Riasztások a Resource Managerhez
Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek a Resource Managerhez a Felhőhöz készült Microsoft Defender és az ön által engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Resource Manager-riasztások
Feljegyzés
A delegált hozzáférés-jelzéssel ellátott riasztások a külső szolgáltatók tevékenysége miatt aktiválódnak. további információ a szolgáltatók tevékenységjelzőiről.
További részletek és megjegyzések
Azure Resource Manager-művelet gyanús IP-címről
(ARM_OperationFromSuspiciousIP)
Leírás: A Microsoft Defender for Resource Manager olyan műveletet észlelt egy IP-címről, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Azure Resource Manager-művelet gyanús proxy IP-címről
(ARM_OperationFromSuspiciousProxyIP)
Leírás: A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hoz van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést észlelő szereplők megpróbálják elrejteni a forrás IP-címüket.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzDomainInfo)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Alacsony
Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzureDomainInfo)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Alacsony
A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzVMBulkCMD)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy virtuális gépen vagy a virtuális gépek listájában a kód végrehajtásához. A fenyegetéskezelők automatizált szkripteket, például a MicroBurstot használva futtatnak szkripteket egy virtuális gépen rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet
(RM_MicroBurst.AzureRmVMBulkCMD)
Leírás: A MicroBurst kihasználási eszközkészlete kód végrehajtására szolgál a virtuális gépeken. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
MicroBurst-kihasználási eszközkészlet, amellyel kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultKeysREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a kulcsok Azure Key Vaultból való kinyerésével. A fenyegetést űzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket bizalmas adatok eléréséhez vagy oldalirányú mozgáshoz. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Magas
A Tárfiókok kulcsainak kinyeréséhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AZStorageKeysREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a tárfiók(ok) kulcsainak kinyerésére. A fenyegetéselemzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket a tárfiók(ok) bizalmas adatainak eléréséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
MicroBurst-kihasználási eszközkészlet, amellyel titkos kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a titkos kulcsok Azure Key Vault(ok)ból való kinyerésével. A veszélyforrás-elemzők automatizált szkripteket használnak, például a MicroBurstot a titkos kódok listázására, valamint bizalmas adatok elérésére vagy oldalirányú mozgásra. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Magas
PowerZure-kihasználó eszközkészlet az Azure AD-ből az Azure-ba való hozzáférés emeléséhez
(ARM_PowerZure.AzureElevatedPrivileges)
Leírás: A PowerZure kihasználtsági eszközkészlete az AzureAD-ből az Azure-ba való hozzáférés emelésére szolgál. Ezt a rendszer az Azure Resource Manager-műveletek bérlőben végzett elemzésével észlelte.
Súlyosság: Magas
Erőforrások számbavételéhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.GetAzureTargets)
Leírás: A PowerZure kihasználási eszközkészlete az erőforrások számbavételére szolgál egy megbízható felhasználói fiók nevében a szervezetben. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
Tárolók, megosztások és táblák számbavételéhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.ShowStorageContent)
Leírás: A PowerZure kihasználási eszközkészlete a tárolómegosztások, táblák és tárolók számbavételére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Runbook előfizetésben való végrehajtásához használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.StartRunbook)
Leírás: A PowerZure kihasználási eszközkészlete runbook végrehajtására szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Runbookok tartalmának kinyeréséhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.AzureRunbookContent)
Leírás: A PowerZure kihasználási eszközkészlete runbook-tartalom kinyerésére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
ELŐZETES VERZIÓ – Azurite-eszközkészlet futtatása észlelhető
(ARM_Azurite)
Leírás: A rendszer egy ismert felhőkörnyezeti felderítési eszközkészlet-futtatást észlelt a környezetben. Az Azurite eszközt egy támadó (vagy behatolástesztelő) használhatja az előfizetések erőforrásainak leképezéséhez és a nem biztonságos konfigurációk azonosításához.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
ELŐZETES VERZIÓ – A észlelt számítási erőforrások gyanús létrehozása
(ARM_SuspiciousComputeCreation)
Leírás: A Microsoft Defender for Resource Manager gyanús számítási erőforrások létrehozását észlelte az előfizetésében a virtuális gépek/Azure méretezési csoport használatával. Az azonosított műveletek úgy lettek kialakítva, hogy a rendszergazdák szükség esetén új erőforrások üzembe helyezésével hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket a kriptobányászat végrehajtására használhatja. A tevékenység gyanúsnak minősül, mivel a számítási erőforrások skálázása magasabb az előfizetésben korábban megfigyeltnél. Ez azt jelezheti, hogy a rendszerbiztonsági tag sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús kulcstartó-helyreállítás észlelhető
(Arm_Suspicious_Vault_Recovering)
Leírás: A Microsoft Defender for Resource Manager gyanús helyreállítási műveletet észlelt egy helyreállíthatóan törölt kulcstartó-erőforráshoz. Az erőforrást helyreállító felhasználó eltér a törölt felhasználótól. Ez nagyon gyanús, mert a felhasználó ritkán hív meg ilyen műveletet. Emellett a felhasználó többtényezős hitelesítés (MFA) nélkül jelentkezett be. Ez azt jelezheti, hogy a felhasználó sérült, és titkos kulcsokat és kulcsokat próbál felderíteni, hogy hozzáférhessen a bizalmas erőforrásokhoz, vagy oldalirányú mozgást hajt végre a hálózaton.
MITRE-taktikák: Oldalirányú mozgás
Súlyosság: Közepes/magas
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal
(ARM_UnusedAccountPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hitelesítőadat-hozzáférés" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.CredentialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hitelesítő adatokhoz való hozzáférés
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú adatgyűjtési művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Collection)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Védelmi kijátszás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.DefenseEvasion)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "végrehajtás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Execution)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi végrehajtás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hatás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Impact)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Kezdeti hozzáférés" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.InitialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "Lateral Movement Access" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.LateralMovement)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Oldalirányú mozgás
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "adatmegőrzési" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Persistence)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása egy szolgáltatásnév által észlelt
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal
(ARM_UnusedAccountPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet a PowerShell-lel
(ARM_UnusedAppPowershellPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az előfizetési környezet felügyeletére nem rendszeresen használt egyszerű felhasználó most a PowerShellt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelhető az Azure Portal használatával
(ARM_UnusedAppIbizaPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az azure portalt (Ibiza) rendszeresen nem használó egyszerű felhasználó kezeli az előfizetési környezetet (az elmúlt 45 napban nem használta az Azure Portalt, vagy egy olyan előfizetést, amelyet aktívan kezel), most az Azure Portalt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Az előfizetéshez gyanús módon létrehozott emelt szintű egyéni szerepkör (előzetes verzió)
(ARM_PrivilegedRoleDefinitionCreation)
Leírás: A Microsoft Defender for Resource Manager gyanús egyéni szerepkördefiníciót észlelt az előfizetésében. Előfordulhat, hogy ezt a műveletet egy megbízható felhasználó hajtotta végre a szervezetben. Azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy kiemelt szerepkört próbál létrehozni a jövőben az észlelés megkerüléséhez.
MITRE-taktikák: Privilege Escalation, Defense Evasion
Súlyosság: Tájékoztató
Gyanús Azure-szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousRBACRoleAssignment)
Leírás: A Microsoft Defender for Resource Manager gyanús Azure-szerepkör-hozzárendelést azonosított / amelyet a bérlőben a PIM (Privileged Identity Management) használatával hajtottak végre, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára az Azure-erőforrásokhoz való hozzáférést. Bár ez a tevékenység jogos lehet, a fenyegetést kérő szereplők szerepkör-hozzárendeléssel eszkalálhatják az engedélyeiket, ami lehetővé teszi számukra a támadás továbblépését.
MITRE taktika: Lateral Movement, Defense Evasion
Súlyosság: Alacsony (PIM) / Magas
Gyanús meghívás egy magas kockázatú "Hitelesítőadat-hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.CredentialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Nagy kockázatú adatgyűjtési művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Collection)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Gyanús meghívás egy magas kockázatú "Defense Evasion" művelet észlelése (előzetes verzió)
(ARM_AnomalousOperation.DefenseEvasion)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Magas kockázatú végrehajtási művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Execution)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Nagy kockázatú "Hatás" művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Impact)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús meghívás egy magas kockázatú "Kezdeti hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.InitialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Nagy kockázatú oldalirányú mozgást észlelő művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.LateralMovement)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
Gyanús emelési hozzáférési művelet (előzetes verzió)(ARM_AnomalousElevateAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús "Hozzáférés emelése" műveletet észlelt. A tevékenység gyanúsnak minősül, mivel ez a rendszerbiztonsági tag ritkán hív meg ilyen műveleteket. Bár ez a tevékenység jogos lehet, a fenyegetést kezelő szereplő egy "Hozzáférés emelése" művelettel eszkalálhatja a jogosultságok eszkalálását egy sérült felhasználó számára.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
Egy magas kockázatú "Adatmegőrzés" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Persistence)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.PrivilegeEscalation)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
A MicroBurst-kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához
(ARM_MicroBurst.RunCodeOnBehalf)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy tetszőleges kód végrehajtásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához. A veszélyforrás-szereplők automatizált szkripteket, például a MicroBurstot használnak a rosszindulatú tevékenységek tetszőleges kódjának futtatásához. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Adatmegőrzés, Hitelesítő adatok elérése
Súlyosság: Magas
NetSPI-technikák használata az Azure-környezetben való megőrzés fenntartásához
(ARM_NetSPI.MaintainPersistence)
Leírás: A NetSPI-adatmegőrzési technika használata webhook-háttérrendszer létrehozásához és az Azure-környezetben való megőrzéséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
A PowerZure kihasználási eszközkészletének használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához
(ARM_PowerZure.RunCodeOnBehalf)
Leírás: A PowerZure kihasználási eszközkészlete kódot próbált futtatni vagy kiszúrni az Azure Automation-fiók hitelesítő adatait. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
A PowerZure függvény használata az Azure-környezetben való megőrzés fenntartásához
(ARM_PowerZure.MaintainPersistence)
Leírás: A PowerZure kihasználó eszközkészlete webhook-háttérrendszer létrehozását észlelte az Azure-környezetben való megőrzés fenntartása érdekében. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Gyanús klasszikus szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousClassicRoleAssignment)
Leírás: A Microsoft Defender for Resource Manager gyanús klasszikus szerepkör-hozzárendelést észlelt a bérlőben, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek úgy lettek kialakítva, hogy visszamenőleges kompatibilitást biztosítsanak a már nem gyakran használt klasszikus szerepkörökkel. Bár ez a tevékenység jogos lehet, a fenyegetéselosztó az ilyen hozzárendelést arra használhatja, hogy engedélyeket adjon egy másik felhasználói fióknak az irányításuk alatt.
MITRE taktika: Lateral Movement, Defense Evasion
Súlyosság: Magas
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: