Avvisi per computer Windows

Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per i computer Windows in Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.

Informazioni su come rispondere a questi avvisi.

Informazioni su come esportare gli avvisi.

Avvisi dei computer Windows

Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Windows sono:

Altri dettagli e note

È stato rilevato un accesso da un indirizzo IP dannoso. [visto più volte]

Descrizione: un'autenticazione remota corretta per l'account [account] e il processo [processo] si è verificato, tuttavia l'indirizzo IP di accesso (x.x.x.x.x) in precedenza è stato segnalato come dannoso o estremamente insolito. Probabilmente l'attacco è riuscito. I file con estensione scr sono file di screen saver e in genere si trovano e vengono eseguiti dalla directory di sistema di Windows.

Tattiche MITRE: -

Gravità: alta

Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato

VM_AdaptiveApplicationControlWindowsViolationAudited

Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.

Tattiche MITRE: Esecuzione

Gravità: informativo

Aggiunta dell'account Guest al gruppo Administrators locale

Descrizione: l'analisi dei dati dell'host ha rilevato l'aggiunta dell'account guest predefinito al gruppo Administrators locale in %{host compromesso}, fortemente associato all'attività dell'utente malintenzionato.

Tattiche MITRE: -

Gravità: medio

Un registro eventi è stato cancellato

Descrizione: i log del computer indicano un'operazione di cancellazione sospetta del registro eventi da parte dell'utente: '%{nome utente}' nel computer: '%{CompromisedEntity}'. Il log %{canale log} è stato cancellato.

Tattiche MITRE: -

Gravità: informativo

Azione antimalware non riuscita

Descrizione: Microsoft Antimalware ha rilevato un errore durante l'esecuzione di un'azione su malware o altro software potenzialmente indesiderato.

Tattiche MITRE: -

Gravità: medio

Azione antimalware intrapresa

Descrizione: Microsoft Antimalware per Azure ha eseguito un'azione per proteggere questo computer da malware o da altri software potenzialmente indesiderati.

Tattiche MITRE: -

Gravità: medio

Esclusione di file generali antimalware nella macchina virtuale

(VM_AmBroadFilesExclusion)

Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: medio

Antimalware disabilitato ed esecuzione del codice nella macchina virtuale

(VM_AmDisablementAndCodeExecution)

Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Antimalware disabilitato nella macchina virtuale

(VM_AmDisablement)

Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale

(VM_AmFileExclusionAndCodeExecution)

Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (temporanea)

(VM_AmTempFileExclusionAndCodeExecution)

Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Esclusione di file antimalware nella macchina virtuale

(VM_AmTempFileExclusion)

Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale

(VM_AmRealtimeProtectionDisabled)

Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale

(VM_AmTempRealtimeProtectionDisablement)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: -

Gravità: alta

Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)

(VM_AmMalwareCampaignRelatedExclusion)

Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Antimalware temporaneamente disabilitato nella macchina virtuale

(VM_AmTemporarilyDisablement)

Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.

Tattiche MITRE: -

Gravità: medio

Esclusione insolita di file antimalware nella macchina virtuale

(VM_UnusualAmFileExclusion)

Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.

Tattiche MITRE: Evasione della difesa

Gravità: medio

Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce

(AzureDNS_ThreatIntelSuspectDomain)

Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.

Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento

Gravità: medio

Rilevate azioni che indicano la disabilitazione e l'eliminazione dei file di log IIS

Descrizione: analisi delle azioni rilevate dei dati host che mostrano la disabilitazione e/o l'eliminazione dei file di log IIS.

Tattiche MITRE: -

Gravità: medio

Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che è stata modificata una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente (Controllo account utente). Questo tipo di configurazione, benché probabilmente non dannoso, è anche tipico dell'attività di un utente malintenzionato che tenta di passare da un accesso senza privilegi (utente standard) a uno con privilegi (ad esempio amministratore) in un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata decodifica di un file eseguibile con lo strumento certutil.exe predefinito

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.

Tattiche MITRE: -

Gravità: alta

Rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential

Descrizione: l'analisi dei dati host ha rilevato una modifica nella chiave del Registro di sistema HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". In particolare, questa chiave è stata aggiornata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA. Una volta abilitato, un utente malintenzionato può eseguire il dump delle password di testo non crittografate dalla memoria LSA con strumenti di raccolta delle credenziali come Mimikatz.

Tattiche MITRE: -

Gravità: medio

Rilevato file eseguibile codificato nei dati della riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevata riga di comando offuscata

Descrizione: gli utenti malintenzionati usano tecniche di offuscamento sempre più complesse per eludere i rilevamenti eseguiti sui dati sottostanti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato la presenza di indicatori sospetti di offuscamento nella riga di comando.

Tattiche MITRE: -

Gravità: informativo

Rilevata possibile esecuzione del file eseguibile keygen

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo il cui nome è indicativo di uno strumento keygen. Tali strumenti vengono in genere usati per sconfiggere i meccanismi di licenza software, ma il loro download è spesso in bundle con altri software dannosi. Il gruppo di attività GOLD è noto per l'uso di tali keygen per ottenere di nascosto un accesso di tipo "backdoor" agli host compromessi.

Tattiche MITRE: -

Gravità: medio

Rilevata possibile esecuzione di dropper di malware

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un nome file associato in precedenza a uno dei metodi gold del gruppo di attività per l'installazione di malware in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevata possibile attività di ricognizione locale

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire l'attività di ricognizione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione come in questo caso.

Tattiche MITRE: -

Gravità: Bassa

Rilevato uso potenzialmente sospetto dello strumento Telegram

Descrizione: l'analisi dei dati dell'host mostra l'installazione di Telegram, un servizio di messaggistica istantanea gratuito basato sul cloud esistente sia per il sistema mobile che per il sistema desktop. Gli utenti malintenzionati possono usare questo servizio in modo improprio per trasferire file binari dannosi a qualsiasi altro computer, telefono o tablet.

Tattiche MITRE: -

Gravità: medio

Rilevata eliminazione delle note legali visualizzate dagli utenti all'accesso

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato modifiche alla chiave del Registro di sistema che controlla se un avviso legale viene visualizzato agli utenti quando accedono. L'analisi della sicurezza da parte di Microsoft ha determinato che si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host.

Tattiche MITRE: -

Gravità: Bassa

Rilevata combinazione sospetta di HTA e PowerShell

Descrizione: mshta.exe (Host applicazione HTML Microsoft) che è un file binario Microsoft firmato viene usato dagli utenti malintenzionati per avviare comandi di PowerShell dannosi. Gli utenti malintenzionati fanno spesso ricorso a un file HTA con VBScript inline. Quando una vittima passa al file HTA e sceglie di eseguirlo, vengono eseguiti i comandi e gli script di PowerShell in esso contenuti. L'analisi dei dati dell'host in %{host compromesso} ha rilevato che il file mshta.exe sta avviando comandi di PowerShell.

Tattiche MITRE: -

Gravità: medio

Rilevati argomenti della riga di comando sospetti

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato argomenti sospetti della riga di comando usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN.

Tattiche MITRE: -

Gravità: alta

Rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory

Descrizione: l'analisi dei dati host ha rilevato un processo sospetto in esecuzione in %{host compromesso}. La riga di comando indica un tentativo di avviare tutti i file eseguibili (*.exe) che potrebbero risiedere in una directory. Potrebbe indicare un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevate credenziali sospette nella riga di comando

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una password sospetta usata per eseguire un file dal gruppo di attività BORON. Questo gruppo di attività è noto per l'uso di questa password per l'esecuzione di malware Pirpi in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevate credenziali di documento sospette

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un hash di password precompiuto comune usato da malware per eseguire un file. Il gruppo di attività HYDROGEN è noto per l'uso di questa password per l'esecuzione di malware in un host vittima.

Tattiche MITRE: -

Gravità: alta

Rilevata esecuzione sospetta del comando VBScript.Encode

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando VBScript.Encode. Il comando codifica gli script in testo illeggibile, rendendo più difficile per gli utenti esaminare il codice. La ricerca sulle minacce da parte di Microsoft mostra che gli utenti malintenzionati spesso usano file VBscript codificati come parte dell'attacco per eludere i sistemi di rilevamento. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevata esecuzione sospetta tramite rundll32.exe

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato rundll32.exe in uso per eseguire un processo con un nome non comune, coerente con lo schema di denominazione del processo usato in precedenza dal gruppo di attività GOLD durante l'installazione del primo impianto in un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevati comandi sospetti di pulizia file

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una combinazione di comandi systeminfo associati in precedenza a uno dei metodi GOLD del gruppo di attività per eseguire attività di auto-pulizia post-compromissione. Anche se 'systeminfo.exe' è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso.

Tattiche MITRE: -

Gravità: alta

Rilevata creazione di file sospetta

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'esecuzione di un processo che ha indicato in precedenza un'azione post-compromissione eseguita su un host vittima dal gruppo di attività BARIUM. Questo gruppo di attività è stato noto per usare questa tecnica per scaricare più malware in un host compromesso dopo l'apertura di un allegato in un documento di phishing.

Tattiche MITRE: -

Gravità: alta

Rilevate comunicazioni della named pipe sospette

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che i dati vengono scritti in una named pipe locale da un comando della console di Windows. È noto che le named pipe sono un canale usato dagli utenti malintenzionati per comunicare con un impianto dannoso e gestirlo. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevata attività di rete sospetta

Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.

Tattiche MITRE: -

Gravità: Bassa

Rilevata nuova regola del firewall sospetta

Descrizione: l'analisi dei dati host ha rilevato che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un eseguibile in una posizione sospetta.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema

Descrizione: gli utenti malintenzionati usano una miriade di modi come forza bruta, spear phishing e così via per ottenere un compromesso iniziale e ottenere un piede sulla rete. Una volta ottenuta la compromissione iniziale, vengono spesso adottate procedure per ridurre le impostazioni di sicurezza di un sistema. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility spesso usato per modificare l'autorizzazione di sicurezza per cartelle e file. In diverse occasioni i file binari vengono usati dagli utenti malintenzionati per ridurre le impostazioni di sicurezza di un sistema. Questa operazione viene eseguita concedendo a Tutti l'accesso completo ad alcuni file binari di sistema, ad esempio ftp.exe, net.exe, wscript.exe e così via. L'analisi dei dati dell'host in %{host compromesso} ha rilevato un uso sospetto di Cacls per ridurre la sicurezza di un sistema.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto dell'opzione -s dell'FTP

Descrizione: l'analisi dei dati di creazione del processo dall'host %{compromesso} ha rilevato l'uso dell'opzione FTP "-s:filename". Questa opzione consente di specificare un file di script FTP per l'esecuzione del client. I processi dannosi o malware sono noti per usare questo commutatore FTP (-s:filename) per puntare a un file di script, configurato per connettersi a un server FTP remoto e scaricare altri file binari dannosi.

Tattiche MITRE: -

Gravità: medio

Rilevato uso sospetto di Pcalua.exe per l'avvio del codice eseguibile

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di pcalua.exe per avviare il codice eseguibile. Pcalua.exe è componente di Microsoft Windows "Program Compatibility Assistant", che rileva problemi di compatibilità durante l'installazione o l'esecuzione di un programma. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di sistema di Windows legittimi per eseguire azioni dannose, ad esempio l'uso di pcalua.exe con l'opzione-a per avviare file eseguibili dannosi localmente o da condivisioni remote.

Tattiche MITRE: -

Gravità: medio

Rilevata disabilitazione di servizi critici

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione del comando "net.exe stop" usato per arrestare i servizi critici, ad esempio SharedAccess o l'app Sicurezza di Windows. L'arresto di uno di questi servizi può indicare un comportamento dannoso.

Tattiche MITRE: -

Gravità: medio

Rilevato comportamento correlato al mining della valuta digitale

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.

Tattiche MITRE: -

Gravità: alta

Costruzione di script di PowerShell dinamica

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato uno script di PowerShell costruito in modo dinamico. A volte gli utenti malintenzionati usano questo approccio di compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso.

Tattiche MITRE: -

Gravità: medio

Rilevato eseguibile in esecuzione da un percorso sospetto

Descrizione: l'analisi dei dati host ha rilevato un file eseguibile in %{host compromesso} in esecuzione da un percorso in comune con file sospetti noti. Questo eseguibile potrebbe essere un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Rilevato comportamento di attacco senza file

(VM_FilelessAttackBehavior.Windows)

Descrizione: la memoria del processo specificato contiene comportamenti comunemente usati dagli attacchi fileless. I comportamenti specifici includono:

1. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
2. Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
3. Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
4. Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.

Tattiche MITRE: Evasione della difesa

Gravità: Bassa

Rilevata tecnica di attacco senza file

(VM_FilelessAttackTechnique.Windows)

Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono:

1. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
2. Immagine eseguibile inserita nel processo, ad esempio in un attacco di inserimento del codice.
3. Connessioni di rete attive. Per informazioni dettagliate, vedere Connessioni di rete di seguito.
4. Chiamate di funzione alle interfacce del sistema operativo sensibili alla sicurezza. Vedere Capacità di seguito per le funzionalità del sistema operativo a cui si fa riferimento.
5. Processo vuoto, che è una tecnica usata dal malware in cui un processo legittimo viene caricato nel sistema per agire come contenitore per il codice ostile.
6. Contiene un thread avviato in un segmento di codice allocato in modo dinamico. Si tratta di un modello comune per gli attacchi di tipo process injection.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Rilevato toolkit di attacco senza file

(VM_FilelessAttackToolkit.Windows)

Descrizione: la memoria del processo specificato contiene un toolkit di attacco senza file: [nome toolkit]. I toolkit di attacco senza file usano tecniche che riducono al minimo o eliminano le tracce di malware sul disco e riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi del malware basate su disco. I comportamenti specifici includono:

1. Toolkit noti e software di crypto mining.
2. Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software
3. Inserito eseguibile dannoso nella memoria del processo.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: medio

Rilevato software a rischio elevato

Descrizione: l'analisi dei dati dell'host da %{host compromesso} ha rilevato l'utilizzo del software associato all'installazione di malware in passato. Una tecnica comune usata nella distribuzione di software dannoso consiste nell'inserirlo all'interno di strumenti altrimenti innocui come quello visualizzato in questo avviso. Quando si usano questi strumenti, il malware può essere installato automaticamente in background.

Tattiche MITRE: -

Gravità: medio

Sono stati enumerati i membri del gruppo Administrators locale

Descrizione: i log del computer indicano un'enumerazione corretta nel gruppo %{Nome dominio gruppo enumerato}%{Nome gruppo enumerato}. In particolare, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerato i membri del gruppo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Questa attività può essere legittima o indicare che un computer nell'organizzazione è stato compromesso e usato per la ricognizione di %{vmname}.

Tattiche MITRE: -

Gravità: informativo

Regola del firewall dannosa creata dall'impianto del server ZINC [visto più volte]

Descrizione: è stata creata una regola del firewall usando tecniche che corrispondono a un attore noto, ZINCO. È possibile che la regola sia stata usata per aprire una porta in %{host compromesso} per consentire le comunicazioni di comando e controllo. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: alta

Attività SQL dannosa

Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività è considerata dannosa.

Tattiche MITRE: -

Gravità: alta

Tentativi ripetuti di query sugli account di dominio

Descrizione: l'analisi dei dati host ha determinato che un numero insolito di account di dominio distinti viene sottoposto a query entro un breve periodo di tempo da %{host compromesso}. Questo tipo di attività potrebbe essere legittima, ma può anche indicare una compromissione.

Tattiche MITRE: -

Gravità: medio

Rilevato possibile dump delle credenziali [visto più volte]

Descrizione: l'analisi dei dati host ha rilevato l'uso dello strumento di windows nativo (ad esempio, sqldumper.exe) usato in modo da consentire l'estrazione delle credenziali dalla memoria. Gli utenti malintenzionati usano spesso queste tecniche per estrarre credenziali che verranno usate in futuro per lo spostamento laterale e l'escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato potenziale tentativo di ignorare AppLocker

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un potenziale tentativo di ignorare le restrizioni di AppLocker. AppLocker può essere configurato per implementare un criterio che limita i file eseguibili che possono essere eseguiti in un sistema Windows. Il modello da riga di comando simile a quello identificato in questo avviso è stato precedentemente associato a tentativi di utenti malintenzionati di eludere i criteri di AppLocker usando file eseguibili attendibili (consentiti dal criterio di AppLocker) per eseguire codice non attendibile. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: -

Gravità: alta

Esecuzione di un gruppo di servizi SVCHOST raro

(VM_SvcHostRunInRareServiceGroup)

Descrizione: il processo di sistema SVCHOST è stato osservato eseguendo un gruppo di servizi raro. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: informativo

Rilevato attacco basato su tasti permanenti

Descrizione: l'analisi dei dati dell'host indica che un utente malintenzionato potrebbe invertire un file binario di accessibilità (ad esempio tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso backdoor all'host %{host compromesso}.

Tattiche MITRE: -

Gravità: medio

Attacco di forza bruta riuscito

(VM_LoginBruteForceSuccess)

Descrizione: sono stati rilevati diversi tentativi di accesso dalla stessa origine. In alcuni casi è stata completata correttamente l'autenticazione con l'host. Sembra un attacco di tipo burst, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione per trovare credenziali di account validi.

Tattiche MITRE: Sfruttamento

Gravità: media/alta

Livello di integrità sospetto indicativo di hijack RDP

Descrizione: l'analisi dei dati dell'host ha rilevato l'tscon.exe in esecuzione con privilegi SYSTEM. Ciò può essere indicativo di un utente malintenzionato che abusa di questo file binario per passare il contesto a qualsiasi altro utente connesso in questo host. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi in un secondo momento in una rete.

Tattiche MITRE: -

Gravità: medio

Installazione di un servizio sospetta

Descrizione: l'analisi dei dati dell'host ha rilevato l'installazione di tscon.exe come servizio: questo file binario avviato come servizio consente a un utente malintenzionato di passare facilmente a qualsiasi altro utente connesso in questo host eseguendo il dirottamento delle connessioni RDP. Si tratta di una tecnica di attacco nota per compromettere più account utente e spostarsi successivamente in una rete.

Tattiche MITRE: -

Gravità: medio

Osservati sospetti parametri di attacco con Golden Ticket Kerberos

Descrizione: l'analisi dei dati host ha rilevato parametri della riga di comando coerenti con un attacco Kerberos Golden Ticket.

Tattiche MITRE: -

Gravità: medio

Rilevata creazione sospetta di account

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.

Tattiche MITRE: -

Gravità: medio

Rilevata attività sospetta

(VM_SuspiciousActivity)

Descrizione: l'analisi dei dati dell'host ha rilevato una sequenza di uno o più processi in esecuzione in %{nome computer} che storicamente sono stati associati a attività dannose. Anche se i singoli comandi potrebbero apparire non dannosi, l'avviso viene segnato in base a un'aggregazione di questi comandi. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso.

Tattiche MITRE: Esecuzione

Gravità: medio

Attività di autenticazione sospetta

(VM_LoginBruteForceValidUserFailed)

Descrizione: anche se nessuno di essi è riuscito, alcuni account usati sono stati riconosciuti dall'host. È simile a un attacco con dizionario, in cui un utente malintenzionato esegue numerosi tentativi di autenticazione usando un dizionario di nomi di account e password predefiniti per trovare credenziali valide per accedere all'host. Ciò indica che alcuni dei nomi di account host potrebbero essere presenti in un dizionario di nomi di account noti.

Tattiche MITRE: Probing

Gravità: medio

Rilevato segmento di codice sospetto

Descrizione: indica che un segmento di codice è stato allocato usando metodi non standard, ad esempio l'inserimento riflettente e l'inserimento di processi vuoti. L'avviso fornisce più caratteristiche del segmento di codice elaborato per fornire il contesto per le funzionalità e i comportamenti del segmento di codice segnalato.

Tattiche MITRE: -

Gravità: medio

Esecuzione sospetta di un file a doppia estensione

Descrizione: l'analisi dei dati host indica un'esecuzione di un processo con un'estensione doppia sospetta. Questa estensione potrebbe indurre gli utenti a pensare che i file siano sicuri da aprire e potrebbero indicare la presenza di malware nel sistema.

Tattiche MITRE: -

Gravità: alta

Rilevato download sospetto con Certutil [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato download sospetto con Certutil

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.

Tattiche MITRE: -

Gravità: medio

Rilevata attività PowerShell sospetta

Descrizione: l'analisi dei dati host ha rilevato uno script di PowerShell in esecuzione in %{host compromesso} con funzionalità in comune con script sospetti noti. Questo script potrebbe indicare un'attività legittima o un host compromesso.

Tattiche MITRE: -

Gravità: alta

Esecuzione di cmdlet di PowerShell sospetti

Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti.

Tattiche MITRE: -

Gravità: medio

Esecuzione di un processo sospetto [visto più volte]

Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: alta

Esecuzione di processo sospetto

Descrizione: i log del computer indicano che il processo sospetto: '%{Processo sospetto}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato.

Tattiche MITRE: -

Gravità: alta

Rilevato nome di un processo sospetto [visto più volte]

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]

Tattiche MITRE: -

Gravità: medio

Rilevato nome di processo sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia indicativo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso.

Tattiche MITRE: -

Gravità: medio

Attività SQL sospetta

Descrizione: i log del computer indicano che '%{nome processo}' è stato eseguito dall'account: %{nome utente}. Questa attività non è comune per questo account.

Tattiche MITRE: -

Gravità: medio

Esecuzione di un processo SVCHOST sospetto

Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare l'attività dannosa.

Tattiche MITRE: -

Gravità: alta

Esecuzione di un processo di sistema sospetto

(VM_SystemProcessInAbnormalContext)

Descrizione: il processo di sistema %{nome processo} è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso questo nome di processo per mascherare l'attività dannosa.

Tattiche MITRE: Evasione della difesa, esecuzione

Gravità: alta

Attività di Copia Shadow del volume sospetta

Descrizione: l'analisi dei dati host ha rilevato un'attività di eliminazione della copia shadow nella risorsa. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati. Alcuni malware e in particolare il ransomware prendono di mira Copia Shadow del volume per sabotare le strategie di backup.

Tattiche MITRE: -

Gravità: alta

Rilevato valore del Registro di sistema WindowPosition sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un tentativo di modifica della configurazione del Registro di sistema WindowPosition che potrebbe essere indicativo di nascondere le finestre dell'applicazione in sezioni non visibili del desktop. Questa attività può essere legittima o indicare un computer compromesso: questo tipo di attività è stato precedentemente associato a un adware noto (o a software indesiderato) come Win32/OneSystemCare e Win32/SystemHealer e a malware, come Win32/Creprote. Quando il valore WindowPosition è impostato su 201329664, (Hex: 0x0c00 0c00, corrispondente a X-axis=0c00 e Y-axis=0c00) posiziona la finestra dell'app console in una sezione non visibile della schermata dell'utente in un'area nascosta dalla visualizzazione sotto il menu Start visibile/barra delle applicazioni. Il valore hex sospetto noto include, ma non solo c000c0000.

Tattiche MITRE: -

Gravità: Bassa

Rilevato processo con nome sospetto

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un processo il cui nome è molto simile ma diverso da un processo di esecuzione molto comune (%{Simile al nome del processo}). Benché questo processo possa essere non dannoso, a volte gli utenti malintenzionati tentano di passare inosservati denominando gli strumenti dannosi con nomi di processi che sembrano legittimi.

Tattiche MITRE: -

Gravità: medio

Reimpostazione insolita della configurazione nella macchina virtuale

(VM_VMAccessUnusualConfigReset)

Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Rilevata esecuzione di processo insolito

Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo da %{Nome utente} insolito. Gli account come %{Nome utente} tendono a eseguire un set limitato di operazioni, questa esecuzione è stata determinata come fuori carattere e potrebbe essere sospetta.

Tattiche MITRE: -

Gravità: alta

Reimpostazione insolita della password utente nella macchina virtuale

(VM_VMAccessUnusualPasswordReset)

Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Reimpostazione insolita della chiave SSH utente nella macchina virtuale

(VM_VMAccessUnusualSSHReset)

Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.

Tattiche MITRE: Accesso alle credenziali

Gravità: medio

Rilevata allocazione di un oggetto HTTP VBScript

Descrizione: è stata rilevata la creazione di un file VBScript tramite il prompt dei comandi. Lo script seguente contiene un comando di allocazione di oggetti HTTP. Questa azione può essere usata per scaricare file dannosi.

Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)

(VM_GPUDriverExtensionUnusualExecution)

Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.

Tattiche MITRE: Impatto

Gravità: Bassa

Rilevata chiamata allo strumento AzureHound

(ARM_AzureHound)

Descrizione: AzureHound è stato eseguito nella sottoscrizione ed eseguito operazioni di raccolta delle informazioni per enumerare le risorse. Gli attori delle minacce usano strumenti automatizzati, ad esempio AzureHound, per enumerare le risorse e usarle per accedere ai dati sensibili o per eseguire lo spostamento laterale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Questa operazione potrebbe indicare che un'identità nell'organizzazione è stata violata e che l'attore della minaccia sta tentando di compromettere l'ambiente.

Tattiche MITRE: Individuazione

Gravità: medio

Nota

Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Passaggi successivi

• Avvisi di sicurezza in Microsoft Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
• Esportazione continua dei dati di Defender per il cloud