Peringatan untuk komputer Windows
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk komputer Windows di Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Pemberitahuan komputer Windows
Microsoft Defender untuk Server Paket 2 menyediakan deteksi dan peringatan unik, selain yang disediakan oleh Microsoft Defender untuk Titik Akhir. Peringatan yang diberikan untuk mesin Windows adalah:
Detail dan catatan lebih lanjut
Masuk dari IP berbahaya telah terdeteksi. [dilihat beberapa kali]
Deskripsi: Autentikasi jarak jauh yang berhasil untuk akun [akun] dan proses [proses] terjadi, namun alamat IP masuk (x.x.x.x) sebelumnya telah dilaporkan sebagai berbahaya atau sangat tidak biasa. Serangan yang berhasil mungkin telah terjadi. File dengan ekstensi.scr adalah file pengaman layar dan biasanya berada dan dieksekusi dari direktori sistem Windows.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Pelanggaran kebijakan kontrol aplikasi adaptif diaudit
VM_AdaptiveApplicationControlWindowsViolationAudited
Deskripsi: Pengguna di bawah ini menjalankan aplikasi yang melanggar kebijakan kontrol aplikasi organisasi Anda di komputer ini. Ini mungkin dapat mengekspos mesin ke malware atau kerentanan aplikasi.
Taktik MITRE: Eksekusi
Tingkat keparahan: Informasi
Penambahan akun Tamu ke grup Administrator Lokal
Deskripsi: Analisis data host telah mendeteksi penambahan akun Tamu bawaan ke grup Administrator Lokal pada %{Compromised Host}, yang sangat terkait dengan aktivitas penyerang.
Taktik MITRE: -
Tingkat keparahan: Sedang
Log kejadian telah dibersihkan
Deskripsi: Log mesin menunjukkan operasi penghapusan log peristiwa yang mencurigakan oleh pengguna: '%{nama pengguna}' di Mesin: '%{CompromisedEntity}'. Log %{log channel} telah dibersihkan.
Taktik MITRE: -
Tingkat keparahan: Informasi
Aksi Antimalware Gagal
Deskripsi: Microsoft Antimalware mengalami kesalahan saat mengambil tindakan pada malware atau perangkat lunak lain yang kemungkinan tidak diinginkan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Tindakan Antimalware Diambil
Deskripsi: Microsoft Antimalware untuk Azure telah mengambil tindakan untuk melindungi komputer ini dari malware atau perangkat lunak lain yang berpotensi tidak diinginkan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Pengecualian file luas antimalware di komputer virtual Anda
(VM_AmBroadFilesExclusion)
Deskripsi: Pengecualian file dari ekstensi antimalware dengan aturan pengecualian luas terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Pengecualian tersebut praktis menonaktifkan perlindungan Antimalware. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: -
Tingkat keparahan: Sedang
Antimalware dinonaktifkan dan eksekusi kode di komputer virtual Anda
(VM_AmDisablementAndCodeExecution)
Deskripsi: Antimalware dinonaktifkan pada saat yang sama dengan eksekusi kode di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang menonaktifkan pemindai antimalware untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Antimalware dinonaktifkan di komputer virtual Anda
(VM_AmDisablement)
Deskripsi: Antimalware dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda
(VM_AmFileExclusionAndCodeExecution)
Deskripsi: File yang dikecualikan dari pemindai antimalware Anda pada saat yang sama saat kode dijalankan melalui ekstensi skrip kustom di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Tinggi
Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda (sementara)
(VM_AmTempFileExclusionAndCodeExecution)
Deskripsi: Pengecualian file sementara dari ekstensi antimalware secara paralel hingga eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Tinggi
Pengecualian file antimalware di komputer virtual Anda
(VM_AmTempFileExclusion)
Deskripsi: File yang dikecualikan dari pemindai antimalware Anda di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan alat yang tidak sah atau menginfeksi komputer dengan malware.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Perlindungan waktu nyata antimalware dinonaktifkan di komputer virtual Anda
(VM_AmRealtimeProtectionDisabled)
Deskripsi: Penonaktifan perlindungan real time ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Perlindungan waktu nyata antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTempRealtimeProtectionDisablement)
Deskripsi: Penonaktifan sementara perlindungan real time ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Perlindungan waktu nyata antimalware dinonaktifkan sementara saat kode dijalankan di komputer virtual Anda
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Deskripsi: Penonaktifan sementara perlindungan real time ekstensi antimalware secara paralel dengan eksekusi kode melalui ekstensi skrip kustom terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menonaktifkan perlindungan waktu nyata dari pemindaian antimalware pada komputer virtual Anda untuk menghindari deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Pemindaian antimalware diblokir untuk file yang berpotensi terkait dengan kampanye malware di komputer virtual Anda (Pratinjau)
(VM_AmMalwareCampaignRelatedExclusion)
Deskripsi: Aturan pengecualian terdeteksi di komputer virtual Anda untuk mencegah ekstensi antimalware Anda memindai file tertentu yang dicurigai terkait dengan kampanye malware. Aturan terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Antimalware dinonaktifkan sementara di komputer virtual Anda
(VM_AmTemporarilyDisablement)
Deskripsi: Antimalware untuk sementara dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Pengecualian file antimalware yang tidak biasa di komputer virtual Anda
(VM_UnusualAmFileExclusion)
Deskripsi: Pengecualian file yang tidak biasa dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Sedang
Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman
(AzureDNS_ThreatIntelSuspectDomain)
Deskripsi: Komunikasi dengan domain mencurigakan terdeteksi dengan menganalisis transaksi DNS dari sumber daya Anda dan membandingkan dengan domain berbahaya yang diketahui yang diidentifikasi oleh umpan inteligensi ancaman. Komunikasi ke domain jahat sering dilakukan oleh penyerang dan dapat menyiratkan bahwa sumber daya Anda telah disusupi.
Taktik MITRE: Akses Awal, Persistensi, Eksekusi, Perintah Dan Kontrol, Eksploitasi
Tingkat keparahan: Sedang
Tindakan yang terdeteksi menunjukkan menonaktifkan dan menghapus file log IIS
Deskripsi: Analisis data host mendeteksi tindakan yang menunjukkan file log IIS dinonaktifkan dan/atau dihapus.
Taktik MITRE: -
Tingkat keparahan: Sedang
Campuran anomali yang terdeteksi dari karakter huruf besar dan kecil dalam baris perintah
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi baris perintah dengan campuran anomali karakter huruf besar dan kecil. Pola semacam ini, sementara mungkin jinak, juga khas penyerang yang mencoba bersembunyi dari pencocokan aturan peka huruf besar/kecil atau berbasis hash ketika melakukan tugas administratif pada host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi perubahan pada kunci registri yang dapat disalahgunakan untuk melewati UAC
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi bahwa kunci registri yang dapat disalahgunakan untuk melewati UAC (Kontrol Akun Pengguna) diubah. Konfigurasi semacam ini, meskipun mungkin tidak berbahaya, juga merupakan tipikal aktivitas penyerang ketika mencoba berpindah dari akses yang tidak memiliki hak (pengguna standar) ke akses yang memiliki hak istimewa (misalnya administrator) pada host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Decoding yang terdeteksi dari executable menggunakan alat certutil.exe bawaan
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi bahwa certutil.exe, utilitas administrator bawaan, sedang digunakan untuk mendekode executable alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan alat seperti certutil.exe untuk memecahkan kode executable berbahaya yang kemudian akan dieksekusi.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Terdeteksi mengaktifkan kunci registri WDigest UseLogonCredential
Deskripsi: Analisis data host mendeteksi perubahan dalam kunci registri HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Secara khusus kunci ini telah diperbarui untuk memungkinkan kredensial log masuk disimpan dalam teks yang jelas dalam memori LSA. Setelah diaktifkan, penyerang dapat membuang kata sandi teks yang jelas dari memori LSA dengan alat panen kredensial seperti Mimikatz.
Taktik MITRE: -
Tingkat keparahan: Sedang
Eksekusi terkodekan yang terdeteksi dalam data baris perintah
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi executable yang dikodekan base-64. Ini sebelumnya telah dikaitkan dengan penyerang yang mencoba membangun executables on-the-fly melalui urutan perintah, dan berusaha menghindari sistem deteksi intrusi dengan memastikan bahwa tidak ada perintah individu yang akan memicu peringatan. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Baris perintah obfuscated terdeteksi
Deskripsi: Penyerang menggunakan teknik obfuscation yang semakin kompleks untuk menghindari deteksi yang berjalan terhadap data yang mendasarinya. Analisis data host pada %{Compromised Host} mendeteksi indikator obfuscation yang mencurigakan pada commandline.
Taktik MITRE: -
Tingkat keparahan: Informasi
Terdeteksi kemungkinan eksekusi keygen dapat dieksekusi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses yang namanya menunjukkan alat keygen; alat tersebut biasanya digunakan untuk mengalahkan mekanisme lisensi perangkat lunak tetapi unduhannya sering dibundel dengan perangkat lunak berbahaya lainnya. Kelompok aktivitas GOLD telah dikenal untuk memanfaatkan keygen tersebut untuk secara diam-diam mendapatkan akses pintu belakang ke tuan rumah yang mereka kompromi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi kemungkinan eksekusi penetes malware
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi nama file yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk menginstal malware pada host korban.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Terdeteksi kemungkinan aktivitas pengintaian lokal
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi kombinasi perintah systeminfo yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk melakukan aktivitas pengintaian. Sementara 'systeminfo.exe' adalah alat Windows yang sah, mengeksekusinya dua kali berturut-turut dengan cara yang telah terjadi di sini jarang terjadi.
Taktik MITRE: -
Tingkat keparahan: Rendah
Terdeteksi kemungkinan penggunaan alat Telegram yang berpotensi mencurigakan
Deskripsi: Analisis data host menunjukkan penginstalan Telegram, layanan olahpesan instan berbasis cloud gratis yang ada baik untuk sistem seluler maupun desktop. Penyerang diketahui menyalahgunakan layanan ini untuk mentransfer biner berbahaya ke komputer, ponsel, atau tablet lain.
Taktik MITRE: -
Tingkat keparahan: Sedang
Penindasan yang terdeteksi dari pemberitahuan hukum ditampilkan kepada pengguna saat log masuk
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi perubahan pada kunci registri yang mengontrol apakah pemberitahuan hukum ditampilkan kepada pengguna saat mereka masuk. Analisis keamanan Microsoft telah menentukan bahwa ini adalah aktivitas umum yang dilakukan oleh penyerang setelah membahayakan host.
Taktik MITRE: -
Tingkat keparahan: Rendah
Terdeteksi kombinasi mencurigakan dari HTA dan PowerShell
Deskripsi: mshta.exe (Host Aplikasi HTML Microsoft) yang merupakan biner Microsoft yang ditandatangani sedang digunakan oleh penyerang untuk meluncurkan perintah PowerShell berbahaya. Penyerang sering menggunakan file HTA dengan VBScript sebaris. Ketika korban menelusuri ke file HTA dan memilih untuk menjalankannya, perintah PowerShell dan skrip yang dikandungnya dijalankan. Analisis data host pada %{Compromised Host} mendeteksi mshta.exe meluncurkan perintah PowerShell.
Taktik MITRE: -
Tingkat keparahan: Sedang
Argumen baris perintah yang terdeteksi mencurigakan
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi argumen commandline mencurigakan yang telah digunakan bersama dengan shell terbalik yang digunakan oleh grup aktivitas HYDROGEN.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Baris perintah mencurigakan terdeteksi digunakan untuk memulai semua executable dalam direktori
Deskripsi: Analisis data host telah mendeteksi proses mencurigakan yang berjalan pada %{Compromised Host}. Baris perintah menunjukkan upaya untuk memulai semua executable (*.exe) yang mungkin berada di direktori. Ini bisa menjadi indikasi host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi kredensial mencurigakan dalam baris perintah
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi kata sandi mencurigakan yang digunakan untuk menjalankan file menurut grup aktivitas BORON. Kelompok aktivitas ini telah diketahui menggunakan kata sandi ini untuk mengeksekusi malware Pirpi pada host korban.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Terdeteksi kredensial dokumen yang mencurigakan
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi hash kata sandi umum yang mencurigakan yang digunakan oleh malware yang digunakan untuk menjalankan file. Kelompok aktivitas HYDROGEN telah diketahui menggunakan kata sandi ini untuk mengeksekusi malware pada host korban.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Terdeteksi eksekusi mencurigakan dari perintah VBScript.Encode
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah VBScript.Encode. Ini mengkodekan skrip ke dalam teks yang tidak dapat dibaca, sehingga lebih sulit bagi pengguna untuk memeriksa kode. Penelitian ancaman Microsoft menunjukkan bahwa penyerang sering menggunakan file VBscript yang dikodekan sebagai bagian dari serangan mereka untuk menghindari sistem deteksi. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi eksekusi mencurigakan melalui rundll32.exe
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi rundll32.exe digunakan untuk menjalankan proses dengan nama yang tidak biasa, konsisten dengan skema penamaan proses yang sebelumnya terlihat digunakan oleh grup aktivitas GOLD saat menginstal implan tahap pertama mereka pada host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Perintah pembersihan berkas mencurigakan yang terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi kombinasi perintah systeminfo yang sebelumnya telah dikaitkan dengan salah satu metode grup aktivitas GOLD untuk melakukan aktivitas pembersihan mandiri pasca-kompromi. Sementara 'systeminfo.exe' adalah alat Windows yang sah, mengeksekusinya dua kali berturut-turut, diikuti dengan perintah penghapusan dengan cara yang telah terjadi di sini jarang terjadi.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Pembuatan file mencurigakan yang terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi pembuatan atau eksekusi proses yang sebelumnya telah menunjukkan tindakan pasca-kompromi yang diambil pada host korban oleh grup aktivitas BARIUM. Grup aktivitas ini telah diketahui menggunakan teknik ini untuk mengunduh lebih banyak malware ke host yang disusupi setelah lampiran dalam dokumen phishing telah dibuka.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Terdeteksi mencurigakan bernama pipa komunikasi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi data yang ditulis ke pipa bernama lokal dari perintah konsol Windows. Pipa bernama dikenal sebagai saluran yang digunakan oleh penyerang untuk bertugas dan berkomunikasi dengan implan berbahaya. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Aktivitas jaringan mencurigakan yang terdeteksi
Deskripsi: Analisis lalu lintas jaringan dari %{Compromised Host} mendeteksi aktivitas jaringan yang mencurigakan. Lalu lintas seperti itu, sementara mungkin jinak, biasanya digunakan oleh penyerang untuk berkomunikasi dengan server berbahaya untuk mengunduh alat, perintah dan kontrol dan penyelundupan data. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya.
Taktik MITRE: -
Tingkat keparahan: Rendah
Terdeteksi aturan firewall baru yang mencurigakan
Deskripsi: Analisis data host yang mendeteksi aturan firewall baru telah ditambahkan melalui netsh.exe untuk memungkinkan lalu lintas dari yang dapat dieksekusi di lokasi yang mencurigakan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi mencurigakan penggunaan Cacls untuk menurunkan status keamanan sistem
Deskripsi: Penyerang menggunakan berbagai cara seperti brute force, phishing tombak dll untuk mencapai kompromi awal dan mendapatkan pijakan di jaringan. Setelah kompromi awal tercapai, mereka sering mengambil langkah-langkah untuk menurunkan pengaturan keamanan sistem. Caclsâ€"singkatan dari daftar kontrol akses perubahan adalah utilitas baris perintah asli Microsoft Windows yang sering digunakan untuk memodifikasi izin keamanan pada folder dan file. Banyak waktu biner digunakan oleh penyerang untuk menurunkan pengaturan keamanan suatu sistem. Ini dilakukan dengan memberi Semua orang akses penuh ke beberapa biner sistem seperti ftp.exe, net.exe, wscript.exe dll. Analisis data host pada %{Compromised Host} mendeteksi penggunaan Cacls yang mencurigakan untuk menurunkan keamanan sistem.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi mencurigakan penggunaan FTP -s Switch
Deskripsi: Analisis data pembuatan proses dari %{Compromised Host} mendeteksi penggunaan sakelar "-s:filename" FTP. Sakelar ini digunakan untuk menentukan berkas skrip FTP untuk dijalankan klien. Malware atau proses berbahaya diketahui menggunakan sakelar FTP ini (-s:filename) untuk mengarahkan ke file skrip, yang dikonfigurasi untuk terhubung ke server FTP jarak jauh dan mengunduh biner yang lebih berbahaya.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi penggunaan mencurigakan dari Pcalua.exe meluncurkan kode yang dapat dieksekusi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi penggunaan pcalua.exe untuk meluncurkan kode yang dapat dieksekusi. Pcalua.exe adalah komponen dari "Asisten Kompatibilitas Program" Microsoft Windows, yang mendeteksi masalah kompatibilitas selama penginstalan atau eksekusi program. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat sistem Windows yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan pcalua.exe dengan -a switch untuk meluncurkan executable berbahaya baik secara lokal atau dari saham jarak jauh.
Taktik MITRE: -
Tingkat keparahan: Sedang
Terdeteksi penonaktifan layanan penting
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah "net.exe berhenti" yang digunakan untuk menghentikan layanan penting seperti SharedAccess atau aplikasi Keamanan Windows. Penghentian salah satu layanan ini dapat menjadi indikasi perilaku jahat.
Taktik MITRE: -
Tingkat keparahan: Sedang
Perilaku terkait penambangan mata uang digital terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Konstruksi skrip PS dinamis
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi skrip PowerShell sedang dibangun secara dinamis. Penyerang kadang-kadang menggunakan pendekatan ini secara progresif membangun skrip untuk menghindari sistem IDS. Ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah dikompromikan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Executable ditemukan berjalan dari lokasi yang mencurigakan
Deskripsi: Analisis data host mendeteksi file yang dapat dieksekusi pada %{Compromised Host} yang berjalan dari lokasi yang sama dengan file mencurigakan yang diketahui. Executable ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Perilaku Serangan Tanpa Berkas Terdeteksi
(VM_FilelessAttackBehavior.Windows)
Deskripsi: Memori proses yang ditentukan berisi perilaku yang umum digunakan oleh serangan tanpa file. Perilaku spesifik meliputi:
- Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
- Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
- Panggilan fungsi ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
- Berisi utas yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.
Taktik MITRE: Pengindasan Pertahanan
Tingkat keparahan: Rendah
Teknik serangan tanpa file terdeteksi
(VM_FilelessAttackTechnique.Windows)
Deskripsi: Memori proses yang ditentukan di bawah ini berisi bukti teknik serangan tanpa file. Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Perilaku spesifik meliputi:
- Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
- Gambar yang dapat dieksekusi disuntikkan ke dalam proses, seperti dalam serangan injeksi kode.
- Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
- Panggilan fungsi ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
- Proses berongga, yang merupakan teknik yang digunakan oleh malware di mana proses yang sah dimuat pada sistem untuk bertindak sebagai kontainer untuk kode bermusuhan.
- Berisi utas yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Tinggi
Toolkit serangan tanpa file terdeteksi
(VM_FilelessAttackToolkit.Windows)
Deskripsi: Memori proses yang ditentukan berisi toolkit serangan tanpa file: [nama toolkit]. Toolkit serangan tanpa file menggunakan teknik yang meminimalkan atau menghilangkan jejak malware pada disk, dan sangat mengurangi kemungkinan deteksi oleh solusi pemindaian malware berbasis disk. Perilaku spesifik meliputi:
- Toolkit terkenal dan perangkat lunak penambangan kripto.
- Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
- Disuntikkan berbahaya yang dapat dieksekusi dalam memori proses.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Sedang
Perangkat lunak berisiko tinggi terdeteksi
Deskripsi: Analisis data host dari %{Compromised Host} mendeteksi penggunaan perangkat lunak yang telah dikaitkan dengan penginstalan malware di masa lalu. Teknik umum yang digunakan dalam distribusi perangkat lunak berbahaya adalah mengemasnya dalam alat jinak seperti yang terlihat dalam peringatan ini. Saat Anda menggunakan alat-alat ini, malware dapat diinstal secara diam-diam di latar belakang.
Taktik MITRE: -
Tingkat keparahan: Sedang
Anggota grup Administrator Lokal dimaklumi
Deskripsi: Log mesin menunjukkan enumerasi yang berhasil pada grup %{Nama Domain Grup Enumerasi}%{Nama Grup Enumerasi}. Secara khusus, %{Menghitung Nama Domain Pengguna}%{Menghitung Nama Pengguna} dari jarak jauh menghitung anggota grup domain %{Enumerated Group Name}%grup {Enumerated Group Name}. Aktivitas ini bisa berupa aktivitas yang sah, atau indikasi bahwa komputer di organisasi Anda telah disusupi dan digunakan untuk pengintaian %{vmname}.
Taktik MITRE: -
Tingkat keparahan: Informasi
Aturan firewall berbahaya yang dibuat oleh implan server ZINC [dilihat beberapa kali]
Deskripsi: Aturan firewall dibuat menggunakan teknik yang cocok dengan aktor yang diketahui, ZINC. Aturan ini mungkin digunakan untuk membuka porta pada %{Host yang Disusupi} untuk memungkinkan & Kontrol Perintah. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]
Taktik MITRE: -
Tingkat keparahan: Tinggi
Aktivitas SQL berbahaya
Deskripsi: Log mesin menunjukkan bahwa '%{nama proses}' dijalankan oleh akun: %{nama pengguna}. Kegiatan ini dianggap berbahaya.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Beberapa Akun Domain Dikueri
Deskripsi: Analisis data host telah menentukan bahwa jumlah akun domain yang berbeda yang tidak biasa sedang dikueri dalam jangka waktu singkat dari %{Compromised Host}. Kegiatan semacam ini bisa sah, tetapi juga bisa menjadi indikasi kompromi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Kemungkinan pembuangan kredensial terdeteksi [dilihat beberapa kali]
Deskripsi: Analisis data host telah mendeteksi penggunaan alat windows asli (misalnya, sqldumper.exe) yang digunakan dengan cara yang memungkinkan untuk mengekstrak kredensial dari memori. Penyerang sering menggunakan teknik ini untuk mengekstrak kredensial yang kemudian mereka gunakan lebih lanjut untuk gerakan lateral dan eskalasi hak istimewa. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]
Taktik MITRE: -
Tingkat keparahan: Sedang
Potensi upaya untuk melewati AppLocker terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi potensi upaya untuk melewati pembatasan AppLocker. AppLocker dapat dikonfigurasi untuk menerapkan kebijakan yang membatasi apa yang dijalankan diizinkan untuk berjalan pada sistem Windows. Pola baris perintah yang mirip dengan yang diidentifikasi dalam peringatan ini sebelumnya telah dikaitkan dengan upaya penyerang untuk menghindari kebijakan AppLocker dengan menggunakan executable tepercaya (diizinkan oleh kebijakan AppLocker) untuk mengeksekusi kode yang tidak tepercaya. Ini bisa menjadi aktivitas yang sah, atau indikasi tuan rumah yang dikompromikan.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Grup layanan SVCHOST langka dijalankan
(VM_SvcHostRunInRareServiceGroup)
Deskripsi: Proses sistem SVCHOST diamati menjalankan grup layanan langka. Malware sering menggunakan SVCHOST untuk menyamarkan aktivitas berbahayanya.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Informasi
Serangan tombol lengket terdeteksi
Deskripsi: Analisis data host menunjukkan bahwa penyerang mungkin menumbangkan biner aksesibilitas (misalnya tombol lengket, keyboard pada layar, narator) untuk menyediakan akses backdoor ke host %{Compromised Host}.
Taktik MITRE: -
Tingkat keparahan: Sedang
Serangan brute force yang sukses
(VM_LoginBruteForceSuccess)
Deskripsi: Beberapa upaya masuk terdeteksi dari sumber yang sama. Beberapa berhasil diautentikasi ke host. Ini menyerupai serangan ledakan, di mana penyerang melakukan banyak upaya autentikasi untuk menemukan kredensial akun yang valid.
Taktik MITRE: Eksploitasi
Tingkat keparahan: Sedang/Tinggi
Tingkat integritas tersangka menunjukkan pembajakan RDP
Deskripsi: Analisis data host telah mendeteksi tscon.exe yang berjalan dengan hak istimewa SYSTEM - ini dapat menjadi indikasi penyerang yang menyalahgunakan biner ini untuk beralih konteks ke pengguna lain yang masuk pada host ini; ini adalah teknik penyerang yang dikenal untuk membahayakan lebih banyak akun pengguna dan pindah secara lateral di seluruh jaringan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Instalasi layanan tersangka
Deskripsi: Analisis data host telah mendeteksi penginstalan tscon.exe sebagai layanan: biner ini dimulai sebagai layanan berpotensi memungkinkan penyerang untuk secara sepele beralih ke pengguna lain yang masuk di host ini dengan membajak koneksi RDP; ini adalah teknik penyerang yang dikenal untuk membahayakan lebih banyak akun pengguna dan bergerak secara lateral di seluruh jaringan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Diduga Kerberos Golden Ticket parameter serangan diamati
Deskripsi: Analisis data host mendeteksi parameter commandline yang konsisten dengan serangan Kerberos Golden Ticket.
Taktik MITRE: -
Tingkat keparahan: Sedang
Pembuatan Akun Mencurigakan Terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi pembuatan atau penggunaan akun lokal %{Nama akun mencurigakan} : nama akun ini sangat menyerupai akun Windows standar atau nama grup '%{Mirip Dengan Nama Akun}'. Ini berpotensi menjadi akun nakal yang dibuat oleh penyerang, dinamai agar tidak diperhatikan oleh administrator manusia.
Taktik MITRE: -
Tingkat keparahan: Sedang
Aktivitas Mencurigakan Terdeteksi
(VM_SuspiciousActivity)
Deskripsi: Analisis data host telah mendeteksi urutan satu atau beberapa proses yang berjalan pada %{nama mesin} yang secara historis telah dikaitkan dengan aktivitas berbahaya. Meskipun perintah individual mungkin tampak jinak, pemberitahuan dinilai berdasarkan agregasi perintah ini. Ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Aktivitas autentikasi yang mencurigakan
(VM_LoginBruteForceValidUserFailed)
Deskripsi: Meskipun tidak ada yang berhasil, beberapa di antaranya menggunakan akun yang dikenali oleh host. Ini menyerupai serangan kamus, di mana penyerang melakukan banyak upaya autentikasi menggunakan kamus nama akun dan kata sandi yang telah ditentukan untuk menemukan kredensial yang valid untuk mengakses host. Ini menunjukkan bahwa beberapa nama akun host Anda mungkin ada dalam kamus nama akun terkenal.
Taktik MITRE: Pemeriksaan
Tingkat keparahan: Sedang
Segmen kode mencurigakan terdeteksi
Deskripsi: Menunjukkan bahwa segmen kode telah dialokasikan dengan menggunakan metode non-standar, seperti injeksi reflektif dan proses berongga. Pemberitahuan ini memberikan lebih banyak karakteristik segmen kode yang telah diproses untuk memberikan konteks kemampuan dan perilaku segmen kode yang dilaporkan.
Taktik MITRE: -
Tingkat keparahan: Sedang
Berkas ekstensi ganda mencurigakan dieksekusi
Deskripsi: Analisis data host menunjukkan eksekusi proses dengan ekstensi ganda yang mencurigakan. Ekstensi ini mungkin mengelabui pengguna agar berpikir file aman untuk dibuka dan mungkin menunjukkan adanya malware pada sistem.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Unduhan mencurigakan menggunakan Certutil terdeteksi [terlihat beberapa kali]
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk pengunduhan biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]
Taktik MITRE: -
Tingkat keparahan: Sedang
Unduhan mencurigakan menggunakan Certutil terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk pengunduhan biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Aktivitas PowerShell Mencurigakan Terdeteksi
Deskripsi: Analisis data host mendeteksi skrip PowerShell yang berjalan pada %{Compromised Host} yang memiliki fitur yang sama dengan skrip mencurigakan yang diketahui. Skrip ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Cmdlet PowerShell mencurigakan dieksekusi
Deskripsi: Analisis data host menunjukkan eksekusi cmdlet PowerSploit PowerShell berbahaya yang diketahui.
Taktik MITRE: -
Tingkat keparahan: Sedang
Proses mencurigakan yang dijalankan [dilihat beberapa kali]
Deskripsi: Log mesin menunjukkan bahwa proses mencurigakan: '%{Proses Mencurigakan}' berjalan pada komputer, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]
Taktik MITRE: -
Tingkat keparahan: Tinggi
Proses mencurigakan dijalankan
Deskripsi: Log mesin menunjukkan bahwa proses mencurigakan: '%{Proses Mencurigakan}' berjalan pada komputer, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Nama proses mencurigakan terdeteksi [dilihat beberapa kali]
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang diketahui atau dinamai dengan cara yang menyarankan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]
Taktik MITRE: -
Tingkat keparahan: Sedang
Nama proses mencurigakan terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang diketahui atau dinamai dengan cara yang menyarankan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi.
Taktik MITRE: -
Tingkat keparahan: Sedang
Aktivitas SQL yang mencurigakan
Deskripsi: Log mesin menunjukkan bahwa '%{nama proses}' dijalankan oleh akun: %{nama pengguna}. Aktivitas ini jarang terjadi pada akun ini.
Taktik MITRE: -
Tingkat keparahan: Sedang
Proses SVCHOST mencurigakan dijalankan
Deskripsi: Proses sistem SVCHOST diamati berjalan dalam konteks abnormal. Malware sering menggunakan SVCHOST untuk menyamarkan aktivitas berbahayanya.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Proses sistem yang mencurigakan dijalankan
(VM_SystemProcessInAbnormalContext)
Deskripsi: Proses sistem %{nama proses} diamati berjalan dalam konteks abnormal. Malware sering menggunakan nama proses ini untuk menyamarkan aktivitas berbahayanya.
Taktik MITRE: Penggelembungan Pertahanan, Eksekusi
Tingkat keparahan: Tinggi
Aktivitas Salinan Bayangan Volume Mencurigakan
Deskripsi: Analisis data host telah mendeteksi aktivitas penghapusan salinan bayangan pada sumber daya. Volume Shadow Copy (VSC) adalah artefak penting yang menyimpan snapshot data. Beberapa malware dan khususnya Ransomware, menargetkan VSC untuk menyabotase strategi cadangan.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Nilai registri WindowPosition yang mencurigakan terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi upaya perubahan konfigurasi registri WindowPosition yang dapat mengindikasikan menyembunyikan jendela aplikasi di bagian desktop yang tidak terlihat. Ini bisa menjadi aktivitas yang sah, atau indikasi komputer yang disusupi: jenis aktivitas ini sebelumnya telah dikaitkan dengan adware yang dikenal (atau perangkat lunak yang tidak diinginkan) seperti Win32 /OneSystemCare dan Win32/SystemHealer dan malware seperti Win32/Creprote. Ketika nilai WindowPosition diatur ke 201329664, (Hex: 0x0c00 0c00, sesuai dengan X-axis=0c00 dan Y-axis=0c00) ini menempatkan jendela aplikasi konsol di bagian layar pengguna yang tidak terlihat di area yang tersembunyi dari tampilan di bawah menu mulai/taskbar yang terlihat. Nilai Hex tersangka yang diketahui termasuk, tetapi tidak terbatas pada c000c000.
Taktik MITRE: -
Tingkat keparahan: Rendah
Proses bernama mencurigakan terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi proses yang namanya sangat mirip tetapi berbeda dari proses yang sangat umum dijalankan (%{Mirip dengan Nama Proses}). Sementara proses ini bisa menjadi penyerang jinak diketahui kadang-kadang bersembunyi di depan mata dengan menamai alat berbahaya mereka menyerupai nama proses yang sah.
Taktik MITRE: -
Tingkat keparahan: Sedang
Setel ulang konfigurasi yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualConfigReset)
Deskripsi: Reset konfigurasi yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi Akses VM untuk mengatur ulang konfigurasi di komputer virtual Anda dan membahayakannya.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Eksekusi proses yang tidak biasa terdeteksi
Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses oleh %{Nama Pengguna} yang tidak biasa. Akun seperti %{Nama Pengguna} cenderung melakukan serangkaian operasi terbatas, eksekusi ini ditentukan kehabisan karakter dan mungkin mencurigakan.
Taktik MITRE: -
Tingkat keparahan: Tinggi
Setel ulang sandi pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualPasswordReset)
Deskripsi: Reset kata sandi pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi Akses VM untuk mengatur ulang kredensial pengguna lokal di komputer virtual Anda dan membahayakannya.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Setel ulang kunci SSH pengguna yang tidak biasa di komputer virtual Anda
(VM_VMAccessUnusualSSHReset)
Deskripsi: Reset kunci SSH pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi Akses VM untuk mengatur ulang kunci SSH akun pengguna di komputer virtual Anda dan membahayakannya.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Alokasi objek HTTP VBScript terdeteksi
Deskripsi: Pembuatan file VBScript menggunakan Prompt Perintah telah terdeteksi. Skrip berikut ini memuat perintah alokasi obyek HTTP. Aksi ini bisa digunakan untuk mengunduh berkas berbahaya.
Penginstalan ekstensi GPU yang mencurigakan di komputer virtual Anda (Pratinjau)
(VM_GPUDriverExtensionUnusualExecution)
Deskripsi: Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi driver GPU untuk menginstal driver GPU di komputer virtual Anda melalui Azure Resource Manager untuk melakukan cryptojacking.
Taktik MITRE: Dampak
Tingkat keparahan: Rendah
Pemanggilan alat AzureHound terdeteksi
(ARM_AzureHound)
Deskripsi: AzureHound dijalankan di langganan Anda dan melakukan operasi pengumpulan informasi untuk menghitung sumber daya. Pelaku ancaman menggunakan alat otomatis, seperti AzureHound, untuk menghitung sumber daya dan menggunakannya untuk mengakses data sensitif atau melakukan gerakan lateral. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda.
Taktik MITRE: Penemuan
Tingkat keparahan: Sedang
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.