Peringatan keamanan - panduan referensi

Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan dari Microsoft Defender untuk Cloud dan paket Microsoft Defender apa pun yang telah Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.

Di bagian bawah halaman ini, terdapat tabel yang menggambarkan rantai penyerangan Microsoft Defender untuk Cloud yang selaras dengan versi 9 dari matriks MITRE ATT&CK.

Pelajari cara menanggapi pemberitahuan ini.

Pelajari cara mengekspor pemberitahuan.

Catatan

Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.

Peringatan untuk komputer Windows

Microsoft Defender untuk Server Paket 2 menyediakan deteksi dan peringatan unik, selain yang disediakan oleh Microsoft Defender untuk Titik Akhir. Peringatan yang diberikan untuk mesin Windows adalah:

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Masuk dari IP berbahaya telah terdeteksi. [dilihat beberapa kali] Autentikasi jarak jauh berhasil untuk akun [akun] dan proses [proses] terjadi, namun alamat IP masuk (x.x.x.x) sebelumnya telah dilaporkan sebagai berbahaya atau sangat tidak biasa. Serangan yang berhasil mungkin telah terjadi. File dengan ekstensi.scr adalah file pengaman layar dan biasanya berada dan dieksekusi dari direktori sistem Windows. - Tinggi
Penambahan akun Tamu ke grup Administrator Lokal Analisis data host telah mendeteksi penambahan akun Tamu bawaan ke grup Administrator Lokal pada %{Compromised Host}, yang sangat terkait dengan aktivitas penyerang. - Medium
Log kejadian telah dibersihkan Log komputer menunjukkan operasi kliring log kejadian yang mencurigakan oleh pengguna: '%{user name}' di komputer: '%{CompromisedEntity}'. Log %{log channel} telah dibersihkan. - Informasi
Aksi Antimalware Gagal Microsoft Antimalware menemui galat ketika mengambil tindakan pada malware atau perangkat lunak lain yang kemungkinan tidak diinginkan. - Medium
Tindakan Antimalware Diambil Microsoft Antimalware for Azure telah mengambil tindakan untuk melindungi komputer ini dari malware atau perangkat lunak lain yang kemungkinan tidak diinginkan. - Medium
Pengecualian file luas antimalware di komputer virtual Anda
(VM_AmBroadFilesExclusion)
Pengecualian file dari ekstensi antimalware dengan aturan pengecualian luas terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Pengecualian tersebut praktis menonaktifkan perlindungan Antimalware.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
- Medium
Antimalware dinonaktifkan dan eksekusi kode di komputer virtual Anda
(VM_AmDisablementAndCodeExecution)
Antimalware dinonaktifkan bersamaan dengan eksekusi kode pada komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang menonaktifkan pemindai antimalware untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
- Tinggi
Antimalware dinonaktifkan di komputer virtual Anda
(VM_AmDisablement)
Antimalware dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
Penghindaran Perlindungan Medium
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda
(VM_AmFileExclusionAndCodeExecution)
File dikecualikan dari pemindai antimalware Anda pada saat yang sama saat kode dieksekusi melalui ekstensi skrip khusus di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Penghindaran Pertahanan, Eksekusi Tinggi
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda
(VM_AmTempFileExclusionAndCodeExecution)
Pengecualian file sementara dari ekstensi antimalware secara paralel dengan eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Pertahanan, Eksekusi Tinggi
Pengecualian file antimalware di komputer virtual Anda
(VM_AmTempFileExclusion)
File dikecualikan dari pemindai antimalware Anda di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan di komputer virtual Anda
(VM_AmRealtimeProtectionDisabled)
Penonaktifan perlindungan real-time dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTempRealtimeProtectionDisablement)
Penonaktifan sementara perlindungan real-time dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan sementara saat kode dijalankan di komputer virtual Anda
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Perlindungan real-time penonaktifan sementara ekstensi antimalware secara paralel dengan eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
- Tinggi
Pemindaian antimalware diblokir untuk file yang berpotensi terkait dengan kampanye malware di komputer virtual Anda (Pratinjau)
(VM_AmMalwareCampaignRelatedExclusion)
Aturan pengecualian terdeteksi di komputer virtual Anda untuk mencegah ekstensi antimalware Anda memindai file tertentu yang diduga terkait dengan kampanye malware. Aturan terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware. Penghindaran Pertahanan Medium
Antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTemporarilyDisablement)
Antimalware untuk sementara dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
- Medium
Pengecualian file antimalware yang tidak biasa di komputer virtual Anda
(VM_UnusualAmFileExclusion)
Pengecualian file yang tidak biasa dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman
(AzureDNS_ThreatIntelSuspectDomain)
Komunikasi dengan domain yang mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkannya dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan intelijen ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi. Akses Awal, Persistensi, Eksekusi, Perintah Dan Kontrol, Eksploitasi Medium
Ekstensi skrip ubahsuaian dengan perintah mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousCmd)
Ekstensi skrip kustom dengan perintah mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Ekstensi skrip khusus dengan titik masuk yang mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Ekstensi skrip kustom dengan titik masuk yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Titik masuk mengacu pada repositori GitHub yang mencurigakan.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Ekstensi skrip khusus dengan muatan mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousPayload)
Ekstensi skrip kustom dengan muatan dari repositori GitHub yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Tindakan yang terdeteksi menunjukkan menonaktifkan dan menghapus file log IIS Analisis data host mendeteksi tindakan yang menunjukkan file log IIS dinonaktifkan dan/atau dihapus. - Medium
Campuran anomali yang terdeteksi dari karakter huruf besar dan kecil dalam baris perintah Analisis data host pada %{Compromised Host} mendeteksi baris perintah dengan campuran karakter huruf besar dan kecil yang ganjil. Pola semacam ini, sementara mungkin jinak, juga khas penyerang yang mencoba bersembunyi dari pencocokan aturan peka huruf besar/kecil atau berbasis hash ketika melakukan tugas administratif pada host yang disusupi. - Medium
Terdeteksi perubahan pada kunci registri yang dapat disalahgunakan untuk melewati UAC Analisis data host pada %{Compromised Host} mendeteksi bahwa kunci registri yang dapat disalahgunakan untuk melewati UAC (Kontrol Akun Pengguna) diubah. Konfigurasi semacam ini, meskipun mungkin tidak berbahaya, juga merupakan tipikal aktivitas penyerang ketika mencoba berpindah dari akses yang tidak memiliki hak (pengguna standar) ke akses yang memiliki hak istimewa (misalnya administrator) pada host yang disusupi. - Medium
Decoding yang terdeteksi dari executable menggunakan alat certutil.exe bawaan Analisis data host pada %{Compromised Host} mendeteksi bahwa certutil.exe, utilitas administrator bawaan, sedang digunakan untuk mendekode executable alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan alat seperti certutil.exe untuk memecahkan kode executable berbahaya yang kemudian akan dieksekusi. - Tinggi
Terdeteksi mengaktifkan kunci registri WDigest UseLogonCredential Analisis data host mendeteksi perubahan kunci registri HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Secara khusus kunci ini telah diperbarui untuk memungkinkan kredensial log masuk disimpan dalam teks yang jelas dalam memori LSA. Setelah diaktifkan penyerang dapat membuang kata sandi teks yang jelas dari memori LSA dengan alat pemanenan kredensial seperti Mimikatz. - Medium
Eksekusi terkodekan yang terdeteksi dalam data baris perintah Analisis data host pada %{Compromised Host} mendeteksi sebuah basis-64 dikodekan executable. Ini sebelumnya telah dikaitkan dengan penyerang yang mencoba membangun executables on-the-fly melalui urutan perintah, dan berusaha menghindari sistem deteksi intrusi dengan memastikan bahwa tidak ada perintah individu yang akan memicu peringatan. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan. - Tinggi
Baris perintah obfuscated terdeteksi Penyerang menggunakan teknik obfuscation yang semakin kompleks untuk menghindari deteksi yang berjalan terhadap data yang mendasarinya. Analisis data host pada %{Compromised Host} mendeteksi indikator obfuscation yang mencurigakan pada commandline. - Informasi
Indikator ransomware Petya yang terdeteksi Analisis data host pada indikator yang terdeteksi %{Compromised Host} yang terkait dengan ransomware Petya. Lihat https://aka.ms/petya-blog untuk informasi lebih lanjut. Tinjau baris perintah yang terkait dalam peringatan ini dan tingkatkan pemberitahuan ini ke tim keamanan Anda. - Tinggi
Terdeteksi kemungkinan eksekusi keygen dapat dieksekusi Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses yang namanya menunjukkan alat keygen; alat tersebut biasanya digunakan untuk mengalahkan mekanisme lisensi perangkat lunak tetapi unduhan mereka sering dibundel dengan perangkat lunak berbahaya lainnya. Kelompok aktivitas GOLD telah dikenal untuk memanfaatkan keygen tersebut untuk secara diam-diam mendapatkan akses pintu belakang ke tuan rumah yang mereka kompromi. - Medium
Terdeteksi kemungkinan eksekusi penetes malware Analisis data host pada %{Compromised Host} mendeteksi nama berkas yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk menginstal malware pada host korban. - Tinggi
Terdeteksi kemungkinan aktivitas pengintaian lokal Analisis data host pada %{Compromised Host} mendeteksi kombinasi perintah systeminfo yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk melakukan aktivitas pengintaian. Sementara 'systeminfo.exe' adalah alat Windows yang sah, mengeksekusinya dua kali berturut-turut dengan cara yang telah terjadi di sini jarang terjadi. -
Terdeteksi kemungkinan penggunaan alat Telegram yang berpotensi mencurigakan Analisis data host menunjukkan instalasi Telegram, layanan pesan instan berbasis cloud gratis yang ada baik untuk sistem seluler maupun desktop. Penyerang diketahui menyalahgunakan layanan ini untuk mentransfer biner berbahaya ke komputer, ponsel, atau tablet lain. - Medium
Penindasan yang terdeteksi dari pemberitahuan hukum ditampilkan kepada pengguna saat log masuk Analisis data host pada %{Compromised Host} mendeteksi perubahan pada kunci registri yang mengontrol apakah pemberitahuan hukum ditampilkan kepada pengguna saat mereka log masuk. Analisis keamanan Microsoft telah menentukan bahwa ini adalah aktivitas umum yang dilakukan oleh penyerang setelah membahayakan host. - Rendah
Terdeteksi kombinasi mencurigakan dari HTA dan PowerShell mshta.exe (Microsoft HTML Application Host) yang merupakan biner Microsoft yang ditandatangani sedang digunakan oleh penyerang untuk meluncurkan perintah PowerShell berbahaya. Penyerang sering menggunakan file HTA dengan VBScript sebaris. Ketika korban menelusuri ke file HTA dan memilih untuk menjalankannya, perintah PowerShell dan skrip yang dikandungnya dijalankan. Analisis data host pada %{Compromised Host} mendeteksi mshta.exe meluncurkan perintah PowerShell. - Medium
Argumen baris perintah yang terdeteksi mencurigakan Analisis data host pada %{Compromised Host} mendeteksi argumen commandline mencurigakan yang telah digunakan bersama dengan shell terbalik yang digunakan oleh kelompok aktivitas HYDROGEN. - Tinggi
Baris perintah mencurigakan terdeteksi digunakan untuk memulai semua executable dalam direktori Analisis data host telah mendeteksi proses mencurigakan yang berjalan pada %{Compromised Host}. Baris perintah menunjukkan upaya untuk memulai semua executables (*.exe) yang mungkin berada di direktori. Ini bisa menjadi indikasi host yang disusupi. - Medium
Terdeteksi kredensial mencurigakan dalam baris perintah Analisis data host pada %{Compromised Host} mendeteksi kata sandi mencurigakan yang digunakan untuk mengeksekusi berkas oleh grup aktivitas BORON. Kelompok aktivitas ini telah diketahui menggunakan kata sandi ini untuk mengeksekusi malware Pirpi pada host korban. - Tinggi
Terdeteksi kredensial dokumen yang mencurigakan Analisis data host pada %{Compromised Host} mendeteksi hash kata sandi prakomputer yang mencurigakan dan umum yang digunakan oleh malware yang digunakan untuk mengeksekusi file. Kelompok aktivitas HYDROGEN telah diketahui menggunakan kata sandi ini untuk mengeksekusi malware pada host korban. - Tinggi
Terdeteksi eksekusi mencurigakan dari perintah VBScript.Encode Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah VBScript.Encode. Ini mengkodekan skrip ke dalam teks yang tidak dapat dibaca, sehingga lebih sulit bagi pengguna untuk memeriksa kode. Penelitian ancaman Microsoft menunjukkan bahwa penyerang sering menggunakan file VBscript yang dikodekan sebagai bagian dari serangan mereka untuk menghindari sistem deteksi. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan. - Medium
Terdeteksi eksekusi mencurigakan melalui rundll32.exe Analisis data host pada %{Compromised Host} mendeteksi rundll32.exe digunakan untuk menjalankan proses dengan nama yang tidak biasa, konsisten dengan skema penamaan proses yang sebelumnya terlihat digunakan oleh kelompok aktivitas GOLD ketika menginstal implan tahap pertama mereka pada host yang disusupi. - Tinggi
Perintah pembersihan berkas mencurigakan yang terdeteksi Analisis data host pada %{Compromised Host} mendeteksi kombinasi perintah systeminfo yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk melakukan aktivitas pembersihan mandiri pasca-tersusupi. Sementara 'systeminfo.exe' adalah alat Windows yang sah, mengeksekusinya dua kali berturut-turut, diikuti dengan perintah penghapusan dengan cara yang telah terjadi di sini jarang terjadi. - Tinggi
Pembuatan file mencurigakan yang terdeteksi Analisis data host pada %{Compromised Host} mendeteksi pembuatan atau eksekusi proses yang sebelumnya telah menunjukkan tindakan pasca-kompromi yang diambil pada host korban oleh kelompok aktivitas BARIUM. Kelompok aktivitas ini telah diketahui menggunakan teknik ini untuk mengunduh malware tambahan ke host yang disusupi setelah lampiran dalam pemalsuan dokumen telah dibuka. - Tinggi
Terdeteksi mencurigakan bernama pipa komunikasi Analisis data host pada %{Compromised Host} mendeteksi data yang ditulis ke pipa bernama lokal dari perintah konsol Windows. Pipa bernama dikenal sebagai saluran yang digunakan oleh penyerang untuk bertugas dan berkomunikasi dengan implan berbahaya. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan. - Tinggi
Aktivitas jaringan mencurigakan yang terdeteksi Analisis lalu lintas jaringan dari %{Compromised Host} mendeteksi aktivitas jaringan yang mencurigakan. Lalu lintas seperti itu, sementara mungkin jinak, biasanya digunakan oleh penyerang untuk berkomunikasi dengan server berbahaya untuk mengunduh alat, perintah dan kontrol dan penyelundupan data. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya. - Rendah
Terdeteksi aturan firewall baru yang mencurigakan Analisis data host mendeteksi aturan firewall baru telah ditambahkan melalui netsh.exe memungkinkan lalu lintas dari executable di lokasi yang mencurigakan. - Medium
Terdeteksi mencurigakan penggunaan Cacls untuk menurunkan status keamanan sistem Penyerang menggunakan segudang cara seperti brute force, spear phishing dll untuk mencapai penyusupan awal dan mendapatkan pijakan di jaringan. Setelah kompromi awal tercapai, mereka sering mengambil langkah-langkah untuk menurunkan pengaturan keamanan sistem. Cacls—kependekan dari daftar kontrol akses perubahan adalah utilitas baris perintah asli Microsoft Windows yang sering digunakan untuk memodifikasi izin keamanan pada folder dan file. Banyak waktu biner digunakan oleh penyerang untuk menurunkan pengaturan keamanan suatu sistem. Ini dilakukan dengan memberi Semua orang akses penuh ke beberapa biner sistem seperti ftp.exe, net.exe, wscript.exe dll. Analisis data host pada %{Compromised Host} mendeteksi penggunaan Cacls yang mencurigakan untuk menurunkan keamanan sistem. - Medium
Terdeteksi mencurigakan penggunaan FTP -s Switch Analisis data pembuatan proses dari %{Compromised Host} mendeteksi penggunaan sakelar FTP "-s:filename". Sakelar ini digunakan untuk menentukan berkas skrip FTP untuk dijalankan klien. Malware atau proses berbahaya diketahui menggunakan sakelar FTP ini (-s:nama file) untuk menunjuk ke file skrip yang dikonfigurasi untuk terhubung ke server FTP jarak jauh dan mengunduh biner berbahaya tambahan. - Medium
Terdeteksi penggunaan mencurigakan dari Pcalua.exe meluncurkan kode yang dapat dieksekusi Analisis data host pada %{Compromised Host} mendeteksi penggunaan pcalua.exe meluncurkan kode yang dapat dieksekusi. Pcalua.exe adalah komponen dari "Asisten Kompatibilitas Program" Microsoft Windows yang mendeteksi masalah kompatibilitas selama instalasi atau eksekusi program. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat sistem Windows yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan pcalua.exe dengan -a switch untuk meluncurkan executable berbahaya baik secara lokal atau dari saham jarak jauh. - Medium
Terdeteksi penonaktifan layanan penting Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah "net.exe stop" yang digunakan untuk menghentikan layanan penting seperti SharedAccess atau aplikasi Windows Security. Penghentian salah satu layanan ini dapat menjadi indikasi perilaku jahat. - Medium
Perilaku terkait penambangan mata uang digital terdeteksi Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital. - Tinggi
Konstruksi skrip PS dinamis Analisis data host pada %{Compromised Host} mendeteksi skrip PowerShell sedang dibangun secara dinamis. Penyerang kadang-kadang menggunakan pendekatan ini secara progresif membangun skrip untuk menghindari sistem IDS. Ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah dikompromikan. - Medium
Executable ditemukan berjalan dari lokasi yang mencurigakan Analisis data host mendeteksi berkas yang dapat dieksekusi pada %{Host Disusupi} yang berjalan dari lokasi yang sama dengan berkas mencurigakan yang diketahui. Executable ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi. - Tinggi
Perilaku Serangan Tanpa Berkas Terdeteksi
(VM_FilelessAttackBehavior.Windows)
Memori proses yang ditentukan berisi perilaku yang biasa digunakan oleh serangan tanpa file. Perilaku spesifik meliputi:
1) Shellcode, yang merupakan bagian kecil dari kode biasanya digunakan sebagai muatan dalam eksploitasi kerentanan perangkat lunak.
2) Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
3) Fungsi panggilan ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
4) Berisi thread yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.
Penghindaran Pertahanan Rendah
Teknik serangan tanpa file terdeteksi
(VM_FilelessAttackTechnique.Windows)
Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Perilaku spesifik meliputi:
1) Shellcode, yang merupakan bagian kecil dari kode biasanya digunakan sebagai muatan dalam eksploitasi kerentanan perangkat lunak.
2) Gambar yang dapat dieksekusi disuntikkan ke dalam proses, seperti dalam serangan injeksi kode.
3) Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
4) Fungsi panggilan ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
5) Proses berlubang, yang merupakan teknik yang digunakan oleh malware di mana proses yang sah dimuat pada sistem untuk bertindak sebagai wadah untuk kode bermusuhan.
6) Berisi thread yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.
Penghindaran Pertahanan, Eksekusi Tinggi
Toolkit serangan tanpa file terdeteksi
(VM_FilelessAttackToolkit.Windows)
Memori proses yang ditentukan berisi toolkit serangan tanpa file: [nama toolkit]. Toolkit serangan tanpa file menggunakan teknik yang meminimalkan atau menghilangkan jejak malware pada disk, dan sangat mengurangi kemungkinan deteksi oleh solusi pemindaian malware berbasis disk. Perilaku spesifik meliputi:
1) Toolkit terkenal dan perangkat lunak penambangan kripto.
2) Shellcode, yang merupakan bagian kecil dari kode biasanya digunakan sebagai muatan dalam eksploitasi kerentanan perangkat lunak.
3) Disuntikkan eksekusi berbahaya dalam memori proses.
Penghindaran Pertahanan, Eksekusi Medium
Perangkat lunak berisiko tinggi terdeteksi Analisis data host dari %{Compromised Host} mendeteksi penggunaan piranti lunak yang telah dikaitkan dengan pemasangan malware di masa lalu. Teknik umum yang digunakan dalam distribusi perangkat lunak berbahaya adalah mengemasnya dalam alat jinak seperti yang terlihat dalam peringatan ini. Setelah menggunakan alat-alat ini, malware dapat diam-diam diinstal di latar belakang. - Medium
Anggota grup Administrator Lokal dimaklumi Log komputer menunjukkan pencacahan yang berhasil pada grup %{Enumerated Group Domain Name}%{Enumerated Group Name}. Secara khusus, %{Menghitung Nama Domain Pengguna}%{Menghitung Nama Pengguna} dari jarak jauh menghitung anggota grup domain %{Enumerated Group Name}%grup {Enumerated Group Name}. Aktivitas ini bisa berupa aktivitas yang sah, atau indikasi bahwa komputer di organisasi Anda telah disusupi dan digunakan untuk pengintaian %{vmname}. - Informasi
Aturan firewall berbahaya yang dibuat oleh implan server ZINC [dilihat beberapa kali] Aturan firewall dibuat menggunakan teknik yang cocok dengan aktor yang dikenal, ZINC. Aturan ini mungkin digunakan untuk membuka porta pada %{Host yang Disusupi} untuk memungkinkan & Kontrol Perintah. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Tinggi
Aktivitas SQL berbahaya Log komputer mengindikasikan bahwa '%{nama proses}' dijalankan oleh akun: %{nama pengguna}. Kegiatan ini dianggap berbahaya. - Tinggi
Beberapa Akun Domain Dikueri Analisis data host telah menentukan bahwa jumlah akun domain yang berbeda yang tidak biasa sedang dikueri dalam waktu singkat dari %{Compromised Host}. Kegiatan semacam ini bisa sah, tetapi juga bisa menjadi indikasi kompromi. - Medium
Kemungkinan pembuangan kredensial terdeteksi [dilihat beberapa kali] Analisis data host telah mendeteksi penggunaan alat windows asli (misalnya sqldumper.exe) digunakan dengan cara yang memungkinkan untuk mengekstrak kredensial dari memori. Penyerang sering menggunakan teknik ini untuk mengekstrak kredensial yang kemudian mereka gunakan lebih lanjut untuk gerakan lateral dan eskalasi hak istimewa. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Potensi upaya untuk melewati AppLocker terdeteksi Analisis data host pada %{Compromised Host} mendeteksi potensi upaya untuk melewati pembatasan AppLocker. AppLocker dapat dikonfigurasi untuk menerapkan kebijakan yang membatasi apa yang dijalankan diizinkan untuk berjalan pada sistem Windows. Pola baris perintah yang mirip dengan yang diidentifikasi dalam peringatan ini sebelumnya telah dikaitkan dengan upaya penyerang untuk menghindari kebijakan AppLocker dengan menggunakan executable tepercaya (diizinkan oleh kebijakan AppLocker) untuk mengeksekusi kode yang tidak tepercaya. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan. - Tinggi
Eksekusi PsExec terdeteksi
(VM_RunByPsExec)
Analisis data host menunjukkan bahwa proses %{Nama Proses} dijalankan oleh utilitas PsExec. PsExec dapat digunakan untuk menjalankan proses dari jarak jauh. Teknik ini mungkin digunakan untuk tujuan jahat. Gerakan Lateral, Eksekusi Informasi
Indikator ransomware terdeteksi [terlihat beberapa kali] Analisis data host menunjukkan aktivitas mencurigakan yang secara tradisional terkait dengan ransomware layar kunci dan enkripsi. Ransomware layar kunci menampilkan pesan layar penuh yang mencegah penggunaan interaktif host dan akses ke file-filenya. Ransomware enkripsi mencegah akses dengan mengenkripsi file data. Dalam kedua kasus, pesan tebusan biasanya ditampilkan, meminta pembayaran untuk memulihkan akses file. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Tinggi
Indikator ransomware terdeteksi Analisis data host menunjukkan aktivitas mencurigakan yang secara tradisional terkait dengan ransomware layar kunci dan enkripsi. Ransomware layar kunci menampilkan pesan layar penuh yang mencegah penggunaan interaktif host dan akses ke file-filenya. Ransomware enkripsi mencegah akses dengan mengenkripsi file data. Dalam kedua kasus, pesan tebusan biasanya ditampilkan, meminta pembayaran untuk memulihkan akses file. - Tinggi
Grup layanan SVCHOST langka dijalankan
(VM_SvcHostRunInRareServiceGroup)
Proses sistem SVCHOST diamati menjalankan grup layanan langka. Malware sering menggunakan SVCHOST untuk menyamarkan aktivitas berbahayanya. Penghindaran Pertahanan, Eksekusi Informasi
Serangan tombol lengket terdeteksi Analisis data host menunjukkan bahwa penyerang mungkin menumbangkan biner aksesibilitas (misalnya tombol lengket, keyboard pada layar, narator) untuk menyediakan akses backdoor ke host %{Compromised Host}. - Medium
Serangan brute force yang sukses
(VM_LoginBruteForceSuccess)
Beberapa upaya masuk terdeteksi dari sumber yang sama. Beberapa berhasil diautentikasi ke host.
Ini menyerupai serangan ledakan, di mana penyerang melakukan banyak upaya autentikasi untuk menemukan kredensial akun yang valid.
Eksploitasi Sedang, Tinggi
Tingkat integritas tersangka menunjukkan pembajakan RDP Analisis data host telah mendeteksi tscon.exe yang berjalan dengan hak istimewa SYSTEM - ini dapat menjadi indikasi penyerang menyalahgunakan biner ini untuk beralih konteks ke pengguna lain yang masuk pada host ini; ini adalah teknik penyerang yang dikenal untuk membahayakan akun pengguna tambahan dan bergerak secara lateral di seluruh jaringan. - Medium
Instalasi layanan tersangka Analisis data host telah mendeteksi instalasi tscon.exe sebagai layanan: biner ini dimulai sebagai layanan yang berpotensi memungkinkan penyerang untuk secara sepele beralih ke pengguna lain yang masuk pada host ini dengan membajak koneksi RDP; ini adalah teknik penyerang yang dikenal untuk membahayakan akun pengguna tambahan dan bergerak secara lateral di seluruh jaringan. - Medium
Diduga Kerberos Golden Ticket parameter serangan diamati Analisis data host mendeteksi parameter baris komando yang konsisten dengan serangan Tiket Emas Kerberos. - Medium
Pembuatan Akun Mencurigakan Terdeteksi Analisis data host pada %{Compromised Host} mendeteksi pembuatan atau penggunaan akun lokal %{Nama akun mencurigakan} : nama akun ini sangat menyerupai akun Windows standar atau nama grup '%{Mirip Dengan Nama Akun}'. Ini berpotensi menjadi akun nakal yang dibuat oleh penyerang, dinamai agar tidak diperhatikan oleh administrator manusia. - Medium
Aktivitas Mencurigakan Terdeteksi
(VM_SuspiciousActivity)
Analisis data host telah mendeteksi urutan satu atau beberapa proses yang berjalan pada %{nama komputer} yang secara historis dikaitkan dengan aktivitas berbahaya. Sementara perintah individual mungkin tampak jinak, peringatan diberi skor berdasarkan agregasi perintah ini. Ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi. Eksekusi Medium
Aktivitas autentikasi yang mencurigakan
(VM_LoginBruteForceValidUserFailed)
Meskipun tidak ada yang berhasil, beberapa dari mereka menggunakan akun diakui oleh tuan rumah. Ini menyerupai serangan kamus, di mana penyerang melakukan banyak upaya autentikasi menggunakan kamus nama akun dan kata sandi yang telah ditentukan untuk menemukan kredensial yang valid untuk mengakses host. Ini menunjukkan bahwa beberapa nama akun host Anda mungkin ada dalam kamus nama akun terkenal. Penyelidikan Medium
Segmen kode mencurigakan terdeteksi Menunjukkan bahwa segmen kode telah dialokasikan dengan menggunakan metode non-standar, seperti injeksi reflektif dan proses berlubang. Peringatan ini memberikan karakteristik tambahan dari segmen kode yang telah diproses untuk memberikan konteks untuk kemampuan dan perilaku segmen kode yang dilaporkan. - Medium
Eksekusi perintah yang mencurigakan
(VM_SuspiciousCommandLineExecution)
Log komputer mengindikasikan eksekusi baris perintah yang mencurigakan oleh pengguna %{nama pengguna}. Eksekusi Tinggi
Berkas ekstensi ganda mencurigakan dieksekusi Analisis data host menunjukkan eksekusi proses dengan ekstensi ganda yang mencurigakan. Ekstensi ini dapat mengelabui pengguna agar file berpikir aman untuk dibuka dan mungkin menunjukkan adanya malware pada sistem. - Tinggi
Unduhan mencurigakan menggunakan Certutil terdeteksi [terlihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk mengunduh biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Unduhan mencurigakan menggunakan Certutil terdeteksi Analisis data host pada %{Compromised Host} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk mengunduh biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi. - Medium
Eksekusi ekstensi skrip mengubah penyesuaian yang mencurigakan dan gagal di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousFailure)
Kegagalan mencurigakan dari ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Kegagalan tersebut mungkin terkait dengan skrip berbahaya yang dijalankan oleh ekstensi ini.
Eksekusi Medium
Aktivitas PowerShell Mencurigakan Terdeteksi Analisis data host mendeteksi skrip PowerShell yang berjalan pada %{Compromised Host} yang memiliki kesamaan fitur dengan skrip mencurigakan yang diketahui. Skrip ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi. - Tinggi
Cmdlet PowerShell mencurigakan dieksekusi Analisis data host menunjukkan eksekusi cmdlet PowerShell PowerSploit berbahaya yang diketahui. - Medium
Proses mencurigakan yang dijalankan [dilihat beberapa kali] Log komputer menunjukkan bahwa proses yang mencurigakan: '%{Proses Mencurigakan}' berjalan pada komputer, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Tinggi
Proses mencurigakan dijalankan Log komputer menunjukkan bahwa proses yang mencurigakan: '%{Proses Mencurigakan}' berjalan pada komputer, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. - Tinggi
Nama proses mencurigakan terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang dikenal atau dinamai dengan cara yang menunjukkan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Nama proses mencurigakan terdeteksi Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang dikenal atau dinamai dengan cara yang menunjukkan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi. - Medium
Proses mencurigakan penghentian beruntun
(VM_TaskkillBurst)
Analisis data host menunjukkan ledakan penghentian proses yang mencurigakan di %{Nama Komputer}. Secara khusus, proses %{NumberOfCommands} telah dihentikan antara %{Begin} dan %{Ending}. Penghindaran Pertahanan Rendah
Proses Screensaver mencurigakan dijalankan
(VM_SuspiciousScreenSaverExecution)
Proses '%{nama proses}' diamati mengeksekusi dari lokasi yang tidak biasa. File dengan ekstensi.scr adalah file pengaman layar dan biasanya berada dan dieksekusi dari direktori sistem Windows. Penghindaran Pertahanan, Eksekusi Medium
Aktivitas SQL yang mencurigakan Log komputer mengindikasikan bahwa '%{nama proses}' dijalankan oleh akun: %{nama pengguna}. Aktivitas ini jarang terjadi pada akun ini. - Medium
Proses SVCHOST mencurigakan dijalankan Proses sistem SVCHOST diamati berjalan dalam konteks abnormal. Malware sering menggunakan SVCHOST untuk menyamarkan aktivitas berbahayanya. - Tinggi
Proses sistem yang mencurigakan dijalankan
(VM_SystemProcessInAbnormalContext)
Proses sistem %{nama proses} diamati berjalan dalam konteks abnormal. Malware sering menggunakan nama proses ini untuk menyamarkan aktivitas berbahayanya. Penghindaran Pertahanan, Eksekusi Tinggi
Aktivitas Salinan Bayangan Volume Mencurigakan Analisis data host telah mendeteksi aktivitas penghapusan salinan bayangan pada sumber daya. Volume Shadow Copy (VSC) adalah artefak penting yang menyimpan snapshot data. Beberapa malware dan khususnya Ransomware, menargetkan VSC untuk menyabotase strategi cadangan. - Tinggi
Nilai registri WindowPosition yang mencurigakan terdeteksi Analisis data host pada %{Compromised Host} mendeteksi percobaan perubahan konfigurasi registri WindowPosition yang dapat mengindikasikan menyembunyikan jendela aplikasi di bagian desktop yang tidak terlihat. Ini bisa menjadi aktivitas yang sah, atau indikasi komputer yang disusupi: jenis aktivitas ini sebelumnya telah dikaitkan dengan adware yang dikenal (atau perangkat lunak yang tidak diinginkan) seperti Win32 /OneSystemCare dan Win32/SystemHealer dan malware seperti Win32/Creprote. Ketika nilai WindowPosition diatur ke 201329664, (Hex: 0x0c00 0c00, sesuai dengan X-axis=0c00 dan Y-axis=0c00) ini menempatkan jendela aplikasi konsol di bagian layar pengguna yang tidak terlihat di area yang tersembunyi dari tampilan di bawah menu mulai/taskbar yang terlihat. Nilai tersangka Hex yang diketahui termasuk, tetapi tidak terbatas pada c000c000 - Rendah
Proses bernama mencurigakan terdeteksi Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya sangat mirip dengan tetapi berbeda dari proses yang sangat umum dijalankan (%{Mirip dengan Nama Proses}). Sementara proses ini bisa menjadi penyerang jinak diketahui kadang-kadang bersembunyi di depan mata dengan menamai alat berbahaya mereka menyerupai nama proses yang sah. - Medium
Setel ulang konfigurasi yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualConfigReset)
Reset konfigurasi yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi VM Access untuk mengatur ulang konfigurasi di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium
Penghapusan ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualDeletion)
Penghapusan ekstensi skrip kustom yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Eksekusi ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualExecution)
Eksekusi yang tidak biasa dari ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Eksekusi proses yang tidak biasa terdeteksi Analisis data host pada %{Host} yang disusupi mendeteksi eksekusi proses oleh %{Nama Pengguna} yang tidak biasa. Akun seperti %{Nama Pengguna} cenderung melakukan serangkaian operasi terbatas, eksekusi ini ditentukan karena di lura karakter dan mungkin mencurigakan. - Tinggi
Setel ulang sandi pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualPasswordReset)
Reset kata sandi pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba memanfaatkan ekstensi VM Access untuk mengatur ulang kredensial pengguna lokal di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium
Setel ulang kunci SSH pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualSSHReset)
Reset kunci SSH pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi VM Access untuk mengatur ulang kunci SSH akun pengguna di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium
Alokasi objek HTTP VBScript terdeteksi Pembuatan file VBScript menggunakan Command Prompt telah terdeteksi. Skrip berikut ini memuat perintah alokasi obyek HTTP. Aksi ini bisa digunakan untuk mengunduh berkas berbahaya. - Tinggi
Metode persistensi registri Windows terdeteksi
(VM_RegistryPersistencyKey)
Analisis data host telah mendeteksi upaya untuk bertahan dalam registri Windows yang dapat dijalankan. Malware sering menggunakan teknik seperti itu untuk bertahan hidup di boot. Persistensi Rendah

