Pemberitahuan untuk ekstensi Azure VM
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk ekstensi Azure VM dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan ekstensi Azure VM
Pemberitahuan ini berfokus pada mendeteksi aktivitas mencurigakan ekstensi komputer virtual Azure dan memberikan wawasan tentang upaya penyerang untuk membahayakan dan melakukan aktivitas berbahaya pada komputer virtual Anda.
Ekstensi komputer virtual Azure adalah aplikasi kecil yang menjalankan pasca-penyebaran pada komputer virtual dan menyediakan kemampuan seperti konfigurasi, otomatisasi, pemantauan, keamanan, dan banyak lagi. Meskipun ekstensi adalah alat yang kuat, ekstensi tersebut dapat digunakan oleh pelaku ancaman untuk berbagai niat jahat, misalnya:
Pengumpulan dan pemantauan data
Eksekusi kode dan penyebaran konfigurasi dengan hak istimewa tinggi
Mereset kredensial dan membuat pengguna administratif
Mengenkripsi disk
Pelajari selengkapnya tentang Defender untuk Cloud perlindungan terbaru terhadap penyalahgunaan ekstensi Azure VM.
Kegagalan mencurigakan menginstal ekstensi GPU di langganan Anda (Pratinjau)
(VM_GPUExtensionSuspiciousFailure)
Deskripsi: Niat mencurigakan untuk menginstal ekstensi GPU pada VM yang tidak didukung. Ekstensi ini harus dipasang pada komputer virtual yang dilengkapi dengan prosesor grafis, dan dalam hal ini komputer virtual tidak dilengkapi dengan hal tersebut. Kegagalan ini dapat dilihat ketika iklan berbahaya menjalankan beberapa penginstalan ekstensi tersebut untuk tujuan penambangan kripto.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_GPUDriverExtensionUnusualExecution)
Deskripsi: Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi driver GPU untuk menginstal driver GPU di komputer virtual Anda melalui Azure Resource Manager untuk melakukan cryptojacking. Kegiatan ini dianggap mencurigakan karena perilaku kepala sekolah berangkat dari polanya yang biasa.
Taktik MITRE: Dampak
Tingkat keparahan: Rendah
Jalankan Perintah dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_RunCommandSuspiciousScript)
Deskripsi: Perintah Jalankan dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan Run Command untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Penggunaan Perintah Jalankan tidak sah yang mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_RunCommandSuspiciousFailure)
Deskripsi: Penggunaan Perintah Jalankan yang tidak sah yang mencurigakan telah gagal dan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin mencoba menggunakan Jalankan Perintah untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Aktivitas ini dianggap mencurigakan karena belum pernah terlihat sebelumnya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Penggunaan Perintah Jalankan mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_RunCommandSuspiciousUsage)
Deskripsi: Penggunaan Perintah Jalankan yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan Run Command untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Aktivitas ini dianggap mencurigakan karena belum pernah terlihat sebelumnya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Rendah
Penggunaan mencurigakan dari beberapa ekstensi pemantauan atau pengumpulan data terdeteksi di komputer virtual Anda (Pratinjau)
(VM_SuspiciousMultiExtensionUsage)
Deskripsi: Penggunaan mencurigakan dari beberapa ekstensi pemantauan atau pengumpulan data terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menyalahgunakan ekstensi tersebut untuk pengumpulan data, pemantauan lalu lintas jaringan, dan banyak lagi, di langganan Anda. Penggunaan ini dianggap mencurigakan karena belum pernah terlihat sebelumnya.
Taktik MITRE: Pengintaian
Tingkat keparahan: Sedang
Penginstalan ekstensi enkripsi disk yang mencurigakan terdeteksi pada komputer virtual Anda (Pratinjau)
(VM_DiskEncryptionSuspiciousUsage)
Deskripsi: Penginstalan ekstensi enkripsi disk yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menyalahgunakan ekstensi enkripsi disk untuk menyebarkan enkripsi disk penuh di komputer virtual Anda melalui Azure Resource Manager dalam upaya untuk melakukan aktivitas ransomware. Aktivitas ini dianggap mencurigakan karena belum sering terlihat sebelumnya dan karena tingginya jumlah instalasi ekstensi.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Penggunaan ekstensi VMAccess yang mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_VMAccessSuspiciousUsage)
Deskripsi: Penggunaan ekstensi VMAccess yang mencurigakan terdeteksi di komputer virtual Anda. Penyerang mungkin menyalahgunakan ekstensi VMAccess untuk mendapatkan akses dan membahayakan komputer virtual Anda dengan hak istimewa tinggi dengan mengatur ulang akses atau mengelola pengguna administratif. Aktivitas ini dianggap mencurigakan karena perilaku prinsipal berangkat dari polanya yang biasa, dan karena tingginya jumlah instalasi ekstensi.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
Ekstensi Konfigurasi Status yang Diinginkan (DSC) dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_DSCExtensionSuspiciousScript)
Deskripsi: Ekstensi Desired State Configuration (DSC) dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi Desired State Configuration (DSC) untuk menyebarkan konfigurasi berbahaya, seperti mekanisme persistensi, skrip berbahaya, dan banyak lagi, dengan hak istimewa tinggi, pada komputer virtual Anda. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Penggunaan ekstensi Desired State Configuration (DSC) yang mencurigakan terdeteksi pada komputer virtual Anda (Pratinjau)
(VM_DSCExtensionSuspiciousUsage)
Deskripsi: Penggunaan mencurigakan ekstensi Desired State Configuration (DSC) terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi Desired State Configuration (DSC) untuk menyebarkan konfigurasi berbahaya, seperti mekanisme persistensi, skrip berbahaya, dan banyak lagi, dengan hak istimewa tinggi, pada komputer virtual Anda. Aktivitas ini dianggap mencurigakan karena perilaku prinsipal berangkat dari polanya yang biasa, dan karena tingginya jumlah instalasi ekstensi.
Taktik MITRE: Eksekusi
Tingkat keparahan: Rendah
Ekstensi skrip kustom dengan skrip mencurigakan terdeteksi di komputer virtual Anda (Pratinjau)
(VM_CustomScriptExtensionSuspiciousCmd)
Deskripsi: Ekstensi skrip kustom dengan skrip mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi skrip Kustom untuk menjalankan kode berbahaya dengan hak istimewa tinggi di komputer virtual Anda melalui Azure Resource Manager. Skrip dianggap mencurigakan karena bagian tertentu diidentifikasi berpotensi berbahaya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Eksekusi ekstensi skrip mengubah penyesuaian yang mencurigakan dan gagal di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousFailure)
Deskripsi: Kegagalan mencurigakan ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Kegagalan tersebut mungkin dikaitkan dengan skrip berbahaya yang dijalankan oleh ekstensi ini.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Penghapusan ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualDeletion)
Deskripsi: Penghapusan ekstensi skrip kustom yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi skrip kustom untuk menjalankan kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Eksekusi ekstensi skrip khusus yang tidak biasa di komputer virtual Anda
(VM_CustomScriptExtensionUnusualExecution)
Deskripsi: Eksekusi ekstensi skrip kustom yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi skrip kustom untuk menjalankan kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Ekstensi skrip khusus dengan titik masuk yang mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Deskripsi: Ekstensi skrip kustom dengan titik masuk yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Titik masuk mengacu pada repositori GitHub yang mencurigakan. Penyerang mungkin menggunakan ekstensi skrip kustom untuk menjalankan kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Ekstensi skrip khusus dengan muatan mencurigakan di komputer virtual Anda
(VM_CustomScriptExtensionSuspiciousPayload)
Deskripsi: Ekstensi skrip kustom dengan payload dari repositori GitHub yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi skrip kustom untuk menjalankan kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.