Guida di riferimento per gli avvisi di sicurezza

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nella parte inferiore di questa pagina è presente una tabella che descrive la Microsoft Defender per il cloud kill chain allineata alla versione 9 della matrice MITRE ATT&CK.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

Avvisi per computer Windows

Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Windows sono:

Altri dettagli e note

È stato rilevato un accesso da un indirizzo IP dannoso. [visto più volte]

Descrizione: un'autenticazione remota corretta per l'account [account] e il processo [processo] si è verificato, tuttavia l'indirizzo IP di accesso (x.x.x.x.x) in precedenza è stato segnalato come dannoso o estremamente insolito. Probabilmente l'attacco è riuscito. I file con estensione scr sono file di screen saver e in genere si trovano e vengono eseguiti dalla directory di sistema di Windows.

Tattiche MITRE: -

Gravità: alta

Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato

VM_AdaptiveApplicationControlWindowsViolationAudited

Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.

Tattiche MITRE: Esecuzione

Gravità: informativo

Aggiunta dell'account Guest al gruppo Administrators locale

Descrizione: l'analisi dei dati dell'host ha rilevato l'aggiunta dell'account guest predefinito al gruppo local Amministrazione istrators in %{host compromesso}, fortemente associato all'attività dell'utente malintenzionato.

Tattiche MITRE: -

Gravità: medio

Un registro eventi è stato cancellato

Descrizione: i log del computer indicano un'operazione di cancellazione sospetta del registro eventi da parte dell'utente: '%{nome utente}' nel computer: '%{CompromisedEntity}'. Il log %{canale log} è stato cancellato.

Tattiche MITRE: -

Gravità: informativo

Azione antimalware non riuscita

Descrizione: Microsoft Antimalware ha rilevato un errore durante l'esecuzione di un'azione su malware o altro software potenzialmente indesiderato.

Tattiche MITRE: -

Gravità: medio

Azione antimalware intrapresa

Descrizione: Microsoft Antimalware per Azure ha eseguito un'azione per proteggere questo computer da malware o da altri software potenzialmente indesiderati.

Tattiche MITRE: -

Gravità: medio

Esclusione di file generali antimalware nella macchina virtuale

(VM_AmBroadFilesExclusion)

Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: medio

Antimalware disabilitato ed esecuzione del codice nella macchina virtuale

(VM_AmDisablementAndCodeExecution)

Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Antimalware disabilitato nella macchina virtuale

(VM_AmDisablement)

Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale

(VM_AmFileExclusionAndCodeExecution)

Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale

(VM_AmTempFileExclusionAndCodeExecution)

Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware nella macchina virtuale

(VM_AmTempFileExclusion)

Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale

(VM_AmRealtimeProtectionDisabled)

Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale

(VM_AmTempRealtimeProtectionDisablement)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)

(VM_AmMalwareCampaignRelatedExclusion)

Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Antimalware temporaneamente disabilitato nella macchina virtuale

(VM_AmTemporarilyDisablement)

Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: -

Gravità: medio

Esclusione insolita di file antimalware nella macchina virtuale

(VM_UnusualAmFileExclusion)

Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce

(AzureDNS_ThreatIntelSuspectDomain)

Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.

Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento

Gravità: medio

Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS

Descrizione: analisi delle azioni rilevate dei dati host che mostrano la disabilitazione e/o l'eliminazione dei file di log IIS.

Tattiche MITRE: -

Gravità: medio

Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che è stata modificata una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente (Controllo account utente). Questo tipo di configurazione, benché probabilmente non dannoso, è anche tipico dell'attività di un utente malintenzionato che tenta di passare da un accesso senza privilegi (utente standard) a uno con privilegi (ad esempio amministratore) in un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.

Tattiche MITRE: -

Gravità: alta

Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential

Descrizione: l'analisi dei dati host ha rilevato una modifica nella chiave del Registro di sistema HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". In particolare, questa chiave è stata aggiornata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA. Una volta abilitato, un utente malintenzionato può eseguire il dump delle password di testo non crittografate dalla memoria LSA con strumenti di raccolta delle credenziali come Mimikatz.

Tattiche MITRE: -

Gravità: medio

Rilevato file eseguibile codificato nei dati della riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevata riga di comando offuscata

Descrizione: gli utenti malintenzionati usano tecniche di offuscamento sempre più complesse per eludere i rilevamenti eseguiti sui dati sottostanti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato la presenza di indicatori sospetti di offuscamento nella riga di comando.

Tattiche MITRE: -

Gravità: informativo

Rilevata possibile esecuzione del file eseguibile keygen

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo il cui nome è indicativo di uno strumento keygen. Tali strumenti vengono in genere usati per sconfiggere i meccanismi di licenza software, ma il loro download è spesso in bundle con altri software dannosi. Il gruppo di attività GOLD è noto per l'uso di tali keygen per ottenere di nascosto un accesso di tipo "backdoor" agli host compromessi.

Tattiche MITRE: -

Gravità: medio

Rilevata possibile esecuzione di dropper di malware

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un nome file associato in precedenza a uno dei metodi gold del gruppo di attività per l'installazione di malware in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevata possibile attività di ricognizione locale

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire l'attività di ricognizione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione come in questo caso.

Tattiche MITRE: -

Gravità: Bassa

Rilevato uso potenzialmente sospetto dello strumento Telegram

Descrizione: l'analisi dei dati dell'host mostra l'installazione di Telegram, un servizio di messaggistica istantanea gratuito basato sul cloud esistente sia per il sistema mobile che per il sistema desktop. Gli utenti malintenzionati possono usare questo servizio in modo improprio per trasferire file binari dannosi a qualsiasi altro computer, telefono o tablet.

Tattiche MITRE: -

Gravità: medio

Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato modifiche alla chiave del Registro di sistema che controlla se un avviso legale viene visualizzato agli utenti quando accedono. L'analisi della sicurezza da parte di Microsoft ha determinato che si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host.

Tattiche MITRE: -

Gravità: Bassa

Rilevata combinazione sospetta di HTA e PowerShell

Descrizione: mshta.exe (Host applicazione HTML Microsoft) che è un file binario Microsoft firmato viene usato dagli utenti malintenzionati per avviare comandi di PowerShell dannosi. Gli utenti malintenzionati fanno spesso ricorso a un file HTA con VBScript inline. Quando una vittima passa al file HTA e sceglie di eseguirlo, vengono eseguiti i comandi e gli script di PowerShell in esso contenuti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato che il file mshta.exe sta avviando comandi di PowerShell.

Tattiche MITRE: -

Gravità: medio

Rilevati argomenti della riga di comando sospetti

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato argomenti sospetti della riga di comando usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN.

Tattiche MITRE: -

Gravità: alta

Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory

Descrizione: l'analisi dei dati host ha rilevato un processo sospetto in esecuzione in %{host compromesso}. La riga di comando indica un tentativo di avviare tutti i file eseguibili (*.exe) che potrebbero risiedere in una directory. Potrebbe indicare un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevate credenziali sospette nella riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una password sospetta usata per eseguire un file dal gruppo di attività BORON. Questo gruppo di attività è noto per l'uso di questa password per l'esecuzione di malware Pirpi in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevate credenziali di documento sospette

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un hash di password precompiuto comune usato da malware per eseguire un file. Il gruppo di attività HYDROGEN è noto per l'uso di questa password per l'esecuzione di malware in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevata esecuzione sospetta del comando VBScript.Encode

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando VBScript.Encode. Il comando codifica gli script in testo illeggibile, rendendo più difficile per gli utenti esaminare il codice. La ricerca sulle minacce da parte di Microsoft mostra che gli utenti malintenzionati spesso usano file VBscript codificati come parte dell'attacco per eludere i sistemi di rilevamento. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata esecuzione sospetta tramite rundll32.exe

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato rundll32.exe in uso per eseguire un processo con un nome non comune, coerente con lo schema di denominazione del processo usato in precedenza dal gruppo di attività GOLD durante l'installazione del primo impianto in un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevati comandi sospetti di pulizia file

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire attività di auto-pulizia post-compromissione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso.

Tattiche MITRE: -

Gravità: alta

Rilevata creazione di file sospetta

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'esecuzione di un processo che ha indicato in precedenza un'azione post-compromissione eseguita su un host vittima dal gruppo di attività BARIUM. Questo gruppo di attività è stato noto per usare questa tecnica per scaricare più malware in un host compromesso dopo l'apertura di un allegato in un documento di phishing.

Tattiche MITRE: -

Gravità: alta

Rilevate comunicazioni della named pipe sospette

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che i dati vengono scritti in una named pipe locale da un comando della console di Windows. È noto che le named pipe sono un canale usato dagli utenti malintenzionati per comunicare con un impianto dannoso e gestirlo. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevata attività di rete sospetta

Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.

Tattiche MITRE: -

Gravità: Bassa

Rilevata nuova regola del firewall sospetta

Descrizione: l'analisi dei dati host ha rilevato che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un eseguibile in una posizione sospetta.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema

Descrizione: gli utenti malintenzionati usano una miriade di modi come forza bruta, spear phishing e così via per ottenere un compromesso iniziale e ottenere un piede sulla rete. Una volta ottenuta la compromissione iniziale, vengono spesso adottate procedure per ridurre le impostazioni di sicurezza di un sistema. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility spesso usato per modificare l'autorizzazione di sicurezza per cartelle e file. In diverse occasioni i file binari vengono usati dagli utenti malintenzionati per ridurre le impostazioni di sicurezza di un sistema. Questa operazione viene eseguita concedendo a Tutti l'accesso completo ad alcuni file binari di sistema, ad esempio ftp.exe, net.exe, wscript.exe e così via. L'analisi dei dati dell'host in %{host compromesso} ha rilevato un uso sospetto di Cacls per ridurre la sicurezza di un sistema.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto dell'opzione -s dell'FTP

Descrizione: l'analisi dei dati di creazione del processo dall'host %{compromesso} ha rilevato l'uso dell'opzione FTP "-s:filename". Questa opzione consente di specificare un file di script FTP per l'esecuzione del client. I processi dannosi o malware sono noti per usare questo commutatore FTP (-s:filename) per puntare a un file di script, configurato per connettersi a un server FTP remoto e scaricare altri file binari dannosi.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di pcalua.exe per avviare il codice eseguibile. Pcalua.exe è componente di Microsoft Windows "Program Compatibility Assistant", che rileva problemi di compatibilità durante l'installazione o l'esecuzione di un programma. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di sistema di Windows legittimi per eseguire azioni dannose, ad esempio l'uso di pcalua.exe con l'opzione-a per avviare file eseguibili dannosi localmente o da condivisioni remote.

Tattiche MITRE: -

Gravità: medio

Rilevata disabilitazione di servizi critici

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando "net.exe stop" usato per arrestare i servizi critici, ad esempio SharedAccess o l'app Sicurezza di Windows. L'arresto di uno di questi servizi può indicare un comportamento dannoso.

Tattiche MITRE: -

Gravità: medio

Rilevato comportamento correlato al mining della valuta digitale

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.

Tattiche MITRE: -

Gravità: alta

Costruzione di script di PowerShell dinamica

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato uno script di PowerShell costruito in modo dinamico. A volte gli utenti malintenzionati usano questo approccio di compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevato eseguibile in esecuzione da un percorso sospetto

Descrizione: l'analisi dei dati host ha rilevato un file eseguibile in %{host compromesso} in esecuzione da un percorso in comune con file sospetti noti. Questo eseguibile potrebbe essere un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevato comportamento di attacco senza file

(VM_FilelessAttackBehavior.Windows)

Descrizione: la memoria del processo specificato contiene comportamenti comunemente usati dagli attacchi fileless. I comportamenti specifici includono:

1. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
2. Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
3. Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
4. Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.

Tattiche MITRE: Evasione della difesa

Gravità: Bassa

Rilevata tecnica di attacco senza file

(VM_FilelessAttackTechnique.Windows)

Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono:

1. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
2. Immagine eseguibile inserita nel processo, ad esempio in un attacco di inserimento del codice.
3. Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
4. Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
5. Processo vuoto, che è una tecnica usata dal malware in cui un processo legittimo viene caricato nel sistema per agire come contenitore per il codice ostile.
6. Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevato toolkit di attacco senza file

(VM_FilelessAttackToolkit.Windows)

Descrizione: la memoria del processo specificato contiene un toolkit di attacco senza file: [nome toolkit]. I toolkit di attacco senza file usano tecniche che riducono al minimo o eliminano le tracce di malware sul disco e riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi del malware basate su disco. I comportamenti specifici includono:

1. Toolkit noti e software di crypto mining.
2. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
3. Inserito eseguibile dannoso nella memoria del processo.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: medio

Rilevato software a rischio elevato

Descrizione: l'analisi dei dati dell'host da %{host compromesso} ha rilevato l'utilizzo del software associato all'installazione di malware in passato. Una tecnica comune usata nella distribuzione di software dannoso consiste nell'inserirlo all'interno di strumenti altrimenti innocui come quello visualizzato in questo avviso. Quando si usano questi strumenti, il malware può essere installato automaticamente in background.

Tattiche MITRE: -

Gravità: medio

Sono stati enumerati i membri del gruppo Administrators locale

Descrizione: i log del computer indicano un'enumerazione corretta nel gruppo %{Nome dominio gruppo enumerato}%{Nome gruppo enumerato}. In particolare, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerato i membri del gruppo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Questa attività può essere legittima o indicare che un computer nell'organizzazione è stato compromesso e usato per la ricognizione di %{vmname}.

Tattiche MITRE: -

Gravità: informativo

Regola del firewall dannosa creata dall'impianto del server ZINC [visto più volte]

Descrizione: è stata creata una regola del firewall usando tecniche che corrispondono a un attore noto, ZINCO. È possibile che la regola sia stata usata per aprire una porta in %{host compromesso} per consentire le comunicazioni di comando e controllo. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: alta

Attività SQL dannosa

Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività è considerata dannosa.

Tattiche MITRE: -

Gravità: alta

Tentativi ripetuti di query sugli account di dominio

Descrizione: l'analisi dei dati host ha determinato che un numero insolito di account di dominio distinti viene sottoposto a query entro un breve periodo di tempo da %{host compromesso}. Questo tipo di attività potrebbe essere legittima, ma può anche indicare una compromissione.

Tattiche MITRE: -

Gravità: medio

Rilevato possibile dump delle credenziali [visto più volte]

Descrizione: l'analisi dei dati host ha rilevato l'uso dello strumento di windows nativo (ad esempio, sqldumper.exe) usato in modo da consentire l'estrazione delle credenziali dalla memoria. Gli utenti malintenzionati usano spesso queste tecniche per estrarre credenziali che verranno usate in futuro per lo spostamento laterale e l'escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato potenziale tentativo di ignorare AppLocker

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un potenziale tentativo di ignorare le restrizioni di AppLocker. AppLocker può essere configurato per implementare un criterio che limita i file eseguibili che possono essere eseguiti in un sistema Windows. Il modello da riga di comando simile a quello identificato in questo avviso è stato precedentemente associato a tentativi di utenti malintenzionati di eludere i criteri di AppLocker usando file eseguibili attendibili (consentiti dal criterio di AppLocker) per eseguire codice non attendibile. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Esecuzione di un gruppo di servizi SVCHOST raro

(VM_SvcHostRunInRareServiceGroup)

Descrizione: il processo di sistema SVCHOST è stato osservato eseguendo un gruppo di servizi raro. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: informativo

Rilevato attacco basato su tasti permanenti

Descrizione: l'analisi dei dati dell'host indica che un utente malintenzionato potrebbe invertire un file binario di accessibilità (ad esempio tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso backdoor all'host %{host compromesso}.

Tattiche MITRE: -

Gravità: medio

Attacco di forza bruta riuscito

(VM_LoginBruteForceSuccess)

Descrizione: sono stati rilevati diversi tentativi di accesso dalla stessa origine. In alcuni casi è stata completata correttamente l'autenticazione con l'host. Sembra un attacco di tipo burst, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione per trovare credenziali di account validi.

Tattiche MITRE: Sfruttamento

Gravità: media/alta

Livello di integrità sospetto indicativo di hijack RDP

Descrizione: l'analisi dei dati dell'host ha rilevato l'tscon.exe in esecuzione con privilegi SYSTEM. Ciò può essere indicativo di un utente malintenzionato che abusa di questo file binario per passare il contesto a qualsiasi altro utente connesso in questo host. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi in un secondo momento in una rete.

Tattiche MITRE: -

Gravità: medio

Installazione di un servizio sospetta

Descrizione: l'analisi dei dati dell'host ha rilevato l'installazione di tscon.exe come servizio: questo file binario avviato come servizio consente a un utente malintenzionato di passare facilmente a qualsiasi altro utente connesso in questo host eseguendo il dirottamento delle connessioni RDP. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete.

Tattiche MITRE: -

Gravità: medio

Osservati sospetti parametri di attacco con Golden Ticket Kerberos

Descrizione: l'analisi dei dati host ha rilevato parametri della riga di comando coerenti con un attacco Kerberos Golden Ticket.

Tattiche MITRE: -

Gravità: medio

Rilevata creazione sospetta di account

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.

Tattiche MITRE: -

Gravità: medio

Rilevata attività sospetta

(VM_SuspiciousActivity)

Descrizione: l'analisi dei dati dell'host ha rilevato una sequenza di uno o più processi in esecuzione in %{nome computer} che storicamente sono stati associati a attività dannose. Anche se i singoli comandi potrebbero apparire non dannosi, l'avviso viene segnato in base a un'aggregazione di questi comandi. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: Esecuzione

Gravità: medio

Attività di autenticazione sospetta

(VM_LoginBruteForceValidUserFailed)

Descrizione: anche se nessuno di essi è riuscito, alcuni account usati sono stati riconosciuti dall'host. È simile a un attacco con dizionario, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione usando un dizionario di nomi di account e password predefiniti per trovare credenziali valide per accedere all'host. Ciò indica che alcuni dei nomi di account host potrebbero essere presenti in un dizionario di nomi di account noti.

Tattiche MITRE: Probing

Gravità: medio

Rilevato segmento di codice sospetto

Descrizione: indica che un segmento di codice è stato allocato usando metodi non standard, ad esempio l'inserimento riflettente e l'inserimento di processi vuoti. L'avviso fornisce più caratteristiche del segmento di codice elaborato per fornire il contesto per le funzionalità e i comportamenti del segmento di codice segnalato.

Tattiche MITRE: -

Gravità: medio

Esecuzione sospetta di un file a doppia estensione

Descrizione: l'analisi dei dati host indica un'esecuzione di un processo con un'estensione doppia sospetta. Questa estensione potrebbe indurre gli utenti a pensare che i file siano sicuri da aprire e potrebbero indicare la presenza di malware nel sistema.

Tattiche MITRE: -

Gravità: alta

Rilevato download sospetto con Certutil [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato download sospetto con Certutil

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.

Tattiche MITRE: -

Gravità: medio

Rilevata attività PowerShell sospetta

Descrizione: l'analisi dei dati host ha rilevato uno script di PowerShell in esecuzione in %{host compromesso} con funzionalità in comune con script sospetti noti. Questo script potrebbe indicare un'attività legittima o un host compromesso.

Tattiche MITRE: -

Gravità: alta

Esecuzione di cmdlet di PowerShell sospetti

Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti.

Tattiche MITRE: -

Gravità: medio

Esecuzione di un processo sospetto [visto più volte]

Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: alta

Esecuzione di processo sospetto

Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato.

Tattiche MITRE: -

Gravità: alta

Rilevato nome di un processo sospetto [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato nome di processo sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso.

Tattiche MITRE: -

Gravità: medio

Attività SQL sospetta

Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività non è comune per questo account.

Tattiche MITRE: -

Gravità: medio

Esecuzione di un processo SVCHOST sospetto

Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.

Tattiche MITRE: -

Gravità: alta

Esecuzione di un processo di sistema sospetto

(VM_SystemProcessInAbnormalContext)

Descrizione: il processo di sistema %{nome processo} è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso questo nome di processo per mascherare l'attività dannosa.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Attività di Copia Shadow del volume sospetta

Descrizione: l'analisi dei dati host ha rilevato un'attività di eliminazione della copia shadow nella risorsa. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati. Alcuni malware e in particolare il ransomware prendono di mira Copia Shadow del volume per sabotare le strategie di backup.

Tattiche MITRE: -

Gravità: alta

Rilevato valore del Registro di sistema WindowPosition sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un tentativo di modifica della configurazione del Registro di sistema WindowPosition che potrebbe essere indicativo di nascondere le finestre dell'applicazione in sezioni non visibili del desktop. Questa attività può essere legittima o indicare un computer compromesso: questo tipo di attività è stato precedentemente associato a un adware noto (o a software indesiderato) come Win32/OneSystemCare e Win32/SystemHealer e a malware, come Win32/Creprote. Quando il valore WindowPosition è impostato su 201329664, (Hex: 0x0c00 0c00, corrispondente a X-axis=0c00 e Y-axis=0c00) posiziona la finestra dell'app console in una sezione non visibile della schermata dell'utente in un'area nascosta dalla visualizzazione sotto il menu Start visibile/barra delle applicazioni. Il valore hex sospetto noto include, ma non solo c000c0000.

Tattiche MITRE: -

Gravità: Bassa

Rilevato processo con nome sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è molto simile ma diverso da un processo di esecuzione molto comune (%{Simile al nome del processo}). Benché questo processo possa essere non dannoso, a volte gli utenti malintenzionati tentano di passare inosservati denominando gli strumenti dannosi con nomi di processi che sembrano legittimi.

Tattiche MITRE: -

Gravità: medio

Reimpostazione insolita della configurazione nella macchina virtuale

(VM_VMAccessUnusualConfigReset)

Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Rilevata esecuzione di processo insolito

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo da %{Nome utente} insolito. Gli account come %{Nome utente} tendono a eseguire un set limitato di operazioni, questa esecuzione è stata determinata come fuori carattere e potrebbe essere sospetta.

Tattiche MITRE: -

Gravità: alta

Reimpostazione insolita della password utente nella macchina virtuale

(VM_VMAccessUnusualPasswordReset)

Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Reimpostazione insolita della chiave SSH utente nella macchina virtuale

(VM_VMAccessUnusualSSHReset)

Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Rilevata allocazione di un oggetto HTTP VBScript

Descrizione: è stata rilevata la creazione di un file VBScript tramite il prompt dei comandi. Lo script seguente contiene un comando di allocazione di oggetti HTTP. Questa azione può essere usata per scaricare file dannosi.

Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)

(VM_GPUDriverExtensionUnusualExecution)

Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.

Tattiche MITRE: Impatto

Gravità: Bassa

Avvisi per macchine Linux

Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Linux sono:

Altri dettagli e note

Un file di cronologia è stato cancellato

Descrizione: l'analisi dei dati host indica che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'utente: '%{nome utente}'.

Tattiche MITRE: -

Gravità: medio

Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.

Tattiche MITRE: Esecuzione

Gravità: informativo

Esclusione di file generali antimalware nella macchina virtuale

(VM_AmBroadFilesExclusion)

Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: medio

Antimalware disabilitato ed esecuzione del codice nella macchina virtuale

(VM_AmDisablementAndCodeExecution)

Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Antimalware disabilitato nella macchina virtuale

(VM_AmDisablement)

Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale

(VM_AmFileExclusionAndCodeExecution)

Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale

(VM_AmTempFileExclusionAndCodeExecution)

Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware nella macchina virtuale

(VM_AmTempFileExclusion)

Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale

(VM_AmRealtimeProtectionDisabled)

Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale

(VM_AmTempRealtimeProtectionDisablement)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)

(VM_AmMalwareCampaignRelatedExclusion)

Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Antimalware temporaneamente disabilitato nella macchina virtuale

(VM_AmTemporarilyDisablement)

Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: -

Gravità: medio

Esclusione insolita di file antimalware nella macchina virtuale

(VM_UnusualAmFileExclusion)

Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Rilevato comportamento simile al ransomware [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di file che hanno somiglianza di ransomware noti che possono impedire agli utenti di accedere al sistema o ai file personali e richiede un pagamento di riscatto per ottenere nuovamente l'accesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: alta

Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce

(AzureDNS_ThreatIntelSuspectDomain)

Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.

Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento

Gravità: medio

Rilevato contenitore con un'immagine di mining

(VM_MinerInContainerImage)

Descrizione: i log del computer indicano l'esecuzione di un contenitore Docker che esegue un'immagine associata a un data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevato download di un file da un'origine dannosa nota

Descrizione: l'analisi dei dati host ha rilevato il download di un file da un'origine malware nota in %{host compromesso}.

Tattiche MITRE: -

Gravità: medio

Rilevata attività di rete sospetta

Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.

Tattiche MITRE: -

Gravità: Bassa

Rilevato comportamento correlato al mining della valuta digitale

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.

Tattiche MITRE: -

Gravità: alta

Disabilitazione della registrazione auditd [visto più volte]

Descrizione: il sistema di controllo Linux consente di tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Registra quante più informazioni possibili sugli eventi che si verificano nel sistema. La disabilitazione della registrazione auditd potrebbe ostacolare l'individuazione delle violazioni dei criteri di sicurezza usati nel sistema. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: Bassa

Sfruttamento della vulnerabilità Xorg [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di Xorg con argomenti sospetti. Gli utenti malintenzionati potrebbero usare questa tecnica nei tentativi di escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Attacco di forza bruta SSH non riuscito

(VM_SshBruteForceFailed)

Descrizione: sono stati rilevati attacchi di forza bruta non riusciti dagli utenti malintenzionati seguenti: %{Utenti malintenzionati}. Gli utenti malintenzionati hanno tentato di accedere all'host con i nomi utente seguenti: %{account usati per i tentativi di accesso non riuscito all'host}.

Tattiche MITRE: Probing

Gravità: medio

Rilevato comportamento di attacco senza file

(VM_FilelessAttackBehavior.Linux)

Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati}

Tattiche MITRE: Esecuzione

Gravità: Bassa

Rilevata tecnica di attacco senza file

(VM_FilelessAttackTechnique.Linux)

Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati}

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato toolkit di attacco senza file

(VM_FilelessAttackToolkit.Linux)

Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non hanno una presenza nel file system, rendendo difficile il rilevamento da parte del software antivirus tradizionale. I comportamenti specifici includono: {elenco di comportamenti osservati}

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevata esecuzione di file nascosto

Descrizione: l'analisi dei dati host indica che un file nascosto è stato eseguito da %{nome utente}. Questa attività potrebbe indicare un'attività legittima o un host compromesso.

Tattiche MITRE: -

Gravità: informativo

Nuova chiave SSH aggiunta [vista più volte]

(VM_SshKeyAddition)

Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: Persistenza

Gravità: Bassa

Nuova chiave SSH aggiunta

Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate.

Tattiche MITRE: -

Gravità: Bassa

Rilevata possibile backdoor [visto più volte]

Descrizione: l'analisi dei dati dell'host ha rilevato un file sospetto scaricato e quindi eseguito in %{host compromesso} nella sottoscrizione. Questa attività è stata precedentemente associata all'installazione di una backdoor. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato possibile sfruttamento del server di posta

(VM_MailserverExploitation)

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un'esecuzione insolita nell'account del server di posta elettronica

Tattiche MITRE: Sfruttamento

Gravità: medio

Rilevata possibile web shell dannosa

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una possibile shell Web. Gli utenti malintenzionati spesso caricheranno una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento.

Tattiche MITRE: -

Gravità: medio

Rilevata possibile modifica della password tramite un metodo di crittografia [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione del computer. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato processo associato al mining della valuta digitale [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale. Questo comportamento è stato rilevato oltre 100 volte nella giornata odierna nei computer seguenti: [nome computer]

Tattiche MITRE: -

Gravità: medio

Rilevato processo associato al mining della valuta digitale

Descrizione: l'analisi dei dati host ha rilevato l'esecuzione di un processo normalmente associato al data mining digitale.

Tattiche MITRE: Sfruttamento, Esecuzione

Gravità: medio

Rilevato downloader con codifica Python [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di Python codificato che scarica ed esegue codice da una posizione remota. Potrebbe trattarsi di un'indicazione di attività dannose. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: Bassa

Acquisito screenshot sull'host [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di uno strumento di acquisizione dello schermo. Gli utenti malintenzionati potrebbero usare questi strumenti per accedere ai dati privati. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: Bassa

Rilevato shellcode [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che il codice della shell viene generato dalla riga di comando. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Attacco di forza bruta SSH riuscito

(VM_SshBruteForceSuccess)

Descrizione: l'analisi dei dati dell'host ha rilevato un attacco di forza bruta riuscito. Sono stati osservati più tentativi di accesso dall'IP %{IP di origine utente malintenzionato}. Sono stati eseguiti accessi riusciti dall'IP con i seguenti utenti: %{account usati per accedere correttamente all'host}. Ciò significa che l'host potrebbe essere compromesso e controllato da un attore malintenzionato.

Tattiche MITRE: Sfruttamento

Gravità: alta

Rilevata creazione sospetta di account

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.

Tattiche MITRE: -

Gravità: medio

Rilevato modulo kernel sospetto [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato il caricamento di un file oggetto condiviso come modulo kernel. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Accesso sospetto alle password [visto più volte]

Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: informativo

Accesso sospetto alle password

Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}.

Tattiche MITRE: -

Gravità: informativo

Richiesta sospetta al dashboard di Kubernetes

(VM_KubernetesDashboard)

Descrizione: i log del computer indicano che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso.

Tattiche MITRE: LateralMovement

Gravità: medio

Reimpostazione insolita della configurazione nella macchina virtuale

(VM_VMAccessUnusualConfigReset)

Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Reimpostazione insolita della password utente nella macchina virtuale

(VM_VMAccessUnusualPasswordReset)

Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Reimpostazione insolita della chiave SSH utente nella macchina virtuale

(VM_VMAccessUnusualSSHReset)

Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)

(VM_GPUDriverExtensionUnusualExecution)

Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.

Tattiche MITRE: Impatto

Gravità: Bassa

Avvisi per DNS

Importante

A partire dal 1° agosto 2023, i clienti con una sottoscrizione esistente a Defender per DNS possono continuare a usare il servizio, ma i nuovi sottoscrittori riceveranno avvisi sull'attività DNS sospetta come parte di Defender per server P2.

Altri dettagli e note

Utilizzo anomalo del protocollo di rete

(AzureDNS_ProtocolAnomaly)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un utilizzo anomalo del protocollo. Tale traffico, sebbene possibilmente non dannoso, potrebbe indicare abusi di questo protocollo comune per ignorare il filtro del traffico di rete. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.

Tattiche MITRE: esfiltrazione

Gravità: -

Attività di rete anonimato

(AzureDNS_DarkWeb)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Attività di rete anonima con proxy Web

(AzureDNS_DarkWebProxy)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Tentativo di comunicazione con dominio sinkholed sospetto

(AzureDNS_SinkholedDomain)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per il dominio sinkholed. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.

Tattiche MITRE: esfiltrazione

Gravità: medio

Comunicazione con il possibile dominio di phishing

(AzureDNS_PhishingDomain)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un possibile dominio di phishing. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per raccogliere credenziali per i servizi remoti. È probabile che l'attività correlata tipica degli utenti malintenzionati includa lo sfruttamento di eventuali credenziali nel servizio legittimo.

Tattiche MITRE: esfiltrazione

Gravità: informativo

Comunicazione con un dominio generato in modo algoritmico sospetto

(AzureDNS_DomainGenerationAlgorithm)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile utilizzo di un algoritmo di generazione di dominio. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: informativo

Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce

(AzureDNS_ThreatIntelSuspectDomain)

Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Comunicazione con un nome di dominio casuale sospetto

(AzureDNS_RandomizedDomain)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato l'utilizzo di un nome di dominio generato in modo casuale sospetto. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: informativo

Attività di data mining di valuta digitale

(AzureDNS_CurrencyMining)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Attivazione della firma di rilevamento intrusioni di rete

(AzureDNS_SuspiciousDomain)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una firma di rete dannosa nota. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.

Tattiche MITRE: esfiltrazione

Gravità: medio

Possibile download dei dati tramite tunnel DNS

(AzureDNS_DataInfiltration)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Possibile esfiltrazione di dati tramite tunnel DNS

(AzureDNS_DataExfiltration)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Possibile trasferimento dei dati tramite tunnel DNS

(AzureDNS_DataObfuscation)

Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Avvisi per le estensioni della macchina virtuale di Azure

Questi avvisi si concentrano sul rilevamento di attività sospette delle estensioni delle macchine virtuali di Azure e forniscono informazioni dettagliate sui tentativi di compromissione degli utenti malintenzionati ed eseguire attività dannose nelle macchine virtuali.

Le estensioni delle macchine virtuali di Azure sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come la configurazione, l'automazione, il monitoraggio, la sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:

• Raccolta e monitoraggio dei dati

• Esecuzione del codice e distribuzione della configurazione con privilegi elevati

• Reimpostazione delle credenziali e creazione di utenti amministratori

• Crittografia dei dischi

Altre informazioni sulle Defender per il cloud protezioni più recenti contro l'uso improprio delle estensioni delle macchine virtuali di Azure.

Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima)

(VM_GPUExtensionSuspiciousFailure)

Descrizione: finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining.

Tattiche MITRE: Impatto

Gravità: medio

È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima)

(VM_GPUDriverExtensionUnusualExecution)

Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti.

Tattiche MITRE: Impatto

Gravità: Bassa

Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima)

(VM_RunCommandSuspiciousScript)

Descrizione: è stato rilevato un comando di esecuzione con uno script sospetto nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.

Tattiche MITRE: Esecuzione

Gravità: alta

È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima)

(VM_RunCommandSuspiciousFailure)

Descrizione: l'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.

Tattiche MITRE: Esecuzione

Gravità: medio

È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima)

(VM_RunCommandSuspiciousUsage)

Descrizione: è stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.

Tattiche MITRE: Esecuzione

Gravità: Bassa

È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima)

(VM_SuspiciousMultiExtensionUsage)

Descrizione: è stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza.

Tattiche MITRE: Ricognizione

Gravità: medio

È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima)

(VM_DiskEncryptionSuspiciousUsage)

Descrizione: è stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni.

Tattiche MITRE: Impatto

Gravità: medio

È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali (anteprima)

(VM_VMAccessSuspiciousUsage)

Descrizione: è stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione VMAccess per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.

Tattiche MITRE: Persistenza

Gravità: medio

Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima)

(VM_DSCExtensionSuspiciousScript)

Descrizione: l'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.

Tattiche MITRE: Esecuzione

Gravità: alta

È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima)

(VM_DSCExtensionSuspiciousUsage)

Descrizione: è stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.

Tattiche MITRE: Esecuzione

Gravità: Bassa

È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima)

(VM_CustomScriptExtensionSuspiciousCmd)

Descrizione: l'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.

Tattiche MITRE: Esecuzione

Gravità: alta

Esecuzione sospetta di un'estensione script personalizzata nella macchina virtuale

(VM_CustomScriptExtensionSuspiciousFailure)

Descrizione: è stato rilevato un errore sospetto di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tali errori potrebbero essere associati a script dannosi eseguiti da questa estensione.

Tattiche MITRE: Esecuzione

Gravità: medio

Eliminazione insolita dell'estensione script personalizzata nella macchina virtuale

(VM_CustomScriptExtensionUnusualDeletion)

Descrizione: l'eliminazione insolita di un'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.

Tattiche MITRE: Esecuzione

Gravità: medio

Esecuzione insolita dell'estensione script personalizzata nella macchina virtuale

(VM_CustomScriptExtensionUnusualExecution)

Descrizione: è stata rilevata un'esecuzione insolita di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.

Tattiche MITRE: Esecuzione

Gravità: medio

Estensione script personalizzata con punto di ingresso sospetto nella macchina virtuale

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Descrizione: l'estensione di script personalizzata con un punto di ingresso sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Il punto di ingresso fa riferimento a un repository GitHub sospetto. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.

Tattiche MITRE: Esecuzione

Gravità: medio

Estensione di script personalizzata con payload sospetto nella macchina virtuale

(VM_CustomScriptExtensionSuspiciousPayload)

Descrizione: l'estensione di script personalizzata con un payload da un repository GitHub sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.

Tattiche MITRE: Esecuzione

Gravità: medio

Avvisi per Servizio app di Azure

Altri dettagli e note

Tentativo di eseguire comandi Linux in un servizio app di Windows

(AppServices_LinuxCommandOnWindows)

Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando Linux in un servizio app Windows. Questa azione è stata eseguita dall'applicazione Web. Questo comportamento si osserva spesso durante le campagne che sfruttano una vulnerabilità in un'applicazione Web comune. (Si applica a: servizio app in Windows)

Tattiche MITRE: -

Gravità: medio

Un IP connesso all'interfaccia FTP di Servizio app di Azure è stato rilevato in Intelligence per le minacce

(AppServices_IncomingTiClientIpFtp)

Descrizione: app Azure log FTP del servizio indica una connessione da un indirizzo di origine trovato nel feed di intelligence per le minacce. Durante questa connessione, un utente ha eseguito l'accesso alle pagine elencate. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Accesso iniziale

Gravità: medio

Rilevato tentativo di eseguire un comando con privilegi elevati

(AppServices_HighPrivilegeCommand)

Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando che richiede privilegi elevati. Il comando è stato eseguito nel contesto dell'applicazione Web. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene riscontrato anche nelle attività dannose. (Si applica a: servizio app in Windows)

Tattiche MITRE: -

Gravità: medio

Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce

(AzureDNS_ThreatIntelSuspectDomain)

Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.

Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento

Gravità: medio

Rilevata connessione alla pagina Web da un indirizzo IP anomalo

(AppServices_AnomalousPageAccess)

Descrizione: app Azure log attività del servizio indica una connessione anomala a una pagina Web sensibile dall'indirizzo IP di origine elencato. Potrebbe indicare che un utente sta tentando un attacco di forza bruta contro le pagine di amministrazione dell'app Web. Potrebbe anche essere il risultato di un nuovo indirizzo IP usato da un utente legittimo. Se l'indirizzo IP di origine è attendibile, è possibile eliminare in modo sicuro questo avviso per questa risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Accesso iniziale

Gravità: Bassa

Rilevato record DNS dangling per una risorsa servizio app

(AppServices_DanglingDomain)

Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". In questo modo è possibile eseguire l'acquisizione di un sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: -

Gravità: alta

Rilevato file eseguibile codificato nei dati della riga di comando

(AppServices_Base64EncodedExecutableInCommandLineParams)

Descrizione: l'analisi dei dati dell'host in {host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. (Si applica a: servizio app in Windows)

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevato download di un file da un'origine dannosa nota

(AppServices_SuspectDownload)

Descrizione: l'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota nell'host. (Si applica a: servizio app in Linux)

Tattiche MITRE: Escalation dei privilegi, esecuzione, esfiltrazione, comando e controllo

Gravità: medio

Rilevato download di un file sospetto

(AppServices_SuspectDownloadArtifacts)

Descrizione: l'analisi dei dati host ha rilevato un download sospetto di file remoto. (Si applica a: servizio app in Linux)

Tattiche MITRE: Persistenza

Gravità: medio

Rilevato comportamento correlato al mining della valuta digitale

(AppServices_DigitalCurrencyMining)

Descrizione: l'analisi dei dati host in Inn-Flow-WebJobs ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: alta

File eseguibile decodificato tramite certutil

(AppServices_ExecutableDecodedUsingCertutil)

Descrizione: l'analisi dei dati dell'host su [entità compromessa] ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevato comportamento di attacco senza file

(AppServices_FilelessAttackBehaviorDetection)

Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: medio

Rilevata tecnica di attacco senza file

(AppServices_FilelessAttackTechniqueDetection)

Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato toolkit di attacco senza file

(AppServices_FilelessAttackToolkitDetection)

Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non sono presenti nel file system ed è quindi difficile rilevarli con i tradizionali software antivirus. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Microsoft Defender per il cloud avviso di test per servizio app (non una minaccia)

(AppServices_EICAR)

Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: -

Gravità: alta

Rilevata analisi NMap

(AppServices_Nmap)

Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a NMAP. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: PreAttack

Gravità: informativo

Contenuto di phishing ospitato in App Web di Azure

(AppServices_PhishingContent)

Descrizione: URL usato per l'attacco di phishing trovato nel sito Web app Azure Services. Questo URL fa parte di un attacco di phishing inviato ai clienti di Microsoft 365. Il contenuto induce in genere i visitatori a immettere le proprie credenziali aziendali o informazioni finanziarie in un sito Web che sembra legittimo. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Raccolta

Gravità: alta

File PHP nella cartella di caricamento

(AppServices_PhpInUploadFolder)

Descrizione: app Azure log attività del servizio indica un accesso a una pagina PHP sospetta che si trova nella cartella di caricamento. Questo tipo di cartella in genere non contiene file PHP. L'esistenza di questo tipo di file potrebbe indicare un exploit che sfrutta le vulnerabilità del caricamento di un file arbitrario. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: medio

Rilevato un possibile download di Cryptocoinminer

(AppServices_CryptoCoinMinerDownload)

Descrizione: l'analisi dei dati host ha rilevato il download di un file normalmente associato al data mining digitale. (Si applica a: servizio app in Linux)

Tattiche MITRE: evasione della difesa, comando e controllo, sfruttamento

Gravità: medio

Rilevata possibile esfiltrazione di dati

(AppServices_DataEgressArtifacts)

Descrizione: l'analisi dei dati host/dispositivo ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. (Si applica a: servizio app in Linux)

Tattiche MITRE: Raccolta, Esfiltrazione

Gravità: medio

Rilevato potenziale record DNS dangling per una risorsa servizio app

(AppServices_PotentialDanglingDomain)

Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". Ciò potrebbe causare un'acquisizione di sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. In questo caso, è stato trovato un record di testo con l'ID di verifica del dominio. Tali record di testo impediscono l'acquisizione del sottodominio, ma è comunque consigliabile rimuovere il dominio incerto.Such text records prevent subdomain takeover but we still recommend removing the dangling domain. Se si lascia il record DNS che punta al sottodominio a rischio se qualcuno dell'organizzazione elimina il file TXT o il record in futuro. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: -

Gravità: Bassa

Rilevata potenziale shell inversa

(AppServices_ReverseShell)

Descrizione: l'analisi dei dati host ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. (Si applica a: servizio app in Linux)

Tattiche MITRE: esfiltrazione, sfruttamento

Gravità: medio

Rilevato download di dati non elaborati

(AppServices_DownloadCodeFromWebsite)

Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di scaricare codice da siti Web di dati non elaborati, ad esempio Pastebin. Questa azione è stata eseguita da un processo PHP. Questo comportamento è associato a tentativi di scaricare web shell o altri componenti dannosi nel servizio app. (Si applica a: servizio app in Windows)

Tattiche MITRE: Esecuzione

Gravità: medio

Rilevato salvataggio dell'output di curl su disco

(AppServices_CurlToDisk)

Descrizione: l'analisi dei processi di servizio app ha rilevato l'esecuzione di un comando curl in cui l'output è stato salvato sul disco. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene osservato anche in relazione ad attività dannose, ad esempio in occasione di tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows)

Tattiche MITRE: -

Gravità: Bassa

Rilevato referrer alla cartella di posta indesiderata

(AppServices_SpamReferrer)

Descrizione: app Azure log attività del servizio indica l'attività Web identificata come originata da un sito Web associato all'attività di posta indesiderata. Questo problema può verificarsi se il sito Web viene compromesso e usato per attività di posta indesiderata. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: -

Gravità: Bassa

Rilevato accesso sospetto a una pagina Web potenzialmente vulnerabile

(AppServices_ScanSensitivePage)

Descrizione: app Azure log attività del servizio indica che è stato eseguito l'accesso a una pagina Web che sembra essere sensibile. Questa attività sospetta ha origine da un indirizzo IP di origine il cui modello di accesso è simile a quello di uno scanner Web. Questa attività è spesso associata a un tentativo da parte di un utente malintenzionato di analizzare la rete per tentare di accedere a pagine Web sensibili o vulnerabili. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: -

Gravità: Bassa

Riferimento a nome di dominio sospetto

(AppServices_CommandlineSuspectDomain)

Descrizione: analisi dei dati host rilevati riferimento al nome di dominio sospetto. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. (Si applica a: servizio app in Linux)

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Rilevato download sospetto con Certutil

(AppServices_DownloadUsingCertutil)

Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario anziché il relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)

Tattiche MITRE: Esecuzione

Gravità: medio

Rilevata esecuzione PHP sospetta

(AppServices_SuspectPhp)

Descrizione: i log del computer indicano che è in esecuzione un processo PHP sospetto. L'azione include un tentativo di eseguire comandi del sistema operativo o codice PHP dalla riga di comando usando il processo PHP. Benché questo comportamento possa essere legittimo, nelle applicazioni Web potrebbe indicare attività dannose, ad esempio tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: medio

Esecuzione di cmdlet di PowerShell sospetti

(AppServices_PowerShellPowerSploitScriptExecution)

Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti. (Si applica a: servizio app in Windows)

Tattiche MITRE: Esecuzione

Gravità: medio

Esecuzione di processo sospetto

(AppServices_KnownCredential AccessTools)

Descrizione: i log del computer indicano che il processo sospetto: '%{percorso processo}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. (Si applica a: servizio app in Windows)

Tattiche MITRE: Accesso alle credenziali

Gravità: alta

Rilevato nome di processo sospetto

(AppServices_ProcessWithKnownSuspiciousExtension)

Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia allusivo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. (Si applica a: servizio app in Windows)

Tattiche MITRE: persistenza, evasione della difesa

Gravità: medio

Esecuzione di un processo SVCHOST sospetto

(AppServices_SVCHostFromInvalidPath)

Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare la sua attività dannosa. (Si applica a: servizio app in Windows)

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevato agente utente sospetto

(AppServices_UserAgentInjection)

Descrizione: app Azure log attività del servizio indica le richieste con agente utente sospetto. Questo comportamento può indicare tentativi di sfruttare una vulnerabilità nell'applicazione del servizio app. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Accesso iniziale

Gravità: informativo

Rilevata chiamata a un tema di WordPress sospetta

(AppServices_WpThemeInjection)

Descrizione: app Azure log attività del servizio indica una possibile attività di inserimento del codice nella risorsa servizio app. L'attività sospetta rilevata assomiglia a quella di manipolazione di un tema di WordPress per supportare l'esecuzione del codice sul lato server, seguita da una richiesta Web diretta per richiamare il file di tema manipolato. Questo tipo di attività è stato riscontrato in passato come parte di una campagna di attacco contro WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato rilevatore di vulnerabilità

(AppServices_DrupalScanner)

Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati a un sistema di gestione dei contenuti (CMS). Se la risorsa servizio app non ospita un sito Drupal, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows)

Tattiche MITRE: PreAttack

Gravità: Bassa

Rilevato rilevatore di vulnerabilità

(AppServices_JoomlaScanner)

Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni Joomla. Se la risorsa di servizio app non ospita un sito di Necessariamente, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: PreAttack

Gravità: Bassa

Rilevato rilevatore di vulnerabilità

(AppServices_WpScanner)

Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: PreAttack

Gravità: Bassa

Rilevato Web fingerprinting

(AppServices_WebFingerprinting)

Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a uno strumento chiamato Blind Elephant. Lo strumento individua l'impronta digitale dei server Web e tenta di rilevare le applicazioni installate e la versione. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: PreAttack

Gravità: medio

Il sito Web è contrassegnato come dannoso nel feed di intelligence sulle minacce

(AppServices_SmartScreen)

Descrizione: il sito Web come descritto di seguito è contrassegnato come sito dannoso da Windows SmartScreen. Se si ritiene che sia un falso positivo, contattare Windows SmartScreen tramite il collegamento per la segnalazione di feedback fornito. (Si applica a: servizio app in Windows e servizio app in Linux)

Tattiche MITRE: Raccolta

Gravità: medio

Avvisi per i contenitori - Cluster Kubernetes

Microsoft Defender per contenitori fornisce avvisi di sicurezza a livello di cluster e sui nodi del cluster sottostanti monitorando sia il piano di controllo (server API) che il carico di lavoro in contenitori stesso. Gli avvisi di sicurezza del piano di controllo possono essere riconosciuti da un prefisso del K8S_ tipo di avviso. Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster sono riconoscibili dal prefisso K8S.NODE_ del tipo di avviso. Tutti gli avvisi sono supportati solo in Linux, se non diversamente indicato.

Altri dettagli e note

Servizio Postgres esposto con configurazione di autenticazione trust in Kubernetes rilevato (anteprima)

(K8S_ExposedPostgresTrustAuth)

Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico. Il servizio è configurato con il metodo di autenticazione trust, che non richiede credenziali.

Tattiche MITRE: InitialAccess

Gravità: medio

Servizio Postgres esposto con configurazione rischiosa in Kubernetes rilevato (anteprima)

(K8S_ExposedPostgresBroadIPRange)

Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico con una configurazione rischiosa. L'esposizione del servizio a un'ampia gamma di indirizzi IP comporta un rischio per la sicurezza.

Tattiche MITRE: InitialAccess

Gravità: medio

Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato

(K8S. NODE_NamespaceCreation) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore nel cluster Kubernetes ha rilevato un tentativo di creare un nuovo spazio dei nomi Linux. Anche se questo comportamento potrebbe essere legittimo, potrebbe indicare che un utente malintenzionato tenta di eseguire l'escape dal contenitore al nodo. Alcuni exploit CVE-2022-0185 usano questa tecnica.

Tattiche MITRE: PrivilegeEscalation

Gravità: informativo

Un file di cronologia è stato cancellato

(K8S. NODE_HistoryFileCleared) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'account utente specificato.

Tattiche MITRE: DefenseEvasion

Gravità: medio

Attività anomala dell'identità gestita associata a Kubernetes (anteprima)

(K8S_AbnormalMiActivity)

Descrizione: l'analisi delle operazioni di Azure Resource Manager ha rilevato un comportamento anomalo di un'identità gestita usata da un componente aggiuntivo del servizio Azure Kubernetes. L'attività rilevata non è coerente con il comportamento del componente aggiuntivo associato. Anche se questa attività può essere legittima, questo comportamento potrebbe indicare che l'identità è stata acquisita da un utente malintenzionato, probabilmente da un contenitore compromesso nel cluster Kubernetes.

Tattiche MITRE: Movimento laterale

Gravità: medio

Rilevata operazione dell'account del servizio Kubernetes anomalo

(K8S_ServiceAccountRareOperation)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un comportamento anomalo da un account del servizio nel cluster Kubernetes. L'account del servizio è stato usato per un'operazione, che non è comune per questo account del servizio. Anche se questa attività può essere legittima, tale comportamento potrebbe indicare che l'account del servizio viene usato per scopi dannosi.

Tattiche MITRE: Spostamento laterale, accesso alle credenziali

Gravità: medio

Rilevato un tentativo di connessione non comune

(K8S. NODE_Suspect Connessione ion) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di connessione non comune usando un protocollo socks. Questo è molto raro nelle normali operazioni, ma una tecnica nota per gli utenti malintenzionati che tentano di ignorare i rilevamenti a livello di rete.

Tattiche MITRE: esecuzione, esfiltrazione, sfruttamento

Gravità: medio

Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer

(K8S. NODE_TimerServiceDisabled) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di arrestare il servizio apt-daily-upgrade.timer. Gli utenti malintenzionati sono stati osservati arrestando questo servizio per scaricare file dannosi e concedere privilegi di esecuzione per i loro attacchi. Questa attività può verificarsi anche se il servizio viene aggiornato tramite azioni amministrative normali.

Tattiche MITRE: DefenseEvasion

Gravità: informativo

Comportamento simile ai bot Linux comuni rilevati (anteprima)

(K8S. NODE_CommonBot)

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un processo normalmente associato a botnet Linux comuni.

Tattiche MITRE: esecuzione, raccolta, comando e controllo

Gravità: medio

Comando all'interno di un contenitore in esecuzione con privilegi elevati

(K8S. NODE_PrivilegedExecutionInContainer) ¹

Descrizione: i log del computer indicano che un comando con privilegi è stato eseguito in un contenitore Docker. Un comando con privilegi ha privilegi estesi sul computer host.

Tattiche MITRE: PrivilegeEscalation

Gravità: informativo

Contenitore in esecuzione in modalità con privilegi

(K8S. NODE_PrivilegedContainerArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un comando Docker che esegue un contenitore con privilegi. Il contenitore con privilegi ha accesso completo al pod di hosting o alla risorsa host. Se compromesso, un utente malintenzionato potrebbe usare il contenitore con privilegi per ottenere l'accesso al pod o all'host di hosting.

Tattiche MITRE: PrivilegeEscalation, Execution

Gravità: informativo

Rilevato contenitore con un montaggio del volume sensibile

(K8S_SensitiveMount)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo contenitore con un montaggio di volumi sensibili. Il volume rilevato è un tipo hostPath che monta un file o una cartella sensibile dal nodo al contenitore. Se il contenitore viene compromesso, l'utente malintenzionato può usare questo montaggio per ottenere l'accesso al nodo.

Tattiche MITRE: Escalation dei privilegi

Gravità: informativo

Rilevata modifica coreDNS in Kubernetes

(K8S_CoreDnsModification) ²³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato una modifica della configurazione CoreDNS. La configurazione di CoreDNS può essere modificata eseguendo l'override della relativa mappa di configurazione. Anche se questa attività può essere legittima, se gli utenti malintenzionati hanno le autorizzazioni per modificare la mappa di configurazione, possono modificare il comportamento del server DNS del cluster e elaborarlo.

Tattiche MITRE: Movimento laterale

Gravità: Bassa

Rilevata configurazione del webhook di ammissione

(K8S_AdmissionController) ³

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova configurazione del webhook di ammissione. Kubernetes dispone di due controller di ammissione generici predefiniti: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. Il comportamento di questi controller di ammissione è determinato da un webhook di ammissione che l'utente distribuisce nel cluster. L'uso di tali controller di ammissione può essere legittimo, tuttavia gli utenti malintenzionati possono usare tali webhook per modificare le richieste (nel caso di MutatingAdmissionWebhook) o ispezionare le richieste e ottenere informazioni riservate (nel caso di ValidatingAdmissionWebhook).

Tattiche MITRE: Accesso alle credenziali, Persistenza

Gravità: informativo

Rilevato download di un file da un'origine dannosa nota

(K8S. NODE_SuspectDownload) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download di un file da un'origine usata di frequente per distribuire malware.

Tattiche MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Gravità: medio

Rilevato download di un file sospetto

(K8S. NODE_SuspectDownloadArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download sospetto di un file remoto.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato uso sospetto del comando nohup

(K8S. NODE_SuspectNohup) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando nohup. Gli utenti malintenzionati hanno visto usare il comando nohup per eseguire file nascosti da una directory temporanea per consentire l'esecuzione in background dei file eseguibili. È raro vedere questo comando eseguito su file nascosti che si trovano in una directory temporanea.

Tattiche MITRE: Persistenza, DefenseEvasion

Gravità: medio

Rilevato uso sospetto del comando useradd

(K8S. NODE_SuspectUserAddition) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando useradd.

Tattiche MITRE: Persistenza

Gravità: medio

Rilevato contenitore di mining della valuta digitale

(K8S_MaliciousContainerImage) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un contenitore con un'immagine associata a uno strumento di data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato comportamento correlato al mining della valuta digitale

(K8S. NODE_DigitalCurrencyMining) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: alta

Operazione di compilazione Docker rilevata in un nodo Kubernetes

(K8S. NODE_ImageBuildOnNode) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento.

Tattiche MITRE: DefenseEvasion

Gravità: informativo

Rilevato dashboard Kubeflow esposto

(K8S_ExposedKubeflow)

Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione dell'ingresso Istio da un servizio di bilanciamento del carico in un cluster che esegue Kubeflow. Questa azione potrebbe esporre il dashboard Kubeflow su Internet. Se il dashboard è esposto su Internet, gli utenti malintenzionati possono accedervi ed eseguire codice o contenitori dannosi nel cluster. Per altre informazioni, vedere l'articolo seguente: https://aka.ms/exposedkubeflow-blog

Tattiche MITRE: Accesso iniziale

Gravità: medio

Rilevato dashboard Kubernetes esposto

(K8S_ExposedDashboard)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato l'esposizione del dashboard kubernetes da un servizio LoadBalancer. Il dashboard esposto permette un accesso non autenticato alla gestione del cluster e rappresenta una minaccia per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Rilevato servizio Kubernetes esposto

(K8S_ExposedService)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione di un servizio da parte di un servizio di bilanciamento del carico. Questo servizio è correlato a un'applicazione sensibile che consente di eseguire operazioni ad alto impatto nel cluster, ad esempio l'esecuzione di processi nel nodo o la creazione di nuovi contenitori. In alcuni casi, questo servizio non richiede l'autenticazione. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Rilevato servizio Redis esposto nel servizio Azure Kubernetes

(K8S_ExposedRedis)

Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione di un servizio Redis da un servizio di bilanciamento del carico. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.

Tattiche MITRE: Accesso iniziale

Gravità: Bassa

Rilevati indicatori associati a un toolkit DDoS

(K8S. NODE_KnownLinuxDDoSToolkit) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato nomi di file che fanno parte di un toolkit associato a malware in grado di avviare attacchi DDoS, aprire porte e servizi e assumere il controllo completo sul sistema infetto. Potrebbe anche trattarsi di un'attività legittima.

Tattiche MITRE: Persistenza, LateralMovement, Esecuzione, Sfruttamento

Gravità: medio

Rilevate richieste API K8S dall'indirizzo IP proxy

(K8S_TI_Proxy) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato richieste API al cluster da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli utenti malintenzionati tentano di nascondere l'INDIRIZZO IP di origine.

Tattiche MITRE: Esecuzione

Gravità: Bassa

Eventi kubernetes eliminati

(K8S_DeleteEvents) ²³

Descrizione: Defender per il cloud rilevato che alcuni eventi Kubernetes sono stati eliminati. Gli eventi Kubernetes sono oggetti in Kubernetes che contengono informazioni sulle modifiche nel cluster. Gli utenti malintenzionati possono eliminare tali eventi per nascondere le operazioni nel cluster.

Tattiche MITRE: Evasione della difesa

Gravità: Bassa

Rilevato lo strumento di test di penetrazione kubernetes

(K8S_PenTestToolsKubeHunter)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi.

Tattiche MITRE: Esecuzione

Gravità: Bassa

Microsoft Defender per il cloud avviso di test (non una minaccia).

(K8S. NODE_EICAR) ¹

Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni.

Tattiche MITRE: Esecuzione

Gravità: alta

Rilevato nuovo contenitore nello spazio dei nomi kube-system

(K8S_KubeSystemContainer) ³

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore nello spazio dei nomi kube-system che non è tra i contenitori che normalmente vengono eseguiti in questo spazio dei nomi. Gli spazi dei nomi kube-system non devono contenere risorse utente. Gli utenti malintenzionati possono usare questo spazio dei nomi per nascondere componenti dannosi.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato nuovo ruolo con privilegi elevati

(K8S_HighPrivilegesRole) ³

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo ruolo con privilegi elevati. Un'associazione a un ruolo con privilegi elevati concede all'utente\gruppo privilegi elevati nel cluster. I privilegi non necessari potrebbero causare l'escalation dei privilegi nel cluster.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevato possibile strumento di attacco

(K8S. NODE_KnownLinuxAttackTool) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una chiamata di strumento sospetta. Questo strumento è spesso associato a utenti malintenzionati che attaccano altri utenti.

Tattiche MITRE: esecuzione, raccolta, comando e controllo, probe

Gravità: medio

Rilevato possibile backdoor

(K8S. NODE_LinuxBackdoorArtifact) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file sospetto scaricato ed eseguito. Questa attività è stata precedentemente associata all'installazione di una backdoor.

Tattiche MITRE: Persistenza, DefenseEvasion, Esecuzione, Sfruttamento

Gravità: medio

Possibile tentativo di sfruttamento della riga di comando

(K8S. NODE_ExploitAttempt) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un possibile tentativo di sfruttamento contro una vulnerabilità nota.

Tattiche MITRE: Sfruttamento

Gravità: medio

Rilevato possibile strumento di accesso alle credenziali

(K8S. NODE_KnownLinuxCredentialAccessTool) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un possibile strumento di accesso alle credenziali note è stato eseguito nel contenitore, come identificato dal processo e dall'elemento della cronologia della riga di comando specificati. Questo strumento è spesso associato a tentativi di accesso alle credenziali da parte di utenti malintenzionati.

Tattiche MITRE: CredentialAccess

Gravità: medio

Rilevato un possibile download di Cryptocoinminer

(K8S. NODE_CryptoCoinMinerDownload) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato il download di un file normalmente associato al data mining di valuta digitale.

Tattiche MITRE: DefenseEvasion, Command And Control, Exploitation

Gravità: medio

Rilevata possibile attività di manomissione dei log

(K8S. NODE_SystemLogRemoval) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile rimozione dei file che tiene traccia dell'attività dell'utente durante il corso dell'operazione. Spesso gli utenti malintenzionati tentano di eludere il rilevamento e non lasciano traccia delle attività dannose eliminando tali file di log.

Tattiche MITRE: DefenseEvasion

Gravità: medio

È stata rilevata una possibile modifica della password usando il metodo crypt

(K8S. NODE_SuspectPasswordChange) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione.

Tattiche MITRE: CredentialAccess

Gravità: medio

Potenziale port forwarding a un indirizzo IP esterno

(K8S. NODE_SuspectPortForwarding) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'avvio del port forwarding a un indirizzo IP esterno.

Tattiche MITRE: esfiltrazione, comando e controllo

Gravità: medio

Rilevata potenziale shell inversa

(K8S. NODE_ReverseShell) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato.

Tattiche MITRE: esfiltrazione, sfruttamento

Gravità: medio

Rilevato contenitore con privilegi

(K8S_PrivilegedContainer)

Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con privilegi. Un contenitore con privilegi ha accesso alle risorse del nodo e interrompe l'isolamento tra i contenitori. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al nodo.

Tattiche MITRE: Escalation dei privilegi

Gravità: informativo

Rilevato processo associato al mining della valuta digitale

(K8S. NODE_CryptoCoinMinerArtifacts) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale.

Tattiche MITRE: esecuzione, sfruttamento

Gravità: medio

Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito

(K8S. NODE_SshKeyAccess) ¹

Descrizione: è stato eseguito l'accesso a un file SSH authorized_keys in un metodo simile alle campagne malware note. Questo accesso potrebbe indicare che un attore sta tentando di ottenere l'accesso permanente a un computer.

Tattiche MITRE: Sconosciuto

Gravità: informativo

Rilevato binding del ruolo al ruolo di amministratore del cluster

(K8S_Cluster Amministrazione Binding)

Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova associazione al ruolo di amministratore del cluster che concede privilegi di amministratore. I privilegi di amministratore non necessari potrebbero causare l'escalation dei privilegi nel cluster.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevata terminazione dei processi correlati alla sicurezza

(K8S. NODE_SuspectProcessTermination) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di terminare i processi correlati al monitoraggio della sicurezza nel contenitore. Spesso gli utenti malintenzionati provano a terminare tali processi usando gli script predefiniti successivamente alla compromissione.

Tattiche MITRE: Persistenza

Gravità: Bassa

Il server SSH è in esecuzione all'interno di un contenitore

(K8S. NODE_ContainerSSH) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato un server SSH in esecuzione all'interno del contenitore.

Tattiche MITRE: Esecuzione

Gravità: informativo

Modifica del timestamp del file sospetta

(K8S. NODE_TimestampTampering) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica di timestamp sospetta. Gli utenti malintenzionati copiano spesso timestamp da file legittimi esistenti a nuovi strumenti per evitare il rilevamento di questi file appena eliminati.

Tattiche MITRE: Persistenza, DefenseEvasion

Gravità: Bassa

Richiesta sospetta all'API Kubernetes

(K8S. NODE_KubernetesAPI) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.

Tattiche MITRE: LateralMovement

Gravità: medio

Richiesta sospetta al dashboard di Kubernetes

(K8S. NODE_KubernetesDashboard) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta al dashboard kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.

Tattiche MITRE: LateralMovement

Gravità: medio

Il potenziale minatore di moneta crittografica ha iniziato

(K8S. NODE_CryptoCoinMinerExecution) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo avviato in modo normalmente associato al data mining di valuta digitale.

Tattiche MITRE: Esecuzione

Gravità: medio

Accesso sospetto alle password

(K8S. NODE_SuspectPasswordFileAccess) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo sospetto di accesso alle password utente crittografate.

Tattiche MITRE: Persistenza

Gravità: informativo

Rilevata possibile shell Web dannosa.

(K8S. NODE_Webshell) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato una possibile shell Web. Gli utenti malintenzionati caricano spesso una shell Web in una risorsa di calcolo compromessa per ottenere la persistenza o per un ulteriore sfruttamento.

Tattiche MITRE: persistenza, sfruttamento

Gravità: medio

Il burst di più comandi di ricognizione potrebbe indicare l'attività iniziale dopo la compromissione

(K8S. NODE_ReconnaissanceArtifactsBurst) ¹

Descrizione: l'analisi dei dati host/dispositivo ha rilevato l'esecuzione di più comandi di ricognizione correlati alla raccolta dei dettagli del sistema o dell'host eseguiti dagli utenti malintenzionati dopo la compromissione iniziale.

Tattiche MITRE: Individuazione, Raccolta

Gravità: Bassa

Download sospetto, quindi eseguire l'attività

(K8S. NODE_DownloadAndRunCombo) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un file viene scaricato e quindi eseguito nello stesso comando. Anche se questo non è sempre dannoso, si tratta di una tecnica molto comune usata dagli utenti malintenzionati per ottenere file dannosi nei computer vittima.

Tattiche MITRE: Esecuzione, CommandAndControl, Sfruttamento

Gravità: medio

Rilevato accesso al file kubelet kubeconfig

(K8S. NODE_KubeConfigAccess) ¹

Descrizione: l'analisi dei processi in esecuzione in un nodo del cluster Kubernetes ha rilevato l'accesso al file kubeconfig nell'host. Il file kubeconfig, normalmente usato dal processo Kubelet, contiene le credenziali per il server API del cluster Kubernetes. L'accesso a questo file è spesso associato agli utenti malintenzionati che tentano di accedere a tali credenziali o agli strumenti di analisi della sicurezza che controllano se il file è accessibile.

Tattiche MITRE: CredentialAccess

Gravità: medio

È stato rilevato l'accesso al servizio metadati cloud

(K8S. NODE_ImdsCall) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'accesso al servizio metadati cloud per l'acquisizione del token di identità. Il contenitore in genere non esegue tale operazione. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero usare questa tecnica per accedere alle risorse cloud dopo aver ottenuto l'accesso iniziale a un contenitore in esecuzione.

Tattiche MITRE: CredentialAccess

Gravità: medio

Rilevato agente MITRE Caldera

(K8S. NODE_MitreCalderaTools) ¹

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo sospetto. Questo è spesso associato all'agente MITRE 54ndc47, che potrebbe essere usato dannosamente per attaccare altri computer.

Tattiche MITRE: persistenza, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Gravità: medio

¹: Anteprima per i cluster non del servizio Azure Kubernetes: questo avviso è disponibile a livello generale per i cluster del servizio Azure Kubernetes, ma è in anteprima per altri ambienti, ad esempio Azure Arc, EKS e GKE.

²: Limitazioni nei cluster GKE: GKE usa un criterio di controllo Kubernetes che non supporta tutti i tipi di avviso. Di conseguenza, questo avviso di sicurezza, basato su eventi di controllo Kubernetes, non è supportato per i cluster GKE.

³: Questo avviso è supportato nei nodi/contenitori di Windows.

Avvisi per database SQL e Azure Synapse Analytics

Altri dettagli e note

Possibile vulnerabilità agli attacchi SQL injection

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Descrizione: un'applicazione ha generato un'istruzione SQL difettosa nel database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection. Ci sono due possibili motivi per un'istruzione non corretta. Un difetto nel codice dell'applicazione potrebbe aver creato l'istruzione SQL non corretta. Oppure il codice dell'applicazione o le stored procedure non hanno corretto l'input utente quando è stata creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL injection.

Tattiche MITRE: PreAttack

Gravità: medio

Tentativo di accesso da un'applicazione potenzialmente dannosa

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

Accesso da un data center di Azure insolito

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Descrizione: è stata apportata una modifica al modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da un data center di Azure insolito. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o servizio di Azure). In altri casi, l'avviso rileva un'azione dannosa (un utente malintenzionato che opera da una risorsa violata in Azure).

Tattiche MITRE: Probing

Gravità: Bassa

Accesso da una posizione insolita

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Descrizione: è stata apportata una modifica del modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da una posizione geografica insolita. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da un dominio non visualizzato in 60 giorni

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da un indirizzo IP sospetto

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.

Tattiche MITRE: PreAttack

Gravità: medio

Potenziale attacco SQL injection

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Descrizione: si è verificato un exploit attivo rispetto a un'applicazione identificata vulnerabile all'inserimento SQL. Ciò significa che un utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.

Tattiche MITRE: PreAttack

Gravità: alta

Sospetto attacco di forza bruta tramite un utente valido

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.

Tattiche MITRE: PreAttack

Gravità: alta

Sospetto attacco di forza bruta

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

Sospetto attacco di forza bruta riuscito

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

SQL Server ha potenzialmente generato una shell dei comandi di Windows e ha eseguito l'accesso a un'origine esterna anomala

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Descrizione: un'istruzione SQL sospetta potenzialmente ha generato una shell dei comandi di Windows con un'origine esterna che non è stata vista in precedenza. L'esecuzione di una shell che accede a un'origine esterna è un metodo usato dagli utenti malintenzionati per scaricare payload dannoso e quindi eseguirlo nel computer e comprometterlo. Ciò consente a un utente malintenzionato di eseguire attività dannose in direzione remota. In alternativa, è possibile accedere a un'origine esterna per esfiltrare i dati in una destinazione esterna.

Tattiche MITRE: Esecuzione

Gravità: alta

Payload insolito con parti offuscate è stato avviato da SQL Server

(SQL. VM_PotentialSqlInjection)

Descrizione: un utente ha avviato un nuovo payload usando il livello in SQL Server che comunica con il sistema operativo nascondendo il comando nella query SQL. Gli utenti malintenzionati in genere nascondono comandi con impatto monitorati comunemente come xp_cmdshell, sp_add_job e altri. Le tecniche di offuscamento abusano di comandi legittimi come la concatenazione di stringhe, il cast, la modifica di base e altri, per evitare il rilevamento delle espressioni regolari e compromettere la leggibilità dei log.

Tattiche MITRE: Esecuzione

Gravità: alta

Avvisi per database relazionali open source

Altri dettagli e note

Sospetto attacco di forza bruta tramite un utente valido

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.

Tattiche MITRE: PreAttack

Gravità: alta

Sospetto attacco di forza bruta riuscito

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

Sospetto attacco di forza bruta

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

Tentativo di accesso da un'applicazione potenzialmente dannosa

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.

Tattiche MITRE: PreAttack

Gravità: alta

Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da un dominio non visualizzato in 60 giorni

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da un data center di Azure insolito

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.

Tattiche MITRE: Probing

Gravità: Bassa

Accesso da un provider di servizi cloud insolito

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Descrizione: un utente connesso alla risorsa da un provider di servizi cloud non è stato visualizzato negli ultimi 60 giorni. È facile e veloce per gli attori delle minacce ottenere potenza di calcolo eliminabile per l'uso nelle campagne. Se si tratta di un comportamento previsto causato dall'adozione recente di un nuovo provider di servizi cloud, Defender per il cloud imparerà nel tempo e tenterà di prevenire futuri falsi positivi.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da una posizione insolita

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.

Tattiche MITRE: Sfruttamento

Gravità: medio

Accesso da un indirizzo IP sospetto

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.

Tattiche MITRE: PreAttack

Gravità: medio

Avvisi per Resource Manager

Nota

Gli avvisi con un'indicazione di accesso delegato vengono attivati a causa dell'attività dei provider di servizi di terze parti. Altre informazioni sulle indicazioni sulle attività dei provider di servizi.

Altri dettagli e note

Operazione di Azure Resource Manager da un indirizzo IP sospetto

(ARM_OperationFromSuspiciousIP)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce.

Tattiche MITRE: Esecuzione

Gravità: medio

Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto

(ARM_OperationFromSuspiciousProxyIP)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni

(ARM_MicroBurst.AzDomainInfo)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: Bassa

Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni

(ARM_MicroBurst.AzureDomainInfo)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: Bassa

Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale

(ARM_MicroBurst.AzVMBulkCMD)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione del codice in una macchina virtuale o un elenco di macchine virtuali. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire uno script in una macchina virtuale per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: Esecuzione

Gravità: alta

Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale

(RM_MicroBurst.AzureRmVMBulkCMD)

Descrizione: il toolkit di sfruttamento di MicroBurst è stato usato per eseguire codice nelle macchine virtuali. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di MicroBurst usato per estrarre le chiavi dagli insiemi di credenziali delle chiavi di Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi da uno o più insiemi di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento microBurst usato per estrarre le chiavi agli account di archiviazione

(ARM_MicroBurst.AZStorageKeysREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi per Archiviazione account.Description: a PowerShell script was run in your subscription and performed a suspicious pattern of extracting keys to Archiviazione Account/s. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili negli account Archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: Raccolta

Gravità: alta

Toolkit di sfruttamento di MicroBurst usato per estrarre segreti dagli insiemi di credenziali delle chiavi di Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione dei segreti da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare i segreti e usarli per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per elevare l'accesso da Azure AD ad Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per elevare l'accesso da AzureAD ad Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nel tenant.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per enumerare le risorse

(ARM_PowerZure.GetAzureTargets)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le risorse per conto di un account utente legittimo nell'organizzazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: Raccolta

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per enumerare contenitori di archiviazione, condivisioni e tabelle

(ARM_PowerZure.ShowStorageContent)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare condivisioni di archiviazione, tabelle e contenitori. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per eseguire un runbook nella sottoscrizione

(ARM_PowerZure.StartRunbook)

Descrizione: il toolkit di sfruttamento di PowerZure è stato usato per eseguire un runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per estrarre il contenuto dei Runbook

(ARM_PowerZure.AzureRunbookContent)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per estrarre il contenuto del runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: Raccolta

Gravità: alta

ANTEPRIMA - Rilevata esecuzione del toolkit Azurite

(ARM_Azurite)

Descrizione: è stata rilevata un'esecuzione nota del toolkit di ricognizione nell'ambiente in uso. Lo strumento Azurite può essere usato da un utente malintenzionato (o tester di penetrazione) per eseguire il mapping delle risorse delle sottoscrizioni e identificare le configurazioni non protette.

Tattiche MITRE: Raccolta

Gravità: alta

ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo

(ARM_SuspiciousComputeCreation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

ANTEPRIMA - Rilevato ripristino sospetto dell'insieme di credenziali delle chiavi

(Arm_Suspicious_Vault_Recovering)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di ripristino sospetta per una risorsa dell'insieme di credenziali delle chiavi eliminata temporaneamente. L'utente che recupera la risorsa è diverso dall'utente che l'ha eliminata. Si tratta di un'operazione estremamente sospetta perché l'utente raramente richiama tale operazione. Inoltre, l'utente ha eseguito l'accesso senza autenticazione a più fattori (MFA). Ciò potrebbe indicare che l'utente è compromesso e sta tentando di individuare segreti e chiavi per ottenere l'accesso alle risorse sensibili o per eseguire lo spostamento laterale attraverso la rete.

Tattiche MITRE: Movimento laterale

Gravità: media/alta

ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo

(ARM_UnusedAccountPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.CredentialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: accesso alle credenziali

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Raccolta dati" a rischio elevato rilevata da un'entità servizio

(ARM_AnomalousServiceOperation.Collection)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Raccolta

Gravità: medio

ANTEPRIMA - Chiamata sospetta di un'operazione di "evasione della difesa" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.DefenseEvasion)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Evasione della difesa

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Esecuzione" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Execution)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Esecuzione della difesa

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Impatto" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Impact)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.InitialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: accesso iniziale

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Accesso spostamento laterale" a rischio elevato rilevata da un'entità servizio

(ARM_AnomalousServiceOperation.LateralMovement)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Movimento laterale

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di "persistenza" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Persistence)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo

(ARM_UnusedAccountPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA - Rilevata sessione di gestione sospetta con PowerShell

(ARM_UnusedAppPowershellPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente PowerShell per gestire l'ambiente di sottoscrizione ora sta usando PowerShell, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA - Sessione di gestione sospetta con portale di Azure rilevata

(ARM_UnusedAppIbizaPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente il portale di Azure (Ibiza) per gestire l'ambiente di sottoscrizione (vale a dire che non ha usato portale di Azure per la gestione negli ultimi 45 giorni o una sottoscrizione che sta gestendo attivamente), sta ora usando il portale di Azure, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)

(ARM_PrivilegedRoleDefinitionCreation)

Descrizione: Microsoft Defender per Resource Manager ha rilevato una creazione sospetta della definizione di ruolo personalizzata con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento.

Tattiche MITRE: Escalation dei privilegi, Evasione della difesa

Gravità: informativo

Rilevata assegnazione di ruolo sospetta di Azure (anteprima)

(ARM_AnomalousRBACRoleAssignment)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo di Azure sospetta/eseguita usando PIM (Privileged Identity Management) nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per consentire agli amministratori di concedere agli amministratori l'accesso alle risorse di Azure. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare l'assegnazione di ruolo per inoltrare le autorizzazioni consentendo loro di avanzare l'attacco.

Tattiche MITRE: Movimento laterale, Evasione della difesa

Gravità: Basso (PIM) /Alto

Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.CredentialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Collection)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Raccolta

Gravità: medio

Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.DefenseEvasion)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Execution)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Esecuzione

Gravità: medio

Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Impact)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.InitialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.LateralMovement)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Movimento laterale

Gravità: medio

Operazione di accesso con privilegi elevati sospetti (anteprima)(ARM_AnomalousElevateAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'operazione sospetta di "Elevare l'accesso". L'attività viene considerata sospetta, in quanto questa entità raramente richiama tali operazioni. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare un'operazione "Elevate Access" per eseguire l'escalation dei privilegi per un utente compromesso.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Persistence)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Persistenza

Gravità: medio

Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.PrivilegeEscalation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

Utilizzo del toolkit di sfruttamento MicroBurst per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account

(ARM_MicroBurst.RunCodeOnBehalf)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire codice arbitrario per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: persistenza, accesso alle credenziali

Gravità: alta

Uso delle tecniche NetSPI per mantenere la persistenza nell'ambiente Azure

(ARM_NetSPI.MaintainPersistence)

Descrizione: uso della tecnica di persistenza NetSPI per creare un backdoor webhook e mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Utilizzo del toolkit di sfruttamento di PowerZure per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account

(ARM_PowerZure.RunCodeOnBehalf)

Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato il tentativo di eseguire codice o esfiltrare Automazione di Azure credenziali dell'account. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Utilizzo della funzione PowerZure per mantenere la persistenza nell'ambiente Azure

(ARM_PowerZure.MaintainPersistence)

Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato la creazione di un backdoor webhook per mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Rilevata assegnazione di ruolo classica sospetta (anteprima)

(ARM_AnomalousClassicRoleAssignment)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo classica sospetta nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per garantire la compatibilità con le versioni precedenti con i ruoli classici che non vengono più usati comunemente. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare tale assegnazione per concedere autorizzazioni a un altro account utente sotto il proprio controllo.

Tattiche MITRE: Movimento laterale, Evasione della difesa

Gravità: alta

Avvisi per Archiviazione di Azure

Altri dettagli e note

Accesso da un'applicazione sospetta

(Archiviazione. Blob_SuspiciousApp)

Descrizione: indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: Accesso iniziale

Gravità: alta/media

Accesso da un indirizzo IP sospetto

(Archiviazione. Blob_SuspiciousIp Archiviazione. Files_SuspiciousIp)

Descrizione: indica che l'accesso a questo account di archiviazione è stato eseguito correttamente da un indirizzo IP considerato sospetto. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: Pre-Attacco

Gravità: alta/media/bassa

Contenuto di phishing ospitato in un account di archiviazione

(Archiviazione. Blob_PhishingContent Archiviazione. Files_PhishingContent)

Descrizione: UN URL usato in un attacco di phishing punta all'account Archiviazione di Azure. Questo URL fa parte di un attacco di phishing inviato agli utenti di Microsoft 365. In genere, il contenuto ospitato in tali pagine è progettato per indurre i visitatori a immettere le loro credenziali aziendali o informazioni finanziarie in un modulo Web che sembra legittimo. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Raccolta

Gravità: alta

Archiviazione account identificato come origine per la distribuzione di malware

(Archiviazione. Files_WidespreadeAm)

Descrizione: gli avvisi antimalware indicano che uno o più file infetti vengono archiviati in una condivisione file di Azure montata in più macchine virtuali. Se gli utenti malintenzionati ottengono l'accesso a una macchina virtuale con una condivisione file di Azure montata, possono usarlo per diffondere malware in altre macchine virtuali che montano la stessa condivisione. Si applica a: File di Azure

Tattiche MITRE: Esecuzione

Gravità: medio

Il livello di accesso di un contenitore BLOB di archiviazione potenzialmente sensibile è stato modificato per consentire l'accesso pubblico non autenticato

(Archiviazione. Blob_OpenACL)

Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che potrebbe contenere dati sensibili, a livello di "contenitore", per consentire l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. In base all'analisi statistica, il contenitore BLOB viene contrassegnato come possibilmente contenente dati sensibili. Questa analisi suggerisce che i contenitori BLOB o gli account di archiviazione con nomi simili in genere non sono esposti all'accesso pubblico. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium).

Tattiche MITRE: Raccolta

Gravità: medio

Accesso autenticato da un nodo di uscita tor

(Archiviazione. Blob_TorAnomaly Archiviazione. Files_TorAnomaly)

Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: accesso iniziale/pre-attacco

Gravità: alta/media

Accesso da una posizione insolita a un account di archiviazione

(Archiviazione. Blob_GeoAnomaly Archiviazione. Files_GeoAnomaly)

Descrizione: indica che è stata apportata una modifica al modello di accesso a un account Archiviazione di Azure. Un utente ha effettuato l'accesso a questo account da un indirizzo IP considerato insolito se confrontato con l'attività recente. Un utente malintenzionato ha ottenuto l'accesso all'account oppure un utente legittimo si è connesso da una posizione geografica nuova o insolita. Un esempio di quest'ultimo caso è la manutenzione remota da una nuova applicazione o sviluppatore. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: Accesso iniziale

Gravità: alta/media/bassa

Accesso non autenticato insolito a un contenitore di archiviazione

(Storage.Blob_AnonymousAccessAnomaly)

Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure

Tattiche MITRE: Accesso iniziale

Gravità: alta/bassa

Potenziale malware caricato in un account di archiviazione

(Archiviazione. Blob_MalwareHashReputation Archiviazione. Files_MalwareHashReputation)

Descrizione: indica che un BLOB contenente potenziali malware è stato caricato in un contenitore BLOB o in una condivisione file in un account di archiviazione. Questo avviso è basato sull'analisi della reputazione hash che sfrutta la potenza dell'intelligence sulle minacce Microsoft, che include hash per virus, trojan, spyware e ransomware. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un utente malintenzionato o un caricamento involontario di un BLOB potenzialmente dannoso da parte di un utente legittimo. Si applica a: Archiviazione BLOB di Azure, File di Azure (solo per le transazioni tramite l'API REST) Altre informazioni sulle funzionalità di Intelligence sulle minacce di Microsoft.

Tattiche MITRE: Movimento laterale

Gravità: alta

Individuati correttamente i contenitori di archiviazione accessibili pubblicamente

(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery)

Descrizione: l'individuazione di contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Archiviazione Gen2

Tattiche MITRE: Raccolta

Gravità: alta/media

Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito

(Archiviazione. Blob_OpenContainersScanning.FailedAttempt)

Descrizione: nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Archiviazione Gen2

Tattiche MITRE: Raccolta

Gravità: alta/bassa

Ispezione dell'accesso insolita in un account di archiviazione

(Archiviazione. Blob_AccessInspectionAnomaly Archiviazione. Files_AccessInspectionAnomaly)

Descrizione: indica che le autorizzazioni di accesso di un account di archiviazione sono state esaminate in modo insolito, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Individuazione

Gravità: alta/media

Quantità insolita di dati estratti da un account di archiviazione

(Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnoma Archiviazione ly. Files_DataExfiltration.AmountOfDataAnomaly Archiviazione. Files_DataExfiltration.NumberOfFilesAnomaly)

Descrizione: indica che è stata estratta una quantità insolitamente elevata di dati rispetto alle attività recenti in questo contenitore di archiviazione. Una possibile causa è che un utente malintenzionato ha estratto una quantità elevata di dati da un contenitore contenente l'archiviazione BLOB. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: esfiltrazione

Gravità: alta/bassa

Un'applicazione insolita ha avuto accesso a un account di archiviazione

(Archiviazione. Blob_ApplicationAnomaly Archiviazione. Files_ApplicationAnomaly)

Descrizione: indica che un'applicazione insolita ha eseguito l'accesso a questo account di archiviazione. Una possibile causa è che un utente malintenzionato ha eseguito l'accesso all'account di archiviazione usando una nuova applicazione. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Esecuzione

Gravità: alta/media

Esplorazione insolita dei dati in un account di archiviazione

(Archiviazione. Blob_DataExplorationAnomaly Archiviazione. Files_DataExplorationAnomaly)

Descrizione: indica che i BLOB o i contenitori in un account di archiviazione sono stati enumerati in modo anomalo, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure

Tattiche MITRE: Esecuzione

Gravità: alta/media

Eliminazione insolita in un account di archiviazione

(Archiviazione. Blob_DeletionAnomaly Archiviazione. Files_DeletionAnomaly)

Descrizione: indica che una o più operazioni di eliminazione impreviste si sono verificate in un account di archiviazione, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eliminato i dati dall'account di archiviazione. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2

Tattiche MITRE: esfiltrazione

Gravità: alta/media

Accesso pubblico non autenticato insolito a un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_AnonymousAccessAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione senza autenticazione, usando un indirizzo IP esterno (pubblico). Questo accesso è sospetto perché il contenitore BLOB è aperto all'accesso pubblico ed è in genere accessibile solo con l'autenticazione da reti interne (indirizzi IP privati). Questo accesso potrebbe indicare che il livello di accesso del contenitore BLOB non è configurato correttamente e che un attore malintenzionato potrebbe aver sfruttato l'accesso pubblico. L'avviso di sicurezza include il contesto delle informazioni riservate individuate (tempo di analisi, etichetta di classificazione, tipi di informazioni e tipi di file). Altre informazioni sul rilevamento delle minacce per i dati sensibili. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Quantità insolita di dati estratti da un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha estratto una quantità insolitamente elevata di dati da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: esfiltrazione

Gravità: medio

Numero insolito di BLOB estratti da un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha estratto un numero insolitamente elevato di BLOB da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: esfiltrazione

Accesso da un'applicazione sospetta nota a un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_SuspiciousApp.Sensitive

Descrizione: l'avviso indica che un utente con un'applicazione sospetta nota ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione ed ha eseguito operazioni autenticate.
L'accesso potrebbe indicare che un attore di minaccia ha ottenuto le credenziali per accedere all'account di archiviazione usando un'applicazione sospetta nota. Tuttavia, l'accesso potrebbe anche indicare un test di penetrazione eseguito nell'organizzazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: alta

Accesso da un indirizzo IP sospetto noto a un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_SuspiciousIp.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione da un indirizzo IP sospetto noto associato a threat intel da Microsoft Threat Intelligence. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Pre-Attacco

Gravità: alta

Accesso da un nodo di uscita tor a un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_TorAnomaly.Sensitive

Descrizione: l'avviso indica che un utente con un indirizzo IP noto come nodo di uscita tor ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione con accesso autenticato. L'accesso autenticato da un nodo di uscita tor indica fortemente che l'attore sta tentando di rimanere anonimo per possibili finalità dannose. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Pre-Attacco

Gravità: alta

Accesso da una posizione insolita a un contenitore BLOB sensibile (anteprima)

Archiviazione. Blob_GeoAnomaly.Sensitive

Descrizione: l'avviso indica che un utente ha eseguito l'accesso al contenitore BLOB con dati sensibili nell'account di archiviazione con autenticazione da una posizione insolita. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Il livello di accesso di un contenitore BLOB di archiviazione sensibile è stato modificato per consentire l'accesso pubblico non autenticato (anteprima)

Archiviazione. Blob_OpenACL.Sensitive

Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che contiene dati sensibili, al livello "Contenitore", che consente l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. La modifica del livello di accesso potrebbe compromettere la sicurezza dei dati. È consigliabile intervenire immediatamente per proteggere i dati e impedire l'accesso non autorizzato nel caso in cui venga attivato questo avviso. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.

Tattiche MITRE: Raccolta

Gravità: alta

Accesso esterno sospetto a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)

Archiviazione. Blob_AccountSas.InternalSasUsedExternally

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. Questo tipo di accesso è considerato sospetto perché il token di firma di accesso condiviso viene in genere usato solo nelle reti interne (da indirizzi IP privati). L'attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente trapelato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: medio

Operazione esterna sospetta a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)

Archiviazione. Blob_AccountSas.UnusualOperationFromExternalIp

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. L'accesso è considerato sospetto perché le operazioni richiamate all'esterno della rete (non da indirizzi IP privati) con questo token di firma di accesso condiviso vengono in genere usate per un set specifico di operazioni di lettura/scrittura/eliminazione, ma si sono verificate altre operazioni che rendono sospetto questo accesso. Questa attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o è stato accidentalmente rilevato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: medio

Token di firma di accesso condiviso insolito è stato usato per accedere a un account di archiviazione di Azure da un indirizzo IP pubblico (anteprima)

Archiviazione. Blob_AccountSas.UnusualExternalAccess

Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso dell'account. L'accesso è estremamente insolito e considerato sospetto, poiché l'accesso all'account di archiviazione usando i token di firma di accesso condiviso in genere proviene solo da indirizzi IP interni (privati). È possibile che un token di firma di accesso condiviso sia stato trapelato o generato da un attore malintenzionato dall'interno dell'organizzazione o esternamente per ottenere l'accesso a questo account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.

Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto

Gravità: Bassa

File dannoso caricato nell'account di archiviazione

Archiviazione. Blob_AM. MalwareFound

Descrizione: l'avviso indica che un BLOB dannoso è stato caricato in un account di archiviazione. Questo avviso di sicurezza viene generato dalla funzionalità Analisi malware in Defender per Archiviazione. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un attore di minaccia o un caricamento involontario di un file dannoso da parte di un utente legittimo. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.

Tattiche MITRE: Movimento laterale

Gravità: alta

IL BLOB dannoso è stato scaricato da un account di archiviazione (anteprima)

Archiviazione. Blob_MalwareDownload

Descrizione: l'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o a un download involontario del malware da parte di utenti o applicazioni legittimi. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.

Tattiche MITRE: Movimento laterale

Gravità: alta, se Eicar - bassa

Avvisi per Azure Cosmos DB

Altri dettagli e note

Accesso da un nodo di uscita tor

(CosmosDB_TorAnomaly)

Descrizione: l'accesso a questo account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP noto come nodo di uscita attivo di Tor, un proxy di anonimizzazione. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità.

Tattiche MITRE: Accesso iniziale

Gravità: alta/media

Accesso da un indirizzo IP sospetto

(CosmosDB_SuspiciousIp)

Descrizione: l'accesso all'account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP identificato come minaccia da Microsoft Threat Intelligence.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Accesso da una posizione insolita

(CosmosDB_GeoAnomaly)

Descrizione: questo account Azure Cosmos DB è stato eseguito dall'accesso da una posizione considerata non familiare, in base al modello di accesso consueto.

Un attore di minaccia ha ottenuto l'accesso all'account o un utente legittimo si è connesso da una posizione geografica nuova o insolita

Tattiche MITRE: Accesso iniziale

Gravità: Bassa

Volume insolito dei dati estratti

(CosmosDB_DataExfiltrationAnomaly)

Descrizione: un volume insolitamente elevato di dati è stato estratto da questo account Azure Cosmos DB. Ciò potrebbe indicare che un attore di minaccia esfiltra i dati.

Tattiche MITRE: esfiltrazione

Gravità: medio

Estrazione delle chiavi degli account Azure Cosmos DB tramite uno script potenzialmente dannoso

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di operazioni di elenco delle chiavi per ottenere le chiavi degli account Azure Cosmos DB nella sottoscrizione. Gli attori delle minacce usano script automatizzati, ad esempio Microburst, per elencare le chiavi e trovare gli account Azure Cosmos DB a cui possono accedere.

Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere gli account Azure Cosmos DB nell'ambiente per finalità dannose.

In alternativa, un insider malintenzionato potrebbe tentare di accedere ai dati sensibili ed eseguire lo spostamento laterale.

Tattiche MITRE: Raccolta

Gravità: medio

Estrazione sospetta delle chiavi dell'account Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Descrizione: un'origine sospetta estratta dalle chiavi di accesso dell'account Azure Cosmos DB dalla sottoscrizione. Se questa origine non è una fonte legittima, potrebbe trattarsi di un problema ad alto impatto. La chiave di accesso estratta fornisce il controllo completo sui database associati e sui dati archiviati all'interno. Per informazioni sul motivo per cui l'origine è stata contrassegnata come sospetta, vedere i dettagli di ogni avviso specifico.

Tattiche MITRE: Accesso alle credenziali

Gravità: alta

SQL injection: potenziale esfiltrazione di dati

(CosmosDB_SqlInjection.DataExfiltration)

Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.

L'istruzione inserita potrebbe avere avuto esito positivo nell'esfiltrazione dei dati a cui l'attore di minaccia non è autorizzato ad accedere.

A causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti sugli account Azure Cosmos DB non possono funzionare. Tuttavia, la variazione usata in questo attacco potrebbe funzionare e gli attori delle minacce possono esfiltrare i dati.

Tattiche MITRE: esfiltrazione

Gravità: medio

SQL injection: tentativo di fuzzing

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.

Analogamente ad altri attacchi SQL injection noti, questo attacco non riuscirà a compromettere l'account Azure Cosmos DB.

Tuttavia, è un'indicazione che un attore di minaccia sta tentando di attaccare le risorse in questo account e l'applicazione potrebbe essere compromessa.

Alcuni attacchi SQL injection possono avere esito positivo e essere usati per esfiltrare i dati. Ciò significa che se l'utente malintenzionato continua a eseguire tentativi di inserimento SQL, potrebbe essere in grado di compromettere l'account Azure Cosmos DB ed esfiltrare i dati.

È possibile evitare questa minaccia usando query con parametri.

Tattiche MITRE: Pre-attacco

Gravità: Bassa

Avvisi per il livello di rete di Azure

Altri dettagli e note

Rilevata comunicazione di rete con un computer dannoso

(Network_CommunicationWithC2)

Descrizione: l'analisi del traffico di rete indica che il computer (IP %{vittima IP}) ha comunicato con ciò che è probabilmente un centro di comando e controllo. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) hanno comunicato con un possibile centro di comando e controllo.

Tattiche MITRE: Comando e controllo

Gravità: medio

Rilevato possibile computer compromesso

(Network_ResourceIpIndicatedAsMalicious)

Descrizione: Intelligence per le minacce indica che il computer (all'indirizzo IP %{IP computer}) potrebbe essere stato compromesso da un malware di tipo Conficker. Conficker è worm informatico destinato al sistema operativo Microsoft Windows rilevato per la prima volta nel novembre 2008. Conficker ha infettato milioni di computer governativi, aziendali e domestici in oltre 200 paesi, diventando la più grande infezione da worm informatico dal worm Welchia del 2003.

Tattiche MITRE: Comando e controllo

Gravità: medio

Rilevati possibili tentativi di attacco di forza bruta da %{nome servizio}

(Generic_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione in ingresso %{Nome servizio} a %{IP vittima}, associata alla risorsa %{host compromesso} da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{porta vittima}. L'attività è coerente con i tentativi di attacco di forza bruta ai server %{nome servizio}.

Tattiche MITRE: PreAttack

Gravità: informativo

Rilevati possibili tentativi di attacco di forza bruta a SQL in ingresso

(SQL_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione SQL in ingresso a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{numero di porta} (%{tipo di servizio SQL}). L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL.

Tattiche MITRE: PreAttack

Gravità: medio

Rilevato possibile attacco Denial of Service in uscita

(DDOS)

Descrizione: l'analisi del traffico di rete ha rilevato un'attività in uscita anomale proveniente da %{host compromesso}, una risorsa nella distribuzione. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora impegnata in attacchi Denial of Service contro gli endpoint esterni. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) sono state compromesse. In base al volume delle connessioni, si ritiene che gli IP seguenti possano essere gli obiettivi dell'attacco DOS: %{possibili vittime}. Si noti che è possibile che la comunicazione ad alcuni di questi IP sia legittima.

Tattiche MITRE: Impatto

Gravità: medio

Attività di rete RDP in ingresso sospetta da più origini

(RDP_Incoming_BF_ManyToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP da più host (Botnet).

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete RDP in ingresso sospetta

(RDP_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomale a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete SSH in ingresso sospetta da più origini

(SSH_Incoming_BF_ManyToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associate alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint SSH da più host (Botnet)

Tattiche MITRE: PreAttack

Gravità: medio

Attività di rete SSH in ingresso sospetta

(SSH_Incoming_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associato alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta al punto finale SSH

Tattiche MITRE: PreAttack

Gravità: medio

Rilevato traffico in uscita da %{protocollo attaccato} sospetto

(PortScanning)

Descrizione: l'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso} alla porta di destinazione %{Porta più comune}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Questo comportamento potrebbe indicare che la risorsa partecipa a %{Protocollo attaccato} tentativi di forza bruta o attacchi di sweep delle porte.

Tattiche MITRE: Individuazione

Gravità: medio

Attività di rete RDP in uscita sospetta verso più destinazioni

(RDP_Outgoing_BF_OneToMany)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala a più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che il computer si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Individuazione

Gravità: alta

Attività di rete RDP in uscita sospetta

(RDP_Outgoing_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomale a %{IP vittima} proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che il computer è stato compromesso ed è ora usato per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Movimento laterale

Gravità: alta

Attività di rete SSH in uscita sospetta verso più destinazioni

(SSH_Outgoing_BF_OneToMany)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale verso più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che la risorsa si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Individuazione

Gravità: medio

Attività di rete SSH in uscita sospetta

(SSH_Outgoing_BF_OneToOne)

Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale a %{IP vittima} provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.

Tattiche MITRE: Movimento laterale

Gravità: medio

Rilevato traffico da indirizzi IP per cui è consigliato il blocco

(Network_TrafficFromUnrecommendedIP)

Descrizione: Microsoft Defender per il cloud rilevato traffico in ingresso da indirizzi IP che è consigliabile bloccare. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud.

Tattiche MITRE: Probing

Gravità: informativo

Avvisi per Azure Key Vault

Altri dettagli e note

Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi

(KV_SuspiciousIPAccess)

Descrizione: un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò potrebbe indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Accesso da un nodo di uscita TOR a un insieme di credenziali delle chiavi

(KV_TORAccess)

Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da un nodo di uscita TOR noto. Potrebbe indicare che un utente malintenzionato ha eseguito l'accesso all'insieme di credenziali delle chiavi e usa la rete TOR per nascondere la sua posizione di origine. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Volume elevato di operazioni in un insieme di credenziali delle chiavi

(KV_OperationVolumeAnomaly)

Descrizione: un numero anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Modifica dei criteri e query dei segreti sospette in un insieme di credenziali delle chiavi

(KV_PutGetAnomaly)

Descrizione: un utente o un'entità servizio ha eseguito un'operazione di modifica dei criteri Put dell'insieme di credenziali anomale seguita da una o più operazioni Get segrete. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha aggiornato i criteri dell'insieme di credenziali delle chiavi per accedere ai segreti precedentemente inaccessibili. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Elenco e query dei segreti sospette in un insieme di credenziali delle chiavi

(KV_ListGetAnomaly)

Descrizione: un utente o un'entità servizio ha eseguito un'operazione di elenco segreti anomale seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata ed è in genere associato al dump di segreti. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minacce ha ottenuto l'accesso all'insieme di credenziali delle chiavi e sta tentando di individuare segreti che possono essere usati per spostarsi in modo successivo attraverso la rete e/o ottenere l'accesso alle risorse sensibili. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato

(KV_AccountVolumeAccessDeniedAnomaly)

Descrizione: un utente o un'entità servizio ha tentato di accedere a un volume anomalo di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Individuazione

Gravità: Bassa

Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi

(KV_UserAccessDeniedAnomaly)

Descrizione: un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso.

Tattiche MITRE: accesso iniziale, individuazione

Gravità: Bassa

Un'applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi

(KV_AppAnomaly)

Descrizione: un insieme di credenziali delle chiavi è stato accessibile da un'entità servizio che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Modello di operazione insolito in un insieme di credenziali delle chiavi

(KV_OperationPatternAnomaly)

Descrizione: un modello anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Un utente insolito ha avuto accesso a un insieme di credenziali delle chiavi

(KV_UserAnomaly)

Descrizione: accesso a un insieme di credenziali delle chiavi da parte di un utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Una coppia utente-applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi

(KV_UserAppAnomaly)

Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da parte di una coppia di entità servizio utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Un utente ha avuto accesso a un volume elevato di insiemi di credenziali delle chiavi

(KV_AccountVolumeAnomaly)

Descrizione: un utente o un'entità servizio ha eseguito l'accesso a un volume anomalo di insiemi di credenziali delle chiavi. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso a più insiemi di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di essi. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi

(KV_SuspiciousIPAccessDenied)

Descrizione: un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: Bassa

Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno)

(KV_UnusualAccessSuspiciousIP)

Descrizione: un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Avvisi per Protezione DDoS di Azure

Altri dettagli e note

Rilevato attacco DDoS per IP pubblico

(NETWORK_DDOS_DETECTED)

Descrizione: Attacco DDoS rilevato per l'indirizzo IP pubblico (indirizzo IP) e risolto.

Tattiche MITRE: Probing

Gravità: alta

Mitigato attacco DDoS per IP pubblico

(NETWORK_DDOS_MITIGATED)

Descrizione: attacco DDoS mitigato per l'indirizzo IP pubblico (indirizzo IP).

Tattiche MITRE: Probing

Gravità: Bassa

Avvisi per Defender per le API

Picco sospetto a livello di popolamento nel traffico DELL'API verso un endpoint API

(API_PopulationSpikeInAPITraffic)

Descrizione: è stato rilevato un picco sospetto nel traffico dell'API in uno degli endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico api di routine tra tutti gli INDIRIZZI IP e l'endpoint, con la baseline specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.

Tattiche MITRE: Impatto

Gravità: medio

Picco sospetto nel traffico dell'API da un singolo indirizzo IP a un endpoint API

(API_SpikeInAPITraffic)

Descrizione: è stato rilevato un picco sospetto nel traffico dell'API da un IP client all'endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico dell'API di routine verso l'endpoint proveniente da un indirizzo IP specifico all'endpoint. Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.

Tattiche MITRE: Impatto

Gravità: medio

Payload di risposta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API

(API_SpikeInPayload)

Descrizione: è stato osservato un picco sospetto nelle dimensioni del payload della risposta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta le dimensioni tipiche del payload della risposta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni del payload della risposta API sono state deviate in modo significativo rispetto alla baseline cronologica.

Tattiche MITRE: accesso iniziale

Gravità: medio

Corpo della richiesta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API

(API_SpikeInPayload)

Descrizione: è stato osservato un picco sospetto nelle dimensioni del corpo della richiesta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta la tipica dimensione del corpo della richiesta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni di una richiesta API sono state deviate in modo significativo rispetto alla baseline cronologica.

Tattiche MITRE: accesso iniziale

Gravità: medio

(Anteprima) Picco sospetto di latenza per il traffico tra un singolo indirizzo IP e un endpoint API

(API_SpikeInLatency)

Descrizione: è stato osservato un picco sospetto di latenza per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta la latenza del traffico api di routine tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché una latenza di chiamata API è stata deviata in modo significativo dalla baseline cronologica.

Tattiche MITRE: accesso iniziale

Gravità: medio

Le richieste API spruzzano da un singolo indirizzo IP a un numero insolitamente elevato di endpoint API distinti

(API_SprayInRequests)

Descrizione: è stato osservato un singolo INDIRIZZO IP che effettua chiamate API a un numero insolitamente elevato di endpoint distinti. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per le API apprende una baseline che rappresenta il numero tipico di endpoint distinti chiamati da un singolo IP in finestre di 20 minuti. L'avviso è stato attivato perché il comportamento di un singolo IP è stato deviato in modo significativo dalla baseline cronologica.

Tattiche MITRE: Individuazione

Gravità: medio

Enumerazione dei parametri in un endpoint API

(API_ParameterEnumeration)

Descrizione: è stato osservato un singolo INDIRIZZO IP che enumera i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati da un singolo IP durante l'accesso a questo endpoint in finestre di 20 minuti. L'avviso è stato attivato perché un singolo IP client ha eseguito di recente l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametri distinti.

Tattiche MITRE: accesso iniziale

Gravità: medio

Enumerazione dei parametri distribuiti in un endpoint API

(API_DistributedParameterEnumeration)

Descrizione: il popolamento utenti aggregato (tutti gli INDIRIZZI IP) è stato osservato enumerando i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati dal popolamento dell'utente (tutti gli INDIRIZZI IP) durante l'accesso a un endpoint in finestre di 20 minuti. L'avviso è stato attivato perché l'utente ha recentemente eseguito l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametro distinti.

Tattiche MITRE: accesso iniziale

Gravità: medio

Valori dei parametri con tipi di dati anomali in una chiamata API

(API_UnseenParamType)

Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API e usa i valori dei parametri di un tipo di dati a bassa probabilità , ad esempio stringa, integer e così via. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende i tipi di dati previsti per ogni parametro API. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un tipo di dati di probabilità precedentemente basso come input di parametro.

Tattiche MITRE: Impatto

Gravità: medio

Parametro precedentemente non visibile usato in una chiamata API

(API_UnseenParam)

Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API usando un parametro precedentemente non visualizzato o fuori limite nella richiesta. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende un set di parametri previsti associati alle chiamate a un endpoint. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un parametro non visualizzato in precedenza.

Tattiche MITRE: Impatto

Gravità: medio

Accesso da un nodo di uscita tor a un endpoint API

(API_AccessFromTorExitNode)

Descrizione: un indirizzo IP dalla rete Tor ha eseguito l'accesso a uno degli endpoint API. Tor è una rete che consente agli utenti di accedere a Internet mantenendo nascosto il proprio IP reale. Anche se esistono usi legittimi, viene spesso usato dagli utenti malintenzionati per nascondere la propria identità quando sono destinati ai sistemi online delle persone.

Tattiche MITRE: Pre-attacco

Gravità: medio

Accesso all'endpoint API da un indirizzo IP sospetto

(API_AccessFromSuspiciousIP)

Descrizione: un indirizzo IP che accede a uno degli endpoint API è stato identificato da Microsoft Threat Intelligence come una probabilità elevata di essere una minaccia. Durante l'osservazione del traffico Internet dannoso, questo IP è venuto come coinvolto nell'attaccare altri obiettivi online.

Tattiche MITRE: Pre-attacco

Gravità: alta

Rilevato agente utente sospetto

(API_AccessFromSuspiciousUserAgent)

Descrizione: l'agente utente di una richiesta che accede a uno degli endpoint API contiene valori anomali indicativi di un tentativo di esecuzione del codice remoto. Ciò non significa che uno degli endpoint API è stato violato, ma suggerisce che è in corso un tentativo di attacco.

Tattiche MITRE: Esecuzione

Gravità: medio

Avvisi per i carichi di lavoro di intelligenza artificiale

Rilevati tentativi di furto di credenziali in una distribuzione del modello di intelligenza artificiale open di Azure

Descrizione: l'avviso di furto delle credenziali è progettato per notificare al SOC quando le credenziali vengono rilevate all'interno delle risposte del modello GenAI a una richiesta dell'utente, che indica una potenziale violazione. Questo avviso è fondamentale per rilevare i casi di perdita o furto delle credenziali, che sono univoci per generare l'intelligenza artificiale e possono avere gravi conseguenze in caso di esito positivo.

Tattiche MITRE: Accesso alle credenziali, Spostamento laterale, Esfiltrazione

Gravità: medio

Un tentativo di jailbreak in una distribuzione del modello di Azure Open AI è stato bloccato da Prompt Shields

Descrizione: l'avviso Jailbreak, eseguito usando una tecnica di inserimento prompt diretto, è progettato per notificare al SOC c'è stato un tentativo di manipolare la richiesta di sistema di ignorare le misure di sicurezza generative dell'IA, potenzialmente accedere a dati sensibili o funzioni privilegiate. Ha indicato che tali tentativi sono stati bloccati da Azure Responsible AI Content Filtering (AKA Prompt Shields), garantendo l'integrità delle risorse di intelligenza artificiale e la sicurezza dei dati.

Tattiche MITRE: Escalation dei privilegi, Evasione della difesa

Gravità: medio

È stato rilevato un tentativo di jailbreak su una distribuzione di un modello di Azure Open AI da parte di Prompt Shields

Descrizione: l'avviso Jailbreak, eseguito usando una tecnica di inserimento prompt diretto, è progettato per notificare al SOC c'è stato un tentativo di manipolare la richiesta di sistema di ignorare le misure di sicurezza generative dell'IA, potenzialmente accedere a dati sensibili o funzioni privilegiate. Ha indicato che tali tentativi sono stati rilevati da Azure Responsible AI Content Filtering (AKA Prompt Shields), ma non sono stati bloccati a causa delle impostazioni di filtro del contenuto o a causa di bassa attendibilità.

Tattiche MITRE: Escalation dei privilegi, Evasione della difesa

Gravità: medio

Esposizione dei dati sensibili rilevata nella distribuzione del modello di intelligenza artificiale aperta di Azure

Descrizione: l'avviso di perdita di dati sensibili è progettato per notificare al SOC che un modello GenAI ha risposto a una richiesta dell'utente con informazioni riservate, potenzialmente a causa di un utente malintenzionato che tenta di ignorare le misure di sicurezza dell'intelligenza artificiale generative per accedere a dati sensibili non autorizzati.

Tattiche MITRE: Raccolta

Gravità: medio

Avvisi di Defender per contenitori deprecati

Gli elenchi seguenti includono gli avvisi di sicurezza di Defender per contenitori deprecati.

Rilevata manipolazione del firewall host

(K8S. NODE_FirewallDisabled)

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile manipolazione del firewall sull'host. Spesso gli utenti malintenzionati lo disabilitano per sottrarre dati.

Tattiche MITRE: DefenseEvasion, Esfiltration

Gravità: medio

Uso sospetto di DNS su HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'uso di una chiamata DNS su HTTPS in modo non comune. Questa tecnica viene usata dagli utenti malintenzionati per nascondere le chiamate a siti sospetti o dannosi.

Tattiche MITRE: DefenseEvasion, Esfiltration

Gravità: medio

È stata rilevata una possibile connessione a una posizione dannosa.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una connessione a una posizione segnalata come dannosa o insolita. Si tratta di un indicatore che potrebbe essersi verificato un compromesso.

Tattiche MITRE: InitialAccess

Gravità: medio

Attività di data mining di valuta digitale

(K8S. NODE_CurrencyMining)

Descrizione: analisi delle transazioni DNS rilevate attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.

Tattiche MITRE: esfiltrazione

Gravità: Bassa

Avvisi di Defender per server Linux deprecati

VM_AbnormalDaemonTermination

Nome visualizzato avviso: Terminazione anomala

Gravità: Bassa

VM_BinaryGeneratedFromCommandLine

Nome visualizzato avviso: rilevato binario sospetto

Gravità: medio

VM_CommandlineSuspectDomain sospetto

Nome visualizzato avviso: informazioni di riferimento sul nome di dominio

Gravità: Bassa

VM_CommonBot

Nome visualizzato avviso: comportamento simile ai bot Linux comuni rilevati

Gravità: medio

VM_CompCommonBots

Nome visualizzato avviso: comandi simili ai bot Linux comuni rilevati

Gravità: medio

VM_CompSuspiciousScript

Nome visualizzato avviso: Rilevato script della shell

Gravità: medio

VM_CompTestRule

Nome visualizzato avviso: avviso di test analitico composito

Gravità: Bassa

VM_CronJobAccess

Nome visualizzato avviso: modifica delle attività pianificate rilevate

Gravità: informativo

VM_CryptoCoinMinerArtifacts

Nome visualizzato avviso: processo associato al data mining di valuta digitale rilevato

Gravità: medio

VM_CryptoCoinMinerDownload

Nome visualizzato avviso: è stato rilevato un possibile download di Cryptocoinminer

Gravità: medio

VM_CryptoCoinMinerExecution

Nome visualizzato avviso: Potenziale minatore di moneta crittografica avviato

Gravità: medio

VM_DataEgressArtifacts

Nome visualizzato avviso: rilevata possibile esfiltrazione di dati

Gravità: medio

VM_DigitalCurrencyMining

Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale

Gravità: alta

VM_DownloadAndRunCombo

Nome visualizzato avviso: download sospetto e quindi attività di esecuzione

Gravità: medio

VM_EICAR

Nome visualizzato avviso: Microsoft Defender per il cloud avviso di test (non una minaccia)

Gravità: alta

VM_ExecuteHiddenFile

Nome visualizzato avviso: esecuzione del file nascosto

Gravità: informativo

VM_ExploitAttempt

Nome visualizzato avviso: possibile tentativo di sfruttamento della riga di comando

Gravità: medio

VM_ExposedDocker

Nome visualizzato avviso: daemon Docker esposto nel socket TCP

Gravità: medio

VM_FairwareMalware

Nome visualizzato avviso: comportamento simile al ransomware Fairware rilevato

Gravità: medio

VM_FirewallDisabled

Nome visualizzato avviso: modifica del firewall host rilevato

Gravità: medio

VM_HadoopYarnExploit

Nome visualizzato avviso: possibile sfruttamento di Hadoop Yarn

Gravità: medio

VM_HistoryFileCleared

Nome visualizzato avviso: un file di cronologia è stato cancellato

Gravità: medio

VM_KnownLinuxAttackTool

Nome visualizzato avviso: rilevato possibile strumento di attacco

Gravità: medio

VM_KnownLinuxCredentialAccessTool

Nome visualizzato avviso: rilevato possibile strumento di accesso alle credenziali

Gravità: medio

VM_KnownLinuxDDoSToolkit

Nome visualizzato avviso: indicatori associati al toolkit DDOS rilevato

Gravità: medio

VM_KnownLinuxScreenshotTool

Nome visualizzato avviso: screenshot acquisito nell'host

Gravità: Bassa

VM_LinuxBackdoorArtifact

Nome visualizzato avviso: è stato rilevato un possibile backdoor

Gravità: medio

VM_LinuxReconnaissance

Nome visualizzato avviso: rilevata ricognizione host locale

Gravità: medio

VM_MismatchedScriptFeatures

Nome visualizzato avviso: rilevata mancata corrispondenza dell'estensione script

Gravità: medio

VM_MitreCalderaTools

Nome visualizzato avviso: rilevato agente MITRE Automaticamente

Gravità: medio

VM_NewSingleUserModeStartupScript

Nome visualizzato avviso: tentativo di persistenza rilevato

Gravità: medio

VM_NewSudoerAccount

Nome visualizzato avviso: account aggiunto al gruppo sudo

Gravità: Bassa

VM_OverridingCommonFiles

Nome visualizzato avviso: potenziale override dei file comuni

Gravità: medio

VM_PrivilegedContainerArtifacts

Nome visualizzato avviso: contenitore in esecuzione in modalità con privilegi

Gravità: Bassa

VM_PrivilegedExecutionInContainer

Nome visualizzato avviso: comando all'interno di un contenitore in esecuzione con privilegi elevati

Gravità: Bassa

VM_ReadingHistoryFile

Nome visualizzato avviso: accesso insolito al file di cronologia bash

Gravità: informativo

VM_ReverseShell

Nome visualizzato avviso: rilevata potenziale shell inversa

Gravità: medio

VM_SshKeyAccess

Nome visualizzato avviso: processo visto l'accesso al file di chiavi autorizzate SSH in modo insolito

Gravità: Bassa

VM_SshKeyAddition

Nome visualizzato avviso: nuova chiave SSH aggiunta

Gravità: Bassa

VM_SuspectCompilation

Nome visualizzato avviso: rilevata compilazione sospetta

Gravità: medio

VM_Suspect Connessione ion

Nome visualizzato avviso: rilevato un tentativo di connessione non comune

Gravità: medio

VM_SuspectDownload

Nome visualizzato avviso: download di file rilevati da un'origine dannosa nota

Gravità: medio

VM_SuspectDownloadArtifacts

Nome visualizzato avviso: rilevato download di file sospetti

Gravità: Bassa

VM_SuspectExecutablePath

Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta

Gravità: medio

VM_SuspectHtaccessFileAccess

Nome visualizzato avviso: è stato rilevato l'accesso al file htaccess

Gravità: medio

VM_SuspectInitialShellCommand

Nome visualizzato avviso: primo comando sospetto nella shell

Gravità: Bassa

VM_SuspectMixedCaseText

Nome visualizzato avviso: rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando

Gravità: medio

VM_SuspectNetwork Connessione

Nome visualizzato avviso: connessione di rete sospetta

Gravità: informativo

VM_SuspectNohup

Nome visualizzato avviso: rilevato uso sospetto del comando nohup

Gravità: medio

VM_SuspectPasswordChange

Nome visualizzato avviso: possibile modifica della password tramite il metodo crypt rilevato

Gravità: medio

VM_SuspectPasswordFileAccess

Nome visualizzato avviso: accesso sospetto alle password

Gravità: informativo

VM_SuspectPhp

Nome visualizzato avviso: rilevata esecuzione PHP sospetta

Gravità: medio

VM_SuspectPortForwarding

Nome visualizzato avviso: potenziale port forwarding all'indirizzo IP esterno

Gravità: medio

VM_SuspectProcessAccountPrivilegeCombo

Nome visualizzato avviso: il processo in esecuzione in un account del servizio è diventato radice in modo imprevisto

Gravità: medio

VM_SuspectProcessTermination

Nome visualizzato avviso: è stata rilevata la terminazione del processo correlata alla sicurezza

Gravità: Bassa

VM_SuspectUserAddition

Nome visualizzato avviso: rilevato uso sospetto del comando useradd

Gravità: medio

VM_SuspiciousCommandLineExecution

Nome visualizzato avviso: esecuzione sospetta dei comandi

Gravità: alta

VM_SuspiciousDNSOverHttps

Nome visualizzato avviso: uso sospetto di DNS su HTTPS

Gravità: medio

VM_SystemLogRemoval

Nome visualizzato avviso: possibile attività di manomissione del log rilevata

Gravità: medio

VM_ThreatIntelCommandLineSuspectDomain

Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa

Gravità: medio

VM_ThreatIntelSuspectLogon

Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso

Gravità: alta

VM_TimerServiceDisabled

Nome visualizzato avviso: tentativo di arrestare il servizio apt-daily-upgrade.timer rilevato

Gravità: informativo

VM_TimestampTampering

Nome visualizzato avviso: modifica del timestamp del file sospetta

Gravità: Bassa

VM_Webshell

Nome visualizzato avviso: rilevata possibile shell Web dannosa

Gravità: medio

Avvisi di Windows di Defender per server deprecati

SCUBA_MULTIPLEACCOUNTCREATE

Nome visualizzato avviso: creazione sospetta di account in più host

Gravità: medio

SCUBA_PSINSIGHT_CONTEXT

Nome visualizzato avviso: rilevato uso sospetto di PowerShell

Gravità: informativo

SCUBA_RULE_AddGuestTo Amministrazione istrator

Nome visualizzato avviso: aggiunta dell'account guest al gruppo local Amministrazione istrators

Gravità: medio

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Nome visualizzato avviso: Apache_Tomcat_executing_suspicious_commands

Gravità: medio

SCUBA_RULE_KnownBruteForcingTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_KnownCollectionTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_KnownDefenseEvasionTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_KnownExecutionTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_KnownPassTheHashTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_KnownSpammingTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: medio

SCUBA_RULE_Lowering_Security_Impostazioni

Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici

Gravità: medio

SCUBA_RULE_OtherKnownHackerTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

SCUBA_RULE_RDP_session_hijacking_via_tscon

Nome visualizzato avviso: livello di integrità sospetto indicativo del hijack RDP

Gravità: medio

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Nome visualizzato avviso: Sospetto installazione del servizio

Gravità: medio

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Nome visualizzato avviso: rilevata eliminazione della notifica legale visualizzata agli utenti all'accesso

Gravità: Bassa

SCUBA_RULE_WDigest_Enabling

Nome visualizzato avviso: rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential

Gravità: medio

VM.Windows_ApplockerBypass

Nome visualizzato avviso: potenziale tentativo di ignorare AppLocker rilevato

Gravità: alta

VM.Windows_BariumKnownSuspiciousProcessExecution

Nome visualizzato avviso: rilevata creazione di file sospetti

Gravità: alta

VM.Windows_Base64EncodedExecutableInCommandLineParams

Nome visualizzato avviso: rilevato eseguibile codificato nei dati della riga di comando

Gravità: alta

VM.Windows_CalcsCommandLineUse

Nome visualizzato avviso: rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema

Gravità: medio

VM.Windows_CommandLineStartingAllExe

Nome visualizzato avviso: rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory

Gravità: medio

VM.Windows_DisablingAndDeletingIISLogFiles

Nome visualizzato avviso: azioni rilevate che indicano la disabilitazione e l'eliminazione di file di log IIS

Gravità: medio

VM.Windows_DownloadUsingCertutil

Nome visualizzato avviso: download sospetto con Certutil rilevato

Gravità: medio

VM.Windows_EchoOverPipeOnLocalhost

Nome visualizzato avviso: comunicazioni named pipe sospette rilevate

Gravità: alta

VM.Windows_EchoToConstructPowerShellScript

Nome visualizzato avviso: costruzione dinamica di script di PowerShell

Gravità: medio

VM.Windows_ExecutableDecodedUsingCertutil

Nome visualizzato avviso: decodifica rilevata di un eseguibile tramite lo strumento di certutil.exe predefinito

Gravità: medio

VM.Windows_FileDeletionIsSospisiousLocation

Nome visualizzato avviso: rilevata eliminazione sospetta di file

Gravità: medio

VM.Windows_KerberosGoldenTicketAttack

Nome visualizzato avviso: parametri di attacco Golden Ticket Kerberos sospetti osservati

Gravità: medio

VM.Windows_KeygenToolKnownProcessName

Nome visualizzato avviso: rilevata possibile esecuzione del processo eseguibile keygen Sospetto eseguito

Gravità: medio

VM.Windows_KnownCredentialAccessTools

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

VM.Windows_KnownSuspiciousPowerShellScript

Nome visualizzato avviso: rilevato uso sospetto di PowerShell

Gravità: alta

VM.Windows_KnownSuspiciousSoftwareInstallation

Nome visualizzato avviso: rilevato software ad alto rischio

Gravità: medio

VM.Windows_MsHtaAndPowerShellCombination

Nome visualizzato avviso: rilevata combinazione sospetta di HTA e PowerShell

Gravità: medio

VM.Windows_MultipleAccountsQuery

Nome visualizzato avviso: più account di dominio sottoposti a query

Gravità: medio

VM.Windows_NewAccountCreation

Nome visualizzato avviso: è stata rilevata la creazione dell'account

Gravità: informativo

VM.Windows_ObfuscatedCommandLine

Nome visualizzato avviso: rilevata riga di comando offuscata.

Gravità: alta

VM.Windows_PcaluaUseToLaunchExecutable

Nome visualizzato avviso: rilevato uso sospetto di Pcalua.exe per avviare il codice eseguibile

Gravità: medio

VM.Windows_PetyaRansomware

Nome visualizzato avviso: indicatori ransomware petya rilevati

Gravità: alta

VM.Windows_PowerShellPowerSploitScriptExecution

Nome visualizzato avviso: cmdlet di PowerShell sospetti eseguiti

Gravità: medio

VM.Windows_RansomwareIndication

Nome visualizzato avviso: rilevati indicatori ransomware

Gravità: alta

VM.Windows_SqlDumperUsedSuspiciously

Nome visualizzato avviso: è stato rilevato un possibile dump delle credenziali [visto più volte]

Gravità: medio

VM.Windows_StopCriticalServices

Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici

Gravità: medio

VM.Windows_SubvertingAccessibilityBinary

Nome visualizzato avviso: attacco chiavi permanenti ha rilevato la creazione di account sospetti media

VM.Windows_SuspiciousAccountCreation

Nome visualizzato avviso: rilevata creazione di account sospetti

Gravità: medio

VM.Windows_SuspiciousFirewallRuleAdded

Nome visualizzato avviso: rilevata nuova regola del firewall sospetta

Gravità: medio

VM.Windows_SuspiciousFTPSSwitchUsage

Nome visualizzato avviso: rilevato uso sospetto dell'opzione FTP -s

Gravità: medio

VM.Windows_SuspiciousSQLActivity

Nome visualizzato avviso: attività SQL sospetta

Gravità: medio

VM.Windows_SVCHostFromInvalidPath

Nome visualizzato avviso: processo sospetto eseguito

Gravità: alta

VM.Windows_SystemEventLogCleared

Nome visualizzato avviso: il log di Sicurezza di Windows è stato cancellato

Gravità: informativo

VM.Windows_TelegramInstallation

Nome visualizzato avviso: rilevato un uso potenzialmente sospetto dello strumento Telegram

Gravità: medio

VM.Windows_UndercoverProcess

Nome visualizzato avviso: rilevato processo denominato sospetto

Gravità: alta

VM.Windows_UserAccountControlBypass

Nome visualizzato avviso: è stata rilevata la modifica a una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente

Gravità: medio

VM.Windows_VBScriptEncoding

Nome visualizzato avviso: rilevata esecuzione sospetta del comando VBScript.Encode

Gravità: medio

VM.Windows_WindowPositionRegisteryChange

Nome visualizzato avviso: rilevato valore del Registro di sistema WindowPosition sospetto

Gravità: Bassa

VM.Windows_ZincPortOpenningUsingFirewallRule

Nome visualizzato avviso: regola del firewall dannosa creata dall'impianto server ZINCO

Gravità: alta

VM_DigitalCurrencyMining

Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale

Gravità: alta

VM_MaliciousSQLActivity

Nome visualizzato avviso: attività SQL dannosa

Gravità: alta

VM_ProcessWithDoubleExtensionExecution

Nome visualizzato avviso: file di estensione doppia sospetto eseguito

Gravità: alta

VM_RegistryPersistencyKey

Nome visualizzato avviso: rilevato metodo di persistenza del Registro di sistema di Windows

Gravità: Bassa

VM_ShadowCopyDeletion

Nome visualizzato avviso: file eseguibile dell'attività di copia shadow del volume sospetta trovato in esecuzione da una posizione sospetta

Gravità: alta

VM_SuspectExecutablePath

Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando

Gravità: informativo

Medio

VM_SuspectPhp

Nome visualizzato avviso: rilevata esecuzione PHP sospetta

Gravità: medio

VM_SuspiciousCommandLineExecution

Nome visualizzato avviso: esecuzione sospetta dei comandi

Gravità: alta

VM_SuspiciousScreenSaverExecution

Nome visualizzato avviso: processo di screenaver sospetto eseguito

Gravità: medio

VM_SvcHostRunInRareServiceGroup

Nome visualizzato avviso: gruppo di servizi SVCHOST raro eseguito

Gravità: informativo

VM_SystemProcessInAbnormalContext

Nome visualizzato avviso: processo di sistema sospetto eseguito

Gravità: medio

VM_ThreatIntelCommandLineSuspectDomain

Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa

Gravità: medio

VM_ThreatIntelSuspectLogon

Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso

Gravità: alta

VM_VbScriptHttpObjectAllocation

Nome visualizzato avviso: rilevata allocazione di oggetti HTTP VBScript

Gravità: alta

VM_TaskkillBurst

Nome visualizzato avviso: burst di terminazione del processo sospetto

Gravità: Bassa

VM_RunByPsExec

Nome visualizzato avviso: è stata rilevata l'esecuzione di PsExec

Gravità: informativo

Tattiche di MITRE ATT&CK

Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, Microsoft Defender per il cloud avvisi includono le tattiche MITRE con molti avvisi.

La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".

le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 9 della matrice MITRE ATT&CK e descritte nella tabella seguente.

Tattica	Versione ATT&CK	Descrizione
Pre-attacco		PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso.
Accesso iniziale	V7, V9	L'accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via. Gli attori delle minacce saranno spesso in grado di controllare la risorsa dopo questa fase.
Persistenza	V7, V9	Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso.
Escalation dei privilegi	V7, V9	L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per raggiungere il loro obiettivo possono essere considerati anche un'escalation dei privilegi.
Evasione della difesa	V7, V9	L'evasione della difesa è costituita da tecniche che un avversario potrebbe usare per evitare il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione.
Accesso alle credenziali	V7, V9	L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate all'interno di un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente.
Individuazione	V7, V9	L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e sui vantaggi che operando da tale sistema potrebbero ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione.
Spostamento laterale	V7, V9	Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un avversario può usare lo spostamento laterale per molti scopi, tra cui esecuzione remota di strumenti, pivoting a più sistemi, accesso a informazioni o file specifici, accesso a più credenziali o per causare un effetto.
Esecuzione	V7, V9	La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata in combinazione con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete.
Raccolta	V7, V9	La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare.
Comando e controllo	V7, V9	La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione.
Esfiltrazione	V7, V9	Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare.
Impatto	V7, V9	Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per avere ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via.

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi

• Avvisi di sicurezza in Microsoft Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
• Esportare continuamente i dati Defender per il cloud