Untuk komputer Linux:

Microsoft Defender untuk Server Paket 2 menyediakan deteksi dan peringatan unik, selain yang disediakan oleh Microsoft Defender untuk Titik Akhir. Peringatan yang diberikan untuk mesin Linux adalah:

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
file riwayat telah dibersihkan Analisis data host menunjukkan bahwa file log riwayat perintah telah dibersihkan. Penyerang dapat melakukan ini untuk menutupi jejak mereka. Operasi ini dilakukan oleh pengguna: '%{nama pengguna}'. - Medium
Akses berkas htaccess terdeteksi
(VM_SuspectHtaccessFileAccess)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan manipulasi berkas htaccess. Htaccess adalah file konfigurasi canggih yang memungkinkan Anda membuat beberapa perubahan pada server web yang menjalankan perangkat lunak Apache Web termasuk fungsi pengalihan dasar, atau untuk fungsi yang lebih canggih seperti perlindungan kata sandi dasar. Penyerang akan sering memodifikasi file htaccess pada komputer yang telah mereka kompromi untuk mendapatkan kegigihan. Persistensi, Penghindaran Pertahanan, Eksekusi Medium
Pengecualian file luas antimalware di komputer virtual Anda
(VM_AmBroadFilesExclusion)
Pengecualian file dari ekstensi antimalware dengan aturan pengecualian luas terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Pengecualian tersebut praktis menonaktifkan perlindungan Antimalware.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
- Medium
Antimalware dinonaktifkan dan eksekusi kode di komputer virtual Anda
(VM_AmDisablementAndCodeExecution)
Antimalware dinonaktifkan bersamaan dengan eksekusi kode pada komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang menonaktifkan pemindai antimalware untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
- Tinggi
Antimalware dinonaktifkan di komputer virtual Anda
(VM_AmDisablement)
Antimalware dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
Penghindaran Perlindungan Medium
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda
(VM_AmFileExclusionAndCodeExecution)
File dikecualikan dari pemindai antimalware Anda pada saat yang sama saat kode dieksekusi melalui ekstensi skrip khusus di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Penghindaran Pertahanan, Eksekusi Tinggi
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda
(VM_AmTempFileExclusionAndCodeExecution)
Pengecualian file sementara dari ekstensi antimalware secara paralel dengan eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Pertahanan, Eksekusi Tinggi
Pengecualian file antimalware di komputer virtual Anda
(VM_AmTempFileExclusion)
File dikecualikan dari pemindai antimalware Anda di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan di komputer virtual Anda
(VM_AmRealtimeProtectionDisabled)
Penonaktifan perlindungan real-time dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTempRealtimeProtectionDisablement)
Penonaktifan sementara perlindungan real-time dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Perlindungan waktu nyata antimalware dinonaktifkan sementara saat kode dijalankan di komputer virtual Anda
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Perlindungan real-time penonaktifan sementara ekstensi antimalware secara paralel dengan eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
- Tinggi
Pemindaian antimalware diblokir untuk file yang berpotensi terkait dengan kampanye malware di komputer virtual Anda (Pratinjau)
(VM_AmMalwareCampaignRelatedExclusion)
Aturan pengecualian terdeteksi di komputer virtual Anda untuk mencegah ekstensi antimalware Anda memindai file tertentu yang diduga terkait dengan kampanye malware. Aturan terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware. Penghindaran Pertahanan Medium
Antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTemporarilyDisablement)
Antimalware untuk sementara dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
- Medium
Pengecualian file antimalware yang tidak biasa di komputer virtual Anda
(VM_UnusualAmFileExclusion)
Pengecualian file yang tidak biasa dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Penghindaran Perlindungan Medium
Mencoba untuk menghentikan layanan apt-daily-upgrade.timer terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi upaya untuk menghentikan layanan apt-daily-upgrade.timer. Dalam beberapa serangan baru-baru ini, penyerang telah diamati menghentikan layanan ini, untuk mengunduh file berbahaya dan memberikan hak eksekusi untuk serangan mereka. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Rendah
Mencoba untuk menghentikan layanan apt-daily-upgrade.timer terdeteksi
(VM_TimerServiceDisabled)
Analisis data host pada %{Compromised Host} mendeteksi upaya untuk menghentikan layanan apt-daily-upgrade.timer. Dalam beberapa serangan baru-baru ini, penyerang telah diamati menghentikan layanan ini, untuk mengunduh file berbahaya dan memberikan hak eksekusi untuk serangan mereka. Penghindaran Pertahanan Rendah
Perilaku yang mirip dengan bot Linux umum terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses yang biasanya terkait dengan botnet Linux umum. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Perilaku yang mirip dengan bot Linux umum terdeteksi
(VM_CommonBot)
Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses yang biasanya terkait dengan botnet Linux umum. Eksekusi, Koleksi, Perintah, dan Kontrol Medium
Perilaku yang mirip dengan ransomware Fairware terdeteksi [terlihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah rm -rf diterapkan pada lokasi yang mencurigakan. Karena rm -rf akan secara rekursif menghapus file, biasanya digunakan pada folder diskrit. Dalam hal ini, itu sedang digunakan di lokasi yang dapat menghapus banyak data. Fairware ransomware diketahui menjalankan perintah rm -rf di folder ini. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Perilaku yang mirip dengan ransomware Fairware terdeteksi
(VM_FairwareMalware)
Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah rm -rf diterapkan pada lokasi yang mencurigakan. Karena rm -rf akan secara rekursif menghapus file, biasanya digunakan pada folder diskrit. Dalam hal ini, itu sedang digunakan di lokasi yang dapat menghapus banyak data. Fairware ransomware diketahui menjalankan perintah rm -rf di folder ini. Eksekusi Medium
Perilaku yang mirip dengan ransomware terdeteksi [terlihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi file yang memiliki kemiripan dengan ransomware yang diketahui yang dapat mencegah pengguna mengakses sistem atau file pribadi mereka, dan menuntut pembayaran tebusan untuk mendapatkan kembali akses. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Tinggi
Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman
(AzureDNS_ThreatIntelSuspectDomain)
Komunikasi dengan domain yang mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkannya dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan intelijen ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi. Akses Awal, Persistensi, Eksekusi, Perintah Dan Kontrol, Eksploitasi Medium
Kontainer dengan gambar penambang terdeteksi
(VM_MinerInContainerImage)
Log komputer menunjukkan eksekusi kontainer Docker yang menjalankan gambar yang terkait dengan penambangan mata uang digital. Eksekusi Tinggi
Eksekusi penambang koin Crypto
(VM_CryptoCoinMinerExecution)
Analisis data host/perangkat mendeteksi proses yang dimulai dengan cara yang sangat mirip dengan proses penambangan koin. Eksekusi Medium
Ekstensi skrip ubahsuaian dengan perintah mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousCmd)
Ekstensi skrip kustom dengan perintah mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Ekstensi skrip khusus dengan titik masuk yang mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Ekstensi skrip kustom dengan titik masuk yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Titik masuk mengacu pada repositori GitHub yang mencurigakan.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Ekstensi skrip khusus dengan muatan mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousPayload)
Ekstensi skrip kustom dengan muatan dari repositori GitHub yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Campuran anomali yang terdeteksi dari karakter huruf besar dan kecil dalam baris perintah Analisis data host pada %{Compromised Host} mendeteksi baris perintah dengan campuran karakter huruf besar dan kecil yang ganjil. Pola semacam ini, sementara mungkin jinak, juga khas penyerang yang mencoba bersembunyi dari pencocokan aturan peka huruf besar/kecil atau berbasis hash ketika melakukan tugas administratif pada host yang disusupi. - Medium
Unduhan file yang terdeteksi dari sumber berbahaya yang diketahui [dilihat beberapa kali]
(VM_SuspectDownload)
Analisis data host telah mendeteksi pengunduhan berkas dari sumber malware yang diketahui pada %{Compromised Host}. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] Eskalasi Hak Istimewa, Eksekusi, Penyelundupan, Perintah, dan Kontrol Medium
Unduhan file yang terdeteksi dari sumber berbahaya yang diketahui Analisis data host telah mendeteksi pengunduhan berkas dari sumber malware yang diketahui pada %{Compromised Host}. - Medium
Upaya persistensi yang terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} telah mendeteksi pemasangan skrip startup untuk mode pengguna tunggal. Sangat jarang bahwa setiap proses yang sah perlu dijalankan dalam mode itu, jadi ini mungkin menunjukkan bahwa penyerang telah menambahkan proses berbahaya ke setiap tingkat lari untuk menjamin kegigihan. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Upaya persistensi yang terdeteksi
(VM_NewSingleUserModeStartupScript)
Analisis data host telah mendeteksi bahwa skrip startup untuk mode pengguna tunggal telah diinstal.
Karena jarang bahwa setiap proses yang sah akan diperlukan untuk berjalan dalam mode itu, ini mungkin menunjukkan bahwa penyerang telah menambahkan proses berbahaya ke setiap tingkat lari untuk menjamin kegigihan.
Persistensi Medium
Terdeteksi unduhan file mencurigakan [dilihat beberapa kali] Analisis data host telah mendeteksi pengunduhan file jarak jauh yang mencurigakan pada %{Compromised Host}. Perilaku ini terlihat 10 kali hari ini pada komputer berikut: [Nama komputer] - Rendah
Unduhan file mencurigakan yang terdeteksi
(VM_SuspectDownloadArtifacts)
Analisis data host telah mendeteksi pengunduhan file jarak jauh yang mencurigakan pada %{Compromised Host}. Persistensi Rendah
Aktivitas jaringan mencurigakan yang terdeteksi Analisis lalu lintas jaringan dari %{Compromised Host} mendeteksi aktivitas jaringan yang mencurigakan. Lalu lintas seperti itu, sementara mungkin jinak, biasanya digunakan oleh penyerang untuk berkomunikasi dengan server berbahaya untuk mengunduh alat, perintah dan kontrol dan penyelundupan data. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya. - Rendah
Terdeteksi penggunaan mencurigakan dari perintah useradd [terlihat beberapa kali] Analisis data host telah mendeteksi penggunaan mencurigakan dari perintah useradd pada %{Compromised Host}. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Terdeteksi penggunaan mencurigakan dari perintah useradd
(VM_SuspectUserAddition)
Analisis data host telah mendeteksi penggunaan mencurigakan dari perintah useradd pada %{Compromised Host}. Persistensi Medium
Perilaku terkait penambangan mata uang digital terdeteksi Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital. - Tinggi
Penonaktifan pencatatan yang diaudit [dilihat beberapa kali] Sistem Audit Linux menyediakan cara untuk melacak informasi yang relevan dengan keamanan pada sistem. Ini mencatat sebanyak mungkin informasi tentang peristiwa yang terjadi pada sistem Anda. Menonaktifkan pencatatan yang diaudit dapat menghambat menemukan pelanggaran kebijakan keamanan yang digunakan pada sistem. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Rendah
Operasi build Docker terdeteksi pada sebuah node Kubernetes
(VM_ImageBuildOnNode)
Log komputer menunjukkan operasi build dari gambar kontainer pada node Kubernetes. Meskipun perilaku ini mungkin sah, penyerang mungkin membangun gambar berbahaya mereka secara lokal untuk menghindari deteksi. Penghindaran Pertahanan Rendah
Executable ditemukan berjalan dari lokasi yang mencurigakan
(VM_SuspectExecutablePath)
Analisis data host mendeteksi berkas yang dapat dieksekusi pada %{Host Disusupi} yang berjalan dari lokasi yang sama dengan berkas mencurigakan yang diketahui. Executable ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi. Eksekusi Tinggi
Eksploitasi kerentanan Xorg [terlihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi pengguna Xorg dengan argumen yang mencurigakan. Penyerang dapat menggunakan teknik ini dalam upaya eskalasi hak istimewa. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Daemon Docker yang diekspos pada soket TCP
(VM_ExposedDocker)
Log komputer menunjukkan bahwa daemon Docker (dockerd) Anda mengekspos soket TCP. Secara default, konfigurasi Docker, tidak menggunakan enkripsi atau autentikasi saat soket TCP diaktifkan. Ini memungkinkan akses penuh ke daemon Docker, oleh siapa pun yang memiliki akses ke port yang relevan. Eksekusi, Eksploitasi Medium
Kegagalan SSH serangan brute force
(VM_SshBruteForceFailed)
Serangan brute force gagal terdeteksi dari penyerang berikut: %{Penyerang}. Penyerang mencoba mengakses host dengan nama pengguna berikut: %{Akun yang digunakan pada gagal masuk ke upaya host}. Penyelidikan Medium
Perilaku Serangan Tanpa Berkas Terdeteksi
(VM_FilelessAttackBehavior.Linux)
Memori proses yang ditentukan di bawah ini berisi perilaku yang biasa digunakan oleh serangan tanpa file.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
Eksekusi Rendah
Teknik Serangan Tanpa File Terdeteksi
(VM_FilelessAttackTechnique.Linux)
Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
Eksekusi Tinggi
Toolkit Serangan Tanpa File Terdeteksi
(VM_FilelessAttackToolkit.Linux)
Memori proses yang ditentukan di bawah ini berisi toolkit serangan tanpa file: {ToolKitName}. Toolkit serangan tanpa file biasanya tidak memiliki kehadiran di sistem file, membuat deteksi oleh perangkat lunak anti-virus tradisional sulit.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
Penghindaran Pertahanan, Eksekusi Tinggi
Eksekusi berkas tersembunyi terdeteksi Analisis data host menunjukkan bahwa berkas tersembunyi dijalankan oleh %{nama pengguna}. Kegiatan ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi. - Informasi
Indikator yang terkait dengan toolkit DDOS terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi nama file yang merupakan bagian dari toolkit yang terkait dengan malware yang mampu meluncurkan serangan DDoS, membuka port dan layanan dan mengambil kendali penuh atas sistem yang terinfeksi. Ini juga mungkin aktivitas yang sah. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Indikator yang terkait dengan toolkit DDOS terdeteksi
(VM_KnownLinuxDDoSToolkit)
Analisis data host pada %{Compromised Host} mendeteksi nama file yang merupakan bagian dari toolkit yang terkait dengan malware yang mampu meluncurkan serangan DDoS, membuka port dan layanan dan mengambil kendali penuh atas sistem yang terinfeksi. Ini juga mungkin aktivitas yang sah. Persistensi, Gerakan Lateral, Eksekusi, Eksploitasi Medium
Pengintaian host lokal terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah yang biasanya terkait dengan pengintaian bot Linux umum. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Pengintaian host lokal terdeteksi
(VM_LinuxReconnaissance)
Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah yang biasanya terkait dengan pengintaian bot Linux umum. Penemuan Medium
Manipulasi firewall host terdeteksi [dilihat beberapa kali]
(VM_FirewallDisabled)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan manipulasi firewall di host. Penyerang akan sering menonaktifkan ini untuk mengekstrak data. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] Penghindaran Pertahanan, Penyelundupan Medium
Manipulasi firewall host terdeteksi Analisis data host pada %{Compromised Host} mendeteksi kemungkinan manipulasi firewall di host. Penyerang akan sering menonaktifkan ini untuk mengekstrak data. - Medium
Agen MITRE Caldera terdeteksi
(VM_MitreCalderaTools)
Log komputer menunjukkan bahwa proses yang mencurigakan: '%{Suspicious Process}' berjalan di %{Compromised Host}. Ini sering dikaitkan dengan agen MITRE 54ndc47 yang dapat digunakan dengan berbahaya untuk menyerang komputer lain dalam beberapa cara. Semua Medium
Kunci SSH baru ditambahkan [dilihat beberapa kali]
(VM_SshKeyAddition)
Kunci SSH baru telah ditambahkan ke file kunci resmi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] Persistensi Rendah
Kunci SSH baru ditambahkan Kunci SSH baru telah ditambahkan ke file kunci resmi - Rendah
Kemungkinan alat serangan terdeteksi [dilihat beberapa kali] Log komputer menunjukkan bahwa proses yang mencurigakan: '%{Suspicious Process}' berjalan di %{Compromised Host}. Alat ini sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain dalam beberapa cara. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Kemungkinan alat serangan terdeteksi
(VM_KnownLinuxAttackTool)
Log komputer menunjukkan bahwa proses yang mencurigakan: '%{Suspicious Process}' berjalan di %{Compromised Host}. Alat ini sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain dalam beberapa cara. Eksekusi, Koleksi, Perintah dan Kontrol, Penyelidikan Medium
Kemungkinan backdoor terdeteksi [dilihat beberapa kali] Analisis data host telah mendeteksi file mencurigakan yang sedang diunduh kemudian dijalankan di %{Host yang Dikompromikan} dalam langganan Anda. Kegiatan ini sebelumnya telah dikaitkan dengan pemasangan backdoor. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Kemungkinan alat akses kredensial terdeteksi [dilihat beberapa kali] Log komputer menunjukkan kemungkinan alat akses kredensial yang diketahui sedang berjalan di %{Compromised Host} yang diluncurkan oleh proses: '%{Suspicious Process}'. Alat ini sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Kemungkinan alat akses kredensial terdeteksi
(VM_KnownLinuxCredentialAccessTool)
Log komputer menunjukkan kemungkinan alat akses kredensial yang diketahui sedang berjalan di %{Compromised Host} yang diluncurkan oleh proses: '%{Suspicious Process}'. Alat ini sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. Akses Informasi Masuk Medium
Kemungkinan eksfiltrasi data [terlihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi kemungkinan kondisi keluarnya data. Penyerang akan sering mengeluarkan data dari komputer yang telah mereka susupi. Perilaku ini terlihat [x]] kali hari ini di komputer berikut: [Nama komputer] - Medium
Kemungkinan eksfiltrasi data
(VM_DataEgressArtifacts)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan kondisi keluarnya data. Penyerang akan sering mengeluarkan data dari komputer yang telah mereka susupi. Kumpulan, Eksfiltrasi Medium
Kemungkinan eksploitasi Hadoop Yarn
(VM_HadoopYarnExploit)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan eksploitasi layanan Hadoop Yarn. Eksploitasi Medium
Kemungkinan eksploitasi maliserver terdeteksi
(VM_MailserverExploitation )
Analisis data host pada %{Compromised Host} mendeteksi eksekusi yang tidak biasa di bawah akun server email Eksploitasi Medium
Kemungkinan Aktivitas Pengrusakan Log Terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi kemungkinan penghapusan file yang melacak aktivitas pengguna selama operasinya. Penyerang sering mencoba untuk menghindari deteksi dan tidak meninggalkan jejak aktivitas berbahaya dengan menghapus file log tersebut. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Kemungkinan Aktivitas Pengrusakan Log Terdeteksi
(VM_SystemLogRemoval)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan penghapusan file yang melacak aktivitas pengguna selama operasinya. Penyerang sering mencoba untuk menghindari deteksi dan tidak meninggalkan jejak aktivitas berbahaya dengan menghapus file log tersebut. Penghindaran Perlindungan Medium
Kemungkinan shell web berbahaya terdeteksi [dilihat beberapa kali]
(VM_Webshell)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan web shell. Penyerang akan sering mengunggah shell web ke komputer yang telah mereka susupi untuk mendapatkan persistensi atau untuk eksploitasi lebih lanjut. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] Persistensi, Eksploitasi Medium
Kemungkinan shell web berbahaya terdeteksi Analisis data host pada %{Compromised Host} mendeteksi kemungkinan web shell. Penyerang akan sering mengunggah shell web ke komputer yang telah mereka susupi untuk mendapatkan persistensi atau untuk eksploitasi lebih lanjut. - Medium
Kemungkinan perubahan kata sandi menggunakan metode crypt terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi perubahan sandi menggunakan metode crypt. Penyerang dapat membuat perubahan ini untuk melanjutkan akses dan mendapatkan persistensi setelah menyusup. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Potensi penggantian file umum [dilihat beberapa kali] Analisis data host telah mendeteksi executable umum yang ditimpa pada %{Compromised Host}. Penyerang akan menimpa file umum sebagai cara untuk mengaburkan tindakan mereka atau untuk persistensi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Potensi penggantian file umum
(VM_OverridingCommonFiles)
Analisis data host telah mendeteksi executable umum yang ditimpa pada %{Compromised Host}. Penyerang akan menimpa file umum sebagai cara untuk mengaburkan tindakan mereka atau untuk persistensi. Persistensi Medium
Potensi penerusan port ke alamat IP eksternal [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi inisiasi penerusan port ke alamat IP eksternal. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Potensi penerusan port ke alamat IP eksternal
(VM_SuspectPortForwarding)
Analisis data host mendeteksi inisiasi penerusan port ke alamat IP eksternal. Penyelundupan, Perintah, dan Kontrol Medium
Potensi pembalikan shell terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi kemungkinan pembalikan shell. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Potensi pembalikan shell terdeteksi
(VM_ReverseShell)
Analisis data host pada %{Compromised Host} mendeteksi kemungkinan pembalikan shell. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang. Penyelundupan, Eksploitasi Medium
Perintah istimewa dijalankan dalam kontainer
(VM_PrivilegedExecutionInContainer)
Log komputer menunjukkan bahwa perintah istimewa dijalankan dalam kontainer Docker. Perintah istimewa telah memperluas hak istimewa pada komputer host. Eskalasi Hak Istimewa Rendah
Kontainer Istimewa Terdeteksi
(VM_PrivilegedContainerArtifacts)
Log komputer menunjukkan bahwa hak istimewakontainer Docker sedang berjalan. Kontainer istimewa memiliki akses penuh ke sumber daya host. Jika disusupi, penyerang dapat menggunakan kontainer istimewa untuk mendapatkan akses ke komputer host. Eskalasi Hak Istimewa, Eksekusi Rendah
Proses yang terkait dengan penambangan mata uang digital terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses yang biasanya terkait dengan penambangan mata uang digital. Perilaku ini terlihat lebih dari 100 kali hari ini di komputer berikut: [Nama komputer] - Medium
Proses yang terkait dengan penambangan mata uang digital terdeteksi Analisis data host mendeteksi eksekusi proses yang biasanya terkait dengan penambangan mata uang digital. Eksploitasi, Eksekusi Medium
Proses terlihat mengakses file kunci resmi SSH dengan cara yang tidak biasa
(VM_SshKeyAccess)
File kunci resmi SSH telah diakses dengan metode yang mirip dengan kampanye malware yang dikenal. Akses ini dapat menunjukkan bahwa penyerang mencoba untuk mendapatkan akses terus-menerus ke komputer. - Rendah
Pengunduh bersandi Python terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi eksekusi Python yang disandikan yang mengunduh dan menjalankan kode dari lokasi yang jauh. Ini mungkin merupakan indikasi aktivitas berbahaya. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Rendah
Tangkapan layar diambil di host [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi pengguna alat tangkapan layar. Penyerang dapat menggunakan alat ini untuk mengakses data pribadi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Rendah
Ketidakcocokan ekstensi skrip terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi ketidakcocokan antara penerjemah skrip dan ekstensi file skrip yang diberikan sebagai masukan. Ini sering dikaitkan dengan eksekusi skrip penyerang. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Ketidakcocokan ekstensi skrip terdeteksi
(VM_MismatchedScriptFeatures)
Analisis data host pada %{Compromised Host} mendeteksi ketidakcocokan antara penerjemah skrip dan ekstensi file skrip yang diberikan sebagai masukan. Ini sering dikaitkan dengan eksekusi skrip penyerang. Penghindaran Perlindungan Medium
Shellcode terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi shellcode yang dihasilkan dari baris perintah. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Server SSH berjalan di dalam kontainer
(VM_ContainerSSH)
Log komputer menunjukkan bahwa server SSH berjalan di dalam kontainer Docker. Meskipun perilaku ini dapat disengaja, ini sering kali menunjukkan bahwa kontainer salah dikonfigurasi atau dilanggar. Eksekusi Medium
Serangan brute force SSH yang sukses
(VM_SshBruteForceSuccess)
Analisis data host telah mendeteksi serangan brute force yang sukses. IP %{Penyerang sumber IP} terlihat melakukan beberapa upaya login. Login berhasil dibuat dari IP tersebut dengan pengguna berikut: %{Akun yang digunakan untuk berhasil masuk ke host}. Ini berarti bahwa tuan rumah dapat dikompromikan dan dikendalikan oleh aktor berbahaya. Eksploitasi Tinggi
Akses File Kata Sandi Tersangka
(VM_SuspectPasswordFileAccess)
Analisis data host telah mendeteksi akses mencurigakan ke kata sandi pengguna terenkripsi. Persistensi Informasi
Pembuatan Akun Mencurigakan Terdeteksi Analisis data host pada %{Compromised Host} mendeteksi pembuatan atau penggunaan akun lokal %{Nama akun mencurigakan} : nama akun ini sangat menyerupai akun Windows standar atau nama grup '%{Mirip Dengan Nama Akun}'. Ini berpotensi menjadi akun nakal yang dibuat oleh penyerang, dinamai agar tidak diperhatikan oleh administrator manusia. - Medium
Kompilasi mencurigakan terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi kompilasi yang mencurigakan. Penyerang akan sering menyusun eksploitasi pada mesin yang telah mereka susupi untuk meningkatkan hak istimewa. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Kompilasi mencurigakan terdeteksi
(VM_SuspectCompilation)
Analisis data host pada %{Compromised Host} mendeteksi kompilasi yang mencurigakan. Penyerang akan sering menyusun eksploitasi pada mesin yang telah mereka susupi untuk meningkatkan hak istimewa. Eskalasi Hak Istimewa, Eksploitasi Medium
DNS mencurigakan melalui https
(VM_SuspiciousDNSOverHttps)
Analisis data host menunjukkan penggunaan panggilan DNS melalui HTTPS dengan cara yang tidak biasa. Teknik ini digunakan oleh penyerang guna menyembunyikan panggilan ke situs yang dicurigai atau berbahaya. DefenseEvasion, Exfiltration Medium
Eksekusi ekstensi skrip mengubah penyesuaian yang mencurigakan dan gagal di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousFailure)
Kegagalan mencurigakan dari ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Kegagalan tersebut mungkin terkait dengan skrip berbahaya yang dijalankan oleh ekstensi ini.
Eksekusi Medium
Modul kernel mencurigakan terdeteksi [dilihat beberapa kali] Analisis data host pada %{Compromised Host} mendeteksi berkas objek bersama dimuat sebagai modul kernel. Ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah dikompromikan. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Medium
Akses kata sandi yang mencurigakan [dilihat beberapa kali] Analisis data host telah mendeteksi akses mencurigakan ke kata sandi pengguna terenkripsi pada %{Compromised Host}. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer] - Informasi
Akses kata sandi yang mencurigakan Analisis data host telah mendeteksi akses mencurigakan ke kata sandi pengguna terenkripsi pada %{Compromised Host}. - Informasi
Eksekusi PHP mencurigakan terdeteksi
(VM_SuspectPhp)
Log komputer menunjukkan bahwa proses PHP yang mencurigakan sedang berjalan. Tindakan ini mencakup upaya untuk menjalankan perintah OS atau kode PHP dari baris perintah menggunakan proses PHP. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini juga diamati dalam aktivitas berbahaya seperti upaya untuk menginfeksi situs web dengan shell web. Eksekusi Medium
Permintaan mencurigakan ke API Kubernetes
(VM_KubernetesAPI)
Log mesin menunjukkan bahwa permintaan mencurigakan dibuat ke API Kubernetes. Permintaan dikirim dari sebuah node Kubernetes, kemungkinan dari salah satu kontainer yang berjalan di node. Meskipun perilaku ini dapat disengaja, itu mungkin menunjukkan bahwa node menjalankan kontainer yang dikompromikan. GerakanLateral Medium
Permintaan mencurigakan ke Dasbor Kubernetes
(VM_KubernetesDashboard)
Log komputer menunjukkan bahwa permintaan mencurigakan dibuat ke Dasbor Kubernetes. Permintaan dikirim dari sebuah node Kubernetes, kemungkinan dari salah satu kontainer yang berjalan di node. Meskipun perilaku ini dapat disengaja, itu mungkin menunjukkan bahwa node menjalankan kontainer yang dikompromikan. GerakanLateral Medium
Domain Tersangka Baris Perintah Ancaman Intel
(VM_ThreatIntelCommandLineSuspectDomain)
Proses 'PROCESSNAME' pada 'HOST' terhubung ke lokasi yang telah dilaporkan berbahaya atau tidak biasa. Ini adalah indikator bahwa penyusupan mungkin telah terjadi. Akses Awal Medium
Setel ulang konfigurasi yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualConfigReset)
Reset konfigurasi yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi VM Access untuk mengatur ulang konfigurasi di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium
Penghapusan ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualDeletion)
Penghapusan ekstensi skrip kustom yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Eksekusi ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualExecution)
Eksekusi yang tidak biasa dari ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Penyerang dapat menggunakan ekstensi skrip khusus untuk mengeksekusi kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Eksekusi Medium
Setel ulang sandi pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualPasswordReset)
Reset kata sandi pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba memanfaatkan ekstensi VM Access untuk mengatur ulang kredensial pengguna lokal di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium
Setel ulang kunci SSH pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualSSHReset)
Reset kunci SSH pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi VM Access untuk mengatur ulang kunci SSH akun pengguna di komputer virtual Anda dan mengkompromikannya.
Akses Kredensial Medium

Pemberitahuan untuk Azure App Service

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Upaya untuk menjalankan perintah Linux pada Windows App Service
(AppServices_LinuxCommandOnWindows)
Analisis proses App Service mendeteksi upaya untuk menjalankan perintah Linux pada App Service Windows. Aksi ini dijalankan oleh aplikasi web. Perilaku ini sering terlihat selama kampanye yang mengeksploitasi kerentanan dalam aplikasi web umum.
(Berlaku untuk: App Service di Windows)
- Medium
IP yang tersambung ke Antarmuka FTP Azure App Service Anda ditemukan di Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Log FTP Azure App Service menunjukkan koneksi dari alamat sumber yang ditemukan di umpan intelijen ancaman. Selama sambungan ini, pengguna mengakses halaman yang tercantum.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Akses Awal Medium
Coba jalankan perintah hak istimewa tinggi terdeteksi
(AppServices_HighPrivilegeCommand)
Analisis proses App Service mendeteksi upaya untuk menjalankan perintah yang memerlukan hak istimewa tinggi.
Perintah berjalan dalam konteks aplikasi web. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini juga diamati dalam aktivitas berbahaya.
(Berlaku untuk: App Service di Windows)
- Medium
Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman
(AzureDNS_ThreatIntelSuspectDomain)
Komunikasi dengan domain yang mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkannya dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan intelijen ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi. Akses Awal, Persistensi, Eksekusi, Perintah Dan Kontrol, Eksploitasi Medium
Koneksi ke halaman web dari alamat IP anomali terdeteksi
(AppServices_AnomalousPageAccess)
Log aktivitas Azure App Service menunjukkan koneksi anomali ke halaman web sensitif dari alamat IP sumber yang tercantum. Ini mungkin menunjukkan bahwa seseorang mencoba serangan brute force ke halaman administrasi aplikasi web Anda. Ini mungkin juga merupakan hasil dari alamat IP baru yang digunakan oleh pengguna yang sah. Jika alamat IP sumber tepercaya, Anda dapat dengan aman menekan peringatan ini untuk sumber daya ini. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Akses Awal Rendah
Menjuntai catatan DNS untuk sumber daya App Service terdeteksi
(AppServices_DanglingDomain)
Catatan DNS yang menunjuk ke sumber daya App Service yang baru saja dihapus (juga dikenal sebagai entri "DNS yang menjuntai") telah terdeteksi. Ini membuat Anda rentan terhadap pengambilalihan subdomain. Pengambilalihan subdomain memungkinkan aktor jahat untuk mengalihkan lalu lintas yang ditujukan untuk domain organisasi ke situs yang melakukan aktivitas berbahaya.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
- Tinggi
Eksekusi terkodekan yang terdeteksi dalam data baris perintah
(AppServices_Base64EncodedExecutableInCommandLineParams)
Analisis data host pada {Compromised host} mendeteksi executable yang dikodekan basis-64. Ini sebelumnya telah dikaitkan dengan penyerang yang mencoba membangun executables on-the-fly melalui urutan perintah, dan berusaha menghindari sistem deteksi intrusi dengan memastikan bahwa tidak ada perintah individu yang akan memicu peringatan. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan.
(Berlaku untuk: App Service di Windows)
Penghindaran Pertahanan, Eksekusi Tinggi
Unduhan file yang terdeteksi dari sumber berbahaya yang diketahui
(AppServices_SuspectDownload)
Analisis data host telah mendeteksi pengunduhan file dari sumber malware yang diketahui di host Anda.
(Berlaku untuk: App Service di Linux)
Eskalasi Hak Istimewa, Eksekusi, Penyelundupan, Perintah, dan Kontrol Medium
Unduhan file mencurigakan yang terdeteksi
(AppServices_SuspectDownloadArtifacts)
Analisis data host mendeteksi unduhan file jarak jauh yang mencurigakan.
(Berlaku untuk: App Service di Linux)
Persistensi Medium
Perilaku terkait penambangan mata uang digital terdeteksi
(AppServices_DigitalCurrencyMining)
Analisis data host pada Inn-Flow-WebJobs mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Tinggi
Executable diterjemahkan menggunakan certutil
(AppServices_ExecutableDecodedUsingCertutil)
Analisis data host pada [Entitas yang disusupi] mendeteksi bahwa certutil.exe, utilitas administrator bawaan, digunakan untuk memecahkan kode yang dapat dieksekusi alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan alat seperti certutil.exe untuk memecahkan kode executable berbahaya yang kemudian akan dieksekusi.
(Berlaku untuk: App Service di Windows)
Penghindaran Pertahanan, Eksekusi Tinggi
Perilaku Serangan Tanpa Berkas Terdeteksi
(AppServices_FilelessAttackBehaviorDetection)
Memori proses yang ditentukan di bawah ini berisi perilaku yang biasa digunakan oleh serangan tanpa file.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Medium
Teknik Serangan Tanpa File Terdeteksi
(AppServices_FilelessAttackTechniqueDetection)
Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Tinggi
Toolkit Serangan Tanpa File Terdeteksi
(AppServices_FilelessAttackToolkitDetection)
Memori proses yang ditentukan di bawah ini berisi toolkit serangan tanpa file: {ToolKitName}. Toolkit serangan tanpa file biasanya tidak memiliki kehadiran di sistem file, membuat deteksi oleh perangkat lunak anti-virus tradisional sulit.
Perilaku spesifik meliputi: {daftar perilaku yang diamati}
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Penghindaran Pertahanan, Eksekusi Tinggi
Peringatan pengujian Microsoft Defender untuk Cloud untuk App Service (bukan ancaman)
(AppServices_EICAR)
Ini adalah peringatan pengujian yang dibuat oleh Microsoft Defender untuk Cloud. Tidak ada tindakan lebih lanjut yang diperlukan.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
- Tinggi
Pemindaian NMap terdeteksi
(AppServices_Nmap)
Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas sidik jari web pada sumber daya App Service Anda.
Aktivitas mencurigakan yang terdeteksi dikaitkan dengan NMAP. Penyerang sering menggunakan alat ini untuk menyelidiki aplikasi web untuk menemukan kerentanan.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
PraSerangan Medium
Konten pengelabui yang dihosting di Azure Webapps
(AppServices_PhishingContent)
URL yang digunakan untuk serangan phishing ditemukan di situs web Azure AppServices. URL ini merupakan bagian dari serangan phishing yang dikirim ke pelanggan Microsoft 365. Konten biasanya memikat pengunjung untuk memasukkan kredensial perusahaan atau informasi keuangan mereka ke situs web yang terlihat sah.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Koleksi Tinggi
File PHP di folder unggah
(AppServices_PhpInUploadFolder)
Log aktivitas Azure App Service menunjukkan akses ke halaman PHP mencurigakan yang terletak di folder unggahan.
Tipe folder ini biasanya tidak berisi berkas PHP. Keberadaan jenis file ini mungkin menunjukkan eksploitasi mengambil keuntungan dari kerentanan unggahan file sewenang-wenang.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Medium
Kemungkinan unduhan Cryptocoinminer terdeteksi
(AppServices_CryptoCoinMinerDownload)
Analisis data host telah mendeteksi pengunduhan file yang biasanya terkait dengan penambangan mata uang digital.
(Berlaku untuk: App Service di Linux)
Penghindaran Pertahanan, Perintah dan Kontrol, Eksploitasi Medium
Kemungkinan eksfiltrasi data terdeteksi
(AppServices_DataEgressArtifacts)
Analisis data host/perangkat mendeteksi kemungkinan kondisi keluarnya data. Penyerang akan sering mengeluarkan data dari komputer yang telah mereka susupi.
(Berlaku untuk: App Service di Linux)
Kumpulan, Eksfiltrasi Medium
Potensi terakhir catatan DNS untuk sumber daya App Service terdeteksi
(AppServices_PotentialDanglingDomain)
Catatan DNS yang menunjuk ke sumber daya App Service yang baru saja dihapus (juga dikenal sebagai entri "DNS yang menjuntai") telah terdeteksi. Ini mungkin membuat Anda rentan terhadap pengambilalihan subdomain. Pengambilalihan subdomain memungkinkan aktor jahat untuk mengalihkan lalu lintas yang ditujukan untuk domain organisasi ke situs yang melakukan aktivitas berbahaya. Dalam hal ini, catatan teks dengan ID Verifikasi Domain ditemukan. Catatan teks tersebut mencegah pengambilalihan subdomain tetapi kami masih merekomendasikan untuk menghapus domain yang terakhir. Jika Anda meninggalkan catatan DNS yang menunjuk pada subdomain, Anda berisiko jika ada orang di organisasi Anda yang menghapus file atau catatan TXT di masa mendatang.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
- Rendah
Potensi pembalikan shell terdeteksi
(AppServices_ReverseShell)
Analisis data host mendeteksi potensi shell terbalik. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang.
(Berlaku untuk: App Service di Linux)
Penyelundupan, Eksploitasi Medium
Unduhan data mentah terdeteksi
(AppServices_DownloadCodeFromWebsite)
Analisis proses App Service mendeteksi upaya untuk mengunduh kode dari situs web data mentah seperti Pastebin. Aksi ini dijalankan oleh proses PHP. Perilaku ini dikaitkan dengan upaya untuk mengunduh shell web atau komponen berbahaya lainnya ke App Service.
(Berlaku untuk: App Service di Windows)
Eksekusi Medium
Menyimpan keluaran ikal ke cakram yang terdeteksi
(AppServices_CurlToDisk)
Analisis proses App Service mendeteksi berjalannya perintah ikal di mana output disimpan ke disk. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini juga diamati dalam aktivitas berbahaya seperti upaya untuk menginfeksi situs web dengan shell web.
(Berlaku untuk: App Service di Windows)
- Rendah
Perujuk folder spam terdeteksi
(AppServices_SpamReferrer)
Log aktivitas Azure App Service menunjukkan aktivitas web yang diidentifikasi berasal dari situs web yang terkait dengan aktivitas spam. Ini dapat terjadi jika situs web Anda disusupi dan digunakan untuk aktivitas spam.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
- Rendah
Akses mencurigakan ke halaman web yang mungkin rentan terdeteksi
(AppServices_ScanSensitivePage)
Log aktivitas Azure App Service menunjukkan halaman web yang tampaknya sensitif diakses. Aktivitas mencurigakan ini berasal dari alamat IP sumber yang pola aksesnya menyerupai pemindai web.
Aktivitas ini sering dikaitkan dengan upaya penyerang untuk memindai jaringan Anda untuk mencoba dan mendapatkan akses ke halaman web yang sensitif atau rentan.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
- Rendah
Referensi nama domain yang mencurigakan
(AppServices_CommandlineSuspectDomain)
Analisis data host mendeteksi referensi ke nama domain yang mencurigakan. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh.
(Berlaku untuk: App Service di Linux)
Penyelundupan Rendah
Unduhan mencurigakan menggunakan Certutil terdeteksi
(AppServices_DownloadUsingCertutil)
Analisis data host pada {NAME} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk mengunduh biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi.
(Berlaku untuk: App Service di Windows)
Eksekusi Medium
Eksekusi PHP mencurigakan terdeteksi
(AppServices_SuspectPhp)
Log komputer menunjukkan bahwa proses PHP yang mencurigakan sedang berjalan. Tindakan ini mencakup upaya untuk menjalankan perintah sistem operasi atau kode PHP dari baris perintah, dengan menggunakan proses PHP. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini mungkin menunjukkan aktivitas berbahaya, seperti upaya untuk menginfeksi situs web dengan shell web.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Medium
Cmdlet PowerShell mencurigakan dieksekusi
(AppServices_PowerShellPowerSploitScriptExecution)
Analisis data host menunjukkan eksekusi cmdlet PowerShell PowerSploit berbahaya yang diketahui.
(Berlaku untuk: App Service di Windows)
Eksekusi Medium
Proses mencurigakan dijalankan
(AppServices_KnownCredential AccessTools)
Log mesin menunjukkan bahwa proses yang mencurigakan: '%{jalur proses}' berjalan pada mesin, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial.
(Berlaku untuk: App Service di Windows)
Akses Kredensial Tinggi
Nama proses mencurigakan terdeteksi
(AppServices_ProcessWithKnownSuspiciousExtension)
Analisis data host pada {NAME} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang dikenal atau dinamai dengan cara yang menunjukkan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi.
(Berlaku untuk: App Service di Windows)
Persistensi, Penghindaran Pertahanan Medium
Proses SVCHOST mencurigakan dijalankan
(AppServices_SVCHostFromInvalidPath)
Proses sistem SVCHOST diamati berjalan dalam konteks abnormal. Malware sering menggunakan SVCHOST untuk menutupi aktivitas berbahayanya.
(Berlaku untuk: App Service di Windows)
Penghindaran Pertahanan, Eksekusi Tinggi
Agen Pengguna Mencurigakan terdeteksi
(AppServices_UserAgentInjection)
Log aktivitas Azure App Service menunjukkan permintaan dengan agen pengguna yang mencurigakan. Perilaku ini dapat mengindikasikan adanya upaya untuk mengeksploitasi kerentanan di aplikasi App Service Anda.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Akses Awal Medium
Pemanggilan tema WordPress yang mencurigakan terdeteksi
(AppServices_WpThemeInjection)
Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas injeksi kode pada sumber daya App Service Anda.
Aktivitas mencurigakan yang terdeteksi menyerupai manipulasi tema WordPress untuk mendukung eksekusi kode sisi server, diikuti dengan permintaan web langsung untuk memanggil file tema yang dimanipulasi.
Jenis kegiatan ini terlihat di masa lalu sebagai bagian dari kampanye serangan atas WordPress.
Jika sumber daya App Service Anda tidak menghosting situs WordPress, itu tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan peringatan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Eksekusi Tinggi
Pemindai kerentanan terdeteksi
(AppServices_DrupalScanner)
Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda.
Aktivitas mencurigakan yang terdeteksi menyerupai alat yang menargetkan sistem manajemen konten (CMS).
Jika sumber daya App Service Anda tidak menghosting situs Drupal, itu tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan peringatan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud.
(Berlaku untuk: App Service di Windows)
PraSerangan Medium
Pemindai kerentanan terdeteksi
(AppServices_JoomlaScanner)
Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda.
Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda.
Jika sumber daya App Service Anda tidak menghosting situs Joomla, itu tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan peringatan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
PraSerangan Medium
Pemindai kerentanan terdeteksi
(AppServices_WpScanner)
Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda.
Aktivitas mencurigakan yang terdeteksi menyerupai alat yang menargetkan aplikasi WordPress.
Jika sumber daya App Service Anda tidak menghosting situs WordPress, itu tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan peringatan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
PraSerangan Medium
Sidik jari web terdeteksi
(AppServices_WebFingerprinting)
Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas sidik jari web pada sumber daya App Service Anda.
Aktivitas mencurigakan yang terdeteksi dikaitkan dengan alat bernama Blind Elephant. Alat ini sidik jari server web dan mencoba mendeteksi aplikasi dan versi yang diinstal.
Penyerang sering menggunakan alat ini untuk menyelidiki aplikasi web untuk menemukan kerentanan.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
PraSerangan Medium
Situs web ditandai sebagai berbahaya dalam umpan intelijen ancaman
(AppServices_SmartScreen)
Situs web Anda seperti yang dijelaskan di bawah ini ditandai sebagai situs berbahaya oleh Windows SmartScreen. Jika Menurut Anda ini adalah positif palsu, hubungi Windows SmartScreen melalui tautan umpan balik laporan yang disediakan.
(Berlaku untuk: App Service di Windows dan App Service di Linux)
Koleksi Medium

Peringatan untuk kontainer - klaster Kubernetes

Microsoft Defender untuk Kontainer memberikan peringatan keamanan pada tingkat kluster dan pada node kluster yang mendasarinya dengan memantau bidang kontrol (server API) dan beban kerja kontainer itu sendiri. Peringatan keamanan sarana kontrol dapat dikenali dengan awalan K8S_ jenis peringatan. Peringatan keamanan untuk beban kerja runtime dalam kluster dapat dikenali dengan awalan K8S.NODE_ jenis peringatan. Semua peringatan hanya didukung pada Linux, kecuali dinyatakan lain.

