Peringatan untuk Resource Manager
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk Resource Manager dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan Resource Manager
Catatan
Pemberitahuan dengan indikasi akses yang didelegasikan dipicu karena aktivitas penyedia layanan pihak ketiga. pelajari selengkapnya tentang indikasi aktivitas penyedia layanan.
Detail dan catatan lebih lanjut
Operasi Azure Resource Manager dari alamat IP yang mencurigakan
(ARM_OperationFromSuspiciousIP)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mendeteksi operasi dari alamat IP yang telah ditandai sebagai mencurigakan dalam umpan inteligensi ancaman.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Operasi Azure Resource Manager dari alamat IP proksi yang mencurigakan
(ARM_OperationFromSuspiciousProxyIP)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mendeteksi operasi manajemen sumber daya dari alamat IP yang terkait dengan layanan proksi, seperti TOR. Meskipun perilaku ini bisa jadi sah, perilaku tersebut sering terlihat dalam kegiatan berbahaya, ketika pelaku ancaman mencoba menyembunyikan IP sumber mereka.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Perangkat eksploitasi MicroBurst yang digunakan untuk menghitung sumber daya dalam langganan Anda
(ARM_MicroBurst.AzDomainInfo)
Deskripsi: Skrip PowerShell dijalankan dalam langganan Anda dan melakukan pola mencurigakan dalam menjalankan operasi pengumpulan informasi untuk menemukan sumber daya, izin, dan struktur jaringan. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mengumpulkan informasi untuk aktivitas berbahaya. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: -
Tingkat keparahan: Rendah
Perangkat eksploitasi MicroBurst yang digunakan untuk menghitung sumber daya dalam langganan Anda
(ARM_MicroBurst.AzureDomainInfo)
Deskripsi: Skrip PowerShell dijalankan dalam langganan Anda dan melakukan pola mencurigakan dalam menjalankan operasi pengumpulan informasi untuk menemukan sumber daya, izin, dan struktur jaringan. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mengumpulkan informasi untuk aktivitas berbahaya. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: -
Tingkat keparahan: Rendah
Toolkit eksploitasi MicroBurst yang digunakan untuk mengeksekusi kode pada komputer virtual Anda
(ARM_MicroBurst.AzVMBulkCMD)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola kode eksekusi yang mencurigakan pada VM atau daftar VM. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk menjalankan skrip pada VM untuk aktivitas berbahaya. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: Eksekusi
Tingkat keparahan: Tinggi
Toolkit eksploitasi MicroBurst yang digunakan untuk mengeksekusi kode pada komputer virtual Anda
(RM_MicroBurst.AzureRmVMBulkCMD)
Deskripsi: Toolkit eksploitasi MicroBurst digunakan untuk mengeksekusi kode pada komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Peralatan eksploitasi MicroBurst yang digunakan untuk mengekstrak kunci dari brankas kunci Azure Anda
(ARM_MicroBurst.AzKeyVaultKeysREST)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola mencurigakan mengekstrak kunci dari Azure Key Vault. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mencantumkan kunci dan menggunakannya untuk mengakses data sensitif atau melakukan gerakan lateral. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Perangkat eksploitasi MicroBurst yang digunakan untuk mengekstrak kunci ke akun penyimpanan Anda
(ARM_MicroBurst.AZStorageKeysREST)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola mencurigakan mengekstrak kunci ke Akun Penyimpanan. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mencantumkan kunci dan menggunakannya untuk mengakses data sensitif di Akun Penyimpanan Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: Koleksi
Tingkat keparahan: Rendah
Peralatan eksploitasi MicroBurst digunakan untuk mengekstrak rahasia dari brankas kunci Azure Anda
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola mencurigakan mengekstrak rahasia dari Azure Key Vault. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mencantumkan rahasia dan menggunakannya untuk mengakses data sensitif atau melakukan gerakan lateral. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Toolkit eksploitasi PowerZure yang digunakan untuk meningkatkan akses dari Microsoft Azure Active Directory ke Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Deskripsi: Toolkit eksploitasi PowerZure digunakan untuk meningkatkan akses dari AzureAD ke Azure. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di penyewa Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Toolkit eksploitasi PowerZure digunakan untuk menghitung sumber daya
(ARM_PowerZure.GetAzureTargets)
Deskripsi: Toolkit eksploitasi PowerZure digunakan untuk menghitung sumber daya atas nama akun pengguna yang sah di organisasi Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: Koleksi
Tingkat keparahan: Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk menghitung wadah penyimpanan, pembagian, dan tabel
(ARM_PowerZure.ShowStorageContent)
Deskripsi: Toolkit eksploitasi PowerZure digunakan untuk menghitung berbagi penyimpanan, tabel, dan kontainer. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk menjalankan buku pedoman di langganan Anda
(ARM_PowerZure.StartRunbook)
Deskripsi: Toolkit eksploitasi PowerZure digunakan untuk menjalankan Runbook. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Peralatan eksploitasi PowerZure yang digunakan untuk mengekstrak konten buku pedoman
(ARM_PowerZure.AzureRunbookContent)
Deskripsi: Toolkit eksploitasi PowerZure digunakan untuk mengekstrak konten Runbook. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: Koleksi
Tingkat keparahan: Tinggi
PRATINJAU - Peralatan Azurite berjalan terdeteksi
(ARM_Azurite)
Deskripsi: Eksekusi toolkit pengintaian lingkungan cloud yang diketahui telah terdeteksi di lingkungan Anda. Alat Azurite dapat digunakan oleh penyerang (atau penguji penetrasi) untuk memetakan sumber daya langganan Anda dan mengidentifikasi konfigurasi yang tidak aman.
Taktik MITRE: Koleksi
Tingkat keparahan: Tinggi
PRATINJAU - Pembuatan sumber daya komputasi yang mencurigakan terdeteksi
(ARM_SuspiciousComputeCreation)
Deskripsi: Microsoft Defender untuk Resource Manager mengidentifikasi pembuatan sumber daya komputasi yang mencurigakan dalam langganan Anda menggunakan Virtual Machines/Azure Scale Set. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengelola lingkungan mereka secara efisien dengan menyebarkan sumber daya baru saat diperlukan. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk melakukan penambangan kripto. Aktivitas ini dianggap mencurigakan karena skala sumber daya komputasi lebih tinggi dari yang diamati sebelumnya dalam langganan. Ini dapat menunjukkan bahwa prinsipal disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
PRATINJAU - Pemulihan brankas kunci mencurigakan terdeteksi
(Arm_Suspicious_Vault_Recovering)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mendeteksi operasi pemulihan yang mencurigakan untuk sumber daya brankas kunci yang dihapus sementara. Pengguna yang memulihkan sumber daya berbeda dari pengguna yang menghapusnya. Ini sangat mencurigakan karena pengguna jarang memanggil operasi seperti itu. Selain itu, pengguna masuk tanpa autentikasi multifaktor (MFA). Ini mungkin menunjukkan bahwa pengguna disusupi dan mencoba menemukan rahasia dan kunci untuk mendapatkan akses ke sumber daya sensitif, atau untuk melakukan gerakan lateral di seluruh jaringan Anda.
Taktik MITRE: Gerakan lateral
Tingkat keparahan: Sedang/tinggi
PRATINJAU - Sesi pengelolaan yang mencurigakan menggunakan akun yang tidak aktif terdeteksi
(ARM_UnusedAccountPersistence)
Deskripsi: Analisis log aktivitas langganan telah mendeteksi perilaku mencurigakan. Pengguna utama yang tidak digunakan untuk jangka waktu yang lama sekarang melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'Akses Kredensial' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.CredentialAccess)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengakses kredensial. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Akses kredensial
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan operasi 'Pengumpulan Data' berisiko tinggi oleh perwakilan layanan terdeteksi
(ARM_AnomalousServiceOperation.Collection)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengumpulkan data. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengumpulkan data sensitif pada sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Koleksi
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'Pengindeksan Pertahanan' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.DefenseEvasion)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk menghindari pertahanan. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola postur keamanan lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk menghindari terdeteksi saat membahayakan sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'Eksekusi' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.Eksekusi)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan pada komputer di langganan Anda, yang mungkin menunjukkan upaya untuk menjalankan kode. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Eksekusi Pertahanan
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan operasi 'Dampak' berisiko tinggi oleh perwakilan layanan terdeteksi
(ARM_AnomalousServiceOperation.Impact)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya perubahan konfigurasi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan operasi 'Akses Awal' berisiko tinggi oleh perwakilan layanan terdeteksi
(ARM_AnomalousServiceOperation.InitialAccess)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengakses sumber daya terbatas. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mendapatkan akses awal ke sumber daya terbatas di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'Akses Gerakan Lateral' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.LateralMovement)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk melakukan gerakan lateral. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk membahayakan lebih banyak sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Gerakan lateral
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'persistensi' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.Persistensi)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk menetapkan persistensi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk membangun kegigihan di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
PRATINJAU - Pemanggilan mencurigakan dari operasi 'Eskalasi Hak Istimewa' berisiko tinggi oleh perwakilan layanan yang terdeteksi
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Deskripsi: Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk meningkatkan hak istimewa. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman dapat menggunakan operasi tersebut untuk meningkatkan hak istimewa saat membahayakan sumber daya di lingkungan Anda. Ini dapat menunjukkan bahwa perwakilan layanan disusupi dan digunakan dengan niat jahat.
Taktik MITRE: Eskalasi hak istimewa
Tingkat keparahan: Sedang
PRATINJAU - Sesi pengelolaan yang mencurigakan menggunakan akun yang tidak aktif terdeteksi
(ARM_UnusedAccountPersistence)
Deskripsi: Analisis log aktivitas langganan telah mendeteksi perilaku mencurigakan. Pengguna utama yang tidak digunakan untuk jangka waktu yang lama sekarang melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
PRATINJAU - Sesi pengelolaan yang mencurigakan menggunakan PowerShell terdeteksi
(ARM_UnusedAppPowershellPersistence)
Deskripsi: Analisis log aktivitas langganan telah mendeteksi perilaku mencurigakan. Pengguna utama yang tidak secara teratur menggunakan PowerShell untuk mengelola lingkungan langganan sekarang menggunakan PowerShell, dan melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
PRATINJAU â€" Sesi manajemen mencurigakan menggunakan portal Azure terdeteksi
(ARM_UnusedAppIbizaPersistence)
Deskripsi: Analisis log aktivitas langganan Anda telah mendeteksi perilaku yang mencurigakan. Pengguna utama yang tidak secara teratur menggunakan portal Microsoft Azure (Ibiza) untuk mengelola lingkungan langganan (belum menggunakan portal Microsoft Azure untuk mengelola selama 45 hari terakhir, atau langganan yang dikelola secara aktif), sekarang menggunakan portal Microsoft Azure dan melakukan tindakan yang dapat mengamankan kegigihan bagi penyerang.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
Peran khusus istimewa yang dibuat untuk langganan Anda dengan cara yang mencurigakan (Pratinjau)
(ARM_PrivilegedRoleDefinitionCreation)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mendeteksi pembuatan definisi peran kustom istimewa yang mencurigakan dalam langganan Anda. Pengoperasian ini mungkin telah dilakukan oleh pengguna yang sah di organisasi Anda. Atau, ini mungkin menunjukkan bahwa akun di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba membuat peran istimewa untuk digunakan di masa mendatang untuk menghindari deteksi.
Taktik MITRE: Eskalasi Hak Istimewa, Penghindarian Pertahanan
Tingkat keparahan: Informasi
Penetapan peran Azure yang mencurigakan terdeteksi (Pratinjau)
(ARM_AnomalousRBACRoleAssignment)
Deskripsi: Microsoft Defender untuk Resource Manager mengidentifikasi penetapan peran Azure yang mencurigakan/ dilakukan menggunakan PIM (Privileged Identity Management) di penyewa Anda, yang mungkin menunjukkan bahwa akun di organisasi Anda disusupi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator memberikan akses utama ke sumber daya Azure. Meskipun aktivitas ini mungkin sah, aktor ancaman mungkin menggunakan penetapan peran untuk meningkatkan izin mereka yang memungkinkan mereka untuk memajukan serangan mereka.
Taktik MITRE: Gerakan Lateral, Penghancutan Pertahanan
Tingkat keparahan: Rendah (PIM) / Tinggi
Pemanggilan mencurigakan dari operasi 'Akses Info Masuk' berisiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.CredentialAccess)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengakses kredensial. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Koleksi Data' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Collection)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengumpulkan data. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengumpulkan data sensitif pada sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Koleksi
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Penghindaran Pertahanan' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.DefenseEvasion)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk menghindari pertahanan. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola postur keamanan lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk menghindari terdeteksi saat membahayakan sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Eksekusi' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Execution)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan pada komputer di langganan Anda, yang mungkin menunjukkan upaya untuk menjalankan kode. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Dampak' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Impact)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya perubahan konfigurasi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mengakses kredensial terbatas dan membahayakan sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Pemanggilan mencurigakan dari operasi 'Akses Awal' berisiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.InitialAccess)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan mencurigakan dari operasi berisiko tinggi dalam langganan Anda, yang mungkin menunjukkan upaya untuk mengakses sumber daya terbatas. Operasi yang diidentifikasi dirancang untuk memungkinkan administrator mengakses lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk mendapatkan akses awal ke sumber daya terbatas di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Akses Awal
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Gerakan Lateral' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.LateralMovement)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk melakukan gerakan lateral. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk membahayakan lebih banyak sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Gerakan Lateral
Tingkat keparahan: Sedang
Operasi akses elevasi yang mencurigakan (Pratinjau)(ARM_AnomalousElevateAccess)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi operasi "Elevate Access" yang mencurigakan. Aktivitas ini dianggap mencurigakan, karena prinsipal ini jarang memanggil operasi tersebut. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi "Elevate Access" untuk melakukan eskalasi hak istimewa bagi pengguna yang disusupi.
Taktik MITRE: Eskalasi Hak Istimewa
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Persistensi' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.Persistence)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk menetapkan persistensi. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan operasi tersebut untuk membangun kegigihan di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Persistensi
Tingkat keparahan: Sedang
Invokasi mencurigakan dari operasi 'Eskalasi Hak istimewa' risiko tinggi terdeteksi (Pratinjau)
(ARM_AnomalousOperation.PrivilegeEscalation)
Deskripsi: Microsoft Defender untuk Resource Manager mengidentifikasi pemanggilan operasi berisiko tinggi yang mencurigakan dalam langganan Anda, yang mungkin menunjukkan upaya untuk meningkatkan hak istimewa. Operasi yang teridentifikasi dirancang untuk mengizinkan administrator mengelola lingkungan mereka secara efisien. Meskipun aktivitas ini mungkin sah, pelaku ancaman dapat menggunakan operasi tersebut untuk meningkatkan hak istimewa saat membahayakan sumber daya di lingkungan Anda. Hal ini menunjukkan bahwa akun disusupi dan sedang digunakan dengan niat berbahaya.
Taktik MITRE: Eskalasi Hak Istimewa
Tingkat keparahan: Sedang
Penggunaan peralatan eksploitasi MicroBurst untuk menjalankan kode arbitrer atau mengekstrak kredensial akun Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola mencurigakan untuk menjalankan kode sewenang-wenang atau menyelundupkan kredensial akun Azure Automation. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk menjalankan kode semena-mena untuk aktivitas berbahaya. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.
Taktik MITRE: Persistensi, Akses Kredensial
Tingkat keparahan: Tinggi
Penggunaan teknik NetSPI untuk mempertahankan kegigihan di lingkungan Azure Anda
(ARM_NetSPI.MaintainPersistence)
Deskripsi: Penggunaan teknik persistensi NetSPI untuk membuat backdoor webhook dan mempertahankan persistensi di lingkungan Azure Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Penggunaan peralatan eksploitasi PowerZure untuk menjalankan kode arbitrer atau mengekstrak kredensial akun Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Deskripsi: Toolkit eksploitasi PowerZure terdeteksi mencoba menjalankan kode atau menyelundupkan kredensial akun Azure Automation. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Penggunaan fungsi PowerZure untuk mempertahankan kegigihan di lingkungan Azure Anda
(ARM_PowerZure.MaintainPersistence)
Deskripsi: Toolkit eksploitasi PowerZure mendeteksi pembuatan backdoor webhook untuk mempertahankan persistensi di lingkungan Azure Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Penetapan peran klasik yang mencurigakan terdeteksi (Pratinjau)
(ARM_AnomalousClassicRoleAssignment)
Deskripsi: Pertahanan Microsoft untuk Resource Manager mengidentifikasi penetapan peran klasik yang mencurigakan di penyewa Anda, yang mungkin menunjukkan bahwa akun di organisasi Anda disusupi. Operasi yang diidentifikasi dirancang untuk memberikan kompatibilitas mundur dengan peran klasik yang tidak lagi umum digunakan. Meskipun aktivitas ini mungkin sah, pelaku ancaman mungkin menggunakan penugasan tersebut untuk memberikan izin ke akun pengguna lain di bawah kendali mereka.
Taktik MITRE: Gerakan Lateral, Penghancutan Pertahanan
Tingkat keparahan: Tinggi
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.