Guida di riferimento per gli avvisi di sicurezza

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nella parte inferiore di questa pagina è presente una tabella che descrive la Microsoft Defender per il cloud kill chain allineata alla versione 9 della matrice MITRE ATT&CK.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

Avvisi per computer Windows

Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Windows sono:

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
È stato rilevato un accesso da un indirizzo IP dannoso. [visto più volte] È stata correttamente eseguita un'autenticazione remota per l'account [account] e il processo [processo], ma l'indirizzo IP per l'accesso (x.x.x.x) è stato precedentemente segnalato come dannoso o estremamente insolito. Probabilmente l'attacco è riuscito. I file con estensione scr sono file di screen saver e in genere si trovano e vengono eseguiti dalla directory di sistema di Windows. - Alto
Aggiunta dell'account Guest al gruppo Administrators locale L'analisi dei dati dell'host ha rilevato l'aggiunta dell'account Guest predefinito al gruppo Administrators locale in %{host compromesso}, un'operazione strettamente associata all'attività di un utente malintenzionato. - Medio
Un registro eventi è stato cancellato I log del computer indicano un'operazione sospetta di cancellazione del registro eventi eseguita dall'utente: '%{nome utente}' nel computer: '%{entità compromessa}'. Il log %{canale log} è stato cancellato. - Informazioni
Azione antimalware non riuscita Durante l'azione intrapresa da Microsoft Antimalware su malware o altro software potenzialmente indesiderato, si è verificato un errore. - Medio
Azione antimalware intrapresa Microsoft Antimalware per Azure ha intrapreso un'azione per proteggere questo computer da malware o da altro software potenzialmente indesiderato. - Medio
Esclusione di file generali antimalware nella macchina virtuale
(VM_AmBroadFilesExclusion)
L'esclusione di file dall'estensione antimalware con una regola di esclusione ampia è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
- Medio
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale
(VM_AmDisablementAndCodeExecution)
L'antimalware è stato disabilitato al momento dell'esecuzione di codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
- Alto
Antimalware disabilitato nella macchina virtuale
(VM_AmDisablement)
L'antimalware è stato disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Evasione delle difese Medio
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmFileExclusionAndCodeExecution)
Il file è stato escluso dallo scanner antimalware al momento dell'esecuzione del codice tramite un'estensione per script personalizzati nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Evasione di difesa, esecuzione Alto
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmTempFileExclusionAndCodeExecution)
L'esclusione temporanea di un file dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione di difesa, esecuzione Alto
Esclusione di file antimalware nella macchina virtuale
(VM_AmTempFileExclusion)
Un file è stato escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale
(VM_AmRealtimeProtectionDisabled)
La disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale
(VM_AmTempRealtimeProtectionDisablement)
La disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale
(VM_AmRealtimeProtectionDisablementAndCodeExec)
La disabilitazione temporanea della protezione in tempo reale dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
- Alto
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)
(VM_AmMalwareCampaignRelatedExclusion)
È stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. Evasione delle difese Medio
Antimalware temporaneamente disabilitato nella macchina virtuale
(VM_AmTemporarilyDisablement)
L'antimalware è stato disabilitato temporaneamente nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
- Medio
Esclusione insolita di file antimalware nella macchina virtuale
(VM_UnusualAmFileExclusion)
L'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento Medio
Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS L'analisi dei dati dell'host ha rilevato azioni che indicano che i file di log IIS sono stati disabilitati e/o eliminati. - Medio
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando L'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con una combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso. - Medio
Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente L'analisi dei dati dell'host in %{host compromesso} ha rilevato che è stata modificata una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente. Questo tipo di configurazione, benché probabilmente non dannoso, è anche tipico dell'attività di un utente malintenzionato che tenta di passare da un accesso senza privilegi (utente standard) a uno con privilegi (ad esempio amministratore) in un host compromesso. - Medio
Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito L'analisi dei dati dell'host in %{host compromesso} ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per la decodifica di un eseguibile invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. - Alto
Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential L'analisi dei dati host ha rilevato una modifica nella chiave del Registro di sistema HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". In particolare, questa chiave è stata aggiornata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA. Una volta abilitato, un utente malintenzionato può eseguire il dump delle password di testo non crittografate dalla memoria LSA con strumenti di raccolta delle credenziali come Mimikatz. - Medio
Rilevato file eseguibile codificato nei dati della riga di comando L'analisi dei dati dell'host in %{host compromesso} ha rilevato un file eseguibile con codifica Base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. - Alto
Rilevata riga di comando offuscata Gli utenti malintenzionati usano tecniche di offuscamento sempre più complesse per eludere i rilevamenti eseguiti sui dati sottostanti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato la presenza di indicatori sospetti di offuscamento nella riga di comando. - Informazioni
Rilevata possibile esecuzione del file eseguibile keygen L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo il cui nome è indicativo di uno strumento keygen; questi strumenti vengono in genere usati per vanificare i meccanismi di gestione delle licenze software, ma il download è spesso in bundle con altro software dannoso. Il gruppo di attività GOLD è noto per l'uso di tali keygen per ottenere di nascosto un accesso di tipo "backdoor" agli host compromessi. - Medio
Rilevata possibile esecuzione di dropper di malware L'analisi dei dati dell'host in %{host compromesso} ha rilevato un nome file precedentemente associato a uno dei metodi del gruppo di attività GOLD per l'installazione di malware in un host vittima. - Alto
Rilevata possibile attività di ricognizione locale L'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo precedentemente associata a uno dei metodi del gruppo di attività GOLD per l'esecuzione di un'attività di ricognizione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione come in questo caso. -
Rilevato uso potenzialmente sospetto dello strumento Telegram L'analisi dei dati dell'host mostra l'installazione di Telegram, un servizio di messaggistica immediata basato sul cloud disponibile per dispositivi mobili e sistemi desktop. Gli utenti malintenzionati possono usare questo servizio in modo improprio per trasferire file binari dannosi a qualsiasi altro computer, telefono o tablet. - Medio
Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso L'analisi dei dati dell'host in %{host compromesso} ha rilevato modifiche alla chiave del Registro di sistema che controlla se le note legali vengono visualizzate dagli utenti quando effettuano l'accesso. L'analisi della sicurezza da parte di Microsoft ha determinato che si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host. - Bassa
Rilevata combinazione sospetta di HTA e PowerShell Il file binario Microsoft firmato mshta.exe (host HTML Application Microsoft) viene usato dagli utenti malintenzionati per avviare comandi di PowerShell dannosi. Gli utenti malintenzionati fanno spesso ricorso a un file HTA con VBScript inline. Quando una vittima passa al file HTA e sceglie di eseguirlo, vengono eseguiti i comandi e gli script di PowerShell in esso contenuti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato che il file mshta.exe sta avviando comandi di PowerShell. - Medio
Rilevati argomenti della riga di comando sospetti L'analisi dei dati dell'host in %{host compromesso} ha rilevato argomenti della riga di comando sospetti usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN. - Alto
Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory L'analisi dei dati dell'host ha rilevato un processo sospetto in esecuzione in %{host compromesso}. La riga di comando indica un tentativo di avviare tutti i file eseguibili (*.exe) che possono trovarsi in una directory. Potrebbe indicare un host compromesso. - Medio
Rilevate credenziali sospette nella riga di comando L'analisi dei dati dell'host in %{host compromesso} ha rilevato una password sospetta usata per l'esecuzione di un file da parte del gruppo di attività BORON. Questo gruppo di attività è noto per l'uso di questa password per l'esecuzione di malware Pirpi in un host vittima. - Alto
Rilevate credenziali di documento sospette L'analisi dei dati dell'host in %{host compromesso} ha rilevato un hash delle password pre-calcolato comune sospetto usato dal malware usato per eseguire un file. Il gruppo di attività HYDROGEN è noto per l'uso di questa password per l'esecuzione di malware in un host vittima. - Alto
Rilevata esecuzione sospetta del comando VBScript.Encode L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando VBScript.Encode. Il comando codifica gli script in testo illeggibile, rendendo più difficile per gli utenti esaminare il codice. La ricerca sulle minacce da parte di Microsoft mostra che gli utenti malintenzionati spesso usano file VBscript codificati come parte dell'attacco per eludere i sistemi di rilevamento. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. - Medio
Rilevata esecuzione sospetta tramite rundll32.exe L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso del file rundll32.exe per eseguire un processo con un nome non comune, coerente con lo schema di denominazione dei processi precedentemente usato dal gruppo di attività GOLD per installare un impianto di prima fase in un host compromesso. - Alto
Rilevati comandi sospetti di pulizia file L'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo precedentemente associata a uno dei metodi del gruppo di attività GOLD per l'esecuzione di un'attività di pulizia automatica successiva a una compromissione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso. - Alto
Rilevata creazione di file sospetta L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'esecuzione di un processo che ha indicato in precedenza un'azione post-compromissione eseguita su un host vittima dal gruppo di attività BARIUM. Questo gruppo di attività è stato noto per usare questa tecnica per scaricare più malware in un host compromesso dopo l'apertura di un allegato in un documento di phishing. - Alto
Rilevate comunicazioni della named pipe sospette L'analisi dei dati dell'host in %{host compromesso} ha rilevato la scrittura di dati in una named pipe locale da parte di un comando della console di Windows. È noto che le named pipe sono un canale usato dagli utenti malintenzionati per comunicare con un impianto dannoso e gestirlo. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. - Alto
Rilevata attività di rete sospetta L'analisi del traffico di rete da %{host compromesso} ha rilevato un'attività di rete sospetta. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. - Bassa
Rilevata nuova regola del firewall sospetta L'analisi dei dati dell'host ha rilevato che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un file eseguibile in una posizione sospetta. - Medio
Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema Gli utenti malintenzionati usano svariati modi, come forza bruta, spear phishing e così via, per ottenere la compromissione iniziale e penetrare nella rete. Una volta ottenuta la compromissione iniziale, vengono spesso adottate procedure per ridurre le impostazioni di sicurezza di un sistema. Cacls, acronimo di elenco di controllo di accesso delle modifiche, è l'utilità da riga di comando nativa di Microsoft Windows spesso usata per modificare l'autorizzazione di sicurezza per cartelle e file. In diverse occasioni i file binari vengono usati dagli utenti malintenzionati per ridurre le impostazioni di sicurezza di un sistema. Questa operazione viene eseguita concedendo a Tutti l'accesso completo ad alcuni dei file binari di sistema come ftp.exe, net.exe, wscript.exe e così via. L'analisi dei dati dell'host in %{host compromesso} ha rilevato un uso sospetto di Cacls per ridurre la sicurezza di un sistema. - Medio
Rilevato uso sospetto dell'opzione -s dell'FTP L'analisi dei dati di creazione del processo da %{host compromesso} ha rilevato l'uso dell'opzione "-s:filename" dell'FTP. Questa opzione consente di specificare un file di script FTP per l'esecuzione del client. I processi dannosi o malware sono noti per usare questo commutatore FTP (-s:filename) per puntare a un file di script, configurato per connettersi a un server FTP remoto e scaricare altri file binari dannosi. - Medio
Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di pcalua.exe per l'avvio del codice eseguibile. Pcalua.exe è un componente di Microsoft Windows "Program Compatibility Assistant", che rileva problemi di compatibilità durante l'installazione o l'esecuzione di un programma. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di sistema di Windows legittimi per eseguire azioni dannose, ad esempio l'uso di pcalua.exe con l'opzione-a per avviare file eseguibili dannosi localmente o da condivisioni remote. - Medio
Rilevata disabilitazione di servizi critici L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando "net.exe stop" usato per arrestare i servizi critici, ad esempio SharedAccess o l'app Sicurezza di Windows. L'arresto di uno di questi servizi può indicare un comportamento dannoso. - Medio
Rilevato comportamento correlato al mining della valuta digitale L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale. - Alto
Costruzione di script di PowerShell dinamica L'analisi dei dati dell'host in %{host compromesso} ha rilevato uno script di PowerShell costruito dinamicamente. A volte gli utenti malintenzionati usano questo approccio di compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. - Medio
Rilevato eseguibile in esecuzione da un percorso sospetto L'analisi dei dati dell'host ha rilevato un file eseguibile in %{host compromesso} in esecuzione da una posizione in comune con file sospetti noti. Questo eseguibile potrebbe essere un'attività legittima o indicare un host compromesso. - Alto
Rilevato comportamento di attacco senza file
(VM_FilelessAttackBehavior.Windows)
La memoria del processo specificato contiene comportamenti usati comunemente da attacchi senza file. I comportamenti specifici includono:
1) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software.
2) Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
3) Chiamate di funzione a interfacce del sistema operativo importanti per la sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
4) Contiene un thread che è stato avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.
Evasione delle difese Bassa
Rilevata tecnica di attacco senza file
(VM_FilelessAttackTechnique.Windows)
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono:
1) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software.
2) Immagine eseguibile inserita nel processo, ad esempio in un attacco di code injection.
3) Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
4) Chiamate di funzione a interfacce del sistema operativo importanti per la sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
5) Hollowing del processo, una tecnica usata dal malware in cui un processo legittimo viene caricato nel sistema per fungere da contenitore per il codice ostile.
6) Contiene un thread che è stato avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.
Evasione di difesa, esecuzione Alto
Rilevato toolkit di attacco senza file
(VM_FilelessAttackToolkit.Windows)
La memoria del processo specificato contiene un toolkit di attacco senza file: [nome toolkit]. I toolkit di attacco senza file usano tecniche che riducono al minimo o eliminano le tracce di malware sul disco e riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi del malware basate su disco. I comportamenti specifici includono:
1) Toolkit noti e software di crypto mining.
2) Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software.
3) Codice eseguibile dannoso inserito nella memoria dei processi.
Evasione di difesa, esecuzione Medio
Rilevato software a rischio elevato L'analisi dei dati dell'host da %{host compromesso} ha rilevato l'utilizzo di software associato all'installazione di malware in passato. Una tecnica comune usata nella distribuzione di software dannoso consiste nell'inserirlo all'interno di strumenti altrimenti innocui come quello visualizzato in questo avviso. Quando si usano questi strumenti, il malware può essere installato automaticamente in background. - Medio
Sono stati enumerati i membri del gruppo Administrators locale I log del computer indicano un'enumerazione riuscita nel gruppo %{Nome dominio gruppo enumerato}%{Nome gruppo enumerato}. In particolare, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerato i membri del gruppo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Questa attività può essere legittima o indicare che un computer nell'organizzazione è stato compromesso e usato per la ricognizione di %{vmname}. - Informazioni
Regola del firewall dannosa creata dall'impianto del server ZINC [visto più volte] È stata creata una regola del firewall usando tecniche che corrispondono a un attore noto, ZINC. La regola è stata probabilmente usata per aprire una porta in %{host compromesso} per consentire le comunicazioni di controllo dei comandi & . Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Alto
Attività SQL dannosa I log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività è considerata dannosa. - Alto
Tentativi ripetuti di query sugli account di dominio L'analisi dei dati dell'host ha determinato che un numero insolito di account di dominio distinti viene sottoposto a query in un breve periodo di tempo da %{host compromesso}. Questo tipo di attività potrebbe essere legittima, ma può anche indicare una compromissione. - Medio
Rilevato possibile dump delle credenziali [visto più volte] L'analisi dei dati host ha rilevato l'uso dello strumento di windows nativo (ad esempio sqldumper.exe) usato in modo da consentire l'estrazione delle credenziali dalla memoria. Gli utenti malintenzionati usano spesso queste tecniche per estrarre credenziali che verranno usate in futuro per lo spostamento laterale e l'escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Rilevato potenziale tentativo di ignorare AppLocker L'analisi dei dati dell'host in %{host compromesso} ha rilevato un potenziale tentativo di ignorare le restrizioni di AppLocker. AppLocker può essere configurato per implementare un criterio che limita i file eseguibili che possono essere eseguiti in un sistema Windows. Il modello da riga di comando simile a quello identificato in questo avviso è stato precedentemente associato a tentativi di utenti malintenzionati di eludere i criteri di AppLocker usando file eseguibili attendibili (consentiti dal criterio di AppLocker) per eseguire codice non attendibile. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. - Alto
Rilevata esecuzione di PsExec
(VM_RunByPsExec)
L'analisi dei dati dell'host indica che il processo %{nome processo} è stato eseguito dall'utilità PsExec. PsExec può essere usato per l'esecuzione di processi in remoto. Questa tecnica può essere usata per scopi dannosi. Spostamento laterale, esecuzione Informazioni
Esecuzione di un gruppo di servizi SVCHOST raro
(VM_SvcHostRunInRareServiceGroup)
È stata osservata l'esecuzione di un gruppo di servizi raro nel processo di sistema SVCHOST. Il malware usa spesso SVCHOST per mascherare l'attività dannosa. Evasione di difesa, esecuzione Informazioni
Rilevato attacco basato su tasti permanenti L'analisi dei dati dell'host indica che è possibile che un utente malintenzionato stia compromettendo un elemento binario di accessibilità (ad esempio, tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso tramite backdoor all'host %{host compromesso}. - Medio
Attacco di forza bruta riuscito
(VM_LoginBruteForceSuccess)
Sono stati rilevati diversi tentativi di accesso dalla stessa origine. In alcuni casi è stata completata correttamente l'autenticazione con l'host.
Sembra un attacco di tipo burst, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione per trovare credenziali di account validi.
Sfruttamento Medio-alta
Livello di integrità sospetto indicativo di hijack RDP L'analisi dei dati dell'host ha rilevato il file tscon.exe in esecuzione con privilegi SYSTEM: questo può essere indicativo di un utente malintenzionato che abusa di questo file binario per passare il contesto a qualsiasi altro utente connesso in questo host; si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete. - Medio
Installazione di un servizio sospetta L'analisi dei dati dell'host ha rilevato l'installazione di tscon.exe come servizio: questo file binario avviato come servizio consente potenzialmente a un utente malintenzionato di passare facilmente a qualsiasi altro utente connesso su questo host eseguendo il dirottamento delle connessioni RDP; si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete. - Medio
Osservati sospetti parametri di attacco con Golden Ticket Kerberos L'analisi dei dati dell'host ha rilevato parametri della riga di comando coerenti con un attacco con Golden Ticket Kerberos. - Medio
Rilevata creazione sospetta di account L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{nome account sospetto}: il nome di questo account è molto simile al nome di un gruppo o di un account di Windows standard '%{nome account simile}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano. - Medio
Rilevata attività sospetta
(VM_SuspiciousActivity)
L'analisi dei dati dell'host ha rilevato una sequenza di uno o più processi in esecuzione in %{nome computer} che in passato sono stati associati ad attività dannose. Anche se i singoli comandi possono sembrare non dannosi, l'avviso viene classificato in base a un'aggregazione di questi comandi. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. Esecuzione Medio
Attività di autenticazione sospetta
(VM_LoginBruteForceValidUserFailed)
Per quanto nessuna abbia avuto esito positivo, alcune di queste attività hanno usato account che sono stati riconosciuti dall'host. È simile a un attacco con dizionario, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione usando un dizionario di nomi di account e password predefiniti per trovare credenziali valide per accedere all'host. Ciò indica che alcuni dei nomi di account host potrebbero essere presenti in un dizionario di nomi di account noti. Esecuzione del probe Medio
Rilevato segmento di codice sospetto Indica che un segmento di codice è stato allocato usando metodi non standard, come reflective injection e hollowing del processo. L'avviso fornisce più caratteristiche del segmento di codice elaborato per fornire il contesto per le funzionalità e i comportamenti del segmento di codice segnalato. - Medio
Esecuzione sospetta di un file a doppia estensione L'analisi dei dati dell'host indica un'esecuzione di un processo con una doppia estensione sospetta. Questa estensione può indurre gli utenti a pensare che i file siano sicuri per l'apertura e potrebbe indicare la presenza di malware nel sistema. - Alto
Rilevato download sospetto con Certutil [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Rilevato download sospetto con Certutil L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. - Medio
Rilevata attività PowerShell sospetta L'analisi dei dati dell'host ha rilevato uno script di PowerShell in esecuzione in %{host compromesso} con funzionalità in comune con script sospetti noti. Questo script potrebbe indicare un'attività legittima o un host compromesso. - Alto
Esecuzione di cmdlet di PowerShell sospetti L'analisi dei dati dell'host indica l'esecuzione di cmdlet di PowerShell PowerSploit dannosi noti. - Medio
Esecuzione di un processo sospetto [visto più volte] I log del computer indicano che il processo sospetto '%{processo sospetto}' era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Alto
Esecuzione di processo sospetto I log del computer indicano che il processo sospetto '%{processo sospetto}' era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato. - Alto
Rilevato nome di un processo sospetto [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Rilevato nome di processo sospetto L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. - Medio
Burst di terminazione di un processo sospetto
(VM_TaskkillBurst)
L'analisi dei dati dell'host indica un burst di terminazione di un processo sospetto in %{nome computer}. In particolare, sono stati terminati %{NumeroDiComandi} tra %{Inizio} e %{Fine}. Evasione delle difese Bassa
Attività SQL sospetta I log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività non è comune per questo account. - Medio
Esecuzione di un processo SVCHOST sospetto È stato osservato un processo di sistema SVCHOST in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare l'attività dannosa. - Alto
Esecuzione di un processo di sistema sospetto
(VM_SystemProcessInAbnormalContext)
È stato osservato il processo di sistema %{nome processo} in esecuzione in un contesto anomalo. Il malware usa spesso questo nome di processo per mascherare l'attività dannosa. Evasione di difesa, esecuzione Alto
Attività di Copia Shadow del volume sospetta L'analisi dei dati dell'host ha rilevato un'attività di eliminazione della copia shadow nella risorsa. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati. Alcuni malware e in particolare il ransomware prendono di mira Copia Shadow del volume per sabotare le strategie di backup. - Alto
Rilevato valore del Registro di sistema WindowPosition sospetto L'analisi dei dati dell'host in %{host compromesso} ha rilevato un tentativo di modifica della configurazione del Registro di sistema WindowPosition che potrebbe essere indicativo di nascondere le finestre dell'applicazione in sezioni non visibili del desktop. Questa attività può essere legittima o indicare un computer compromesso: questo tipo di attività è stato precedentemente associato a un adware noto (o a software indesiderato) come Win32/OneSystemCare e Win32/SystemHealer e a malware, come Win32/Creprote. Quando il valore WindowPosition è impostato su 201329664, (Hex: 0x0c00 0c00, corrispondente a X-axis=0c00 e Y-axis=0c00) posiziona la finestra dell'app console in una sezione non visibile della schermata dell'utente in un'area nascosta dalla visualizzazione sotto il menu Start visibile/barra delle applicazioni. Il valore hex sospetto noto include c000c000, ma non si limita ad esso - Bassa
Rilevato processo con nome sospetto L'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo con un nome molto simile ma diverso da un processo eseguito molto comunemente (%{nome processo simile}). Benché questo processo possa essere non dannoso, a volte gli utenti malintenzionati tentano di passare inosservati denominando gli strumenti dannosi con nomi di processi che sembrano legittimi. - Medio
Reimpostazione insolita della configurazione nella macchina virtuale
(VM_VMAccessUnusualConfigReset)
Una reimpostazione insolita della configurazione è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la configurazione nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Rilevata esecuzione di processo insolito L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo insolito da parte di %{nome utente}. Gli account come %{nome utente} tendono a eseguire un set limitato di operazioni. Questa esecuzione è stata rilevata come atipica e potrebbe essere sospetta. - Alto
Reimpostazione insolita della password utente nella macchina virtuale
(VM_VMAccessUnusualPasswordReset)
Una reimpostazione insolita della password utente è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Reimpostazione insolita della chiave SSH utente nella macchina virtuale
(VM_VMAccessUnusualSSHReset)
Una reimpostazione insolita della chiave SSH è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Rilevata allocazione di un oggetto HTTP VBScript È stata rilevata la creazione di un file VBScript tramite il prompt dei comandi. Lo script seguente contiene un comando di allocazione di oggetti HTTP. Questa azione può essere usata per scaricare file dannosi.
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Impatto Bassa

Avvisi per macchine Linux

Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Linux sono:

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Un file di cronologia è stato cancellato L'analisi dei dati dell'host indica che il file di log della cronologia di un comando è stato cancellato. Gli utenti malintenzionati possono eseguire questa operazione per coprire le proprie tracce. L'operazione è stata eseguita dall'utente: '%{nome utente}'. - Medio
Esclusione di file generali antimalware nella macchina virtuale
(VM_AmBroadFilesExclusion)
L'esclusione di file dall'estensione antimalware con una regola di esclusione ampia è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
- Medio
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale
(VM_AmDisablementAndCodeExecution)
L'antimalware è stato disabilitato al momento dell'esecuzione di codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
- Alto
Antimalware disabilitato nella macchina virtuale
(VM_AmDisablement)
L'antimalware è stato disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Evasione delle difese Medio
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmFileExclusionAndCodeExecution)
Il file è stato escluso dallo scanner antimalware al momento dell'esecuzione del codice tramite un'estensione per script personalizzati nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Evasione di difesa, esecuzione Alto
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmTempFileExclusionAndCodeExecution)
L'esclusione temporanea di un file dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione di difesa, esecuzione Alto
Esclusione di file antimalware nella macchina virtuale
(VM_AmTempFileExclusion)
Un file è stato escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale
(VM_AmRealtimeProtectionDisabled)
La disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale
(VM_AmTempRealtimeProtectionDisablement)
La disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale
(VM_AmRealtimeProtectionDisablementAndCodeExec)
La disabilitazione temporanea della protezione in tempo reale dall'estensione antimalware in parallelo all'esecuzione di codice tramite un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
- Alto
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)
(VM_AmMalwareCampaignRelatedExclusion)
È stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware. Evasione delle difese Medio
Antimalware temporaneamente disabilitato nella macchina virtuale
(VM_AmTemporarilyDisablement)
L'antimalware è stato disabilitato temporaneamente nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
- Medio
Esclusione insolita di file antimalware nella macchina virtuale
(VM_UnusualAmFileExclusion)
L'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Evasione delle difese Medio
Rilevato comportamento simile al ransomware [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di file che hanno una somiglianza con un ransomware noto che può impedire agli utenti di accedere a file personali o di sistema e chiede il pagamento di un riscatto per riottenere l'accesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Alto
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento Medio
Rilevato contenitore con un'immagine di mining
(VM_MinerInContainerImage)
I log del computer indicano l'esecuzione di un contenitore Docker che esegue un'immagine associata al mining della valuta digitale. Esecuzione Alto
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando L'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con una combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso. - Medio
Rilevato download di un file da un'origine dannosa nota L'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota in %{host compromesso}. - Medio
Rilevata attività di rete sospetta L'analisi del traffico di rete da %{host compromesso} ha rilevato un'attività di rete sospetta. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. - Bassa
Rilevato comportamento correlato al mining della valuta digitale L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale. - Alto
Disabilitazione della registrazione auditd [visto più volte] Il sistema di controllo di Linux fornisce un modo per tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Registra quante più informazioni possibili sugli eventi che si verificano nel sistema. La disabilitazione della registrazione auditd potrebbe ostacolare l'individuazione delle violazioni dei criteri di sicurezza usati nel sistema. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Bassa
Sfruttamento della vulnerabilità Xorg [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di Xorg con argomenti sospetti. Gli utenti malintenzionati possono usare questa tecnica nei tentativi di escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Attacco di forza bruta SSH non riuscito
(VM_SshBruteForceFailed)
Sono stati rilevati attacchi di forza bruta non riusciti dagli utenti malintenzionati seguenti: %{utenti malintenzionati}. Gli utenti malintenzionati hanno tentato di accedere all'host con i nomi utente seguenti: %{account usati per i tentativi di accesso non riuscito all'host}. Esecuzione del probe Medio
Rilevato comportamento di attacco senza file
(VM_FilelessAttackBehavior.Linux)
La memoria del processo specificato sotto contiene comportamenti usati comunemente da attacchi senza file.
I comportamenti specifici includono: {elenco di comportamenti osservati}
Esecuzione Bassa
Rilevata tecnica di attacco senza file
(VM_FilelessAttackTechnique.Linux)
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza.
I comportamenti specifici includono: {elenco di comportamenti osservati}
Esecuzione Alto
Rilevato toolkit di attacco senza file
(VM_FilelessAttackToolkit.Linux)
La memoria del processo specificato sotto contiene un toolkit di attacco senza file: {nome toolkit}. I toolkit di attacco senza file in genere non hanno una presenza nel file system, rendendo difficile il rilevamento da parte del software antivirus tradizionale.
I comportamenti specifici includono: {elenco di comportamenti osservati}
Evasione di difesa, esecuzione Alto
Rilevata esecuzione di file nascosto L'analisi dei dati dell'host indica che un file nascosto è stato eseguito da %{nome utente}. Questa attività potrebbe indicare un'attività legittima o un host compromesso. - Informazioni
Nuova chiave SSH aggiunta [vista più volte]
(VM_SshKeyAddition)
È stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] Persistenza Bassa
Nuova chiave SSH aggiunta È stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. - Bassa
Rilevata possibile backdoor [visto più volte] L'analisi dei dati dell'host ha rilevato che è stato scaricato e quindi eseguito un file sospetto in %{host compromesso} nella sottoscrizione in uso. Questa attività è stata precedentemente associata all'installazione di una backdoor. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Rilevato possibile sfruttamento del server di posta
(VM_MailserverExploitation)
L'analisi dei dati dell'host in %{host compromesso} ha rilevato un'esecuzione insolita nell'account del server di posta Sfruttamento Medio
Rilevata possibile web shell dannosa L'analisi dei dati dell'host in %{host compromesso} ha rilevato una possibile web shell. Gli utenti malintenzionati spesso caricheranno una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento. - Medio
Rilevata possibile modifica della password tramite un metodo di crittografia [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato una modifica della password tramite un metodo di crittografia. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione del computer. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Rilevato processo associato al mining della valuta digitale [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo normalmente associato al mining della valuta digitale. Questo comportamento è stato rilevato oltre 100 volte nella giornata odierna nei computer seguenti: [nome computer] - Medio
Rilevato processo associato al mining della valuta digitale L'analisi dei dati dell'host ha rilevato l'esecuzione di un processo che è normalmente associato al mining della valuta digitale. Sfruttamento, esecuzione Medio
Rilevato downloader con codifica Python [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di uno strumento con codifica Python che scarica ed esegue codice da una posizione remota. Potrebbe indicare un'attività dannosa. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Bassa
Acquisito screenshot sull'host [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di uno strumento di acquisizione dello schermo. Gli utenti malintenzionati possono usare questi strumenti per accedere a dati privati. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Bassa
Rilevato shellcode [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato la generazione di uno shellcode dalla riga di comando. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Attacco di forza bruta SSH riuscito
(VM_SshBruteForceSuccess)
L'analisi dei dati dell'host ha rilevato un attacco di forza bruta riuscito. Sono stati osservati più tentativi di accesso dall'IP %{IP di origine utente malintenzionato}. Sono stati eseguiti accessi riusciti dall'IP con i seguenti utenti: %{account usati per accedere correttamente all'host}. Ciò significa che l'host può essere compromesso e controllato da un attore malintenzionato. Sfruttamento Alto
Rilevata creazione sospetta di account L'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{nome account sospetto}: il nome di questo account è molto simile al nome di un gruppo o di un account di Windows standard '%{nome account simile}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano. - Medio
Rilevato modulo kernel sospetto [visto più volte] L'analisi dei dati dell'host in %{host compromesso} ha rilevato un file oggetto condiviso caricato come modulo kernel. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Medio
Accesso sospetto alle password [visto più volte] L'analisi dei dati dell'host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer] - Informazioni
Accesso sospetto alle password L'analisi dei dati dell'host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. - Informazioni
Richiesta sospetta al dashboard di Kubernetes
(VM_KubernetesDashboard)
I log del computer indicano che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso. Spostamento laterale Medio
Reimpostazione insolita della configurazione nella macchina virtuale
(VM_VMAccessUnusualConfigReset)
Una reimpostazione insolita della configurazione è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la configurazione nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Reimpostazione insolita della password utente nella macchina virtuale
(VM_VMAccessUnusualPasswordReset)
Una reimpostazione insolita della password utente è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Reimpostazione insolita della chiave SSH utente nella macchina virtuale
(VM_VMAccessUnusualSSHReset)
Una reimpostazione insolita della chiave SSH è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Anche se questa azione può essere legittima, gli utenti malintenzionati possono provare a utilizzare l'estensione di accesso alla VM per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.
Accesso tramite credenziali Medio
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Impatto Bassa

Avvisi per DNS

Importante

A partire dal 1° agosto, i clienti con una sottoscrizione esistente a Defender per DNS possono continuare a usare il servizio, ma i nuovi sottoscrittori riceveranno avvisi sull'attività DNS sospetta come parte di Defender per server P2.

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Utilizzo anomalo del protocollo di rete
(AzureDNS_ProtocolAnomaly)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un utilizzo anomalo del protocollo. Anche se il traffico di questo tipo può essere benigno, potrebbe indicare un uso improprio di questo protocollo comune per ignorare il filtro del traffico di rete. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente. Esfiltrazione -
Attività di rete anonimato
(AzureDNS_DarkWeb)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Attività di rete anonima con proxy Web
(AzureDNS_DarkWebProxy)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Tentativo di comunicazione con dominio sinkholed sospetto
(AzureDNS_SinkholedDomain)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un dominio sinkhole. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. Esfiltrazione Medio
Comunicazione con il possibile dominio di phishing
(AzureDNS_PhishingDomain)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un possibile dominio di phishing. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per raccogliere credenziali per i servizi remoti. È probabile che l'attività correlata tipica degli utenti malintenzionati includa lo sfruttamento di eventuali credenziali nel servizio legittimo. Esfiltrazione Bassa
Comunicazione con un dominio generato in modo algoritmico sospetto
(AzureDNS_DomainGenerationAlgorithm)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile utilizzo di un algoritmo di generazione di domini. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. Accesso iniziale Medio
Comunicazione con un nome di dominio casuale sospetto
(AzureDNS_RandomizedDomain)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato l'utilizzo di un nome di dominio sospetto generato in modo casuale. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Attività di data mining di valuta digitale
(AzureDNS_CurrencyMining)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni. Esfiltrazione Bassa
Attivazione della firma di rilevamento intrusioni di rete
(AzureDNS_SuspiciousDomain)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una firma di rete dannosa nota. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. Esfiltrazione Medio
Possibile download dei dati tramite tunnel DNS
(AzureDNS_DataInfiltration)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Possibile esfiltrazione di dati tramite tunnel DNS
(AzureDNS_DataExfiltration)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa
Possibile trasferimento dei dati tramite tunnel DNS
(AzureDNS_DataObfuscation)
L'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota. Esfiltrazione Bassa

Avvisi per le estensioni della macchina virtuale di Azure

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima)
(VM_GPUExtensionSuspiciousFailure)
Finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining. Impatto Medio
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti. Impatto Bassa
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousScript)
Un comando Esegui con uno script sospetto è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousFailure)
L'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. Esecuzione Medio
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousUsage)
È stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. Esecuzione Bassa
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima)
(VM_SuspiciousMultiExtensionUsage)
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza. Ricognizione Medio
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima)
(VM_DiskEncryptionSuspiciousUsage)
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni. Impatto Medio
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali (anteprima)
(VM_VMAccessSuspiciousUsage)
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali. Gli utenti malintenzionati possono abusare dell'estensione VMAccess per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. Persistenza Medio
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_DSCExtensionSuspiciousScript)
L'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima)
(VM_DSCExtensionSuspiciousUsage)
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. Esecuzione Bassa
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima)
(VM_CustomScriptExtensionSuspiciousCmd)
L'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati possono usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto
Esecuzione sospetta di un'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousFailure)
Un errore sospetto di un'estensione per script personalizzati è stato rilevato nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che tali errori siano associati a script dannosi eseguiti da questa estensione. Esecuzione Medio
Eliminazione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualDeletion)
Un'eliminazione insolita di un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. Esecuzione Medio
Esecuzione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualExecution)
Un'esecuzione insolita di un'estensione per script personalizzati è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. Esecuzione Medio
Estensione script personalizzata con punto di ingresso sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Un'estensione per script personalizzati con un punto di ingresso sospetto è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Il punto di ingresso fa riferimento a un repository GitHub sospetto. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. Esecuzione Medio
Estensione di script personalizzata con payload sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousPayload)
Un'estensione per script personalizzati con un payload da un repository GitHub sospetto è stata rilevata nella macchina virtuale mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati usino estensioni per script personalizzati per eseguire codice dannoso nella macchina virtuale tramite Azure Resource Manager. Esecuzione Medio

Avvisi per Servizio app di Azure

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Tentativo di eseguire comandi Linux in un servizio app di Windows
(AppServices_LinuxCommandOnWindows)
L'analisi dei processi del servizio app ha rilevato un tentativo di esecuzione di un comando Linux in un servizio app di Windows. Questa azione è stata eseguita dall'applicazione Web. Questo comportamento si osserva spesso durante le campagne che sfruttano una vulnerabilità in un'applicazione Web comune.
(Si applica a: servizio app in Windows)
- Medio
Un IP connesso all'interfaccia FTP di Servizio app di Azure è stato rilevato in Intelligence per le minacce
(AppServices_IncomingTiClientIpFtp)
Il log FTP di Servizio app di Azure indica una connessione da un indirizzo di origine trovato nel feed di intelligence sulle minacce. Durante questa connessione, un utente ha eseguito l'accesso alle pagine elencate.
(Si applica a: servizio app in Windows e servizio app in Linux)
Accesso iniziale Medio
Rilevato tentativo di eseguire un comando con privilegi elevati
(AppServices_HighPrivilegeCommand)
L'analisi dei processi del servizio app ha rilevato un tentativo di eseguire un comando che richiede privilegi elevati.
Il comando è stato eseguito nel contesto dell'applicazione Web. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene riscontrato anche nelle attività dannose.
(Si applica a: servizio app in Windows)
- Medio
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. Accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento Medio
Rilevata connessione alla pagina Web da un indirizzo IP anomalo
(AppServices_AnomalousPageAccess)
app Azure log attività del servizio indica una connessione anomala a una pagina Web sensibile dall'indirizzo IP di origine elencato. Potrebbe indicare che un utente sta tentando un attacco di forza bruta contro le pagine di amministrazione dell'app Web. Potrebbe anche essere il risultato di un nuovo indirizzo IP usato da un utente legittimo. Se l'indirizzo IP di origine è attendibile, è possibile eliminare in modo sicuro questo avviso per questa risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud.
(Si applica a: servizio app in Windows e servizio app in Linux)
Accesso iniziale Bassa
Rilevato record DNS dangling per una risorsa servizio app
(AppServices_DanglingDomain)
È stato rilevato un record DNS che punta a una risorsa servizio app eliminata di recente (nota anche come "voce DNS dangling". In questo modo è possibile eseguire l'acquisizione di un sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.
(Si applica a: servizio app in Windows e servizio app in Linux)
- Alto
Rilevato file eseguibile codificato nei dati della riga di comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
L'analisi dei dati dell'host in {host compromesso} ha rilevato un file eseguibile con codifica Base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
(Si applica a: servizio app in Windows)
Evasione di difesa, esecuzione Alto
Rilevato download di un file da un'origine dannosa nota
(AppServices_SuspectDownload)
L'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota nell'host.
(Si applica a: servizio app in Linux)
Escalation dei privilegi, esecuzione, esfiltrazione, comando e controllo Medio
Rilevato download di un file sospetto
(AppServices_SuspectDownloadArtifacts)
L'analisi dei dati host ha rilevato un download sospetto di file remoto.
(Si applica a: servizio app in Linux)
Persistenza Medio
Rilevato comportamento correlato al mining della valuta digitale
(AppServices_DigitalCurrencyMining)
L'analisi dei dati dell'host in Inn-Flow-WebJobs ha rilevato l'esecuzione di un processo o di un comando normalmente associato al mining della valuta digitale.
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Alto
File eseguibile decodificato tramite certutil
(AppServices_ExecutableDecodedUsingCertutil)
L'analisi dei dati dell'host in [entità compromessa] ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per la decodifica di un eseguibile invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.
(Si applica a: servizio app in Windows)
Evasione di difesa, esecuzione Alto
Rilevato comportamento di attacco senza file
(AppServices_FilelessAttackBehaviorDetection)
La memoria del processo specificato sotto contiene comportamenti usati comunemente da attacchi senza file.
I comportamenti specifici includono: {elenco di comportamenti osservati}
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Medio
Rilevata tecnica di attacco senza file
(AppServices_FilelessAttackTechniqueDetection)
La memoria del processo specificato di seguito contiene evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza.
I comportamenti specifici includono: {elenco di comportamenti osservati}
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Alto
Rilevato toolkit di attacco senza file
(AppServices_FilelessAttackToolkitDetection)
La memoria del processo specificato sotto contiene un toolkit di attacco senza file: {nome toolkit}. I toolkit di attacco senza file in genere non sono presenti nel file system ed è quindi difficile rilevarli con i tradizionali software antivirus.
I comportamenti specifici includono: {elenco di comportamenti osservati}
(Si applica a: servizio app in Windows e servizio app in Linux)
Evasione di difesa, esecuzione Alto
Microsoft Defender per il cloud avviso di test per servizio app (non una minaccia)
(AppServices_EICAR)
Si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni.
(Si applica a: servizio app in Windows e servizio app in Linux)
- Alto
Rilevata analisi NMap
(AppServices_Nmap)
Il log attività di Servizio app di Azure indica una possibile attività di creazione di impronta digitale Web nella risorsa del servizio app.
L'attività sospetta rilevata è associata a NMAP. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità.
(Si applica a: servizio app in Windows e servizio app in Linux)
PreAttack Medio
Contenuto di phishing ospitato in App Web di Azure
(AppServices_PhishingContent)
È stato rilevato un URL usato per un attacco di phishing nel sito Web di Servizio app di Azure. Questo URL fa parte di un attacco di phishing inviato ai clienti di Microsoft 365. Il contenuto induce in genere i visitatori a immettere le proprie credenziali aziendali o informazioni finanziarie in un sito Web che sembra legittimo.
(Si applica a: servizio app in Windows e servizio app in Linux)
Sollecito Alto
File PHP nella cartella di caricamento
(AppServices_PhpInUploadFolder)
Il log attività di Servizio app di Azure indica un accesso a una pagina PHP sospetta che si trova nella cartella di caricamento.
Questo tipo di cartella in genere non contiene file PHP. L'esistenza di questo tipo di file potrebbe indicare un exploit che sfrutta le vulnerabilità del caricamento di un file arbitrario.
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Medio
Rilevato un possibile download di Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
L'analisi dei dati dell'host ha rilevato il download di un file normalmente associato al data mining di valuta digitale.
(Si applica a: servizio app in Linux)
Evasione della difesa, comando e controllo, sfruttamento Medio
Rilevata possibile esfiltrazione di dati
(AppServices_DataEgressArtifacts)
L'analisi dei dati host/dispositivo ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi.
(Si applica a: servizio app in Linux)
Raccolta, esfiltrazione Medio
Rilevato potenziale record DNS dangling per una risorsa servizio app
(AppServices_PotentialDanglingDomain)
È stato rilevato un record DNS che punta a una risorsa servizio app eliminata di recente (nota anche come "voce DNS dangling". Ciò potrebbe causare un'acquisizione di sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. In questo caso, è stato trovato un record di testo con l'ID di verifica del dominio. Tali record di testo impediscono l'acquisizione del sottodominio, ma è comunque consigliabile rimuovere il dominio incerto.Such text records prevent subdomain takeover but we still recommend removing the dangling domain. Se si lascia il record DNS che punta al sottodominio a rischio se qualcuno dell'organizzazione elimina il file TXT o il record in futuro.
(Si applica a: servizio app in Windows e servizio app in Linux)
- Bassa
Rilevata potenziale shell inversa
(AppServices_ReverseShell)
L'analisi dei dati dell'host ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato.
(Si applica a: servizio app in Linux)
Exfiltration, Exploitation Medio
Rilevato download di dati non elaborati
(AppServices_DownloadCodeFromWebsite)
L'analisi dei processi del servizio app ha rilevato un tentativo di scaricare codice da siti Web di dati non elaborati, ad esempio Pastebin. Questa azione è stata eseguita da un processo PHP. Questo comportamento è associato a tentativi di scaricare web shell o altri componenti dannosi nel servizio app.
(Si applica a: servizio app in Windows)
Esecuzione Medio
Rilevato salvataggio dell'output di curl su disco
(AppServices_CurlToDisk)
L'analisi dei processi del servizio app ha rilevato l'esecuzione di un comando curl in cui l'output è stato salvato sul disco. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene osservato anche in relazione ad attività dannose, ad esempio in occasione di tentativi di infettare i siti Web con web shell.
(Si applica a: servizio app in Windows)
- Bassa
Rilevato referrer alla cartella di posta indesiderata
(AppServices_SpamReferrer)
Il log attività di Servizio app di Azure indica un'attività Web identificata come proveniente da un sito Web associato ad attività di posta indesiderata. Questo problema può verificarsi se il sito Web viene compromesso e usato per attività di posta indesiderata.
(Si applica a: servizio app in Windows e servizio app in Linux)
- Bassa
Rilevato accesso sospetto a una pagina Web potenzialmente vulnerabile
(AppServices_ScanSensitivePage)
Il log attività di Servizio app di Azure indica che è stato eseguito l'accesso a una pagina Web che sembra essere sensibile. Questa attività sospetta ha origine da un indirizzo IP di origine il cui modello di accesso è simile a quello di uno scanner Web.
Questa attività è spesso associata a un tentativo da parte di un utente malintenzionato di analizzare la rete per tentare di accedere a pagine Web sensibili o vulnerabili.
(Si applica a: servizio app in Windows e servizio app in Linux)
- Bassa
Riferimento a nome di dominio sospetto
(AppServices_CommandlineSuspectDomain)
L'analisi dei dati dell'host ha rilevato un riferimento a un nome di dominio sospetto. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.
(Si applica a: servizio app in Linux)
Esfiltrazione Bassa
Rilevato download sospetto con Certutil
(AppServices_DownloadUsingCertutil)
L'analisi dei dati dell'host in {NOME} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece che per il suo scopo principale associato alla manipolazione di certificati e dati dei certificati. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.
(Si applica a: servizio app in Windows)
Esecuzione Medio
Rilevata esecuzione PHP sospetta
(AppServices_SuspectPhp)
I log del computer indicano che è in esecuzione un processo PHP sospetto. L'azione include un tentativo di eseguire comandi del sistema operativo o codice PHP dalla riga di comando usando il processo PHP. Benché questo comportamento possa essere legittimo, nelle applicazioni Web potrebbe indicare attività dannose, ad esempio tentativi di infettare i siti Web con web shell.
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Medio
Esecuzione di cmdlet di PowerShell sospetti
(AppServices_PowerShellPowerSploitScriptExecution)
L'analisi dei dati dell'host indica l'esecuzione di cmdlet di PowerShell PowerSploit dannosi noti.
(Si applica a: servizio app in Windows)
Esecuzione Medio
Esecuzione di processo sospetto
(AppServices_KnownCredential AccessTools)
I log del computer indicano che il processo sospetto "%{percorso processo}" era in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte di un utente malintenzionato.
(Si applica a: servizio app in Windows)
Accesso tramite credenziali Alto
Rilevato nome di processo sospetto
(AppServices_ProcessWithKnownSuspiciousExtension)
L'analisi dei dati dell'host in {NOME} ha rilevato un processo con un nome sospetto, ad esempio corrispondente a uno strumento di attacco noto o denominato in modo da essere indicativo di strumenti di attacco che tentano di passare inosservati. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso.
(Si applica a: servizio app in Windows)
Persistenza, evasione delle difese Medio
Esecuzione di un processo SVCHOST sospetto
(AppServices_SVCHostFromInvalidPath)
È stato osservato un processo di sistema SVCHOST in esecuzione in un contesto anomalo. Il malware usa SVCHOST per mascherare l'attività dannosa.
(Si applica a: servizio app in Windows)
Evasione di difesa, esecuzione Alto
Rilevato agente utente sospetto
(AppServices_UserAgentInjection)
Il log attività del servizio app di Azure indica richieste con un agente utente sospetto. Questo comportamento può indicare tentativi di sfruttare una vulnerabilità nell'applicazione del servizio app.
(Si applica a: servizio app in Windows e servizio app in Linux)
Accesso iniziale Medio
Rilevata chiamata a un tema di WordPress sospetta
(AppServices_WpThemeInjection)
Il log attività di Servizio app di Azure indica una possibile attività di code injection nella risorsa del servizio app.
L'attività sospetta rilevata assomiglia a quella di manipolazione di un tema di WordPress per supportare l'esecuzione del codice sul lato server, seguita da una richiesta Web diretta per richiamare il file di tema manipolato.
Questo tipo di attività è stato riscontrato in passato come parte di una campagna di attacco contro WordPress.
Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud.
(Si applica a: servizio app in Windows e servizio app in Linux)
Esecuzione Alto
Rilevato rilevatore di vulnerabilità
(AppServices_DrupalScanner)
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app.
L'attività sospetta rilevata è simile a quella degli strumenti destinati a un sistema di gestione dei contenuti (CMS).
Se la risorsa servizio app non ospita un sito Drupal, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud.
(Si applica a: servizio app in Windows)
PreAttack Bassa
Rilevato rilevatore di vulnerabilità
(AppServices_JoomlaScanner)
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app.
L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni Joomla.
Se la risorsa di servizio app non ospita un sito di Necessariamente, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud.
(Si applica a: servizio app in Windows e servizio app in Linux)
PreAttack Bassa
Rilevato rilevatore di vulnerabilità
(AppServices_WpScanner)
Il log attività di Servizio app di Azure indica che è stato usato un possibile rilevatore di vulnerabilità nella risorsa del servizio app.
L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni WordPress.
Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud.
(Si applica a: servizio app in Windows e servizio app in Linux)
PreAttack Bassa
Rilevato Web fingerprinting
(AppServices_WebFingerprinting)
Il log attività di Servizio app di Azure indica una possibile attività di creazione di impronta digitale Web nella risorsa del servizio app.
L'attività sospetta rilevata è associata a uno strumento chiamato Blind Elephant. Lo strumento individua l'impronta digitale dei server Web e tenta di rilevare le applicazioni installate e la versione.
Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità.
(Si applica a: servizio app in Windows e servizio app in Linux)
PreAttack Medio
Il sito Web è contrassegnato come dannoso nel feed di intelligence sulle minacce
(AppServices_SmartScreen)
Il sito Web descritto di seguito è contrassegnato come sito dannoso da Windows SmartScreen. Se si ritiene che sia un falso positivo, contattare Windows SmartScreen tramite il collegamento per la segnalazione di feedback fornito.
(Si applica a: servizio app in Windows e servizio app in Linux)
Sollecito Medio

Avvisi per i contenitori - Cluster Kubernetes

Microsoft Defender per contenitori fornisce avvisi di sicurezza a livello di cluster e sui nodi del cluster sottostanti monitorando sia il piano di controllo (server API) che il carico di lavoro in contenitori stesso. Gli avvisi di sicurezza del piano di controllo possono essere riconosciuti da un prefisso del K8S_ tipo di avviso. Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster possono essere riconosciuti dal K8S.NODE_ prefisso del tipo di avviso. Tutti gli avvisi sono supportati solo in Linux, se non diversamente indicato.

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Servizio Postgres esposto con configurazione di autenticazione trust in Kubernetes rilevato (anteprima)
(K8S_ExposedPostgresTrustAuth)
L'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico. Il servizio è configurato con il metodo di autenticazione trust, che non richiede credenziali. Accesso iniziale Medio
Servizio Postgres esposto con configurazione rischiosa in Kubernetes rilevato (anteprima)
(K8S_ExposedPostgresBroadIPRange)
L'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico con una configurazione rischiosa. L'esposizione del servizio a un'ampia gamma di indirizzi IP comporta un rischio per la sicurezza. Accesso iniziale Medio
Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato
(K8S. NODE_NamespaceCreation) 1
L'analisi dei processi in esecuzione all'interno di un contenitore nel cluster Kubernetes ha rilevato un tentativo di creare un nuovo spazio dei nomi Linux. Anche se questo comportamento potrebbe essere legittimo, potrebbe indicare che un utente malintenzionato tenta di eseguire l'escape dal contenitore al nodo. Alcuni exploit CVE-2022-0185 usano questa tecnica. Escalation dei privilegi Medio
Un file di cronologia è stato cancellato
(K8S. NODE_HistoryFileCleared) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati possono eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'account utente specificato. Evasione delle difese Medio
Attività anomala dell'identità gestita associata a Kubernetes (anteprima)
(K8S_AbnormalMiActivity)
L'analisi delle operazioni di Azure Resource Manager ha rilevato un comportamento anomalo di un'identità gestita usata da un componente aggiuntivo del servizio Azure Kubernetes. L'attività rilevata non è coerente con il comportamento del componente aggiuntivo associato. Anche se questa attività può essere legittima, questo comportamento potrebbe indicare che l'identità è stata acquisita da un utente malintenzionato, probabilmente da un contenitore compromesso nel cluster Kubernetes. Spostamento laterale Medio
Rilevata operazione dell'account del servizio Kubernetes anomalo
(K8S_ServiceAccountRareOperation)
L'analisi dei log di controllo di Kubernetes ha rilevato un comportamento anomalo da un account del servizio nel cluster Kubernetes. L'account del servizio è stato usato per un'operazione, che non è comune per questo account del servizio. Anche se questa attività può essere legittima, tale comportamento potrebbe indicare che l'account del servizio viene usato per scopi dannosi. Spostamento laterale, accesso alle credenziali Medio
Rilevato un tentativo di connessione non comune
(K8S. NODE_SuspectConnessione ion) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di connessione non comune usando un protocollo socks. Questo è molto raro nelle normali operazioni, ma una tecnica nota per gli utenti malintenzionati che tentano di ignorare i rilevamenti a livello di rete. Esecuzione, esfiltrazione, sfruttamento Medio
Distribuzione di pod anomali (anteprima)
(K8S_AnomalousPodDeployment) 3
L'analisi dei log di controllo di Kubernetes ha rilevato la distribuzione dei pod che è anomala in base all'attività di distribuzione dei pod precedente. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di distribuzione si trovano nelle relazioni tra loro. Le funzionalità monitorate includono il registro immagini del contenitore usato, l'account che esegue la distribuzione, il giorno della settimana, la frequenza con cui questo account esegue distribuzioni di pod, l'agente utente usato nell'operazione, se si tratta di uno spazio dei nomi a cui spesso si verificano le distribuzioni dei pod e altre funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. Esecuzione Medio
Accesso anomalo al segreto (anteprima)
(K8S_AnomalousSecretAccess) 2
L'analisi dei log di controllo di Kubernetes ha rilevato una richiesta di accesso segreto anomala in base all'attività precedente di accesso ai segreti. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di accesso segreto si trovano nelle relazioni tra loro. Le funzionalità monitorate da questa analisi includono il nome utente usato, il nome del segreto, il nome dello spazio dei nomi, l'agente utente usato nell'operazione o altre funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. Accesso alle credenziali Medio
Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer
(K8S. NODE_TimerServiceDisabled) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di arrestare il servizio apt-daily-upgrade.timer. Gli utenti malintenzionati sono stati osservati arrestando questo servizio per scaricare file dannosi e concedere privilegi di esecuzione per i loro attacchi. Questa attività può verificarsi anche se il servizio viene aggiornato tramite azioni amministrative normali. Evasione delle difese Informazioni
Comportamento simile ai bot Linux comuni rilevati (anteprima)
(K8S. NODE_CommonBot)
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un processo normalmente associato a botnet Linux comuni. Esecuzione, raccolta, comando e controllo Medio
Comando all'interno di un contenitore in esecuzione con privilegi elevati
(K8S. NODE_PrivilegedExecutionInContainer) 1
I log del computer indicano che è stato eseguito un comando con privilegi in un contenitore Docker. Un comando con privilegi ha privilegi estesi sul computer host. Escalation dei privilegi Bassa
Contenitore in esecuzione in modalità con privilegi
(K8S. NODE_PrivilegedContainerArtifacts) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un comando Docker che esegue un contenitore con privilegi. Il contenitore con privilegi ha accesso completo al pod di hosting o alla risorsa host. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al pod o all'host di hosting. PrivilegeEscalation, Execution Bassa
Rilevato contenitore con un montaggio del volume sensibile
(K8S_SensitiveMount)
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con un montaggio del volume sensibile. Il volume rilevato è un tipo hostPath che monta un file o una cartella sensibile dal nodo al contenitore. Se il contenitore viene compromesso, l'utente malintenzionato può usare questo montaggio per ottenere l'accesso al nodo. Escalation dei privilegi Medio
Rilevata modifica coreDNS in Kubernetes
(K8S_CoreDnsModification) 23
L'analisi dei log di controllo di Kubernetes ha rilevato una modifica della configurazione CoreDNS. La configurazione di CoreDNS può essere modificata eseguendo l'override della relativa mappa di configurazione. Anche se questa attività può essere legittima, se gli utenti malintenzionati hanno le autorizzazioni per modificare la mappa di configurazione, possono modificare il comportamento del server DNS del cluster e elaborarlo. Spostamento laterale Bassa
Rilevata configurazione del webhook di ammissione
(K8S_AdmissionController) 3
L'analisi dei log di controllo di Kubernetes ha rilevato una nuova configurazione del webhook di ammissione. Kubernetes dispone di due controller di ammissione generici predefiniti: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. Il comportamento di questi controller di ammissione è determinato da un webhook di ammissione che l'utente distribuisce nel cluster. L'uso di tali controller di ammissione può essere legittimo, tuttavia gli utenti malintenzionati possono usare tali webhook per modificare le richieste (nel caso di MutatingAdmissionWebhook) o ispezionare le richieste e ottenere informazioni riservate (nel caso di ValidatingAdmissionWebhook). Accesso alle credenziali, persistenza Bassa
Rilevato download di un file da un'origine dannosa nota
(K8S. NODE_SuspectDownload) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download di un file da un'origine usata di frequente per distribuire malware. PrivilegeEscalation, Execution, Exfiltration, Command And Control Medio
Rilevato download di un file sospetto
(K8S. NODE_SuspectDownloadArtifacts) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download sospetto di un file remoto. Persistenza Bassa
Rilevato uso sospetto del comando nohup
(K8S. NODE_SuspectNohup) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando nohup. Gli utenti malintenzionati hanno visto usare il comando nohup per eseguire file nascosti da una directory temporanea per consentire l'esecuzione in background dei file eseguibili. È raro vedere questo comando eseguito su file nascosti che si trovano in una directory temporanea. Persistenza, evasione delle difese Medio
Rilevato uso sospetto del comando useradd
(K8S. NODE_SuspectUserAddition) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando useradd. Persistenza Medio
Rilevato contenitore di mining della valuta digitale
(K8S_MaliciousContainerImage) 3
L'analisi del log di controllo di Kubernetes ha rilevato un contenitore con un'immagine associata a uno strumento di mining della valuta digitale. Esecuzione Alto
Rilevato comportamento correlato al mining della valuta digitale
(K8S. NODE_DigitalCurrencyMining) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale. Esecuzione Alto
Operazione di compilazione Docker rilevata in un nodo Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento. Evasione delle difese Bassa
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima)
(K8S_ServiceAcountPermissionAnomaly) 3
L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Le autorizzazioni elencate per i ruoli assegnati non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio tra i cluster monitorati da Azure, dal volume per autorizzazione e dall'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Microsoft Defender per il cloud. Escalation dei privilegi Bassa
File eseguibile trovato in esecuzione da una posizione sospetta (anteprima)
(K8S. NODE_SuspectExecutablePath)
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file eseguibile in esecuzione da un percorso associato a file sospetti noti. Questo eseguibile può essere un'attività legittima o un'indicazione di un sistema compromesso. Esecuzione Medio
Rilevato dashboard Kubeflow esposto
(K8S_ExposedKubeflow)
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione del punto di ingresso in Istio da parte di un servizio di bilanciamento del carico in un cluster che esegue Kubeflow. Questa azione potrebbe esporre il dashboard Kubeflow su Internet. Se il dashboard è esposto su Internet, gli utenti malintenzionati possono accedervi ed eseguire codice o contenitori dannosi nel cluster. Per altre informazioni, vedere l'articolo seguente: https://aka.ms/exposedkubeflow-blog Accesso iniziale Medio
Rilevato dashboard Kubernetes esposto
(K8S_ExposedDashboard)
L'analisi del log di controllo di Kubernetes ha rilevato l'esposizione del dashboard di Kubernetes da parte di un servizio LoadBalancer. Il dashboard esposto permette un accesso non autenticato alla gestione del cluster e rappresenta una minaccia per la sicurezza. Accesso iniziale Alto
Rilevato servizio Kubernetes esposto
(K8S_ExposedService)
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione di un servizio da parte di un servizio di bilanciamento del carico. Questo servizio è correlato a un'applicazione sensibile che consente di eseguire operazioni ad alto impatto nel cluster, ad esempio l'esecuzione di processi nel nodo o la creazione di nuovi contenitori. In alcuni casi, questo servizio non richiede l'autenticazione. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza. Accesso iniziale Medio
Rilevato servizio Redis esposto nel servizio Azure Kubernetes
(K8S_ExposedRedis)
L'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione del servizio Redis da parte di un servizio di bilanciamento del carico. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza. Accesso iniziale Bassa
Rilevati indicatori associati a un toolkit DDoS
(K8S. NODE_KnownLinuxDDoSToolkit) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato nomi di file che fanno parte di un toolkit associato a malware in grado di avviare attacchi DDoS, aprire porte e servizi e assumere il controllo completo sul sistema infetto. Potrebbe anche trattarsi di un'attività legittima. Persistenza, LateralMovement, Esecuzione, Sfruttamento Medio
Rilevate richieste API K8S dall'indirizzo IP proxy
(K8S_TI_Proxy) 3
L'analisi dei log di controllo di Kubernetes ha rilevato richieste API al cluster da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli utenti malintenzionati tentano di nascondere l'INDIRIZZO IP di origine. Esecuzione Bassa
Eventi kubernetes eliminati
(K8S_DeleteEvents) 23
Defender per il cloud rilevato che alcuni eventi Kubernetes sono stati eliminati. Gli eventi Kubernetes sono oggetti in Kubernetes che contengono informazioni sulle modifiche nel cluster. Gli utenti malintenzionati possono eliminare tali eventi per nascondere le operazioni nel cluster. Evasione delle difese Bassa
Rilevato lo strumento di test di penetrazione kubernetes
(K8S_PenTestToolsKubeHunter)
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. Esecuzione Bassa
Rilevata manipolazione del firewall host
(K8S. NODE_FirewallDisabled) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile manipolazione del firewall sull'host. Spesso gli utenti malintenzionati lo disabilitano per sottrarre dati. DefenseEvasion, esfiltrazione Medio
Microsoft Defender per il cloud avviso di test (non una minaccia).
(K8S. NODE_EICAR) 1
Si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. Esecuzione Alto
Rilevato nuovo contenitore nello spazio dei nomi kube-system
(K8S_KubeSystemContainer) 3
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore nello spazio dei nomi kube-system che non è tra i contenitori normalmente eseguiti in questo spazio dei nomi. Gli spazi dei nomi kube-system non devono contenere risorse utente. Gli utenti malintenzionati possono usare questo spazio dei nomi per nascondere componenti dannosi. Persistenza Bassa
Rilevato nuovo ruolo con privilegi elevati
(K8S_HighPrivilegesRole) 3
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo ruolo con privilegi elevati. Un'associazione a un ruolo con privilegi elevati concede all'utente\gruppo privilegi elevati nel cluster. I privilegi non necessari potrebbero causare l'escalation dei privilegi nel cluster. Persistenza Bassa
Rilevato possibile strumento di attacco
(K8S. NODE_KnownLinuxAttackTool) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una chiamata a uno strumento sospetto. Questo strumento è spesso associato a utenti malintenzionati che attaccano altri utenti. Esecuzione, raccolta, comando e controllo, probe Medio
Rilevato possibile backdoor
(K8S. NODE_LinuxBackdoorArtifact) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file sospetto scaricato ed eseguito. Questa attività è stata precedentemente associata all'installazione di una backdoor. Persistenza, DefenseEvasion, Esecuzione, Sfruttamento Medio
Possibile tentativo di sfruttamento della riga di comando
(K8S. NODE_ExploitAttempt) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un possibile tentativo di sfruttamento contro una vulnerabilità nota. Sfruttamento Medio
Rilevato possibile strumento di accesso alle credenziali
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un possibile strumento di accesso alle credenziali note è stato eseguito nel contenitore, come identificato dall'elemento della cronologia del processo e della riga di comando specificato. Questo strumento è spesso associato a tentativi di accesso alle credenziali da parte di utenti malintenzionati. Accesso alle credenziali Medio
Rilevato un possibile download di Cryptocoinminer
(K8S. NODE_CryptoCoinMinerDownload) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato il download di un file normalmente associato al data mining di valuta digitale. Difesa, comando e controllo, sfruttamento Medio
Rilevata possibile esfiltrazione di dati
(K8S. NODE_DataEgressArtifacts) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. Raccolta, esfiltrazione Medio
Rilevata possibile attività di manomissione dei log
(K8S. NODE_SystemLogRemoval) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile rimozione di file che tiene traccia dell'attività dell'utente durante il corso dell'operazione. Spesso gli utenti malintenzionati tentano di eludere il rilevamento e non lasciano traccia delle attività dannose eliminando tali file di log. Evasione delle difese Medio
È stata rilevata una possibile modifica della password usando il metodo crypt
(K8S. NODE_SuspectPasswordChange) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione. Accesso alle credenziali Medio
Potenziale port forwarding a un indirizzo IP esterno
(K8S. NODE_SuspectPortForwarding) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'avvio del port forwarding a un indirizzo IP esterno. Esfiltrazione, comando e controllo Medio
Rilevata potenziale shell inversa
(K8S. NODE_ReverseShell) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. Exfiltration, Exploitation Medio
Rilevato contenitore con privilegi
(K8S_PrivilegedContainer)
L'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con privilegi. Un contenitore con privilegi ha accesso alle risorse del nodo e interrompe l'isolamento tra i contenitori. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al nodo. Escalation dei privilegi Bassa
Rilevato processo associato al mining della valuta digitale
(K8S. NODE_CryptoCoinMinerArtifacts) 1
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'esecuzione di un processo normalmente associato al data mining digitale. Esecuzione, sfruttamento Medio
Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito
(K8S. NODE_SshKeyAccess) 1
È stato eseguito l'accesso a un file SSH authorized_keys in un metodo simile alle campagne malware note. Questo accesso potrebbe indicare che un attore sta tentando di ottenere l'accesso permanente a un computer. Sconosciuto Bassa
Rilevato binding del ruolo al ruolo di amministratore del cluster
(K8S_ClusterAmministrazione Binding)
L'analisi dei log di controllo di Kubernetes ha rilevato una nuova associazione al ruolo di amministratore del cluster che concede privilegi di amministratore. I privilegi di amministratore non necessari potrebbero causare l'escalation dei privilegi nel cluster. Persistenza Bassa
Rilevata terminazione dei processi correlati alla sicurezza
(K8S. NODE_SuspectProcessTermination) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di terminare i processi correlati al monitoraggio della sicurezza nel contenitore. Spesso gli utenti malintenzionati provano a terminare tali processi usando gli script predefiniti successivamente alla compromissione. Persistenza Bassa
Il server SSH è in esecuzione all'interno di un contenitore
(K8S. NODE_ContainerSSH) 1
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato un server SSH in esecuzione all'interno del contenitore. Esecuzione Medio
Modifica del timestamp del file sospetta
(K8S. NODE_TimestampTampering) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica di timestamp sospetta. Gli utenti malintenzionati copiano spesso timestamp da file legittimi esistenti a nuovi strumenti per evitare il rilevamento di questi file appena eliminati. Persistenza, evasione delle difese Bassa
Richiesta sospetta all'API Kubernetes
(K8S. NODE_KubernetesAPI) 1
L'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster. Spostamento laterale Medio
Richiesta sospetta al dashboard di Kubernetes
(K8S. NODE_KubernetesDashboard) 1
L'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster. Spostamento laterale Medio
Il potenziale minatore di moneta crittografica ha iniziato
(K8S. NODE_CryptoCoinMinerExecution) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo avviato in modo normale associato al data mining di valuta digitale. Esecuzione Medio
Accesso sospetto alle password
(K8S. NODE_SuspectPasswordFileAccess) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato tentativi sospetti di accesso alle password utente crittografate. Persistenza Informazioni
Uso sospetto di DNS su HTTPS
(K8S. NODE_SuspiciousDNSOverHttps) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'uso di una chiamata DNS su HTTPS in modo non comune. Questa tecnica viene usata dagli utenti malintenzionati per nascondere le chiamate a siti sospetti o dannosi. DefenseEvasion, esfiltrazione Medio
È stata rilevata una possibile connessione a una posizione dannosa.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una connessione a una posizione segnalata come dannosa o insolita. Si tratta di un indicatore che potrebbe essersi verificato un compromesso. Accesso iniziale Medio
Rilevata possibile shell Web dannosa.
(K8S. NODE_Webshell) 1
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato una possibile shell Web. Gli utenti malintenzionati caricano spesso una shell Web in una risorsa di calcolo compromessa per ottenere la persistenza o per un ulteriore sfruttamento. Persistenza, sfruttamento Medio
Il burst di più comandi di ricognizione potrebbe indicare l'attività iniziale dopo la compromissione
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
L'analisi dei dati host/dispositivo ha rilevato l'esecuzione di più comandi di ricognizione correlati alla raccolta dei dettagli del sistema o dell'host eseguiti dagli utenti malintenzionati dopo la compromissione iniziale. Individuazione, raccolta Bassa
Download sospetto, quindi eseguire l'attività
(K8S. NODE_DownloadAndRunCombo) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un file viene scaricato e quindi eseguito nello stesso comando. Anche se questo non è sempre dannoso, si tratta di una tecnica molto comune usata dagli utenti malintenzionati per ottenere file dannosi nei computer vittima. Execution, CommandAndControl, Exploitation Medio
Attività di data mining di valuta digitale
(K8S. NODE_CurrencyMining) 1
L'analisi delle transazioni DNS ha rilevato un'attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni. Esfiltrazione Bassa
Rilevato accesso al file kubelet kubeconfig
(K8S. NODE_KubeConfigAccess) 1
L'analisi dei processi in esecuzione in un nodo del cluster Kubernetes ha rilevato l'accesso al file kubeconfig nell'host. Il file kubeconfig, normalmente usato dal processo Kubelet, contiene le credenziali per il server API del cluster Kubernetes. L'accesso a questo file è spesso associato agli utenti malintenzionati che tentano di accedere a tali credenziali o agli strumenti di analisi della sicurezza che controllano se il file è accessibile. Accesso alle credenziali Medio
È stato rilevato l'accesso al servizio metadati cloud
(K8S. NODE_ImdsCall) 1
L'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'accesso al servizio metadati cloud per l'acquisizione del token di identità. Il contenitore in genere non esegue tale operazione. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero usare questa tecnica per accedere alle risorse cloud dopo aver ottenuto l'accesso iniziale a un contenitore in esecuzione. Accesso alle credenziali Medio
Rilevato agente MITRE Caldera
(K8S. NODE_MitreCalderaTools) 1
L'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo sospetto. Questo è spesso associato all'agente MITRE 54ndc47 che potrebbe essere usato dannosamente per attaccare altri computer. Persistenza, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation Medio

1: Anteprima per i cluster non del servizio Azure Kubernetes: questo avviso è disponibile a livello generale per i cluster del servizio Azure Kubernetes, ma è in anteprima per altri ambienti, ad esempio Azure Arc, EKS e GKE.

2: Limitazioni nei cluster GKE: GKE usa un criterio di controllo Kubernetes che non supporta tutti i tipi di avviso. Di conseguenza, questo avviso di sicurezza, basato su eventi di controllo Kubernetes, non è supportato per i cluster GKE.

3: Questo avviso è supportato nei nodi/contenitori di Windows.

Avvisi per database SQL e Azure Synapse Analytics

Altri dettagli e note

Avviso Descrizione Tattiche MITRE
Altre informazioni
Gravità
Possibile vulnerabilità agli attacchi SQL injection
(SQL. DB_VulnerabilityToSqlInjection
SQL. VM_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL. DW_VulnerabilityToSqlInjection
Synapse.SQLPool_VulnerabilityToSqlInjection)
Un'applicazione ha generato un'istruzione SQL non corretta nel database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection. Ci sono due possibili motivi per un'istruzione non corretta. Un difetto nel codice dell'applicazione potrebbe aver creato l'istruzione SQL non corretta. Oppure il codice dell'applicazione o le stored procedure non hanno corretto l'input utente quando è stata creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL injection. PreAttack Medio
Tentativo di accesso da un'applicazione potenzialmente dannosa
(SQL. DB_HarmfulApplication
SQL. VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL. DW_HarmfulApplication
Synapse.SQLPool_HarmfulApplication)
Un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa. PreAttack Alto
Accesso da un data center di Azure insolito
(SQL. DB_DataCenterAnomaly
SQL. VM_DataCenterAnomaly
SQL. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly
Synapse.SQLPool_DataCenterAnomaly)
È stata riscontrata una modifica nel modello di accesso a SQL Server, quando un utente ha effettuato l'accesso al server da un data center di Azure insolito. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o servizio di Azure). In altri casi, l'avviso rileva un'azione dannosa (un utente malintenzionato che opera da una risorsa violata in Azure). Esecuzione del probe Bassa
Accesso da una posizione insolita
(SQL. DB_GeoAnomaly
SQL. VM_GeoAnomaly
SQL. DW_GeoAnomaly
SQL.MI_GeoAnomaly
Synapse.SQLPool_GeoAnomaly)
È stata riscontrata una modifica nel modello di accesso a SQL Server, quando un utente ha effettuato l'accesso al server da una posizione geografica insolita. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno). Sfruttamento Medio
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. DB_PrincipalAnomaly
SQL. VM_PrincipalAnomaly
SQL. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly
Synapse.SQLPool_PrincipalAnomaly)
Un'entità di sicurezza che non si connetteva da 60 giorni ha effettuato l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. Sfruttamento Medio
Accesso da un dominio non visualizzato in 60 giorni
(SQL. DB_DomainAnomaly
SQL. VM_DomainAnomaly
SQL. DW_DomainAnomaly
SQL.MI_DomainAnomaly
Synapse.SQLPool_DomainAnomaly)
Un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. Sfruttamento Medio
Accesso da un indirizzo IP sospetto
(SQL. DB_SuspiciousIpAnomaly
SQL. VM_SuspiciousIpAnomaly
SQL. DW_SuspiciousIpAnomaly
SQL.MI_SuspiciousIpAnomaly
Synapse.SQLPool_SuspiciousIpAnomaly)
È stato eseguito correttamente l'accesso alla risorsa da un indirizzo IP che l'intelligence sulle minacce Microsoft ha associato ad attività sospette. PreAttack Medio
Potenziale attacco SQL injection
(SQL. DB_PotentialSqlInjection
SQL. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Si è verificato un exploit attivo contro un'applicazione identificata vulnerabile a SQL injection. Ciò significa che un utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili. PreAttack Alto
Sospetto attacco di forza bruta tramite un utente valido
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
È stato rilevato un possibile attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere. PreAttack Alto
Sospetto attacco di forza bruta
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
È stato rilevato un possibile attacco di forza bruta sulla risorsa. PreAttack Alto
Sospetto attacco di forza bruta riuscito
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
Un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa. PreAttack Alto
SQL Server ha potenzialmente generato una shell dei comandi di Windows e ha eseguito l'accesso a un'origine esterna anomala
(SQL. DB_ShellExternalSourceAnomaly
SQL. VM_ShellExternalSourceAnomaly
SQL. DW_ShellExternalSourceAnomaly
SQL.MI_ShellExternalSourceAnomaly
Synapse.SQLPool_ShellExternalSourceAnomaly)
Un'istruzione SQL sospetta ha potenzialmente generato una shell dei comandi di Windows con un'origine esterna che non è stata vista in precedenza. L'esecuzione di una shell che accede a un'origine esterna è un metodo usato dagli utenti malintenzionati per scaricare payload dannoso e quindi eseguirlo nel computer e comprometterlo. Ciò consente a un utente malintenzionato di eseguire attività dannose in direzione remota. In alternativa, è possibile accedere a un'origine esterna per esfiltrare i dati in una destinazione esterna. Esecuzione Alto
Payload insolito con parti offuscate è stato avviato da SQL Server
(SQL. VM_PotentialSqlInjection)
Un utente ha avviato un nuovo payload usando il livello in SQL Server che comunica con il sistema operativo nascondendo il comando nella query SQL. Gli utenti malintenzionati in genere nascondono comandi con impatto monitorati comunemente come xp_cmdshell, sp_add_job e altri. Le tecniche di offuscamento abusano di comandi legittimi come la concatenazione di stringhe, il cast, la modifica di base e altri, per evitare il rilevamento delle espressioni regolari e compromettere la leggibilità dei log. Esecuzione Alto

Avvisi per database relazionali open source

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Sospetto attacco di forza bruta tramite un utente valido
(SQL. PostgreSQL_BruteForce
SQL. MariaDB_BruteForce
SQL. MySQL_BruteForce)
È stato rilevato un possibile attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere. PreAttack Alto
Sospetto attacco di forza bruta riuscito
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
Un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa. PreAttack Alto
Sospetto attacco di forza bruta
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
È stato rilevato un possibile attacco di forza bruta sulla risorsa. PreAttack Alto
Tentativo di accesso da un'applicazione potenzialmente dannosa
(SQL. PostgreSQL_HarmfulApplication
SQL. MariaDB_HarmfulApplication
SQL. MySQL_HarmfulApplication)
Un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa. PreAttack Alto
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. PostgreSQL_PrincipalAnomaly
SQL. MariaDB_PrincipalAnomaly
SQL. MySQL_PrincipalAnomaly)
Un'entità di sicurezza che non si connetteva da 60 giorni ha effettuato l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. Sfruttamento Medio
Accesso da un dominio non visualizzato in 60 giorni
(SQL. MariaDB_DomainAnomaly
SQL. PostgreSQL_DomainAnomaly
SQL. MySQL_DomainAnomaly)
Un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri. Sfruttamento Medio
Accesso da un data center di Azure insolito
(SQL. PostgreSQL_DataCenterAnomaly
SQL. MariaDB_DataCenterAnomaly
SQL. MySQL_DataCenterAnomaly)
Un utente che ha eseguito l'accesso alla risorsa da un data center di Azure insolito. Esecuzione del probe Bassa
Accesso da un provider di servizi cloud insolito
(SQL. PostgreSQL_CloudProviderAnomaly
SQL. MariaDB_CloudProviderAnomaly
SQL. MySQL_CloudProviderAnomaly)
Un utente che ha eseguito l'accesso alla risorsa da un provider di servizi cloud non è stato visualizzato negli ultimi 60 giorni. È facile e veloce per gli attori delle minacce ottenere potenza di calcolo eliminabile per l'uso nelle campagne. Se si tratta di un comportamento previsto causato dall'adozione recente di un nuovo provider di servizi cloud, Defender per il cloud imparerà nel tempo e tenterà di prevenire futuri falsi positivi. Sfruttamento Medio
Accesso da una posizione insolita
(SQL. MariaDB_GeoAnomaly
SQL. PostgreSQL_GeoAnomaly
SQL. MySQL_GeoAnomaly)
Un utente che ha eseguito l'accesso alla risorsa da un data center di Azure insolito. Sfruttamento Medio
Accesso da un indirizzo IP sospetto
(SQL. PostgreSQL_SuspiciousIpAnomaly
SQL. MariaDB_SuspiciousIpAnomaly
SQL. MySQL_SuspiciousIpAnomaly)
È stato eseguito correttamente l'accesso alla risorsa da un indirizzo IP che l'intelligence sulle minacce Microsoft ha associato ad attività sospette. PreAttack Medio

Avvisi per Resource Manager

Nota

Gli avvisi con un'indicazione di accesso delegato vengono attivati a causa dell'attività dei provider di servizi di terze parti. Altre informazioni sulle indicazioni sulle attività dei provider di servizi.

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Operazione di Azure Resource Manager da un indirizzo IP sospetto
(ARM_OperationFromSuspiciousIP)
Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence sulle minacce. Esecuzione Medio
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. Evasione delle difese Medio
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni
(ARM_MicroBurst.AzDomainInfo)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. - Bassa
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni
(ARM_MicroBurst.AzureDomainInfo)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. - Bassa
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale
(ARM_MicroBurst.AzVMBulkCMD)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di codice in una macchina virtuale o un elenco di macchine virtuali. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire uno script in una macchina virtuale per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. Esecuzione Alto
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale
(RM_MicroBurst.AzureRmVMBulkCMD)
Il toolkit di sfruttamento di MicroBurst è stato usato per eseguire codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Toolkit di sfruttamento di MicroBurst usato per estrarre le chiavi dagli insiemi di credenziali delle chiavi di Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. - Alto
Toolkit di sfruttamento microBurst usato per estrarre le chiavi agli account di archiviazione
(ARM_MicroBurst.AZStorageKeysREST)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi per Archiviazione account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili negli account Archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. Sollecito Alto
Toolkit di sfruttamento di MicroBurst usato per estrarre segreti dagli insiemi di credenziali delle chiavi di Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione dei segreti da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare i segreti e usarli per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. - Alto
Toolkit di sfruttamento di PowerZure usato per elevare l'accesso da Azure AD ad Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Il toolkit di sfruttamento di PowerZure è stato usato per elevare l'accesso da Azure AD ad Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nel tenant. - Alto
Toolkit di sfruttamento di PowerZure usato per enumerare le risorse
(ARM_PowerZure.GetAzureTargets)
Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le risorse per conto di un account utente legittimo nell'organizzazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Sollecito Alto
Toolkit di sfruttamento di PowerZure usato per enumerare contenitori di archiviazione, condivisioni e tabelle
(ARM_PowerZure.ShowStorageContent)
Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le condivisioni, le tabelle e i contenitori di archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Toolkit di sfruttamento di PowerZure usato per eseguire un runbook nella sottoscrizione
(ARM_PowerZure.StartRunbook)
Il toolkit di sfruttamento di PowerZure è stato usato per eseguire un runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Toolkit di sfruttamento di PowerZure usato per estrarre il contenuto dei Runbook
(ARM_PowerZure.AzureRunbookContent)
Il toolkit di sfruttamento di PowerZure è stato usato per estrarre il contenuto dei runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Sollecito Alto
ANTEPRIMA - Rilevata esecuzione del toolkit Azurite
(ARM_Azurite)
È stata rilevata l'esecuzione di un toolkit di ricognizione dell'ambiente cloud noto nell'ambiente in uso. Lo strumento Azurite può essere usato da un utente malintenzionato (o tester di penetrazione) per eseguire il mapping delle risorse delle sottoscrizioni e identificare le configurazioni non protette. Sollecito Alto
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo
(ARM_SuspiciousComputeCreation)
Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività può essere legittima, un attore di minaccia potrebbe utilizzare tali operazioni per eseguire il crypto mining.
L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione.
Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose.
Impatto Medio
ANTEPRIMA - Rilevato ripristino sospetto dell'insieme di credenziali delle chiavi
(Arm_Suspicious_Vault_Recovering)
Microsoft Defender per Resource Manager ha rilevato un'operazione di ripristino sospetta per una risorsa dell'insieme di credenziali delle chiavi eliminata temporaneamente.
L'utente che recupera la risorsa è diverso dall'utente che l'ha eliminata. Si tratta di un'operazione estremamente sospetta perché l'utente raramente richiama tale operazione. Inoltre, l'utente ha eseguito l'accesso senza multi-factor authentication (MFA).
Ciò potrebbe indicare che l'utente è compromesso e sta tentando di individuare segreti e chiavi per ottenere l'accesso alle risorse sensibili o per eseguire lo spostamento laterale attraverso la rete.
Spostamento laterale Medio/alto
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo
(ARM_UnusedAccountPersistence)
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. Persistenza Medio
ANTEPRIMA: chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.CredentialAccess)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Accesso tramite credenziali Medio
ANTEPRIMA: chiamata sospetta di un'operazione "Raccolta dati" a rischio elevato rilevata da un'entità servizio
(ARM_AnomalousServiceOperation.Collection)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Sollecito Medio
ANTEPRIMA - Chiamata sospetta di un'operazione di "evasione della difesa" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.DefenseEvasion)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Evasione delle difese Medio
ANTEPRIMA: chiamata sospetta di un'operazione "Esecuzione" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Execution)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Esecuzione della difesa Medio
ANTEPRIMA: chiamata sospetta di un'operazione "Impatto" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Impact)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Impatto Medio
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.InitialAccess)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Accesso iniziale Medio
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso spostamento laterale" a rischio elevato rilevata da un'entità servizio
(ARM_AnomalousServiceOperation.LateralMovement)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Spostamento laterale Medio
ANTEPRIMA: chiamata sospetta di un'operazione di "persistenza" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Persistence)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Persistenza Medio
ANTEPRIMA: chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose. Escalation dei privilegi Medio
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo
(ARM_UnusedAccountPersistence)
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. Persistenza Medio
ANTEPRIMA - Rilevata sessione di gestione sospetta con PowerShell
(ARM_UnusedAppPowershellPersistence)
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente PowerShell per gestire l'ambiente di sottoscrizione ora sta usando PowerShell, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. Persistenza Medio
ANTEPRIMA - Rilevata sessione di gestione sospetta con il portale di Azure
(ARM_UnusedAppIbizaPersistence)
L'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente il portale di Azure (Ibiza) per gestire l'ambiente di sottoscrizione (vale a dire che non ha usato portale di Azure per la gestione negli ultimi 45 giorni o una sottoscrizione che sta gestendo attivamente), sta ora usando il portale di Azure, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato. Persistenza Medio
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender per Resource Manager ha rilevato una creazione sospetta della definizione del ruolo personalizzato con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. Escalation dei privilegi, evasione della difesa Bassa
Rilevata assegnazione di ruolo sospetta di Azure (anteprima)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo di Azure sospetta/eseguita usando PIM (Privileged Identity Management) nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per consentire agli amministratori di concedere agli amministratori l'accesso alle risorse di Azure. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare l'assegnazione di ruolo per inoltrare le autorizzazioni consentendo loro di avanzare l'attacco. Movimento laterale, evasione della difesa Basso (PIM) / Alto
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Accesso tramite credenziali Medio
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Collection)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Sollecito Medio
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Evasione delle difese Medio
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Execution)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Esecuzione Medio
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Impact)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Impatto Medio
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Accesso iniziale Medio
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Spostamento laterale Medio
Operazione di accesso con privilegi elevati sospetti (anteprima)(ARM_AnomalousElevateAccess) Microsoft Defender per Resource Manager ha identificato un'operazione sospetta di "Elevare l'accesso". L'attività viene considerata sospetta, in quanto questa entità raramente richiama tali operazioni. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare un'operazione "Elevate Access" per eseguire l'escalation dei privilegi per un utente compromesso. Escalation dei privilegi Medio
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Persistenza Medio
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Escalation dei privilegi Medio
Utilizzo del toolkit di sfruttamento MicroBurst per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account
(ARM_MicroBurst.RunCodeOnBehalf)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire codice arbitrario per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose. Persistenza, accesso alle credenziali Alto
Uso delle tecniche NetSPI per mantenere la persistenza nell'ambiente Azure
(ARM_NetSPI.MaintainPersistence)
È stato rilevato l'utilizzo della tecnica di salvataggio permanente di NetSPI per creare una backdoor webhook e mantenere il salvataggio permanente nell'ambiente di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Utilizzo del toolkit di sfruttamento di PowerZure per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account
(ARM_PowerZure.RunCodeOnBehalf)
È stato rilevato un tentativo del toolkit di sfruttamento di PowerZure di eseguire codice o estrarre le credenziali dell'account di Automazione di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Utilizzo della funzione PowerZure per mantenere la persistenza nell'ambiente Azure
(ARM_PowerZure.MaintainPersistence)
È stata rilevata la creazione di una backdoor webhook da parte del toolkit di sfruttamento di PowerZure per mantenere il salvataggio permanente nell'ambiente di Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. - Alto
Rilevata assegnazione di ruolo classica sospetta (anteprima)
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo classica sospetta nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per garantire la compatibilità con le versioni precedenti con i ruoli classici che non vengono più usati comunemente. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tale assegnazione per concedere le autorizzazioni a un altro account utente sotto il proprio controllo.  Movimento laterale, evasione della difesa Alto

Avvisi per Archiviazione di Azure

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Accesso da un'applicazione sospetta
(Archiviazione. Blob_SuspiciousApp)
Indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione.
Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione.
Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2
Accesso iniziale Alto/Medio
Accesso da un indirizzo IP sospetto
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Indica che l'accesso a questo account di archiviazione è stato eseguito correttamente da un indirizzo IP considerato sospetto. Questo avviso è basato sull'intelligence sulle minacce di Microsoft.
Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Pre-attacco Alta/Media/Bassa
Contenuto di phishing ospitato in un account di archiviazione
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Un URL usato in un attacco di phishing punta all'account di archiviazione di Azure. Questo URL fa parte di un attacco di phishing inviato agli utenti di Microsoft 365.
In genere, il contenuto ospitato in tali pagine è progettato per indurre i visitatori a immettere le loro credenziali aziendali o informazioni finanziarie in un modulo Web che sembra legittimo.
Questo avviso è basato sull'intelligence sulle minacce di Microsoft.
Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Si applica a: Archiviazione BLOB di Azure, File di Azure
Sollecito Alto
Archiviazione account identificato come origine per la distribuzione di malware
(Archiviazione. Files_WidespreadeAm)
Gli avvisi antimalware indicano che uno o più file infetti vengono archiviati in una condivisione file di Azure montata in più macchine virtuali. Se gli utenti malintenzionati ottengono l'accesso a una macchina virtuale con una condivisione file di Azure montata, possono usarlo per diffondere malware in altre macchine virtuali che montano la stessa condivisione.
Si applica a: File di Azure
Esecuzione Medio
Il livello di accesso di un contenitore BLOB di archiviazione potenzialmente sensibile è stato modificato per consentire l'accesso pubblico non autenticato
(Archiviazione. Blob_OpenACL)
L'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che può contenere dati sensibili, a livello di "contenitore", per consentire l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure.
In base all'analisi statistica, il contenitore BLOB viene contrassegnato come possibilmente contenente dati sensibili. Questa analisi suggerisce che i contenitori BLOB o gli account di archiviazione con nomi simili in genere non sono esposti all'accesso pubblico.
Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium).
Sollecito Medio
Accesso autenticato da un nodo di uscita tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
È stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità.
Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Accesso iniziale/Pre-attacco Alto/Medio
Accesso da una posizione insolita a un account di archiviazione
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Indica che è stata riscontrata una modifica nel modello di accesso a un account di archiviazione di Azure. Un utente ha effettuato l'accesso a questo account da un indirizzo IP considerato insolito se confrontato con l'attività recente. Un utente malintenzionato ha ottenuto l'accesso all'account oppure un utente legittimo si è connesso da una posizione geografica nuova o insolita. Un esempio di quest'ultimo caso è la manutenzione remota da una nuova applicazione o sviluppatore.
Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Accesso iniziale Alta/Media/Bassa
Accesso non autenticato insolito a un contenitore di archiviazione
(Storage.Blob_AnonymousAccessAnomaly)
Questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione.
Si applica a: Archiviazione BLOB di Azure
Accesso iniziale Alto/Basso
Potenziale malware caricato in un account di archiviazione
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Indica che un BLOB contenente potenziale malware è stato caricato in un contenitore BLOB o in una condivisione file in un account di archiviazione. Questo avviso è basato sull'analisi della reputazione hash che sfrutta la potenza dell'intelligence sulle minacce Microsoft, che include hash per virus, trojan, spyware e ransomware. Le possibili cause possono includere un malware intenzionale caricato da un utente malintenzionato o un caricamento involontario di un BLOB potenzialmente dannoso da parte di un utente legittimo.
Si applica a: Archiviazione BLOB di Azure, File di Azure (solo per le transazioni tramite l'API REST)
Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Spostamento laterale Alto
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente
(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery)
Un'individuazione corretta dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Archiviazione Gen2
Sollecito Alto/Medio
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito
(Archiviazione. Blob_OpenContainersScanning.FailedAttempt)
Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Archiviazione Gen2
Sollecito Alto/Basso
Ispezione dell'accesso insolita in un account di archiviazione
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Indica che le autorizzazioni di accesso di un account di archiviazione sono state ispezionate in modo insolito, se confrontato con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro.
Si applica a: Archiviazione BLOB di Azure, File di Azure
Individuazione Alto/Medio
Quantità insolita di dati estratti da un account di archiviazione
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Indica che è stata estratta una quantità insolitamente elevata di dati se confrontata con l'attività recente per questo contenitore di archiviazione. Una possibile causa è che un utente malintenzionato ha estratto una quantità elevata di dati da un contenitore contenente l'archiviazione BLOB.
Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Esfiltrazione Alto/Basso
Un'applicazione insolita ha avuto accesso a un account di archiviazione
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Indica che un'applicazione insolita ha effettuato l'accesso a questo account di archiviazione. Una possibile causa è che un utente malintenzionato ha eseguito l'accesso all'account di archiviazione usando una nuova applicazione.
Si applica a: Archiviazione BLOB di Azure, File di Azure
Esecuzione Alto/Medio
Esplorazione insolita dei dati in un account di archiviazione
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Indica che i BLOB o i contenitori in un account di archiviazione sono stati enumerati in modo insolito, se confrontato con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro.
Si applica a: Archiviazione BLOB di Azure, File di Azure
Esecuzione Alto/Medio
Eliminazione insolita in un account di archiviazione
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Indica che in un account di archiviazione si sono verificate una o più operazioni di eliminazione impreviste, se confrontate con l'attività recente per questo account. Una possibile causa è che un utente malintenzionato ha eliminato i dati dall'account di archiviazione.
Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Esfiltrazione Alto/Medio
Accesso pubblico non autenticato insolito a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_AnonymousAccessAnomaly.Sensitive
L'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione senza autenticazione, usando un indirizzo IP esterno (pubblico). Questo accesso è sospetto perché il contenitore BLOB è aperto all'accesso pubblico ed è in genere accessibile solo con l'autenticazione da reti interne (indirizzi IP privati). Questo accesso potrebbe indicare che il livello di accesso del contenitore BLOB non è configurato correttamente e che un attore malintenzionato potrebbe aver sfruttato l'accesso pubblico. L'avviso di sicurezza include il contesto delle informazioni riservate individuate (tempo di analisi, etichetta di classificazione, tipi di informazioni e tipi di file). Altre informazioni sul rilevamento delle minacce per i dati sensibili.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Accesso iniziale Alto
Quantità insolita di dati estratti da un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
L'avviso indica che un utente ha estratto un numero insolitamente elevato di BLOB da un contenitore BLOB con dati sensibili nell'account di archiviazione.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Esfiltrazione Medio
Numero insolito di BLOB estratti da un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
L'avviso indica che un utente ha estratto una quantità insolitamente elevata di dati da un contenitore BLOB con dati sensibili nell'account di archiviazione.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Esfiltrazione
Accesso da un'applicazione sospetta nota a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_SuspiciousApp.Sensitive
L'avviso indica che un utente con un'applicazione sospetta nota ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione ed ha eseguito operazioni autenticate.
L'accesso può indicare che un attore di minaccia ha ottenuto le credenziali per accedere all'account di archiviazione usando un'applicazione sospetta nota. Tuttavia, l'accesso potrebbe anche indicare un test di penetrazione eseguito nell'organizzazione.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Accesso iniziale Alto
Accesso da un indirizzo IP sospetto noto a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_SuspiciousIp.Sensitive
L'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione da un indirizzo IP sospetto noto associato a threat intel da Microsoft Threat Intelligence. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse.
Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Pre-attacco Alto
Accesso da un nodo di uscita tor a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_TorAnomaly.Sensitive
L'avviso indica che un utente con un indirizzo IP noto come nodo di uscita tor ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione con accesso autenticato. L'accesso autenticato da un nodo di uscita tor indica fortemente che l'attore sta tentando di rimanere anonimo per possibili finalità dannose. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Pre-attacco Alto
Accesso da una posizione insolita a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_GeoAnomaly.Sensitive
L'avviso indica che un utente ha eseguito l'accesso al contenitore BLOB con dati sensibili nell'account di archiviazione con autenticazione da una posizione insolita. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Accesso iniziale Medio
Il livello di accesso di un contenitore BLOB di archiviazione sensibile è stato modificato per consentire l'accesso pubblico non autenticato (anteprima)
Archiviazione. Blob_OpenACL.Sensitive
L'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che contiene dati sensibili, al livello "Contenitore", che consente l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure.
La modifica del livello di accesso può compromettere la sicurezza dei dati. È consigliabile intervenire immediatamente per proteggere i dati e impedire l'accesso non autorizzato nel caso in cui venga attivato questo avviso.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Sollecito Alto
Accesso esterno sospetto a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)
Archiviazione. Blob_AccountSas.InternalSasUsedExternally
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. Questo tipo di accesso è considerato sospetto perché il token di firma di accesso condiviso viene in genere usato solo nelle reti interne (da indirizzi IP privati).
L'attività può indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente rilevato da una fonte legittima.
Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Esfiltrazione/Sviluppo risorse/Impatto Medio
Operazione esterna sospetta a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)
Archiviazione. Blob_AccountSas.UnusualOperationFromExternalIp
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. L'accesso è considerato sospetto perché le operazioni richiamate all'esterno della rete (non da indirizzi IP privati) con questo token di firma di accesso condiviso vengono in genere usate per un set specifico di operazioni di lettura/scrittura/eliminazione, ma si sono verificate altre operazioni che rendono sospetto questo accesso.
Questa attività può indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente trapelato da una fonte legittima.
Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Esfiltrazione/Sviluppo risorse/Impatto Medio
Token di firma di accesso condiviso insolito è stato usato per accedere a un account di archiviazione di Azure da un indirizzo IP pubblico (anteprima)
Archiviazione. Blob_AccountSas.UnusualExternalAccess
L'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso dell'account. L'accesso è estremamente insolito e considerato sospetto, poiché l'accesso all'account di archiviazione usando i token di firma di accesso condiviso in genere proviene solo da indirizzi IP interni (privati).
È possibile che un token di firma di accesso condiviso sia stato trapelato o generato da un attore malintenzionato dall'interno dell'organizzazione o esternamente per ottenere l'accesso a questo account di archiviazione.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Esfiltrazione/Sviluppo risorse/Impatto Bassa
File dannoso caricato nell'account di archiviazione
Archiviazione. Blob_AM. MalwareFound
L'avviso indica che un BLOB dannoso è stato caricato in un account di archiviazione. Questo avviso di sicurezza viene generato dalla funzionalità Analisi malware in Defender per Archiviazione.
Le possibili cause possono includere un caricamento intenzionale di malware da parte di un attore di minaccia o un caricamento involontario di un file dannoso da parte di un utente legittimo.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.
Spostamento laterale Alto
IL BLOB dannoso è stato scaricato da un account di archiviazione (anteprima)
Archiviazione. Blob_MalwareDownload
L'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o un download involontario del malware da parte di utenti o applicazioni legittime.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.
Spostamento laterale Alto, se Eicar - basso

Avvisi per Azure Cosmos DB

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Accesso da un nodo di uscita tor
(CosmosDB_TorAnomaly)
Questo account Azure Cosmos DB è stato eseguito correttamente dall'accesso da un indirizzo IP noto come nodo di uscita attivo di Tor, un proxy anonimizzato. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Accesso iniziale Alto/Medio
Accesso da un indirizzo IP sospetto
(CosmosDB_SuspiciousIp)
L'accesso a questo account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP identificato come minaccia da Microsoft Threat Intelligence. Accesso iniziale Medio
Accesso da una posizione insolita
(CosmosDB_GeoAnomaly)
Questo account Azure Cosmos DB è stato eseguito dall'accesso da una posizione considerata non familiare, in base al modello di accesso consueto.

Un attore di minaccia ha ottenuto l'accesso all'account o un utente legittimo si è connesso da una posizione geografica nuova o insolita
Accesso iniziale Bassa
Volume insolito dei dati estratti
(CosmosDB_DataExfiltrationAnomaly)
Un volume insolitamente elevato di dati è stato estratto da questo account Azure Cosmos DB. Ciò potrebbe indicare che un attore di minaccia esfiltra i dati. Esfiltrazione Medio
Estrazione delle chiavi degli account Azure Cosmos DB tramite uno script potenzialmente dannoso
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di operazioni di elenco delle chiavi per ottenere le chiavi degli account Azure Cosmos DB nella sottoscrizione. Gli attori delle minacce usano script automatizzati, ad esempio Microburst, per elencare le chiavi e trovare gli account Azure Cosmos DB a cui possono accedere.

Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere gli account Azure Cosmos DB nell'ambiente per finalità dannose.

In alternativa, un insider malintenzionato potrebbe tentare di accedere ai dati sensibili ed eseguire lo spostamento laterale.
Sollecito Medio
Estrazione sospetta delle chiavi dell'account Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Un'origine sospetta ha estratto le chiavi di accesso dell'account Azure Cosmos DB dalla sottoscrizione. Se questa fonte non è una fonte legittima, questo potrebbe essere un problema ad alto impatto. La chiave di accesso estratta fornisce il controllo completo sui database associati e sui dati archiviati all'interno. Per informazioni sul motivo per cui l'origine è stata contrassegnata come sospetta, vedere i dettagli di ogni avviso specifico. Accesso tramite credenziali high
SQL injection: potenziale esfiltrazione di dati
(CosmosDB_SqlInjection.DataExfiltration)
È stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.

L'istruzione inserita potrebbe avere avuto esito positivo nell'esfiltrazione dei dati a cui l'attore di minaccia non è autorizzato ad accedere.

A causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti sugli account Azure Cosmos DB non possono funzionare. Tuttavia, la variazione usata in questo attacco può funzionare e gli attori delle minacce possono esfiltrare i dati.
Esfiltrazione Medio
SQL injection: tentativo di fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
È stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.

Analogamente ad altri attacchi SQL injection noti, questo attacco non riuscirà a compromettere l'account Azure Cosmos DB.

Tuttavia, è un'indicazione che un attore di minaccia sta tentando di attaccare le risorse in questo account e l'applicazione potrebbe essere compromessa.

Alcuni attacchi SQL injection possono avere esito positivo e essere usati per esfiltrare i dati. Ciò significa che se l'utente malintenzionato continua a eseguire tentativi di inserimento SQL, potrebbe essere in grado di compromettere l'account Azure Cosmos DB ed esfiltrare i dati.

È possibile evitare questa minaccia usando query con parametri.
Prima di un attacco Bassa

Avvisi per il livello di rete di Azure

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Rilevata comunicazione di rete con un computer dannoso
(Network_CommunicationWithC2)
L'analisi del traffico di rete indica che il computer (IP %{IP vittima}) ha comunicato con un possibile centro di comando e controllo. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) hanno comunicato con un possibile centro di comando e controllo. Comando e controllo Medio
Rilevato possibile computer compromesso
(Network_ResourceIpIndicatedAsMalicious)
Intelligence per le minacce indica che il computer (all'indirizzo IP %{IP computer}) potrebbe essere stato compromesso da un malware di tipo Conficker. Conficker è worm informatico destinato al sistema operativo Microsoft Windows rilevato per la prima volta nel novembre 2008. Conficker ha infettato milioni di computer governativi, aziendali e domestici in oltre 200 paesi, diventando la più grande infezione da worm informatico dal worm Welchia del 2003. Comando e controllo Medio
Rilevati possibili tentativi di attacco di forza bruta da %{nome servizio}
(Generic_Incoming_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione in ingresso da %{nome servizio} a %{IP vittima}, associata alla risorsa %{host compromesso} da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{porta vittima}. L'attività è coerente con i tentativi di attacco di forza bruta ai server %{nome servizio}. PreAttack Medio
Rilevati possibili tentativi di attacco di forza bruta a SQL in ingresso
(SQL_Incoming_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione SQL in ingresso a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{numero di porta} (%{tipo di servizio SQL}). L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL. PreAttack Medio
Rilevato possibile attacco Denial of Service in uscita
(DDOS)
L'analisi del traffico di rete ha rilevato un'attività in uscita anomala originata da %{host compromesso}, una risorsa nella distribuzione. Questa attività può indicare che la risorsa è stata compromessa e ora è coinvolta in attacchi Denial of Service contro endpoint esterni. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) sono state compromesse. In base al volume delle connessioni, si ritiene che gli IP seguenti possano essere gli obiettivi dell'attacco DOS: %{possibili vittime}. Si noti che è possibile che la comunicazione ad alcuni di questi IP sia legittima. Impatto Medio
Attività di rete RDP in ingresso sospetta da più origini
(RDP_Incoming_BF_ManyToOne)
L'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP da più host (botnet). PreAttack Medio
Attività di rete RDP in ingresso sospetta
(RDP_Incoming_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione Remote Desktop Protocol (RDP) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP. PreAttack Medio
Attività di rete SSH in ingresso sospetta da più origini
(SSH_Incoming_BF_ManyToOne)
L'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH da più host (botnet). PreAttack Medio
Attività di rete SSH in ingresso sospetta
(SSH_Incoming_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH. PreAttack Medio
Rilevato traffico in uscita da %{protocollo attaccato} sospetto
(PortScanning)
L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso} alla porta di destinazione %{porta più comune}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Questo comportamento può indicare che la risorsa sta partecipando ad attacchi di scansione sistematica delle porte o a tentativi di attacco di forza bruta contro %{protocollo attaccato}. Individuazione Medio
Attività di rete RDP in uscita sospetta verso più destinazioni
(RDP_Outgoing_BF_OneToMany)
L'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala verso più destinazioni proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che il computer si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. Individuazione Alto
Attività di rete RDP in uscita sospetta
(RDP_Outgoing_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione Remote Desktop Protocol (RDP) in uscita anomala a %{IP vittima} proveniente da %{host compromesso} %{IP utente malintenzionato}, una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. Spostamento laterale Alto
Attività di rete SSH in uscita sospetta verso più destinazioni
(SSH_Outgoing_BF_OneToMany)
L'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala verso più destinazioni proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che la risorsa si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. Individuazione Medio
Attività di rete SSH in uscita sospetta
(SSH_Outgoing_BF_OneToOne)
L'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala a %{IP vittima} proveniente da %{host compromesso} %{IP utente malintenzionato}, una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività può indicare che la risorsa è stata compromessa e viene ora usata per attacchi di forza bruta contro gli endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne. Spostamento laterale Medio
Rilevato traffico da indirizzi IP per cui è consigliato il blocco Microsoft Defender per il cloud rilevato traffico in ingresso da indirizzi IP che è consigliabile bloccare. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud. Esecuzione del probe Bassa

Avvisi per Azure Key Vault

Altri dettagli e note

Avviso (tipo di avviso) Descrizione Tattiche MITRE
Altre informazioni
Gravità
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccess)
Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò può indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Accesso tramite credenziali Medio
Accesso da un nodo di uscita TOR a un insieme di credenziali delle chiavi
(KV_TORAccess)
È stato eseguito l'accesso a un insieme di credenziali da un nodo di uscita TOR noto. Potrebbe indicare che un utente malintenzionato ha eseguito l'accesso all'insieme di credenziali delle chiavi e usa la rete TOR per nascondere la sua posizione di origine. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Volume elevato di operazioni in un insieme di credenziali delle chiavi
(KV_OperationVolumeAnomaly)
Un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico ha eseguito un numero anomalo di operazioni nell'insieme di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Modifica dei criteri e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_PutGetAnomaly)
Un utente o un'entità servizio ha eseguito un'operazione di modifica anomala del criterio Vault Put seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata. Può trattarsi di un'attività legittima, ma potrebbe anche indicare che un utente malintenzionato ha aggiornato i criteri dell'insieme di credenziali delle chiavi per accedere a segreti in precedenza inaccessibili. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Elenco e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_ListGetAnomaly)
Un utente o un'entità servizio ha eseguito un'operazione Secret List anomala seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata ed è in genere associato al dump di segreti. Può trattarsi di un'attività legittima, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e sta provando a individuare segreti che possono essere usati per spostarsi lateralmente attraverso la rete e/o per ottenere l'accesso a risorse sensibili. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato
(KV_AccountVolumeAccessDeniedAnomaly)
Un utente o un'entità servizio ha tentato di accedere a volumi anomali elevati di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. Individuazione Bassa
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi
(KV_UserAccessDeniedAnomaly)
Un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. Accesso iniziale, individuazione Bassa
Un'applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_AppAnomaly)
È stato eseguito l'accesso a un insieme di credenziali delle chiavi da un'entità servizio che normalmente non vi accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Modello di operazione insolito in un insieme di credenziali delle chiavi
(KV_OperationPatternAnomaly)
Un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico ha eseguito un modello anomalo di operazioni nell'insieme di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Un utente insolito ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAnomaly)
Un utente ha eseguito l'accesso a un insieme di credenziali delle chiavi a cui normalmente non accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Una coppia utente-applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAppAnomaly)
Un insieme di credenziali delle chiavi è stato eseguito da una coppia di entità servizio utente che normalmente non vi accede. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Un utente ha avuto accesso a un volume elevato di insiemi di credenziali delle chiavi
(KV_AccountVolumeAnomaly)
Un utente o un'entità servizio ha eseguito l'accesso a un numero elevato in modo anomalo di insiemi di credenziali delle chiavi. Questo modello di attività anomalo può essere legittimo, ma potrebbe anche indicare che un utente malintenzionato ha ottenuto l'accesso a più insiemi di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti al loro interno. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccessDenied)
Un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Bassa
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno)
(KV_UnusualAccessSuspiciousIP)
Un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio

Avvisi per Protezione DDoS di Azure

Altri dettagli e note

Avviso Descrizione Tattiche MITRE
Altre informazioni
Gravità
Rilevato attacco DDoS per IP pubblico
(NETWORK_DDOS_DETECTED)
È stato rilevato un attacco DDoS per l'IP pubblico (indirizzo IP) che è in fase di mitigazione. Esecuzione del probe Alto
Mitigato attacco DDoS per IP pubblico
(NETWORK_DDOS_MITIGATED)
È stato mitigato un attacco DDoS per l'IP pubblico (indirizzo IP). Esecuzione del probe Bassa

Tattiche MITRE ATT&CK

Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, Microsoft Defender per il cloud avvisi includono le tattiche MITRE con molti avvisi.

La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".

le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 9 della matrice MITRE ATT&CK e descritte nella tabella seguente.

Tattica Versione di ATT&CK Descrizione
Pre-attacco PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso.
Accesso iniziale V7, V9 L'accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via. Gli attori delle minacce saranno spesso in grado di controllare la risorsa dopo questa fase.
Persistenza V7, V9 Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso.
Escalation dei privilegi V7, V9 L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per gli antagonisti per raggiungere il loro obiettivo possono anche essere considerati un'escalation dei privilegi.
Evasione della difesa V7, V9 L'evasione delle difese è costituita da tecniche che un antagonista potrebbe usare per evadere il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione.
Accesso alle credenziali V7, V9 L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate all'interno di un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente.
Individuazione V7, V9 L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e sui vantaggi che operando da tale sistema potrebbero ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione.
Spostamento laterale V7, V9 Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un avversario può usare lo spostamento laterale per molti scopi, tra cui esecuzione remota di strumenti, pivoting a più sistemi, accesso a informazioni o file specifici, accesso a più credenziali o per causare un effetto.
Esecuzione V7, V9 La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata in combinazione con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete.
Raccolta V7, V9 La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione.
Comando e controllo V7, V9 La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione.
Esfiltrazione V7, V9 Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione.
Impatto V7, V9 Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per avere ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via.

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Avvisi di Defender per server deprecati

Le tabelle seguenti includono gli avvisi di sicurezza di Defender per server deprecati nell'aprile 2023 a causa di un processo di miglioramento.

Avvisi Linux deprecati

Tipo di avviso Nome visualizzato avviso Gravità
VM_AbnormalDaemonTermination Terminazione anomala Bassa
VM_BinaryGeneratedFromCommandLine Rilevato file binario sospetto Medio
VM_CommandlineSuspectDomain sospetto informazioni di riferimento sul nome di dominio Bassa
VM_CommonBot Rilevato comportamento simile a bot di Linux comuni Medio
VM_CompCommonBots Sono stati rilevati comandi simili ai bot Linux comuni Medio
VM_CompSuspiciousScript Rilevato script della shell Medio
VM_CompTestRule Avviso di test analitico composito Bassa
VM_CronJobAccess Modifica delle attività pianificate rilevate Informazioni
VM_CryptoCoinMinerArtifacts Rilevato processo associato al mining della valuta digitale Medio
VM_CryptoCoinMinerDownload Rilevato un possibile download di Cryptocoinminer Medio
VM_CryptoCoinMinerExecution Il potenziale minatore di moneta crittografica ha iniziato Medio
VM_DataEgressArtifacts Rilevata possibile esfiltrazione di dati Medio
VM_DigitalCurrencyMining Rilevato comportamento correlato al mining della valuta digitale Alto
VM_DownloadAndRunCombo Download sospetto, quindi eseguire l'attività Medio
VM_EICAR Microsoft Defender per il cloud avviso di test (non una minaccia) Alto
VM_ExecuteHiddenFile Esecuzione di file nascosti Informazioni
VM_ExploitAttempt Possibile tentativo di sfruttamento della riga di comando Medio
VM_ExposedDocker Daemon Docker esposto nel socket TCP Medio
VM_FairwareMalware Rilevato comportamento simile al ransomware Fairware Medio
VM_FirewallDisabled Rilevata manipolazione del firewall host Medio
VM_HadoopYarnExploit Possibile sfruttamento di Hadoop Yarn Medio
VM_HistoryFileCleared Un file di cronologia è stato cancellato Medio
VM_KnownLinuxAttackTool Rilevato possibile strumento di attacco Medio
VM_KnownLinuxCredentialAccessTool Rilevato possibile strumento di accesso alle credenziali Medio
VM_KnownLinuxDDoSToolkit Rilevati indicatori associati a un toolkit DDoS Medio
VM_KnownLinuxScreenshotTool Screenshot acquisito nell'host Bassa
VM_LinuxBackdoorArtifact Rilevata possibile backdoor Medio
VM_LinuxReconnaissance Rilevata ricognizione dell'host locale Medio
VM_MismatchedScriptFeatures Rilevata mancata corrispondenza dell'estensione dello script Medio
VM_MitreCalderaTools Rilevato agente MITRE Caldera Medio
VM_NewSingleUserModeStartupScript Tentativo di persistenza rilevato Medio
VM_NewSudoerAccount Account aggiunto al gruppo sudo Bassa
VM_OverridingCommonFiles Potenziale override di file comuni Medio
VM_PrivilegedContainerArtifacts Contenitore in esecuzione in modalità con privilegi Bassa
VM_PrivilegedExecutionInContainer Comando all'interno di un contenitore in esecuzione con privilegi elevati Bassa
VM_ReadingHistoryFile Accesso insolito al file di cronologia bash Informazioni
VM_ReverseShell Rilevata potenziale shell inversa Medio
VM_SshKeyAccess Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito Bassa
VM_SshKeyAddition Nuova chiave SSH aggiunta Bassa
VM_SuspectCompilation Rilevata compilazione sospetta Medio
VM_SuspectConnessione ion Rilevato un tentativo di connessione non comune Medio
VM_SuspectDownload Rilevato download di un file da un'origine dannosa nota Medio
VM_SuspectDownloadArtifacts Rilevato download di un file sospetto Bassa
VM_SuspectExecutablePath Rilevato eseguibile in esecuzione da un percorso sospetto Medio
VM_SuspectHtaccessFileAccess Rilevato accesso al file htaccess Medio
VM_SuspectInitialShellCommand Primo comando sospetto nella shell Bassa
VM_SuspectMixedCaseText Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando Medio
VM_SuspectNetworkConnessione Connessione di rete sospetta Informazioni
VM_SuspectNohup Rilevato uso sospetto del comando nohup Medio
VM_SuspectPasswordChange È stata rilevata una possibile modifica della password usando il metodo crypt Medio
VM_SuspectPasswordFileAccess Accesso sospetto alle password Informazioni
VM_SuspectPhp Rilevata esecuzione PHP sospetta Medio
VM_SuspectPortForwarding Potenziale port forwarding a un indirizzo IP esterno Medio
VM_SuspectProcessAccountPrivilegeCombo Il processo in esecuzione in un account del servizio è diventato in modo imprevisto Medio
VM_SuspectProcessTermination Rilevata terminazione dei processi correlati alla sicurezza Bassa
VM_SuspectUserAddition Rilevato uso sospetto del comando useradd Medio
VM_SuspiciousCommandLineExecution Esecuzione comando sospetta Alto
VM_SuspiciousDNSOverHttps Uso sospetto di DNS su HTTPS Medio
VM_SystemLogRemoval Rilevata possibile attività di manomissione dei log Medio
VM_ThreatIntelCommandLineSuspectDomain È stata rilevata una possibile connessione a una posizione dannosa Medio
VM_ThreatIntelSuspectLogon È stato rilevato un accesso da un indirizzo IP dannoso Alto
VM_TimerServiceDisabled Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer Informazioni
VM_TimestampTampering Modifica del timestamp del file sospetta Bassa
VM_Webshell Rilevata possibile web shell dannosa Medio

Avvisi di Windows deprecati

Tipo di avviso Nome visualizzato avviso Gravità
SCUBA_MULTIPLEACCOUNTCREATE Creazione sospetta di account in più host Medio
SCUBA_PSINSIGHT_CONTEXT Rilevato uso sospetto di PowerShell Informazioni
SCUBA_RULE_AddGuestToAmministrazione istrator Aggiunta dell'account Guest al gruppo Administrators locale Medio
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands Apache_Tomcat_executing_suspicious_commands Medio
SCUBA_RULE_KnownBruteForcingTools Esecuzione di processo sospetto Alto
SCUBA_RULE_KnownCollectionTools Esecuzione di processo sospetto Alto
SCUBA_RULE_KnownDefenseEvasionTools Esecuzione di processo sospetto Alto
SCUBA_RULE_KnownExecutionTools Esecuzione di processo sospetto Alto
SCUBA_RULE_KnownPassTheHashTools Esecuzione di processo sospetto Alto
SCUBA_RULE_KnownSpammingTools Esecuzione di processo sospetto Medio
SCUBA_RULE_Lowering_Security_Impostazioni Rilevata disabilitazione di servizi critici Medio
SCUBA_RULE_OtherKnownHackerTools Esecuzione di processo sospetto Alto
SCUBA_RULE_RDP_session_hijacking_via_tscon Livello di integrità sospetto indicativo di hijack RDP Medio
SCUBA_RULE_RDP_session_hijacking_via_tscon_service Installazione di un servizio sospetta Medio
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso Bassa
SCUBA_RULE_WDigest_Enabling Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential Medio
VM.Windows_ApplockerBypass Rilevato potenziale tentativo di ignorare AppLocker Alto
VM.Windows_BariumKnownSuspiciousProcessExecution Rilevata creazione di file sospetta Alto
VM.Windows_Base64EncodedExecutableInCommandLineParams Rilevato file eseguibile codificato nei dati della riga di comando Alto
VM.Windows_CalcsCommandLineUse Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema Medio
VM.Windows_CommandLineStartingAllExe Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory Medio
VM.Windows_DisablingAndDeletingIISLogFiles Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS Medio
VM.Windows_DownloadUsingCertutil Rilevato download sospetto con Certutil Medio
VM.Windows_EchoOverPipeOnLocalhost Rilevate comunicazioni della named pipe sospette Alto
VM.Windows_EchoToConstructPowerShellScript Costruzione dinamica di script di PowerShell Medio
VM.Windows_ExecutableDecodedUsingCertutil Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito Medio
VM.Windows_FileDeletionIsSospisiousLocation Rilevata eliminazione di file sospetta Medio
VM.Windows_KerberosGoldenTicketAttack Osservati sospetti parametri di attacco con Golden Ticket Kerberos Medio
VM.Windows_KeygenToolKnownProcessName Rilevata possibile esecuzione del processo sospetto dell'eseguibile keygen Medio
VM.Windows_KnownCredentialAccessTools Esecuzione di processo sospetto Alto
VM.Windows_KnownSuspiciousPowerShellScript Rilevato uso sospetto di PowerShell Alto
VM.Windows_KnownSuspiciousSoftwareInstallation Rilevato software a rischio elevato Medio
VM.Windows_MsHtaAndPowerShellCombination Rilevata combinazione sospetta di HTA e PowerShell Medio
VM.Windows_MultipleAccountsQuery Tentativi ripetuti di query sugli account di dominio Medio
VM.Windows_NewAccountCreation È stata rilevata la creazione dell'account Informazioni
VM.Windows_ObfuscatedCommandLine Rilevata riga di comando offuscata. Alto
VM.Windows_PcaluaUseToLaunchExecutable Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile Medio
VM.Windows_PetyaRansomware Rilevati indicatori ransomware Petya Alto
VM.Windows_PowerShellPowerSploitScriptExecution Esecuzione di cmdlet di PowerShell sospetti Medio
VM.Windows_RansomwareIndication Rilevati indicatori ransomware Alto
VM.Windows_SqlDumperUsedSuspiciously Rilevato possibile dump delle credenziali [visto più volte] Medio
VM.Windows_StopCriticalServices Rilevata disabilitazione di servizi critici Medio
VM.Windows_SubvertingAccessibilityBinary Rilevato attacco chiavi permanenti
Rilevata creazione di account sospetti Medio
VM.Windows_SuspiciousAccountCreation Rilevata creazione sospetta di account Medio
VM.Windows_SuspiciousFirewallRuleAdded Rilevata nuova regola del firewall sospetta Medio
VM.Windows_SuspiciousFTPSSwitchUsage Rilevato uso sospetto dell'opzione FTP -s Medio
VM.Windows_SuspiciousSQLActivity Attività SQL sospetta Medio
VM.Windows_SVCHostFromInvalidPath Esecuzione di processo sospetto Alto
VM.Windows_SystemEventLogCleared Il log di Sicurezza di Windows è stato cancellato Informazioni
VM.Windows_TelegramInstallation Rilevato uso potenzialmente sospetto dello strumento Telegram Medio
VM.Windows_UndercoverProcess Rilevato processo con nome sospetto Alto
VM.Windows_UserAccountControlBypass Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente Medio
VM.Windows_VBScriptEncoding Rilevata esecuzione sospetta del comando VBScript.Encode Medio
VM.Windows_WindowPositionRegisteryChange Rilevato valore del Registro di sistema WindowPosition sospetto Bassa
VM.Windows_ZincPortOpenningUsingFirewallRule Regola del firewall dannosa creata dall'impianto server ZINCO Alto
VM_DigitalCurrencyMining Rilevato comportamento correlato al mining della valuta digitale Alto
VM_MaliciousSQLActivity Attività SQL dannosa Alto
VM_ProcessWithDoubleExtensionExecution Esecuzione sospetta di un file a doppia estensione Alto
VM_RegistryPersistencyKey Rilevato metodo di salvataggio permanente del Registro di sistema di Windows Bassa
VM_ShadowCopyDeletion Attività di copia shadow del volume sospetta
Rilevato eseguibile in esecuzione da un percorso sospetto
Alto
VM_SuspectExecutablePath File eseguibile trovato in esecuzione da una posizione sospetta
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Informativo

Medio
VM_SuspectPhp Rilevata esecuzione PHP sospetta Medio
VM_SuspiciousCommandLineExecution Esecuzione comando sospetta Alto
VM_SuspiciousScreenSaverExecution Esecuzione di un processo Screensaver Medio
VM_SvcHostRunInRareServiceGroup Esecuzione di un gruppo di servizi SVCHOST raro Informazioni
VM_SystemProcessInAbnormalContext Esecuzione di un processo di sistema sospetto Medio
VM_ThreatIntelCommandLineSuspectDomain È stata rilevata una possibile connessione a una posizione dannosa Medio
VM_ThreatIntelSuspectLogon È stato rilevato un accesso da un indirizzo IP dannoso Alto
VM_VbScriptHttpObjectAllocation Rilevata allocazione di un oggetto HTTP VBScript Alto

Avvisi per Defender per le API

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Picco sospetto a livello di popolamento nel traffico DELL'API verso un endpoint API
(API_PopulationSpikeInAPITraffic)
È stato rilevato un picco sospetto nel traffico dell'API in uno degli endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico api di routine tra tutti gli INDIRIZZI IP e l'endpoint, con la baseline specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette. Impatto Medio
Picco sospetto nel traffico dell'API da un singolo indirizzo IP a un endpoint API
(API_SpikeInAPITraffic)
È stato rilevato un picco sospetto nel traffico dell'API da un IP client all'endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico dell'API di routine verso l'endpoint proveniente da un indirizzo IP specifico all'endpoint. Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette. Impatto Medio
Payload di risposta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
È stato osservato un picco sospetto nelle dimensioni del payload della risposta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta le dimensioni tipiche del payload della risposta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni del payload della risposta API sono state deviate in modo significativo rispetto alla baseline cronologica. Accesso iniziale Medio
Corpo della richiesta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
È stato osservato un picco sospetto nelle dimensioni del corpo della richiesta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta la tipica dimensione del corpo della richiesta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni di una richiesta API sono state deviate in modo significativo rispetto alla baseline cronologica. Accesso iniziale Medio
(Anteprima) Picco sospetto di latenza per il traffico tra un singolo indirizzo IP e un endpoint API
(API_SpikeInLatency)
È stato osservato un picco sospetto di latenza per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta la latenza del traffico api di routine tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). L'avviso è stato attivato perché una latenza di chiamata API è stata deviata in modo significativo dalla baseline cronologica. Accesso iniziale Medio
Le richieste API spruzzano da un singolo indirizzo IP a un numero insolitamente elevato di endpoint API distinti
(API_SprayInRequests)
È stato osservato un singolo INDIRIZZO IP che effettua chiamate API a un numero insolitamente elevato di endpoint distinti. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per le API apprende una baseline che rappresenta il numero tipico di endpoint distinti chiamati da un singolo IP in finestre di 20 minuti. L'avviso è stato attivato perché il comportamento di un singolo IP è stato deviato in modo significativo dalla baseline cronologica. Individuazione Medio
Enumerazione dei parametri in un endpoint API
(API_ParameterEnumeration)
È stato osservato un singolo INDIRIZZO IP che enumera i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati da un singolo IP durante l'accesso a questo endpoint in finestre di 20 minuti. L'avviso è stato attivato perché un singolo IP client ha eseguito di recente l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametri distinti. Accesso iniziale Medio
Enumerazione dei parametri distribuiti in un endpoint API
(API_DistributedParameterEnumeration)
Il popolamento utenti aggregato (tutti gli INDIRIZZI IP) è stato osservato enumerando i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati dal popolamento dell'utente (tutti gli INDIRIZZI IP) durante l'accesso a un endpoint in finestre di 20 minuti. L'avviso è stato attivato perché l'utente ha recentemente eseguito l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametro distinti. Accesso iniziale Medio
Valori dei parametri con tipi di dati anomali in una chiamata API
(API_UnseenParamType)
È stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API e usa i valori dei parametri di un tipo di dati a bassa probabilità (ad esempio stringa, integer e così via). In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende i tipi di dati previsti per ogni parametro API. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un tipo di dati di probabilità precedentemente basso come input di parametro. Impatto Medio
Parametro precedentemente non visibile usato in una chiamata API
(API_UnseenParam)
È stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API usando un parametro precedentemente non visualizzato o fuori limite nella richiesta. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende un set di parametri previsti associati alle chiamate a un endpoint. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un parametro non visualizzato in precedenza. Impatto Medio
Accesso da un nodo di uscita tor a un endpoint API
(API_AccessFromTorExitNode)
Un indirizzo IP dalla rete Tor ha eseguito l'accesso a uno degli endpoint API. Tor è una rete che consente agli utenti di accedere a Internet mantenendo nascosto il proprio IP reale. Anche se esistono usi legittimi, viene spesso usato dagli utenti malintenzionati per nascondere la propria identità quando sono destinati ai sistemi online delle persone. Prima di un attacco Medio
Accesso all'endpoint API da un indirizzo IP sospetto
(API_AccessFromSuspiciousIP)
Un indirizzo IP che accede a uno degli endpoint API è stato identificato da Microsoft Threat Intelligence come una minaccia elevata. Durante l'osservazione del traffico Internet dannoso, questo IP è venuto come coinvolto nell'attaccare altri obiettivi online. Prima di un attacco Alto
Rilevato agente utente sospetto
(API_AccessFromSuspiciousUserAgent)
L'agente utente di una richiesta che accede a uno degli endpoint API contiene valori anomali indicativi di un tentativo di esecuzione del codice remoto. Ciò non significa che uno degli endpoint API è stato violato, ma suggerisce che è in corso un tentativo di attacco. Esecuzione Medio

Passaggi successivi