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Mencoba membuat namespace layanan Linux baru dari kontainer yang terdeteksi
(K8S.NODE_NamespaceCreation) 1
Analisis proses yang berjalan dalam kontainer di kluster Kubernetes mendeteksi upaya untuk membuat namespace layanan Linux baru. Meskipun perilaku ini mungkin sah, itu mungkin menunjukkan bahwa penyerang mencoba melarikan diri dari kontainer ke node. Beberapa eksploitasi CVE-2022-0185 menggunakan teknik ini. PrivilegeEscalation Medium
File riwayat telah dihapus
(K8S.NODE_HistoryFileCleared) 1
Analisis proses yang berjalan di dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi bahwa file log riwayat perintah telah dihapus. Penyerang dapat melakukan ini untuk menutupi jejak mereka. Operasi dilakukan oleh akun pengguna yang ditentukan. DefenseEvasion Medium
Aktivitas yang tidak wajar pada identitas terkelola yang terkait dengan Kubernetes (Pratinjau)
(K8S_AbnormalMiAcitivty)
Analisis operasi Azure Resource Manager mendeteksi perilaku yang tidak wajar pada identitas terkelola yang digunakan oleh addon AKS. Aktivitas yang terdeteksi tidak konsisten dengan perilaku addon terkait. Meskipun aktivitas ini mungkin sah, perilaku tersebut dapat menunjukkan bahwa identitas diperoleh oleh penyerang, yang mungkin berasal dari kontainer yang disusupi di kluster Kubernetes. Gerakan Lateral Medium
Operasi akun layanan Kubernetes yang tidak wajar terdeteksi
(K8S_ServiceAccountRareOperation)
Analisis log audit Kubernetes mendeteksi perilaku yang tidak wajar oleh akun layanan di kluster Kubernetes Anda. Akun layanan tersebut digunakan untuk operasi yang tidak umum untuk akun layanan ini. Meskipun aktivitas ini mungkin sah, perilaku tersebut dapat menunjukkan bahwa akun layanan sedang digunakan untuk tujuan berbahaya. Gerakan Lateral, Akses Informasi Masuk Medium
Upaya koneksi yang tidak biasa terdeteksi
(K8S.NODE_SuspectConnection) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi upaya koneksi yang tidak biasa menggunakan protokol socks. Ini sangat jarang terjadi dalam operasi normal, tetapi teknik yang dikenal untuk penyerang yang mencoba melewati deteksi lapisan jaringan. Eksekusi, Eksfiltrasi, Eksploitasi Medium
Penyebaran pod anomali (Pratinjau)
(K8S_AnomalousPodDeployment) 3
Analisis log audit Kubernetes mendeteksi penyebaran pod yang anomali berdasarkan aktivitas penyebaran pod sebelumnya. Aktivitas ini dianggap sebagai anomali ketika mempertimbangkan bagaimana fitur berbeda yang terlihat dalam operasi penyebaran dalam hubungan satu sama lain. Fitur yang dipantau termasuk registri gambar kontainer yang digunakan, akun yang melakukan penyebaran, hari dalam seminggu, seberapa sering akun ini melakukan penyebaran pod, agen pengguna yang digunakan dalam operasi, apakah ini adalah namespace yang sering terjadi penyebaran pod, dan lainnya fitur. Alasan utama untuk meningkatkan peringatan ini karena aktivitas anomali dirinci di bawah properti peringatan yang diperluas. Eksekusi Medium
Mencoba untuk menghentikan layanan apt-daily-upgrade.timer terdeteksi
(K8S.NODE_TimerServiceDisabled) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi upaya untuk menghentikan layanan apt-daily-upgrade.timer. Penyerang telah diamati menghentikan layanan ini untuk mengunduh file berbahaya dan memberikan hak eksekusi untuk serangan mereka. Aktivitas ini juga dapat terjadi jika layanan diperbarui melalui tindakan administratif normal. DefenseEvasion Informasi
Perilaku yang mirip dengan bot Linux umum terdeteksi (Pratinjau)
(K8S.NODE_CommonBot)
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi eksekusi proses yang biasanya terkait dengan botnet Linux umum. Eksekusi, Koleksi, Perintah, Dan Kontrol Medium
Perilaku yang mirip dengan ransomware Fairware terdeteksi
(K8S.NODE_FairwareMalware) 1
Analisis proses yang berjalan dalam kontainer mendeteksi eksekusi perintah rm -rf yang diterapkan ke lokasi yang mencurigakan. Karena rm -rf akan secara rekursif menghapus file, biasanya digunakan pada folder diskrit. Dalam hal ini, itu sedang digunakan di lokasi yang dapat menghapus banyak data. Fairware ransomware diketahui menjalankan perintah rm -rf di folder ini. Eksekusi Medium
Perintah dalam kontainer yang berjalan dengan hak istimewa tinggi
(K8S.NODE_PrivilegedExecutionInContainer) 1
Log komputer menunjukkan bahwa perintah istimewa dijalankan dalam kontainer Docker. Perintah istimewa telah memperluas hak istimewa pada komputer host. PrivilegeEscalation Rendah
Kontainer berjalan dalam mode istimewa
(K8S.NODE_PrivilegedContainerArtifacts) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi eksekusi perintah Docker yang menjalankan kontainer dengan hak istimewa. Kontainer dengan hak istimewa memiliki akses penuh ke pod hosting atau sumber daya host. Jika disusupi, penyerang dapat menggunakan kontainer dengan hak istimewa untuk mendapatkan akses ke pod hosting atau host. PrivilegeEscalation, Execution Rendah
Kontainer dengan dudukan volume sensitif terdeteksi
(K8S_SensitiveMount)
Analisis log audit Kubernetes mendeteksi kontainer baru dengan dudukan volume sensitif. Volume yang terdeteksi adalah tipe hostPath yang memasang file atau folder sensitif dari node ke kontainer. Jika kontainer dikompromikan, penyerang dapat menggunakan dudukan ini untuk mendapatkan akses ke node. Eskalasi Hak Istimewa Medium
Modifikasi CoreDNS pada Kubernetes terdeteksi
(K8S_CoreDnsModification) 23
Analisis log audit Kubernetes mendeteksi modifikasi konfigurasi CoreDNS. Konfigurasi CoreDNS dapat dimodifikasi dengan mengesampingkan peta konfigurasinya. Meskipun aktivitas ini dapat sah, jika penyerang memiliki izin untuk memodifikasi peta konfigurasi, mereka dapat mengubah perilaku server DNS kluster dan meracuninya. Gerakan Lateral Rendah
Pembuatan konfigurasi webhook penerimaan terdeteksi
(K8S_AdmissionController) 3
Analisis log audit Kubernetes mendeteksi konfigurasi webhook admission baru. Kubernetes memiliki dua admission controller bawaan: MutatingAdmissionWebhook dan ValidatingAdmissionWebhook. Perilaku pengontrol penerimaan ini ditentukan oleh webhook penerimaan yang digunakan pengguna ke kluster. Penggunaan pengontrol penerimaan tersebut dapat sah, namun penyerang dapat menggunakan webhook tersebut untuk memodifikasi permintaan (dalam kasus MutatingAdmissionWebhook) atau memeriksa permintaan dan mendapatkan informasi sensitif (dalam kasus ValidatingAdmissionWebhook). Akses Kredensial, Persistensi Rendah
Unduhan file yang terdeteksi dari sumber berbahaya yang diketahui
(K8S.NODE_SuspectDownload) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi unduhan file dari sumber yang sering digunakan untuk mendistribusikan malware. PrivilegeEscalation, Eksekusi, Eksfiltrasi, Perintah, dan Kontrol Medium
Unduhan file mencurigakan yang terdeteksi
(K8S.NODE_SuspectDownloadArtifacts) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi pengunduhan file jarak jauh yang mencurigakan. Persistensi Rendah
Terdeteksi penggunaan mencurigakan dari perintah nohup
(K8S.NODE_SuspectNohup) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi penggunaan perintah nohup yang mencurigakan. Penyerang telah terlihat menggunakan perintah nohup untuk menjalankan file tersembunyi dari direktori sementara untuk memungkinkan executable berjalan di latar belakang. Sangat jarang melihat perintah ini dijalankan pada file tersembunyi yang terletak di direktori sementara. Persistensi, DefenseEvasion Medium
Terdeteksi penggunaan mencurigakan dari perintah useradd
(K8S.NODE_SuspectUserAddition) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi penggunaan perintah useradd yang mencurigakan. Persistensi Medium
Kontainer penambangan mata uang digital terdeteksi
(K8S_MaliciousContainerImage) 3
Analisis log audit Kubernetes mendeteksi kontainer yang memiliki image yang terkait dengan alat penambangan mata uang digital. Eksekusi Tinggi
Perilaku terkait penambangan mata uang digital terdeteksi
(K8S.NODE_DigitalCurrencyMining) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan aktivitas mining mata uang digital. Eksekusi Tinggi
Operasi build Docker terdeteksi pada sebuah node Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Analisis proses yang berjalan di dalam kontainer atau langsung di node Kubernetes, telah mendeteksi operasi build dari gambar kontainer di node Kubernetes. Meskipun perilaku ini mungkin sah, penyerang mungkin membangun gambar berbahaya mereka secara lokal untuk menghindari deteksi. DefenseEvasion Rendah
Izin peran berlebihan yang ditetapkan di klaster Kubernetes (Pratinjau)
(K8S_ServiceAcountPermissionAnomaly) 3
Analisis log audit Kubernetes mendeteksi tugas peran izin yang berlebihan ke klaster Anda. Izin yang tercantum untuk peran yang ditetapkan jarang terjadi pada akun layanan tertentu. Deteksi ini mempertimbangkan penugasan peran sebelumnya ke akun layanan yang sama di seluruh kluster yang dipantau oleh Azure, volume per izin, dan dampak dari izin spesifik. Model deteksi anomali yang digunakan untuk peringatan ini memperhitungkan bagaimana izin ini digunakan di semua cluster yang dipantau oleh Microsoft Defender untuk Cloud. Eskalasi Hak Istimewa Rendah
Executable ditemukan berjalan dari lokasi yang mencurigakan (Pratinjau)
(K8S.NODE_SuspectExecutablePath)
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi file yang dapat dieksekusi yang berjalan dari lokasi yang terkait dengan file mencurigakan yang diketahui. File yang dapat dijalankan ini bisa berupa aktivitas yang sah, atau indikasi bahwa sistem disusupi. Eksekusi Medium
Dasbor Kubeflow yang terekspos terdeteksi
(K8S_ExposedKubeflow)
Analisis log audit Kubernetes mendeteksi paparan Ingress Istio oleh load balancer dalam klaster yang menjalankan Kubeflow. Tindakan ini mungkin mengekspos dasbor Kubeflow ke internet. Jika dasbor terkena internet, penyerang dapat mengaksesnya dan menjalankan kontainer atau kode berbahaya di klaster. Temukan detail selengkapnya di artikel berikut ini: https://aka.ms/exposedkubeflow-blog Akses Awal Medium
Dasbor Kubernetes yang terekspos terdeteksi
(K8S_ExposedDashboard)
Analisis log audit Kubernetes mendeteksi paparan Dasbor Kubernetes oleh layanan LoadBalancer. Dasbor yang terbuka memungkinkan akses tidak terautentikasi ke manajemen klaster dan menimbulkan ancaman keamanan. Akses Awal Tinggi
Layanan Kubernetes yang terekspos terdeteksi
(K8S_ExposedService)
Analisis log audit Kubernetes mendeteksi paparan sebuah layanan oleh load balancer. Layanan ini terkait dengan aplikasi sensitif yang memungkinkan operasi berdampak tinggi di kluster seperti menjalankan proses pada node atau membuat kontainer baru. Dalam beberapa kasus, layanan ini tidak memerlukan autentikasi. Jika layanan tidak memerlukan autentikasi, mengeksposnya ke internet menimbulkan risiko keamanan. Akses Awal Medium
Layanan Redis terekspos dalam AKS terdeteksi
(K8S_ExposedRedis)
Analisis log audit Kubernetes mendeteksi paparan layanan Redis oleh load balancer. Jika layanan tidak memerlukan autentikasi, mengeksposnya ke internet menimbulkan risiko keamanan. Akses Awal Rendah
Indikator yang terkait dengan toolkit DDOS terdeteksi
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi nama file yang merupakan bagian dari toolkit yang terkait dengan malware yang mampu meluncurkan serangan DDoS, membuka port dan layanan, dan mengambil kontrol penuh atas sistem yang terinfeksi. Ini juga mungkin aktivitas yang sah. Persistensi, LateralMovement, Eksekusi, Eksploitasi Medium
Permintaan K8S API dari alamat IP proxy terdeteksi
(K8S_TI_Proxy) 3
Analisis log audit Kubernetes mendeteksi permintaan API ke kluster dari alamat IP yang terkait dengan layanan proxy, seperti TOR. Volume yang terdeteksi adalah tipe hostPath yang memasang file atau folder sensitif dari node ke kontainer. Eksekusi Rendah
Aktivitas Kubernetes dihapus
(K8S_DeleteEvents) 23
Defender untuk Cloud mendeteksi bahwa beberapa peristiwa Kubernetes telah dihapus. Aktivitas Kubernetes adalah objek dalam Kubernetes yang berisi informasi tentang perubahan pada kluster. Penyerang mungkin menghapus peristiwa tersebut karena menyembunyikan operasi mereka di kluster. Penghindaran Pertahanan Rendah
Alat pengujian penetrasi Kubernetes terdeteksi
(K8S_PenTestToolsKubeHunter)
Analisis log audit Kubernetes mendeteksi penggunaan alat pengujian penetrasi Kubernetes di klaster AKS. Meskipun perilaku ini dapat sah, penyerang mungkin menggunakan alat publik tersebut untuk tujuan berbahaya. Eksekusi Rendah
Manipulasi firewall host terdeteksi
(K8S.NODE_FirewallDisabled) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi kemungkinan manipulasi firewall on-host. Penyerang akan sering menonaktifkan ini untuk mengekstrak data. DefenseEvasion, Exfiltration Medium
Peringatan pengujian Microsoft Defender untuk Cloud (bukan ancaman).
(K8S.NODE_EICAR) 1
Ini adalah peringatan pengujian yang dibuat oleh Microsoft Defender untuk Cloud. Tidak ada tindakan lebih lanjut yang diperlukan. Eksekusi Tinggi
Kontainer baru di dalam namespace kube-system terdeteksi
(K8S_KubeSystemContainer) 3
Analisis log audit Kubernetes mendeteksi adanya kontainer baru di dalam namespace kube-system yang tidak termasuk dalam kontainer yang biasanya berjalan di namespace ini. Namespace kube-system seharusnya tidak memuat sumber daya pengguna. Penyerang dapat menggunakan namespace ini untuk menyembunyikan komponen berbahaya. Persistensi Rendah
Peran hak istimewa tinggi baru terdeteksi
(K8S_HighPrivilegesRole) 3
Analisis log audit Kubernetes mendeteksi peran baru dengan hak istimewa tinggi. Pengikatan ke peran dengan hak istimewa tinggi memberi pengguna\grup hak istimewa tinggi dalam klaster. Hak istimewa yang tidak perlu dapat menyebabkan eskalasi hak istimewa dalam klaster. Persistensi Rendah
Kemungkinan alat serangan terdeteksi
(K8S.NODE_KnownLinuxAttackTool) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi pemanggilan alat yang mencurigakan. Alat ini sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain. Eksekusi, Koleksi, Perintah dan Kontrol, Penyelidikan Medium
Kemungkinan backdoor terdeteksi
(K8S.NODE_LinuxBackdoorArtifact) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi pengunduhan dan eksekusi file mencurigakan. Kegiatan ini sebelumnya telah dikaitkan dengan pemasangan backdoor. Persistensi, DefenseEvasion, Eksekusi, Eksploitasi Medium
Kemungkinan upaya eksploitasi baris perintah
(K8S.NODE_ExploitAttempt) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi kemungkinan upaya eksploitasi terhadap kerentanan yang diketahui. Eksploitasi Medium
Kemungkinan alat akses kredensial terdeteksi
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi kemungkinan alat akses informasi masuk yang diketahui berjalan pada kontainer, seperti yang diidentifikasi oleh proses dan item riwayat baris perintah yang ditentukan. Alat ini sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. CredentialAccess Medium
Kemungkinan unduhan Cryptocoinminer terdeteksi
(K8S.NODE_CryptoCoinMinerDownload) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi pengunduhan file yang biasanya terkait dengan aktivitas mining mata uang digital. DefenseEvasion, Perintah dan Kontrol, Eksploitasi Medium
Kemungkinan eksfiltrasi data terdeteksi
(K8S.NODE_DataEgressArtifacts) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi kemungkinan kondisi egress data. Penyerang akan sering mengeluarkan data dari komputer yang telah mereka susupi. Kumpulan, Eksfiltrasi Medium
Kemungkinan Aktivitas Pengrusakan Log Terdeteksi
(K8S.NODE_SystemLogRemoval) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi kemungkinan penghapusan file yang melacak aktivitas pengguna selama operasinya. Penyerang sering mencoba untuk menghindari deteksi dan tidak meninggalkan jejak aktivitas berbahaya dengan menghapus file log tersebut. DefenseEvasion Medium
Kemungkinan perubahan kata sandi menggunakan metode crypt terdeteksi
(K8S.NODE_SuspectPasswordChange) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi pengubahan kata sandi menggunakan metode crypt. Penyerang dapat membuat perubahan ini untuk melanjutkan akses dan mendapatkan persistensi setelah menyusup. CredentialAccess Medium
Potensi penerusan port ke alamat IP eksternal
(K8S.NODE_SuspectPortForwarding) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi inisiasi penerusan port ke alamat IP eksternal. Eksfiltrasi, Perintah Dan Kontrol Medium
Potensi pembalikan shell terdeteksi
(K8S.NODE_ReverseShell) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi potensi shell terbalik. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang. Penyelundupan, Eksploitasi Medium
Kontainer istimewa terdeteksi
(K8S_PrivilegedContainer)
Analisis log audit Kubernetes mendeteksi kontainer istimewa baru. Kontainer istimewa memiliki akses ke sumber daya node dan merusak isolasi antar kontainer. Jika dikompromikan, penyerang dapat menggunakan kontainer istimewa untuk mendapatkan akses ke node. Eskalasi Hak Istimewa Rendah
Proses yang terkait dengan penambangan mata uang digital terdeteksi
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Analisis proses yang berjalan dalam kontainer mendeteksi pelaksanaan proses yang biasanya terkait dengan penambangan mata uang digital. Eksekusi, Eksploitasi Medium
Proses terlihat mengakses file kunci resmi SSH dengan cara yang tidak biasa
(K8S.NODE_SshKeyAccess) 1
File SSH Authorized_keys diakses dengan metode yang mirip dengan kampanye malware yang dikenal. Akses ini bisa menandakan bahwa seorang aktor sedang berusaha untuk mendapatkan akses terus-menerus ke mesin. Tidak dikenal Rendah
Peran mengikat ke peran cluster-admin terdeteksi
(K8S_ClusterAdminBinding)
Analisis log audit Kubernetes mendeteksi pengikatan baru ke peran cluster-admin yang memberikan hak istimewa administrator. Hak istimewa administrator yang tidak perlu dapat menyebabkan eskalasi hak istimewa dalam kluster. Persistensi Rendah
Penghentian proses terkait keamanan terdeteksi
(K8S.NODE_SuspectProcessTermination) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi upaya untuk menghentikan proses yang berkaitan dengan pemantauan keamanan pada kontainer. Penyerang akan sering mencoba untuk mengakhiri proses tersebut menggunakan skrip yang telah ditentukan pasca-penyusupan. Persistensi Rendah
Server SSH berjalan di dalam kontainer
(K8S.NODE_ContainerSSH) 1
Analisis proses yang berjalan dalam kontainer mendeteksi server SSH yang berjalan di dalam kontainer. Eksekusi Medium
Modifikasi stempel waktu file yang mencurigakan
(K8S.NODE_TimestampTampering) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi alat modifikasi stempel waktu yang mencurigakan. Penyerang akan sering menyalin stempel waktu dari file sah yang ada ke alat baru untuk menghindari deteksi file yang baru dihentikan ini. Persistensi, DefenseEvasion Rendah
Permintaan mencurigakan ke API Kubernetes
(K8S.NODE_KubernetesAPI) 1
Analisis proses yang berjalan dalam kontainer menunjukkan bahwa permintaan mencurigakan dibuat ke API Kubernetes. Permintaan itu dikirim dari kontainer di kluster. Meskipun perilaku ini dapat disengaja, ini mungkin menunjukkan bahwa penampung yang disusupi sedang berjalan di kluster. GerakanLateral Medium
Permintaan mencurigakan ke Dasbor Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Analisis proses yang berjalan dalam kontainer menunjukkan bahwa permintaan mencurigakan dibuat ke Dasbor Kubernetes. Permintaan itu dikirim dari kontainer di kluster. Meskipun perilaku ini dapat disengaja, ini mungkin menunjukkan bahwa penampung yang disusupi sedang berjalan di kluster. GerakanLateral Medium
Penambang koin kripto potensial dimulai
(K8S.NODE_CryptoCoinMinerExecution) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi proses yang dimulai dengan cara yang biasanya terkait dengan aktivitas mining mata uang digital. Eksekusi Medium
Akses kata sandi yang mencurigakan
(K8S.NODE_SuspectPasswordFileAccess) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi upaya mencurigakan untuk mengakses kata sandi pengguna terenkripsi. Persistensi Informasi
Penggunaan DNS yang mencurigakan melalui HTTPS
(K8S.NODE_SuspiciousDNSOverHttps) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi penggunaan panggilan DNS melalui HTTP dengan cara yang tidak biasa. Teknik ini digunakan oleh penyerang guna menyembunyikan panggilan ke situs yang dicurigai atau berbahaya. DefenseEvasion, Exfiltration Medium
Kemungkinan koneksi ke lokasi berbahaya telah terdeteksi.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi koneksi ke lokasi yang telah dilaporkan berbahaya atau tidak biasa. Ini adalah indikator bahwa penyusupan mungkin telah terjadi. InitialAccess Medium
Kemungkinan shell web berbahaya terdeteksi.
(K8S.NODE_Webshell) 1
Analisis proses yang berjalan dalam kontainer mendeteksi kemungkinan shell web. Penyerang akan sering mengunggah shell web ke sumber daya komputasi yang telah mereka susupi untuk mendapatkan kegigihan atau untuk eksploitasi lebih lanjut. Persistensi, Eksploitasi Medium
Ledakan beberapa perintah pengintaian dapat menunjukkan aktivitas awal setelah disusupi
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Analisis data host/perangkat mendeteksi eksekusi beberapa perintah pengintaian yang terkait dengan pengumpulan detail sistem atau host yang dilakukan oleh penyerang setelah penyusupan awal. Penemuan, Koleksi Rendah
Aktivitas Pengunduhan Lalu Jalankan yang Mencurigakan
(K8S.NODE_DownloadAndRunCombo) 1
Analisis proses yang berjalan di dalam container atau langsung di node Kubernetes, mendeteksi file yang sedang diunduh kemudian dijalankan dalam perintah yang sama. Meskipun ini tidak selalu berbahaya, ini adalah teknik yang sangat umum digunakan penyerang untuk mendapatkan file berbahaya ke mesin korban. Eksekusi, CommandAndControl, Eksploitasi Medium
Aktivitas penambangan mata uang digital
(K8S.NODE_CurrencyMining) 1
Analisis transaksi DNS mendeteksi aktivitas penambangan mata uang digital. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang setelah kompromi sumber daya. Aktivitas penyerang terkait yang umum kemungkinan akan mencakup pengunduhan dan eksekusi alat penambangan umum. Penyelundupan Rendah
Akses ke file kubeconfig kubelet terdeteksi
(K8S.NODE_KubeConfigAccess) 1
Analisis proses yang berjalan pada node kluster Kubernetes mendeteksi akses ke file kubeconfig pada host. File kubeconfig, biasanya digunakan oleh proses Kubelet, berisi kredensial ke server API kluster Kubernetes. Akses ke file ini sering dikaitkan dengan penyerang yang mencoba mengakses kredensial tersebut, atau dengan alat pemindaian keamanan yang memeriksa apakah file dapat diakses. CredentialAccess Medium
Akses ke layanan metadata cloud terdeteksi
(K8S.NODE_ImdsCall) 1
Analisis proses yang berjalan dalam kontainer mendeteksi akses ke layanan metadata cloud untuk memperoleh token identitas. Kontainer biasanya tidak melakukan operasi tersebut. Meskipun perilaku ini mungkin sah, penyerang mungkin menggunakan teknik ini untuk mengakses sumber daya cloud setelah mendapatkan akses awal ke kontainer yang sedang berjalan. CredentialAccess Medium
Agen MITRE Caldera terdeteksi
(K8S.NODE_MitreCalderaTools) 1
Analisis proses yang berjalan dalam kontainer atau berjalan langsung pada node Kubernetes, mendeteksi proses yang mencurigakan. Ini sering dikaitkan dengan agen MITRE 54ndc47 yang dapat digunakan dengan berbahaya untuk menyerang komputer lain. Kegigihan, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Eksekusi, Koleksi, Eksfiltrasi, Perintah Dan Kontrol, Menyelidik, Eksploitasi Medium

