Condividi tramite


Avvisi per Resource Manager

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per Resource Manager da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Nota

Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Nota

Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.

Avvisi di Resource Manager

Nota

Gli avvisi con un'indicazione di accesso delegato vengono attivati a causa dell'attività dei provider di servizi di terze parti. Altre informazioni sulle indicazioni sulle attività dei provider di servizi.

Altri dettagli e note

Operazione di Azure Resource Manager da un indirizzo IP sospetto

(ARM_OperationFromSuspiciousIP)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce.

Tattiche MITRE: Esecuzione

Gravità: medio

Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto

(ARM_OperationFromSuspiciousProxyIP)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni

(ARM_MicroBurst.AzDomainInfo)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: Bassa

Toolkit di sfruttamento microBurst usato per enumerare le risorse nelle sottoscrizioni

(ARM_MicroBurst.AzureDomainInfo)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione di operazioni di raccolta di informazioni per individuare risorse, autorizzazioni e strutture di rete. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per raccogliere informazioni per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: Bassa

Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale

(ARM_MicroBurst.AzVMBulkCMD)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di esecuzione del codice in una macchina virtuale o un elenco di macchine virtuali. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire uno script in una macchina virtuale per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: Esecuzione

Gravità: alta

Toolkit di sfruttamento microBurst usato per eseguire codice nella macchina virtuale

(RM_MicroBurst.AzureRmVMBulkCMD)

Descrizione: il toolkit di sfruttamento di MicroBurst è stato usato per eseguire codice nelle macchine virtuali. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di MicroBurst usato per estrarre le chiavi dagli insiemi di credenziali delle chiavi di Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi da uno o più insiemi di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento microBurst usato per estrarre le chiavi agli account di archiviazione

(ARM_MicroBurst.AZStorageKeysREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione delle chiavi negli account di archiviazione. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare le chiavi e usarle per accedere ai dati sensibili negli account di archiviazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: Raccolta

Gravità: Bassa

Toolkit di sfruttamento di MicroBurst usato per estrarre segreti dagli insiemi di credenziali delle chiavi di Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto di estrazione dei segreti da un insieme di credenziali delle chiavi di Azure. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per elencare i segreti e usarli per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per elevare l'accesso da Azure AD ad Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per elevare l'accesso da AzureAD ad Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nel tenant.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per enumerare le risorse

(ARM_PowerZure.GetAzureTargets)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare le risorse per conto di un account utente legittimo nell'organizzazione. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: Raccolta

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per enumerare contenitori di archiviazione, condivisioni e tabelle

(ARM_PowerZure.ShowStorageContent)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per enumerare condivisioni di archiviazione, tabelle e contenitori. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per eseguire un runbook nella sottoscrizione

(ARM_PowerZure.StartRunbook)

Descrizione: il toolkit di sfruttamento di PowerZure è stato usato per eseguire un runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Toolkit di sfruttamento di PowerZure usato per estrarre il contenuto dei Runbook

(ARM_PowerZure.AzureRunbookContent)

Descrizione: Il toolkit di sfruttamento di PowerZure è stato usato per estrarre il contenuto del runbook. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: Raccolta

Gravità: alta

ANTEPRIMA - Rilevata esecuzione del toolkit Azurite

(ARM_Azurite)

Descrizione: è stata rilevata un'esecuzione nota del toolkit di ricognizione nell'ambiente in uso. Lo strumento Azurite può essere usato da un utente malintenzionato (o tester di penetrazione) per eseguire il mapping delle risorse delle sottoscrizioni e identificare le configurazioni non protette.

Tattiche MITRE: Raccolta

Gravità: alta

ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo

(ARM_SuspiciousComputeCreation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

ANTEPRIMA - Rilevato ripristino sospetto dell'insieme di credenziali delle chiavi

(Arm_Suspicious_Vault_Recovering)

Descrizione: Microsoft Defender per Resource Manager ha rilevato un'operazione di ripristino sospetta per una risorsa dell'insieme di credenziali delle chiavi eliminata temporaneamente. L'utente che recupera la risorsa è diverso dall'utente che l'ha eliminata. Si tratta di un'operazione estremamente sospetta perché l'utente raramente richiama tale operazione. Inoltre, l'utente ha eseguito l'accesso senza autenticazione a più fattori (MFA). Ciò potrebbe indicare che l'utente è compromesso e sta tentando di individuare segreti e chiavi per ottenere l'accesso alle risorse sensibili o per eseguire lo spostamento laterale attraverso la rete.

Tattiche MITRE: Movimento laterale

Gravità: media/alta

ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo

(ARM_UnusedAccountPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.CredentialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: accesso alle credenziali

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Raccolta dati" a rischio elevato rilevata da un'entità servizio

(ARM_AnomalousServiceOperation.Collection)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Raccolta

Gravità: medio

ANTEPRIMA - Chiamata sospetta di un'operazione di "evasione della difesa" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.DefenseEvasion)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Evasione della difesa

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Esecuzione" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Execution)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Esecuzione della difesa

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Impatto" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Impact)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.InitialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: accesso iniziale

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione "Accesso spostamento laterale" a rischio elevato rilevata da un'entità servizio

(ARM_AnomalousServiceOperation.LateralMovement)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Movimento laterale

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di "persistenza" ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.Persistence)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA: chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio da parte di un'entità servizio rilevata

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'entità servizio è compromessa e viene usata con finalità dannose.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

ANTEPRIMA - Rilevata sessione di gestione sospetta con un account inattivo

(ARM_UnusedAccountPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza inutilizzata per un lungo periodo di tempo sta ora eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA - Rilevata sessione di gestione sospetta con PowerShell

(ARM_UnusedAppPowershellPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente PowerShell per gestire l'ambiente di sottoscrizione ora sta usando PowerShell, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

ANTEPRIMA - Sessione di gestione sospetta con portale di Azure rilevata

(ARM_UnusedAppIbizaPersistence)

Descrizione: l'analisi dei log attività della sottoscrizione ha rilevato un comportamento sospetto. Un'entità di sicurezza che non usa regolarmente il portale di Azure (Ibiza) per gestire l'ambiente di sottoscrizione (vale a dire che non ha usato portale di Azure per la gestione negli ultimi 45 giorni o una sottoscrizione che sta gestendo attivamente), sta ora usando il portale di Azure, eseguendo azioni che possono garantire la persistenza per un utente malintenzionato.

Tattiche MITRE: Persistenza

Gravità: medio

Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)

(ARM_PrivilegedRoleDefinitionCreation)

Descrizione: Microsoft Defender per Resource Manager ha rilevato una creazione sospetta della definizione di ruolo personalizzata con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento.

Tattiche MITRE: Escalation dei privilegi, Evasione della difesa

Gravità: informativo

Rilevata assegnazione di ruolo sospetta di Azure (anteprima)

(ARM_AnomalousRBACRoleAssignment)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo di Azure sospetta/eseguita usando PIM (Privileged Identity Management) nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per consentire agli amministratori di concedere agli amministratori l'accesso alle risorse di Azure. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare l'assegnazione di ruolo per inoltrare le autorizzazioni consentendo loro di avanzare l'attacco.

Tattiche MITRE: Movimento laterale, Evasione della difesa

Gravità: Basso (PIM) /Alto

Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.CredentialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Collection)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Raccolta

Gravità: medio

Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.DefenseEvasion)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Execution)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer della sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Esecuzione

Gravità: medio

Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Impact)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Impatto

Gravità: medio

Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.InitialAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Accesso iniziale

Gravità: medio

Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.LateralMovement)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere più risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Movimento laterale

Gravità: medio

Operazione di accesso con privilegi elevati sospetti (anteprima)(ARM_AnomalousElevateAccess)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'operazione sospetta di "Elevare l'accesso". L'attività viene considerata sospetta, in quanto questa entità raramente richiama tali operazioni. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare un'operazione "Elevate Access" per eseguire l'escalation dei privilegi per un utente compromesso.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.Persistence)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Persistenza

Gravità: medio

Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima)

(ARM_AnomalousOperation.PrivilegeEscalation)

Descrizione: Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose.

Tattiche MITRE: Escalation dei privilegi

Gravità: medio

Utilizzo del toolkit di sfruttamento MicroBurst per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account

(ARM_MicroBurst.RunCodeOnBehalf)

Descrizione: uno script di PowerShell è stato eseguito nella sottoscrizione ed è stato eseguito un modello sospetto per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account. Gli attori delle minacce usano script automatizzati, ad esempio MicroBurst, per eseguire codice arbitrario per attività dannose. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore di minaccia sta tentando di compromettere l'ambiente per finalità dannose.

Tattiche MITRE: persistenza, accesso alle credenziali

Gravità: alta

Uso delle tecniche NetSPI per mantenere la persistenza nell'ambiente Azure

(ARM_NetSPI.MaintainPersistence)

Descrizione: uso della tecnica di persistenza NetSPI per creare un backdoor webhook e mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Utilizzo del toolkit di sfruttamento di PowerZure per eseguire un codice arbitrario o esfiltrare Automazione di Azure credenziali dell'account

(ARM_PowerZure.RunCodeOnBehalf)

Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato il tentativo di eseguire codice o esfiltrare Automazione di Azure credenziali dell'account. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Utilizzo della funzione PowerZure per mantenere la persistenza nell'ambiente Azure

(ARM_PowerZure.MaintainPersistence)

Descrizione: il toolkit di sfruttamento di PowerZure ha rilevato la creazione di un backdoor webhook per mantenere la persistenza nell'ambiente Azure. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione.

Tattiche MITRE: -

Gravità: alta

Rilevata assegnazione di ruolo classica sospetta (anteprima)

(ARM_AnomalousClassicRoleAssignment)

Descrizione: Microsoft Defender per Resource Manager ha identificato un'assegnazione di ruolo classica sospetta nel tenant, che potrebbe indicare che un account nell'organizzazione è stato compromesso. Le operazioni identificate sono progettate per garantire la compatibilità con le versioni precedenti con i ruoli classici che non vengono più usati comunemente. Anche se questa attività potrebbe essere legittima, un attore di minaccia potrebbe usare tale assegnazione per concedere autorizzazioni a un altro account utente sotto il proprio controllo.

Tattiche MITRE: Movimento laterale, Evasione della difesa

Gravità: alta

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi