Riasztások Azure-beli virtuálisgép-bővítményekhez
Ez a cikk felsorolja az Azure-beli virtuálisgép-bővítmények Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagok biztonsági riasztásait. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Azure-beli virtuálisgép-bővítmények riasztásai
Ezek a riasztások az Azure-beli virtuálisgép-bővítmények gyanús tevékenységeinek észlelésére összpontosítanak, és betekintést nyújtanak a támadók azon kísérleteibe, amelyek kártékony tevékenységeket próbálnak végrehajtani a virtuális gépeken.
Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés után futnak a virtuális gépeken, és olyan képességeket biztosítanak, mint a konfiguráció, az automatizálás, a monitorozás, a biztonság stb. Bár a bővítmények hatékony eszközök, a fenyegetést javító szereplők különböző rosszindulatú szándékokhoz használhatják őket, például:
Adatgyűjtés és monitorozás
Kódvégrehajtás és konfiguráció üzembe helyezése magas jogosultságokkal
Hitelesítő adatok visszaállítása és rendszergazdai felhasználók létrehozása
Lemezek titkosítása
További információ az Azure-beli virtuálisgép-bővítmények visszaélései elleni legújabb védelemről Felhőhöz készült Defender.
Gyanús hiba a GPU-bővítmény előfizetésben való telepítésekor (előzetes verzió)
(VM_GPUExtensionSuspiciousFailure)
Leírás: A GPU-bővítmény nem támogatott virtuális gépekre való telepítésének gyanús szándéka. Ezt a bővítményt grafikus processzorral felszerelt virtuális gépekre kell telepíteni, és ebben az esetben a virtuális gépek nincsenek ilyennel felszerelve. Ezek a hibák akkor láthatók, ha rosszindulatú támadók több ilyen kiterjesztésű telepítést hajtanak végre titkosítási bányászat céljából.
MITRE-taktikák: Hatás
Súlyosság: Közepes
A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
A rendszer gyanús szkripttel futtatott parancsot észlelt a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousScript)
Leírás: A rendszer gyanús szkripttel rendelkező futtatási parancsot észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancs használatával futtathatnak rosszindulatú kódot magas jogosultságokkal a virtuális gépen az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Gyanús, jogosulatlan futtatási parancshasználatot észlelt a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousFailure)
Leírás: A futtatási parancs gyanús jogosulatlan használata sikertelen volt, és a rendszer az előfizetés Azure Resource Manager-műveleteinek elemzésével észlelte a virtuális gépen. Előfordulhat, hogy a támadók a Futtatás parancs használatával próbálnak rosszindulatú kódot végrehajtani magas jogosultságokkal a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús futtatási parancs használatát észlelte a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousUsage)
Leírás: A rendszer gyanúsan használja a futtatási parancsot a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancsot használhatják a magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)
(VM_SuspiciousMultiExtensionUsage)
Leírás: A rendszer több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek az ilyen bővítményekkel az adatgyűjtéshez, a hálózati forgalom monitorozásához és egyebekhez az előfizetésben. Ezt a használatot gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
A rendszer gyanús lemeztitkosítási bővítményeket észlelt a virtuális gépeken (előzetes verzió)
(VM_DiskEncryptionSuspiciousUsage)
Leírás: A rendszer gyanús lemeztitkosítási bővítmények telepítését észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek a lemeztitkosítási bővítménysel, hogy teljes lemeztitkosításokat helyezzenek üzembe a virtuális gépeken az Azure Resource Manageren keresztül, hogy zsarolóprogram-tevékenységet hajtsanak végre. Ez a tevékenység gyanúsnak minősül, mivel korábban és a bővítménytelepítések nagy száma miatt nem volt gyakran látható.
MITRE-taktikák: Hatás
Súlyosság: Közepes
A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)
(VM_VMAccessSuspiciousUsage)
Leírás: A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken. Előfordulhat, hogy a támadók visszaélnek a VMAccess bővítménysel, hogy hozzáférést szerezzenek, és magas jogosultságokkal veszélyeztessék a virtuális gépeket a hozzáférés alaphelyzetbe állításával vagy a rendszergazda felhasználók kezelésével. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_DSCExtensionSuspiciousScript)
Leírás: A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A rendszer gyanúsan használja a kívánt állapotkonfigurációs (DSC) bővítményt a virtuális gépeken (előzetes verzió)
(VM_DSCExtensionSuspiciousUsage)
Leírás: A rendszer a kívánt állapotkonfigurációs (DSC) bővítmény gyanús használatát észlelte a virtuális gépeken az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_CustomScriptExtensionSuspiciousCmd)
Leírás: A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményt használhatnak a virtuális gépen magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Az egyéni szkriptbővítmény gyanús sikertelen végrehajtása a virtuális gépen
(VM_CustomScriptExtensionSuspiciousFailure)
Leírás: A rendszer gyanús hibát észlelt egy egyéni szkriptbővítményen a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Ezek a hibák a bővítmény által futtatott rosszindulatú szkriptekhez lehetnek társítva.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Az egyéni szkriptbővítmény szokatlan törlése a virtuális gépen
(VM_CustomScriptExtensionUnusualDeletion)
Leírás: A rendszer szokatlan módon törölte az egyéni szkriptbővítményt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Az egyéni szkriptbővítmény szokatlan végrehajtása a virtuális gépen
(VM_CustomScriptExtensionUnusualExecution)
Leírás: Egy egyéni szkriptbővítmény szokatlan végrehajtását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egyéni szkriptbővítmény gyanús belépési ponttal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Leírás: A rendszer gyanús belépési ponttal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A belépési pont egy gyanús GitHub-adattárra hivatkozik. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egyéni szkriptbővítmény gyanús hasznos adatokkal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousPayload)
Leírás: A rendszer egy gyanús GitHub-adattárból származó hasznos adattal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.