Guida di riferimento per gli avvisi di sicurezza
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nella parte inferiore di questa pagina è presente una tabella che descrive la Microsoft Defender per il cloud kill chain allineata alla versione 9 della matrice MITRE ATT&CK.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi per computer Windows
Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Windows sono:
È stato rilevato un accesso da un indirizzo IP dannoso. [visto più volte]
Descrizione: un'autenticazione remota corretta per l'account [account] e il processo [processo] si è verificato, tuttavia l'indirizzo IP di accesso (x.x.x.x.x) in precedenza è stato segnalato come dannoso o estremamente insolito. Probabilmente l'attacco è riuscito. I file con estensione scr sono file di screen saver e in genere si trovano e vengono eseguiti dalla directory di sistema di Windows.
Tattiche MITRE: -
Gravità: alta
Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato
VM_AdaptiveApplicationControlWindowsViolationAudited
Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.
Tattiche MITRE: Esecuzione
Gravità: informativo
Aggiunta dell'account Guest al gruppo Administrators locale
Descrizione: l'analisi dei dati dell'host ha rilevato l'aggiunta dell'account guest predefinito al gruppo local Amministrazione istrators in %{host compromesso}, fortemente associato all'attività dell'utente malintenzionato.
Tattiche MITRE: -
Gravità: medio
Un registro eventi è stato cancellato
Descrizione: i log del computer indicano un'operazione di cancellazione sospetta del registro eventi da parte dell'utente: '%{nome utente}' nel computer: '%{CompromisedEntity}'. Il log %{canale log} è stato cancellato.
Tattiche MITRE: -
Gravità: informativo
Azione antimalware non riuscita
Descrizione: Microsoft Antimalware ha rilevato un errore durante l'esecuzione di un'azione su malware o altro software potenzialmente indesiderato.
Tattiche MITRE: -
Gravità: medio
Azione antimalware intrapresa
Descrizione: Microsoft Antimalware per Azure ha eseguito un'azione per proteggere questo computer da malware o da altri software potenzialmente indesiderati.
Tattiche MITRE: -
Gravità: medio
Esclusione di file generali antimalware nella macchina virtuale
(VM_AmBroadFilesExclusion)
Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: medio
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale
(VM_AmDisablementAndCodeExecution)
Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Antimalware disabilitato nella macchina virtuale
(VM_AmDisablement)
Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmFileExclusionAndCodeExecution)
Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmTempFileExclusionAndCodeExecution)
Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware nella macchina virtuale
(VM_AmTempFileExclusion)
Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale
(VM_AmRealtimeProtectionDisabled)
Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale
(VM_AmTempRealtimeProtectionDisablement)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)
(VM_AmMalwareCampaignRelatedExclusion)
Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Antimalware temporaneamente disabilitato nella macchina virtuale
(VM_AmTemporarilyDisablement)
Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: -
Gravità: medio
Esclusione insolita di file antimalware nella macchina virtuale
(VM_UnusualAmFileExclusion)
Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento
Gravità: medio
Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS
Descrizione: analisi delle azioni rilevate dei dati host che mostrano la disabilitazione e/o l'eliminazione dei file di log IIS.
Tattiche MITRE: -
Gravità: medio
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che è stata modificata una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente (Controllo account utente). Questo tipo di configurazione, benché probabilmente non dannoso, è anche tipico dell'attività di un utente malintenzionato che tenta di passare da un accesso senza privilegi (utente standard) a uno con privilegi (ad esempio amministratore) in un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.
Tattiche MITRE: -
Gravità: alta
Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential
Descrizione: l'analisi dei dati host ha rilevato una modifica nella chiave del Registro di sistema HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". In particolare, questa chiave è stata aggiornata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA. Una volta abilitato, un utente malintenzionato può eseguire il dump delle password di testo non crittografate dalla memoria LSA con strumenti di raccolta delle credenziali come Mimikatz.
Tattiche MITRE: -
Gravità: medio
Rilevato file eseguibile codificato nei dati della riga di comando
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
Tattiche MITRE: -
Gravità: alta
Rilevata riga di comando offuscata
Descrizione: gli utenti malintenzionati usano tecniche di offuscamento sempre più complesse per eludere i rilevamenti eseguiti sui dati sottostanti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato la presenza di indicatori sospetti di offuscamento nella riga di comando.
Tattiche MITRE: -
Gravità: informativo
Rilevata possibile esecuzione del file eseguibile keygen
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo il cui nome è indicativo di uno strumento keygen. Tali strumenti vengono in genere usati per sconfiggere i meccanismi di licenza software, ma il loro download è spesso in bundle con altri software dannosi. Il gruppo di attività GOLD è noto per l'uso di tali keygen per ottenere di nascosto un accesso di tipo "backdoor" agli host compromessi.
Tattiche MITRE: -
Gravità: medio
Rilevata possibile esecuzione di dropper di malware
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un nome file associato in precedenza a uno dei metodi gold del gruppo di attività per l'installazione di malware in un host vittima.
Tattiche MITRE: -
Gravità: alta
Rilevata possibile attività di ricognizione locale
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire l'attività di ricognizione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione come in questo caso.
Tattiche MITRE: -
Gravità: Bassa
Rilevato uso potenzialmente sospetto dello strumento Telegram
Descrizione: l'analisi dei dati dell'host mostra l'installazione di Telegram, un servizio di messaggistica istantanea gratuito basato sul cloud esistente sia per il sistema mobile che per il sistema desktop. Gli utenti malintenzionati possono usare questo servizio in modo improprio per trasferire file binari dannosi a qualsiasi altro computer, telefono o tablet.
Tattiche MITRE: -
Gravità: medio
Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato modifiche alla chiave del Registro di sistema che controlla se un avviso legale viene visualizzato agli utenti quando accedono. L'analisi della sicurezza da parte di Microsoft ha determinato che si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host.
Tattiche MITRE: -
Gravità: Bassa
Rilevata combinazione sospetta di HTA e PowerShell
Descrizione: mshta.exe (Host applicazione HTML Microsoft) che è un file binario Microsoft firmato viene usato dagli utenti malintenzionati per avviare comandi di PowerShell dannosi. Gli utenti malintenzionati fanno spesso ricorso a un file HTA con VBScript inline. Quando una vittima passa al file HTA e sceglie di eseguirlo, vengono eseguiti i comandi e gli script di PowerShell in esso contenuti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato che il file mshta.exe sta avviando comandi di PowerShell.
Tattiche MITRE: -
Gravità: medio
Rilevati argomenti della riga di comando sospetti
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato argomenti sospetti della riga di comando usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN.
Tattiche MITRE: -
Gravità: alta
Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory
Descrizione: l'analisi dei dati host ha rilevato un processo sospetto in esecuzione in %{host compromesso}. La riga di comando indica un tentativo di avviare tutti i file eseguibili (*.exe) che potrebbero risiedere in una directory. Potrebbe indicare un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevate credenziali sospette nella riga di comando
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una password sospetta usata per eseguire un file dal gruppo di attività BORON. Questo gruppo di attività è noto per l'uso di questa password per l'esecuzione di malware Pirpi in un host vittima.
Tattiche MITRE: -
Gravità: alta
Rilevate credenziali di documento sospette
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un hash di password precompiuto comune usato da malware per eseguire un file. Il gruppo di attività HYDROGEN è noto per l'uso di questa password per l'esecuzione di malware in un host vittima.
Tattiche MITRE: -
Gravità: alta
Rilevata esecuzione sospetta del comando VBScript.Encode
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando VBScript.Encode. Il comando codifica gli script in testo illeggibile, rendendo più difficile per gli utenti esaminare il codice. La ricerca sulle minacce da parte di Microsoft mostra che gli utenti malintenzionati spesso usano file VBscript codificati come parte dell'attacco per eludere i sistemi di rilevamento. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevata esecuzione sospetta tramite rundll32.exe
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato rundll32.exe in uso per eseguire un processo con un nome non comune, coerente con lo schema di denominazione del processo usato in precedenza dal gruppo di attività GOLD durante l'installazione del primo impianto in un host compromesso.
Tattiche MITRE: -
Gravità: alta
Rilevati comandi sospetti di pulizia file
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire attività di auto-pulizia post-compromissione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso.
Tattiche MITRE: -
Gravità: alta
Rilevata creazione di file sospetta
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'esecuzione di un processo che ha indicato in precedenza un'azione post-compromissione eseguita su un host vittima dal gruppo di attività BARIUM. Questo gruppo di attività è stato noto per usare questa tecnica per scaricare più malware in un host compromesso dopo l'apertura di un allegato in un documento di phishing.
Tattiche MITRE: -
Gravità: alta
Rilevate comunicazioni della named pipe sospette
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che i dati vengono scritti in una named pipe locale da un comando della console di Windows. È noto che le named pipe sono un canale usato dagli utenti malintenzionati per comunicare con un impianto dannoso e gestirlo. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
Tattiche MITRE: -
Gravità: alta
Rilevata attività di rete sospetta
Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.
Tattiche MITRE: -
Gravità: Bassa
Rilevata nuova regola del firewall sospetta
Descrizione: l'analisi dei dati host ha rilevato che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un eseguibile in una posizione sospetta.
Tattiche MITRE: -
Gravità: medio
Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema
Descrizione: gli utenti malintenzionati usano una miriade di modi come forza bruta, spear phishing e così via per ottenere un compromesso iniziale e ottenere un piede sulla rete. Una volta ottenuta la compromissione iniziale, vengono spesso adottate procedure per ridurre le impostazioni di sicurezza di un sistema. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility spesso usato per modificare l'autorizzazione di sicurezza per cartelle e file. In diverse occasioni i file binari vengono usati dagli utenti malintenzionati per ridurre le impostazioni di sicurezza di un sistema. Questa operazione viene eseguita concedendo a Tutti l'accesso completo ad alcuni file binari di sistema, ad esempio ftp.exe, net.exe, wscript.exe e così via. L'analisi dei dati dell'host in %{host compromesso} ha rilevato un uso sospetto di Cacls per ridurre la sicurezza di un sistema.
Tattiche MITRE: -
Gravità: medio
Rilevato uso sospetto dell'opzione -s dell'FTP
Descrizione: l'analisi dei dati di creazione del processo dall'host %{compromesso} ha rilevato l'uso dell'opzione FTP "-s:filename". Questa opzione consente di specificare un file di script FTP per l'esecuzione del client. I processi dannosi o malware sono noti per usare questo commutatore FTP (-s:filename) per puntare a un file di script, configurato per connettersi a un server FTP remoto e scaricare altri file binari dannosi.
Tattiche MITRE: -
Gravità: medio
Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di pcalua.exe per avviare il codice eseguibile. Pcalua.exe è componente di Microsoft Windows "Program Compatibility Assistant", che rileva problemi di compatibilità durante l'installazione o l'esecuzione di un programma. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di sistema di Windows legittimi per eseguire azioni dannose, ad esempio l'uso di pcalua.exe con l'opzione-a per avviare file eseguibili dannosi localmente o da condivisioni remote.
Tattiche MITRE: -
Gravità: medio
Rilevata disabilitazione di servizi critici
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando "net.exe stop" usato per arrestare i servizi critici, ad esempio SharedAccess o l'app Sicurezza di Windows. L'arresto di uno di questi servizi può indicare un comportamento dannoso.
Tattiche MITRE: -
Gravità: medio
Rilevato comportamento correlato al mining della valuta digitale
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.
Tattiche MITRE: -
Gravità: alta
Costruzione di script di PowerShell dinamica
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato uno script di PowerShell costruito in modo dinamico. A volte gli utenti malintenzionati usano questo approccio di compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevato eseguibile in esecuzione da un percorso sospetto
Descrizione: l'analisi dei dati host ha rilevato un file eseguibile in %{host compromesso} in esecuzione da un percorso in comune con file sospetti noti. Questo eseguibile potrebbe essere un'attività legittima o indicare un host compromesso.
Tattiche MITRE: -
Gravità: alta
Rilevato comportamento di attacco senza file
(VM_FilelessAttackBehavior.Windows)
Descrizione: la memoria del processo specificato contiene comportamenti comunemente usati dagli attacchi fileless. I comportamenti specifici includono:
- Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
- Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
- Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
- Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.
Tattiche MITRE: Evasione della difesa
Gravità: Bassa
Rilevata tecnica di attacco senza file
(VM_FilelessAttackTechnique.Windows)
Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono:
- Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
- Immagine eseguibile inserita nel processo, ad esempio in un attacco di inserimento del codice.
- Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
- Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
- Processo vuoto, che è una tecnica usata dal malware in cui un processo legittimo viene caricato nel sistema per agire come contenitore per il codice ostile.
- Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato toolkit di attacco senza file
(VM_FilelessAttackToolkit.Windows)
Descrizione: la memoria del processo specificato contiene un toolkit di attacco senza file: [nome toolkit]. I toolkit di attacco senza file usano tecniche che riducono al minimo o eliminano le tracce di malware sul disco e riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi del malware basate su disco. I comportamenti specifici includono:
- Toolkit noti e software di crypto mining.
- Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
- Inserito eseguibile dannoso nella memoria del processo.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: medio
Rilevato software a rischio elevato
Descrizione: l'analisi dei dati dell'host da %{host compromesso} ha rilevato l'utilizzo del software associato all'installazione di malware in passato. Una tecnica comune usata nella distribuzione di software dannoso consiste nell'inserirlo all'interno di strumenti altrimenti innocui come quello visualizzato in questo avviso. Quando si usano questi strumenti, il malware può essere installato automaticamente in background.
Tattiche MITRE: -
Gravità: medio
Sono stati enumerati i membri del gruppo Administrators locale
Descrizione: i log del computer indicano un'enumerazione corretta nel gruppo %{Nome dominio gruppo enumerato}%{Nome gruppo enumerato}. In particolare, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerato i membri del gruppo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Questa attività può essere legittima o indicare che un computer nell'organizzazione è stato compromesso e usato per la ricognizione di %{vmname}.
Tattiche MITRE: -
Gravità: informativo
Regola del firewall dannosa creata dall'impianto del server ZINC [visto più volte]
Descrizione: è stata creata una regola del firewall usando tecniche che corrispondono a un attore noto, ZINCO. È possibile che la regola sia stata usata per aprire una porta in %{host compromesso} per consentire le comunicazioni di comando e controllo. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: alta
Attività SQL dannosa
Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività è considerata dannosa.
Tattiche MITRE: -
Gravità: alta
Tentativi ripetuti di query sugli account di dominio
Descrizione: l'analisi dei dati host ha determinato che un numero insolito di account di dominio distinti viene sottoposto a query entro un breve periodo di tempo da %{host compromesso}. Questo tipo di attività potrebbe essere legittima, ma può anche indicare una compromissione.
Tattiche MITRE: -
Gravità: medio
Rilevato possibile dump delle credenziali [visto più volte]
Descrizione: l'analisi dei dati host ha rilevato l'uso dello strumento di windows nativo (ad esempio, sqldumper.exe) usato in modo da consentire l'estrazione delle credenziali dalla memoria. Gli utenti malintenzionati usano spesso queste tecniche per estrarre credenziali che verranno usate in futuro per lo spostamento laterale e l'escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato potenziale tentativo di ignorare AppLocker
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un potenziale tentativo di ignorare le restrizioni di AppLocker. AppLocker può essere configurato per implementare un criterio che limita i file eseguibili che possono essere eseguiti in un sistema Windows. Il modello da riga di comando simile a quello identificato in questo avviso è stato precedentemente associato a tentativi di utenti malintenzionati di eludere i criteri di AppLocker usando file eseguibili attendibili (consentiti dal criterio di AppLocker) per eseguire codice non attendibile. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
Tattiche MITRE: -
Gravità: alta
Esecuzione di un gruppo di servizi SVCHOST raro
(VM_SvcHostRunInRareServiceGroup)
Descrizione: il processo di sistema SVCHOST è stato osservato eseguendo un gruppo di servizi raro. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: informativo
Rilevato attacco basato su tasti permanenti
Descrizione: l'analisi dei dati dell'host indica che un utente malintenzionato potrebbe invertire un file binario di accessibilità (ad esempio tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso backdoor all'host %{host compromesso}.
Tattiche MITRE: -
Gravità: medio
Attacco di forza bruta riuscito
(VM_LoginBruteForceSuccess)
Descrizione: sono stati rilevati diversi tentativi di accesso dalla stessa origine. In alcuni casi è stata completata correttamente l'autenticazione con l'host. Sembra un attacco di tipo burst, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione per trovare credenziali di account validi.
Tattiche MITRE: Sfruttamento
Gravità: media/alta
Livello di integrità sospetto indicativo di hijack RDP
Descrizione: l'analisi dei dati dell'host ha rilevato l'tscon.exe in esecuzione con privilegi SYSTEM. Ciò può essere indicativo di un utente malintenzionato che abusa di questo file binario per passare il contesto a qualsiasi altro utente connesso in questo host. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi in un secondo momento in una rete.
Tattiche MITRE: -
Gravità: medio
Installazione di un servizio sospetta
Descrizione: l'analisi dei dati dell'host ha rilevato l'installazione di tscon.exe come servizio: questo file binario avviato come servizio consente a un utente malintenzionato di passare facilmente a qualsiasi altro utente connesso in questo host eseguendo il dirottamento delle connessioni RDP. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete.
Tattiche MITRE: -
Gravità: medio
Osservati sospetti parametri di attacco con Golden Ticket Kerberos
Descrizione: l'analisi dei dati host ha rilevato parametri della riga di comando coerenti con un attacco Kerberos Golden Ticket.
Tattiche MITRE: -
Gravità: medio
Rilevata creazione sospetta di account
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.
Tattiche MITRE: -
Gravità: medio
Rilevata attività sospetta
(VM_SuspiciousActivity)
Descrizione: l'analisi dei dati dell'host ha rilevato una sequenza di uno o più processi in esecuzione in %{nome computer} che storicamente sono stati associati a attività dannose. Anche se i singoli comandi potrebbero apparire non dannosi, l'avviso viene segnato in base a un'aggregazione di questi comandi. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.
Tattiche MITRE: Esecuzione
Gravità: medio
Attività di autenticazione sospetta
(VM_LoginBruteForceValidUserFailed)
Descrizione: anche se nessuno di essi è riuscito, alcuni account usati sono stati riconosciuti dall'host. È simile a un attacco con dizionario, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione usando un dizionario di nomi di account e password predefiniti per trovare credenziali valide per accedere all'host. Ciò indica che alcuni dei nomi di account host potrebbero essere presenti in un dizionario di nomi di account noti.
Tattiche MITRE: Probing
Gravità: medio
Rilevato segmento di codice sospetto
Descrizione: indica che un segmento di codice è stato allocato usando metodi non standard, ad esempio l'inserimento riflettente e l'inserimento di processi vuoti. L'avviso fornisce più caratteristiche del segmento di codice elaborato per fornire il contesto per le funzionalità e i comportamenti del segmento di codice segnalato.
Tattiche MITRE: -
Gravità: medio
Esecuzione sospetta di un file a doppia estensione
Descrizione: l'analisi dei dati host indica un'esecuzione di un processo con un'estensione doppia sospetta. Questa estensione potrebbe indurre gli utenti a pensare che i file siano sicuri da aprire e potrebbero indicare la presenza di malware nel sistema.
Tattiche MITRE: -
Gravità: alta
Rilevato download sospetto con Certutil [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato download sospetto con Certutil
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.
Tattiche MITRE: -
Gravità: medio
Rilevata attività PowerShell sospetta
Descrizione: l'analisi dei dati host ha rilevato uno script di PowerShell in esecuzione in %{host compromesso} con funzionalità in comune con script sospetti noti. Questo script potrebbe indicare un'attività legittima o un host compromesso.
Tattiche MITRE: -
Gravità: alta
Esecuzione di cmdlet di PowerShell sospetti
Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti.
Tattiche MITRE: -
Gravità: medio
Esecuzione di un processo sospetto [visto più volte]
Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: alta
Esecuzione di processo sospetto
Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato.
Tattiche MITRE: -
Gravità: alta
Rilevato nome di un processo sospetto [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato nome di processo sospetto
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso.
Tattiche MITRE: -
Gravità: medio
Attività SQL sospetta
Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività non è comune per questo account.
Tattiche MITRE: -
Gravità: medio
Esecuzione di un processo SVCHOST sospetto
Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.
Tattiche MITRE: -
Gravità: alta
Esecuzione di un processo di sistema sospetto
(VM_SystemProcessInAbnormalContext)
Descrizione: il processo di sistema %{nome processo} è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso questo nome di processo per mascherare l'attività dannosa.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Attività di Copia Shadow del volume sospetta
Descrizione: l'analisi dei dati host ha rilevato un'attività di eliminazione della copia shadow nella risorsa. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati. Alcuni malware e in particolare il ransomware prendono di mira Copia Shadow del volume per sabotare le strategie di backup.
Tattiche MITRE: -
Gravità: alta
Rilevato valore del Registro di sistema WindowPosition sospetto
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un tentativo di modifica della configurazione del Registro di sistema WindowPosition che potrebbe essere indicativo di nascondere le finestre dell'applicazione in sezioni non visibili del desktop. Questa attività può essere legittima o indicare un computer compromesso: questo tipo di attività è stato precedentemente associato a un adware noto (o a software indesiderato) come Win32/OneSystemCare e Win32/SystemHealer e a malware, come Win32/Creprote. Quando il valore WindowPosition è impostato su 201329664, (Hex: 0x0c00 0c00, corrispondente a X-axis=0c00 e Y-axis=0c00) posiziona la finestra dell'app console in una sezione non visibile della schermata dell'utente in un'area nascosta dalla visualizzazione sotto il menu Start visibile/barra delle applicazioni. Il valore hex sospetto noto include, ma non solo c000c0000.
Tattiche MITRE: -
Gravità: Bassa
Rilevato processo con nome sospetto
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è molto simile ma diverso da un processo di esecuzione molto comune (%{Simile al nome del processo}). Benché questo processo possa essere non dannoso, a volte gli utenti malintenzionati tentano di passare inosservati denominando gli strumenti dannosi con nomi di processi che sembrano legittimi.
Tattiche MITRE: -
Gravità: medio
Reimpostazione insolita della configurazione nella macchina virtuale
(VM_VMAccessUnusualConfigReset)
Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Rilevata esecuzione di processo insolito
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo da %{Nome utente} insolito. Gli account come %{Nome utente} tendono a eseguire un set limitato di operazioni, questa esecuzione è stata determinata come fuori carattere e potrebbe essere sospetta.
Tattiche MITRE: -
Gravità: alta
Reimpostazione insolita della password utente nella macchina virtuale
(VM_VMAccessUnusualPasswordReset)
Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Reimpostazione insolita della chiave SSH utente nella macchina virtuale
(VM_VMAccessUnusualSSHReset)
Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Rilevata allocazione di un oggetto HTTP VBScript
Descrizione: è stata rilevata la creazione di un file VBScript tramite il prompt dei comandi. Lo script seguente contiene un comando di allocazione di oggetti HTTP. Questa azione può essere usata per scaricare file dannosi.
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.
Tattiche MITRE: Impatto
Gravità: Bassa
Avvisi per macchine Linux
Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Linux sono:
Un file di cronologia è stato cancellato
Descrizione: l'analisi dei dati host indica che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'utente: '%{nome utente}'.
Tattiche MITRE: -
Gravità: medio
Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.
Tattiche MITRE: Esecuzione
Gravità: informativo
Esclusione di file generali antimalware nella macchina virtuale
(VM_AmBroadFilesExclusion)
Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: medio
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale
(VM_AmDisablementAndCodeExecution)
Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Antimalware disabilitato nella macchina virtuale
(VM_AmDisablement)
Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmFileExclusionAndCodeExecution)
Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmTempFileExclusionAndCodeExecution)
Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware nella macchina virtuale
(VM_AmTempFileExclusion)
Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale
(VM_AmRealtimeProtectionDisabled)
Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale
(VM_AmTempRealtimeProtectionDisablement)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)
(VM_AmMalwareCampaignRelatedExclusion)
Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Antimalware temporaneamente disabilitato nella macchina virtuale
(VM_AmTemporarilyDisablement)
Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: -
Gravità: medio
Esclusione insolita di file antimalware nella macchina virtuale
(VM_UnusualAmFileExclusion)
Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Rilevato comportamento simile al ransomware [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di file che hanno somiglianza di ransomware noti che possono impedire agli utenti di accedere al sistema o ai file personali e richiede un pagamento di riscatto per ottenere nuovamente l'accesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: alta
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento
Gravità: medio
Rilevato contenitore con un'immagine di mining
(VM_MinerInContainerImage)
Descrizione: i log del computer indicano l'esecuzione di un contenitore Docker che esegue un'immagine associata a un data mining di valuta digitale.
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevato download di un file da un'origine dannosa nota
Descrizione: l'analisi dei dati host ha rilevato il download di un file da un'origine malware nota in %{host compromesso}.
Tattiche MITRE: -
Gravità: medio
Rilevata attività di rete sospetta
Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.
Tattiche MITRE: -
Gravità: Bassa
Rilevato comportamento correlato al mining della valuta digitale
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.
Tattiche MITRE: -
Gravità: alta
Disabilitazione della registrazione auditd [visto più volte]
Descrizione: il sistema di controllo Linux consente di tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Registra quante più informazioni possibili sugli eventi che si verificano nel sistema. La disabilitazione della registrazione auditd potrebbe ostacolare l'individuazione delle violazioni dei criteri di sicurezza usati nel sistema. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Sfruttamento della vulnerabilità Xorg [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di Xorg con argomenti sospetti. Gli utenti malintenzionati potrebbero usare questa tecnica nei tentativi di escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Attacco di forza bruta SSH non riuscito
(VM_SshBruteForceFailed)
Descrizione: sono stati rilevati attacchi di forza bruta non riusciti dagli utenti malintenzionati seguenti: %{Utenti malintenzionati}. Gli utenti malintenzionati hanno tentato di accedere all'host con i nomi utente seguenti: %{account usati per i tentativi di accesso non riuscito all'host}.
Tattiche MITRE: Probing
Gravità: medio
Rilevato comportamento di attacco senza file
(VM_FilelessAttackBehavior.Linux)
Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Esecuzione
Gravità: Bassa
Rilevata tecnica di attacco senza file
(VM_FilelessAttackTechnique.Linux)
Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato toolkit di attacco senza file
(VM_FilelessAttackToolkit.Linux)
Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non hanno una presenza nel file system, rendendo difficile il rilevamento da parte del software antivirus tradizionale. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevata esecuzione di file nascosto
Descrizione: l'analisi dei dati host indica che un file nascosto è stato eseguito da %{nome utente}. Questa attività potrebbe indicare un'attività legittima o un host compromesso.
Tattiche MITRE: -
Gravità: informativo
Nuova chiave SSH aggiunta [vista più volte]
(VM_SshKeyAddition)
Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: Persistenza
Gravità: Bassa
Nuova chiave SSH aggiunta
Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate.
Tattiche MITRE: -
Gravità: Bassa
Rilevata possibile backdoor [visto più volte]
Descrizione: l'analisi dei dati dell'host ha rilevato un file sospetto scaricato e quindi eseguito in %{host compromesso} nella sottoscrizione. Questa attività è stata precedentemente associata all'installazione di una backdoor. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato possibile sfruttamento del server di posta
(VM_MailserverExploitation)
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un'esecuzione insolita nell'account del server di posta elettronica
Tattiche MITRE: Sfruttamento
Gravità: medio
Rilevata possibile web shell dannosa
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una possibile shell Web. Gli utenti malintenzionati spesso caricheranno una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento.
Tattiche MITRE: -
Gravità: medio
Rilevata possibile modifica della password tramite un metodo di crittografia [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione del computer. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato processo associato al mining della valuta digitale [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale. Questo comportamento è stato rilevato oltre 100 volte nella giornata odierna nei computer seguenti: [nome computer]
Tattiche MITRE: -
Gravità: medio
Rilevato processo associato al mining della valuta digitale
Descrizione: l'analisi dei dati host ha rilevato l'esecuzione di un processo normalmente associato al data mining digitale.
Tattiche MITRE: Sfruttamento, Esecuzione
Gravità: medio
Rilevato downloader con codifica Python [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di Python codificato che scarica ed esegue codice da una posizione remota. Potrebbe trattarsi di un'indicazione di attività dannose. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Acquisito screenshot sull'host [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di uno strumento di acquisizione dello schermo. Gli utenti malintenzionati potrebbero usare questi strumenti per accedere ai dati privati. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Rilevato shellcode [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che il codice della shell viene generato dalla riga di comando. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Attacco di forza bruta SSH riuscito
(VM_SshBruteForceSuccess)
Descrizione: l'analisi dei dati dell'host ha rilevato un attacco di forza bruta riuscito. Sono stati osservati più tentativi di accesso dall'IP %{IP di origine utente malintenzionato}. Sono stati eseguiti accessi riusciti dall'IP con i seguenti utenti: %{account usati per accedere correttamente all'host}. Ciò significa che l'host potrebbe essere compromesso e controllato da un attore malintenzionato.
Tattiche MITRE: Sfruttamento
Gravità: alta
Rilevata creazione sospetta di account
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.
Tattiche MITRE: -
Gravità: medio
Rilevato modulo kernel sospetto [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato il caricamento di un file oggetto condiviso come modulo kernel. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Accesso sospetto alle password [visto più volte]
Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: informativo
Accesso sospetto alle password
Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}.
Tattiche MITRE: -
Gravità: informativo
Richiesta sospetta al dashboard di Kubernetes
(VM_KubernetesDashboard)
Descrizione: i log del computer indicano che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso.
Tattiche MITRE: LateralMovement
Gravità: medio
Reimpostazione insolita della configurazione nella macchina virtuale
(VM_VMAccessUnusualConfigReset)
Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Reimpostazione insolita della password utente nella macchina virtuale
(VM_VMAccessUnusualPasswordReset)
Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Reimpostazione insolita della chiave SSH utente nella macchina virtuale
(VM_VMAccessUnusualSSHReset)
Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.
Tattiche MITRE: Impatto
Gravità: Bassa
Avvisi per DNS
Importante
A partire dal 1° agosto 2023, i clienti con una sottoscrizione esistente a Defender per DNS possono continuare a usare il servizio, ma i nuovi sottoscrittori riceveranno avvisi sull'attività DNS sospetta come parte di Defender per server P2.
Utilizzo anomalo del protocollo di rete
(AzureDNS_ProtocolAnomaly)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un utilizzo anomalo del protocollo. Tale traffico, sebbene possibilmente non dannoso, potrebbe indicare abusi di questo protocollo comune per ignorare il filtro del traffico di rete. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.
Tattiche MITRE: esfiltrazione
Gravità: -
Attività di rete anonimato
(AzureDNS_DarkWeb)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Attività di rete anonima con proxy Web
(AzureDNS_DarkWebProxy)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di rete anonima. Tale attività, anche se possibilmente legittimo, viene spesso usata dagli utenti malintenzionati per eludere il rilevamento e l'impronta digitale delle comunicazioni di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Tentativo di comunicazione con dominio sinkholed sospetto
(AzureDNS_SinkholedDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per il dominio sinkholed. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.
Tattiche MITRE: esfiltrazione
Gravità: medio
Comunicazione con il possibile dominio di phishing
(AzureDNS_PhishingDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una richiesta per un possibile dominio di phishing. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per raccogliere credenziali per i servizi remoti. È probabile che l'attività correlata tipica degli utenti malintenzionati includa lo sfruttamento di eventuali credenziali nel servizio legittimo.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Comunicazione con un dominio generato in modo algoritmico sospetto
(AzureDNS_DomainGenerationAlgorithm)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile utilizzo di un algoritmo di generazione di dominio. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Comunicazione con un nome di dominio casuale sospetto
(AzureDNS_RandomizedDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato l'utilizzo di un nome di dominio generato in modo casuale sospetto. Anche se tale attività può essere benigna, è spesso eseguita da utenti malintenzionati per evadere il monitoraggio e i filtri di rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: informativo
Attività di data mining di valuta digitale
(AzureDNS_CurrencyMining)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un'attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Attivazione della firma di rilevamento intrusioni di rete
(AzureDNS_SuspiciousDomain)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato una firma di rete dannosa nota. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi.
Tattiche MITRE: esfiltrazione
Gravità: medio
Possibile download dei dati tramite tunnel DNS
(AzureDNS_DataInfiltration)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Possibile esfiltrazione di dati tramite tunnel DNS
(AzureDNS_DataExfiltration)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Possibile trasferimento dei dati tramite tunnel DNS
(AzureDNS_DataObfuscation)
Descrizione: l'analisi delle transazioni DNS da %{CompromisedEntity} ha rilevato un possibile tunnel DNS. Tale attività, anche se possibilmente legittimo, viene spesso eseguita dagli utenti malintenzionati per eludere il monitoraggio e il filtro della rete. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Avvisi per le estensioni della macchina virtuale di Azure
Questi avvisi si concentrano sul rilevamento di attività sospette delle estensioni delle macchine virtuali di Azure e forniscono informazioni dettagliate sui tentativi di compromissione degli utenti malintenzionati ed eseguire attività dannose nelle macchine virtuali.
Le estensioni delle macchine virtuali di Azure sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come la configurazione, l'automazione, il monitoraggio, la sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:
Raccolta e monitoraggio dei dati
Esecuzione del codice e distribuzione della configurazione con privilegi elevati
Reimpostazione delle credenziali e creazione di utenti amministratori
Crittografia dei dischi
Altre informazioni sulle Defender per il cloud protezioni più recenti contro l'uso improprio delle estensioni delle macchine virtuali di Azure.
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima)
(VM_GPUExtensionSuspiciousFailure)
Descrizione: finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining.
Tattiche MITRE: Impatto
Gravità: medio
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti.
Tattiche MITRE: Impatto
Gravità: Bassa
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousScript)
Descrizione: è stato rilevato un comando di esecuzione con uno script sospetto nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousFailure)
Descrizione: l'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.
Tattiche MITRE: Esecuzione
Gravità: medio
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.
Tattiche MITRE: Esecuzione
Gravità: Bassa
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima)
(VM_SuspiciousMultiExtensionUsage)
Descrizione: è stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza.
Tattiche MITRE: Ricognizione
Gravità: medio
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima)
(VM_DiskEncryptionSuspiciousUsage)
Descrizione: è stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni.
Tattiche MITRE: Impatto
Gravità: medio
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali (anteprima)
(VM_VMAccessSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione VMAccess per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.
Tattiche MITRE: Persistenza
Gravità: medio
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_DSCExtensionSuspiciousScript)
Descrizione: l'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima)
(VM_DSCExtensionSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.
Tattiche MITRE: Esecuzione
Gravità: Bassa
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima)
(VM_CustomScriptExtensionSuspiciousCmd)
Descrizione: l'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
Esecuzione sospetta di un'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousFailure)
Descrizione: è stato rilevato un errore sospetto di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tali errori potrebbero essere associati a script dannosi eseguiti da questa estensione.
Tattiche MITRE: Esecuzione
Gravità: medio
Eliminazione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualDeletion)
Descrizione: l'eliminazione insolita di un'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualExecution)
Descrizione: è stata rilevata un'esecuzione insolita di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Estensione script personalizzata con punto di ingresso sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descrizione: l'estensione di script personalizzata con un punto di ingresso sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Il punto di ingresso fa riferimento a un repository GitHub sospetto. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Estensione di script personalizzata con payload sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousPayload)
Descrizione: l'estensione di script personalizzata con un payload da un repository GitHub sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Avvisi per Servizio app di Azure
Tentativo di eseguire comandi Linux in un servizio app di Windows
(AppServices_LinuxCommandOnWindows)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando Linux in un servizio app Windows. Questa azione è stata eseguita dall'applicazione Web. Questo comportamento si osserva spesso durante le campagne che sfruttano una vulnerabilità in un'applicazione Web comune. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: medio
Un IP connesso all'interfaccia FTP di Servizio app di Azure è stato rilevato in Intelligence per le minacce
(AppServices_IncomingTiClientIpFtp)
Descrizione: app Azure log FTP del servizio indica una connessione da un indirizzo di origine trovato nel feed di intelligence per le minacce. Durante questa connessione, un utente ha eseguito l'accesso alle pagine elencate. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: medio
Rilevato tentativo di eseguire un comando con privilegi elevati
(AppServices_HighPrivilegeCommand)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando che richiede privilegi elevati. Il comando è stato eseguito nel contesto dell'applicazione Web. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene riscontrato anche nelle attività dannose. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: medio
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento
Gravità: medio
Rilevata connessione alla pagina Web da un indirizzo IP anomalo
(AppServices_AnomalousPageAccess)
Descrizione: app Azure log attività del servizio indica una connessione anomala a una pagina Web sensibile dall'indirizzo IP di origine elencato. Potrebbe indicare che un utente sta tentando un attacco di forza bruta contro le pagine di amministrazione dell'app Web. Potrebbe anche essere il risultato di un nuovo indirizzo IP usato da un utente legittimo. Se l'indirizzo IP di origine è attendibile, è possibile eliminare in modo sicuro questo avviso per questa risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: Bassa
Rilevato record DNS dangling per una risorsa servizio app
(AppServices_DanglingDomain)
Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". In questo modo è possibile eseguire l'acquisizione di un sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: alta
Rilevato file eseguibile codificato nei dati della riga di comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrizione: l'analisi dei dati dell'host in {host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato download di un file da un'origine dannosa nota
(AppServices_SuspectDownload)
Descrizione: l'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota nell'host. (Si applica a: servizio app in Linux)
Tattiche MITRE: Escalation dei privilegi, esecuzione, esfiltrazione, comando e controllo
Gravità: medio
Rilevato download di un file sospetto
(AppServices_SuspectDownloadArtifacts)
Descrizione: l'analisi dei dati host ha rilevato un download sospetto di file remoto. (Si applica a: servizio app in Linux)
Tattiche MITRE: Persistenza
Gravità: medio
Rilevato comportamento correlato al mining della valuta digitale
(AppServices_DigitalCurrencyMining)
Descrizione: l'analisi dei dati host in Inn-Flow-WebJobs ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
File eseguibile decodificato tramite certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrizione: l'analisi dei dati dell'host su [entità compromessa] ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato comportamento di attacco senza file
(AppServices_FilelessAttackBehaviorDetection)
Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevata tecnica di attacco senza file
(AppServices_FilelessAttackTechniqueDetection)
Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato toolkit di attacco senza file
(AppServices_FilelessAttackToolkitDetection)
Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non sono presenti nel file system ed è quindi difficile rilevarli con i tradizionali software antivirus. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Microsoft Defender per il cloud avviso di test per servizio app (non una minaccia)
(AppServices_EICAR)
Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: alta
Rilevata analisi NMap
(AppServices_Nmap)
Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a NMAP. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: informativo
Contenuto di phishing ospitato in App Web di Azure
(AppServices_PhishingContent)
Descrizione: URL usato per l'attacco di phishing trovato nel sito Web app Azure Services. Questo URL fa parte di un attacco di phishing inviato ai clienti di Microsoft 365. Il contenuto induce in genere i visitatori a immettere le proprie credenziali aziendali o informazioni finanziarie in un sito Web che sembra legittimo. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Raccolta
Gravità: alta
File PHP nella cartella di caricamento
(AppServices_PhpInUploadFolder)
Descrizione: app Azure log attività del servizio indica un accesso a una pagina PHP sospetta che si trova nella cartella di caricamento. Questo tipo di cartella in genere non contiene file PHP. L'esistenza di questo tipo di file potrebbe indicare un exploit che sfrutta le vulnerabilità del caricamento di un file arbitrario. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevato un possibile download di Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
Descrizione: l'analisi dei dati host ha rilevato il download di un file normalmente associato al data mining digitale. (Si applica a: servizio app in Linux)
Tattiche MITRE: evasione della difesa, comando e controllo, sfruttamento
Gravità: medio
Rilevata possibile esfiltrazione di dati
(AppServices_DataEgressArtifacts)
Descrizione: l'analisi dei dati host/dispositivo ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. (Si applica a: servizio app in Linux)
Tattiche MITRE: Raccolta, Esfiltrazione
Gravità: medio
Rilevato potenziale record DNS dangling per una risorsa servizio app
(AppServices_PotentialDanglingDomain)
Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". Ciò potrebbe causare un'acquisizione di sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. In questo caso, è stato trovato un record di testo con l'ID di verifica del dominio. Tali record di testo impediscono l'acquisizione del sottodominio, ma è comunque consigliabile rimuovere il dominio incerto.Such text records prevent subdomain takeover but we still recommend removing the dangling domain. Se si lascia il record DNS che punta al sottodominio a rischio se qualcuno dell'organizzazione elimina il file TXT o il record in futuro. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Rilevata potenziale shell inversa
(AppServices_ReverseShell)
Descrizione: l'analisi dei dati host ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. (Si applica a: servizio app in Linux)
Tattiche MITRE: esfiltrazione, sfruttamento
Gravità: medio
Rilevato download di dati non elaborati
(AppServices_DownloadCodeFromWebsite)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di scaricare codice da siti Web di dati non elaborati, ad esempio Pastebin. Questa azione è stata eseguita da un processo PHP. Questo comportamento è associato a tentativi di scaricare web shell o altri componenti dannosi nel servizio app. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevato salvataggio dell'output di curl su disco
(AppServices_CurlToDisk)
Descrizione: l'analisi dei processi di servizio app ha rilevato l'esecuzione di un comando curl in cui l'output è stato salvato sul disco. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene osservato anche in relazione ad attività dannose, ad esempio in occasione di tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: Bassa
Rilevato referrer alla cartella di posta indesiderata
(AppServices_SpamReferrer)
Descrizione: app Azure log attività del servizio indica l'attività Web identificata come originata da un sito Web associato all'attività di posta indesiderata. Questo problema può verificarsi se il sito Web viene compromesso e usato per attività di posta indesiderata. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Rilevato accesso sospetto a una pagina Web potenzialmente vulnerabile
(AppServices_ScanSensitivePage)
Descrizione: app Azure log attività del servizio indica che è stato eseguito l'accesso a una pagina Web che sembra essere sensibile. Questa attività sospetta ha origine da un indirizzo IP di origine il cui modello di accesso è simile a quello di uno scanner Web. Questa attività è spesso associata a un tentativo da parte di un utente malintenzionato di analizzare la rete per tentare di accedere a pagine Web sensibili o vulnerabili. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Riferimento a nome di dominio sospetto
(AppServices_CommandlineSuspectDomain)
Descrizione: analisi dei dati host rilevati riferimento al nome di dominio sospetto. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. (Si applica a: servizio app in Linux)
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Rilevato download sospetto con Certutil
(AppServices_DownloadUsingCertutil)
Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario anziché il relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevata esecuzione PHP sospetta
(AppServices_SuspectPhp)
Descrizione: i log del computer indicano che è in esecuzione un processo PHP sospetto. L'azione include un tentativo di eseguire comandi del sistema operativo o codice PHP dalla riga di comando usando il processo PHP. Benché questo comportamento possa essere legittimo, nelle applicazioni Web potrebbe indicare attività dannose, ad esempio tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione di cmdlet di PowerShell sospetti
(AppServices_PowerShellPowerSploitScriptExecution)
Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione di processo sospetto
(AppServices_KnownCredential AccessTools)
Descrizione: i log del computer indicano che il processo sospetto: '%{percorso processo}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. (Si applica a: servizio app in Windows)
Tattiche MITRE: Accesso alle credenziali
Gravità: alta
Rilevato nome di processo sospetto
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia allusivo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. (Si applica a: servizio app in Windows)
Tattiche MITRE: persistenza, evasione della difesa
Gravità: medio
Esecuzione di un processo SVCHOST sospetto
(AppServices_SVCHostFromInvalidPath)
Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare la sua attività dannosa. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato agente utente sospetto
(AppServices_UserAgentInjection)
Descrizione: app Azure log attività del servizio indica le richieste con agente utente sospetto. Questo comportamento può indicare tentativi di sfruttare una vulnerabilità nell'applicazione del servizio app. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: informativo
Rilevata chiamata a un tema di WordPress sospetta
(AppServices_WpThemeInjection)
Descrizione: app Azure log attività del servizio indica una possibile attività di inserimento del codice nella risorsa servizio app. L'attività sospetta rilevata assomiglia a quella di manipolazione di un tema di WordPress per supportare l'esecuzione del codice sul lato server, seguita da una richiesta Web diretta per richiamare il file di tema manipolato. Questo tipo di attività è stato riscontrato in passato come parte di una campagna di attacco contro WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato rilevatore di vulnerabilità
(AppServices_DrupalScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati a un sistema di gestione dei contenuti (CMS). Se la risorsa servizio app non ospita un sito Drupal, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato rilevatore di vulnerabilità
(AppServices_JoomlaScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni Joomla. Se la risorsa di servizio app non ospita un sito di Necessariamente, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato rilevatore di vulnerabilità
(AppServices_WpScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato Web fingerprinting
(AppServices_WebFingerprinting)
Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a uno strumento chiamato Blind Elephant. Lo strumento individua l'impronta digitale dei server Web e tenta di rilevare le applicazioni installate e la versione. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: medio
Il sito Web è contrassegnato come dannoso nel feed di intelligence sulle minacce
(AppServices_SmartScreen)
Descrizione: il sito Web come descritto di seguito è contrassegnato come sito dannoso da Windows SmartScreen. Se si ritiene che sia un falso positivo, contattare Windows SmartScreen tramite il collegamento per la segnalazione di feedback fornito. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Raccolta
Gravità: medio
Avvisi per i contenitori - Cluster Kubernetes
Microsoft Defender per contenitori fornisce avvisi di sicurezza a livello di cluster e sui nodi del cluster sottostanti monitorando sia il piano di controllo (server API) che il carico di lavoro in contenitori stesso. Gli avvisi di sicurezza del piano di controllo possono essere riconosciuti da un prefisso del K8S_
tipo di avviso. Gli avvisi di sicurezza per il carico di lavoro di runtime nei cluster sono riconoscibili dal prefisso K8S.NODE_
del tipo di avviso. Tutti gli avvisi sono supportati solo in Linux, se non diversamente indicato.
Servizio Postgres esposto con configurazione di autenticazione trust in Kubernetes rilevato (anteprima)
(K8S_ExposedPostgresTrustAuth)
Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico. Il servizio è configurato con il metodo di autenticazione trust, che non richiede credenziali.
Tattiche MITRE: InitialAccess
Gravità: medio
Servizio Postgres esposto con configurazione rischiosa in Kubernetes rilevato (anteprima)
(K8S_ExposedPostgresBroadIPRange)
Descrizione: l'analisi della configurazione del cluster Kubernetes ha rilevato l'esposizione di un servizio Postgres da un servizio di bilanciamento del carico con una configurazione rischiosa. L'esposizione del servizio a un'ampia gamma di indirizzi IP comporta un rischio per la sicurezza.
Tattiche MITRE: InitialAccess
Gravità: medio
Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato
(K8S. NODE_NamespaceCreation) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore nel cluster Kubernetes ha rilevato un tentativo di creare un nuovo spazio dei nomi Linux. Anche se questo comportamento potrebbe essere legittimo, potrebbe indicare che un utente malintenzionato tenta di eseguire l'escape dal contenitore al nodo. Alcuni exploit CVE-2022-0185 usano questa tecnica.
Tattiche MITRE: PrivilegeEscalation
Gravità: informativo
Un file di cronologia è stato cancellato
(K8S. NODE_HistoryFileCleared) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'account utente specificato.
Tattiche MITRE: DefenseEvasion
Gravità: medio
Attività anomala dell'identità gestita associata a Kubernetes (anteprima)
(K8S_AbnormalMiActivity)
Descrizione: l'analisi delle operazioni di Azure Resource Manager ha rilevato un comportamento anomalo di un'identità gestita usata da un componente aggiuntivo del servizio Azure Kubernetes. L'attività rilevata non è coerente con il comportamento del componente aggiuntivo associato. Anche se questa attività può essere legittima, questo comportamento potrebbe indicare che l'identità è stata acquisita da un utente malintenzionato, probabilmente da un contenitore compromesso nel cluster Kubernetes.
Tattiche MITRE: Movimento laterale
Gravità: medio
Rilevata operazione dell'account del servizio Kubernetes anomalo
(K8S_ServiceAccountRareOperation)
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un comportamento anomalo da un account del servizio nel cluster Kubernetes. L'account del servizio è stato usato per un'operazione, che non è comune per questo account del servizio. Anche se questa attività può essere legittima, tale comportamento potrebbe indicare che l'account del servizio viene usato per scopi dannosi.
Tattiche MITRE: Spostamento laterale, accesso alle credenziali
Gravità: medio
Rilevato un tentativo di connessione non comune
(K8S. NODE_Suspect Connessione ion) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di connessione non comune usando un protocollo socks. Questo è molto raro nelle normali operazioni, ma una tecnica nota per gli utenti malintenzionati che tentano di ignorare i rilevamenti a livello di rete.
Tattiche MITRE: esecuzione, esfiltrazione, sfruttamento
Gravità: medio
Rilevato tentativo di arresto del servizio apt-daily-upgrade.timer
(K8S. NODE_TimerServiceDisabled) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di arrestare il servizio apt-daily-upgrade.timer. Gli utenti malintenzionati sono stati osservati arrestando questo servizio per scaricare file dannosi e concedere privilegi di esecuzione per i loro attacchi. Questa attività può verificarsi anche se il servizio viene aggiornato tramite azioni amministrative normali.
Tattiche MITRE: DefenseEvasion
Gravità: informativo
Comportamento simile ai bot Linux comuni rilevati (anteprima)
(K8S. NODE_CommonBot)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un processo normalmente associato a botnet Linux comuni.
Tattiche MITRE: esecuzione, raccolta, comando e controllo
Gravità: medio
Comando all'interno di un contenitore in esecuzione con privilegi elevati
(K8S. NODE_PrivilegedExecutionInContainer) 1
Descrizione: i log del computer indicano che un comando con privilegi è stato eseguito in un contenitore Docker. Un comando con privilegi ha privilegi estesi sul computer host.
Tattiche MITRE: PrivilegeEscalation
Gravità: informativo
Contenitore in esecuzione in modalità con privilegi
(K8S. NODE_PrivilegedContainerArtifacts) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'esecuzione di un comando Docker che esegue un contenitore con privilegi. Il contenitore con privilegi ha accesso completo al pod di hosting o alla risorsa host. Se compromesso, un utente malintenzionato potrebbe usare il contenitore con privilegi per ottenere l'accesso al pod o all'host di hosting.
Tattiche MITRE: PrivilegeEscalation, Execution
Gravità: informativo
Rilevato contenitore con un montaggio del volume sensibile
(K8S_SensitiveMount)
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo contenitore con un montaggio di volumi sensibili. Il volume rilevato è un tipo hostPath che monta un file o una cartella sensibile dal nodo al contenitore. Se il contenitore viene compromesso, l'utente malintenzionato può usare questo montaggio per ottenere l'accesso al nodo.
Tattiche MITRE: Escalation dei privilegi
Gravità: informativo
Rilevata modifica coreDNS in Kubernetes
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato una modifica della configurazione CoreDNS. La configurazione di CoreDNS può essere modificata eseguendo l'override della relativa mappa di configurazione. Anche se questa attività può essere legittima, se gli utenti malintenzionati hanno le autorizzazioni per modificare la mappa di configurazione, possono modificare il comportamento del server DNS del cluster e elaborarlo.
Tattiche MITRE: Movimento laterale
Gravità: Bassa
Rilevata configurazione del webhook di ammissione
(K8S_AdmissionController) 3
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova configurazione del webhook di ammissione. Kubernetes dispone di due controller di ammissione generici predefiniti: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. Il comportamento di questi controller di ammissione è determinato da un webhook di ammissione che l'utente distribuisce nel cluster. L'uso di tali controller di ammissione può essere legittimo, tuttavia gli utenti malintenzionati possono usare tali webhook per modificare le richieste (nel caso di MutatingAdmissionWebhook) o ispezionare le richieste e ottenere informazioni riservate (nel caso di ValidatingAdmissionWebhook).
Tattiche MITRE: Accesso alle credenziali, Persistenza
Gravità: informativo
Rilevato download di un file da un'origine dannosa nota
(K8S. NODE_SuspectDownload) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download di un file da un'origine usata di frequente per distribuire malware.
Tattiche MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravità: medio
Rilevato download di un file sospetto
(K8S. NODE_SuspectDownloadArtifacts) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un download sospetto di un file remoto.
Tattiche MITRE: Persistenza
Gravità: informativo
Rilevato uso sospetto del comando nohup
(K8S. NODE_SuspectNohup) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando nohup. Gli utenti malintenzionati hanno visto usare il comando nohup per eseguire file nascosti da una directory temporanea per consentire l'esecuzione in background dei file eseguibili. È raro vedere questo comando eseguito su file nascosti che si trovano in una directory temporanea.
Tattiche MITRE: Persistenza, DefenseEvasion
Gravità: medio
Rilevato uso sospetto del comando useradd
(K8S. NODE_SuspectUserAddition) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un uso sospetto del comando useradd.
Tattiche MITRE: Persistenza
Gravità: medio
Rilevato contenitore di mining della valuta digitale
(K8S_MaliciousContainerImage) 3
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un contenitore con un'immagine associata a uno strumento di data mining di valuta digitale.
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato comportamento correlato al mining della valuta digitale
(K8S. NODE_DigitalCurrencyMining) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.
Tattiche MITRE: Esecuzione
Gravità: alta
Operazione di compilazione Docker rilevata in un nodo Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento.
Tattiche MITRE: DefenseEvasion
Gravità: informativo
Rilevato dashboard Kubeflow esposto
(K8S_ExposedKubeflow)
Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione dell'ingresso Istio da un servizio di bilanciamento del carico in un cluster che esegue Kubeflow. Questa azione potrebbe esporre il dashboard Kubeflow su Internet. Se il dashboard è esposto su Internet, gli utenti malintenzionati possono accedervi ed eseguire codice o contenitori dannosi nel cluster. Per altre informazioni, vedere l'articolo seguente: https://aka.ms/exposedkubeflow-blog
Tattiche MITRE: Accesso iniziale
Gravità: medio
Rilevato dashboard Kubernetes esposto
(K8S_ExposedDashboard)
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato l'esposizione del dashboard kubernetes da un servizio LoadBalancer. Il dashboard esposto permette un accesso non autenticato alla gestione del cluster e rappresenta una minaccia per la sicurezza.
Tattiche MITRE: Accesso iniziale
Gravità: alta
Rilevato servizio Kubernetes esposto
(K8S_ExposedService)
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'esposizione di un servizio da parte di un servizio di bilanciamento del carico. Questo servizio è correlato a un'applicazione sensibile che consente di eseguire operazioni ad alto impatto nel cluster, ad esempio l'esecuzione di processi nel nodo o la creazione di nuovi contenitori. In alcuni casi, questo servizio non richiede l'autenticazione. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Rilevato servizio Redis esposto nel servizio Azure Kubernetes
(K8S_ExposedRedis)
Descrizione: l'analisi del log di controllo kubernetes ha rilevato l'esposizione di un servizio Redis da un servizio di bilanciamento del carico. Se il servizio non richiede l'autenticazione, esponendolo a Internet rappresenta un rischio per la sicurezza.
Tattiche MITRE: Accesso iniziale
Gravità: Bassa
Rilevati indicatori associati a un toolkit DDoS
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato nomi di file che fanno parte di un toolkit associato a malware in grado di avviare attacchi DDoS, aprire porte e servizi e assumere il controllo completo sul sistema infetto. Potrebbe anche trattarsi di un'attività legittima.
Tattiche MITRE: Persistenza, LateralMovement, Esecuzione, Sfruttamento
Gravità: medio
Rilevate richieste API K8S dall'indirizzo IP proxy
(K8S_TI_Proxy) 3
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato richieste API al cluster da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli utenti malintenzionati tentano di nascondere l'INDIRIZZO IP di origine.
Tattiche MITRE: Esecuzione
Gravità: Bassa
Eventi kubernetes eliminati
Descrizione: Defender per il cloud rilevato che alcuni eventi Kubernetes sono stati eliminati. Gli eventi Kubernetes sono oggetti in Kubernetes che contengono informazioni sulle modifiche nel cluster. Gli utenti malintenzionati possono eliminare tali eventi per nascondere le operazioni nel cluster.
Tattiche MITRE: Evasione della difesa
Gravità: Bassa
Rilevato lo strumento di test di penetrazione kubernetes
(K8S_PenTestToolsKubeHunter)
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi.
Tattiche MITRE: Esecuzione
Gravità: Bassa
Microsoft Defender per il cloud avviso di test (non una minaccia).
(K8S. NODE_EICAR) 1
Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni.
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato nuovo contenitore nello spazio dei nomi kube-system
(K8S_KubeSystemContainer) 3
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore nello spazio dei nomi kube-system che non è tra i contenitori che normalmente vengono eseguiti in questo spazio dei nomi. Gli spazi dei nomi kube-system non devono contenere risorse utente. Gli utenti malintenzionati possono usare questo spazio dei nomi per nascondere componenti dannosi.
Tattiche MITRE: Persistenza
Gravità: informativo
Rilevato nuovo ruolo con privilegi elevati
(K8S_HighPrivilegesRole) 3
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato un nuovo ruolo con privilegi elevati. Un'associazione a un ruolo con privilegi elevati concede all'utente\gruppo privilegi elevati nel cluster. I privilegi non necessari potrebbero causare l'escalation dei privilegi nel cluster.
Tattiche MITRE: Persistenza
Gravità: informativo
Rilevato possibile strumento di attacco
(K8S. NODE_KnownLinuxAttackTool) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una chiamata di strumento sospetta. Questo strumento è spesso associato a utenti malintenzionati che attaccano altri utenti.
Tattiche MITRE: esecuzione, raccolta, comando e controllo, probe
Gravità: medio
Rilevato possibile backdoor
(K8S. NODE_LinuxBackdoorArtifact) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un file sospetto scaricato ed eseguito. Questa attività è stata precedentemente associata all'installazione di una backdoor.
Tattiche MITRE: Persistenza, DefenseEvasion, Esecuzione, Sfruttamento
Gravità: medio
Possibile tentativo di sfruttamento della riga di comando
(K8S. NODE_ExploitAttempt) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un possibile tentativo di sfruttamento contro una vulnerabilità nota.
Tattiche MITRE: Sfruttamento
Gravità: medio
Rilevato possibile strumento di accesso alle credenziali
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un possibile strumento di accesso alle credenziali note è stato eseguito nel contenitore, come identificato dal processo e dall'elemento della cronologia della riga di comando specificati. Questo strumento è spesso associato a tentativi di accesso alle credenziali da parte di utenti malintenzionati.
Tattiche MITRE: CredentialAccess
Gravità: medio
Rilevato un possibile download di Cryptocoinminer
(K8S. NODE_CryptoCoinMinerDownload) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato il download di un file normalmente associato al data mining di valuta digitale.
Tattiche MITRE: DefenseEvasion, Command And Control, Exploitation
Gravità: medio
Rilevata possibile attività di manomissione dei log
(K8S. NODE_SystemLogRemoval) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile rimozione dei file che tiene traccia dell'attività dell'utente durante il corso dell'operazione. Spesso gli utenti malintenzionati tentano di eludere il rilevamento e non lasciano traccia delle attività dannose eliminando tali file di log.
Tattiche MITRE: DefenseEvasion
Gravità: medio
È stata rilevata una possibile modifica della password usando il metodo crypt
(K8S. NODE_SuspectPasswordChange) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione.
Tattiche MITRE: CredentialAccess
Gravità: medio
Potenziale port forwarding a un indirizzo IP esterno
(K8S. NODE_SuspectPortForwarding) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un'avvio del port forwarding a un indirizzo IP esterno.
Tattiche MITRE: esfiltrazione, comando e controllo
Gravità: medio
Rilevata potenziale shell inversa
(K8S. NODE_ReverseShell) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato.
Tattiche MITRE: esfiltrazione, sfruttamento
Gravità: medio
Rilevato contenitore con privilegi
(K8S_PrivilegedContainer)
Descrizione: l'analisi del log di controllo di Kubernetes ha rilevato un nuovo contenitore con privilegi. Un contenitore con privilegi ha accesso alle risorse del nodo e interrompe l'isolamento tra i contenitori. Se compromesso, un utente malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al nodo.
Tattiche MITRE: Escalation dei privilegi
Gravità: informativo
Rilevato processo associato al mining della valuta digitale
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale.
Tattiche MITRE: esecuzione, sfruttamento
Gravità: medio
Rilevato processo che ha avuto accesso al file delle chiavi SSH autorizzate in modo insolito
(K8S. NODE_SshKeyAccess) 1
Descrizione: è stato eseguito l'accesso a un file SSH authorized_keys in un metodo simile alle campagne malware note. Questo accesso potrebbe indicare che un attore sta tentando di ottenere l'accesso permanente a un computer.
Tattiche MITRE: Sconosciuto
Gravità: informativo
Rilevato binding del ruolo al ruolo di amministratore del cluster
(K8S_Cluster Amministrazione Binding)
Descrizione: l'analisi dei log di controllo di Kubernetes ha rilevato una nuova associazione al ruolo di amministratore del cluster che concede privilegi di amministratore. I privilegi di amministratore non necessari potrebbero causare l'escalation dei privilegi nel cluster.
Tattiche MITRE: Persistenza
Gravità: informativo
Rilevata terminazione dei processi correlati alla sicurezza
(K8S. NODE_SuspectProcessTermination) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo di terminare i processi correlati al monitoraggio della sicurezza nel contenitore. Spesso gli utenti malintenzionati provano a terminare tali processi usando gli script predefiniti successivamente alla compromissione.
Tattiche MITRE: Persistenza
Gravità: Bassa
Il server SSH è in esecuzione all'interno di un contenitore
(K8S. NODE_ContainerSSH) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato un server SSH in esecuzione all'interno del contenitore.
Tattiche MITRE: Esecuzione
Gravità: informativo
Modifica del timestamp del file sospetta
(K8S. NODE_TimestampTampering) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una modifica di timestamp sospetta. Gli utenti malintenzionati copiano spesso timestamp da file legittimi esistenti a nuovi strumenti per evitare il rilevamento di questi file appena eliminati.
Tattiche MITRE: Persistenza, DefenseEvasion
Gravità: Bassa
Richiesta sospetta all'API Kubernetes
(K8S. NODE_KubernetesAPI) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.
Tattiche MITRE: LateralMovement
Gravità: medio
Richiesta sospetta al dashboard di Kubernetes
(K8S. NODE_KubernetesDashboard) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore indica che è stata effettuata una richiesta sospetta al dashboard kubernetes. La richiesta è stata inviata da un contenitore nel cluster. Anche se questo comportamento può essere intenzionale, potrebbe indicare che un contenitore compromesso è in esecuzione nel cluster.
Tattiche MITRE: LateralMovement
Gravità: medio
Il potenziale minatore di moneta crittografica ha iniziato
(K8S. NODE_CryptoCoinMinerExecution) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo avviato in modo normalmente associato al data mining di valuta digitale.
Tattiche MITRE: Esecuzione
Gravità: medio
Accesso sospetto alle password
(K8S. NODE_SuspectPasswordFileAccess) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un tentativo sospetto di accesso alle password utente crittografate.
Tattiche MITRE: Persistenza
Gravità: informativo
Rilevata possibile shell Web dannosa.
(K8S. NODE_Webshell) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato una possibile shell Web. Gli utenti malintenzionati caricano spesso una shell Web in una risorsa di calcolo compromessa per ottenere la persistenza o per un ulteriore sfruttamento.
Tattiche MITRE: persistenza, sfruttamento
Gravità: medio
Il burst di più comandi di ricognizione potrebbe indicare l'attività iniziale dopo la compromissione
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Descrizione: l'analisi dei dati host/dispositivo ha rilevato l'esecuzione di più comandi di ricognizione correlati alla raccolta dei dettagli del sistema o dell'host eseguiti dagli utenti malintenzionati dopo la compromissione iniziale.
Tattiche MITRE: Individuazione, Raccolta
Gravità: Bassa
Download sospetto, quindi eseguire l'attività
(K8S. NODE_DownloadAndRunCombo) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato che un file viene scaricato e quindi eseguito nello stesso comando. Anche se questo non è sempre dannoso, si tratta di una tecnica molto comune usata dagli utenti malintenzionati per ottenere file dannosi nei computer vittima.
Tattiche MITRE: Esecuzione, CommandAndControl, Sfruttamento
Gravità: medio
Rilevato accesso al file kubelet kubeconfig
(K8S. NODE_KubeConfigAccess) 1
Descrizione: l'analisi dei processi in esecuzione in un nodo del cluster Kubernetes ha rilevato l'accesso al file kubeconfig nell'host. Il file kubeconfig, normalmente usato dal processo Kubelet, contiene le credenziali per il server API del cluster Kubernetes. L'accesso a questo file è spesso associato agli utenti malintenzionati che tentano di accedere a tali credenziali o agli strumenti di analisi della sicurezza che controllano se il file è accessibile.
Tattiche MITRE: CredentialAccess
Gravità: medio
È stato rilevato l'accesso al servizio metadati cloud
(K8S. NODE_ImdsCall) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore ha rilevato l'accesso al servizio metadati cloud per l'acquisizione del token di identità. Il contenitore in genere non esegue tale operazione. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero usare questa tecnica per accedere alle risorse cloud dopo aver ottenuto l'accesso iniziale a un contenitore in esecuzione.
Tattiche MITRE: CredentialAccess
Gravità: medio
Rilevato agente MITRE Caldera
(K8S. NODE_MitreCalderaTools) 1
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato un processo sospetto. Questo è spesso associato all'agente MITRE 54ndc47, che potrebbe essere usato dannosamente per attaccare altri computer.
Tattiche MITRE: persistenza, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravità: medio
1: Anteprima per i cluster non del servizio Azure Kubernetes: questo avviso è disponibile a livello generale per i cluster del servizio Azure Kubernetes, ma è in anteprima per altri ambienti, ad esempio Azure Arc, EKS e GKE.
2: Limitazioni nei cluster GKE: GKE usa un criterio di controllo Kubernetes che non supporta tutti i tipi di avviso. Di conseguenza, questo avviso di sicurezza, basato su eventi di controllo Kubernetes, non è supportato per i cluster GKE.
3: Questo avviso è supportato nei nodi/contenitori di Windows.
Avvisi per database SQL e Azure Synapse Analytics
Possibile vulnerabilità agli attacchi SQL injection
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrizione: un'applicazione ha generato un'istruzione SQL difettosa nel database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection. Ci sono due possibili motivi per un'istruzione non corretta. Un difetto nel codice dell'applicazione potrebbe aver creato l'istruzione SQL non corretta. Oppure il codice dell'applicazione o le stored procedure non hanno corretto l'input utente quando è stata creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL injection.
Tattiche MITRE: PreAttack
Gravità: medio
Tentativo di accesso da un'applicazione potenzialmente dannosa
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Accesso da un data center di Azure insolito
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrizione: è stata apportata una modifica al modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da un data center di Azure insolito. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o servizio di Azure). In altri casi, l'avviso rileva un'azione dannosa (un utente malintenzionato che opera da una risorsa violata in Azure).
Tattiche MITRE: Probing
Gravità: Bassa
Accesso da una posizione insolita
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrizione: è stata apportata una modifica del modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da una posizione geografica insolita. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un dominio non visualizzato in 60 giorni
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un indirizzo IP sospetto
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.
Tattiche MITRE: PreAttack
Gravità: medio
Potenziale attacco SQL injection
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrizione: si è verificato un exploit attivo rispetto a un'applicazione identificata vulnerabile all'inserimento SQL. Ciò significa che un utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta tramite un utente valido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta riuscito
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
SQL Server ha potenzialmente generato una shell dei comandi di Windows e ha eseguito l'accesso a un'origine esterna anomala
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrizione: un'istruzione SQL sospetta potenzialmente ha generato una shell dei comandi di Windows con un'origine esterna che non è stata vista in precedenza. L'esecuzione di una shell che accede a un'origine esterna è un metodo usato dagli utenti malintenzionati per scaricare payload dannoso e quindi eseguirlo nel computer e comprometterlo. Ciò consente a un utente malintenzionato di eseguire attività dannose in direzione remota. In alternativa, è possibile accedere a un'origine esterna per esfiltrare i dati in una destinazione esterna.
Tattiche MITRE: Esecuzione
Gravità: alta
Payload insolito con parti offuscate è stato avviato da SQL Server
(SQL. VM_PotentialSqlInjection)
Descrizione: un utente ha avviato un nuovo payload usando il livello in SQL Server che comunica con il sistema operativo nascondendo il comando nella query SQL. Gli utenti malintenzionati in genere nascondono comandi con impatto monitorati comunemente come xp_cmdshell, sp_add_job e altri. Le tecniche di offuscamento abusano di comandi legittimi come la concatenazione di stringhe, il cast, la modifica di base e altri, per evitare il rilevamento delle espressioni regolari e compromettere la leggibilità dei log.
Tattiche MITRE: Esecuzione
Gravità: alta
Avvisi per database relazionali open source
Sospetto attacco di forza bruta tramite un utente valido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta riuscito
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Tentativo di accesso da un'applicazione potenzialmente dannosa
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un dominio non visualizzato in 60 giorni
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un data center di Azure insolito
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.
Tattiche MITRE: Probing
Gravità: Bassa
Accesso da un provider di servizi cloud insolito
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descrizione: un utente connesso alla risorsa da un provider di servizi cloud non è stato visualizzato negli ultimi 60 giorni. È facile e veloce per gli attori delle minacce ottenere potenza di calcolo eliminabile per l'uso nelle campagne. Se si tratta di un comportamento previsto causato dall'adozione recente di un nuovo provider di servizi cloud, Defender per il cloud imparerà nel tempo e tenterà di prevenire futuri falsi positivi.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da una posizione insolita
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un indirizzo IP sospetto
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.
Tattiche MITRE: PreAttack
Gravità: medio
Avvisi per Resource Manager
Nota
Gli avvisi con un'indicazione di accesso delegato vengono attivati a causa dell'attività dei provider di servizi di terze parti. Altre informazioni sulle indicazioni sulle attività dei provider di servizi.
Operazione di Azure Resource Manager da un indirizzo IP sospetto
(ARM_OperationFromSuspiciousIP)
Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce.
Tattiche MITRE: Esecuzione
Gravità: medio
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto
(ARM_OperationFromSuspiciousProxyIP)
Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni
(ARM_MicroBurst.AzDomainInfo)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: -
Gravità: Bassa
Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni
(ARM_MicroBurst.AzureDomainInfo)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: -
Gravità: Bassa
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale
(ARM_MicroBurst.AzVMBulkCMD)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione del codice in una macchina virtuale o un elenco di macchine virtuali. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire uno script in una macchina virtuale per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale
(RM_MicroBurst.AzureRmVMBulkCMD)
Descrizione: il toolkit di sfruttamento di MicroBurst è stato usato per eseguire codice nelle macchine virtuali. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento di MicroBurst usato per estrarre le chiavi dagli insiemi di credenziali delle chiavi di Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi da uno o più insiemi di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento microBurst usato per estrarre le chiavi agli account di archiviazione
(ARM_MicroBurst.AZStorageKeysREST)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi per Archiviazione account.Description: a PowerShell script was run in your subscription and performed a suspicious pattern of extracting keys to Archiviazione Account/s. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili negli account Archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: Raccolta
Gravità: alta
Toolkit di sfruttamento di MicroBurst usato per estrarre segreti dagli insiemi di credenziali delle chiavi di Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione dei segreti da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare i segreti e usarli per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento di PowerZure usato per elevare l'accesso da Azure AD ad Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per elevare l'accesso da AzureAD ad Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nel tenant.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento di PowerZure usato per enumerare le risorse
(ARM_PowerZure.GetAzureTargets)
Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le risorse per conto di un account utente legittimo nell'organizzazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: Raccolta
Gravità: alta
Toolkit di sfruttamento di PowerZure usato per enumerare contenitori di archiviazione, condivisioni e tabelle
(ARM_PowerZure.ShowStorageContent)
Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare condivisioni di archiviazione, tabelle e contenitori. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento di PowerZure usato per eseguire un runbook nella sottoscrizione
(ARM_PowerZure.StartRunbook)
Descrizione: il toolkit di sfruttamento di PowerZure è stato usato per eseguire un runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Toolkit di sfruttamento di PowerZure usato per estrarre il contenuto dei Runbook
(ARM_PowerZure.AzureRunbookContent)
Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per estrarre il contenuto del runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: Raccolta
Gravità: alta
ANTEPRIMA - Rilevata esecuzione del toolkit Azurite
(ARM_Azurite)
Descrizione: è stata rilevata un'esecuzione nota del toolkit di ricognizione nell'ambiente in uso. Lo strumento Azurite può essere usato da un utente malintenzionato (o tester di penetrazione) per eseguire il mapping delle risorse delle sottoscrizioni e identificare le configurazioni non protette.
Tattiche MITRE: Raccolta
Gravità: alta
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo
(ARM_SuspiciousComputeCreation)
Descrizione: Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Impatto
Gravità: medio
ANTEPRIMA - Rilevato ripristino sospetto dell'insieme di credenziali delle chiavi
(Arm_Suspicious_Vault_Recovering)
Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di ripristino sospetta per una risorsa dell'insieme di credenziali delle chiavi eliminata temporaneamente. L'utente che recupera la risorsa è diverso dall'utente che l'ha eliminata. Si tratta di un'operazione estremamente sospetta perché l'utente raramente richiama tale operazione. Inoltre, l'utente ha eseguito l'accesso senza autenticazione a più fattori (MFA). Ciò potrebbe indicare che l'utente è compromesso e sta tentando di individuare segreti e chiavi per ottenere l'accesso alle risorse sensibili o per eseguire lo spostamento laterale attraverso la rete.
Tattiche MITRE: Movimento laterale
Gravità: media/alta
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo
(ARM_UnusedAccountPersistence)
Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.
Tattiche MITRE: Persistenza
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.CredentialAccess)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: accesso alle credenziali
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione "Raccolta dati" a rischio elevato rilevata da un'entità servizio
(ARM_AnomalousServiceOperation.Collection)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Raccolta
Gravità: medio
ANTEPRIMA - Chiamata sospetta di un'operazione di "evasione della difesa" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.DefenseEvasion)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Evasione della difesa
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione "Esecuzione" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Execution)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Esecuzione della difesa
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione "Impatto" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Impact)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Impatto
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.InitialAccess)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: accesso iniziale
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione "Accesso spostamento laterale" a rischio elevato rilevata da un'entità servizio
(ARM_AnomalousServiceOperation.LateralMovement)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Movimento laterale
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione di "persistenza" ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.Persistence)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Persistenza
Gravità: medio
ANTEPRIMA: chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio da parte di un'entità servizio rilevata
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.
Tattiche MITRE: Escalation dei privilegi
Gravità: medio
ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo
(ARM_UnusedAccountPersistence)
Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.
Tattiche MITRE: Persistenza
Gravità: medio
ANTEPRIMA - Rilevata sessione di gestione sospetta con PowerShell
(ARM_UnusedAppPowershellPersistence)
Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente PowerShell per gestire l'ambiente di sottoscrizione ora sta usando PowerShell, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.
Tattiche MITRE: Persistenza
Gravità: medio
ANTEPRIMA - Sessione di gestione sospetta con portale di Azure rilevata
(ARM_UnusedAppIbizaPersistence)
Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente il portale di Azure (Ibiza) per gestire l'ambiente di sottoscrizione (vale a dire che non ha usato portale di Azure per la gestione negli ultimi 45 giorni o una sottoscrizione che sta gestendo attivamente), sta ora usando il portale di Azure, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.
Tattiche MITRE: Persistenza
Gravità: medio
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)
(ARM_PrivilegedRoleDefinitionCreation)
Descrizione: Microsoft Defender per Resource Manager ha rilevato una creazione sospetta della definizione di ruolo personalizzata con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento.
Tattiche MITRE: Escalation dei privilegi, Evasione della difesa
Gravità: informativo
Rilevata assegnazione di ruolo sospetta di Azure (anteprima)
(ARM_AnomalousRBACRoleAssignment)
Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo di Azure sospetta/eseguita usando PIM (Privileged Identity Management) nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per consentire agli amministratori di concedere agli amministratori l'accesso alle risorse di Azure. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare l'assegnazione di ruolo per inoltrare le autorizzazioni consentendo loro di avanzare l'attacco.
Tattiche MITRE: Movimento laterale, Evasione della difesa
Gravità: Basso (PIM) /Alto
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.CredentialAccess)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Collection)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Raccolta
Gravità: medio
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.DefenseEvasion)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Execution)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Esecuzione
Gravità: medio
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Impact)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Impatto
Gravità: medio
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.InitialAccess)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.LateralMovement)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Movimento laterale
Gravità: medio
Operazione di accesso con privilegi elevati sospetti (anteprima)(ARM_AnomalousElevateAccess)
Descrizione: Microsoft Defender per Resource Manager ha identificato un'operazione sospetta di "Elevare l'accesso". L'attività viene considerata sospetta, in quanto questa entità raramente richiama tali operazioni. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare un'operazione "Elevate Access" per eseguire l'escalation dei privilegi per un utente compromesso.
Tattiche MITRE: Escalation dei privilegi
Gravità: medio
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Persistence)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Persistenza
Gravità: medio
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.
Tattiche MITRE: Escalation dei privilegi
Gravità: medio
Utilizzo del toolkit di sfruttamento MicroBurst per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account
(ARM_MicroBurst.RunCodeOnBehalf)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire codice arbitrario per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.
Tattiche MITRE: persistenza, accesso alle credenziali
Gravità: alta
Uso delle tecniche NetSPI per mantenere la persistenza nell'ambiente Azure
(ARM_NetSPI.MaintainPersistence)
Descrizione: uso della tecnica di persistenza NetSPI per creare un backdoor webhook e mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Utilizzo del toolkit di sfruttamento di PowerZure per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account
(ARM_PowerZure.RunCodeOnBehalf)
Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato il tentativo di eseguire codice o esfiltrare Automazione di Azure credenziali dell'account. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Utilizzo della funzione PowerZure per mantenere la persistenza nell'ambiente Azure
(ARM_PowerZure.MaintainPersistence)
Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato la creazione di un backdoor webhook per mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.
Tattiche MITRE: -
Gravità: alta
Rilevata assegnazione di ruolo classica sospetta (anteprima)
(ARM_AnomalousClassicRoleAssignment)
Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo classica sospetta nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per garantire la compatibilità con le versioni precedenti con i ruoli classici che non vengono più usati comunemente. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare tale assegnazione per concedere autorizzazioni a un altro account utente sotto il proprio controllo.
Tattiche MITRE: Movimento laterale, Evasione della difesa
Gravità: alta
Avvisi per Archiviazione di Azure
Accesso da un'applicazione sospetta
(Archiviazione. Blob_SuspiciousApp)
Descrizione: indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: Accesso iniziale
Gravità: alta/media
Accesso da un indirizzo IP sospetto
(Archiviazione. Blob_SuspiciousIp Archiviazione. Files_SuspiciousIp)
Descrizione: indica che l'accesso a questo account di archiviazione è stato eseguito correttamente da un indirizzo IP considerato sospetto. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: Pre-Attacco
Gravità: alta/media/bassa
Contenuto di phishing ospitato in un account di archiviazione
(Archiviazione. Blob_PhishingContent Archiviazione. Files_PhishingContent)
Descrizione: UN URL usato in un attacco di phishing punta all'account Archiviazione di Azure. Questo URL fa parte di un attacco di phishing inviato agli utenti di Microsoft 365. In genere, il contenuto ospitato in tali pagine è progettato per indurre i visitatori a immettere le loro credenziali aziendali o informazioni finanziarie in un modulo Web che sembra legittimo. Questo avviso è basato sull'intelligence sulle minacce di Microsoft. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Archiviazione BLOB di Azure, File di Azure
Tattiche MITRE: Raccolta
Gravità: alta
Archiviazione account identificato come origine per la distribuzione di malware
(Archiviazione. Files_WidespreadeAm)
Descrizione: gli avvisi antimalware indicano che uno o più file infetti vengono archiviati in una condivisione file di Azure montata in più macchine virtuali. Se gli utenti malintenzionati ottengono l'accesso a una macchina virtuale con una condivisione file di Azure montata, possono usarlo per diffondere malware in altre macchine virtuali che montano la stessa condivisione. Si applica a: File di Azure
Tattiche MITRE: Esecuzione
Gravità: medio
Il livello di accesso di un contenitore BLOB di archiviazione potenzialmente sensibile è stato modificato per consentire l'accesso pubblico non autenticato
(Archiviazione. Blob_OpenACL)
Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che potrebbe contenere dati sensibili, a livello di "contenitore", per consentire l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. In base all'analisi statistica, il contenitore BLOB viene contrassegnato come possibilmente contenente dati sensibili. Questa analisi suggerisce che i contenitori BLOB o gli account di archiviazione con nomi simili in genere non sono esposti all'accesso pubblico. Si applica a: BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium).
Tattiche MITRE: Raccolta
Gravità: medio
Accesso autenticato da un nodo di uscita tor
(Archiviazione. Blob_TorAnomaly Archiviazione. Files_TorAnomaly)
Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: accesso iniziale/pre-attacco
Gravità: alta/media
Accesso da una posizione insolita a un account di archiviazione
(Archiviazione. Blob_GeoAnomaly Archiviazione. Files_GeoAnomaly)
Descrizione: indica che è stata apportata una modifica al modello di accesso a un account Archiviazione di Azure. Un utente ha effettuato l'accesso a questo account da un indirizzo IP considerato insolito se confrontato con l'attività recente. Un utente malintenzionato ha ottenuto l'accesso all'account oppure un utente legittimo si è connesso da una posizione geografica nuova o insolita. Un esempio di quest'ultimo caso è la manutenzione remota da una nuova applicazione o sviluppatore. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: Accesso iniziale
Gravità: alta/media/bassa
Accesso non autenticato insolito a un contenitore di archiviazione
(Storage.Blob_AnonymousAccessAnomaly)
Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure
Tattiche MITRE: Accesso iniziale
Gravità: alta/bassa
Potenziale malware caricato in un account di archiviazione
(Archiviazione. Blob_MalwareHashReputation Archiviazione. Files_MalwareHashReputation)
Descrizione: indica che un BLOB contenente potenziali malware è stato caricato in un contenitore BLOB o in una condivisione file in un account di archiviazione. Questo avviso è basato sull'analisi della reputazione hash che sfrutta la potenza dell'intelligence sulle minacce Microsoft, che include hash per virus, trojan, spyware e ransomware. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un utente malintenzionato o un caricamento involontario di un BLOB potenzialmente dannoso da parte di un utente legittimo. Si applica a: Archiviazione BLOB di Azure, File di Azure (solo per le transazioni tramite l'API REST) Altre informazioni sulle funzionalità di Intelligence sulle minacce di Microsoft.
Tattiche MITRE: Movimento laterale
Gravità: alta
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente
(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery)
Descrizione: l'individuazione di contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.
Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.
L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.
✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Archiviazione Gen2
Tattiche MITRE: Raccolta
Gravità: alta/media
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito
(Archiviazione. Blob_OpenContainersScanning.FailedAttempt)
Descrizione: nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.
Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.
L'attore di minacce potrebbe usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.
✔ ✖ Archiviazione BLOB di Azure File di Azure ✖ Azure Data Lake Archiviazione Gen2
Tattiche MITRE: Raccolta
Gravità: alta/bassa
Ispezione dell'accesso insolita in un account di archiviazione
(Archiviazione. Blob_AccessInspectionAnomaly Archiviazione. Files_AccessInspectionAnomaly)
Descrizione: indica che le autorizzazioni di accesso di un account di archiviazione sono state esaminate in modo insolito, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure
Tattiche MITRE: Individuazione
Gravità: alta/media
Quantità insolita di dati estratti da un account di archiviazione
(Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnoma Archiviazione ly. Files_DataExfiltration.AmountOfDataAnomaly Archiviazione. Files_DataExfiltration.NumberOfFilesAnomaly)
Descrizione: indica che è stata estratta una quantità insolitamente elevata di dati rispetto alle attività recenti in questo contenitore di archiviazione. Una possibile causa è che un utente malintenzionato ha estratto una quantità elevata di dati da un contenitore contenente l'archiviazione BLOB. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: esfiltrazione
Gravità: alta/bassa
Un'applicazione insolita ha avuto accesso a un account di archiviazione
(Archiviazione. Blob_ApplicationAnomaly Archiviazione. Files_ApplicationAnomaly)
Descrizione: indica che un'applicazione insolita ha eseguito l'accesso a questo account di archiviazione. Una possibile causa è che un utente malintenzionato ha eseguito l'accesso all'account di archiviazione usando una nuova applicazione. Si applica a: Archiviazione BLOB di Azure, File di Azure
Tattiche MITRE: Esecuzione
Gravità: alta/media
Esplorazione insolita dei dati in un account di archiviazione
(Archiviazione. Blob_DataExplorationAnomaly Archiviazione. Files_DataExplorationAnomaly)
Descrizione: indica che i BLOB o i contenitori in un account di archiviazione sono stati enumerati in modo anomalo, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eseguito una ricognizione per un attacco futuro. Si applica a: Archiviazione BLOB di Azure, File di Azure
Tattiche MITRE: Esecuzione
Gravità: alta/media
Eliminazione insolita in un account di archiviazione
(Archiviazione. Blob_DeletionAnomaly Archiviazione. Files_DeletionAnomaly)
Descrizione: indica che una o più operazioni di eliminazione impreviste si sono verificate in un account di archiviazione, rispetto alle attività recenti in questo account. Una possibile causa è che un utente malintenzionato ha eliminato i dati dall'account di archiviazione. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
Tattiche MITRE: esfiltrazione
Gravità: alta/media
Accesso pubblico non autenticato insolito a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_AnonymousAccessAnomaly.Sensitive
Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione senza autenticazione, usando un indirizzo IP esterno (pubblico). Questo accesso è sospetto perché il contenitore BLOB è aperto all'accesso pubblico ed è in genere accessibile solo con l'autenticazione da reti interne (indirizzi IP privati). Questo accesso potrebbe indicare che il livello di accesso del contenitore BLOB non è configurato correttamente e che un attore malintenzionato potrebbe aver sfruttato l'accesso pubblico. L'avviso di sicurezza include il contesto delle informazioni riservate individuate (tempo di analisi, etichetta di classificazione, tipi di informazioni e tipi di file). Altre informazioni sul rilevamento delle minacce per i dati sensibili. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Accesso iniziale
Gravità: alta
Quantità insolita di dati estratti da un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Descrizione: l'avviso indica che un utente ha estratto una quantità insolitamente elevata di dati da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: esfiltrazione
Gravità: medio
Numero insolito di BLOB estratti da un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Descrizione: l'avviso indica che un utente ha estratto un numero insolitamente elevato di BLOB da un contenitore BLOB con dati sensibili nell'account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: esfiltrazione
Accesso da un'applicazione sospetta nota a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_SuspiciousApp.Sensitive
Descrizione: l'avviso indica che un utente con un'applicazione sospetta nota ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione ed ha eseguito operazioni autenticate.
L'accesso potrebbe indicare che un attore di minaccia ha ottenuto le credenziali per accedere all'account di archiviazione usando un'applicazione sospetta nota. Tuttavia, l'accesso potrebbe anche indicare un test di penetrazione eseguito nell'organizzazione.
Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Accesso iniziale
Gravità: alta
Accesso da un indirizzo IP sospetto noto a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_SuspiciousIp.Sensitive
Descrizione: l'avviso indica che un utente ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione da un indirizzo IP sospetto noto associato a threat intel da Microsoft Threat Intelligence. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Pre-Attacco
Gravità: alta
Accesso da un nodo di uscita tor a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_TorAnomaly.Sensitive
Descrizione: l'avviso indica che un utente con un indirizzo IP noto come nodo di uscita tor ha eseguito l'accesso a un contenitore BLOB con dati sensibili nell'account di archiviazione con accesso autenticato. L'accesso autenticato da un nodo di uscita tor indica fortemente che l'attore sta tentando di rimanere anonimo per possibili finalità dannose. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Pre-Attacco
Gravità: alta
Accesso da una posizione insolita a un contenitore BLOB sensibile (anteprima)
Archiviazione. Blob_GeoAnomaly.Sensitive
Descrizione: l'avviso indica che un utente ha eseguito l'accesso al contenitore BLOB con dati sensibili nell'account di archiviazione con autenticazione da una posizione insolita. Poiché l'accesso è stato autenticato, è possibile che le credenziali che consentono l'accesso a questo account di archiviazione siano state compromesse. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Il livello di accesso di un contenitore BLOB di archiviazione sensibile è stato modificato per consentire l'accesso pubblico non autenticato (anteprima)
Archiviazione. Blob_OpenACL.Sensitive
Descrizione: l'avviso indica che un utente ha modificato il livello di accesso di un contenitore BLOB nell'account di archiviazione, che contiene dati sensibili, al livello "Contenitore", che consente l'accesso pubblico non autenticato (anonimo). La modifica è stata apportata tramite il portale di Azure. La modifica del livello di accesso potrebbe compromettere la sicurezza dei dati. È consigliabile intervenire immediatamente per proteggere i dati e impedire l'accesso non autorizzato nel caso in cui venga attivato questo avviso. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità di rilevamento delle minacce di riservatezza dei dati abilitata.
Tattiche MITRE: Raccolta
Gravità: alta
Accesso esterno sospetto a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)
Archiviazione. Blob_AccountSas.InternalSasUsedExternally
Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. Questo tipo di accesso è considerato sospetto perché il token di firma di accesso condiviso viene in genere usato solo nelle reti interne (da indirizzi IP privati). L'attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o che è stato accidentalmente trapelato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto
Gravità: medio
Operazione esterna sospetta a un account di archiviazione di Azure con token di firma di accesso condiviso eccessivamente permissivo (anteprima)
Archiviazione. Blob_AccountSas.UnusualOperationFromExternalIp
Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso eccessivamente permissivo con una data di scadenza lunga. L'accesso è considerato sospetto perché le operazioni richiamate all'esterno della rete (non da indirizzi IP privati) con questo token di firma di accesso condiviso vengono in genere usate per un set specifico di operazioni di lettura/scrittura/eliminazione, ma si sono verificate altre operazioni che rendono sospetto questo accesso. Questa attività potrebbe indicare che un token di firma di accesso condiviso è stato trapelato da un attore malintenzionato o è stato accidentalmente rilevato da una fonte legittima. Anche se l'accesso è legittimo, l'uso di un token di firma di accesso condiviso con autorizzazione elevata con una data di scadenza lunga va contro le procedure consigliate per la sicurezza e rappresenta un potenziale rischio per la sicurezza. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto
Gravità: medio
Token di firma di accesso condiviso insolito è stato usato per accedere a un account di archiviazione di Azure da un indirizzo IP pubblico (anteprima)
Archiviazione. Blob_AccountSas.UnusualExternalAccess
Descrizione: l'avviso indica che un utente con un indirizzo IP esterno (pubblico) ha eseguito l'accesso all'account di archiviazione usando un token di firma di accesso condiviso dell'account. L'accesso è estremamente insolito e considerato sospetto, poiché l'accesso all'account di archiviazione usando i token di firma di accesso condiviso in genere proviene solo da indirizzi IP interni (privati). È possibile che un token di firma di accesso condiviso sia stato trapelato o generato da un attore malintenzionato dall'interno dell'organizzazione o esternamente per ottenere l'accesso a questo account di archiviazione. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione.
Tattiche MITRE: esfiltrazione/Sviluppo di risorse/Impatto
Gravità: Bassa
File dannoso caricato nell'account di archiviazione
Archiviazione. Blob_AM. MalwareFound
Descrizione: l'avviso indica che un BLOB dannoso è stato caricato in un account di archiviazione. Questo avviso di sicurezza viene generato dalla funzionalità Analisi malware in Defender per Archiviazione. Le possibili cause possono includere un caricamento intenzionale di malware da parte di un attore di minaccia o un caricamento involontario di un file dannoso da parte di un utente legittimo. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.
Tattiche MITRE: Movimento laterale
Gravità: alta
IL BLOB dannoso è stato scaricato da un account di archiviazione (anteprima)
Archiviazione. Blob_MalwareDownload
Descrizione: l'avviso indica che un BLOB dannoso è stato scaricato da un account di archiviazione. Le possibili cause possono includere malware caricato nell'account di archiviazione e non rimosso o messo in quarantena, consentendo così a un attore di minaccia di scaricarlo o a un download involontario del malware da parte di utenti o applicazioni legittimi. Si applica a: Account di archiviazione BLOB di Azure (standard per utilizzo generico v2, Azure Data Lake Archiviazione Gen2 o BLOB in blocchi Premium) con il nuovo piano defender per Archiviazione con la funzionalità analisi malware abilitata.
Tattiche MITRE: Movimento laterale
Gravità: alta, se Eicar - bassa
Avvisi per Azure Cosmos DB
Accesso da un nodo di uscita tor
(CosmosDB_TorAnomaly)
Descrizione: l'accesso a questo account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP noto come nodo di uscita attivo di Tor, un proxy di anonimizzazione. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità.
Tattiche MITRE: Accesso iniziale
Gravità: alta/media
Accesso da un indirizzo IP sospetto
(CosmosDB_SuspiciousIp)
Descrizione: l'accesso all'account Azure Cosmos DB è stato eseguito correttamente da un indirizzo IP identificato come minaccia da Microsoft Threat Intelligence.
Tattiche MITRE: Accesso iniziale
Gravità: medio
Accesso da una posizione insolita
(CosmosDB_GeoAnomaly)
Descrizione: questo account Azure Cosmos DB è stato eseguito dall'accesso da una posizione considerata non familiare, in base al modello di accesso consueto.
Un attore di minaccia ha ottenuto l'accesso all'account o un utente legittimo si è connesso da una posizione geografica nuova o insolita
Tattiche MITRE: Accesso iniziale
Gravità: Bassa
Volume insolito dei dati estratti
(CosmosDB_DataExfiltrationAnomaly)
Descrizione: un volume insolitamente elevato di dati è stato estratto da questo account Azure Cosmos DB. Ciò potrebbe indicare che un attore di minaccia esfiltra i dati.
Tattiche MITRE: esfiltrazione
Gravità: medio
Estrazione delle chiavi degli account Azure Cosmos DB tramite uno script potenzialmente dannoso
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di operazioni di elenco delle chiavi per ottenere le chiavi degli account Azure Cosmos DB nella sottoscrizione. Gli attori delle minacce usano script automatizzati, ad esempio Microburst, per elencare le chiavi e trovare gli account Azure Cosmos DB a cui possono accedere.
Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere gli account Azure Cosmos DB nell'ambiente per finalità dannose.
In alternativa, un insider malintenzionato potrebbe tentare di accedere ai dati sensibili ed eseguire lo spostamento laterale.
Tattiche MITRE: Raccolta
Gravità: medio
Estrazione sospetta delle chiavi dell'account Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Descrizione: un'origine sospetta estratta dalle chiavi di accesso dell'account Azure Cosmos DB dalla sottoscrizione. Se questa origine non è una fonte legittima, potrebbe trattarsi di un problema ad alto impatto. La chiave di accesso estratta fornisce il controllo completo sui database associati e sui dati archiviati all'interno. Per informazioni sul motivo per cui l'origine è stata contrassegnata come sospetta, vedere i dettagli di ogni avviso specifico.
Tattiche MITRE: Accesso alle credenziali
Gravità: alta
SQL injection: potenziale esfiltrazione di dati
(CosmosDB_SqlInjection.DataExfiltration)
Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.
L'istruzione inserita potrebbe avere avuto esito positivo nell'esfiltrazione dei dati a cui l'attore di minaccia non è autorizzato ad accedere.
A causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti sugli account Azure Cosmos DB non possono funzionare. Tuttavia, la variazione usata in questo attacco potrebbe funzionare e gli attori delle minacce possono esfiltrare i dati.
Tattiche MITRE: esfiltrazione
Gravità: medio
SQL injection: tentativo di fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Descrizione: è stata usata un'istruzione SQL sospetta per eseguire query su un contenitore in questo account Azure Cosmos DB.
Analogamente ad altri attacchi SQL injection noti, questo attacco non riuscirà a compromettere l'account Azure Cosmos DB.
Tuttavia, è un'indicazione che un attore di minaccia sta tentando di attaccare le risorse in questo account e l'applicazione potrebbe essere compromessa.
Alcuni attacchi SQL injection possono avere esito positivo e essere usati per esfiltrare i dati. Ciò significa che se l'utente malintenzionato continua a eseguire tentativi di inserimento SQL, potrebbe essere in grado di compromettere l'account Azure Cosmos DB ed esfiltrare i dati.
È possibile evitare questa minaccia usando query con parametri.
Tattiche MITRE: Pre-attacco
Gravità: Bassa
Avvisi per il livello di rete di Azure
Rilevata comunicazione di rete con un computer dannoso
(Network_CommunicationWithC2)
Descrizione: l'analisi del traffico di rete indica che il computer (IP %{vittima IP}) ha comunicato con ciò che è probabilmente un centro di comando e controllo. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) hanno comunicato con un possibile centro di comando e controllo.
Tattiche MITRE: Comando e controllo
Gravità: medio
Rilevato possibile computer compromesso
(Network_ResourceIpIndicatedAsMalicious)
Descrizione: Intelligence per le minacce indica che il computer (all'indirizzo IP %{IP computer}) potrebbe essere stato compromesso da un malware di tipo Conficker. Conficker è worm informatico destinato al sistema operativo Microsoft Windows rilevato per la prima volta nel novembre 2008. Conficker ha infettato milioni di computer governativi, aziendali e domestici in oltre 200 paesi, diventando la più grande infezione da worm informatico dal worm Welchia del 2003.
Tattiche MITRE: Comando e controllo
Gravità: medio
Rilevati possibili tentativi di attacco di forza bruta da %{nome servizio}
(Generic_Incoming_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione in ingresso %{Nome servizio} a %{IP vittima}, associata alla risorsa %{host compromesso} da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{porta vittima}. L'attività è coerente con i tentativi di attacco di forza bruta ai server %{nome servizio}.
Tattiche MITRE: PreAttack
Gravità: informativo
Rilevati possibili tentativi di attacco di forza bruta a SQL in ingresso
(SQL_Incoming_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato la comunicazione SQL in ingresso a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano un'attività sospetta tra %{ora di inizio} e %{ora di fine} sulla porta %{numero di porta} (%{tipo di servizio SQL}). L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL.
Tattiche MITRE: PreAttack
Gravità: medio
Rilevato possibile attacco Denial of Service in uscita
(DDOS)
Descrizione: l'analisi del traffico di rete ha rilevato un'attività in uscita anomale proveniente da %{host compromesso}, una risorsa nella distribuzione. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora impegnata in attacchi Denial of Service contro gli endpoint esterni. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, l'attività sospetta potrebbe indicare che una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione) sono state compromesse. In base al volume delle connessioni, si ritiene che gli IP seguenti possano essere gli obiettivi dell'attacco DOS: %{possibili vittime}. Si noti che è possibile che la comunicazione ad alcuni di questi IP sia legittima.
Tattiche MITRE: Impatto
Gravità: medio
Attività di rete RDP in ingresso sospetta da più origini
(RDP_Incoming_BF_ManyToOne)
Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala a %{IP vittima}, associata alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP da più host (Botnet).
Tattiche MITRE: PreAttack
Gravità: medio
Attività di rete RDP in ingresso sospetta
(RDP_Incoming_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomale a %{IP vittima}, associata alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint RDP
Tattiche MITRE: PreAttack
Gravità: medio
Attività di rete SSH in ingresso sospetta da più origini
(SSH_Incoming_BF_ManyToOne)
Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associate alla risorsa %{host compromesso}, da più origini. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di IP da cui proviene l'attacco} IP univoci che si connettono alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta dell'endpoint SSH da più host (Botnet)
Tattiche MITRE: PreAttack
Gravità: medio
Attività di rete SSH in ingresso sospetta
(SSH_Incoming_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in ingresso anomale a %{IP vittima}, associato alla risorsa %{host compromesso}, da %{IP utente malintenzionato}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in ingresso sospetto è stato inoltrato a una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in ingresso alla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare un tentativo di forza bruta al punto finale SSH
Tattiche MITRE: PreAttack
Gravità: medio
Rilevato traffico in uscita da %{protocollo attaccato} sospetto
(PortScanning)
Descrizione: l'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso} alla porta di destinazione %{Porta più comune}. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Questo comportamento potrebbe indicare che la risorsa partecipa a %{Protocollo attaccato} tentativi di forza bruta o attacchi di sweep delle porte.
Tattiche MITRE: Individuazione
Gravità: medio
Attività di rete RDP in uscita sospetta verso più destinazioni
(RDP_Outgoing_BF_OneToMany)
Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala a più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che il computer si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.
Tattiche MITRE: Individuazione
Gravità: alta
Attività di rete RDP in uscita sospetta
(RDP_Outgoing_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomale a %{IP vittima} proveniente da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che il computer è stato compromesso ed è ora usato per forza bruta di endpoint RDP esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.
Tattiche MITRE: Movimento laterale
Gravità: alta
Attività di rete SSH in uscita sospetta verso più destinazioni
(SSH_Outgoing_BF_OneToMany)
Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale verso più destinazioni provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano che la risorsa si connette a %{numero di IP attaccati} IP univoci. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.
Tattiche MITRE: Individuazione
Gravità: medio
Attività di rete SSH in uscita sospetta
(SSH_Outgoing_BF_OneToOne)
Descrizione: l'analisi del traffico di rete ha rilevato comunicazioni SSH in uscita anomale a %{IP vittima} provenienti da %{host compromesso} (%{IP utente malintenzionato}), una risorsa nella distribuzione. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). In particolare, i dati di rete campionati mostrano %{numero di connessioni} connessioni in uscita dalla risorsa. Tale comportamento è considerato anomalo per questo ambiente. Questa attività potrebbe indicare che la risorsa è stata compromessa ed è ora usata per forza bruta di endpoint SSH esterni. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.
Tattiche MITRE: Movimento laterale
Gravità: medio
Rilevato traffico da indirizzi IP per cui è consigliato il blocco
(Network_TrafficFromUnrecommendedIP)
Descrizione: Microsoft Defender per il cloud rilevato traffico in ingresso da indirizzi IP che è consigliabile bloccare. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud.
Tattiche MITRE: Probing
Gravità: informativo
Avvisi per Azure Key Vault
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccess)
Descrizione: un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò potrebbe indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso da un nodo di uscita TOR a un insieme di credenziali delle chiavi
(KV_TORAccess)
Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da un nodo di uscita TOR noto. Potrebbe indicare che un utente malintenzionato ha eseguito l'accesso all'insieme di credenziali delle chiavi e usa la rete TOR per nascondere la sua posizione di origine. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Volume elevato di operazioni in un insieme di credenziali delle chiavi
(KV_OperationVolumeAnomaly)
Descrizione: un numero anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Modifica dei criteri e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_PutGetAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito un'operazione di modifica dei criteri Put dell'insieme di credenziali anomale seguita da una o più operazioni Get segrete. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha aggiornato i criteri dell'insieme di credenziali delle chiavi per accedere ai segreti precedentemente inaccessibili. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Elenco e query dei segreti sospette in un insieme di credenziali delle chiavi
(KV_ListGetAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito un'operazione di elenco segreti anomale seguita da una o più operazioni Secret Get. Questo modello non viene normalmente eseguito dall'utente o dall'entità servizio specificata ed è in genere associato al dump di segreti. Questa potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minacce ha ottenuto l'accesso all'insieme di credenziali delle chiavi e sta tentando di individuare segreti che possono essere usati per spostarsi in modo successivo attraverso la rete e/o ottenere l'accesso alle risorse sensibili. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato
(KV_AccountVolumeAccessDeniedAnomaly)
Descrizione: un utente o un'entità servizio ha tentato di accedere a un volume anomalo di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Individuazione
Gravità: Bassa
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi
(KV_UserAccessDeniedAnomaly)
Descrizione: un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo potrebbe essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso.
Tattiche MITRE: accesso iniziale, individuazione
Gravità: Bassa
Un'applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_AppAnomaly)
Descrizione: un insieme di credenziali delle chiavi è stato accessibile da un'entità servizio che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Modello di operazione insolito in un insieme di credenziali delle chiavi
(KV_OperationPatternAnomaly)
Descrizione: un modello anomalo di operazioni dell'insieme di credenziali delle chiavi è stato eseguito da un utente, un'entità servizio e/o un insieme di credenziali delle chiavi specifico. Questo modello di attività anomalo potrebbe essere legittimo, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi e ai segreti contenuti al suo interno. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Un utente insolito ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAnomaly)
Descrizione: accesso a un insieme di credenziali delle chiavi da parte di un utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Una coppia utente-applicazione insolita ha avuto accesso a un insieme di credenziali delle chiavi
(KV_UserAppAnomaly)
Descrizione: è stato eseguito l'accesso a un insieme di credenziali delle chiavi da parte di una coppia di entità servizio utente che normalmente non vi accede. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso all'insieme di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Un utente ha avuto accesso a un volume elevato di insiemi di credenziali delle chiavi
(KV_AccountVolumeAnomaly)
Descrizione: un utente o un'entità servizio ha eseguito l'accesso a un volume anomalo di insiemi di credenziali delle chiavi. Questo modello di accesso anomalo potrebbe essere un'attività legittima, ma potrebbe essere un'indicazione che un attore di minaccia ha ottenuto l'accesso a più insiemi di credenziali delle chiavi nel tentativo di accedere ai segreti contenuti all'interno di essi. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccessDenied)
Descrizione: un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: Bassa
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno)
(KV_UnusualAccessSuspiciousIP)
Descrizione: un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Avvisi per Protezione DDoS di Azure
Rilevato attacco DDoS per IP pubblico
(NETWORK_DDOS_DETECTED)
Descrizione: Attacco DDoS rilevato per l'indirizzo IP pubblico (indirizzo IP) e risolto.
Tattiche MITRE: Probing
Gravità: alta
Mitigato attacco DDoS per IP pubblico
(NETWORK_DDOS_MITIGATED)
Descrizione: attacco DDoS mitigato per l'indirizzo IP pubblico (indirizzo IP).
Tattiche MITRE: Probing
Gravità: Bassa
Avvisi per Defender per le API
Picco sospetto a livello di popolamento nel traffico DELL'API verso un endpoint API
(API_PopulationSpikeInAPITraffic)
Descrizione: è stato rilevato un picco sospetto nel traffico dell'API in uno degli endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico api di routine tra tutti gli INDIRIZZI IP e l'endpoint, con la baseline specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.
Tattiche MITRE: Impatto
Gravità: medio
Picco sospetto nel traffico dell'API da un singolo indirizzo IP a un endpoint API
(API_SpikeInAPITraffic)
Descrizione: è stato rilevato un picco sospetto nel traffico dell'API da un IP client all'endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico dell'API di routine verso l'endpoint proveniente da un indirizzo IP specifico all'endpoint. Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.
Tattiche MITRE: Impatto
Gravità: medio
Payload di risposta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
Descrizione: è stato osservato un picco sospetto nelle dimensioni del payload della risposta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta le dimensioni tipiche del payload della risposta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni del payload della risposta API sono state deviate in modo significativo rispetto alla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
Corpo della richiesta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
Descrizione: è stato osservato un picco sospetto nelle dimensioni del corpo della richiesta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta la tipica dimensione del corpo della richiesta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni di una richiesta API sono state deviate in modo significativo rispetto alla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
(Anteprima) Picco sospetto di latenza per il traffico tra un singolo indirizzo IP e un endpoint API
(API_SpikeInLatency)
Descrizione: è stato osservato un picco sospetto di latenza per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta la latenza del traffico api di routine tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché una latenza di chiamata API è stata deviata in modo significativo dalla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
Le richieste API spruzzano da un singolo indirizzo IP a un numero insolitamente elevato di endpoint API distinti
(API_SprayInRequests)
Descrizione: è stato osservato un singolo INDIRIZZO IP che effettua chiamate API a un numero insolitamente elevato di endpoint distinti. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per le API apprende una baseline che rappresenta il numero tipico di endpoint distinti chiamati da un singolo IP in finestre di 20 minuti. L'avviso è stato attivato perché il comportamento di un singolo IP è stato deviato in modo significativo dalla baseline cronologica.
Tattiche MITRE: Individuazione
Gravità: medio
Enumerazione dei parametri in un endpoint API
(API_ParameterEnumeration)
Descrizione: è stato osservato un singolo INDIRIZZO IP che enumera i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati da un singolo IP durante l'accesso a questo endpoint in finestre di 20 minuti. L'avviso è stato attivato perché un singolo IP client ha eseguito di recente l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametri distinti.
Tattiche MITRE: accesso iniziale
Gravità: medio
Enumerazione dei parametri distribuiti in un endpoint API
(API_DistributedParameterEnumeration)
Descrizione: il popolamento utenti aggregato (tutti gli INDIRIZZI IP) è stato osservato enumerando i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati dal popolamento dell'utente (tutti gli INDIRIZZI IP) durante l'accesso a un endpoint in finestre di 20 minuti. L'avviso è stato attivato perché l'utente ha recentemente eseguito l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametro distinti.
Tattiche MITRE: accesso iniziale
Gravità: medio
Valori dei parametri con tipi di dati anomali in una chiamata API
(API_UnseenParamType)
Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API e usa i valori dei parametri di un tipo di dati a bassa probabilità , ad esempio stringa, integer e così via. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende i tipi di dati previsti per ogni parametro API. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un tipo di dati di probabilità precedentemente basso come input di parametro.
Tattiche MITRE: Impatto
Gravità: medio
Parametro precedentemente non visibile usato in una chiamata API
(API_UnseenParam)
Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API usando un parametro precedentemente non visualizzato o fuori limite nella richiesta. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende un set di parametri previsti associati alle chiamate a un endpoint. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un parametro non visualizzato in precedenza.
Tattiche MITRE: Impatto
Gravità: medio
Accesso da un nodo di uscita tor a un endpoint API
(API_AccessFromTorExitNode)
Descrizione: un indirizzo IP dalla rete Tor ha eseguito l'accesso a uno degli endpoint API. Tor è una rete che consente agli utenti di accedere a Internet mantenendo nascosto il proprio IP reale. Anche se esistono usi legittimi, viene spesso usato dagli utenti malintenzionati per nascondere la propria identità quando sono destinati ai sistemi online delle persone.
Tattiche MITRE: Pre-attacco
Gravità: medio
Accesso all'endpoint API da un indirizzo IP sospetto
(API_AccessFromSuspiciousIP)
Descrizione: un indirizzo IP che accede a uno degli endpoint API è stato identificato da Microsoft Threat Intelligence come una probabilità elevata di essere una minaccia. Durante l'osservazione del traffico Internet dannoso, questo IP è venuto come coinvolto nell'attaccare altri obiettivi online.
Tattiche MITRE: Pre-attacco
Gravità: alta
Rilevato agente utente sospetto
(API_AccessFromSuspiciousUserAgent)
Descrizione: l'agente utente di una richiesta che accede a uno degli endpoint API contiene valori anomali indicativi di un tentativo di esecuzione del codice remoto. Ciò non significa che uno degli endpoint API è stato violato, ma suggerisce che è in corso un tentativo di attacco.
Tattiche MITRE: Esecuzione
Gravità: medio
Avvisi per i carichi di lavoro di intelligenza artificiale
Rilevati tentativi di furto di credenziali in una distribuzione del modello di intelligenza artificiale open di Azure
Descrizione: l'avviso di furto delle credenziali è progettato per notificare al SOC quando le credenziali vengono rilevate all'interno delle risposte del modello GenAI a una richiesta dell'utente, che indica una potenziale violazione. Questo avviso è fondamentale per rilevare i casi di perdita o furto delle credenziali, che sono univoci per generare l'intelligenza artificiale e possono avere gravi conseguenze in caso di esito positivo.
Tattiche MITRE: Accesso alle credenziali, Spostamento laterale, Esfiltrazione
Gravità: medio
Un tentativo di jailbreak in una distribuzione del modello di Azure Open AI è stato bloccato da Prompt Shields
Descrizione: l'avviso Jailbreak, eseguito usando una tecnica di inserimento prompt diretto, è progettato per notificare al SOC c'è stato un tentativo di manipolare la richiesta di sistema di ignorare le misure di sicurezza generative dell'IA, potenzialmente accedere a dati sensibili o funzioni privilegiate. Ha indicato che tali tentativi sono stati bloccati da Azure Responsible AI Content Filtering (AKA Prompt Shields), garantendo l'integrità delle risorse di intelligenza artificiale e la sicurezza dei dati.
Tattiche MITRE: Escalation dei privilegi, Evasione della difesa
Gravità: medio
È stato rilevato un tentativo di jailbreak su una distribuzione di un modello di Azure Open AI da parte di Prompt Shields
Descrizione: l'avviso Jailbreak, eseguito usando una tecnica di inserimento prompt diretto, è progettato per notificare al SOC c'è stato un tentativo di manipolare la richiesta di sistema di ignorare le misure di sicurezza generative dell'IA, potenzialmente accedere a dati sensibili o funzioni privilegiate. Ha indicato che tali tentativi sono stati rilevati da Azure Responsible AI Content Filtering (AKA Prompt Shields), ma non sono stati bloccati a causa delle impostazioni di filtro del contenuto o a causa di bassa attendibilità.
Tattiche MITRE: Escalation dei privilegi, Evasione della difesa
Gravità: medio
Esposizione dei dati sensibili rilevata nella distribuzione del modello di intelligenza artificiale aperta di Azure
Descrizione: l'avviso di perdita di dati sensibili è progettato per notificare al SOC che un modello GenAI ha risposto a una richiesta dell'utente con informazioni riservate, potenzialmente a causa di un utente malintenzionato che tenta di ignorare le misure di sicurezza dell'intelligenza artificiale generative per accedere a dati sensibili non autorizzati.
Tattiche MITRE: Raccolta
Gravità: medio
Avvisi di Defender per contenitori deprecati
Gli elenchi seguenti includono gli avvisi di sicurezza di Defender per contenitori deprecati.
Rilevata manipolazione del firewall host
(K8S. NODE_FirewallDisabled)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile manipolazione del firewall sull'host. Spesso gli utenti malintenzionati lo disabilitano per sottrarre dati.
Tattiche MITRE: DefenseEvasion, Esfiltration
Gravità: medio
Uso sospetto di DNS su HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'uso di una chiamata DNS su HTTPS in modo non comune. Questa tecnica viene usata dagli utenti malintenzionati per nascondere le chiamate a siti sospetti o dannosi.
Tattiche MITRE: DefenseEvasion, Esfiltration
Gravità: medio
È stata rilevata una possibile connessione a una posizione dannosa.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una connessione a una posizione segnalata come dannosa o insolita. Si tratta di un indicatore che potrebbe essersi verificato un compromesso.
Tattiche MITRE: InitialAccess
Gravità: medio
Attività di data mining di valuta digitale
(K8S. NODE_CurrencyMining)
Descrizione: analisi delle transazioni DNS rilevate attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Avvisi di Defender per server Linux deprecati
VM_AbnormalDaemonTermination
Nome visualizzato avviso: Terminazione anomala
Gravità: Bassa
VM_BinaryGeneratedFromCommandLine
Nome visualizzato avviso: rilevato binario sospetto
Gravità: medio
VM_CommandlineSuspectDomain sospetto
Nome visualizzato avviso: informazioni di riferimento sul nome di dominio
Gravità: Bassa
VM_CommonBot
Nome visualizzato avviso: comportamento simile ai bot Linux comuni rilevati
Gravità: medio
VM_CompCommonBots
Nome visualizzato avviso: comandi simili ai bot Linux comuni rilevati
Gravità: medio
VM_CompSuspiciousScript
Nome visualizzato avviso: Rilevato script della shell
Gravità: medio
VM_CompTestRule
Nome visualizzato avviso: avviso di test analitico composito
Gravità: Bassa
VM_CronJobAccess
Nome visualizzato avviso: modifica delle attività pianificate rilevate
Gravità: informativo
VM_CryptoCoinMinerArtifacts
Nome visualizzato avviso: processo associato al data mining di valuta digitale rilevato
Gravità: medio
VM_CryptoCoinMinerDownload
Nome visualizzato avviso: è stato rilevato un possibile download di Cryptocoinminer
Gravità: medio
VM_CryptoCoinMinerExecution
Nome visualizzato avviso: Potenziale minatore di moneta crittografica avviato
Gravità: medio
VM_DataEgressArtifacts
Nome visualizzato avviso: rilevata possibile esfiltrazione di dati
Gravità: medio
VM_DigitalCurrencyMining
Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale
Gravità: alta
VM_DownloadAndRunCombo
Nome visualizzato avviso: download sospetto e quindi attività di esecuzione
Gravità: medio
VM_EICAR
Nome visualizzato avviso: Microsoft Defender per il cloud avviso di test (non una minaccia)
Gravità: alta
VM_ExecuteHiddenFile
Nome visualizzato avviso: esecuzione del file nascosto
Gravità: informativo
VM_ExploitAttempt
Nome visualizzato avviso: possibile tentativo di sfruttamento della riga di comando
Gravità: medio
VM_ExposedDocker
Nome visualizzato avviso: daemon Docker esposto nel socket TCP
Gravità: medio
VM_FairwareMalware
Nome visualizzato avviso: comportamento simile al ransomware Fairware rilevato
Gravità: medio
VM_FirewallDisabled
Nome visualizzato avviso: modifica del firewall host rilevato
Gravità: medio
VM_HadoopYarnExploit
Nome visualizzato avviso: possibile sfruttamento di Hadoop Yarn
Gravità: medio
VM_HistoryFileCleared
Nome visualizzato avviso: un file di cronologia è stato cancellato
Gravità: medio
VM_KnownLinuxAttackTool
Nome visualizzato avviso: rilevato possibile strumento di attacco
Gravità: medio
VM_KnownLinuxCredentialAccessTool
Nome visualizzato avviso: rilevato possibile strumento di accesso alle credenziali
Gravità: medio
VM_KnownLinuxDDoSToolkit
Nome visualizzato avviso: indicatori associati al toolkit DDOS rilevato
Gravità: medio
VM_KnownLinuxScreenshotTool
Nome visualizzato avviso: screenshot acquisito nell'host
Gravità: Bassa
VM_LinuxBackdoorArtifact
Nome visualizzato avviso: è stato rilevato un possibile backdoor
Gravità: medio
VM_LinuxReconnaissance
Nome visualizzato avviso: rilevata ricognizione host locale
Gravità: medio
VM_MismatchedScriptFeatures
Nome visualizzato avviso: rilevata mancata corrispondenza dell'estensione script
Gravità: medio
VM_MitreCalderaTools
Nome visualizzato avviso: rilevato agente MITRE Automaticamente
Gravità: medio
VM_NewSingleUserModeStartupScript
Nome visualizzato avviso: tentativo di persistenza rilevato
Gravità: medio
VM_NewSudoerAccount
Nome visualizzato avviso: account aggiunto al gruppo sudo
Gravità: Bassa
VM_OverridingCommonFiles
Nome visualizzato avviso: potenziale override dei file comuni
Gravità: medio
VM_PrivilegedContainerArtifacts
Nome visualizzato avviso: contenitore in esecuzione in modalità con privilegi
Gravità: Bassa
VM_PrivilegedExecutionInContainer
Nome visualizzato avviso: comando all'interno di un contenitore in esecuzione con privilegi elevati
Gravità: Bassa
VM_ReadingHistoryFile
Nome visualizzato avviso: accesso insolito al file di cronologia bash
Gravità: informativo
VM_ReverseShell
Nome visualizzato avviso: rilevata potenziale shell inversa
Gravità: medio
VM_SshKeyAccess
Nome visualizzato avviso: processo visto l'accesso al file di chiavi autorizzate SSH in modo insolito
Gravità: Bassa
VM_SshKeyAddition
Nome visualizzato avviso: nuova chiave SSH aggiunta
Gravità: Bassa
VM_SuspectCompilation
Nome visualizzato avviso: rilevata compilazione sospetta
Gravità: medio
VM_Suspect Connessione ion
Nome visualizzato avviso: rilevato un tentativo di connessione non comune
Gravità: medio
VM_SuspectDownload
Nome visualizzato avviso: download di file rilevati da un'origine dannosa nota
Gravità: medio
VM_SuspectDownloadArtifacts
Nome visualizzato avviso: rilevato download di file sospetti
Gravità: Bassa
VM_SuspectExecutablePath
Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta
Gravità: medio
VM_SuspectHtaccessFileAccess
Nome visualizzato avviso: è stato rilevato l'accesso al file htaccess
Gravità: medio
VM_SuspectInitialShellCommand
Nome visualizzato avviso: primo comando sospetto nella shell
Gravità: Bassa
VM_SuspectMixedCaseText
Nome visualizzato avviso: rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Gravità: medio
VM_SuspectNetwork Connessione
Nome visualizzato avviso: connessione di rete sospetta
Gravità: informativo
VM_SuspectNohup
Nome visualizzato avviso: rilevato uso sospetto del comando nohup
Gravità: medio
VM_SuspectPasswordChange
Nome visualizzato avviso: possibile modifica della password tramite il metodo crypt rilevato
Gravità: medio
VM_SuspectPasswordFileAccess
Nome visualizzato avviso: accesso sospetto alle password
Gravità: informativo
VM_SuspectPhp
Nome visualizzato avviso: rilevata esecuzione PHP sospetta
Gravità: medio
VM_SuspectPortForwarding
Nome visualizzato avviso: potenziale port forwarding all'indirizzo IP esterno
Gravità: medio
VM_SuspectProcessAccountPrivilegeCombo
Nome visualizzato avviso: il processo in esecuzione in un account del servizio è diventato radice in modo imprevisto
Gravità: medio
VM_SuspectProcessTermination
Nome visualizzato avviso: è stata rilevata la terminazione del processo correlata alla sicurezza
Gravità: Bassa
VM_SuspectUserAddition
Nome visualizzato avviso: rilevato uso sospetto del comando useradd
Gravità: medio
VM_SuspiciousCommandLineExecution
Nome visualizzato avviso: esecuzione sospetta dei comandi
Gravità: alta
VM_SuspiciousDNSOverHttps
Nome visualizzato avviso: uso sospetto di DNS su HTTPS
Gravità: medio
VM_SystemLogRemoval
Nome visualizzato avviso: possibile attività di manomissione del log rilevata
Gravità: medio
VM_ThreatIntelCommandLineSuspectDomain
Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa
Gravità: medio
VM_ThreatIntelSuspectLogon
Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso
Gravità: alta
VM_TimerServiceDisabled
Nome visualizzato avviso: tentativo di arrestare il servizio apt-daily-upgrade.timer rilevato
Gravità: informativo
VM_TimestampTampering
Nome visualizzato avviso: modifica del timestamp del file sospetta
Gravità: Bassa
VM_Webshell
Nome visualizzato avviso: rilevata possibile shell Web dannosa
Gravità: medio
Avvisi di Windows di Defender per server deprecati
SCUBA_MULTIPLEACCOUNTCREATE
Nome visualizzato avviso: creazione sospetta di account in più host
Gravità: medio
SCUBA_PSINSIGHT_CONTEXT
Nome visualizzato avviso: rilevato uso sospetto di PowerShell
Gravità: informativo
SCUBA_RULE_AddGuestTo Amministrazione istrator
Nome visualizzato avviso: aggiunta dell'account guest al gruppo local Amministrazione istrators
Gravità: medio
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome visualizzato avviso: Apache_Tomcat_executing_suspicious_commands
Gravità: medio
SCUBA_RULE_KnownBruteForcingTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownCollectionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownExecutionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownPassTheHashTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownSpammingTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: medio
SCUBA_RULE_Lowering_Security_Impostazioni
Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici
Gravità: medio
SCUBA_RULE_OtherKnownHackerTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome visualizzato avviso: livello di integrità sospetto indicativo del hijack RDP
Gravità: medio
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome visualizzato avviso: Sospetto installazione del servizio
Gravità: medio
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome visualizzato avviso: rilevata eliminazione della notifica legale visualizzata agli utenti all'accesso
Gravità: Bassa
SCUBA_RULE_WDigest_Enabling
Nome visualizzato avviso: rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential
Gravità: medio
VM.Windows_ApplockerBypass
Nome visualizzato avviso: potenziale tentativo di ignorare AppLocker rilevato
Gravità: alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome visualizzato avviso: rilevata creazione di file sospetti
Gravità: alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome visualizzato avviso: rilevato eseguibile codificato nei dati della riga di comando
Gravità: alta
VM.Windows_CalcsCommandLineUse
Nome visualizzato avviso: rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema
Gravità: medio
VM.Windows_CommandLineStartingAllExe
Nome visualizzato avviso: rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory
Gravità: medio
VM.Windows_DisablingAndDeletingIISLogFiles
Nome visualizzato avviso: azioni rilevate che indicano la disabilitazione e l'eliminazione di file di log IIS
Gravità: medio
VM.Windows_DownloadUsingCertutil
Nome visualizzato avviso: download sospetto con Certutil rilevato
Gravità: medio
VM.Windows_EchoOverPipeOnLocalhost
Nome visualizzato avviso: comunicazioni named pipe sospette rilevate
Gravità: alta
VM.Windows_EchoToConstructPowerShellScript
Nome visualizzato avviso: costruzione dinamica di script di PowerShell
Gravità: medio
VM.Windows_ExecutableDecodedUsingCertutil
Nome visualizzato avviso: decodifica rilevata di un eseguibile tramite lo strumento di certutil.exe predefinito
Gravità: medio
VM.Windows_FileDeletionIsSospisiousLocation
Nome visualizzato avviso: rilevata eliminazione sospetta di file
Gravità: medio
VM.Windows_KerberosGoldenTicketAttack
Nome visualizzato avviso: parametri di attacco Golden Ticket Kerberos sospetti osservati
Gravità: medio
VM.Windows_KeygenToolKnownProcessName
Nome visualizzato avviso: rilevata possibile esecuzione del processo eseguibile keygen Sospetto eseguito
Gravità: medio
VM.Windows_KnownCredentialAccessTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome visualizzato avviso: rilevato uso sospetto di PowerShell
Gravità: alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome visualizzato avviso: rilevato software ad alto rischio
Gravità: medio
VM.Windows_MsHtaAndPowerShellCombination
Nome visualizzato avviso: rilevata combinazione sospetta di HTA e PowerShell
Gravità: medio
VM.Windows_MultipleAccountsQuery
Nome visualizzato avviso: più account di dominio sottoposti a query
Gravità: medio
VM.Windows_NewAccountCreation
Nome visualizzato avviso: è stata rilevata la creazione dell'account
Gravità: informativo
VM.Windows_ObfuscatedCommandLine
Nome visualizzato avviso: rilevata riga di comando offuscata.
Gravità: alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome visualizzato avviso: rilevato uso sospetto di Pcalua.exe per avviare il codice eseguibile
Gravità: medio
VM.Windows_PetyaRansomware
Nome visualizzato avviso: indicatori ransomware petya rilevati
Gravità: alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome visualizzato avviso: cmdlet di PowerShell sospetti eseguiti
Gravità: medio
VM.Windows_RansomwareIndication
Nome visualizzato avviso: rilevati indicatori ransomware
Gravità: alta
VM.Windows_SqlDumperUsedSuspiciously
Nome visualizzato avviso: è stato rilevato un possibile dump delle credenziali [visto più volte]
Gravità: medio
VM.Windows_StopCriticalServices
Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici
Gravità: medio
VM.Windows_SubvertingAccessibilityBinary
Nome visualizzato avviso: attacco chiavi permanenti ha rilevato la creazione di account sospetti media
VM.Windows_SuspiciousAccountCreation
Nome visualizzato avviso: rilevata creazione di account sospetti
Gravità: medio
VM.Windows_SuspiciousFirewallRuleAdded
Nome visualizzato avviso: rilevata nuova regola del firewall sospetta
Gravità: medio
VM.Windows_SuspiciousFTPSSwitchUsage
Nome visualizzato avviso: rilevato uso sospetto dell'opzione FTP -s
Gravità: medio
VM.Windows_SuspiciousSQLActivity
Nome visualizzato avviso: attività SQL sospetta
Gravità: medio
VM.Windows_SVCHostFromInvalidPath
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
VM.Windows_SystemEventLogCleared
Nome visualizzato avviso: il log di Sicurezza di Windows è stato cancellato
Gravità: informativo
VM.Windows_TelegramInstallation
Nome visualizzato avviso: rilevato un uso potenzialmente sospetto dello strumento Telegram
Gravità: medio
VM.Windows_UndercoverProcess
Nome visualizzato avviso: rilevato processo denominato sospetto
Gravità: alta
VM.Windows_UserAccountControlBypass
Nome visualizzato avviso: è stata rilevata la modifica a una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente
Gravità: medio
VM.Windows_VBScriptEncoding
Nome visualizzato avviso: rilevata esecuzione sospetta del comando VBScript.Encode
Gravità: medio
VM.Windows_WindowPositionRegisteryChange
Nome visualizzato avviso: rilevato valore del Registro di sistema WindowPosition sospetto
Gravità: Bassa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome visualizzato avviso: regola del firewall dannosa creata dall'impianto server ZINCO
Gravità: alta
VM_DigitalCurrencyMining
Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale
Gravità: alta
VM_MaliciousSQLActivity
Nome visualizzato avviso: attività SQL dannosa
Gravità: alta
VM_ProcessWithDoubleExtensionExecution
Nome visualizzato avviso: file di estensione doppia sospetto eseguito
Gravità: alta
VM_RegistryPersistencyKey
Nome visualizzato avviso: rilevato metodo di persistenza del Registro di sistema di Windows
Gravità: Bassa
VM_ShadowCopyDeletion
Nome visualizzato avviso: file eseguibile dell'attività di copia shadow del volume sospetta trovato in esecuzione da una posizione sospetta
Gravità: alta
VM_SuspectExecutablePath
Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Gravità: informativo
Medio
VM_SuspectPhp
Nome visualizzato avviso: rilevata esecuzione PHP sospetta
Gravità: medio
VM_SuspiciousCommandLineExecution
Nome visualizzato avviso: esecuzione sospetta dei comandi
Gravità: alta
VM_SuspiciousScreenSaverExecution
Nome visualizzato avviso: processo di screenaver sospetto eseguito
Gravità: medio
VM_SvcHostRunInRareServiceGroup
Nome visualizzato avviso: gruppo di servizi SVCHOST raro eseguito
Gravità: informativo
VM_SystemProcessInAbnormalContext
Nome visualizzato avviso: processo di sistema sospetto eseguito
Gravità: medio
VM_ThreatIntelCommandLineSuspectDomain
Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa
Gravità: medio
VM_ThreatIntelSuspectLogon
Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso
Gravità: alta
VM_VbScriptHttpObjectAllocation
Nome visualizzato avviso: rilevata allocazione di oggetti HTTP VBScript
Gravità: alta
VM_TaskkillBurst
Nome visualizzato avviso: burst di terminazione del processo sospetto
Gravità: Bassa
VM_RunByPsExec
Nome visualizzato avviso: è stata rilevata l'esecuzione di PsExec
Gravità: informativo
Tattiche di MITRE ATT&CK
Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, Microsoft Defender per il cloud avvisi includono le tattiche MITRE con molti avvisi.
La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".
le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 9 della matrice MITRE ATT&CK e descritte nella tabella seguente.
Tattica | Versione ATT&CK | Descrizione |
---|---|---|
Pre-attacco | PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso. | |
Accesso iniziale | V7, V9 | L'accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via. Gli attori delle minacce saranno spesso in grado di controllare la risorsa dopo questa fase. |
Persistenza | V7, V9 | Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso. |
Escalation dei privilegi | V7, V9 | L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per raggiungere il loro obiettivo possono essere considerati anche un'escalation dei privilegi. |
Evasione della difesa | V7, V9 | L'evasione della difesa è costituita da tecniche che un avversario potrebbe usare per evitare il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione. |
Accesso alle credenziali | V7, V9 | L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate all'interno di un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente. |
Individuazione | V7, V9 | L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e sui vantaggi che operando da tale sistema potrebbero ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione. |
Spostamento laterale | V7, V9 | Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un avversario può usare lo spostamento laterale per molti scopi, tra cui esecuzione remota di strumenti, pivoting a più sistemi, accesso a informazioni o file specifici, accesso a più credenziali o per causare un effetto. |
Esecuzione | V7, V9 | La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata in combinazione con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete. |
Raccolta | V7, V9 | La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare. |
Comando e controllo | V7, V9 | La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione. |
Esfiltrazione | V7, V9 | Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare. |
Impatto | V7, V9 | Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per avere ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via. |
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.