1: Pratinjau untuk kluster non-AKS: Pemberitahuan ini umumnya tersedia untuk kluster AKS, tetapi dalam pratinjau untuk lingkungan lain, seperti Azure Arc, EKS, dan GKE.

2: Pembatasan kluster GKE: GKE menggunakan kebijakan audit Kuberenetes yang tidak mendukung semua jenis peringatan. Akibatnya, peringatan keamanan ini, yang didasarkan pada peristiwa audit Kubernetes, tidak didukung untuk kluster GKE.

3: Peringatan ini didukung pada node/kontainer Windows.

Peringatan untuk Azure SQL Database dan Azure Synapse Analytics

Detail dan catatan lebih lanjut

Peringatan Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Kemungkinan kerentanan terhadap SQL Injection
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
Aplikasi telah menghasilkan pernyataan SQL yang rusak dalam database. Ini dapat menunjukkan kemungkinan kerentanan terhadap serangan injeksi SQL. Ada dua kemungkinan alasan untuk pernyataan yang salah. Cacat kode aplikasi mungkin telah membangun pernyataan SQL yang rusak. Atau, kode aplikasi atau prosedur yang disimpan tidak membersihkan input pengguna saat membuat pernyataan SQL yang rusak, yang dapat dieksploitasi untuk injeksi SQL. PraSerangan Medium
Percobaan log masuk oleh aplikasi yang berpotensi berbahaya
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
Aplikasi yang berpotensi berbahaya mencoba mengakses server SQL '{name}'. PraSerangan Tinggi
Log masuk dari Pusat Data Azure yang tidak biasa
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari Pusat Data Azure yang tidak biasa. Dalam beberapa kasus, peringatan mendeteksi tindakan yang sah (aplikasi baru atau layanan Azure). Dalam kasus lain, peringatan mendeteksi tindakan berbahaya (penyerang yang beroperasi dari sumber daya yang dilanggar di Azure). Penyelidikan Rendah
Masuk dari lokasi yang tidak biasa
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari lokasi geografis yang tidak biasa. Dalam beberapa kasus, peringatan mendeteksi tindakan yang sah (aplikasi baru atau pemeliharaan pengembang). Dalam kasus lain, peringatan mendeteksi tindakan jahat (mantan karyawan atau penyerang eksternal). Eksploitasi Medium
Masuk dari pengguna utama yang tidak terlihat dalam 60 hari
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Pengguna utama yang tidak terlihat dalam 60 hari terakhir telah masuk ke database Anda. Jika database ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses database, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang. Eksploitasi Medium
Masuk dari IP yang mencurigakan
(SQL.VM_SuspiciousIpAnomaly)
Sumber daya Anda telah berhasil diakses dari alamat IP yang telah dikaitkan dengan Microsoft Threat Intelligence dengan aktivitas mencurigakan. PraSerangan Medium
Percobaan SQL Brute Force Potensial Jumlah upaya masuk gagal yang sangat tinggi dengan kredensial berbeda telah terjadi. Dalam beberapa kasus, peringatan mendeteksi pengujian penetrasi sedang beraksi. Dalam kasus lain, peringatan mendeteksi sebuah serangan brute force. Penyelidikan Tinggi
Potensi injeksi SQL
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Eksploitasi aktif telah terjadi terhadap aplikasi yang teridentifikasi rentan terhadap injeksi SQL. Ini berarti penyerang mencoba menyuntikkan pernyataan SQL berbahaya dengan menggunakan kode aplikasi yang rentan atau prosedur tersimpan. PraSerangan Tinggi
Tindakan yang Berpotensi Tidak Aman
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
Tindakan yang berpotensi tidak aman telah dicoba pada database Anda '{name}' di server '{name}'. - Tinggi
Kecurigaan serangan brute force menggunakan pengguna yang valid Kekuatan brutal yang berpotensi telah terdeteksi pada sumber daya Anda. Penyerang menggunakan sa pengguna yang valid, yang memiliki izin untuk masuk. PraSerangan Tinggi
Kecurigaan serangan brute force Potensi serangan brute force telah terdeteksi di server SQL Anda '{name}'. PraSerangan Tinggi
Kecurigaan serangan brute force yang berhasil
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
Masuk yang berhasil terjadi setelah serangan brute force yang nyata pada sumber daya Anda PraSerangan Tinggi
Lokasi ekspor yang tidak biasa Seseorang telah mengekstrak sejumlah besar data dari SQL Server '{name}' Anda ke lokasi yang tidak biasa. Penyelundupan Tinggi

Peringatan untuk database relasional sumber terbuka

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Kecurigaan serangan brute force menggunakan pengguna yang valid
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
Kekuatan brutal yang berpotensi telah terdeteksi pada sumber daya Anda. Penyerang menggunakan pengguna yang valid (nama pengguna), yang memiliki izin untuk masuk. PraSerangan Tinggi
Kecurigaan serangan brute force yang berhasil
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
Login yang berhasil terjadi setelah serangan brute force yang nyata pada sumber daya Anda. PraSerangan Tinggi
Kecurigaan serangan brute force
("SQL.MySQL_BruteForce")
Potensi serangan brute force telah terdeteksi di server SQL Anda '{name}'. PraSerangan Tinggi
Percobaan log masuk oleh aplikasi yang berpotensi berbahaya
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
Aplikasi yang berpotensi berbahaya mencoba mengakses sumber daya Anda. PraSerangan Tinggi
Masuk dari pengguna utama yang tidak terlihat dalam 60 hari
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
Pengguna utama yang tidak terlihat dalam 60 hari terakhir telah masuk ke database Anda. Jika database ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses database, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang. Eksploitasi Medium
Masuk dari domain yang tidak terlihat dalam 60 hari
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
Seorang pengguna telah masuk ke sumber daya Anda dari domain yang tidak pernah terhubung dengan pengguna lain dalam 60 hari terakhir. Jika sumber daya ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses sumber daya, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang. Eksploitasi Medium
Log masuk dari Pusat Data Azure yang tidak biasa
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
Seseorang masuk ke sumber daya Anda dari Pusat Data Azure yang tidak biasa. Penyelidikan Rendah
Masuk dari penyedia cloud yang tidak biasa
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
Seseorang masuk ke sumber daya Anda dari penyedia cloud yang tidak terlihat dalam 60 hari terakhir. Sangat cepat dan mudah bagi pelaku ancaman untuk mendapatkan kekuatan komputasi sekali pakai untuk digunakan dalam kampanye mereka. Jika perilaku yang diharapkan ini disebabkan oleh adopsi penyedia cloud baru saat baru-baru ini, Defender untuk Cloud akan belajar dari waktu ke waktu dan berupaya mencegah kesalahan positif di masa mendatang. Eksploitasi Medium
Masuk dari lokasi yang tidak biasa
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
Seseorang masuk ke sumber daya Anda dari Pusat Data Azure yang tidak biasa. Eksploitasi Medium
Masuk dari IP yang mencurigakan
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Sumber daya Anda telah berhasil diakses dari alamat IP yang telah dikaitkan dengan Microsoft Threat Intelligence dengan aktivitas mencurigakan. PraSerangan Medium

Peringatan untuk Resource Manager

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Operasi Azure Resource Manager dari alamat IP yang mencurigakan
(ARM_OperationFromSuspiciousIP)
Microsoft Defender untuk Resource Manager mendeteksi operasi dari alamat IP yang telah ditandai sebagai hal yang mencurigakan dalam umpan inteligensi ancaman. Eksekusi Medium
Operasi Azure Resource Manager dari alamat IP proksi yang mencurigakan
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender untuk Resource Manager mendeteksi operasi dari alamat IP yang terhubung dengan layanan proksi, seperti TOR. Meskipun perilaku ini bisa jadi sah, perilaku tersebut sering terlihat dalam kegiatan berbahaya, ketika pelaku ancaman mencoba menyembunyikan IP sumber mereka. Penghindaran Perlindungan Medium
Perangkat eksploitasi MicroBurst yang digunakan untuk menghitung sumber daya dalam langganan Anda
(ARM_MicroBurst.AzDomainInfo)
Modul Pengumpulan Informasi MicroBurst dijalankan pada langganan Anda. Alat ini dapat digunakan untuk menemukan sumber daya, izin, dan struktur jaringan. Ini terdeteksi dengan menganalisis log Aktivitas Azure dan operasi manajemen sumber daya di langganan Anda - Tinggi
Perangkat eksploitasi MicroBurst yang digunakan untuk menghitung sumber daya dalam langganan Anda
(ARM_MicroBurst.AzureDomainInfo)
Modul Pengumpulan Informasi MicroBurst dijalankan pada langganan Anda. Alat ini dapat digunakan untuk menemukan sumber daya, izin, dan struktur jaringan. Ini terdeteksi dengan menganalisis log Aktivitas Azure dan operasi manajemen sumber daya di langganan Anda - Tinggi
Toolkit eksploitasi MicroBurst yang digunakan untuk mengeksekusi kode pada komputer virtual Anda
(ARM_MicroBurst.AzVMBulkCMD)
Toolkit eksploitasi MicroBurst digunakan untuk mengeksekusi kode pada komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Eksekusi Tinggi
Toolkit eksploitasi MicroBurst yang digunakan untuk mengeksekusi kode pada komputer virtual Anda
(RM_MicroBurst.AzureRmVMBulkCMD)
Toolkit eksploitasi MicroBurst digunakan untuk mengeksekusi kode pada komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Peralatan eksploitasi MicroBurst yang digunakan untuk mengekstrak kunci dari brankas kunci Azure Anda
(ARM_MicroBurst.AzKeyVaultKeysREST)
Peralatan eksploitasi MicroBurst digunakan untuk mengekstrak kunci dari brankas kunci Azure Anda. Ini terdeteksi dengan menganalisis log Aktivitas Azure dan operasi manajemen sumber daya di langganan Anda. - Tinggi
Perangkat eksploitasi MicroBurst yang digunakan untuk mengekstrak kunci ke akun penyimpanan Anda
(ARM_MicroBurst.AZStorageKeysREST)
Peralatan eksploitasi MicroBurst digunakan untuk mengekstrak kunci ke akun penyimpanan Anda. Ini terdeteksi dengan menganalisis log Aktivitas Azure dan operasi manajemen sumber daya di langganan Anda. Koleksi Tinggi
Peralatan eksploitasi MicroBurst digunakan untuk mengekstrak rahasia dari brankas kunci Azure Anda
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Peralatan eksploitasi MicroBurst digunakan untuk mengekstrak rahasia dari brankas kunci Azure Anda. Ini terdeteksi dengan menganalisis log Aktivitas Azure dan operasi manajemen sumber daya di langganan Anda. - Tinggi
Toolkit eksploitasi PowerZure yang digunakan untuk meningkatkan akses dari Microsoft Azure Active Directory ke Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Peralatan eksploitasi PowerZure digunakan untuk meningkatkan akses dari AzureAD ke Azure. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di penyewa Anda. - Tinggi
Toolkit eksploitasi PowerZure digunakan untuk menghitung sumber daya
(ARM_PowerZure.GetAzureTargets)
Peralatan eksploitasi PowerZure digunakan untuk menghitung sumber daya atas nama akun pengguna yang sah di organisasi Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Koleksi Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk menghitung wadah penyimpanan, pembagian, dan tabel
(ARM_PowerZure.ShowStorageContent)
Peralatan eksploitasi PowerZure digunakan untuk menghitung pembagian penyimpanan, tabel, dan wadah. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk menjalankan buku pedoman di langganan Anda
(ARM_PowerZure.StartRunbook)
Peralatan eksploitasi PowerZure digunakan untuk menjalankan buku pedoman. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk mengekstrak konten buku pedoman
(ARM_PowerZure.AzureRunbookContent)
Peralatan eksploitasi PowerZure digunakan untuk mengekstrak konten buku pedoman. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Koleksi Tinggi
PRATINJAU - Aktivitas dari alamat IP yang berisiko
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Aktivitas pengguna dari alamat IP yang telah diidentifikasi sebagai alamat IP proxy anonim telah terdeteksi.
Proxy ini digunakan oleh orang-orang yang ingin menyembunyikan alamat IP perangkat mereka, dan dapat digunakan untuk maksud tidak baik. Deteksi ini menggunakan algoritme pembelajaran komputer yang mengurangi kesalahan positif, seperti alamat IP yang salah ditandai yang banyak digunakan oleh pengguna di organisasi.
Membutuhkan lisensi aktif aplikasi Microsoft Defender untuk Cloud.
- Medium
PRATINJAU - Aktivitas dari negara yang jarang dikunjungi
(ARM.MCAS_ActivityFromInfrequentCountry)
Aktivitas dari lokasi yang baru-baru ini atau tidak pernah dikunjungi oleh pengguna mana pun di organisasi telah terjadi.
Deteksi ini mempertimbangkan lokasi aktivitas sebelumnya untuk menentukan lokasi baru dan jarang. Mesin deteksi anomali menyimpan informasi tentang lokasi sebelumnya yang digunakan oleh pengguna dalam organisasi.
Membutuhkan lisensi aktif aplikasi Microsoft Defender untuk Cloud.
- Medium
PRATINJAU - Peralatan Azurite berjalan terdeteksi
(ARM_Azurite)
Peralatan pengintaian lingkungan cloud yang dikenal telah terdeteksi di lingkungan Anda. Alat Azurite dapat digunakan oleh penyerang (atau penguji penetrasi) untuk memetakan sumber daya langganan Anda dan mengidentifikasi konfigurasi yang tidak aman. Koleksi Tinggi
PRATINJAU - Aktivitas perjalanan yang mustahil
(ARM.MCAS_ImpossibleTravelActivity)
Dua aktivitas pengguna (dalam satu atau beberapa sesi) telah terjadi, yang berasal dari lokasi yang jauh secara geografis. Ini terjadi dalam jangka waktu yang lebih pendek daripada waktu yang dibutuhkan pengguna untuk melakukan perjalanan dari lokasi pertama ke lokasi kedua. Ini menunjukkan bahwa pengguna yang berbeda menggunakan kredensial yang sama.
Deteksi ini menggunakan algoritme pembelajaran komputer yang mengabaikan kesalahan positif yang nyata yang berkontribusi pada kondisi perjalanan yang tidak mungkin, seperti VPN dan lokasi yang biasa digunakan oleh pengguna lain dalam organisasi. Deteksi memiliki periode pembelajaran awal selama tujuh hari, di mana ia mempelajari pola aktivitas pengguna baru.
Membutuhkan lisensi aktif aplikasi Microsoft Defender untuk Cloud.
- Medium
PRATINJAU - Sesi pengelolaan yang mencurigakan menggunakan akun yang tidak aktif terdeteksi
(ARM_UnusedAccountPersistence)
Analisis log aktivitas langganan telah mendeteksi perilaku yang mencurigakan. Pengguna utama yang tidak digunakan untuk jangka waktu yang lama sekarang melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang. Persistensi Medium
PRATINJAU - Sesi pengelolaan yang mencurigakan menggunakan PowerShell terdeteksi
(ARM_UnusedAppPowershellPersistence)
Analisis log aktivitas langganan telah mendeteksi perilaku yang mencurigakan. Pengguna utama yang tidak secara teratur menggunakan PowerShell untuk mengelola lingkungan langganan sekarang menggunakan PowerShell, dan melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang. Persistensi Medium
PRATINJAU – Sesi pengelolaan yang mencurigakan menggunakan portal Microsoft Azure terdeteksi
(ARM_UnusedAppIbizaPersistence)
Analisis log aktivitas langganan Anda telah mendeteksi perilaku yang mencurigakan. Pengguna utama yang tidak secara teratur menggunakan portal Microsoft Azure (Ibiza) untuk mengelola lingkungan langganan (belum menggunakan portal Microsoft Azure untuk mengelola selama 45 hari terakhir, atau langganan yang dikelola secara aktif), sekarang menggunakan portal Microsoft Azure dan melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang. Persistensi Medium
Peran kustom istimewa dibuat untuk langganan Anda dengan cara yang mencurigakan (Pratinjau)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender untuk Resource Manager mendeteksi kreasi yang mencurigakan dari definisi peran khusus yang diistimewakan dalam langganan Anda. Operasi ini mungkin telah dilakukan oleh pengguna yang sah di organisasi Anda. Atau, ini mungkin menunjukkan bahwa akun di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba menciptakan peran istimewa untuk digunakan di masa depan untuk menghindari deteksi. Eskalasi Hak Istimewa, Penghindaran Pertahanan Rendah
Penetapan peran Azure yang mencurigakan terdeteksi (Pratinjau)
(ARM_AnomalousRBACRoleAssignment)
Pertahanan Microsoft untuk Resource Manager mengidentifikasi penetapan peran Azure yang mencurigakan/ dilakukan menggunakan PIM (Privileged Identity Management) di penyewa Anda yang mungkin menunjukkan adanya penyusupan di akun organisasi Anda. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator memberikan akses utama ke sumber daya Azure. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan penetapan peran untuk meningkatkan izin yang bisa meningkatkan serangan mereka. Gerakan Lateral, Penghindaran Perlindungan Rendah (PIM)/Tinggi
Pemanggilan mencurigakan dari operasi 'Akses Info Masuk' berisiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk mengakses info masuk. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Akses Informasi Masuk Medium
Invokasi mencurigakan dari operasi 'Koleksi Data' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Collection)
Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk mengumpulkan data. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengumpulkan data sensitif pada sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Koleksi Medium
Invokasi mencurigakan dari operasi 'Penghindaran Pertahanan' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk menghindari pertahanan. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola postur keamanan lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk menghindari terdeteksi ketika menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Penghindaran Perlindungan Medium
Invokasi mencurigakan dari operasi 'Eksekusi' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Execution)
Microsoft Defender untuk Resource Manager mengidentifikasi permintaan mencurigakan dari operasi berisiko tinggi pada mesin dalam langganan Anda yang mungkin mengindikasikan upaya untuk mengeksekusi kode. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Eksekusi Medium
Invokasi mencurigakan dari operasi 'Dampak' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Impact)
Microsoft Defender untuk Resource Manager mengidentifikasi permintaan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin menunjukkan upaya perubahan konfigurasi. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mengakses info masuk terbatas dan menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Dampak Medium
Pemanggilan mencurigakan dari operasi 'Akses Awal' berisiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender untuk Resource Manager mengidentifikasi permintaan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk mengakses sumber daya yang dibatasi. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk mendapatkan akses awal ke sumber daya terbatas di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Akses Awal Medium
Invokasi mencurigakan dari operasi 'Gerakan Lateral' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender untuk Resource Manager mengidentifikasi permintaan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk melakukan gerakan lateral. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk menyusupi sumber daya tambahan di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Gerakan Lateral Medium
Invokasi mencurigakan dari operasi 'Persistensi' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk membangun persistensi. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk membangun persistensi di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Persistensi Medium
Invokasi mencurigakan dari operasi 'Eskalasi Hak istimewa' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender untuk Resource Manager mengidentifikasi permintaan mencurigakan dari operasi berisiko tinggi dalam langganan Anda yang mungkin mengindikasikan upaya untuk meningkatkan hak istimewa. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien. Meskipun kemungkinan aktivitas ini sah, pelaku ancaman mungkin saja menggunakan operasi tertentu untuk eskalasi hak istimewa ketika menyusupi sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya. Eskalasi Hak Istimewa Medium
Penggunaan peralatan eksploitasi MicroBurst untuk menjalankan kode arbitrer atau mengekstrak kredensial akun Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Usage of MicroBurst exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Persistensi, Akses Info Masuk Tinggi
Penggunaan teknik NetSPI untuk mempertahankan kegigihan di lingkungan Azure Anda
(ARM_NetSPI.MaintainPersistence)
Penggunaan teknik presistensi NetSPI untuk membuat pintu belakang webhook dan mempertahankan presistensi di lingkungan Azure Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Penggunaan peralatan eksploitasi PowerZure untuk menjalankan kode arbitrer atau mengekstrak kredensial akun Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Toolkit eksploitasi PowerZure terdeteksi mencoba menjalankan kode atau mengekstrak kredensial akun Azure Automation. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Penggunaan fungsi PowerZure untuk mempertahankan kegigihan di lingkungan Azure Anda
(ARM_PowerZure.MaintainPersistence)
Peralatan eksploitasi PowerZure terdeteksi membuat backdoor webhook untuk mempertahankan kegigihan di lingkungan Azure Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. - Tinggi
Penetapan peran klasik yang mencurigakan terdeteksi (Pratinjau)
(ARM_AnomalousClassicRoleAssignment)
Pertahanan Microsoft untuk Resource Manager mengidentifikasi penetapan peran klasik yang mencurigakan di penyewa Anda yang mungkin menunjukkan adanya penyusupan di akun organisasi. Operasi yang diidentifikasi dirancang untuk memberikan kompatibilitas mundur dengan peran klasik yang tidak lagi umum digunakan. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan penugasan tersebut untuk memberikan izin ke akun pengguna tambahan yang mereka kendalikan.  Gerakan Lateral, Penghindaran Perlindungan Tinggi

Peringatan untuk DNS

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Penggunaan protokol jaringan yang tidak wajar
(AzureDNS_ProtocolAnomaly)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan protokol yang tidak wajar. Lalu lintas seperti itu, meskipun mungkin tidak berbahaya, dapat mengindikasikan penyalahgunaan protokol umum ini untuk melewati penyaringan lalu lintas jaringan. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya. Penyelundupan -
Aktivitas jaringan anonimitas
(AzureDNS_DarkWeb)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas jaringan anonimitas. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering digunakan oleh penyerang untuk menghindari pelacakan dan sidik jari komunikasi jaringan. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Aktivitas jaringan anonimitas menggunakan proxy web
(AzureDNS_DarkWebProxy)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas jaringan anonimitas. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering digunakan oleh penyerang untuk menghindari pelacakan dan sidik jari komunikasi jaringan. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Upaya komunikasi dengan domain tersembunyi yang mencurigakan
(AzureDNS_SinkholedDomain)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk domain sinkhole. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Penyelundupan -
Communication with possible phishing domain
(AzureDNS_PhishingDomain)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk kemungkinan domain phishing. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh. Penyelundupan -
Komunikasi dengan domain mencurigakan yang dibuat secara algoritme
(AzureDNS_DomainGenerationAlgorithm)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan penggunaan algoritme pembuatan domain. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman
(AzureDNS_ThreatIntelSuspectDomain)
Komunikasi dengan domain yang mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkannya dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan intelijen ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi. Akses Awal Medium
Komunikasi dengan nama domain acak yang mencurigakan
(AzureDNS_RandomizedDomain)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan nama domain yang dibuat secara acak dan mencurigakan. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Aktivitas penambangan mata uang digital
(AzureDNS_CurrencyMining)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas penambangan mata uang digital. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang setelah kompromi sumber daya. Aktivitas penyerang terkait yang umum kemungkinan akan mencakup pengunduhan dan eksekusi alat penambangan umum. Penyelundupan -
Aktivasi tanda tangan deteksi intrusi jaringan
(AzureDNS_SuspiciousDomain)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi tanda tangan jaringan berbahaya yang diketahui. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Penyelundupan -
Kemungkinan pengunduhan data melalui terowongan DNS
(AzureDNS_DataInfiltration)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan terowongan DNS. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringa. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Kemungkinan eksfiltrasi data melalui terowongan DNS
(AzureDNS_DataExfiltration)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan terowongan DNS. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringa. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -
Kemungkinan transfer data melalui terowongan DNS
(AzureDNS_DataObfuscation)
Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan terowongan DNS. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringa. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh. Penyelundupan -

Peringatan untuk Microsoft Azure Storage

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
PRATINJAU - Akses dari aplikasi yang mencurigakan
(Storage.Blob_SuspiciousApp)
Menunjukkan bahwa aplikasi mencurigakan telah sukses mengakses akun penyimpanan Kontainer dengan autentikasi.
Hal ini kemungkinan menunjukkan bahwa penyerang telah memperoleh info masuk yang diperlukan untuk mengakses akun dan sedang mengeksploitasinya. Dan bisa juga menjadi indikasi dari uji penetrasi yang dilakukan organisasi Anda.
Berlaku untuk: Azure Blob Storage, Azure Data Lake Storage Gen2
Akses Awal Medium
Akses dari alamat IP yang mencurigakan
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Menunjukkan bahwa akun penyimpanan ini telah berhasil diakses dari alamat IP yang dianggap mencurigakan. Peringatan ini didukung oleh Microsoft Threat Intelligence.
Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Akses Awal Medium
PRATINJAU – Konten phishing yang dihosting di akun penyimpanan
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
URL yang digunakan dalam serangan phishing mengarah ke akun Azure Storage Anda. URL ini adalah bagian dari serangan phishing yang memengaruhi pengguna Microsoft 365.
Biasanya, konten yang dihosting di halaman tersebut dirancang untuk mengelabui pengunjung agar memasukkan kredensial perusahaan atau informasi keuangan mereka ke dalam formulir web yang terlihat sah.
Peringatan ini didukung oleh Microsoft Threat Intelligence.
Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft.
Berlaku untuk: Azure Blob Storage, Azure Files
Koleksi Tinggi
PRATINJAU - Akun penyimpanan diidentifikasi sebagai sumber penyebaran malware
(Storage.Files_WidespreadeAm)
Peringatan antimalware menunjukkan bahwa file yang terinfeksi disimpan di berbagi Azure Files yang dipasang ke beberapa VM. Jika penyerang mendapatkan akses ke VM dengan berbagi Azure Files terpasang, mereka dapat menggunakannya untuk menyebarkan malware ke VM lain yang memasang berbagi yang sama.
Berlaku untuk: Azure Files
Gerakan Lateral, Eksekusi Tinggi
PRATINJAU - Akun penyimpanan dengan data yang berpotensi sensitif telah terdeteksi dengan wadah yang terbuka untuk umum
(Storage.Blob_OpenACL)
Kebijakan akses penampung di akun penyimpanan Anda telah diubah untuk mengizinkan akses anonim. Hal ini dapat menyebabkan pelanggaran data jika penampung menyimpan data sensitif. Peringatan ini didasarkan pada analisis log aktivitas Azure.
Berlaku untuk: Azure Blob Storage, Azure Data Lake Storage Gen2
Eskalasi Hak Istimewa Medium
Akses terautentikasi dari node keluar Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Satu atau beberapa kontainer penyimpanan/berbagi file di akun penyimpanan Anda berhasil diakses dari alamat IP yang dikenal sebagai node keluar aktif Tor (proksi anonim). Aktor ancaman menggunakan Tor untuk membuatnya sulit untuk melacak aktivitas kembali kepada mereka. Akses yang diautentikasi dari node keluar Tor adalah indikasi yang mungkin bahwa aktor ancaman mencoba menyembunyikan identitas mereka.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Akses awal Tinggi/Sedang
Akses dari lokasi yang tidak biasa ke akun penyimpanan
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Menunjukkan bahwa ada perubahan dalam pola akses ke akun Azure Storage. Seseorang telah mengakses akun ini dari alamat IP yang dianggap tidak dikenal jika dibandingkan dengan aktivitas terbaru. Mungkin penyerang telah mendapatkan akses ke akun, atau pengguna yang sah telah terhubung dari lokasi geografis baru atau tidak biasa. Contoh yang terakhir adalah pemeliharaan jarak jauh dari aplikasi atau pengembang baru.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Eksploitasi Rendah
Akses tidak diautentikasi yang tidak biasa ke kontainer penyimpanan
(Storage.Blob_AnonymousAccessAnomaly)
Akun penyimpanan yang diakses tanpa autentikasi, merupakan perubahan pada pola akses umum. Akses baca untuk kontainer ini biasanya diautentikasi. Hal ini mungkin menunjukkan bahwa pelaku ancaman dapat mengeksploitasi akses baca publik ke kontainer penyimpanan dalam akun penyimpanan.
Berlaku untuk: Azure Blob Storage
Koleksi Rendah
Potensi perangkat lunak perusak yang diunggah ke akun penyimpanan
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Menunjukkan bahwa blob yang berisi potensi malware telah diunggah ke wadah blob atau berbagi file di akun penyimpanan. Peringatan ini didasarkan pada analisis reputasi hash yang memanfaatkan kekuatan intelijen ancaman Microsoft, yang mencakup hash untuk virus, trojan, spyware, dan ransomware. Penyebab potensial dapat mencakup unggahan malware yang disengaja oleh penyerang, atau unggahan yang tidak disengaja dari gumpalan yang berpotensi berbahaya oleh pengguna yang sah.
Berlaku untuk: Azure Blob Storage, Azure Files (Hanya untuk transaksi melalui REST API)
Pelajari lebih lanjut tentang analisis reputasi hash Azure untuk perangkat lunak perusak.
Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft.
Gerakan Lateral Tinggi
Kontainer penyimpanan yang dapat diakses publik berhasil ditemukan
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Keberhasilan penemuan kontainer penyimpanan yang terbuka untuk umum pada akun penyimpanan Anda, dilakukan di jam terakhir dengan skrip dan alat pemindaian.

Hal ini biasanya menunjukkan serangan pengintaian, di mana pelaku ancaman berusaha membuat daftar blob dengan menebak nama kontainer, dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif di dalamnya.

Pelaku ancaman dapat menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang sudah dikenal seperti Microburst untuk memindai kontainer yang terbuka untuk umum.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Koleksi Medium
Kontainer penyimpanan yang dapat diakses publik tidak berhasil dipindai
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Serangkaian upaya yang gagal untuk memindai kontainer penyimpanan yang terbuka untuk umum dilakukan pada jam terakhir.

Upaya ini biasanya menunjukkan serangan pengintaian, di mana pelaku ancaman berusaha membuat daftar blob dengan menebak nama kontainer, dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif di dalamnya.

Pelaku ancaman dapat menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang sudah dikenal seperti Microburst untuk memindai kontainer yang terbuka untuk umum.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Koleksi Rendah
Pemeriksaan akses yang tidak biasa di akun penyimpanan
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Menunjukkan bahwa izin akses akun penyimpanan telah diperiksa dengan cara yang tidak biasa, dibandingkan dengan aktivitas terbaru pada akun ini. Penyebab potensial adalah bahwa penyerang telah melakukan pengintaian untuk serangan di masa depan.
Berlaku untuk: Azure Blob Storage, Azure Files
Koleksi Medium
Jumlah data yang tidak biasa yang diekstrak dari akun penyimpanan
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Menunjukkan bahwa jumlah data yang luar biasa besar telah diekstraksi dibandingkan dengan aktivitas terbaru pada wadah penyimpanan ini. Penyebab potensial adalah penyerang telah mengekstrak sejumlah besar data dari wadah yang menyimpan penyimpanan gumpalan.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Penyelundupan Medium
Aplikasi yang tidak biasa mengakses akun penyimpanan
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Menunjukkan bahwa aplikasi yang tidak biasa telah mengakses akun penyimpanan ini. Kemungkinan penyebabnya adalah penyerang telah mengakses akun penyimpanan Anda dengan menggunakan aplikasi baru.
Berlaku untuk: Azure Blob Storage, Azure Files
Eksploitasi Medium
Perubahan izin akses yang tidak biasa di akun penyimpanan
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Menunjukkan bahwa izin akses wadah penyimpanan ini telah diubah dengan cara yang tidak biasa. Penyebab potensialnya adalah penyerang telah mengubah izin kontainer untuk melemahkan postur keamanannya atau untuk mendapatkan persistensi.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Persistensi Medium
Eksplorasi data yang tidak biasa di akun penyimpanan
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Menunjukkan bahwa gumpalan atau wadah dalam akun penyimpanan telah dihitung dengan cara yang tidak normal, dibandingkan dengan aktivitas terbaru pada akun ini. Penyebab potensial adalah bahwa penyerang telah melakukan pengintaian untuk serangan di masa depan.
Berlaku untuk: Azure Blob Storage, Azure Files
Koleksi Medium
Penghapusan yang tidak biasa di akun penyimpanan
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Menunjukkan bahwa satu atau beberapa operasi penghapusan tak terduga telah terjadi di akun penyimpanan, dibandingkan dengan aktivitas terbaru di akun ini. Kemungkinan penyebabnya adalah penyerang telah menghapus data dari akun penyimpanan Anda.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Penyelundupan Medium
Unggahan.cspkg yang tidak biasa ke akun penyimpanan
(Storage.Blob_CspkgUploadAnomaly)
Menunjukkan bahwa paket Azure Cloud Services (file.cspkg) telah diunggah ke akun penyimpanan dengan cara yang tidak biasa, dibandingkan dengan aktivitas terbaru di akun ini. Penyebab potensial adalah penyerang telah bersiap untuk menyebarkan kode berbahaya dari akun penyimpanan Anda ke layanan cloud Azure.
Berlaku untuk: Azure Blob Storage, Azure Data Lake Storage Gen2
Gerakan Lateral, Eksekusi Medium
Unggahan.exe yang tidak biasa ke akun penyimpanan
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Menunjukkan bahwa file.exe telah diunggah ke akun penyimpanan dengan cara yang tidak biasa, dibandingkan dengan aktivitas terbaru di akun ini. Kemungkinan penyebabnya adalah penyerang telah mengunggah file berbahaya yang dapat dieksekusi ke akun penyimpanan Anda, atau pengguna yang sah telah mengunggah file yang dapat dieksekusi.
Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Gerakan Lateral, Eksekusi Medium

Peringatan untuk Azure Cosmos DB

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Akses dari simpul keluar Tor
(CosmosDB_TorAnomaly)
Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang dikenal sebagai node keluar aktif Tor, proksi anonim. Akses yang diautentikasi dari node keluar Tor adalah indikasi yang mungkin bahwa aktor ancaman mencoba menyembunyikan identitas mereka. Akses Awal Tinggi/Sedang
Akses dari IP yang mencurigakan
(CosmosDB_SuspiciousIp)
Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang diidentifikasi sebagai ancaman oleh Inteligensi Ancaman Microsoft. Akses Awal Medium
Akses dari lokasi yang tidak biasa
(CosmosDB_GeoAnomaly)
Akun Azure Cosmos DB ini diakses dari lokasi yang dianggap tidak dikenal, berdasarkan pola akses biasa.

Mungkin pelaku ancaman telah mendapatkan akses ke akun, atau pengguna yang sah telah terhubung dari lokasi geografis baru atau tidak biasa
Akses Awal Rendah
Volume data yang tidak biasa yang diekstraksi
(CosmosDB_DataExfiltrationAnomaly)
Volume data yang luar biasa besar telah diekstraksi dari akun Azure Cosmos DB ini. Ini mungkin menunjukkan bahwa aktor ancaman mengeluarkan data. Penyelundupan Medium
Ekstraksi kunci akun Azure Cosmos DB via skrip yang berpotensi berbahaya
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Skrip PowerShell dijalankan dalam langganan Anda dan melakukan pola operasi daftar kunci yang mencurigakan guna mendapatkan kunci akun Azure Cosmos DB di langganan Anda. Aktor ancaman menggunakan skrip otomatis, seperti Microburst, guna mencantumkan kunci dan menemukan akun Azure Cosmos DB yang dapat mereka akses.

Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba menyusupi akun Azure Cosmos DB di lingkungan Anda untuk niat jahat.

Atau, orang dalam yang berbahaya dapat mencoba mengakses data sensitif dan melakukan gerakan lateral.
Koleksi Tinggi
Ekstraksi mencurigakan dari kunci akun Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Sumber mencurigakan mengekstrak kunci akses akun Azure Cosmos DB dari langganan Anda. Jika sumber ini bukan sumber yang sah, ini mungkin masalah berdampak tinggi. Kunci akses yang diekstrak memberikan kontrol penuh atas database terkait dan data yang disimpan di dalamnya. Lihat detail setiap pemberitahuan tertentu untuk memahami mengapa sumber ditandai sebagai mencurigakan. Akses Informasi Masuk tinggi
Injeksi SQL: potensi eksfiltrasi data
(CosmosDB_SqlInjection.DataExfiltration)
Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.

Pernyataan yang diinjeksi mungkin telah berhasil mengeluarkan data yang tidak diizinkan oleh aktor ancaman.

Karena struktur dan kemampuan kueri Azure Cosmos DB, banyak serangan injeksi SQL yang diketahui pada akun Azure Cosmos DB tidak dapat berfungsi. Namun, variasi yang digunakan dalam serangan ini dapat bekerja dan aktor ancaman dapat mengeksfiltrasi data.
Penyelundupan Medium
Injeksi SQL: upaya fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.

Seperti serangan injeksi SQL terkenal lainnya, serangan ini tidak akan berhasil menyusupi akun Azure Cosmos DB.

Namun demikian, ini merupakan indikasi bahwa aktor ancaman mencoba menyerang sumber daya di akun ini, dan aplikasi Anda dapat disusupi.

Beberapa SQL serangan injeksi dapat berhasil dan digunakan untuk mengeksfiltrasi data. Ini berarti bahwa jika penyerang terus melakukan upaya injeksi SQL, mereka mungkin dapat menyusupi akun Azure Cosmos DB Anda dan mengeksfiltrasi data.

Anda dapat mencegah ancaman ini dengan menggunakan kueri parameter.
Pra-penyerangan Rendah

Peringatan untuk lapisan network Azure

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Komunikasi Jaringan dengan mesin yang berbahaya telah terdeteksi
(Network_CommunicationWithC2)
Analisis lalu lintas jaringan menunjukkan bahwa mesin Anda (IP %{Victim IP}) telah berkomunikasi dengan apa yang mungkin merupakan pusat Komando dan Kontrol. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, aktivitas yang dicurigai mungkin menunjukkan bahwa satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi) telah berkomunikasi dengan apa yang mungkin merupakan pusat Perintah dan Kontrol. Komando dan Kontrol Medium
Kemungkinan mesin yang disusupi terdeteksi
(Network_ResourceIpIndicatedAsMalicious)
Threat Intelligence menunjukkan bahwa mesin Anda (pada IP %{Machine IP}) mungkin telah disusupi oleh malware jenis Conficker. Conficker adalah worm komputer yang menarget sistem operasi Microsoft Windows dan terdeteksi pertamakali di November 2008. Conficker menginfeksi jutaan komputer termasuk pemerintahan, bisnis, dan komputer rumahan pada lebih dari 200 negara/wilayah. Menjadikannya sebagai infeksi worm komputer terbesar yang diketahui sejak Worm Welchia 2003. Komando dan Kontrol Medium
Kemungkinan upaya brute force %{Service name} yang masuk terdeteksi
(Generic_Incoming_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi komunikasi %{Service Name} masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host} dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). lebih spesifik lagi, sampel data jaringan menunjukkan aktifitas mencurigakan antara %{Start Time}dan %{End Time}End Time} pada port %{Victim Port}. aktifitas ini konsisten dengan upaya brute fornce terhadap server %{Service Name}. PraSerangan Medium
Kemungkinan upaya brute force SQL yang masuk terdeteksi
(SQL_Incoming_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi komunikasi SQL masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan aktivitas mencurigakan antara %{Start Time} dan %{End Time} pada port %{Port Number} (%{Jenis Layanan SQL}). Aktifitas ini konsisten dengan upaya brute force terhadap server SQL. PraSerangan Medium
Kemungkinan serangan penolakan layanan keluar telah terdeteksi
(DDOS)
Analisis lalu lintas jaringan mendeteksi aktivitas keluar yang tidak wajar yang berasal dari %{Compromised Host}, sumber daya dalam penyebaran Anda. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda telah disusupi dan sekarang terlibat dalam serangan penolakan layanan terhadap titik akhir eksternal. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, aktivitas yang dicurigai mungkin menunjukkan bahwa satu atau beberapa sumber daya di kumpulan backend telah disusupi (dari load balancer atau gateway aplikasi). Berdasarkan dari volume koneksi, kami percaya bahwa IP yang telah disebut mungkin merupakan target dari serangan DOS %{Possible Victims}. Perhatikan bahwa ada kemungkinan bahwa komunikasi ke beberapa IP ini sah. Dampak Medium
Aktifitas jaringan RDP masuk yang mencurigakan dari berbagai sumber
(RDP_Incoming_BF_ManyToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi Remote Desktop Protocol (RDP) masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari berbagai sumber. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Attacking IPs} IP unik yang terhubung ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktifitas ini dapat menandakan sebuah upaya brute force kepada titik akhir RDP Anda dari berbagai macam host (Botnet) PraSerangan Medium
Aktivitas jaringan RDP masuk yang mencurigakan
(RDP_Incoming_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi Remote Desktop Protocol (RDP) masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, data jaringan sampel menunjukkan %{Number of Connections} koneksi masuk ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktifitas ini dapat menandakan sebuah upaya brute force kepada titik akhir RDP Anda PraSerangan Medium
Aktifitas jaringan SSG mencurigakan dari berbagai macam sumber
(SSH_Incoming_BF_ManyToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi SSH masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari berbagai sumber. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Attacking IPs} IP unik yang terhubung ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktifitas ini dapat menandakan sebuah upaya brute force kepada titik akhir SSH Anda dari berbagai macam host (Botnet) PraSerangan Medium
Aktivitas jaringan SSH masuk yang mencurigakan
(SSH_Incoming_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi SSH masuk ke %{Victim IP}, yang terkait dengan sumber daya Anda %{Compromised Host}, dari %{Attacker IP}. Saat sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas masuk yang dicurigai telah diteruskan ke satu atau beberapa sumber daya di kumpulan backend (Load balancer atau gateway aplikasi). Secara khusus, data jaringan sampel menunjukkan %{Number of Connections} koneksi masuk ke sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktifitas ini dapat menandakan sebuah upaya brute force kepada titik akhir SSH Anda PraSerangan Medium
Lalu lintas %{Attacked Protocol} keluar yang mencurigakan terdeteksi
(PortScanning)
Analisis lalu lintas jaringan mendeteksi lalu lintas keluar yang mencurigakan dari %{Compromised host}ke port tujuan %{Most Common Port}. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Perilaku ini dapat mengindikasikan bahwa sumber daya Anda mengambil bagian dalam %{Attacked Protocol} upaya brute force atau serangan port sweeping. Penemuan Medium
Aktivitas jaringan RDP keluar yang mencurigakan ke beberapa tujuan
(RDP_Outgoing_BF_OneToMany)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi Remote Desktop Protocol (RDP) keluar ke beberapa tujuan yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan mesin Anda terhubung ke %{Number of Attacked IPs} IP unik, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda telah disusupi dan sekarang digunakan untuk kegiatan brute force titik akhir RDP eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal. Penemuan Tinggi
Aktivitas Jaringan RDP keluar yang mencurigakan
(RDP_Outgoing_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi Remote Desktop Protocol (RDP) keluar ke %{Victim IP} yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Connections} koneksi keluar dari sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa mesin Anda telah disusupi dan sekarang digunakan untuk kegiatan brute force terhadap titik akhir RDP eksternal. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal. Gerakan Lateral Tinggi
Aktivitas jaringan SSH keluar yang mencurigakan ke beberapa tujuan
(SSH_Outgoing_BF_OneToMany)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi SSH keluar ke beberapa tujuan yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan sumber daya Anda terhubung ke %{Number of Attacked IPs} IP unik, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda telah disusupi dan sekarang digunakan untuk memaksa titik akhir SSH eksternal secara paksa. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal. Penemuan Medium
Aktivitas jaringan SSH keluar yang mencurigakan
(SSH_Outgoing_BF_OneToOne)
Analisis lalu lintas jaringan mendeteksi anomali komunikasi SSH keluar ke %{Victim IP} yang berasal dari %{Compromised Host} (%{Attacker IP}), sumber daya dalam penyebaran Anda. Ketika sumber daya yang disusupi adalah load balancer atau gateway aplikasi, lalu lintas keluar yang dicurigai berasal dari satu atau beberapa sumber daya di kumpulan backend (load balancer atau gateway aplikasi). Secara khusus, sampel data jaringan menunjukkan %{Number of Connections} koneksi keluar dari sumber daya Anda, yang dianggap tidak normal untuk lingkungan ini. Aktivitas ini mungkin menunjukkan bahwa sumber daya Anda telah disusupi dan sekarang digunakan untuk memaksa titik akhir SSH eksternal secara paksa. Perhatikan bahwa jenis aktivitas ini mungkin dapat menyebabkan IP Anda ditandai sebagai berbahaya oleh entitas eksternal. Gerakan Lateral Medium
Lalu lintas terdeteksi dari alamat IP yang disarankan untuk memblokir Microsoft Defender untuk Cloud mendeteksi lalu lintas masuk dari alamat IP yang direkomendasikan untuk diblokir. Ini biasanya terjadi ketika alamat IP ini tidak berkomunikasi secara teratur dengan sumber daya ini. Atau, alamat IP telah ditandai sebagai berbahaya oleh sumber intelijen ancaman Defender untuk Cloud. Penyelidikan Rendah

peringatan untuk Azure Key Vault

Detail dan catatan lebih lanjut

Peringatan (jenis peringatan) Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Akses dari alamat IP yang mencurigakan ke key vault
(KV_SuspiciousIPAccess)
Brankas kunci telah berhasil diakses oleh IP yang telah diidentifikasi oleh Microsoft Threat Intelligence sebagai alamat IP yang mencurigakan. Ini mungkin menunjukkan bahwa infrastruktur Anda telah disusupi. Kami merekomendasikan penyelidikan lebih lanjut. Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft. Akses Informasi Masuk Medium
Akses dari sebuah TOR exit node kepada sebuah key vault
(KV_TORAccess)
sebuah key vault telah diakses dari TOR exit node yang telah diketahui. Ini bisa menjadi indikasi bahwa aktor ancaman telah mengakses key vault dan menggunakan jaringan TOR untuk menyembunyikan lokasi sumbernya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Volume operasi yang tinggi di key vault
(KV_OperationVolumeAnomaly)
Jumlah operasi key vault yang tidak wajar dilakukan oleh pengguna, perwakilan layanan, dan/atau key vault tertentu. Pola aktivitas anomali ini mungkin sah, tetapi bisa menjadi indikasi bahwa aktor ancaman telah memperoleh akses ke key vault dan rahasia-rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Perubahan kebijakan yang mencurigakan dan kueri rahasia di key vault
(KV_PutGetAnomaly)
Pengguna atau perwakilan layanan telah melakukan operasi perubahan kebijakan Vault Put yang ganjil diikuti oleh satu atau beberapa operasi Secret Get. Pola ini biasanya tidak dilakukan oleh pengguna atau perwakilan layanan tertentu. Ini mungkin aktivitas yang sah, tetapi bisa menjadi indikasi bahwa aktor ancaman telah memperbarui kebijakan key vault untuk mengakses rahasia yang sebelumnya tidak dapat diakses. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Daftar dan kueri rahasia yang mencurigakan di key vault
(KV_ListGetAnomaly)
Pengguna atau perwakilan layanan telah melakukan operasi Secret List ganjil yang diikuti oleh satu atau lebih operasi Secret Get. Pola ini biasanya tidak dilakukan oleh pengguna atau perwakilan layanan tertentu dan biasanya dikaitkan dengan pembuangan rahasia. Ini mungkin aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah memperoleh akses ke key vault dan mencoba menemukan rahasia yang dapat digunakan untuk bergerak secara lateral melalui jaringan Anda dan/atau mendapatkan akses ke sumber daya sensitif. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Akses yang tidak biasa ditolak - Pengguna yang mengakses volume tinggi brankas kunci ditolak
(KV_AccountVolumeAccessDeniedAnomaly)
Pengguna atau perwakilan layanan telah mencoba mengakses brankas kunci dengan volume yang sangat tinggi dalam 24 jam terakhir. Pola akses yang tidak biasa ini mungkin aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Penemuan Rendah
Akses yang tidak biasa ditolak - Akses brankas kunci oleh pengguna yang tidak biasa ditolak
(KV_UserAccessDeniedAnomaly)
Percobaan akses brankas kunci dilakukan oleh pengguna yang tidak biasa mengaksesnya, pola akses tidak biasa ini mungkin aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya. Akses Awal, Penemuan Rendah
Aplikasi yang tidak biasa diakses oleh key vault
(KV_AppAnomaly)
Sebuah key vault telah diakses oleh perwakilan layanan yang biasanya tidak mengaksesnya. Pola akses yang tidak wajar ini mungkin merupakan aktivitas yang sah, tetapi dapat menjadi indikasi bahwa aktor ancaman telah memperoleh akses ke key vault dalam upaya mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Pola operasi yang tidak biasa di key vault
(KV_OperationPatternAnomaly)
Pola ganjil dari operasi key vault yang telah dilakukan oleh pengguna, perwakilan layanan, dan/atau key vault tertentu. Pola aktivitas anomali ini mungkin sah, tetapi bisa menjadi indikasi bahwa aktor ancaman telah memperoleh akses ke key vault dan rahasia-rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Pengguna yang tidak biasa mengakses key vault
(KV_UserAnomaly)
Sebuah key vault telah diakses oleh pengguna yang biasanya tidak mengaksesnya. Pola akses yang tidak wajar ini mungkin merupakan aktivitas yang sah, tetapi dapat menjadi indikasi bahwa aktor ancaman telah memperoleh akses ke key vault dalam upaya mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Pasangan aplikasi pengguna yang tidak biasa,mengakses key vault
(KV_UserAppAnomaly)
Sebuah key vault telah diakses oleh pasangan pengguna - perwakilan layanan yang biasanya tidak mengaksesnya. Pola akses yang tidak wajar ini mungkin merupakan aktivitas yang sah, tetapi dapat menjadi indikasi bahwa aktor ancaman telah memperoleh akses ke key vault dalam upaya mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium
Pengguna mengakses volume tinggi dari key vaults
(KV_AccountVolumeAnomaly)
Pengguna atau perwakilan layanan telah mengakses key vault dengan volume yang sangat tinggi. Pola akses yang tidak wajar ini mungkin merupakan aktivitas yang sah, tetapi dapat menjadi indikasi bahwa pelaku ancaman telah memperoleh akses ke beberapa key vaults dalam upaya mengakses rahasia yang ada di dalamnya. Kami merekomendasikan investigasi lebih lanjut. Akses Kredensial Medium

Peringatan untuk Azure DDoS Protection

Detail dan catatan lebih lanjut

Peringatan Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Serangan DDoS terdeteksi untuk IP Publik Serangan DDoS terdeteksi untuk IP Publik (alamat IP) dan sedang dimitigasi. Penyelidikan Tinggi
Serangan DDoS dimitigasi untuk IP publik Serangan DDoS dimitigasi untuk IP Publik (alamat IP). Penyelidikan Rendah

Peringatan insiden keamanan

Detail dan catatan lebih lanjut

Peringatan Deskripsi Taktik MITRE
(Pelajari selengkapnya)
Tingkat keparahan
Insiden keamanan dengan proses berbagi terdeteksi Insiden yang dimulai pada {Start Time (UTC)} dan baru-baru ini terdeteksi pada {Detected Time (UTC)} menunjukkan bahwa penyerang telah {Action taken} sumber daya Anda {Host} - Tinggi
Insiden keamanan terdeteksi di banyak sumber daya Insiden yang dimulai pada {Start Time (UTC)} dan baru-baru ini terdeteksi pada {Detected Time (UTC)} menunjukkan bahwa metode serangan serupa dilakukan pada sumber daya cloud Anda {Host} - Medium
Insiden keamanan terdeteksi dari sumber yang sama Insiden yang dimulai pada {Start Time (UTC)} dan baru-baru ini terdeteksi pada {Detected Time (UTC)} menunjukkan bahwa penyerang telah {Action taken} sumber daya Anda {Host} - Tinggi
Insiden keamanan terdeteksi di beberapa komputer Insiden yang dimulai pada {Start Time (UTC)} dan baru-baru ini terdeteksi pada {Detected Time (UTC)} menunjukkan bahwa penyerang telah {Action taken} resource Anda {Host} - Medium

Taktik MITRE ATT&CK

Memahami maksud serangan dapat membantu Anda menyelidiki dan melaporkan kejadian dengan lebih mudah. Untuk membantu upaya ini, pemberitahuan Microsoft Defender untuk Cloud menyertakan taktik MITRE dengan banyak pemberitahuan.

Serangkaian langkah yang menggambarkan perkembangan serangan siber dari pengintaian ke penyelundupan data sering disebut sebagai "kill chain".

Niat rantai penyerangan yang didukung Defender untuk Cloud didasarkan pada versi 9 matriks MITRE ATT&CK dan dijelaskan dalam tabel di bawah.

Taktik Versi ATT&CK Deskripsi
PraSerangan PreAttack dapat berupa upaya untuk mengakses sumber daya tertentu terlepas dari niat jahat, atau upaya yang gagal untuk mendapatkan akses ke sistem target demi mengumpulkan informasi sebelum eksploitasi. Langkah ini biasanya terdeteksi sebagai upaya, yang berasal dari luar jaringan, untuk memindai sistem target dan mengidentifikasi titik masuk.
Akses Awal V7, V9 Akses Awal adalah tahap di mana penyerang berhasil mendapatkan pijakan pada sumber daya yang diserang. Tahap ini relevan untuk host komputer dan sumber daya seperti akun pengguna, sertifikat, dll. Pelaku ancaman seringkali dapat mengontrol sumber daya setelah tahap ini.
Persistensi V7, V9 Persistensi adalah akses, tindakan, atau perubahan konfigurasi apa pun ke sistem yang memberi aktor ancaman kehadiran terus-menerus pada sistem itu. Pelaku ancaman seringkali perlu mempertahankan akses ke sistem melalui interupsi seperti restart sistem, hilangnya kredensial, atau kegagalan lain yang memerlukan alat akses jarak jauh untuk memulai ulang atau menyediakan pintu belakang alternatif bagi mereka untuk mendapatkan kembali akses.
Eskalasi Hak Istimewa V7, V9 Eskalasi hak istimewa adalah hasil dari tindakan yang memungkinkan musuh memperoleh tingkat izin yang lebih tinggi pada sistem atau jaringan. Alat atau tindakan tertentu memerlukan hak istimewa dengan tingkat yang lebih tinggi untuk bekerja dan mungkin diperlukan di banyak titik selama operasi. Akun pengguna dengan izin untuk mengakses sistem tertentu atau melakukan fungsi khusus yang diperlukan musuh untuk mencapai tujuannya juga dapat dianggap sebagai eskalasi hak istimewa.
Penghindaran Pertahanan V7, V9 Penghindaran pertahanan terdiri dari teknik yang dapat digunakan musuh untuk menghindari deteksi atau menghindari pertahanan lainnya. Terkadang tindakan ini sama dengan (atau variasi) teknik dalam kategori lain yang memiliki manfaat tambahan untuk menumbangkan pertahanan atau mitigasi tertentu.
Akses Kredensial V7, V9 Akses kredensial mewakili teknik yang menghasilkan akses ke atau kontrol atas sistem, domain, atau kredensial layanan yang digunakan dalam lingkungan perusahaan. Musuh kemungkinan akan berusaha untuk mendapatkan kredensial yang sah dari pengguna atau akun administrator (administrator sistem lokal atau pengguna domain dengan akses administrator) untuk digunakan dalam jaringan. Dengan akses yang memadai di dalam jaringan, musuh dapat membuat akun untuk digunakan nanti di dalam lingkungan.
Penemuan V7, V9 Penemuan terdiri dari teknik-teknik yang memungkinkan musuh memperoleh pengetahuan tentang sistem dan jaringan internal. Ketika musuh mendapatkan akses ke sistem baru, mereka harus mengorientasikan diri mereka pada apa yang sekarang mereka kendalikan dan manfaat apa yang diberikan oleh sistem itu untuk tujuan mereka saat ini atau tujuan keseluruhan selama penyusupan. Sistem operasi menyediakan banyak alat bawaan yang membantu fase pengumpulan informasi pasca-kompromi ini.
GerakanLateral V7, V9 Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengakses dan mengontrol sistem jarak jauh pada jaringan dan dapat, tetapi tidak harus, mencakup eksekusi alat pada sistem jarak jauh. Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengakses dan mengontrol sistem jarak jauh pada jaringan dan dapat, tetapi tidak harus, mencakup eksekusi alat pada sistem jarak jauh. Musuh dapat menggunakan gerakan lateral untuk banyak tujuan, termasuk Eksekusi alat jarak jauh, berputar ke sistem tambahan, akses ke informasi atau file tertentu, akses ke kredensial tambahan, atau untuk menimbulkan sebuah efek.
Eksekusi V7, V9 Taktik eksekusi mewakili teknik yang menghasilkan eksekusi kode yang dapat dikendalikan musuh pada sistem lokal atau jarak jauh. Taktik ini sering digunakan bersama dengan gerakan lateral untuk memperluas akses ke sistem jarak jauh di jaringan.
Koleksi V7, V9 Koleksi terdiri dari teknik yang digunakan untuk mengidentifikasi dan mengumpulkan informasi, seperti file sensitif, dari jaringan target sebelum penyelundupan. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana musuh mungkin mencari informasi untuk diselundupi.
Komando dan Kontrol V7, V9 Taktik perintah dan kontrol mewakili bagaimana musuh berkomunikasi dengan sistem di bawah kendali mereka dalam jaringan target.
Penyelundupan V7, V9 Exfiltration mengacu pada teknik dan atribut yang menghasilkan atau membantu musuh menghapus file dan informasi dari jaringan target. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana musuh mungkin mencari informasi untuk diselundupi.
Dampak V7, V9 Peristiwa dampak terutama mencoba untuk secara langsung mengurangi ketersediaan atau integritas sistem, layanan, atau jaringan; termasuk manipulasi data untuk mempengaruhi bisnis atau proses operasional. Ini sering merujuk pada teknik seperti ransomware, defacement, manipulasi data, dan lainnya.

Catatan

Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang peringatan keamanan Microsoft Defender untuk Cloud, lihat berikut ini: