Avvisi di sicurezza deprecati
Questo articolo elenca gli avvisi di sicurezza deprecati in Microsoft Defender per il cloud.
Avvisi di Defender per contenitori deprecati
Gli elenchi seguenti includono gli avvisi di sicurezza di Defender per contenitori deprecati.
Rilevata manipolazione del firewall host
(K8S. NODE_FirewallDisabled)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una possibile manipolazione del firewall sull'host. Spesso gli utenti malintenzionati lo disabilitano per sottrarre dati.
Tattiche MITRE: DefenseEvasion, Esfiltration
Gravità: medio
Uso sospetto di DNS su HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato l'uso di una chiamata DNS su HTTPS in modo non comune. Questa tecnica viene usata dagli utenti malintenzionati per nascondere le chiamate a siti sospetti o dannosi.
Tattiche MITRE: DefenseEvasion, Esfiltration
Gravità: medio
È stata rilevata una possibile connessione a una posizione dannosa
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Descrizione: l'analisi dei processi in esecuzione all'interno di un contenitore o direttamente in un nodo Kubernetes ha rilevato una connessione a una posizione segnalata come dannosa o insolita. Si tratta di un indicatore che potrebbe essersi verificato un compromesso.
Tattiche MITRE: InitialAccess
Gravità: medio
Attività di data mining di valuta digitale
(K8S. NODE_CurrencyMining)
Descrizione: analisi delle transazioni DNS rilevate attività di data mining di valuta digitale. Tale attività, anche se possibilmente legittimo, viene spesso eseguita da utenti malintenzionati che seguono la compromissione delle risorse. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di strumenti di mining comuni.
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Avvisi di Defender per server Linux deprecati
VM_AbnormalDaemonTermination
Nome visualizzato avviso: Terminazione anomala
Gravità: Bassa
VM_BinaryGeneratedFromCommandLine
Nome visualizzato avviso: rilevato binario sospetto
Gravità: medio
VM_CommandlineSuspectDomain sospetto
Nome visualizzato avviso: informazioni di riferimento sul nome di dominio
Gravità: Bassa
VM_CommonBot
Nome visualizzato avviso: comportamento simile ai bot Linux comuni rilevati
Gravità: medio
VM_CompCommonBots
Nome visualizzato avviso: comandi simili ai bot Linux comuni rilevati
Gravità: medio
VM_CompSuspiciousScript
Nome visualizzato avviso: Rilevato script della shell
Gravità: medio
VM_CompTestRule
Nome visualizzato avviso: avviso di test analitico composito
Gravità: Bassa
VM_CronJobAccess
Nome visualizzato avviso: modifica delle attività pianificate rilevate
Gravità: informativo
VM_CryptoCoinMinerArtifacts
Nome visualizzato avviso: processo associato al data mining di valuta digitale rilevato
Gravità: medio
VM_CryptoCoinMinerDownload
Nome visualizzato avviso: è stato rilevato un possibile download di Cryptocoinminer
Gravità: medio
VM_CryptoCoinMinerExecution
Nome visualizzato avviso: Potenziale minatore di moneta crittografica avviato
Gravità: medio
VM_DataEgressArtifacts
Nome visualizzato avviso: rilevata possibile esfiltrazione di dati
Gravità: medio
VM_DigitalCurrencyMining
Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale
Gravità: alta
VM_DownloadAndRunCombo
Nome visualizzato avviso: download sospetto e quindi attività di esecuzione
Gravità: medio
VM_EICAR
Nome visualizzato avviso: Microsoft Defender per il cloud avviso di test (non una minaccia)
Gravità: alta
VM_ExecuteHiddenFile
Nome visualizzato avviso: esecuzione del file nascosto
Gravità: informativo
VM_ExploitAttempt
Nome visualizzato avviso: possibile tentativo di sfruttamento della riga di comando
Gravità: medio
VM_ExposedDocker
Nome visualizzato avviso: daemon Docker esposto nel socket TCP
Gravità: medio
VM_FairwareMalware
Nome visualizzato avviso: comportamento simile al ransomware Fairware rilevato
Gravità: medio
VM_FirewallDisabled
Nome visualizzato avviso: modifica del firewall host rilevato
Gravità: medio
VM_HadoopYarnExploit
Nome visualizzato avviso: possibile sfruttamento di Hadoop Yarn
Gravità: medio
VM_HistoryFileCleared
Nome visualizzato avviso: un file di cronologia è stato cancellato
Gravità: medio
VM_KnownLinuxAttackTool
Nome visualizzato avviso: rilevato possibile strumento di attacco
Gravità: medio
VM_KnownLinuxCredentialAccessTool
Nome visualizzato avviso: rilevato possibile strumento di accesso alle credenziali
Gravità: medio
VM_KnownLinuxDDoSToolkit
Nome visualizzato avviso: indicatori associati al toolkit DDOS rilevato
Gravità: medio
VM_KnownLinuxScreenshotTool
Nome visualizzato avviso: screenshot acquisito nell'host
Gravità: Bassa
VM_LinuxBackdoorArtifact
Nome visualizzato avviso: è stato rilevato un possibile backdoor
Gravità: medio
VM_LinuxReconnaissance
Nome visualizzato avviso: rilevata ricognizione host locale
Gravità: medio
VM_MismatchedScriptFeatures
Nome visualizzato avviso: rilevata mancata corrispondenza dell'estensione script
Gravità: medio
VM_MitreCalderaTools
Nome visualizzato avviso: rilevato agente MITRE Automaticamente
Gravità: medio
VM_NewSingleUserModeStartupScript
Nome visualizzato avviso: tentativo di persistenza rilevato
Gravità: medio
VM_NewSudoerAccount
Nome visualizzato avviso: account aggiunto al gruppo sudo
Gravità: Bassa
VM_OverridingCommonFiles
Nome visualizzato avviso: potenziale override dei file comuni
Gravità: medio
VM_PrivilegedContainerArtifacts
Nome visualizzato avviso: contenitore in esecuzione in modalità con privilegi
Gravità: Bassa
VM_PrivilegedExecutionInContainer
Nome visualizzato avviso: comando all'interno di un contenitore in esecuzione con privilegi elevati
Gravità: Bassa
VM_ReadingHistoryFile
Nome visualizzato avviso: accesso insolito al file di cronologia bash
Gravità: informativo
VM_ReverseShell
Nome visualizzato avviso: rilevata potenziale shell inversa
Gravità: medio
VM_SshKeyAccess
Nome visualizzato avviso: processo visto l'accesso al file di chiavi autorizzate SSH in modo insolito
Gravità: Bassa
VM_SshKeyAddition
Nome visualizzato avviso: nuova chiave SSH aggiunta
Gravità: Bassa
VM_SuspectCompilation
Nome visualizzato avviso: rilevata compilazione sospetta
Gravità: medio
VM_SuspectConnection
Nome visualizzato avviso: rilevato un tentativo di connessione non comune
Gravità: medio
VM_SuspectDownload
Nome visualizzato avviso: download di file rilevati da un'origine dannosa nota
Gravità: medio
VM_SuspectDownloadArtifacts
Nome visualizzato avviso: rilevato download di file sospetti
Gravità: Bassa
VM_SuspectExecutablePath
Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta
Gravità: medio
VM_SuspectHtaccessFileAccess
Nome visualizzato avviso: è stato rilevato l'accesso al file htaccess
Gravità: medio
VM_SuspectInitialShellCommand
Nome visualizzato avviso: primo comando sospetto nella shell
Gravità: Bassa
VM_SuspectMixedCaseText
Nome visualizzato avviso: rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Gravità: medio
VM_SuspectNetworkConnection
Nome visualizzato avviso: connessione di rete sospetta
Gravità: informativo
VM_SuspectNohup
Nome visualizzato avviso: rilevato uso sospetto del comando nohup
Gravità: medio
VM_SuspectPasswordChange
Nome visualizzato avviso: possibile modifica della password tramite il metodo crypt rilevato
Gravità: medio
VM_SuspectPasswordFileAccess
Nome visualizzato avviso: accesso sospetto alle password
Gravità: informativo
VM_SuspectPhp
Nome visualizzato avviso: rilevata esecuzione PHP sospetta
Gravità: medio
VM_SuspectPortForwarding
Nome visualizzato avviso: potenziale port forwarding all'indirizzo IP esterno
Gravità: medio
VM_SuspectProcessAccountPrivilegeCombo
Nome visualizzato avviso: il processo in esecuzione in un account del servizio è diventato radice in modo imprevisto
Gravità: medio
VM_SuspectProcessTermination
Nome visualizzato avviso: è stata rilevata la terminazione del processo correlata alla sicurezza
Gravità: Bassa
VM_SuspectUserAddition
Nome visualizzato avviso: rilevato uso sospetto del comando useradd
Gravità: medio
VM_SuspiciousCommandLineExecution
Nome visualizzato avviso: esecuzione sospetta dei comandi
Gravità: alta
VM_SuspiciousDNSOverHttps
Nome visualizzato avviso: uso sospetto di DNS su HTTPS
Gravità: medio
VM_SystemLogRemoval
Nome visualizzato avviso: possibile attività di manomissione del log rilevata
Gravità: medio
VM_ThreatIntelCommandLineSuspectDomain
Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa
Gravità: medio
VM_ThreatIntelSuspectLogon
Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso
Gravità: alta
VM_TimerServiceDisabled
Nome visualizzato avviso: tentativo di arrestare il servizio apt-daily-upgrade.timer rilevato
Gravità: informativo
VM_TimestampTampering
Nome visualizzato avviso: modifica del timestamp del file sospetta
Gravità: Bassa
VM_Webshell
Nome visualizzato avviso: rilevata possibile shell Web dannosa
Gravità: medio
Avvisi di Windows di Defender per server deprecati
SCUBA_MULTIPLEACCOUNTCREATE
Nome visualizzato avviso: creazione sospetta di account in più host
Gravità: medio
SCUBA_PSINSIGHT_CONTEXT
Nome visualizzato avviso: rilevato uso sospetto di PowerShell
Gravità: informativo
SCUBA_RULE_AddGuestToAdministrators
Nome visualizzato avviso: aggiunta dell'account guest al gruppo Administrators locale
Gravità: medio
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome visualizzato avviso: Apache_Tomcat_executing_suspicious_commands
Gravità: medio
SCUBA_RULE_KnownBruteForcingTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownCollectionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownExecutionTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownPassTheHashTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_KnownSpammingTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: medio
SCUBA_RULE_Lowering_Security_Settings
Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici
Gravità: medio
SCUBA_RULE_OtherKnownHackerTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome visualizzato avviso: livello di integrità sospetto indicativo del hijack RDP
Gravità: medio
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome visualizzato avviso: Sospetto installazione del servizio
Gravità: medio
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome visualizzato avviso: rilevata eliminazione della notifica legale visualizzata agli utenti all'accesso
Gravità: Bassa
SCUBA_RULE_WDigest_Enabling
Nome visualizzato avviso: rilevata abilitazione della chiave del Registro di sistema WDigest UseLogonCredential
Gravità: medio
VM.Windows_ApplockerBypass
Nome visualizzato avviso: potenziale tentativo di ignorare AppLocker rilevato
Gravità: alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome visualizzato avviso: rilevata creazione di file sospetti
Gravità: alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome visualizzato avviso: rilevato eseguibile codificato nei dati della riga di comando
Gravità: alta
VM.Windows_CalcsCommandLineUse
Nome visualizzato avviso: rilevato uso sospetto di Cacls per ridurre lo stato di sicurezza del sistema
Gravità: medio
VM.Windows_CommandLineStartingAllExe
Nome visualizzato avviso: rilevata riga di comando sospetta usata per avviare tutti i file eseguibili in una directory
Gravità: medio
VM.Windows_DisablingAndDeletingIISLogFiles
Nome visualizzato avviso: azioni rilevate che indicano la disabilitazione e l'eliminazione di file di log IIS
Gravità: medio
VM.Windows_DownloadUsingCertutil
Nome visualizzato avviso: download sospetto con Certutil rilevato
Gravità: medio
VM.Windows_EchoOverPipeOnLocalhost
Nome visualizzato avviso: comunicazioni named pipe sospette rilevate
Gravità: alta
VM.Windows_EchoToConstructPowerShellScript
Nome visualizzato avviso: costruzione dinamica di script di PowerShell
Gravità: medio
VM.Windows_ExecutableDecodedUsingCertutil
Nome visualizzato avviso: decodifica rilevata di un eseguibile tramite lo strumento di certutil.exe predefinito
Gravità: medio
VM.Windows_FileDeletionIsSospisiousLocation
Nome visualizzato avviso: rilevata eliminazione sospetta di file
Gravità: medio
VM.Windows_KerberosGoldenTicketAttack
Nome visualizzato avviso: parametri di attacco Golden Ticket Kerberos sospetti osservati
Gravità: medio
VM.Windows_KeygenToolKnownProcessName
Nome visualizzato avviso: rilevata possibile esecuzione del processo eseguibile keygen Sospetto eseguito
Gravità: medio
VM.Windows_KnownCredentialAccessTools
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome visualizzato avviso: rilevato uso sospetto di PowerShell
Gravità: alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome visualizzato avviso: rilevato software ad alto rischio
Gravità: medio
VM.Windows_MsHtaAndPowerShellCombination
Nome visualizzato avviso: rilevata combinazione sospetta di HTA e PowerShell
Gravità: medio
VM.Windows_MultipleAccountsQuery
Nome visualizzato avviso: più account di dominio sottoposti a query
Gravità: medio
VM.Windows_NewAccountCreation
Nome visualizzato avviso: è stata rilevata la creazione dell'account
Gravità: informativo
VM.Windows_ObfuscatedCommandLine
Nome visualizzato avviso: rilevata riga di comando offuscata.
Gravità: alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome visualizzato avviso: rilevato uso sospetto di Pcalua.exe per avviare il codice eseguibile
Gravità: medio
VM.Windows_PetyaRansomware
Nome visualizzato avviso: indicatori ransomware petya rilevati
Gravità: alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome visualizzato avviso: cmdlet di PowerShell sospetti eseguiti
Gravità: medio
VM.Windows_RansomwareIndication
Nome visualizzato avviso: rilevati indicatori ransomware
Gravità: alta
VM.Windows_SqlDumperUsedSuspiciously
Nome visualizzato avviso: è stato rilevato un possibile dump delle credenziali [visto più volte]
Gravità: medio
VM.Windows_StopCriticalServices
Nome visualizzato avviso: rilevato la disabilitazione dei servizi critici
Gravità: medio
VM.Windows_SubvertingAccessibilityBinary
Nome visualizzato avviso: attacco chiavi permanenti ha rilevato la creazione di account sospetti media
VM.Windows_SuspiciousAccountCreation
Nome visualizzato avviso: rilevata creazione di account sospetti
Gravità: medio
VM.Windows_SuspiciousFirewallRuleAdded
Nome visualizzato avviso: rilevata nuova regola del firewall sospetta
Gravità: medio
VM.Windows_SuspiciousFTPSSwitchUsage
Nome visualizzato avviso: rilevato uso sospetto dell'opzione FTP -s
Gravità: medio
VM.Windows_SuspiciousSQLActivity
Nome visualizzato avviso: attività SQL sospetta
Gravità: medio
VM.Windows_SVCHostFromInvalidPath
Nome visualizzato avviso: processo sospetto eseguito
Gravità: alta
VM.Windows_SystemEventLogCleared
Nome visualizzato avviso: il log di Sicurezza di Windows è stato cancellato
Gravità: informativo
VM.Windows_TelegramInstallation
Nome visualizzato avviso: rilevato un uso potenzialmente sospetto dello strumento Telegram
Gravità: medio
VM.Windows_UndercoverProcess
Nome visualizzato avviso: rilevato processo denominato sospetto
Gravità: alta
VM.Windows_UserAccountControlBypass
Nome visualizzato avviso: è stata rilevata la modifica a una chiave del Registro di sistema che può essere impropria per ignorare il controllo dell'account utente
Gravità: medio
VM.Windows_VBScriptEncoding
Nome visualizzato avviso: rilevata esecuzione sospetta del comando VBScript.Encode
Gravità: medio
VM.Windows_WindowPositionRegisteryChange
Nome visualizzato avviso: rilevato valore del Registro di sistema WindowPosition sospetto
Gravità: Bassa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome visualizzato avviso: regola del firewall dannosa creata dall'impianto server ZINCO
Gravità: alta
VM_DigitalCurrencyMining
Nome visualizzato avviso: rilevato comportamento correlato alla valuta digitale
Gravità: alta
VM_MaliciousSQLActivity
Nome visualizzato avviso: attività SQL dannosa
Gravità: alta
VM_ProcessWithDoubleExtensionExecution
Nome visualizzato avviso: file di estensione doppia sospetto eseguito
Gravità: alta
VM_RegistryPersistencyKey
Nome visualizzato avviso: rilevato metodo di persistenza del Registro di sistema di Windows
Gravità: Bassa
VM_ShadowCopyDeletion
Nome visualizzato avviso: file eseguibile dell'attività di copia shadow del volume sospetta trovato in esecuzione da una posizione sospetta
Gravità: alta
VM_SuspectExecutablePath
Nome visualizzato avviso: eseguibile trovato in esecuzione da una posizione sospetta Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Gravità: informativo
Medio
VM_SuspectPhp
Nome visualizzato avviso: rilevata esecuzione PHP sospetta
Gravità: medio
VM_SuspiciousCommandLineExecution
Nome visualizzato avviso: esecuzione sospetta dei comandi
Gravità: alta
VM_SuspiciousScreenSaverExecution
Nome visualizzato avviso: processo di screenaver sospetto eseguito
Gravità: medio
VM_SvcHostRunInRareServiceGroup
Nome visualizzato avviso: gruppo di servizi SVCHOST raro eseguito
Gravità: informativo
VM_SystemProcessInAbnormalContext
Nome visualizzato avviso: processo di sistema sospetto eseguito
Gravità: medio
VM_ThreatIntelCommandLineSuspectDomain
Nome visualizzato avviso: è stata rilevata una possibile connessione a una posizione dannosa
Gravità: medio
VM_ThreatIntelSuspectLogon
Nome visualizzato avviso: è stato rilevato un accesso da un indirizzo IP dannoso
Gravità: alta
VM_VbScriptHttpObjectAllocation
Nome visualizzato avviso: rilevata allocazione di oggetti HTTP VBScript
Gravità: alta
VM_TaskkillBurst
Nome visualizzato avviso: burst di terminazione del processo sospetto
Gravità: Bassa
VM_RunByPsExec
Nome visualizzato avviso: è stata rilevata l'esecuzione di PsExec
Gravità: informativo
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.