Guida di riferimento per gli avvisi di sicurezza
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nella parte inferiore di questa pagina è presente una tabella che descrive la Microsoft Defender per il cloud kill chain allineata alla versione 9 della matrice MITRE ATT&CK.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi per computer Windows
Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Windows sono:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
È stato rilevato un accesso da un indirizzo IP dannoso. [visto più volte] | È stata correttamente eseguita un'autenticazione remota per l'account [account] e il processo [processo], ma l'indirizzo IP per l'accesso (x.x.x.x) è stato precedentemente segnalato come dannoso o estremamente insolito. Probabilmente l'attacco è riuscito. I file con estensione scr sono file di screen saver e in genere si trovano e vengono eseguiti dalla directory di sistema di Windows. | - | Alto |
Aggiunta dell'account Guest al gruppo Administrators locale | L'analisi dei dati dell'host ha rilevato l'aggiunta dell'account Guest predefinito al gruppo Administrators locale in %{host compromesso}, un'operazione strettamente associata all'attività di un utente malintenzionato. | - | Medio |
Un registro eventi è stato cancellato | I log del computer indicano un'operazione sospetta di cancellazione del registro eventi eseguita dall'utente: '%{nome utente}' nel computer: '%{entità compromessa}'. Il log %{canale log} è stato cancellato. | - | Informazioni |
Azione antimalware non riuscita | Durante l'azione intrapresa da Microsoft Antimalware su malware o altro software potenzialmente indesiderato, si è verificato un errore. | - | Medio |
Azione antimalware intrapresa | Microsoft Antimalware per Azure ha intrapreso un'azione per proteggere questo computer da malware o da altro software potenzialmente indesiderato. | - | Medio |
Esclusione di file generali antimalware nella macchina virtuale (VM_AmBroadFilesExclusion) |
L'esclusione di file dall'estensione antimalware con una regola di esclusione ampia è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
- | Medio |
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale (VM_AmDisablementAndCodeExecution) |
L'antimalware è stato disabilitato al momento dell'esecuzione di codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
- | Alto |
Antimalware disabilitato nella macchina virtuale (VM_AmDisablement) |
L'antimalware è stato disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento. |
Evasione delle difese | Medio |
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (VM_AmFileExclusionAndCodeExecution) |
Il file è stato escluso dallo scanner antimalware al momento dell'esecuzione del codice tramite un'estensione per script personalizzati nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
Evasione di difesa, esecuzione | Alto |
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (VM_AmTempFileExclusionAndCodeExecution) |
L'esclusione temporanea di un file dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione di difesa, esecuzione | Alto |
Esclusione di file antimalware nella macchina virtuale (VM_AmTempFileExclusion) |
Un file è stato escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale (VM_AmRealtimeProtectionDisabled) |
La disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale (VM_AmTempRealtimeProtectionDisablement) |
La disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale (VM_AmRealtimeProtectionDisablementAndCodeExec) |
La disabilitazione temporanea della protezione in tempo reale dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
- | Alto |
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima) (VM_AmMalwareCampaignRelatedExclusion) |
È stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. | Evasione delle difese | Medio |
Antimalware temporaneamente disabilitato nella macchina virtuale (VM_AmTemporarilyDisablement) |
L'antimalware è stato disabilitato temporaneamente nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento. |
- | Medio |
Esclusione insolita di file antimalware nella macchina virtuale (VM_UnusualAmFileExclusion) |
L'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento | Medio |
Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS | L'analisi dei dati dell'host ha rilevato azioni che indicano che i file di log IIS sono stati disabilitati e/o eliminati. | - | Medio |
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con una combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso. | - | Medio |
Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente | L'analisi dei dati dell'host in %{host compromesso} ha rilevato che è stata modificata una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente. Questo tipo di configurazione, benché probabilmente non dannoso, è anche tipico dell'attività di un utente malintenzionato che tenta di passare da un accesso senza privilegi (utente standard) a uno con privilegi (ad esempio amministratore) in un host compromesso. | - | Medio |
Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito | L'analisi dei dati dell'host in %{host compromesso} ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per la decodifica di un eseguibile invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. | - | Alto |
Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential | L'analisi dei dati host ha rilevato una modifica nella chiave del Registro di sistema HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". In particolare, questa chiave è stata aggiornata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA. Una volta abilitato, un utente malintenzionato può eseguire il dump delle password di testo non crittografate dalla memoria LSA con strumenti di raccolta delle credenziali come Mimikatz. | - | Medio |
Rilevato file eseguibile codificato nei dati della riga di comando | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un file eseguibile con codifica Base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. | - | Alto |
Rilevata riga di comando offuscata | Gli utenti malintenzionati usano tecniche di offuscamento sempre più complesse per eludere i rilevamenti eseguiti sui dati sottostanti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato la presenza di indicatori sospetti di offuscamento nella riga di comando. | - | Informazioni |
Rilevata possibile esecuzione del file eseguibile keygen | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo il cui nome è indicativo di uno strumento keygen; questi strumenti vengono in genere usati per vanificare i meccanismi di gestione delle licenze software, ma il download è spesso in bundle con altro software dannoso. Il gruppo di attività GOLD è noto per l'uso di tali keygen per ottenere di nascosto un accesso di tipo "backdoor" agli host compromessi. | - | Medio |
Rilevata possibile esecuzione di dropper di malware | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un nome file precedentemente associato a uno dei metodi del gruppo di attività GOLD per l'installazione di malware in un host vittima. | - | Alto |
Rilevata possibile attività di ricognizione locale | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo precedentemente associata a uno dei metodi del gruppo di attività GOLD per l'esecuzione di un'attività di ricognizione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione come in questo caso. | - | |
Rilevato uso potenzialmente sospetto dello strumento Telegram | L'analisi dei dati dell'host mostra l'installazione di Telegram, un servizio di messaggistica immediata basato sul cloud disponibile per dispositivi mobili e sistemi desktop. Gli utenti malintenzionati possono usare questo servizio in modo improprio per trasferire file binari dannosi a qualsiasi altro computer, telefono o tablet. | - | Medio |
Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso | L'analisi dei dati dell'host in %{host compromesso} ha rilevato modifiche alla chiave del Registro di sistema che controlla se le note legali vengono visualizzate dagli utenti quando effettuano l'accesso. L'analisi della sicurezza da parte di Microsoft ha determinato che si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host. | - | Bassa |
Rilevata combinazione sospetta di HTA e PowerShell | Il file binario Microsoft firmato mshta.exe (host HTML Application Microsoft) viene usato dagli utenti malintenzionati per avviare comandi di PowerShell dannosi. Gli utenti malintenzionati fanno spesso ricorso a un file HTA con VBScript inline. Quando una vittima passa al file HTA e sceglie di eseguirlo, vengono eseguiti i comandi e gli script di PowerShell in esso contenuti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato che il file mshta.exe sta avviando comandi di PowerShell. | - | Medio |
Rilevati argomenti della riga di comando sospetti | L'analisi dei dati dell'host in %{host compromesso} ha rilevato argomenti della riga di comando sospetti usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN. | - | Alto |
Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory | L'analisi dei dati dell'host ha rilevato un processo sospetto in esecuzione in %{host compromesso}. La riga di comando indica un tentativo di avviare tutti i file eseguibili (*.exe) che possono trovarsi in una directory. Potrebbe indicare un host compromesso. | - | Medio |
Rilevate credenziali sospette nella riga di comando | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una password sospetta usata per l'esecuzione di un file da parte del gruppo di attività BORON. Questo gruppo di attività è noto per l'uso di questa password per l'esecuzione di malware Pirpi in un host vittima. | - | Alto |
Rilevate credenziali di documento sospette | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un hash delle password pre-calcolato comune sospetto usato dal malware usato per eseguire un file. Il gruppo di attività HYDROGEN è noto per l'uso di questa password per l'esecuzione di malware in un host vittima. | - | Alto |
Rilevata esecuzione sospetta del comando VBScript.Encode | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando VBScript.Encode. Il comando codifica gli script in testo illeggibile, rendendo più difficile per gli utenti esaminare il codice. La ricerca sulle minacce da parte di Microsoft mostra che gli utenti malintenzionati spesso usano file VBscript codificati come parte dell'attacco per eludere i sistemi di rilevamento. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. | - | Medio |
Rilevata esecuzione sospetta tramite rundll32.exe | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso del file rundll32.exe per eseguire un processo con un nome non comune, coerente con lo schema di denominazione dei processi precedentemente usato dal gruppo di attività GOLD per installare un impianto di prima fase in un host compromesso. | - | Alto |
Rilevati comandi sospetti di pulizia file | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo precedentemente associata a uno dei metodi del gruppo di attività GOLD per l'esecuzione di un'attività di pulizia automatica successiva a una compromissione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso. | - | Alto |
Rilevata creazione di file sospetta | L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'esecuzione di un processo che ha indicato in precedenza un'azione post-compromissione eseguita su un host vittima dal gruppo di attività BARIUM. Questo gruppo di attività è stato noto per usare questa tecnica per scaricare più malware in un host compromesso dopo l'apertura di un allegato in un documento di phishing. | - | Alto |
Rilevate comunicazioni della named pipe sospette | L'analisi dei dati dell'host in %{host compromesso} ha rilevato la scrittura di dati in una named pipe locale da parte di un comando della console di Windows. È noto che le named pipe sono un canale usato dagli utenti malintenzionati per comunicare con un impianto dannoso e gestirlo. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. | - | Alto |
Rilevata attività di rete sospetta | L'analisi del traffico di rete da %{host compromesso} ha rilevato un'attività di rete sospetta. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. | - | Bassa |
Rilevata nuova regola del firewall sospetta | L'analisi dei dati dell'host ha rilevato che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un file eseguibile in una posizione sospetta. | - | Medio |
Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema | Gli utenti malintenzionati usano svariati modi, come forza bruta, spear phishing e così via, per ottenere la compromissione iniziale e penetrare nella rete. Una volta ottenuta la compromissione iniziale, vengono spesso adottate procedure per ridurre le impostazioni di sicurezza di un sistema. Cacls, acronimo di elenco di controllo di accesso delle modifiche, è l'utilità da riga di comando nativa di Microsoft Windows spesso usata per modificare l'autorizzazione di sicurezza per cartelle e file. In diverse occasioni i file binari vengono usati dagli utenti malintenzionati per ridurre le impostazioni di sicurezza di un sistema. Questa operazione viene eseguita concedendo a Tutti l'accesso completo ad alcuni dei file binari di sistema come ftp.exe, net.exe, wscript.exe e così via. L'analisi dei dati dell'host in %{host compromesso} ha rilevato un uso sospetto di Cacls per ridurre la sicurezza di un sistema. | - | Medio |
Rilevato uso sospetto dell'opzione -s dell'FTP | L'analisi dei dati di creazione del processo da %{host compromesso} ha rilevato l'uso dell'opzione "-s:filename" dell'FTP. Questa opzione consente di specificare un file di script FTP per l'esecuzione del client. I processi dannosi o malware sono noti per usare questo commutatore FTP (-s:filename) per puntare a un file di script, configurato per connettersi a un server FTP remoto e scaricare altri file binari dannosi. | - | Medio |
Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di pcalua.exe per l'avvio del codice eseguibile. Pcalua.exe è un componente di Microsoft Windows "Program Compatibility Assistant", che rileva problemi di compatibilità durante l'installazione o l'esecuzione di un programma. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di sistema di Windows legittimi per eseguire azioni dannose, ad esempio l'uso di pcalua.exe con l'opzione-a per avviare file eseguibili dannosi localmente o da condivisioni remote. | - | Medio |
Rilevata disabilitazione di servizi critici | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando "net.exe stop" usato per arrestare i servizi critici, ad esempio SharedAccess o l'app Sicurezza di Windows. L'arresto di uno di questi servizi può indicare un comportamento dannoso. | - | Medio |
Rilevato comportamento correlato al mining della valuta digitale | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale. | - | Alto |
Costruzione di script di PowerShell dinamica | L'analisi dei dati dell'host in %{host compromesso} ha rilevato uno script di PowerShell costruito dinamicamente. A volte gli utenti malintenzionati usano questo approccio di compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. | - | Medio |
Rilevato eseguibile in esecuzione da un percorso sospetto | L'analisi dei dati dell'host ha rilevato un file eseguibile in %{host compromesso} in esecuzione da una posizione in comune con file sospetti noti. Questo eseguibile potrebbe essere un'attività legittima o indicare un host compromesso. | - | Alto |
Rilevato comportamento di attacco senza file (VM_FilelessAttackBehavior.Windows) |
La memoria del processo specificato contiene comportamenti usati comunemente da attacchi senza file. I comportamenti specifici includono: 1) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software. 2) Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito. 3) Chiamate di funzione a interfacce del sistema operativo importanti per la sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento. 4) Contiene un thread che è stato avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection. |
Evasione delle difese | Bassa |
Rilevata tecnica di attacco senza file (VM_FilelessAttackTechnique.Windows) |
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: 1) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software. 2) Immagine eseguibile inserita nel processo, ad esempio in un attacco di code injection. 3) Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito. 4) Chiamate di funzione a interfacce del sistema operativo importanti per la sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento. 5) Hollowing del processo, una tecnica usata dal malware in cui un processo legittimo viene caricato nel sistema per fungere da contenitore per il codice ostile. 6) Contiene un thread che è stato avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection. |
Evasione di difesa, esecuzione | Alto |
Rilevato toolkit di attacco senza file (VM_FilelessAttackToolkit.Windows) |
La memoria del processo specificato contiene un toolkit di attacco senza file: [nome toolkit]. I toolkit di attacco senza file usano tecniche che riducono al minimo o eliminano le tracce di malware sul disco e riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi del malware basate su disco. I comportamenti specifici includono: 1) Toolkit noti e software di crypto mining. 2) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software. 3) Codice eseguibile dannoso inserito nella memoria dei processi. |
Evasione di difesa, esecuzione | Medio |
Rilevato software a rischio elevato | L'analisi dei dati dell'host da %{host compromesso} ha rilevato l'utilizzo di software associato all'installazione di malware in passato. Una tecnica comune usata nella distribuzione di software dannoso consiste nell'inserirlo all'interno di strumenti altrimenti innocui come quello visualizzato in questo avviso. Quando si usano questi strumenti, il malware può essere installato automaticamente in background. | - | Medio |
Sono stati enumerati i membri del gruppo Administrators locale | I log del computer indicano un'enumerazione riuscita nel gruppo %{Nome dominio gruppo enumerato}%{Nome gruppo enumerato}. In particolare, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerato i membri del gruppo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Questa attività può essere legittima o indicare che un computer nell'organizzazione è stato compromesso e usato per la ricognizione di %{vmname}. | - | Informazioni |
Regola del firewall dannosa creata dall'impianto del server ZINC [visto più volte] | È stata creata una regola del firewall usando tecniche che corrispondono a un attore noto, ZINC. La regola è stata probabilmente usata per aprire una porta in %{host compromesso} per consentire le comunicazioni di controllo dei comandi & . Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Alto |
Attività SQL dannosa | I log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività è considerata dannosa. | - | Alto |
Tentativi ripetuti di query sugli account di dominio | L'analisi dei dati dell'host ha determinato che un numero insolito di account di dominio distinti viene sottoposto a query in un breve periodo di tempo da %{host compromesso}. Questo tipo di attività potrebbe essere legittima, ma può anche indicare una compromissione. | - | Medio |
Rilevato possibile dump delle credenziali [visto più volte] | L'analisi dei dati host ha rilevato l'uso dello strumento di windows nativo (ad esempio sqldumper.exe) usato in modo da consentire l'estrazione delle credenziali dalla memoria. Gli utenti malintenzionati usano spesso queste tecniche per estrarre credenziali che verranno usate in futuro per lo spostamento laterale e l'escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Rilevato potenziale tentativo di ignorare AppLocker | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un potenziale tentativo di ignorare le restrizioni di AppLocker. AppLocker può essere configurato per implementare un criterio che limita i file eseguibili che possono essere eseguiti in un sistema Windows. Il modello da riga di comando simile a quello identificato in questo avviso è stato precedentemente associato a tentativi di utenti malintenzionati di eludere i criteri di AppLocker usando file eseguibili attendibili (consentiti dal criterio di AppLocker) per eseguire codice non attendibile. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. | - | Alto |
Rilevata esecuzione di PsExec (VM_RunByPsExec) |
L'analisi dei dati dell'host indica che il processo %{nome processo} è stato eseguito dall'utilità PsExec. PsExec può essere usato per l'esecuzione di processi in remoto. Questa tecnica può essere usata per scopi dannosi. | Spostamento laterale, esecuzione | Informazioni |
Esecuzione di un gruppo di servizi SVCHOST raro (VM_SvcHostRunInRareServiceGroup) |
È stata osservata l'esecuzione di un gruppo di servizi raro nel processo di sistema SVCHOST. Il malware usa spesso SVCHOST per mascherare l'attività dannosa. | Evasione di difesa, esecuzione | Informazioni |
Rilevato attacco basato su tasti permanenti | L'analisi dei dati dell'host indica che è possibile che un utente malintenzionato stia compromettendo un elemento binario di accessibilità (ad esempio, tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso tramite backdoor all'host %{host compromesso}. | - | Medio |
Attacco di forza bruta riuscito (VM_LoginBruteForceSuccess) |
Sono stati rilevati diversi tentativi di accesso dalla stessa origine. In alcuni casi è stata completata correttamente l'autenticazione con l'host. Sembra un attacco di tipo burst, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione per trovare credenziali di account validi. |
Sfruttamento | Medio-alta |
Livello di integrità sospetto indicativo di hijack RDP | L'analisi dei dati dell'host ha rilevato il file tscon.exe in esecuzione con privilegi SYSTEM: questo può essere indicativo di un utente malintenzionato che abusa di questo file binario per passare il contesto a qualsiasi altro utente connesso in questo host; si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete. | - | Medio |
Installazione di un servizio sospetta | L'analisi dei dati dell'host ha rilevato l'installazione di tscon.exe come servizio: questo file binario avviato come servizio consente potenzialmente a un utente malintenzionato di passare facilmente a qualsiasi altro utente connesso su questo host eseguendo il dirottamento delle connessioni RDP; si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete. | - | Medio |
Osservati sospetti parametri di attacco con Golden Ticket Kerberos | L'analisi dei dati dell'host ha rilevato parametri della riga di comando coerenti con un attacco con Golden Ticket Kerberos. | - | Medio |
Rilevata creazione sospetta di account | L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{nome account sospetto}: il nome di questo account è molto simile al nome di un gruppo o di un account di Windows standard '%{nome account simile}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano. | - | Medio |
Rilevata attività sospetta (VM_SuspiciousActivity) |
L'analisi dei dati dell'host ha rilevato una sequenza di uno o più processi in esecuzione in %{nome computer} che in passato sono stati associati ad attività dannose. Anche se i singoli comandi possono sembrare non dannosi, l'avviso viene classificato in base a un'aggregazione di questi comandi. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. | Esecuzione | Medio |
Attività di autenticazione sospetta (VM_LoginBruteForceValidUserFailed) |
Per quanto nessuna abbia avuto esito positivo, alcune di queste attività hanno usato account che sono stati riconosciuti dall'host. È simile a un attacco con dizionario, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione usando un dizionario di nomi di account e password predefiniti per trovare credenziali valide per accedere all'host. Ciò indica che alcuni dei nomi di account host potrebbero essere presenti in un dizionario di nomi di account noti. | Esecuzione del probe | Medio |
Rilevato segmento di codice sospetto | Indica che un segmento di codice è stato allocato usando metodi non standard, come reflective injection e hollowing del processo. L'avviso fornisce più caratteristiche del segmento di codice elaborato per fornire il contesto per le funzionalità e i comportamenti del segmento di codice segnalato. | - | Medio |
Esecuzione sospetta di un file a doppia estensione | L'analisi dei dati dell'host indica un'esecuzione di un processo con una doppia estensione sospetta. Questa estensione può indurre gli utenti a pensare che i file siano sicuri per l'apertura e potrebbe indicare la presenza di malware nel sistema. | - | Alto |
Rilevato download sospetto con Certutil [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Rilevato download sospetto con Certutil | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. | - | Medio |
Rilevata attività PowerShell sospetta | L'analisi dei dati dell'host ha rilevato uno script di PowerShell in esecuzione in %{host compromesso} con funzionalità in comune con script sospetti noti. Questo script potrebbe indicare un'attività legittima o un host compromesso. | - | Alto |
Esecuzione di cmdlet di PowerShell sospetti | L'analisi dei dati dell'host indica l'esecuzione di cmdlet di PowerShell PowerSploit dannosi noti. | - | Medio |
Esecuzione di un processo sospetto [visto più volte] | I log del computer indicano che il processo sospetto '%{processo sospetto}' era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Alto |
Esecuzione di processo sospetto | I log del computer indicano che il processo sospetto '%{processo sospetto}' era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato. | - | Alto |
Rilevato nome di un processo sospetto [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Rilevato nome di processo sospetto | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. | - | Medio |
Burst di terminazione di un processo sospetto (VM_TaskkillBurst) |
L'analisi dei dati dell'host indica un burst di terminazione di un processo sospetto in %{nome computer}. In particolare, sono stati terminati %{NumeroDiComandi} tra %{Inizio} e %{Fine}. | Evasione delle difese | Bassa |
Attività SQL sospetta | I log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività non è comune per questo account. | - | Medio |
Esecuzione di un processo SVCHOST sospetto | È stato osservato un processo di sistema SVCHOST in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare l'attività dannosa. | - | Alto |
Esecuzione di un processo di sistema sospetto (VM_SystemProcessInAbnormalContext) |
È stato osservato il processo di sistema %{nome processo} in esecuzione in un contesto anomalo. Il malware usa spesso questo nome di processo per mascherare l'attività dannosa. | Evasione di difesa, esecuzione | Alto |
Attività di Copia Shadow del volume sospetta | L'analisi dei dati dell'host ha rilevato un'attività di eliminazione della copia shadow nella risorsa. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati. Alcuni malware e in particolare il ransomware prendono di mira Copia Shadow del volume per sabotare le strategie di backup. | - | Alto |
Rilevato valore del Registro di sistema WindowPosition sospetto | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un tentativo di modifica della configurazione del Registro di sistema WindowPosition che potrebbe essere indicativo di nascondere le finestre dell'applicazione in sezioni non visibili del desktop. Questa attività può essere legittima o indicare un computer compromesso: questo tipo di attività è stato precedentemente associato a un adware noto (o a software indesiderato) come Win32/OneSystemCare e Win32/SystemHealer e a malware, come Win32/Creprote. Quando il valore WindowPosition è impostato su 201329664, (Hex: 0x0c00 0c00, corrispondente a X-axis=0c00 e Y-axis=0c00) posiziona la finestra dell'app console in una sezione non visibile della schermata dell'utente in un'area nascosta dalla visualizzazione sotto il menu Start visibile/barra delle applicazioni. Il valore hex sospetto noto include c000c000, ma non si limita ad esso | - | Bassa |
Rilevato processo con nome sospetto | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome molto simile ma diverso da un processo eseguito molto comunemente (%{nome processo simile}). Benché questo processo possa essere non dannoso, a volte gli utenti malintenzionati tentano di passare inosservati denominando gli strumenti dannosi con nomi di processi che sembrano legittimi. | - | Medio |
Reimpostazione insolita della configurazione nella macchina virtuale (VM_VMAccessUnusualConfigReset) |
Una reimpostazione insolita della configurazione è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la configurazione nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Rilevata esecuzione di processo insolito | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo insolito da parte di %{nome utente}. Gli account come %{nome utente} tendono a eseguire un set limitato di operazioni. Questa esecuzione è stata rilevata come atipica e potrebbe essere sospetta. | - | Alto |
Reimpostazione insolita della password utente nella macchina virtuale (VM_VMAccessUnusualPasswordReset) |
Una reimpostazione insolita della password utente è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Reimpostazione insolita della chiave SSH utente nella macchina virtuale (VM_VMAccessUnusualSSHReset) |
Una reimpostazione insolita della chiave SSH è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Rilevata allocazione di un oggetto HTTP VBScript | È stata rilevata la creazione di un file VBScript tramite il prompt dei comandi. Lo script seguente contiene un comando di allocazione di oggetti HTTP. Questa azione può essere usata per scaricare file dannosi. | ||
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. | Impatto | Bassa |
Avvisi per macchine Linux
Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Linux sono:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Un file di cronologia è stato cancellato | L'analisi dei dati dell'host indica che il file di log della cronologia di un comando è stato cancellato. Gli utenti malintenzionati possono eseguire questa operazione per coprire le proprie tracce. L'operazione è stata eseguita dall'utente: '%{nome utente}'. | - | Medio |
Esclusione di file generali antimalware nella macchina virtuale (VM_AmBroadFilesExclusion) |
L'esclusione di file dall'estensione antimalware con una regola di esclusione ampia è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
- | Medio |
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale (VM_AmDisablementAndCodeExecution) |
L'antimalware è stato disabilitato al momento dell'esecuzione di codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
- | Alto |
Antimalware disabilitato nella macchina virtuale (VM_AmDisablement) |
L'antimalware è stato disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento. |
Evasione delle difese | Medio |
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (VM_AmFileExclusionAndCodeExecution) |
Il file è stato escluso dallo scanner antimalware al momento dell'esecuzione del codice tramite un'estensione per script personalizzati nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
Evasione di difesa, esecuzione | Alto |
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (VM_AmTempFileExclusionAndCodeExecution) |
L'esclusione temporanea di un file dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione di difesa, esecuzione | Alto |
Esclusione di file antimalware nella macchina virtuale (VM_AmTempFileExclusion) |
Un file è stato escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale (VM_AmRealtimeProtectionDisabled) |
La disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale (VM_AmTempRealtimeProtectionDisablement) |
La disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale (VM_AmRealtimeProtectionDisablementAndCodeExec) |
La disabilitazione temporanea della protezione in tempo reale dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
- | Alto |
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima) (VM_AmMalwareCampaignRelatedExclusion) |
È stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. | Evasione delle difese | Medio |
Antimalware temporaneamente disabilitato nella macchina virtuale (VM_AmTemporarilyDisablement) |
L'antimalware è stato disabilitato temporaneamente nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento. |
- | Medio |
Esclusione insolita di file antimalware nella macchina virtuale (VM_UnusualAmFileExclusion) |
L'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. |
Evasione delle difese | Medio |
Rilevato comportamento simile al ransomware [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di file che hanno una somiglianza con un ransomware noto che può impedire agli utenti di accedere a file personali o di sistema e chiede il pagamento di un riscatto per riottenere l'accesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Alto |
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento | Medio |
Rilevato contenitore con un'immagine di mining (VM_MinerInContainerImage) |
I log del computer indicano l'esecuzione di un contenitore Docker che esegue un'immagine associata al mining della valuta digitale. | Esecuzione | Alto |
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con una combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso. | - | Medio |
Rilevato download di un file da un'origine dannosa nota | L'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota in %{host compromesso}. | - | Medio |
Rilevata attività di rete sospetta | L'analisi del traffico di rete da %{host compromesso} ha rilevato un'attività di rete sospetta. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. | - | Bassa |
Rilevato comportamento correlato al mining della valuta digitale | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale. | - | Alto |
Disabilitazione della registrazione auditd [visto più volte] | Il sistema di controllo di Linux fornisce un modo per tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Registra quante più informazioni possibili sugli eventi che si verificano nel sistema. La disabilitazione della registrazione auditd potrebbe ostacolare l'individuazione delle violazioni dei criteri di sicurezza usati nel sistema. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Bassa |
Sfruttamento della vulnerabilità Xorg [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di Xorg con argomenti sospetti. Gli utenti malintenzionati possono usare questa tecnica nei tentativi di escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Attacco di forza bruta SSH non riuscito (VM_SshBruteForceFailed) |
Sono stati rilevati attacchi di forza bruta non riusciti dagli utenti malintenzionati seguenti: %{utenti malintenzionati}. Gli utenti malintenzionati hanno tentato di accedere all'host con i nomi utente seguenti: %{account usati per i tentativi di accesso non riuscito all'host}. | Esecuzione del probe | Medio |
Rilevato comportamento di attacco senza file (VM_FilelessAttackBehavior.Linux) |
La memoria del processo specificato sotto contiene comportamenti usati comunemente da attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati} |
Esecuzione | Bassa |
Rilevata tecnica di attacco senza file (VM_FilelessAttackTechnique.Linux) |
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati} |
Esecuzione | Alto |
Rilevato toolkit di attacco senza file (VM_FilelessAttackToolkit.Linux) |
La memoria del processo specificato sotto contiene un toolkit di attacco senza file: {nome toolkit}. I toolkit di attacco senza file in genere non hanno una presenza nel file system, rendendo difficile il rilevamento da parte del software antivirus tradizionale. I comportamenti specifici includono: {elenco di comportamenti osservati} |
Evasione di difesa, esecuzione | Alto |
Rilevata esecuzione di file nascosto | L'analisi dei dati dell'host indica che un file nascosto è stato eseguito da %{nome utente}. Questa attività potrebbe indicare un'attività legittima o un host compromesso. | - | Informazioni |
Nuova chiave SSH aggiunta [vista più volte] (VM_SshKeyAddition) |
È stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | Persistenza | Bassa |
Nuova chiave SSH aggiunta | È stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. | - | Bassa |
Rilevata possibile backdoor [visto più volte] | L'analisi dei dati dell'host ha rilevato che è stato scaricato e quindi eseguito un file sospetto in %{host compromesso} nella sottoscrizione in uso. Questa attività è stata precedentemente associata all'installazione di una backdoor. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Rilevato possibile sfruttamento del server di posta (VM_MailserverExploitation) |
L'analisi dei dati dell'host in %{host compromesso} ha rilevato un'esecuzione insolita nell'account del server di posta | Sfruttamento | Medio |
Rilevata possibile web shell dannosa | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una possibile web shell. Gli utenti malintenzionati spesso caricheranno una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento. | - | Medio |
Rilevata possibile modifica della password tramite un metodo di crittografia [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato una modifica della password tramite un metodo di crittografia. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione del computer. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Rilevato processo associato al mining della valuta digitale [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo normalmente associato al mining della valuta digitale. Questo comportamento è stato rilevato oltre 100 volte nella giornata odierna nei computer seguenti: [nome computer] | - | Medio |
Rilevato processo associato al mining della valuta digitale | L'analisi dei dati dell'host ha rilevato l'esecuzione di un processo che è normalmente associato al mining della valuta digitale. | Sfruttamento, esecuzione | Medio |
Rilevato downloader con codifica Python [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di uno strumento con codifica Python che scarica ed esegue codice da una posizione remota. Potrebbe indicare un'attività dannosa. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Bassa |
Acquisito screenshot sull'host [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di uno strumento di acquisizione dello schermo. Gli utenti malintenzionati possono usare questi strumenti per accedere a dati privati. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Bassa |
Rilevato shellcode [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato la generazione di uno shellcode dalla riga di comando. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Attacco di forza bruta SSH riuscito (VM_SshBruteForceSuccess) |
L'analisi dei dati dell'host ha rilevato un attacco di forza bruta riuscito. Sono stati osservati più tentativi di accesso dall'IP %{IP di origine utente malintenzionato}. Sono stati eseguiti accessi riusciti dall'IP con i seguenti utenti: %{account usati per accedere correttamente all'host}. Ciò significa che l'host può essere compromesso e controllato da un attore malintenzionato. | Sfruttamento | Alto |
Rilevata creazione sospetta di account | L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{nome account sospetto}: il nome di questo account è molto simile al nome di un gruppo o di un account di Windows standard '%{nome account simile}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano. | - | Medio |
Rilevato modulo kernel sospetto [visto più volte] | L'analisi dei dati dell'host in %{host compromesso} ha rilevato un file oggetto condiviso caricato come modulo kernel. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Medio |
Accesso sospetto alle password [visto più volte] | L'analisi dei dati dell'host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] | - | Informazioni |
Accesso sospetto alle password | L'analisi dei dati dell'host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. | - | Informazioni |
Richiesta sospetta al dashboard di Kubernetes (VM_KubernetesDashboard) |
I log del computer indicano che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso. | Spostamento laterale | Medio |
Reimpostazione insolita della configurazione nella macchina virtuale (VM_VMAccessUnusualConfigReset) |
Una reimpostazione insolita della configurazione è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la configurazione nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Reimpostazione insolita della password utente nella macchina virtuale (VM_VMAccessUnusualPasswordReset) |
Una reimpostazione insolita della password utente è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Reimpostazione insolita della chiave SSH utente nella macchina virtuale (VM_VMAccessUnusualSSHReset) |
Una reimpostazione insolita della chiave SSH è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla. |
Accesso tramite credenziali | Medio |
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. | Impatto | Bassa |
Avvisi per DNS
Importante
A partire dal 1° agosto, i clienti con una sottoscrizione esistente a Defender per DNS possono continuare a usare il servizio, ma i nuovi sottoscrittori riceveranno avvisi sull'attività DNS sospetta come parte di Defender per server P2.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Utilizzo anomalo del protocollo di rete (AzureDNS_ProtocolAnomaly) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un utilizzo anomalo del protocollo. Anche se il traffico di questo tipo può essere benigno, potrebbe indicare un uso improprio di questo protocollo comune per ignorare il filtro del traffico di rete. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. | Esfiltrazione | - |
Attività di rete anonimato (AzureDNS_DarkWeb) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Attività di rete anonima con proxy Web (AzureDNS_DarkWebProxy) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Tentativo di comunicazione con dominio sinkholed sospetto (AzureDNS_SinkholedDomain) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un dominio sinkhole. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. | Esfiltrazione | Medio |
Comunicazione con il possibile dominio di phishing (AzureDNS_PhishingDomain) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un possibile dominio di phishing. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per raccogliere credenziali per i servizi remoti. È probabile che l'attività correlata tipica degli utenti malintenzionati includa lo sfruttamento di eventuali credenziali nel servizio legittimo. | Esfiltrazione | Bassa |
Comunicazione con un dominio generato in modo algoritmico sospetto (AzureDNS_DomainGenerationAlgorithm) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile utilizzo di un algoritmo di generazione di domini. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale | Medio |
Comunicazione con un nome di dominio casuale sospetto (AzureDNS_RandomizedDomain) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato l'utilizzo di un nome di dominio sospetto generato in modo casuale. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Attività di data mining di valuta digitale (AzureDNS_CurrencyMining) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni. | Esfiltrazione | Bassa |
Attivazione della firma di rilevamento intrusioni di rete (AzureDNS_SuspiciousDomain) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una firma di rete dannosa nota. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. | Esfiltrazione | Medio |
Possibile download dei dati tramite tunnel DNS (AzureDNS_DataInfiltration) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Possibile esfiltrazione di dati tramite tunnel DNS (AzureDNS_DataExfiltration) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Possibile trasferimento dei dati tramite tunnel DNS (AzureDNS_DataObfuscation) |
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. | Esfiltrazione | Bassa |
Avvisi per le estensioni della macchina virtuale di Azure
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima) (VM_GPUExtensionSuspiciousFailure) |
Finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining. | Impatto | Medio |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti. | Impatto | Bassa |
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousScript) |
Un comando Esegui con uno script sospetto è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousFailure) |
L'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Esecuzione | Medio |
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousUsage) |
È stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Esecuzione | Bassa |
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima) (VM_SuspiciousMultiExtensionUsage) |
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza. | Ricognizione | Medio |
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima) (VM_DiskEncryptionSuspiciousUsage) |
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni. | Impatto | Medio |
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali (anteprima) (VM_VMAccessSuspiciousUsage) |
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali. Gli utenti malintenzionati possono abusare dell'estensione VMAccess per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Persistenza | Medio |
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_DSCExtensionSuspiciousScript) |
L'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima) (VM_DSCExtensionSuspiciousUsage) |
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Esecuzione | Bassa |
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima) (VM_CustomScriptExtensionSuspiciousCmd) |
L'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
Esecuzione sospetta di un'estensione script personalizzata nella macchina virtuale (VM_CustomScriptExtensionSuspiciousFailure) |
Un errore sospetto di un'estensione per script personalizzati è stato rilevato nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che tali errori siano associati a script dannosi eseguiti da questa estensione. | Esecuzione | Medio |
Eliminazione insolita dell'estensione script personalizzata nella macchina virtuale (VM_CustomScriptExtensionUnusualDeletion) |
Un'eliminazione insolita di un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. | Esecuzione | Medio |
Esecuzione insolita dell'estensione script personalizzata nella macchina virtuale (VM_CustomScriptExtensionUnusualExecution) |
Un'esecuzione insolita di un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. | Esecuzione | Medio |
Estensione script personalizzata con punto di ingresso sospetto nella macchina virtuale (VM_CustomScriptExtensionSuspiciousEntryPoint) |
Un'estensione per script personalizzati con un punto di ingresso sospetto è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Il punto di ingresso fa riferimento a un repository GitHub sospetto. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. | Esecuzione | Medio |
Estensione di script personalizzata con payload sospetto nella macchina virtuale (VM_CustomScriptExtensionSuspiciousPayload) |
Un'estensione per script personalizzati con un payload da un repository GitHub sospetto è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. | Esecuzione | Medio |
Avvisi per Servizio app di Azure
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Tentativo di eseguire comandi Linux in un servizio app di Windows (AppServices_LinuxCommandOnWindows) |
L'analisi dei processi del servizio app ha rilevato un tentativo di esecuzione di un comando Linux in un servizio app di Windows. Questa azione è stata eseguita dall'applicazione Web. Questo comportamento si osserva spesso durante le campagne che sfruttano una vulnerabilità in un'applicazione Web comune. (Si applica a: servizio app in Windows) |
- | Medio |
Un IP connesso all'interfaccia FTP di Servizio app di Azure è stato rilevato in Intelligence per le minacce (AppServices_IncomingTiClientIpFtp) |
Il log FTP di Servizio app di Azure indica una connessione da un indirizzo di origine trovato nel feed di intelligence sulle minacce. Durante questa connessione, un utente ha eseguito l'accesso alle pagine elencate. (Si applica a: servizio app in Windows e servizio app in Linux) |
Accesso iniziale | Medio |
Rilevato tentativo di eseguire un comando con privilegi elevati (AppServices_HighPrivilegeCommand) |
L'analisi dei processi del servizio app ha rilevato un tentativo di eseguire un comando che richiede privilegi elevati. Il comando è stato eseguito nel contesto dell'applicazione Web. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene riscontrato anche nelle attività dannose. (Si applica a: servizio app in Windows) |
- | Medio |
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento | Medio |
Rilevata connessione alla pagina Web da un indirizzo IP anomalo (AppServices_AnomalousPageAccess) |
app Azure log attività del servizio indica una connessione anomala a una pagina Web sensibile dall'indirizzo IP di origine elencato. Potrebbe indicare che un utente sta tentando un attacco di forza bruta contro le pagine di amministrazione dell'app Web. Potrebbe anche essere il risultato di un nuovo indirizzo IP usato da un utente legittimo. Se l'indirizzo IP di origine è attendibile, è possibile eliminare in modo sicuro questo avviso per questa risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux) |
Accesso iniziale | Bassa |
Rilevato record DNS dangling per una risorsa servizio app (AppServices_DanglingDomain) |
È stato rilevato un record DNS che punta a una risorsa servizio app eliminata di recente (nota anche come "voce DNS dangling". In questo modo è possibile eseguire l'acquisizione di un sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. (Si applica a: servizio app in Windows e servizio app in Linux) |
- | Alto |
Rilevato file eseguibile codificato nei dati della riga di comando (AppServices_Base64EncodedExecutableInCommandLineParams) |
L'analisi dei dati dell'host in {host compromesso} ha rilevato un file eseguibile con codifica Base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. (Si applica a: servizio app in Windows) |
Evasione di difesa, esecuzione | Alto |
Rilevato download di un file da un'origine dannosa nota (AppServices_SuspectDownload) |
L'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota nell'host. (Si applica a: servizio app in Linux) |
Escalation dei privilegi, esecuzione, esfiltrazione, comando e controllo | Medio |
Rilevato download di un file sospetto (AppServices_SuspectDownloadArtifacts) |
L'analisi dei dati host ha rilevato un download sospetto di file remoto. (Si applica a: servizio app in Linux) |
Persistenza | Medio |
Rilevato comportamento correlato al mining della valuta digitale (AppServices_DigitalCurrencyMining) |
L'analisi dei dati dell'host in Inn-Flow-WebJobs ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale. (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Alto |
File eseguibile decodificato tramite certutil (AppServices_ExecutableDecodedUsingCertutil) |
L'analisi dei dati dell'host in [entità compromessa] ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per la decodifica di un eseguibile invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows) |
Evasione di difesa, esecuzione | Alto |
Rilevato comportamento di attacco senza file (AppServices_FilelessAttackBehaviorDetection) |
La memoria del processo specificato sotto contiene comportamenti usati comunemente da attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati} (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Medio |
Rilevata tecnica di attacco senza file (AppServices_FilelessAttackTechniqueDetection) |
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati} (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Alto |
Rilevato toolkit di attacco senza file (AppServices_FilelessAttackToolkitDetection) |
La memoria del processo specificato sotto contiene un toolkit di attacco senza file: {nome toolkit}. I toolkit di attacco senza file in genere non sono presenti nel file system ed è quindi difficile rilevarli con i tradizionali software antivirus. I comportamenti specifici includono: {elenco di comportamenti osservati} (Si applica a: servizio app in Windows e servizio app in Linux) |
Evasione di difesa, esecuzione | Alto |
Microsoft Defender per il cloud avviso di test per servizio app (non una minaccia) (AppServices_EICAR) |
Si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. (Si applica a: servizio app in Windows e servizio app in Linux) |
- | Alto |
Rilevata analisi NMap (AppServices_Nmap) |
Il log attività di Servizio app di Azure indica una possibile attività di creazione di impronta digitale Web nella risorsa del servizio app. L'attività sospetta rilevata è associata a NMAP. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux) |
PreAttack | Medio |
Contenuto di phishing ospitato in App Web di Azure (AppServices_PhishingContent) |
È stato rilevato un URL usato per un attacco di phishing nel sito Web di Servizio app di Azure. Questo URL fa parte di un attacco di phishing inviato ai clienti di Microsoft 365. Il contenuto induce in genere i visitatori a immettere le proprie credenziali aziendali o informazioni finanziarie in un sito Web che sembra legittimo. (Si applica a: servizio app in Windows e servizio app in Linux) |
Sollecito | Alto |
File PHP nella cartella di caricamento (AppServices_PhpInUploadFolder) |
Il log attività di Servizio app di Azure indica un accesso a una pagina PHP sospetta che si trova nella cartella di caricamento. Questo tipo di cartella in genere non contiene file PHP. L'esistenza di questo tipo di file potrebbe indicare un exploit che sfrutta le vulnerabilità del caricamento di un file arbitrario. (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Medio |
Rilevato un possibile download di Cryptocoinminer (AppServices_CryptoCoinMinerDownload) |
L'analisi dei dati dell'host ha rilevato il download di un file normalmente associato al data mining di valuta digitale. (Si applica a: servizio app in Linux) |
Evasione della difesa, comando e controllo, sfruttamento | Medio |
Rilevata possibile esfiltrazione di dati (AppServices_DataEgressArtifacts) |
L'analisi dei dati host/dispositivo ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. (Si applica a: servizio app in Linux) |
Raccolta, esfiltrazione | Medio |
Rilevato potenziale record DNS dangling per una risorsa servizio app (AppServices_PotentialDanglingDomain) |
È stato rilevato un record DNS che punta a una risorsa servizio app eliminata di recente (nota anche come "voce DNS dangling". Ciò potrebbe causare un'acquisizione di sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. In questo caso, è stato trovato un record di testo con l'ID di verifica del dominio. Tali record di testo impediscono l'acquisizione del sottodominio, ma è comunque consigliabile rimuovere il dominio incerto.Such text records prevent subdomain takeover but we still recommend removing the dangling domain. Se si lascia il record DNS che punta al sottodominio a rischio se qualcuno dell'organizzazione elimina il file TXT o il record in futuro. (Si applica a: servizio app in Windows e servizio app in Linux) |
- | Bassa |
Rilevata potenziale shell inversa (AppServices_ReverseShell) |
L'analisi dei dati dell'host ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. (Si applica a: servizio app in Linux) |
Exfiltration, Exploitation | Medio |
Rilevato download di dati non elaborati (AppServices_DownloadCodeFromWebsite) |
L'analisi dei processi del servizio app ha rilevato un tentativo di scaricare codice da siti Web di dati non elaborati, ad esempio Pastebin. Questa azione è stata eseguita da un processo PHP. Questo comportamento è associato a tentativi di scaricare web shell o altri componenti dannosi nel servizio app. (Si applica a: servizio app in Windows) |
Esecuzione | Medio |
Rilevato salvataggio dell'output di curl su disco (AppServices_CurlToDisk) |
L'analisi dei processi del servizio app ha rilevato l'esecuzione di un comando curl in cui l'output è stato salvato sul disco. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene osservato anche in relazione ad attività dannose, ad esempio in occasione di tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows) |
- | Bassa |
Rilevato referrer alla cartella di posta indesiderata (AppServices_SpamReferrer) |
Il log attività di Servizio app di Azure indica un'attività Web identificata come proveniente da un sito Web associato ad attività di posta indesiderata. Questo problema può verificarsi se il sito Web viene compromesso e usato per attività di posta indesiderata. (Si applica a: servizio app in Windows e servizio app in Linux) |
- | Bassa |
Rilevato accesso sospetto a una pagina Web potenzialmente vulnerabile (AppServices_ScanSensitivePage) |
Il log attività di Servizio app di Azure indica che è stato eseguito l'accesso a una pagina Web che sembra essere sensibile. Questa attività sospetta ha origine da un indirizzo IP di origine il cui modello di accesso è simile a quello di uno scanner Web. Questa attività è spesso associata a un tentativo da parte di un utente malintenzionato di analizzare la rete per tentare di accedere a pagine Web sensibili o vulnerabili. (Si applica a: servizio app in Windows e servizio app in Linux) |
- | Bassa |
Riferimento a nome di dominio sospetto (AppServices_CommandlineSuspectDomain) |
L'analisi dei dati dell'host ha rilevato un riferimento a un nome di dominio sospetto. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. (Si applica a: servizio app in Linux) |
Esfiltrazione | Bassa |
Rilevato download sospetto con Certutil (AppServices_DownloadUsingCertutil) |
L'analisi dei dati dell'host in {NOME} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows) |
Esecuzione | Medio |
Rilevata esecuzione PHP sospetta (AppServices_SuspectPhp) |
I log del computer indicano che è in esecuzione un processo PHP sospetto. L'azione include un tentativo di eseguire comandi del sistema operativo o codice PHP dalla riga di comando usando il processo PHP. Benché questo comportamento possa essere legittimo, nelle applicazioni Web potrebbe indicare attività dannose, ad esempio tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Medio |
Esecuzione di cmdlet di PowerShell sospetti (AppServices_PowerShellPowerSploitScriptExecution) |
L'analisi dei dati dell'host indica l'esecuzione di cmdlet di PowerShell PowerSploit dannosi noti. (Si applica a: servizio app in Windows) |
Esecuzione | Medio |
Esecuzione di processo sospetto (AppServices_KnownCredential AccessTools) |
I log del computer indicano che il processo sospetto "%{percorso processo}" era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato. (Si applica a: servizio app in Windows) |
Accesso tramite credenziali | Alto |
Rilevato nome di processo sospetto (AppServices_ProcessWithKnownSuspiciousExtension) |
L'analisi dei dati dell'host in {NOME} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. (Si applica a: servizio app in Windows) |
Persistenza, evasione delle difese | Medio |
Esecuzione di un processo SVCHOST sospetto (AppServices_SVCHostFromInvalidPath) |
È stato osservato un processo di sistema SVCHOST in esecuzione in un contesto anomalo. Il malware usa SVCHOST per mascherare l'attività dannosa. (Si applica a: servizio app in Windows) |
Evasione di difesa, esecuzione | Alto |
Rilevato agente utente sospetto (AppServices_UserAgentInjection) |
Il log attività del servizio app di Azure indica richieste con un agente utente sospetto. Questo comportamento può indicare tentativi di sfruttare una vulnerabilità nell'applicazione del servizio app. (Si applica a: servizio app in Windows e servizio app in Linux) |
Accesso iniziale | Medio |
Rilevata chiamata a un tema di WordPress sospetta (AppServices_WpThemeInjection) |
Il log attività di Servizio app di Azure indica una possibile attività di code injection nella risorsa del servizio app. L'attività sospetta rilevata assomiglia a quella di manipolazione di un tema di WordPress per supportare l'esecuzione del codice sul lato server, seguita da una richiesta Web diretta per richiamare il file di tema manipolato. Questo tipo di attività è stato riscontrato in passato come parte di una campagna di attacco contro WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux) |
Esecuzione | Alto |
Rilevato rilevatore di vulnerabilità (AppServices_DrupalScanner) |
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati a un sistema di gestione dei contenuti (CMS). Se la risorsa servizio app non ospita un sito Drupal, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows) |
PreAttack | Bassa |
Rilevato rilevatore di vulnerabilità (AppServices_JoomlaScanner) |
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni Joomla. Se la risorsa di servizio app non ospita un sito di Necessariamente, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux) |
PreAttack | Bassa |
Rilevato rilevatore di vulnerabilità (AppServices_WpScanner) |
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux) |
PreAttack | Bassa |
Rilevato Web fingerprinting (AppServices_WebFingerprinting) |
Il log attività di Servizio app di Azure indica una possibile attività di creazione di impronta digitale Web nella risorsa del servizio app. L'attività sospetta rilevata è associata a uno strumento chiamato Blind Elephant. Lo strumento individua l'impronta digitale dei server Web e tenta di rilevare le applicazioni installate e la versione. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux) |
PreAttack | Medio |
Il sito Web è contrassegnato come dannoso nel feed di intelligence sulle minacce (AppServices_SmartScreen) |
Il sito Web descritto di seguito è contrassegnato come sito dannoso da Windows SmartScreen. Se si ritiene che sia un falso positivo, contattare Windows SmartScreen tramite il collegamento per la segnalazione di feedback fornito. (Si applica a: servizio app in Windows e servizio app in Linux) |
Sollecito | Medio |
Avvisi per i contenitori - Cluster Kubernetes
Microsoft Defender per contenitori fornisce avvisi di sicurezza a livello di cluster e sui nodi del cluster sottostanti monitorando sia il piano di controllo (server API) che il carico di lavoro in contenitori stesso. Gli avvisi di sicurezza del piano di controllo possono essere riconosciuti da un prefisso del K8S_
tipo di avviso. Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster possono essere riconosciuti dal K8S.NODE_
prefisso del tipo di avviso. Tutti gli avvisi sono supportati solo in Linux, se non diversamente indicato.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Servizio Postgres esposto con configurazione di autenticazione trust in Kubernetes rilevato (anteprima) (K8S_ExposedPostgresTrustAuth) |
L'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico. Il servizio è configurato con il metodo di autenticazione trust, che non richiede credenziali. | Accesso iniziale | Medio |
Servizio Postgres esposto con configurazione rischiosa in Kubernetes rilevato (anteprima) (K8S_ExposedPostgresBroadIPRange) |
L'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico con una configurazione rischiosa. L'esposizione del servizio a un'ampia gamma di indirizzi IP comporta un rischio per la sicurezza. | Accesso iniziale | Medio |
Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato (K8S. NODE_NamespaceCreation) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore nel cluster Kubernetes ha rilevato un tentativo di creare un nuovo spazio dei nomi Linux. Anche se questo comportamento potrebbe essere legittimo, potrebbe indicare che un utente malintenzionato tenta di eseguire l'escape dal contenitore al nodo. Alcuni exploit CVE-2022-0185 usano questa tecnica. | Escalation dei privilegi | Medio |
Un file di cronologia è stato cancellato (K8S. NODE_HistoryFileCleared) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati possono eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'account utente specificato. | Evasione delle difese | Medio |
Attività anomala dell'identità gestita associata a Kubernetes (anteprima) (K8S_AbnormalMiActivity) |
L'analisi delle operazioni di Azure Resource Manager ha rilevato un comportamento anomalo di un'identità gestita usata da un componente aggiuntivo del servizio Azure Kubernetes. L'attività rilevata non è coerente con il comportamento del componente aggiuntivo associato. Anche se questa attività può essere legittima, questo comportamento potrebbe indicare che l'identità è stata acquisita da un utente malintenzionato, probabilmente da un contenitore compromesso nel cluster Kubernetes. | Spostamento laterale | Medio |
Rilevata operazione dell'account del servizio Kubernetes anomalo (K8S_ServiceAccountRareOperation) |
L'analisi dei log di controllo di Kubernetes ha rilevato un comportamento anomalo da un account del servizio nel cluster Kubernetes. L'account del servizio è stato usato per un'operazione, che non è comune per questo account del servizio. Anche se questa attività può essere legittima, tale comportamento potrebbe indicare che l'account del servizio viene usato per scopi dannosi. | Spostamento laterale, accesso alle credenziali | Medio |
Rilevato un tentativo di connessione non comune (K8S. NODE_SuspectConnessione ion) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di connessione non comune usando un protocollo socks. Questo è molto raro nelle normali operazioni, ma una tecnica nota per gli utenti malintenzionati che tentano di ignorare i rilevamenti a livello di rete. | Esecuzione, esfiltrazione, sfruttamento | Medio |
Distribuzione di pod anomali (anteprima) (K8S_AnomalousPodDeployment) 3 |
L'analisi dei log di controllo di Kubernetes ha rilevato la distribuzione dei pod che è anomala in base all'attività di distribuzione dei pod precedente. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di distribuzione si trovano nelle relazioni tra loro. Le funzionalità monitorate includono il registro immagini del contenitore usato, l'account che esegue la distribuzione, il giorno della settimana, la frequenza con cui questo account esegue distribuzioni di pod, l'agente utente usato nell'operazione, se si tratta di uno spazio dei nomi a cui spesso si verificano le distribuzioni dei pod e altre funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. | Esecuzione | Medio |
Accesso anomalo al segreto (anteprima) (K8S_AnomalousSecretAccess) 2 |
L'analisi dei log di controllo di Kubernetes ha rilevato una richiesta di accesso segreto anomala in base all'attività precedente di accesso ai segreti. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di accesso segreto si trovano nelle relazioni tra loro. Le funzionalità monitorate da questa analisi includono il nome utente usato, il nome del segreto, il nome dello spazio dei nomi, l'agente utente usato nell'operazione o altre funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. | Accesso alle credenziali | Medio |
Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer (K8S. NODE_TimerServiceDisabled) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di arrestare il servizio apt-daily-upgrade.timer. Gli utenti malintenzionati sono stati osservati arrestando questo servizio per scaricare file dannosi e concedere privilegi di esecuzione per i loro attacchi. Questa attività può verificarsi anche se il servizio viene aggiornato tramite azioni amministrative normali. | Evasione delle difese | Informazioni |
Comportamento simile ai bot Linux comuni rilevati (anteprima) (K8S. NODE_CommonBot) |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un processo normalmente associato a botnet Linux comuni. | Esecuzione, raccolta, comando e controllo | Medio |
Comando all'interno di un contenitore in esecuzione con privilegi elevati (K8S. NODE_PrivilegedExecutionInContainer) 1 |
I log del computer indicano che è stato eseguito un comando con privilegi in un contenitore Docker. Un comando con privilegi ha privilegi estesi sul computer host. | Escalation dei privilegi | Bassa |
Contenitore in esecuzione in modalità con privilegi (K8S. NODE_PrivilegedContainerArtifacts) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un comando Docker che esegue un contenitore con privilegi. Il contenitore con privilegi ha accesso completo al pod di hosting o alla risorsa host. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al pod o all'host di hosting. | PrivilegeEscalation, Execution | Bassa |
Rilevato contenitore con un montaggio del volume sensibile (K8S_SensitiveMount) |
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con un montaggio del volume sensibile. Il volume rilevato è un tipo hostPath che monta un file o una cartella sensibile dal nodo al contenitore. Se il contenitore viene compromesso, l'utente malintenzionato può usare questo montaggio per ottenere l'accesso al nodo. | Escalation dei privilegi | Medio |
Rilevata modifica coreDNS in Kubernetes (K8S_CoreDnsModification) 23 |
L'analisi dei log di controllo di Kubernetes ha rilevato una modifica della configurazione CoreDNS. La configurazione di CoreDNS può essere modificata eseguendo l'override della relativa mappa di configurazione. Anche se questa attività può essere legittima, se gli utenti malintenzionati hanno le autorizzazioni per modificare la mappa di configurazione, possono modificare il comportamento del server DNS del cluster e elaborarlo. | Spostamento laterale | Bassa |
Rilevata configurazione del webhook di ammissione (K8S_AdmissionController) 3 |
L'analisi dei log di controllo di Kubernetes ha rilevato una nuova configurazione del webhook di ammissione. Kubernetes dispone di due controller di ammissione generici predefiniti: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. Il comportamento di questi controller di ammissione è determinato da un webhook di ammissione che l'utente distribuisce nel cluster. L'uso di tali controller di ammissione può essere legittimo, tuttavia gli utenti malintenzionati possono usare tali webhook per modificare le richieste (nel caso di MutatingAdmissionWebhook) o ispezionare le richieste e ottenere informazioni riservate (nel caso di ValidatingAdmissionWebhook). | Accesso alle credenziali, persistenza | Bassa |
Rilevato download di un file da un'origine dannosa nota (K8S. NODE_SuspectDownload) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download di un file da un'origine usata di frequente per distribuire malware. | PrivilegeEscalation, Execution, Exfiltration, Command And Control | Medio |
Rilevato download di un file sospetto (K8S. NODE_SuspectDownloadArtifacts) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download sospetto di un file remoto. | Persistenza | Bassa |
Rilevato uso sospetto del comando nohup (K8S. NODE_SuspectNohup) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando nohup. Gli utenti malintenzionati hanno visto usare il comando nohup per eseguire file nascosti da una directory temporanea per consentire l'esecuzione in background dei file eseguibili. È raro vedere questo comando eseguito su file nascosti che si trovano in una directory temporanea. | Persistenza, evasione delle difese | Medio |
Rilevato uso sospetto del comando useradd (K8S. NODE_SuspectUserAddition) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando useradd. | Persistenza | Medio |
Rilevato contenitore di mining della valuta digitale (K8S_MaliciousContainerImage) 3 |
L'analisi del log di controllo di Kubernetes ha rilevato un contenitore con un'immagine associata a uno strumento di mining della valuta digitale. | Esecuzione | Alto |
Rilevato comportamento correlato al mining della valuta digitale (K8S. NODE_DigitalCurrencyMining) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale. | Esecuzione | Alto |
Operazione di compilazione Docker rilevata in un nodo Kubernetes (K8S. NODE_ImageBuildOnNode) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento. | Evasione delle difese | Bassa |
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima) (K8S_ServiceAcountPermissionAnomaly) 3 |
L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Le autorizzazioni elencate per i ruoli assegnati non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio tra i cluster monitorati da Azure, dal volume per autorizzazione e dall'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Microsoft Defender per il cloud. | Escalation dei privilegi | Bassa |
File eseguibile trovato in esecuzione da una posizione sospetta (anteprima) (K8S. NODE_SuspectExecutablePath) |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file eseguibile in esecuzione da un percorso associato a file sospetti noti. Questo eseguibile può essere un'attività legittima o un'indicazione di un sistema compromesso. | Esecuzione | Medio |
Rilevato dashboard Kubeflow esposto (K8S_ExposedKubeflow) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione del punto di ingresso in Istio da parte di un servizio di bilanciamento del carico in un cluster che esegue Kubeflow. Questa azione potrebbe esporre il dashboard Kubeflow su Internet. Se il dashboard è esposto su Internet, gli utenti malintenzionati possono accedervi ed eseguire codice o contenitori dannosi nel cluster. Per altre informazioni, vedere l'articolo seguente: https://aka.ms/exposedkubeflow-blog | Accesso iniziale | Medio |
Rilevato dashboard Kubernetes esposto (K8S_ExposedDashboard) |
L'analisi del log di controllo di Kubernetes ha rilevato l'esposizione del dashboard di Kubernetes da parte di un servizio LoadBalancer. Il dashboard esposto permette un accesso non autenticato alla gestione del cluster e rappresenta una minaccia per la sicurezza. | Accesso iniziale | Alto |
Rilevato servizio Kubernetes esposto (K8S_ExposedService) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione di un servizio da parte di un servizio di bilanciamento del carico. Questo servizio è correlato a un'applicazione sensibile che consente di eseguire operazioni ad alto impatto nel cluster, ad esempio l'esecuzione di processi nel nodo o la creazione di nuovi contenitori. In alcuni casi, questo servizio non richiede l'autenticazione. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza. | Accesso iniziale | Medio |
Rilevato servizio Redis esposto nel servizio Azure Kubernetes (K8S_ExposedRedis) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione del servizio Redis da parte di un servizio di bilanciamento del carico. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza. | Accesso iniziale | Bassa |
Rilevati indicatori associati a un toolkit DDoS (K8S. NODE_KnownLinuxDDoSToolkit) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato nomi di file che fanno parte di un toolkit associato a malware in grado di avviare attacchi DDoS, aprire porte e servizi e assumere il controllo completo sul sistema infetto. Potrebbe anche trattarsi di un'attività legittima. | Persistenza, LateralMovement, Esecuzione, Sfruttamento | Medio |
Rilevate richieste API K8S dall'indirizzo IP proxy (K8S_TI_Proxy) 3 |
L'analisi dei log di controllo di Kubernetes ha rilevato richieste API al cluster da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli utenti malintenzionati tentano di nascondere l'INDIRIZZO IP di origine. | Esecuzione | Bassa |
Eventi kubernetes eliminati (K8S_DeleteEvents) 23 |
Defender per il cloud rilevato che alcuni eventi Kubernetes sono stati eliminati. Gli eventi Kubernetes sono oggetti in Kubernetes che contengono informazioni sulle modifiche nel cluster. Gli utenti malintenzionati possono eliminare tali eventi per nascondere le operazioni nel cluster. | Evasione delle difese | Bassa |
Rilevato lo strumento di test di penetrazione kubernetes (K8S_PenTestToolsKubeHunter) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. | Esecuzione | Bassa |
Rilevata manipolazione del firewall host (K8S. NODE_FirewallDisabled) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile manipolazione del firewall sull'host. Spesso gli utenti malintenzionati lo disabilitano per sottrarre dati. | DefenseEvasion, esfiltrazione | Medio |
Microsoft Defender per il cloud avviso di test (non una minaccia). (K8S. NODE_EICAR) 1 |
Si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. | Esecuzione | Alto |
Rilevato nuovo contenitore nello spazio dei nomi kube-system (K8S_KubeSystemContainer) 3 |
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore nello spazio dei nomi kube-system che non è tra i contenitori normalmente eseguiti in questo spazio dei nomi. Gli spazi dei nomi kube-system non devono contenere risorse utente. Gli utenti malintenzionati possono usare questo spazio dei nomi per nascondere componenti dannosi. | Persistenza | Bassa |
Rilevato nuovo ruolo con privilegi elevati (K8S_HighPrivilegesRole) 3 |
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo ruolo con privilegi elevati. Un'associazione a un ruolo con privilegi elevati concede all'utente\gruppo privilegi elevati nel cluster. I privilegi non necessari potrebbero causare l'escalation dei privilegi nel cluster. | Persistenza | Bassa |
Rilevato possibile strumento di attacco (K8S. NODE_KnownLinuxAttackTool) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una chiamata a uno strumento sospetto. Questo strumento è spesso associato a utenti malintenzionati che attaccano altri utenti. | Esecuzione, raccolta, comando e controllo, probe | Medio |
Rilevato possibile backdoor (K8S. NODE_LinuxBackdoorArtifact) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file sospetto scaricato ed eseguito. Questa attività è stata precedentemente associata all'installazione di una backdoor. | Persistenza, DefenseEvasion, Esecuzione, Sfruttamento | Medio |
Possibile tentativo di sfruttamento della riga di comando (K8S. NODE_ExploitAttempt) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un possibile tentativo di sfruttamento contro una vulnerabilità nota. | Sfruttamento | Medio |
Rilevato possibile strumento di accesso alle credenziali (K8S. NODE_KnownLinuxCredentialAccessTool) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un possibile strumento di accesso alle credenziali note è stato eseguito nel contenitore, come identificato dall'elemento della cronologia del processo e della riga di comando specificato. Questo strumento è spesso associato a tentativi di accesso alle credenziali da parte di utenti malintenzionati. | Accesso alle credenziali | Medio |
Rilevato un possibile download di Cryptocoinminer (K8S. NODE_CryptoCoinMinerDownload) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato il download di un file normalmente associato al data mining di valuta digitale. | Difesa, comando e controllo, sfruttamento | Medio |
Rilevata possibile esfiltrazione di dati (K8S. NODE_DataEgressArtifacts) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. | Raccolta, esfiltrazione | Medio |
Rilevata possibile attività di manomissione dei log (K8S. NODE_SystemLogRemoval) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile rimozione di file che tiene traccia dell'attività dell'utente durante il corso dell'operazione. Spesso gli utenti malintenzionati tentano di eludere il rilevamento e non lasciano traccia delle attività dannose eliminando tali file di log. | Evasione delle difese | Medio |
È stata rilevata una possibile modifica della password usando il metodo crypt (K8S. NODE_SuspectPasswordChange) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione. | Accesso alle credenziali | Medio |
Potenziale port forwarding a un indirizzo IP esterno (K8S. NODE_SuspectPortForwarding) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'avvio del port forwarding a un indirizzo IP esterno. | Esfiltrazione, comando e controllo | Medio |
Rilevata potenziale shell inversa (K8S. NODE_ReverseShell) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. | Exfiltration, Exploitation | Medio |
Rilevato contenitore con privilegi (K8S_PrivilegedContainer) |
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con privilegi. Un contenitore con privilegi ha accesso alle risorse del nodo e interrompe l'isolamento tra i contenitori. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al nodo. | Escalation dei privilegi | Bassa |
Rilevato processo associato al mining della valuta digitale (K8S. NODE_CryptoCoinMinerArtifacts) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'esecuzione di un processo normalmente associato al data mining digitale. | Esecuzione, sfruttamento | Medio |
Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito (K8S. NODE_SshKeyAccess) 1 |
È stato eseguito l'accesso a un file SSH authorized_keys in un metodo simile alle campagne malware note. Questo accesso potrebbe indicare che un attore sta tentando di ottenere l'accesso permanente a un computer. | Sconosciuto | Bassa |
Rilevato binding del ruolo al ruolo di amministratore del cluster (K8S_ClusterAmministrazione Binding) |
L'analisi dei log di controllo di Kubernetes ha rilevato una nuova associazione al ruolo di amministratore del cluster che concede privilegi di amministratore. I privilegi di amministratore non necessari potrebbero causare l'escalation dei privilegi nel cluster. | Persistenza | Bassa |
Rilevata terminazione dei processi correlati alla sicurezza (K8S. NODE_SuspectProcessTermination) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di terminare i processi correlati al monitoraggio della sicurezza nel contenitore. Spesso gli utenti malintenzionati provano a terminare tali processi usando gli script predefiniti successivamente alla compromissione. | Persistenza | Bassa |
Il server SSH è in esecuzione all'interno di un contenitore (K8S. NODE_ContainerSSH) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato un server SSH in esecuzione all'interno del contenitore. | Esecuzione | Medio |
Modifica del timestamp del file sospetta (K8S. NODE_TimestampTampering) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica di timestamp sospetta. Gli utenti malintenzionati copiano spesso timestamp da file legittimi esistenti a nuovi strumenti per evitare il rilevamento di questi file appena eliminati. | Persistenza, evasione delle difese | Bassa |
Richiesta sospetta all'API Kubernetes (K8S. NODE_KubernetesAPI) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster. | Spostamento laterale | Medio |
Richiesta sospetta al dashboard di Kubernetes (K8S. NODE_KubernetesDashboard) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster. | Spostamento laterale | Medio |
Il potenziale minatore di moneta crittografica ha iniziato (K8S. NODE_CryptoCoinMinerExecution) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo avviato in modo normale associato al data mining di valuta digitale. | Esecuzione | Medio |
Accesso sospetto alle password (K8S. NODE_SuspectPasswordFileAccess) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato tentativi sospetti di accesso alle password utente crittografate. | Persistenza | Informazioni |
Uso sospetto di DNS su HTTPS (K8S. NODE_SuspiciousDNSOverHttps) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'uso di una chiamata DNS su HTTPS in modo non comune. Questa tecnica viene usata dagli utenti malintenzionati per nascondere le chiamate a siti sospetti o dannosi. | DefenseEvasion, esfiltrazione | Medio |
È stata rilevata una possibile connessione a una posizione dannosa. (K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una connessione a una posizione segnalata come dannosa o insolita. Si tratta di un indicatore che potrebbe essersi verificato un compromesso. | Accesso iniziale | Medio |
Rilevata possibile shell Web dannosa. (K8S. NODE_Webshell) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato una possibile shell Web. Gli utenti malintenzionati caricano spesso una shell Web in una risorsa di calcolo compromessa per ottenere la persistenza o per un ulteriore sfruttamento. | Persistenza, sfruttamento | Medio |
Il burst di più comandi di ricognizione potrebbe indicare l'attività iniziale dopo la compromissione (K8S. NODE_ReconnaissanceArtifactsBurst) 1 |
L'analisi dei dati host/dispositivo ha rilevato l'esecuzione di più comandi di ricognizione correlati alla raccolta dei dettagli del sistema o dell'host eseguiti dagli utenti malintenzionati dopo la compromissione iniziale. | Individuazione, raccolta | Bassa |
Download sospetto, quindi eseguire l'attività (K8S. NODE_DownloadAndRunCombo) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un file viene scaricato e quindi eseguito nello stesso comando. Anche se questo non è sempre dannoso, si tratta di una tecnica molto comune usata dagli utenti malintenzionati per ottenere file dannosi nei computer vittima. | Execution, CommandAndControl, Exploitation | Medio |
Attività di data mining di valuta digitale (K8S. NODE_CurrencyMining) 1 |
L'analisi delle transazioni DNS ha rilevato un'attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni. | Esfiltrazione | Bassa |
Rilevato accesso al file kubelet kubeconfig (K8S. NODE_KubeConfigAccess) 1 |
L'analisi dei processi in esecuzione in un nodo del cluster Kubernetes ha rilevato l'accesso al file kubeconfig nell'host. Il file kubeconfig, normalmente usato dal processo Kubelet, contiene le credenziali per il server API del cluster Kubernetes. L'accesso a questo file è spesso associato agli utenti malintenzionati che tentano di accedere a tali credenziali o agli strumenti di analisi della sicurezza che controllano se il file è accessibile. | Accesso alle credenziali | Medio |
È stato rilevato l'accesso al servizio metadati cloud (K8S. NODE_ImdsCall) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'accesso al servizio metadati cloud per l'acquisizione del token di identità. Il contenitore in genere non esegue tale operazione. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero usare questa tecnica per accedere alle risorse cloud dopo aver ottenuto l'accesso iniziale a un contenitore in esecuzione. | Accesso alle credenziali | Medio |
Rilevato agente MITRE Caldera (K8S. NODE_MitreCalderaTools) 1 |
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo sospetto. Questo è spesso associato all'agente MITRE 54ndc47 che potrebbe essere usato dannosamente per attaccare altri computer. | Persistenza, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation | Medio |
1: Anteprima per i cluster non del servizio Azure Kubernetes: questo avviso è disponibile a livello generale per i cluster del servizio Azure Kubernetes, ma è in anteprima per altri ambienti, ad esempio Azure Arc, EKS e GKE.
2: Limitazioni nei cluster GKE: GKE usa un criterio di controllo Kubernetes che non supporta tutti i tipi di avviso. Di conseguenza, questo avviso di sicurezza, basato su eventi di controllo Kubernetes, non è supportato per i cluster GKE.
3: Questo avviso è supportato nei nodi/contenitori di Windows.
Avvisi per database SQL e Azure Synapse Analytics
Avviso | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Possibile vulnerabilità agli attacchi SQL injection (SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
Un'applicazione ha generato un'istruzione SQL non corretta nel database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection. Ci sono due possibili motivi per un'istruzione non corretta. Un difetto nel codice dell'applicazione potrebbe aver creato l'istruzione SQL non corretta. Oppure il codice dell'applicazione o le stored procedure non hanno corretto l'input utente quando è stata creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL injection. | PreAttack | Medio |
Tentativo di accesso da un'applicazione potenzialmente dannosa (SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
Un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa. | PreAttack | Alto |
Accesso da un data center di Azure insolito (SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
È stata riscontrata una modifica nel modello di accesso a SQL Server, quando un utente ha effettuato l'accesso al server da un data center di Azure insolito. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o servizio di Azure). In altri casi, l'avviso rileva un'azione dannosa (un utente malintenzionato che opera da una risorsa violata in Azure). | Esecuzione del probe | Bassa |
Accesso da una posizione insolita (SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
È stata riscontrata una modifica nel modello di accesso a SQL Server, quando un utente ha effettuato l'accesso al server da una posizione geografica insolita. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno). | Sfruttamento | Medio |
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni (SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
Un'entità di sicurezza che non si connetteva da 60 giorni ha effettuato l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. | Sfruttamento | Medio |
Accesso da un dominio non visualizzato in 60 giorni (SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly) |
Un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. | Sfruttamento | Medio |
Accesso da un indirizzo IP sospetto (SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
È stato eseguito correttamente l'accesso alla risorsa da un indirizzo IP che l'intelligence sulle minacce Microsoft ha associato ad attività sospette. | PreAttack | Medio |
Potenziale attacco SQL injection (SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
Si è verificato un exploit attivo contro un'applicazione identificata vulnerabile a SQL injection. Ciò significa che un utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili. | PreAttack | Alto |
Sospetto attacco di forza bruta tramite un utente valido (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
È stato rilevato un possibile attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere. | PreAttack | Alto |
Sospetto attacco di forza bruta (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
È stato rilevato un possibile attacco di forza bruta sulla risorsa. | PreAttack | Alto |
Sospetto attacco di forza bruta riuscito (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa. | PreAttack | Alto |
SQL Server ha potenzialmente generato una shell dei comandi di Windows e ha eseguito l'accesso a un'origine esterna anomala (SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
Un'istruzione SQL sospetta ha potenzialmente generato una shell dei comandi di Windows con un'origine esterna che non è stata vista in precedenza. L'esecuzione di una shell che accede a un'origine esterna è un metodo usato dagli utenti malintenzionati per scaricare payload dannoso e quindi eseguirlo nel computer e comprometterlo. Ciò consente a un utente malintenzionato di eseguire attività dannose in direzione remota. In alternativa, è possibile accedere a un'origine esterna per esfiltrare i dati in una destinazione esterna. | Esecuzione | Alto |
Payload insolito con parti offuscate è stato avviato da SQL Server (SQL. VM_PotentialSqlInjection) |
Un utente ha avviato un nuovo payload usando il livello in SQL Server che comunica con il sistema operativo nascondendo il comando nella query SQL. Gli utenti malintenzionati in genere nascondono comandi con impatto monitorati comunemente come xp_cmdshell, sp_add_job e altri. Le tecniche di offuscamento abusano di comandi legittimi come la concatenazione di stringhe, il cast, la modifica di base e altri, per evitare il rilevamento delle espressioni regolari e compromettere la leggibilità dei log. | Esecuzione | Alto |
Avvisi per database relazionali open source
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Sospetto attacco di forza bruta tramite un utente valido (SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce) |
È stato rilevato un possibile attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere. | PreAttack | Alto |
Sospetto attacco di forza bruta riuscito (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
Un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa. | PreAttack | Alto |
Sospetto attacco di forza bruta (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
È stato rilevato un possibile attacco di forza bruta sulla risorsa. | PreAttack | Alto |
Tentativo di accesso da un'applicazione potenzialmente dannosa (SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication) |
Un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa. | PreAttack | Alto |
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni (SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly) |
Un'entità di sicurezza che non si connetteva da 60 giorni ha effettuato l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. | Sfruttamento | Medio |
Accesso da un dominio non visualizzato in 60 giorni (SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly) |
Un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. | Sfruttamento | Medio |
Accesso da un data center di Azure insolito (SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly) |
Un utente che ha eseguito l'accesso alla risorsa da un data center di Azure insolito. | Esecuzione del probe | Bassa |
Accesso da un provider di servizi cloud insolito (SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly) |
Un utente che ha eseguito l'accesso alla risorsa da un provider di servizi cloud non è stato visualizzato negli ultimi 60 giorni. È facile e veloce per gli attori delle minacce ottenere potenza di calcolo eliminabile per l'uso nelle campagne. Se si tratta di un comportamento previsto causato dall'adozione recente di un nuovo provider di servizi cloud, Defender per il cloud imparerà nel tempo e tenterà di prevenire futuri falsi positivi. | Sfruttamento | Medio |
Accesso da una posizione insolita (SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly) |
Un utente che ha eseguito l'accesso alla risorsa da un data center di Azure insolito. | Sfruttamento | Medio |
Accesso da un indirizzo IP sospetto (SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly) |
È stato eseguito correttamente l'accesso alla risorsa da un indirizzo IP che l'intelligence sulle minacce Microsoft ha associato ad attività sospette. | PreAttack | Medio |
Avvisi per Resource Manager
Nota
Gli avvisi con un'indicazione di accesso delegato vengono attivati a causa dell'attività dei provider di servizi di terze parti. Altre informazioni sulle indicazioni sulle attività dei provider di servizi.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Operazione di Azure Resource Manager da un indirizzo IP sospetto (ARM_OperationFromSuspiciousIP) |
Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence sulle minacce. | Esecuzione | Medio |
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. | Evasione delle difese | Medio |
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni (ARM_MicroBurst.AzDomainInfo) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | - | Bassa |
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni (ARM_MicroBurst.AzureDomainInfo) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | - | Bassa |
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale (ARM_MicroBurst.AzVMBulkCMD) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di codice in una macchina virtuale o un elenco di macchine virtuali. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire uno script in una macchina virtuale per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | Esecuzione | Alto |
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale (RM_MicroBurst.AzureRmVMBulkCMD) |
Il toolkit di sfruttamento di MicroBurst è stato usato per eseguire codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Toolkit di sfruttamento di MicroBurst usato per estrarre le chiavi dagli insiemi di credenziali delle chiavi di Azure (ARM_MicroBurst.AzKeyVaultKeysREST) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | - | Alto |
Toolkit di sfruttamento microBurst usato per estrarre le chiavi agli account di archiviazione (ARM_MicroBurst.AZStorageKeysREST) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi per Archiviazione account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili negli account Archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | Sollecito | Alto |
Toolkit di sfruttamento di MicroBurst usato per estrarre segreti dagli insiemi di credenziali delle chiavi di Azure (ARM_MicroBurst.AzKeyVaultSecretsREST) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione dei segreti da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare i segreti e usarli per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | - | Alto |
Toolkit di sfruttamento di PowerZure usato per elevare l'accesso da Azure AD ad Azure (ARM_PowerZure.AzureElevatedPrivileges) |
Il toolkit di sfruttamento di PowerZure è stato usato per elevare l'accesso da Azure AD ad Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nel tenant. | - | Alto |
Toolkit di sfruttamento di PowerZure usato per enumerare le risorse (ARM_PowerZure.GetAzureTargets) |
Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le risorse per conto di un account utente legittimo nell'organizzazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | Sollecito | Alto |
Toolkit di sfruttamento di PowerZure usato per enumerare contenitori di archiviazione, condivisioni e tabelle (ARM_PowerZure.ShowStorageContent) |
Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le condivisioni, le tabelle e i contenitori di archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Toolkit di sfruttamento di PowerZure usato per eseguire un runbook nella sottoscrizione (ARM_PowerZure.StartRunbook) |
Il toolkit di sfruttamento di PowerZure è stato usato per eseguire un runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Toolkit di sfruttamento di PowerZure usato per estrarre il contenuto dei Runbook (ARM_PowerZure.AzureRunbookContent) |
Il toolkit di sfruttamento di PowerZure è stato usato per estrarre il contenuto dei runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | Sollecito | Alto |
ANTEPRIMA - Rilevata esecuzione del toolkit Azurite (ARM_Azurite) |
È stata rilevata l'esecuzione di un toolkit di ricognizione dell'ambiente cloud noto nell'ambiente in uso. Lo strumento Azurite può essere usato da un utente malintenzionato (o tester di penetrazione) per eseguire il mapping delle risorse delle sottoscrizioni e identificare le configurazioni non protette. | Sollecito | Alto |
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo (ARM_SuspiciousComputeCreation) |
Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività può essere legittima, un attore di minaccia potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose. |
Impatto | Medio |
ANTEPRIMA - Rilevato ripristino sospetto dell'insieme di credenziali delle chiavi (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender per Resource Manager ha rilevato un'operazione di ripristino sospetta per una risorsa dell'insieme di credenziali delle chiavi eliminata temporaneamente. L'utente che recupera la risorsa è diverso dall'utente che l'ha eliminata. Si tratta di un'operazione estremamente sospetta perché l'utente raramente richiama tale operazione. Inoltre, l'utente ha eseguito l'accesso senza multi-factor authentication (MFA). Ciò potrebbe indicare che l'utente è compromesso e sta tentando di individuare segreti e chiavi per ottenere l'accesso alle risorse sensibili o per eseguire lo spostamento laterale attraverso la rete. |
Spostamento laterale | Medio/alto |
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo (ARM_UnusedAccountPersistence) |
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. | Persistenza | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.CredentialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Accesso tramite credenziali | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione "Raccolta dati" a rischio elevato rilevata da un'entità servizio (ARM_AnomalousServiceOperation.Collection) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Sollecito | Medio |
ANTEPRIMA - Chiamata sospetta di un'operazione di "evasione della difesa" ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.DefenseEvasion) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Evasione delle difese | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione "Esecuzione" ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.Execution) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Esecuzione della difesa | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione "Impatto" ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.Impact) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Impatto | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.InitialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Accesso iniziale | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso spostamento laterale" a rischio elevato rilevata da un'entità servizio (ARM_AnomalousServiceOperation.LateralMovement) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Spostamento laterale | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione di "persistenza" ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.Persistence) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Persistenza | Medio |
ANTEPRIMA: chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio da parte di un'entità servizio rilevata (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Escalation dei privilegi | Medio |
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo (ARM_UnusedAccountPersistence) |
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. | Persistenza | Medio |
ANTEPRIMA - Rilevata sessione di gestione sospetta con PowerShell (ARM_UnusedAppPowershellPersistence) |
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente PowerShell per gestire l'ambiente di sottoscrizione ora sta usando PowerShell, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. | Persistenza | Medio |
ANTEPRIMA - Rilevata sessione di gestione sospetta con il portale di Azure (ARM_UnusedAppIbizaPersistence) |
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente il portale di Azure (Ibiza) per gestire l'ambiente di sottoscrizione (vale a dire che non ha usato portale di Azure per la gestione negli ultimi 45 giorni o una sottoscrizione che sta gestendo attivamente), sta ora usando il portale di Azure, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. | Persistenza | Medio |
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima) (ARM_PrivilegedRoleDefinitionCreation) |
Microsoft Defender per Resource Manager ha rilevato una creazione sospetta della definizione del ruolo personalizzato con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. | Escalation dei privilegi, evasione della difesa | Bassa |
Rilevata assegnazione di ruolo sospetta di Azure (anteprima) (ARM_AnomalousRBACRoleAssignment) |
Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo di Azure sospetta/eseguita usando PIM (Privileged Identity Management) nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per consentire agli amministratori di concedere agli amministratori l'accesso alle risorse di Azure. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare l'assegnazione di ruolo per inoltrare le autorizzazioni consentendo loro di avanzare l'attacco. | Movimento laterale, evasione della difesa | Basso (PIM) / Alto |
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso tramite credenziali | Medio |
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Collection) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Sollecito | Medio |
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Evasione delle difese | Medio |
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Execution) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Esecuzione | Medio |
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Impact) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Impatto | Medio |
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso iniziale | Medio |
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Spostamento laterale | Medio |
Operazione di accesso con privilegi elevati sospetti (anteprima)(ARM_AnomalousElevateAccess) | Microsoft Defender per Resource Manager ha identificato un'operazione sospetta di "Elevare l'accesso". L'attività viene considerata sospetta, in quanto questa entità raramente richiama tali operazioni. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare un'operazione "Elevate Access" per eseguire l'escalation dei privilegi per un utente compromesso. | Escalation dei privilegi | Medio |
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Persistenza | Medio |
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Escalation dei privilegi | Medio |
Utilizzo del toolkit di sfruttamento MicroBurst per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account (ARM_MicroBurst.RunCodeOnBehalf) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire codice arbitrario per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. | Persistenza, accesso alle credenziali | Alto |
Uso delle tecniche NetSPI per mantenere la persistenza nell'ambiente Azure (ARM_NetSPI.MaintainPersistence) |
È stato rilevato l'utilizzo della tecnica di salvataggio permanente di NetSPI per creare una backdoor webhook e mantenere il salvataggio permanente nell'ambiente di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Utilizzo del toolkit di sfruttamento di PowerZure per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account (ARM_PowerZure.RunCodeOnBehalf) |
È stato rilevato un tentativo del toolkit di sfruttamento di PowerZure di eseguire codice o estrarre le credenziali dell'account di Automazione di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Utilizzo della funzione PowerZure per mantenere la persistenza nell'ambiente Azure (ARM_PowerZure.MaintainPersistence) |
È stata rilevata la creazione di una backdoor webhook da parte del toolkit di sfruttamento di PowerZure per mantenere il salvataggio permanente nell'ambiente di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. | - | Alto |
Rilevata assegnazione di ruolo classica sospetta (anteprima) (ARM_AnomalousClassicRoleAssignment) |
Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo classica sospetta nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per garantire la compatibilità con le versioni precedenti con i ruoli classici che non vengono più usati comunemente. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tale assegnazione per concedere le autorizzazioni a un altro account utente sotto il proprio controllo. | Movimento laterale, evasione della difesa | Alto |
Avvisi per Archiviazione di Azure
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Accesso da un'applicazione sospetta (Archiviazione. Blob_SuspiciousApp) |
Indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2 |
Accesso iniziale | Alto/Medio |
Accesso da un indirizzo IP sospetto (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
Indica che l'accesso a questo account di archiviazione è stato eseguito correttamente da un indirizzo IP considerato sospetto. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2 |
Pre-attacco | Alta/Media/Bassa |
Contenuto di phishing ospitato in un account di archiviazione (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
Un URL usato in un attacco di phishing punta all'account di archiviazione di Azure. Questo URL fa parte di un attacco di phishing inviato agli utenti di Microsoft 365. In genere, il contenuto ospitato in tali pagine è progettato per indurre i visitatori a immettere le loro credenziali aziendali o informazioni finanziarie in un modulo Web che sembra legittimo. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure |
Sollecito | Alto |
Archiviazione account identificato come origine per la distribuzione di malware (Archiviazione. Files_WidespreadeAm) |
Gli avvisi antimalware indicano che uno o più file infetti vengono archiviati in una condivisione file di Azure montata in più macchine virtuali. Se gli utenti malintenzionati ottengono l'accesso a una macchina virtuale con una condivisione file di Azure montata, possono usarlo per diffondere malware in altre macchine virtuali che montano la stessa condivisione. Si applica a: File di Azure |
Esecuzione | Medio |
Il livello di accesso di un contenitore BLOB di archiviazione potenzialmente sensibile è stato modificato per consentire l'accesso pubblico non autenticato (Archiviazione. Blob_OpenACL) |
L'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che può contenere dati sensibili, a livello di "contenitore", per consentire l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. In base all'analisi statistica, il contenitore BLOB viene contrassegnato come possibilmente contenente dati sensibili. Questa analisi suggerisce che i contenitori BLOB o gli account di archiviazione con nomi simili in genere non sono esposti all'accesso pubblico. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium). |
Sollecito | Medio |
Accesso autenticato da un nodo di uscita tor (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
È stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2 |
Accesso iniziale/Pre-attacco | Alto/Medio |
Accesso da una posizione insolita a un account di archiviazione (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Indica che è stata riscontrata una modifica nel modello di accesso a un account di archiviazione di Azure. Un utente ha effettuato l'accesso a questo account da un indirizzo IP considerato insolito se confrontato con l'attività recente. Un utente malintenzionato ha ottenuto l'accesso all'account oppure un utente legittimo si è connesso da una posizione geografica nuova o insolita. Un esempio di quest'ultimo caso è la manutenzione remota da una nuova applicazione o sviluppatore. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2 |
Accesso iniziale | Alta/Media/Bassa |
Accesso non autenticato insolito a un contenitore di archiviazione (Storage.Blob_AnonymousAccessAnomaly) |
Questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure |
Accesso iniziale | Alto/Basso |
Potenziale malware caricato in un account di archiviazione (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
Indica che un BLOB contenente potenziale malware è stato caricato in un contenitore BLOB o in una condivisione file in un account di archiviazione. Questo avviso è basato sull'analisi della reputazione hash che sfrutta la potenza dell'intelligence sulle minacce Microsoft, che include hash per virus, trojan, spyware e ransomware. Le possibili cause possono includere un malware intenzionale caricato da un utente malintenzionato o un caricamento involontario di un BLOB potenzialmente dannoso da parte di un utente legittimo. Si applica a: Archiviazione BLOB di Azure, File di Azure (solo per le transazioni tramite l'API REST) Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. |
Spostamento laterale | Alto |
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente (Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery) |
Un'individuazione corretta dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Archiviazione Gen2 |
Sollecito | Alto/Medio |
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito (Archiviazione. Blob_OpenContainersScanning.FailedAttempt) |
Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Archiviazione Gen2 |
Sollecito | Alto/Basso |
Ispezione dell'accesso insolita in un account di archiviazione (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
Indica che le autorizzazioni di accesso di un account di archiviazione sono state ispezionate in modo insolito, se confrontato con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure |
Individuazione | Alto/Medio |
Quantità insolita di dati estratti da un account di archiviazione (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
Indica che è stata estratta una quantità insolitamente elevata di dati se confrontata con l'attività recente per questo contenitore di archiviazione. Una possibile causa è che un utente malintenzionato ha estratto una quantità elevata di dati da un contenitore contenente l'archiviazione BLOB. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2 |
Esfiltrazione | Alto/Basso |
Un'applicazione insolita ha avuto accesso a un account di archiviazione (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
Indica che un'applicazione insolita ha effettuato l'accesso a questo account di archiviazione. Una possibile causa è che un utente malintenzionato ha eseguito l'accesso all'account di archiviazione usando una nuova applicazione. Si applica a: Archiviazione BLOB di Azure, File di Azure |
Esecuzione | Alto/Medio |
Esplorazione insolita dei dati in un account di archiviazione (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
Indica che i BLOB o i contenitori in un account di archiviazione sono stati enumerati in modo insolito, se confrontato con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure |
Esecuzione | Alto/Medio |
Eliminazione insolita in un account di archiviazione (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
Indica che in un account di archiviazione si sono verificate una o più operazioni di eliminazione impreviste, se confrontate con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eliminato i dati dall'account di archiviazione. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2 |
Esfiltrazione | Alto/Medio |
Accesso pubblico non autenticato insolito a un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_AnonymousAccessAnomaly.Sensitive |
L'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione senza autenticazione, usando un indirizzo IP esterno (pubblico). Questo accesso è sospetto perché il contenitore BLOB è aperto all'accesso pubblico ed è in genere accessibile solo con l'autenticazione da reti interne (indirizzi IP privati). Questo accesso potrebbe indicare che il livello di accesso del contenitore BLOB non è configurato correttamente e che un attore malintenzionato potrebbe aver sfruttato l'accesso pubblico. L'avviso di sicurezza include il contesto delle informazioni riservate individuate (tempo di analisi, etichetta di classificazione, tipi di informazioni e tipi di file). Altre informazioni sul rilevamento delle minacce per i dati sensibili. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Accesso iniziale | Alto |
Quantità insolita di dati estratti da un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive |
L'avviso indica che un utente ha estratto un numero insolitamente elevato di BLOB da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Esfiltrazione | Medio |
Numero insolito di BLOB estratti da un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive |
L'avviso indica che un utente ha estratto una quantità insolitamente elevata di dati da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Esfiltrazione | |
Accesso da un'applicazione sospetta nota a un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_SuspiciousApp.Sensitive |
L'avviso indica che un utente con un'applicazione sospetta nota ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione ed ha eseguito operazioni autenticate. L'accesso può indicare che un attore di minaccia ha ottenuto le credenziali per accedere all'account di archiviazione usando un'applicazione sospetta nota. Tuttavia, l'accesso potrebbe anche indicare un test di penetrazione eseguito nell'organizzazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Accesso iniziale | Alto |
Accesso da un indirizzo IP sospetto noto a un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_SuspiciousIp.Sensitive |
L'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione da un indirizzo IP sospetto noto associato a threat intel da Microsoft Threat Intelligence. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Pre-attacco | Alto |
Accesso da un nodo di uscita tor a un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_TorAnomaly.Sensitive |
L'avviso indica che un utente con un indirizzo IP noto come nodo di uscita tor ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione con accesso autenticato. L'accesso autenticato da un nodo di uscita tor indica fortemente che l'attore sta tentando di rimanere anonimo per possibili finalità dannose. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Pre-attacco | Alto |
Accesso da una posizione insolita a un contenitore BLOB sensibile (anteprima) Archiviazione. Blob_GeoAnomaly.Sensitive |
L'avviso indica che un utente ha eseguito l'accesso al contenitore BLOB con dati sensibili nell'account di archiviazione con autenticazione da una posizione insolita. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Accesso iniziale | Medio |
Il livello di accesso di un contenitore BLOB di archiviazione sensibile è stato modificato per consentire l'accesso pubblico non autenticato (anteprima) Archiviazione. Blob_OpenACL.Sensitive |
L'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che contiene dati sensibili, al livello "Contenitore", che consente l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. La modifica del livello di accesso può compromettere la sicurezza dei dati. È consigliabile intervenire immediatamente per proteggere i dati e impedire l'accesso non autorizzato nel caso in cui venga attivato questo avviso. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata. |
Sollecito | Alto |
Accesso esterno sospetto a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima) Archiviazione. Blob_AccountSas.InternalSasUsedExternally |
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. Questo tipo di accesso è considerato sospetto perché il token di firma di accesso condiviso viene in genere usato solo nelle reti interne (da indirizzi IP privati). L'attività può indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente rilevato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione. |
Esfiltrazione/Sviluppo risorse/Impatto | Medio |
Operazione esterna sospetta a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima) Archiviazione. Blob_AccountSas.UnusualOperationFromExternalIp |
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. L'accesso è considerato sospetto perché le operazioni richiamate all'esterno della rete (non da indirizzi IP privati) con questo token di firma di accesso condiviso vengono in genere usate per un set specifico di operazioni di lettura/scrittura/eliminazione, ma si sono verificate altre operazioni che rendono sospetto questo accesso. Questa attività può indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente trapelato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione. |
Esfiltrazione/Sviluppo risorse/Impatto | Medio |
Token di firma di accesso condiviso insolito è stato usato per accedere a un account di archiviazione di Azure da un indirizzo IP pubblico (anteprima) Archiviazione. Blob_AccountSas.UnusualExternalAccess |
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso dell'account. L'accesso è estremamente insolito e considerato sospetto, poiché l'accesso all'account di archiviazione usando i token di firma di accesso condiviso in genere proviene solo da indirizzi IP interni (privati). È possibile che un token di firma di accesso condiviso sia stato trapelato o generato da un attore malintenzionato dall'interno dell'organizzazione o esternamente per ottenere l'accesso a questo account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione. |
Esfiltrazione/Sviluppo risorse/Impatto | Bassa |
File dannoso caricato nell'account di archiviazione Archiviazione. Blob_AM. MalwareFound |
L'avviso indica che un BLOB dannoso è stato caricato in un account di archiviazione. Questo avviso di sicurezza viene generato dalla funzionalità Analisi malware in Defender per Archiviazione. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un attore di minaccia o un caricamento involontario di un file dannoso da parte di un utente legittimo. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata. |
Spostamento laterale | Alto |
IL BLOB dannoso è stato scaricato da un account di archiviazione (anteprima) Archiviazione. Blob_MalwareDownload |
L'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o un download involontario del malware da parte di utenti o applicazioni legittime. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata. |
Spostamento laterale | Alto, se Eicar - basso |
Avvisi per Azure Cosmos DB
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Accesso da un nodo di uscita tor (CosmosDB_TorAnomaly) |
Questo account Azure Cosmos DB è stato eseguito correttamente dall'accesso da un indirizzo IP noto come nodo di uscita attivo di Tor, un proxy anonimizzato. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. | Accesso iniziale | Alto/Medio |
Accesso da un indirizzo IP sospetto (CosmosDB_SuspiciousIp) |
L'accesso a questo account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP identificato come minaccia da Microsoft Threat Intelligence. | Accesso iniziale | Medio |
Accesso da una posizione insolita (CosmosDB_GeoAnomaly) |
Questo account Azure Cosmos DB è stato eseguito dall'accesso da una posizione considerata non familiare, in base al modello di accesso consueto. Un attore di minaccia ha ottenuto l'accesso all'account o un utente legittimo si è connesso da una posizione geografica nuova o insolita |
Accesso iniziale | Bassa |
Volume insolito dei dati estratti (CosmosDB_DataExfiltrationAnomaly) |
Un volume insolitamente elevato di dati è stato estratto da questo account Azure Cosmos DB. Ciò potrebbe indicare che un attore di minaccia esfiltra i dati. | Esfiltrazione | Medio |
Estrazione delle chiavi degli account Azure Cosmos DB tramite uno script potenzialmente dannoso (CosmosDB_SuspiciousListKeys.MaliciousScript) |
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di operazioni di elenco delle chiavi per ottenere le chiavi degli account Azure Cosmos DB nella sottoscrizione. Gli attori delle minacce usano script automatizzati, ad esempio Microburst, per elencare le chiavi e trovare gli account Azure Cosmos DB a cui possono accedere. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere gli account Azure Cosmos DB nell'ambiente per finalità dannose. In alternativa, un insider malintenzionato potrebbe tentare di accedere ai dati sensibili ed eseguire lo spostamento laterale. |
Sollecito | Medio |
Estrazione sospetta delle chiavi dell'account Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | Un'origine sospetta ha estratto le chiavi di accesso dell'account Azure Cosmos DB dalla sottoscrizione. Se questa fonte non è una fonte legittima, questo potrebbe essere un problema ad alto impatto. La chiave di accesso estratta fornisce il controllo completo sui database associati e sui dati archiviati all'interno. Per informazioni sul motivo per cui l'origine è stata contrassegnata come sospetta, vedere i dettagli di ogni avviso specifico. | Accesso tramite credenziali | high |
SQL injection: potenziale esfiltrazione di dati (CosmosDB_SqlInjection.DataExfiltration) |
È stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB. L'istruzione inserita potrebbe avere avuto esito positivo nell'esfiltrazione dei dati a cui l'attore di minaccia non è autorizzato ad accedere. A causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti sugli account Azure Cosmos DB non possono funzionare. Tuttavia, la variazione usata in questo attacco può funzionare e gli attori delle minacce possono esfiltrare i dati. |
Esfiltrazione | Medio |
SQL injection: tentativo di fuzzing (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
È stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB. Analogamente ad altri attacchi SQL injection noti, questo attacco non riuscirà a compromettere l'account Azure Cosmos DB. Tuttavia, è un'indicazione che un attore di minaccia sta tentando di attaccare le risorse in questo account e l'applicazione potrebbe essere compromessa. Alcuni attacchi SQL injection possono avere esito positivo e essere usati per esfiltrare i dati. Ciò significa che se l'utente malintenzionato continua a eseguire tentativi di inserimento SQL, potrebbe essere in grado di compromettere l'account Azure Cosmos DB ed esfiltrare i dati. È possibile evitare questa minaccia usando query con parametri. |
Prima di un attacco | Bassa |
Avvisi per il livello di rete di Azure
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Rilevata comunicazione di rete con un computer dannoso (Network_CommunicationWithC2) |
L'analisi del traffico di rete indica che il computer (IP %{IP vittima}) ha comunicato con un possibile centro di comando e controllo. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) hanno comunicato con un possibile centro di comando e controllo. | Comando e controllo | Medio |
Rilevato possibile computer compromesso (Network_ResourceIpIndicatedAsMalicious) |
Intelligence per le minacce indica che il computer (all'indirizzo IP %{IP computer}) potrebbe essere stato compromesso da un malware di tipo Conficker. Conficker è worm informatico destinato al sistema operativo Microsoft Windows rilevato per la prima volta nel novembre 2008. Conficker ha infettato milioni di computer governativi, aziendali e domestici in oltre 200 paesi, diventando la più grande infezione da worm informatico dal worm Welchia del 2003. | Comando e controllo | Medio |
Rilevati possibili tentativi di attacco di forza bruta da %{nome servizio} (Generic_Incoming_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione in ingresso da %{nome servizio} a %{IP vittima}, associata alla risorsa %{host compromesso} da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{porta vittima}. L'attività è coerente con i tentativi di attacco di forza bruta ai server %{nome servizio}. | PreAttack | Medio |
Rilevati possibili tentativi di attacco di forza bruta a SQL in ingresso (SQL_Incoming_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione SQL in ingresso a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{numero di porta} (%{tipo di servizio SQL}). L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL. | PreAttack | Medio |
Rilevato possibile attacco Denial of Service in uscita (DDOS) |
L'analisi del traffico di rete ha rilevato un'attività in uscita anomala originata da %{host compromesso}, una risorsa nella distribuzione. Questa attività può indicare che la risorsa è stata compromessa e ora è coinvolta in attacchi Denial of Service contro endpoint esterni. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) sono state compromesse. In base al volume delle connessioni, si ritiene che gli IP seguenti possano essere gli obiettivi dell'attacco DOS: %{possibili vittime}. Si noti che è possibile che la comunicazione ad alcuni di questi IP sia legittima. | Impatto | Medio |
Attività di rete RDP in ingresso sospetta da più origini (RDP_Incoming_BF_ManyToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP da più host (botnet). | PreAttack | Medio |
Attività di rete RDP in ingresso sospetta (RDP_Incoming_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione Remote Desktop Protocol (RDP) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP. | PreAttack | Medio |
Attività di rete SSH in ingresso sospetta da più origini (SSH_Incoming_BF_ManyToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH da più host (botnet). | PreAttack | Medio |
Attività di rete SSH in ingresso sospetta (SSH_Incoming_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH. | PreAttack | Medio |
Rilevato traffico in uscita da %{protocollo attaccato} sospetto (PortScanning) |
L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso} alla porta di destinazione %{porta più comune}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Questo comportamento può indicare che la risorsa sta partecipando ad attacchi di scansione sistematica delle porte o a tentativi di attacco di forza bruta contro %{protocollo attaccato}. | Individuazione | Medio |
Attività di rete RDP in uscita sospetta verso più destinazioni (RDP_Outgoing_BF_OneToMany) |
L'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala verso più destinazioni proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che il computer si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. | Individuazione | Alto |
Attività di rete RDP in uscita sospetta (RDP_Outgoing_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione Remote Desktop Protocol (RDP) in uscita anomala a %{IP vittima} proveniente da %{host compromesso} %{IP utente malintenzionato}, una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. | Spostamento laterale | Alto |
Attività di rete SSH in uscita sospetta verso più destinazioni (SSH_Outgoing_BF_OneToMany) |
L'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala verso più destinazioni proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che la risorsa si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. | Individuazione | Medio |
Attività di rete SSH in uscita sospetta (SSH_Outgoing_BF_OneToOne) |
L'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala a %{IP vittima} proveniente da %{host compromesso} %{IP utente malintenzionato}, una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. | Spostamento laterale | Medio |
Rilevato traffico da indirizzi IP per cui è consigliato il blocco | Microsoft Defender per il cloud rilevato traffico in ingresso da indirizzi IP che è consigliabile bloccare. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud. | Esecuzione del probe | Bassa |
Avvisi per Azure Key Vault
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccess) |
Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò può indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. | Accesso tramite credenziali | Medio |
Accesso da un nodo di uscita TOR a un insieme di credenziali delle chiavi (KV_TORAccess) |
È stato eseguito l'accesso a un insieme di credenziali da un nodo di uscita TOR noto. Potrebbe indicare che un utente malintenzionato ha eseguito l'accesso all'insieme di credenziali delle chiavi e usa la rete TOR per nascondere la sua posizione di origine. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Volume elevato di operazioni in un insieme di credenziali delle chiavi (KV_OperationVolumeAnomaly) |
Un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico ha eseguito un numero anomalo di operazioni nell'insieme di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Modifica dei criteri e query dei segreti sospette in un insieme di credenziali delle chiavi (KV_PutGetAnomaly) |
Un utente o un'entità servizio ha eseguito un'operazione di modifica anomala del criterio Vault Put seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata. Può trattarsi di un'attività legittima, ma potrebbe anche indicare che un utente malintenzionato ha aggiornato i criteri dell'insieme di credenziali delle chiavi per accedere a segreti in precedenza inaccessibili. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Elenco e query dei segreti sospette in un insieme di credenziali delle chiavi (KV_ListGetAnomaly) |
Un utente o un'entità servizio ha eseguito un'operazione Secret List anomala seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata ed è in genere associato al dump di segreti. Può trattarsi di un'attività legittima, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e sta provando a individuare segreti che possono essere usati per spostarsi lateralmente attraverso la rete e/o per ottenere l'accesso a risorse sensibili. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato (KV_AccountVolumeAccessDeniedAnomaly) |
Un utente o un'entità servizio ha tentato di accedere a volumi anomali elevati di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Individuazione | Bassa |
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi (KV_UserAccessDeniedAnomaly) |
Un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. | Accesso iniziale, individuazione | Bassa |
Un'applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi (KV_AppAnomaly) |
È stato eseguito l'accesso a un insieme di credenziali delle chiavi da un'entità servizio che normalmente non vi accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Modello di operazione insolito in un insieme di credenziali delle chiavi (KV_OperationPatternAnomaly) |
Un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico ha eseguito un modello anomalo di operazioni nell'insieme di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Un utente insolito ha avuto accesso a un insieme di credenziali delle chiavi (KV_UserAnomaly) |
Un utente ha eseguito l'accesso a un insieme di credenziali delle chiavi a cui normalmente non accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Una coppia utente-applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi (KV_UserAppAnomaly) |
Un insieme di credenziali delle chiavi è stato eseguito da una coppia di entità servizio utente che normalmente non vi accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Un utente ha avuto accesso a un volume elevato di insiemi di credenziali delle chiavi (KV_AccountVolumeAnomaly) |
Un utente o un'entità servizio ha eseguito l'accesso a un numero elevato in modo anomalo di insiemi di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso a più insiemi di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al loro interno. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccessDenied) |
Un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Bassa |
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno) (KV_UnusualAccessSuspiciousIP) |
Un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Avvisi per Protezione DDoS di Azure
Avviso | Descrizione | Tattiche MITRE Altre informazioni |
Gravità |
---|---|---|---|
Rilevato attacco DDoS per IP pubblico (NETWORK_DDOS_DETECTED) |
È stato rilevato un attacco DDoS per l'IP pubblico (indirizzo IP) che è in fase di mitigazione. | Esecuzione del probe | Alto |
Mitigato attacco DDoS per IP pubblico (NETWORK_DDOS_MITIGATED) |
È stato mitigato un attacco DDoS per l'IP pubblico (indirizzo IP). | Esecuzione del probe | Bassa |
Tattiche MITRE ATT&CK
Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, Microsoft Defender per il cloud avvisi includono le tattiche MITRE con molti avvisi.
La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".
le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 9 della matrice MITRE ATT&CK e descritte nella tabella seguente.
Tattica | Versione di ATT&CK | Descrizione |
---|---|---|
Pre-attacco | PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso. | |
Accesso iniziale | V7, V9 | L'accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via. Gli attori delle minacce saranno spesso in grado di controllare la risorsa dopo questa fase. |
Persistenza | V7, V9 | Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso. |
Escalation dei privilegi | V7, V9 | L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per gli antagonisti per raggiungere il loro obiettivo possono anche essere considerati un'escalation dei privilegi. |
Evasione della difesa | V7, V9 | L'evasione delle difese è costituita da tecniche che un antagonista potrebbe usare per evadere il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione. |
Accesso alle credenziali | V7, V9 | L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate all'interno di un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente. |
Individuazione | V7, V9 | L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e sui vantaggi che operando da tale sistema potrebbero ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione. |
Spostamento laterale | V7, V9 | Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un avversario può usare lo spostamento laterale per molti scopi, tra cui esecuzione remota di strumenti, pivoting a più sistemi, accesso a informazioni o file specifici, accesso a più credenziali o per causare un effetto. |
Esecuzione | V7, V9 | La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata in combinazione con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete. |
Raccolta | V7, V9 | La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione. |
Comando e controllo | V7, V9 | La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione. |
Esfiltrazione | V7, V9 | Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione. |
Impatto | V7, V9 | Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per avere ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via. |
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Avvisi di Defender per server deprecati
Le tabelle seguenti includono gli avvisi di sicurezza di Defender per server deprecati nell'aprile 2023 a causa di un processo di miglioramento.
Avvisi Linux deprecati
Tipo di avviso | Nome visualizzato avviso | Gravità |
---|---|---|
VM_AbnormalDaemonTermination | Terminazione anomala | Bassa |
VM_BinaryGeneratedFromCommandLine | Rilevato file binario sospetto | Medio |
VM_CommandlineSuspectDomain sospetto | informazioni di riferimento sul nome di dominio | Bassa |
VM_CommonBot | Rilevato comportamento simile a bot di Linux comuni | Medio |
VM_CompCommonBots | Sono stati rilevati comandi simili ai bot Linux comuni | Medio |
VM_CompSuspiciousScript | Rilevato script della shell | Medio |
VM_CompTestRule | Avviso di test analitico composito | Bassa |
VM_CronJobAccess | Modifica delle attività pianificate rilevate | Informazioni |
VM_CryptoCoinMinerArtifacts | Rilevato processo associato al mining della valuta digitale | Medio |
VM_CryptoCoinMinerDownload | Rilevato un possibile download di Cryptocoinminer | Medio |
VM_CryptoCoinMinerExecution | Il potenziale minatore di moneta crittografica ha iniziato | Medio |
VM_DataEgressArtifacts | Rilevata possibile esfiltrazione di dati | Medio |
VM_DigitalCurrencyMining | Rilevato comportamento correlato al mining della valuta digitale | Alto |
VM_DownloadAndRunCombo | Download sospetto, quindi eseguire l'attività | Medio |
VM_EICAR | Microsoft Defender per il cloud avviso di test (non una minaccia) | Alto |
VM_ExecuteHiddenFile | Esecuzione di file nascosti | Informazioni |
VM_ExploitAttempt | Possibile tentativo di sfruttamento della riga di comando | Medio |
VM_ExposedDocker | Daemon Docker esposto nel socket TCP | Medio |
VM_FairwareMalware | Rilevato comportamento simile al ransomware Fairware | Medio |
VM_FirewallDisabled | Rilevata manipolazione del firewall host | Medio |
VM_HadoopYarnExploit | Possibile sfruttamento di Hadoop Yarn | Medio |
VM_HistoryFileCleared | Un file di cronologia è stato cancellato | Medio |
VM_KnownLinuxAttackTool | Rilevato possibile strumento di attacco | Medio |
VM_KnownLinuxCredentialAccessTool | Rilevato possibile strumento di accesso alle credenziali | Medio |
VM_KnownLinuxDDoSToolkit | Rilevati indicatori associati a un toolkit DDoS | Medio |
VM_KnownLinuxScreenshotTool | Screenshot acquisito nell'host | Bassa |
VM_LinuxBackdoorArtifact | Rilevata possibile backdoor | Medio |
VM_LinuxReconnaissance | Rilevata ricognizione dell'host locale | Medio |
VM_MismatchedScriptFeatures | Rilevata mancata corrispondenza dell'estensione dello script | Medio |
VM_MitreCalderaTools | Rilevato agente MITRE Caldera | Medio |
VM_NewSingleUserModeStartupScript | Tentativo di persistenza rilevato | Medio |
VM_NewSudoerAccount | Account aggiunto al gruppo sudo | Bassa |
VM_OverridingCommonFiles | Potenziale override di file comuni | Medio |
VM_PrivilegedContainerArtifacts | Contenitore in esecuzione in modalità con privilegi | Bassa |
VM_PrivilegedExecutionInContainer | Comando all'interno di un contenitore in esecuzione con privilegi elevati | Bassa |
VM_ReadingHistoryFile | Accesso insolito al file di cronologia bash | Informazioni |
VM_ReverseShell | Rilevata potenziale shell inversa | Medio |
VM_SshKeyAccess | Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito | Bassa |
VM_SshKeyAddition | Nuova chiave SSH aggiunta | Bassa |
VM_SuspectCompilation | Rilevata compilazione sospetta | Medio |
VM_SuspectConnessione ion | Rilevato un tentativo di connessione non comune | Medio |
VM_SuspectDownload | Rilevato download di un file da un'origine dannosa nota | Medio |
VM_SuspectDownloadArtifacts | Rilevato download di un file sospetto | Bassa |
VM_SuspectExecutablePath | Rilevato eseguibile in esecuzione da un percorso sospetto | Medio |
VM_SuspectHtaccessFileAccess | Rilevato accesso al file htaccess | Medio |
VM_SuspectInitialShellCommand | Primo comando sospetto nella shell | Bassa |
VM_SuspectMixedCaseText | Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando | Medio |
VM_SuspectNetworkConnessione | Connessione di rete sospetta | Informazioni |
VM_SuspectNohup | Rilevato uso sospetto del comando nohup | Medio |
VM_SuspectPasswordChange | È stata rilevata una possibile modifica della password usando il metodo crypt | Medio |
VM_SuspectPasswordFileAccess | Accesso sospetto alle password | Informazioni |
VM_SuspectPhp | Rilevata esecuzione PHP sospetta | Medio |
VM_SuspectPortForwarding | Potenziale port forwarding a un indirizzo IP esterno | Medio |
VM_SuspectProcessAccountPrivilegeCombo | Il processo in esecuzione in un account del servizio è diventato in modo imprevisto | Medio |
VM_SuspectProcessTermination | Rilevata terminazione dei processi correlati alla sicurezza | Bassa |
VM_SuspectUserAddition | Rilevato uso sospetto del comando useradd | Medio |
VM_SuspiciousCommandLineExecution | Esecuzione comando sospetta | Alto |
VM_SuspiciousDNSOverHttps | Uso sospetto di DNS su HTTPS | Medio |
VM_SystemLogRemoval | Rilevata possibile attività di manomissione dei log | Medio |
VM_ThreatIntelCommandLineSuspectDomain | È stata rilevata una possibile connessione a una posizione dannosa | Medio |
VM_ThreatIntelSuspectLogon | È stato rilevato un accesso da un indirizzo IP dannoso | Alto |
VM_TimerServiceDisabled | Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer | Informazioni |
VM_TimestampTampering | Modifica del timestamp del file sospetta | Bassa |
VM_Webshell | Rilevata possibile web shell dannosa | Medio |
Avvisi di Windows deprecati
Tipo di avviso | Nome visualizzato avviso | Gravità |
---|---|---|
SCUBA_MULTIPLEACCOUNTCREATE | Creazione sospetta di account in più host | Medio |
SCUBA_PSINSIGHT_CONTEXT | Rilevato uso sospetto di PowerShell | Informazioni |
SCUBA_RULE_AddGuestToAmministrazione istrator | Aggiunta dell'account Guest al gruppo Administrators locale | Medio |
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | Medio |
SCUBA_RULE_KnownBruteForcingTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_KnownCollectionTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_KnownDefenseEvasionTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_KnownExecutionTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_KnownPassTheHashTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_KnownSpammingTools | Esecuzione di processo sospetto | Medio |
SCUBA_RULE_Lowering_Security_Impostazioni | Rilevata disabilitazione di servizi critici | Medio |
SCUBA_RULE_OtherKnownHackerTools | Esecuzione di processo sospetto | Alto |
SCUBA_RULE_RDP_session_hijacking_via_tscon | Livello di integrità sospetto indicativo di hijack RDP | Medio |
SCUBA_RULE_RDP_session_hijacking_via_tscon_service | Installazione di un servizio sospetta | Medio |
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso | Bassa |
SCUBA_RULE_WDigest_Enabling | Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential | Medio |
VM.Windows_ApplockerBypass | Rilevato potenziale tentativo di ignorare AppLocker | Alto |
VM.Windows_BariumKnownSuspiciousProcessExecution | Rilevata creazione di file sospetta | Alto |
VM.Windows_Base64EncodedExecutableInCommandLineParams | Rilevato file eseguibile codificato nei dati della riga di comando | Alto |
VM.Windows_CalcsCommandLineUse | Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema | Medio |
VM.Windows_CommandLineStartingAllExe | Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory | Medio |
VM.Windows_DisablingAndDeletingIISLogFiles | Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS | Medio |
VM.Windows_DownloadUsingCertutil | Rilevato download sospetto con Certutil | Medio |
VM.Windows_EchoOverPipeOnLocalhost | Rilevate comunicazioni della named pipe sospette | Alto |
VM.Windows_EchoToConstructPowerShellScript | Costruzione dinamica di script di PowerShell | Medio |
VM.Windows_ExecutableDecodedUsingCertutil | Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito | Medio |
VM.Windows_FileDeletionIsSospisiousLocation | Rilevata eliminazione di file sospetta | Medio |
VM.Windows_KerberosGoldenTicketAttack | Osservati sospetti parametri di attacco con Golden Ticket Kerberos | Medio |
VM.Windows_KeygenToolKnownProcessName | Rilevata possibile esecuzione del processo sospetto dell'eseguibile keygen | Medio |
VM.Windows_KnownCredentialAccessTools | Esecuzione di processo sospetto | Alto |
VM.Windows_KnownSuspiciousPowerShellScript | Rilevato uso sospetto di PowerShell | Alto |
VM.Windows_KnownSuspiciousSoftwareInstallation | Rilevato software a rischio elevato | Medio |
VM.Windows_MsHtaAndPowerShellCombination | Rilevata combinazione sospetta di HTA e PowerShell | Medio |
VM.Windows_MultipleAccountsQuery | Tentativi ripetuti di query sugli account di dominio | Medio |
VM.Windows_NewAccountCreation | È stata rilevata la creazione dell'account | Informazioni |
VM.Windows_ObfuscatedCommandLine | Rilevata riga di comando offuscata. | Alto |
VM.Windows_PcaluaUseToLaunchExecutable | Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile | Medio |
VM.Windows_PetyaRansomware | Rilevati indicatori ransomware Petya | Alto |
VM.Windows_PowerShellPowerSploitScriptExecution | Esecuzione di cmdlet di PowerShell sospetti | Medio |
VM.Windows_RansomwareIndication | Rilevati indicatori ransomware | Alto |
VM.Windows_SqlDumperUsedSuspiciously | Rilevato possibile dump delle credenziali [visto più volte] | Medio |
VM.Windows_StopCriticalServices | Rilevata disabilitazione di servizi critici | Medio |
VM.Windows_SubvertingAccessibilityBinary | Rilevato attacco chiavi permanenti Rilevata creazione di account sospetti Medio |
|
VM.Windows_SuspiciousAccountCreation | Rilevata creazione sospetta di account | Medio |
VM.Windows_SuspiciousFirewallRuleAdded | Rilevata nuova regola del firewall sospetta | Medio |
VM.Windows_SuspiciousFTPSSwitchUsage | Rilevato uso sospetto dell'opzione FTP -s | Medio |
VM.Windows_SuspiciousSQLActivity | Attività SQL sospetta | Medio |
VM.Windows_SVCHostFromInvalidPath | Esecuzione di processo sospetto | Alto |
VM.Windows_SystemEventLogCleared | Il log di Sicurezza di Windows è stato cancellato | Informazioni |
VM.Windows_TelegramInstallation | Rilevato uso potenzialmente sospetto dello strumento Telegram | Medio |
VM.Windows_UndercoverProcess | Rilevato processo con nome sospetto | Alto |
VM.Windows_UserAccountControlBypass | Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente | Medio |
VM.Windows_VBScriptEncoding | Rilevata esecuzione sospetta del comando VBScript.Encode | Medio |
VM.Windows_WindowPositionRegisteryChange | Rilevato valore del Registro di sistema WindowPosition sospetto | Bassa |
VM.Windows_ZincPortOpenningUsingFirewallRule | Regola del firewall dannosa creata dall'impianto server ZINCO | Alto |
VM_DigitalCurrencyMining | Rilevato comportamento correlato al mining della valuta digitale | Alto |
VM_MaliciousSQLActivity | Attività SQL dannosa | Alto |
VM_ProcessWithDoubleExtensionExecution | Esecuzione sospetta di un file a doppia estensione | Alto |
VM_RegistryPersistencyKey | Rilevato metodo di salvataggio permanente del Registro di sistema di Windows | Bassa |
VM_ShadowCopyDeletion | Attività di copia shadow del volume sospetta Rilevato eseguibile in esecuzione da un percorso sospetto |
Alto |
VM_SuspectExecutablePath | File eseguibile trovato in esecuzione da una posizione sospetta Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando |
Informativo Medio |
VM_SuspectPhp | Rilevata esecuzione PHP sospetta | Medio |
VM_SuspiciousCommandLineExecution | Esecuzione comando sospetta | Alto |
VM_SuspiciousScreenSaverExecution | Esecuzione di un processo Screensaver | Medio |
VM_SvcHostRunInRareServiceGroup | Esecuzione di un gruppo di servizi SVCHOST raro | Informazioni |
VM_SystemProcessInAbnormalContext | Esecuzione di un processo di sistema sospetto | Medio |
VM_ThreatIntelCommandLineSuspectDomain | È stata rilevata una possibile connessione a una posizione dannosa | Medio |
VM_ThreatIntelSuspectLogon | È stato rilevato un accesso da un indirizzo IP dannoso | Alto |
VM_VbScriptHttpObjectAllocation | Rilevata allocazione di un oggetto HTTP VBScript | Alto |
Avvisi per Defender per le API
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Picco sospetto a livello di popolamento nel traffico DELL'API verso un endpoint API (API_PopulationSpikeInAPITraffic) |
È stato rilevato un picco sospetto nel traffico dell'API in uno degli endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico api di routine tra tutti gli INDIRIZZI IP e l'endpoint, con la baseline specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette. | Impatto | Medio |
Picco sospetto nel traffico dell'API da un singolo indirizzo IP a un endpoint API (API_SpikeInAPITraffic) |
È stato rilevato un picco sospetto nel traffico dell'API da un IP client all'endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico dell'API di routine verso l'endpoint proveniente da un indirizzo IP specifico all'endpoint. Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette. | Impatto | Medio |
Payload di risposta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API (API_SpikeInPayload) |
È stato osservato un picco sospetto nelle dimensioni del payload della risposta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta le dimensioni tipiche del payload della risposta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni del payload della risposta API sono state deviate in modo significativo rispetto alla baseline cronologica. | Accesso iniziale | Medio |
Corpo della richiesta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API (API_SpikeInPayload) |
È stato osservato un picco sospetto nelle dimensioni del corpo della richiesta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta la tipica dimensione del corpo della richiesta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni di una richiesta API sono state deviate in modo significativo rispetto alla baseline cronologica. | Accesso iniziale | Medio |
(Anteprima) Picco sospetto di latenza per il traffico tra un singolo indirizzo IP e un endpoint API (API_SpikeInLatency) |
È stato osservato un picco sospetto di latenza per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta la latenza del traffico api di routine tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché una latenza di chiamata API è stata deviata in modo significativo dalla baseline cronologica. | Accesso iniziale | Medio |
Le richieste API spruzzano da un singolo indirizzo IP a un numero insolitamente elevato di endpoint API distinti (API_SprayInRequests) |
È stato osservato un singolo INDIRIZZO IP che effettua chiamate API a un numero insolitamente elevato di endpoint distinti. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per le API apprende una baseline che rappresenta il numero tipico di endpoint distinti chiamati da un singolo IP in finestre di 20 minuti. L'avviso è stato attivato perché il comportamento di un singolo IP è stato deviato in modo significativo dalla baseline cronologica. | Individuazione | Medio |
Enumerazione dei parametri in un endpoint API (API_ParameterEnumeration) |
È stato osservato un singolo INDIRIZZO IP che enumera i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati da un singolo IP durante l'accesso a questo endpoint in finestre di 20 minuti. L'avviso è stato attivato perché un singolo IP client ha eseguito di recente l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametri distinti. | Accesso iniziale | Medio |
Enumerazione dei parametri distribuiti in un endpoint API (API_DistributedParameterEnumeration) |
Il popolamento utenti aggregato (tutti gli INDIRIZZI IP) è stato osservato enumerando i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati dal popolamento dell'utente (tutti gli INDIRIZZI IP) durante l'accesso a un endpoint in finestre di 20 minuti. L'avviso è stato attivato perché l'utente ha recentemente eseguito l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametro distinti. | Accesso iniziale | Medio |
Valori dei parametri con tipi di dati anomali in una chiamata API (API_UnseenParamType) |
È stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API e usa i valori dei parametri di un tipo di dati a bassa probabilità (ad esempio stringa, integer e così via). In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende i tipi di dati previsti per ogni parametro API. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un tipo di dati di probabilità precedentemente basso come input di parametro. | Impatto | Medio |
Parametro precedentemente non visibile usato in una chiamata API (API_UnseenParam) |
È stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API usando un parametro precedentemente non visualizzato o fuori limite nella richiesta. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende un set di parametri previsti associati alle chiamate a un endpoint. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un parametro non visualizzato in precedenza. | Impatto | Medio |
Accesso da un nodo di uscita tor a un endpoint API (API_AccessFromTorExitNode) |
Un indirizzo IP dalla rete Tor ha eseguito l'accesso a uno degli endpoint API. Tor è una rete che consente agli utenti di accedere a Internet mantenendo nascosto il proprio IP reale. Anche se esistono usi legittimi, viene spesso usato dagli utenti malintenzionati per nascondere la propria identità quando sono destinati ai sistemi online delle persone. | Prima di un attacco | Medio |
Accesso all'endpoint API da un indirizzo IP sospetto (API_AccessFromSuspiciousIP) |
Un indirizzo IP che accede a uno degli endpoint API è stato identificato da Microsoft Threat Intelligence come una minaccia elevata. Durante l'osservazione del traffico Internet dannoso, questo IP è venuto come coinvolto nell'attaccare altri obiettivi online. | Prima di un attacco | Alto |
Rilevato agente utente sospetto (API_AccessFromSuspiciousUserAgent) |
L'agente utente di una richiesta che accede a uno degli endpoint API contiene valori anomali indicativi di un tentativo di esecuzione del codice remoto. Ciò non significa che uno degli endpoint API è stato violato, ma suggerisce che è in corso un tentativo di attacco. | Esecuzione | Medio |