgásához. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. Adatmegőrzés, hitelesítő adatok elérése Magas
NetSPI-technikák használata az Azure-környezetben való adatmegőrzés fenntartásához
(ARM_NetSPI.MaintainPersistence)
A NetSPI-adatmegőrzési technika használata webhook-háttérkiszolgáló létrehozásához és az adatmegőrzés fenntartásához az Azure-környezetben. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. - Magas
PowerZure-kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy Azure Automation fiók hitelesítő adatainak kiszivárgásához
(ARM_PowerZure.RunCodeOnBehalf)
A PowerZure-kihasználási eszközkészlet kódot próbált futtatni, vagy Azure Automation fiók hitelesítő adatait próbálta kiszűrni. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. - Magas
A PowerZure függvény használata az Azure-környezetben való adatmegőrzés fenntartásához
(ARM_PowerZure.MaintainPersistence)
A PowerZure kihasználó eszközkészlete webhook-háttérrendszer létrehozását észlelte az Azure-környezetben való adatmegőrzés fenntartása érdekében. Ezt az előfizetésben található Azure Resource Manager műveletek elemzésével észlelte a rendszer. - Magas
Gyanús klasszikus szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousClassicRoleAssignment)
A Microsoft Defender for Resource Manager gyanús klasszikus szerepkör-hozzárendelést észlelt a bérlőben, ami azt jelezheti, hogy a szervezet egyik fiókját feltörték. Az azonosított műveletek úgy lettek kialakítva, hogy visszamenőleges kompatibilitást biztosítsanak a már nem használt klasszikus szerepkörökkel. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezt a hozzárendelést, hogy engedélyeket adjon egy további felhasználói fióknak az irányításuk alatt.  Lateral Movement, Defense Evasion Magas

DNS-riasztások

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Rendellenes hálózati protokollhasználat
(AzureDNS_ProtocolAnomaly)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése rendellenes protokollhasználatot észlelt. Az ilyen forgalom , bár valószínűleg jóindulatú, utalhat arra, hogy a hálózati forgalom szűrésének megkerülése érdekében visszaélés történt ezzel a gyakori protokollsal. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy feltört gazdagépre, és a felhasználói adatok kiszivárgása belőle. Kiszivárgás -
Anonimitási hálózati tevékenység
(AzureDNS_DarkWeb)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést, hogy elkerüljék a hálózati kommunikáció nyomon követését és ujjlenyomatát. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Anonimitási hálózati tevékenység webproxy használatával
(AzureDNS_DarkWebProxy)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést, hogy elkerüljék a hálózati kommunikáció nyomon követését és ujjlenyomatát. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Gyanús elsüllyedt tartománnyal való kommunikációra tett kísérlet
(AzureDNS_SinkholedDomain)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése elsüllyedt tartományra vonatkozó kérést észlelt. Az ilyen tevékenységek, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzik a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók jellemző tevékenysége valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magában foglalja. Kiszivárgás -
Kommunikáció lehetséges adathalászati tartománnyal
(AzureDNS_PhishingDomain)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges adathalász tartományra vonatkozó kérést észlelt. A támadók gyakran hajtanak végre ilyen tevékenységet, bár jóindulatúak, hogy hitelesítő adatokat gyűjtsenek a távoli szolgáltatásokba. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a hitelesítő adatok felhasználását a jogszerű szolgáltatásban. Kiszivárgás -
Kommunikáció gyanús, algoritmus által generált tartománnyal
(AzureDNS_DomainGenerationAlgorithm)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy tartománygenerálási algoritmus lehetséges használatát észlelte. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak, hogy megkerülik a hálózatfigyelést és -szűrést. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
A gyanús tartománnyal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A támadók gyakran végeznek rosszindulatú tartományokkal folytatott kommunikációt, ami azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés Közepes
Gyanús véletlenszerű tartománynévvel folytatott kommunikáció
(AzureDNS_RandomizedDomain)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése gyanús, véletlenszerűen generált tartománynév használatát észlelte. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak, hogy megkerülik a hálózatfigyelést és -szűrést. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Digitális valutabányászati tevékenység
(AzureDNS_CurrencyMining)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése digitális pénznembányászati tevékenységet észlelt. A támadók gyakran végzik ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést tapasztalnak az erőforrások feltörése után. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a gyakori bányászeszközök letöltését és végrehajtását. Kiszivárgás -
Hálózati behatolásészlelési aláírás aktiválása
(AzureDNS_SuspiciousDomain)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése ismert kártékony hálózati aláírást észlelt. Az ilyen tevékenységek, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzik a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók jellemző tevékenysége valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magában foglalja. Kiszivárgás -
Lehetséges adatletöltés DNS-alagúton keresztül
(AzureDNS_DataInfiltration)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése lehetséges DNS-alagutat észlelt. A támadók gyakran végzik ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Lehetséges adatkiszivárgás DNS-alagúton keresztül
(AzureDNS_DataExfiltration)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése lehetséges DNS-alagutat észlelt. A támadók gyakran végzik ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -
Lehetséges adatátvitel DNS-alagúton keresztül
(AzureDNS_DataObfuscation)
A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése lehetséges DNS-alagutat észlelt. A támadók gyakran végzik ezt a tevékenységet, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A tipikus kapcsolódó támadói tevékenység valószínűleg magában foglalja a rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását. Kiszivárgás -

Riasztások az Azure Storage-hoz

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
ELŐZETES VERZIÓ – Hozzáférés gyanús alkalmazásból
(Storage.Blob_SuspiciousApp)
Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy tárfiók tárolóhoz hitelesítéssel.
Ez azt jelezheti, hogy egy támadó beszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat.
A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
Kezdeti hozzáférés Közepes
Hozzáférés gyanús IP-címről
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Azt jelzi, hogy ezt a tárfiókot sikeresen elérték egy gyanúsnak ítélt IP-címről. Ezt a riasztást a Microsoft Threat Intelligence működteti.
További információ a Microsoft fenyegetésfelderítési képességeiről.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kezdeti hozzáférés Közepes
ELŐZETES VERZIÓ – Tárfiókban tárolt adathalász tartalom
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Az adathalász támadásban használt URL-cím az Azure Storage-fiókra mutat. Ez az URL-cím a Microsoft 365 felhasználóit érintő adathalász támadás része volt.
Az ilyen oldalakon üzemeltetett tartalmak általában arra szolgálnak, hogy a látogatókat becsapják a céges hitelesítő adataik vagy pénzügyi adataik egy jogszerűnek tűnő webes űrlapra való bevitelére.
Ezt a riasztást a Microsoft Threat Intelligence működteti.
További információ a Microsoft fenyegetésfelderítési képességeiről.
A következőkre vonatkozik: Azure Blob Storage, Azure Files
Gyűjtemény Magas
ELŐZETES VERZIÓ – A kártevők terjesztésének forrásaként azonosított tárfiók
(Storage.Files_WidespreadeAm)
A kártevőirtó riasztások azt jelzik, hogy a fertőzött fájlok egy több virtuális géphez csatlakoztatott Azure-fájlmegosztásban találhatók. Ha a támadók hozzáférést kapnak egy csatlakoztatott Azure-fájlmegosztással rendelkező virtuális géphez, azzal kártevőt terjeszthetnek más olyan virtuális gépekre, amelyek ugyanazt a megosztást csatlakoztatják.
A következőkre vonatkozik: Azure Files
Oldalirányú mozgás, végrehajtás Magas
ELŐZETES VERZIÓ – A rendszer bizalmas adatokat tartalmazó tárfiókot észlelt egy nyilvánosan közzétett tárolóval
(Storage.Blob_OpenACL)
A tárfiókban lévő tároló hozzáférési szabályzata módosult a névtelen hozzáférés engedélyezéséhez. Ez adatszivárgáshoz vezethet, ha a tároló bizalmas adatokat tárol. Ez a riasztás az Azure-tevékenységnapló elemzésén alapul.
A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
Jogosultság eszkalációja Közepes
Hitelesített hozzáférés a Tor kilépési csomópontjáról
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
A tárfiók egy vagy több tárolótárolója/fájlmegosztása sikeresen hozzáfért a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja elrejteni az identitását.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kezdeti hozzáférés Magas/közepes
Hozzáférés szokatlan helyről egy tárfiókhoz
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Azt jelzi, hogy módosult a hozzáférési minta egy Azure Storage-fiókban. Valaki olyan IP-címről fért hozzá ehhez a fiókhoz, amely nem ismert a legutóbbi tevékenységhez képest. A támadó vagy hozzáférést szerzett a fiókhoz, vagy egy jogszerű felhasználó új vagy szokatlan földrajzi helyről csatlakozott. Az utóbbira példa a távoli karbantartás egy új alkalmazásból vagy fejlesztőből.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kizsákmányolás Alacsony
Szokatlan, nem hitelesített hozzáférés egy tárolóhoz
(Storage.Blob_AnonymousAccessAnomaly)
Ez a tárfiók hitelesítés nélkül lett elérve, ami a gyakori hozzáférési minta változása. A tároló olvasási hozzáférése általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést okozó szereplő képes volt kihasználni a tárfiók(ok)ban található tároló(k) nyilvános olvasási hozzáférését.
A következőkre vonatkozik: Azure Blob Storage
Gyűjtemény Alacsony
Tárfiókba feltöltött potenciális kártevők
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Azt jelzi, hogy egy potenciális kártevőt tartalmazó blob fel lett töltve egy blobtárolóba vagy egy tárfiók fájlmegosztására. Ez a riasztás a Microsoft fenyegetésfelderítési képességeit kihasználó hash-hírnévelemzésen alapul, amely magában foglalja a vírusok, trójaiak, kémprogramok és zsarolóprogramok kivonatait. A lehetséges okok közé tartozhat egy támadó szándékos kártevőfeltöltése, vagy egy potenciálisan rosszindulatú blob véletlen feltöltése egy megbízható felhasználó által.
A következőkre vonatkozik: Azure Blob Storage, Azure Files (csak REST API-n keresztüli tranzakciók esetén)
További információ az Azure kártevő-hírnevének elemzéséről.
További információ a Microsoft fenyegetésfelderítési képességeiről.
Oldalirányú mozgás Magas
A nyilvánosan elérhető tárolók felderítve sikeresen felderítve
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
A tárfiókban lévő nyilvánosan megnyitott tároló(k) sikeres felderítését egy ellenőrző szkript vagy eszköz hajtotta végre az elmúlt órában.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbálja listázni a blobokat, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A fenyegetést jelentő szereplő használhatja a saját szkriptjét, vagy használhatja az ismert vizsgálati eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Gyűjtemény Közepes
A nyilvánosan elérhető tárolók vizsgálata sikertelen
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Az elmúlt órában sikertelen kísérletek történtek a nyilvánosan megnyitott tárolók keresésére.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbálja listázni a blobokat, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A fenyegetést jelentő szereplő használhatja a saját szkriptjét, vagy használhatja az ismert vizsgálati eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Gyűjtemény Alacsony
Szokatlan hozzáférés-ellenőrzés egy tárfiókban
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Azt jelzi, hogy a tárfiók hozzáférési engedélyeit szokatlan módon vizsgálták meg a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy egy támadó felderített egy későbbi támadást.
A következőkre vonatkozik: Azure Blob Storage, Azure Files
Gyűjtemény Közepes
Tárfiókból kinyert szokatlan mennyiségű adat
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Azt jelzi, hogy szokatlanul nagy mennyiségű adat lett kinyerve a tároló legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka az, hogy egy támadó nagy mennyiségű adatot nyer ki egy blobtárolót tartalmazó tárolóból.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kiszivárgás Közepes
Szokatlan alkalmazás fért hozzá egy tárfiókhoz
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Azt jelzi, hogy egy szokatlan alkalmazás hozzáfért ehhez a tárfiókhoz. Ennek egyik lehetséges oka az, hogy egy támadó egy új alkalmazással fért hozzá a tárfiókhoz.
A következőkre vonatkozik: Azure Blob Storage, Azure Files
Kizsákmányolás Közepes
Tárfiók hozzáférési engedélyeinek szokatlan módosítása
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Azt jelzi, hogy a tároló hozzáférési engedélyei szokatlan módon megváltoztak. Ennek egyik lehetséges oka az, hogy a támadó módosította a tároló engedélyeit, hogy gyengítse a biztonsági állapotát, vagy megőrizze azokat.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kitartás Közepes
Szokatlan adatfeltárás egy tárfiókban
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Azt jelzi, hogy a tárfiókban lévő blobok vagy tárolók számbavétele rendellenes módon történt a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka az, hogy egy támadó felderített egy jövőbeli támadást.
A következőkre vonatkozik: Azure Blob Storage, Azure Files
Gyűjtemény Közepes
Szokatlan törlés egy tárfiókban
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Azt jelzi, hogy egy vagy több váratlan törlési művelet történt egy tárfiókban a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka az, hogy egy támadó adatokat törölt a tárfiókból.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Kiszivárgás Közepes
A .cspkg szokatlan feltöltése egy tárfiókba
(Storage.Blob_CspkgUploadAnomaly)
Azt jelzi, hogy egy Azure Cloud Services-csomagot (.cspkg-fájlt) szokatlan módon töltöttek fel egy tárfiókba a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka az, hogy egy támadó arra készül, hogy rosszindulatú kódot helyezzen üzembe a tárfiókból egy Azure-felhőszolgáltatásban.
A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
Oldalirányú mozgás, végrehajtás Közepes
A .exe szokatlan feltöltése egy tárfiókba
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Azt jelzi, hogy egy .exe-fájlt szokatlan módon töltöttek fel egy tárfiókba a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka az, hogy egy támadó rosszindulatú végrehajtható fájlt töltött fel a tárfiókba, vagy hogy egy megbízható felhasználó feltöltött egy végrehajtható fájlt.
A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Oldalirányú mozgás, végrehajtás Közepes

Riasztások az Azure Cosmos DB-hez

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Hozzáférés tor kilépési csomópontról
(CosmosDB_TorAnomaly)
Ezt az Azure Cosmos DB-fiókot a Tor aktív kilépési csomópontjáról, egy anonimizáló proxyról ismert IP-címről sikerült elérni. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja elrejteni az identitását. Kezdeti hozzáférés Magas/közepes
Hozzáférés gyanús IP-címről
(CosmosDB_SuspiciousIp)
Ezt az Azure Cosmos DB-fiókot sikeresen el lehetett érni egy OLYAN IP-címről, amelyet a Microsoft Fenyegetésfelderítés fenyegetésként azonosított. Kezdeti hozzáférés Közepes
Hozzáférés szokatlan helyről
(CosmosDB_GeoAnomaly)
Ezt az Azure Cosmos DB-fiókot a szokásos hozzáférési minta alapján egy ismeretlennek tekintett helyről érték el.

A fenyegetést jelentő szereplő vagy hozzáférést szerzett a fiókhoz, vagy egy jogosult felhasználó egy új vagy szokatlan földrajzi helyről csatlakozott
Kezdeti hozzáférés Alacsony
A kinyert adatok szokatlan mennyisége
(CosmosDB_DataExfiltrationAnomaly)
Szokatlanul nagy mennyiségű adat lett kinyerve ebből az Azure Cosmos DB-fiókból. Ez azt jelezheti, hogy a fenyegetést okozó szereplő adatokat tárt fel. Kiszivárgás Közepes
Azure Cosmos DB-fiókkulcsok kinyerése potenciálisan rosszindulatú szkripttel
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús kulcslistázási műveleteket hajtottak végre az előfizetésben lévő Azure Cosmos DB-fiókok kulcsainak lekéréséhez. A fenyegetést jelentő aktorok automatizált szkriptek, például a Microburst használatával listázhatják a kulcsokat, és megkereshetik az általuk elérhető Azure Cosmos DB-fiókokat.

Ez a művelet azt jelezheti, hogy a szervezet egyik identitása sérült, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja feltörni az Azure Cosmos DB-fiókokat a környezetben.

Másik lehetőségként egy rosszindulatú bennfentes megpróbálhat hozzáférni a bizalmas adatokhoz, és oldalirányú mozgást végezni.
Gyűjtemény Magas
Az Azure Cosmos DB-fiókkulcsok gyanús kinyerése (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Egy gyanús forrás kinyerte az Azure Cosmos DB-fiók hozzáférési kulcsait az előfizetéséből. Ha ez a forrás nem megbízható forrás, ez nagy hatással lehet a problémára. A kinyert hozzáférési kulcs teljes körű vezérlést biztosít a társított adatbázisok és a benne tárolt adatok felett. Az egyes riasztások részleteiből megtudhatja, hogy a forrás miért lett gyanúsként megjelölve. Hitelesítő adatok elérése magas
SQL-injektálás: lehetséges adatkiszivárgás
(CosmosDB_SqlInjection.DataExfiltration)
Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

Előfordulhat, hogy az injektált utasítás sikeresen kiszűrte azokat az adatokat, amelyeket a fenyegetést okozó nem jogosult a hozzáférésre.

Az Azure Cosmos DB-lekérdezések struktúrája és képességei miatt az Azure Cosmos DB-fiókokra irányuló számos ismert SQL-injektálási támadás nem működik. A támadásban használt változat azonban működhet, és a fenyegetéskezelők adatokat is kiszűrhetnek.
Kiszivárgás Közepes
SQL-injektálás: elfuzzadási kísérlet
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

A többi jól ismert SQL-injektálási támadáshoz hasonlóan ez a támadás sem fogja veszélyeztetni az Azure Cosmos DB-fiókot.

Ennek ellenére ez azt jelzi, hogy egy fenyegetést okozó szereplő megpróbálja megtámadni a fiók erőforrásait, és előfordulhat, hogy az alkalmazás biztonsága sérül.

Egyes SQL-injektálási támadások sikeresek lehetnek, és adatok kiszűrésére használhatók. Ez azt jelenti, hogy ha a támadó továbbra is SQL-injektálási kísérleteket hajt végre, lehetséges, hogy feltörik az Azure Cosmos DB-fiókot, és kiszűrik az adatokat.

Ezt a fenyegetést paraméteres lekérdezésekkel előzheti meg.
Támadás előtti Alacsony

Riasztások az Azure hálózati rétegéhez

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Rosszindulatú géppel folytatott hálózati kommunikáció észlelhető
(Network_CommunicationWithC2)
A hálózati forgalom elemzése azt jelzi, hogy a gépe (IP%{Victim IP}) kommunikált a parancs- és vezérlőközponttal. Ha a sérült erőforrás egy terheléselosztó vagy egy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) kommunikált egy adott parancs- és vezérlőközponttal. Parancs és vezérlés Közepes
Lehetséges sérült gép észlelhető
(Network_ResourceIpIndicatedAsMalicious)
A fenyegetésfelderítés azt jelzi, hogy a számítógépét (%{Machine IP}) egy Conficker típusú kártevő feltörhette. A Conficker egy számítógépes féreg volt, amely a Microsoft Windows operációs rendszert célozza, és először 2008 novemberében észlelték. Conficker fertőzött több millió számítógép, beleértve a kormányzati, üzleti és otthoni számítógépek több mint 200 országban / régióban, így ez a legnagyobb ismert számítógépes féreg fertőzés óta a 2003 Welchia féreg. Parancs és vezérlés Közepes
Lehetséges bejövő %{Szolgáltatásnév} találgatásos kísérlet észlelhető
(Generic_Incoming_BF_OneToOne)
A hálózati forgalomelemzés %{Szolgáltatásnév} bejövő kommunikációt észlelt a(z) %{Victim IP} felé, a(z) %{Támadó IP}-ről származó %{Feltört gazdagép} erőforráshoz társítva. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok konkrétan gyanús tevékenységeket mutatnak a(z) %{Start Time} és a(z) %{End Time} között a(z) %{Victim Port} porton. Ez a tevékenység konzisztens a(z) %{Service Name} kiszolgálókon végzett találgatásos kísérletekkel. Előzetes kiosztás Közepes
Lehetséges bejövő SQL találgatásos kísérletek észlelhetők
(SQL_Incoming_BF_OneToOne)
A hálózati forgalomelemzés bejövő SQL-kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Compromised Host} erőforráshoz társított %{Támadó IP}-címről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{End Time} közötti gyanús tevékenységeket jelenítik meg a(z) %{Port Number} porton (%{SQL-szolgáltatástípus}). Ez a tevékenység megfelel az SQL-kiszolgálók ellen indított találgatásos támadásoknak. Előzetes kiosztás Közepes
Lehetséges kimenő szolgáltatásmegtagadási támadás észlelése
(DDOS)
A hálózati forgalomelemzés rendellenes kimenő tevékenységet észlelt, amely a(z) %{Sérült gazdagép} erőforrásból származik az üzemelő példányban. Ez a tevékenység azt jelezheti, hogy az erőforrás biztonsága sérült, és mostantól szolgáltatásmegtagadásos támadásokat végez a külső végpontok ellen. Ha a sérült erőforrás terheléselosztó vagy application gateway, a gyanús tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) sérült. A kapcsolatok mennyisége alapján úgy gondoljuk, hogy a DOS-támadás célpontjai valószínűleg a következő IP-címek: %{Lehetséges áldozatok}. Vegye figyelembe, hogy előfordulhat, hogy bizonyos IP-címekkel való kommunikáció jogszerű. Hatás Közepes
Gyanús bejövő RDP-hálózati tevékenység több forrásból
(RDP_Incoming_BF_ManyToOne)
A hálózati forgalomelemzés rendellenes bejövő rdP-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva, több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok a következőt mutatják: %{Hány támadó IP-cím} egyedi IP-cím csatlakozik az erőforráshoz, amely rendellenesnek minősül ebben a környezetben. Ez a tevékenység arra utalhat, hogy az RDP-végpontot több gazdagépről (Botnet) próbálja meg találgatásos módon kényszeríteni. Előzetes kiosztás Közepes
Gyanús bejövő RDP-hálózati tevékenység
(RDP_Incoming_BF_OneToOne)
A hálózati forgalomelemzés rendellenes bejövő rdP-kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Compromised Host} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok az erőforráshoz érkező %{Kapcsolatok száma} típusú bejövő kapcsolatokat jelenítik meg, amelyek ebben a környezetben rendellenesnek minősülnek. Ez a tevékenység az RDP-végpont találgatásos kényszerítésére tett kísérletet jelezhet Előzetes kiosztás Közepes
Gyanús bejövő SSH-hálózati tevékenység több forrásból
(SSH_Incoming_BF_ManyToOne)
A hálózati forgalom elemzése rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, a(z) %{Sérült gazdagép} erőforráshoz társított több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok a következőt mutatják: %{Hány támadó IP-cím} egyedi IP-cím csatlakozik az erőforráshoz, amely rendellenesnek minősül ebben a környezetben. Ez a tevékenység arra utalhat, hogy az SSH-végpontot több gazdagépről (Botnet) próbálják meg találgatásos támadásra kényszeríteni. Előzetes kiosztás Közepes
Gyanús bejövő SSH-hálózati tevékenység
(SSH_Incoming_BF_OneToOne)
A hálózati forgalom elemzése rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, a(z) %{Compromised Host} erőforráshoz társított %{Támadó IP}-címről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a rendszer a feltételezett bejövő forgalmat a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) továbbítja. A mintául szolgáló hálózati adatok az erőforráshoz érkező %{Kapcsolatok száma} típusú bejövő kapcsolatokat jelenítik meg, amelyek ebben a környezetben rendellenesnek minősülnek. Ez a tevékenység az SSH-végpont találgatásos kényszerítésére tett kísérletet jelezhet Előzetes kiosztás Közepes
Gyanús kimenő %{Támadási protokoll} forgalom észlelhető
(PortScanning)
A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} és a(z) %{Leggyakoribb port} célport között. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. Ez a viselkedés azt jelezheti, hogy az erőforrás részt vesz a(z) %{Attacked Protocol} találgatásos kísérletekben vagy portsöprő támadásokban. Felderítés Közepes
Gyanús kimenő RDP-hálózati tevékenység több célhelyre
(RDP_Outgoing_BF_OneToMany)
A hálózati forgalomelemzés rendellenes kimenő RDP-kommunikációt észlelt több célhely felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. A mintavételezett hálózati adatok azt mutatják, hogy a gép %{Hány megtámadott IP-cím} egyedi IP-címhez csatlakozik, amely rendellenesnek minősül ehhez a környezethez. Ez a tevékenység azt jelezheti, hogy az erőforrás biztonsága sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is. Felderítés Magas
Gyanús kimenő RDP-hálózati tevékenység
(RDP_Outgoing_BF_OneToOne)
A hálózati forgalomelemzés rendellenes kimenő rdp-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. A mintavételezett hálózati adatok az erőforrásból kimenő %{Number of Connections} kapcsolatokat jelenítik meg, amelyek ebben a környezetben rendellenesnek minősülnek. Ez a tevékenység arra utalhat, hogy a gépet feltörték, és az RDP-végpontokra irányuló találgatásos támadási kísérlethez használják. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is. Oldalirányú mozgás Magas
Gyanús kimenő SSH-hálózati tevékenység több célhelyre
(SSH_Outgoing_BF_OneToMany)
A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt több célhely felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. A mintavételezett hálózati adatok azt mutatják, hogy az erőforrás %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás biztonsága sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is. Felderítés Közepes
Gyanús kimenő SSH-hálózati tevékenység
(SSH_Outgoing_BF_OneToOne)
A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. A mintavételezett hálózati adatok az erőforrásból kimenő %{Number of Connections} kapcsolatokat jelenítik meg, amelyek ebben a környezetben rendellenesnek minősülnek. Ez a tevékenység azt jelezheti, hogy az erőforrás biztonsága sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is. Oldalirányú mozgás Közepes
A blokkoláshoz ajánlott IP-címekről észlelt forgalom A Microsoft Defender for Cloud olyan IP-címekről érkező bejövő forgalmat észlelt, amelyeket ajánlott blokkolni. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként a Defender for Cloud fenyegetésfelderítési forrásai rosszindulatúként jelölték meg az IP-címet. Ellenőrzés Alacsony

Az Azure Key Vault riasztásai

További részletek és megjegyzések

Riasztás (riasztás típusa) Description MITRE-taktikák
(További információ)
Súlyosság
Hozzáférés gyanús IP-címről egy kulcstartóhoz
(KV_SuspiciousIPAccess)
A Kulcstartóhoz a Microsoft Threat Intelligence által gyanús IP-címként azonosított IP-cím sikeresen hozzáfért. Ez azt jelezheti, hogy az infrastruktúra biztonsága sérült. Javasoljuk, hogy további vizsgálatot. További információ a Microsoft fenyegetésfelderítési képességeiről. Hitelesítő adatok elérése Közepes
Hozzáférés tor kilépési csomópontról kulcstartóhoz
(KV_TORAccess)
Egy kulcstartó egy ismert TOR kilépési csomópontról érhető el. Ez arra utalhat, hogy egy fenyegetéselosztó hozzáfért a kulcstartóhoz, és a TOR-hálózatot használja a forráshely elrejtéséhez. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Nagy mennyiségű művelet egy kulcstartóban
(KV_OperationVolumeAnomaly)
Egy felhasználó, szolgáltatásnév és/vagy egy adott kulcstartó rendellenes számú key vault-műveletet hajtott végre. Ez a rendellenes tevékenységminta jogos lehet, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Gyanús szabályzatmódosítás és titkos lekérdezés egy kulcstartóban
(KV_PutGetAnomaly)
Egy felhasználó vagy szolgáltatásnév rendellenes tárolóhely-módosítási műveletet hajtott végre, amelyet egy vagy több Titkos kulcs lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatásnév hajtja végre. Ez lehet jogszerű tevékenység, de arra utalhat, hogy a fenyegetést okozó szereplő frissítette a Key Vault-szabályzatot, hogy hozzáférjen a korábban elérhetetlen titkos kulcsokhoz. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Gyanús titkos kódok listázása és lekérdezése egy kulcstartóban
(KV_ListGetAnomaly)
Egy felhasználó vagy szolgáltatásnév rendellenes titkoslista-műveletet hajtott végre, amelyet egy vagy több Titkos kód lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatásnév hajtja végre, és általában a titkos kulcsok memóriaképéhez van társítva. Ez lehet jogszerű tevékenység, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáférést szerzett a kulcstartóhoz, és olyan titkos kódokat próbál felderíteni, amelyekkel oldalirányúan mozoghat a hálózaton, és/vagy bizalmas erőforrásokhoz férhet hozzá. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Szokatlan hozzáférés megtagadva – A nagy mennyiségű kulcstartóhoz hozzáférő felhasználó megtagadva
(KV_AccountVolumeAccessDeniedAnomaly)
Egy felhasználó vagy szolgáltatásnév rendellenesen nagy mennyiségű kulcstartóhoz próbált hozzáférni az elmúlt 24 órában. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, arra utalhat, hogy lehetséges kísérletet tett a key vault és a benne lévő titkos kulcsok elérésére. Javasoljuk a további vizsgálatok elvégzését. Felderítés Alacsony
Szokatlan hozzáférés megtagadva – A Key Vaulthoz való szokatlan hozzáférés megtagadva
(KV_UserAccessDeniedAnomaly)
A kulcstartóhoz való hozzáférést egy olyan felhasználó kísérelte meg, aki általában nem fér hozzá, ez a rendellenes hozzáférési minta jogszerű tevékenység lehet. Bár ez a kísérlet sikertelen volt, arra utalhat, hogy lehetséges kísérletet tett a key vault és a benne lévő titkos kulcsok elérésére. Kezdeti hozzáférés, felderítés Alacsony
Szokatlan alkalmazás fért hozzá egy kulcstartóhoz
(KV_AppAnomaly)
A kulcstartóhoz olyan szolgáltatásnév fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáférést szerzett a kulcstartóhoz, és megkísérelte elérni a benne lévő titkos kulcsokat. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Szokatlan műveleti minta egy kulcstartóban
(KV_OperationPatternAnomaly)
A kulcstartó-műveletek rendellenes mintáját egy felhasználó, egy szolgáltatásnév és/vagy egy adott kulcstartó hajtotta végre. Ez a rendellenes tevékenységminta jogos lehet, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Szokatlan felhasználó fért hozzá egy kulcstartóhoz
(KV_UserAnomaly)
A kulcstartóhoz olyan felhasználó fért hozzá, aki általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáférést szerzett a kulcstartóhoz, és megkísérelte elérni a benne lévő titkos kulcsokat. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
Szokatlan felhasználói-alkalmazáspárok fértek hozzá egy kulcstartóhoz
(KV_UserAppAnomaly)
A kulcstartóhoz egy olyan felhasználó-szolgáltatásnév pár fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de arra utalhat, hogy a fenyegetést okozó szereplő hozzáférést szerzett a kulcstartóhoz, és megkísérelte elérni a benne lévő titkos kulcsokat. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes
A felhasználó nagy mennyiségű kulcstartóhoz fért hozzá
(KV_AccountVolumeAnomaly)
Egy felhasználó vagy szolgáltatásnév rendellenesen nagy mennyiségű kulcstartóhoz fért hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de arra utalhat, hogy egy fenyegetést jelentő szereplő több kulcstartóhoz is hozzáfért, hogy megpróbálja elérni a bennük lévő titkos kulcsokat. Javasoljuk a további vizsgálatok elvégzését. Hitelesítő adatok elérése Közepes

Az Azure DDoS Protection riasztásai

További részletek és megjegyzések

Riasztás Description MITRE-taktikák
(További információ)
Súlyosság
DDoS-támadás észlelhető a nyilvános IP-címhez A rendszer dDoS-támadást észlelt a nyilvános IP-cím (IP-cím) esetében, és elhárította a hibát. Ellenőrzés Magas
DDoS-támadás elhárítva a nyilvános IP-cím esetében A DDoS-támadás elhárítva a nyilvános IP-cím (IP-cím) esetében. Ellenőrzés Alacsony

Biztonsági incidensekkel kapcsolatos riasztások

További részletek és megjegyzések

Riasztás Description MITRE-taktikák
(További információ)
Súlyosság
Biztonsági incidens megosztott folyamat észlelése esetén A(z) {Start Time (UTC)} időpontban indított és a közelmúltban észlelt incidens {Észlelt időpont (UTC)} időpontban azt jelzi, hogy egy támadó {Végrehajtotta} a(z) {Host} erőforrást - Magas
Több erőforráson észlelt biztonsági incidens A(z) {Start Time (UTC)} időpontban indított és a közelmúltban {Észlelt időpont (UTC)} időpontban észlelt incidens azt jelzi, hogy hasonló támadási módszereket hajtottak végre a(z) {Host} felhőerőforrásokon - Közepes
Biztonsági incidens észlelve ugyanabból a forrásból A(z) {Start Time (UTC)} időpontban indított és a közelmúltban észlelt incidens {Észlelt időpont (UTC)} időpontban azt jelzi, hogy egy támadó {Végrehajtotta} a(z) {Host} erőforrást - Magas
Több gépen észlelt biztonsági incidens A(z) {Start Time (UTC)} időpontban indított és a közelmúltban észlelt incidens {Észlelt időpont (UTC)} időpontban azt jelzi, hogy egy támadó {Végrehajtotta} az erőforrásait {Host} - Közepes

MITRE ATT&CK taktikák

A támadás szándékának megértése segíthet az esemény kivizsgálásában és jelentésében. A Microsoft Defender for Cloud riasztásai segítséget nyújtanak a mitRE-taktikák és a számos riasztás között.

Azokat a lépéseket, amelyek leírják a kibertámadás előrehaladását a felderítéstől az adatkiszivárgásig, gyakran nevezik "gyilkossági láncnak".

A Defender for Cloud által támogatott kill chain szándékok a MITRE ATT&CK mátrix 9-es verzióján alapulnak , és az alábbi táblázatban szerepelnek.

Taktika ATT&CK-verzió Description
Előzetes kiosztás A PreAttack lehet egy kísérlet egy adott erőforrás elérésére, függetlenül attól, hogy rosszindulatú szándékról van-e szó, vagy egy sikertelen kísérlet arra, hogy hozzáférést szerezzen egy célrendszerhez az információk kinyerése előtt. Ezt a lépést a rendszer általában a hálózaton kívülről érkező kísérletként észleli a célrendszer vizsgálatára és egy belépési pont azonosítására.
Kezdeti hozzáférés V7, V9 A kezdeti hozzáférés az a szakasz, ahol a támadónak sikerül láblécet szereznie a megtámadott erőforráshoz. Ez a szakasz a számítási gazdagépek és erőforrások, például felhasználói fiókok, tanúsítványok stb. esetében releváns. A fenyegetést jelentő szereplők gyakran képesek lesznek szabályozni az erőforrást a szakasz után.
Kitartás V7, V9 Az adatmegőrzés egy olyan hozzáférés-, művelet- vagy konfigurációmódosítás, amely állandó jelenlétet biztosít a fenyegetést okozó szereplőnek a rendszeren. A fenyegetést okozó szereplőknek gyakran kell fenntartaniuk a rendszerekhez való hozzáférést olyan megszakításokkal, mint például a rendszer újraindítása, a hitelesítő adatok elvesztése vagy más olyan hibák, amelyek miatt a távelérési eszköz újraindítást igényelne, vagy alternatív háttérrendszert kell biztosítaniuk a hozzáférés helyreállításához.
Jogosultság eszkalációja V7, V9 A jogosultságok eszkalálása olyan műveletek eredménye, amelyek lehetővé teszik a támadó számára, hogy magasabb szintű engedélyeket szerezzen egy rendszeren vagy hálózaton. Bizonyos eszközök vagy műveletek magasabb szintű jogosultságot igényelnek a működéshez, és valószínűleg a művelet számos pontján szükségesek. A meghatározott rendszerek elérésére engedéllyel rendelkező felhasználói fiókok, illetve a támadók célja eléréséhez szükséges bizonyos funkciók végrehajtása szintén a jogosultságok eszkalálásának tekinthetők.
Védelmi kijátszás V7, V9 A védelmi kijátszás olyan technikákból áll, mint a támadók által az észlelés elkerülésére vagy más védekezések elkerülésére. Néha ezek a műveletek megegyeznek más kategóriákban alkalmazott technikákkal (vagy változatokkal), amelyek egy adott védelem vagy kockázatcsökkentés kivonásának további előnyeit élvezik.
Hitelesítő adatok elérése V7, V9 A hitelesítő adatokhoz való hozzáférés olyan technikákat jelöl, amelyek a vállalati környezetben használt rendszer-, tartomány- vagy szolgáltatás-hitelesítő adatokhoz való hozzáférést vagy azok vezérlését eredményezik. Az támadók valószínűleg megpróbálják beszerezni a hitelesítő adatokat a hálózaton belüli használathoz szükséges felhasználóktól vagy rendszergazdai fiókoktól (helyi rendszergazda vagy rendszergazdai hozzáféréssel rendelkező tartományi felhasználók). A hálózaton belüli megfelelő hozzáféréssel a támadók fiókokat hozhatnak létre későbbi használatra a környezetben.
Felderítés V7, V9 A felderítés olyan technikákból áll, amelyek lehetővé teszik a támadó számára, hogy ismereteket szerezzen a rendszerről és a belső hálózatról. Amikor a támadók hozzáférést kapnak egy új rendszerhez, meg kell tájékozódniuk, hogy mi felettük van az irányításuk, és milyen előnyöket biztosítanak az adott rendszer működéséből a behatolás során a jelenlegi célkitűzésüknek vagy általános céljaiknak. Az operációs rendszer számos natív eszközt biztosít, amelyek segítik ezt a kompromisszumot követő információgyűjtési fázist.
LateralMovement V7, V9 Az oldalirányú mozgás olyan technikákból áll, amelyek lehetővé teszik a támadók számára a távoli rendszerek elérését és vezérlését egy hálózaton, és nem feltétlenül tartalmazhatnak eszközöket távoli rendszereken. Az oldalirányú mozgási technikák lehetővé tehetik a támadók számára, hogy további eszközök, például távelérési eszközök nélkül gyűjtsenek információkat a rendszerből. A támadók számos célra használhatják az oldalirányú mozgást, beleértve az eszközök távoli végrehajtását, a további rendszerekhez való pivotingot, adott információkhoz vagy fájlokhoz való hozzáférést, a további hitelesítő adatokhoz való hozzáférést, vagy valamilyen hatást okozhatnak.
Futtatási V7, V9 A végrehajtási taktika olyan technikákat jelöl, amelyek a támadó által vezérelt kód végrehajtását eredményezik egy helyi vagy távoli rendszeren. Ezt a taktikát gyakran használják az oldalirányú mozgással együtt a hálózat távoli rendszereihez való hozzáférés bővítéséhez.
Gyűjtemény V7, V9 A gyűjtemény olyan technikákat tartalmaz, amelyek a kiszivárgás előtt azonosítják és gyűjtik az információkat, például a bizalmas fájlokat egy célhálózatról. Ez a kategória olyan rendszereken vagy hálózatokon található helyeket is magában foglal, ahol a támadó kiszűrendő információkat kereshet.
Parancs és vezérlés V7, V9 A parancs- és vezérlési taktika azt jelzi, hogy a támadók hogyan kommunikálnak a célhálózaton belüli irányításuk alatt álló rendszerekkel.
Kiszivárgás V7, V9 A kiszivárgás olyan technikákat és attribútumokat jelent, amelyek a támadó számára fájlokat és információkat távolítanak el a célhálózatról. Ez a kategória olyan rendszereken vagy hálózatokon található helyeket is magában foglal, ahol a támadó kiszűrendő információkat kereshet.
Hatás V7, V9 A hatásesemények elsősorban a rendszer, szolgáltatás vagy hálózat rendelkezésre állásának vagy integritásának közvetlen csökkentésére törekednek; beleértve az adatok kezelését, hogy hatással legyen egy üzleti vagy működési folyamatra. Ez gyakran olyan technikákra utal, mint a zsarolóprogramok, a megtévesztés, az adatmanipuláció és mások.

Megjegyzés

Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Következő lépések

A Microsoft Defender felhőbeli biztonsági riasztásaival kapcsolatos további információkért tekintse meg a következőket: