Eventi imprevisti - Guida di riferimento
Nota
Per gli eventi imprevisti in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Questo articolo elenca gli eventi imprevisti che è possibile ottenere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli eventi imprevisti visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Un evento imprevisto di sicurezza è una correlazione degli avvisi con una storia di attacco che condivide un'entità. Ad esempio, Risorsa, Indirizzo IP, Utente o condividere un modello di kill chain .
È possibile selezionare un evento imprevisto per visualizzare tutti gli avvisi correlati all'evento imprevisto e ottenere altre informazioni.
Informazioni su come gestire gli eventi imprevisti di sicurezza.
Nota
Lo stesso avviso può esistere come parte di un evento imprevisto, nonché per essere visibile come avviso autonomo.
Evento imprevisto della sicurezza
| Avviso | Descrizione | Gravità |
|---|---|---|
| Evento imprevisto di sicurezza rilevato attività utente sospetta (anteprima) | Questo evento imprevisto indica operazioni utente sospette nell'ambiente. Più avvisi di diversi piani di Defender per il cloud sono stati attivati da questo utente, aumentando così la fedeltà delle attività dannose nell'ambiente. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere le risorse nell'ambiente in uso. Ciò potrebbe indicare che l'account è compromesso e viene usato con finalità dannose. | Alto |
| Evento imprevisto di sicurezza rilevato attività sospetta dell'entità servizio (anteprima) | Questo evento imprevisto indica operazioni sospette dell'entità servizio nell'ambiente in uso. Più avvisi di diversi piani di Defender per il cloud sono stati attivati da questa entità servizio, che aumenta la fedeltà delle attività dannose nell'ambiente. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere le risorse nell'ambiente in uso. Ciò potrebbe indicare che l'entità servizio è compromessa e viene usata con finalità dannose. | Alto |
| Evento imprevisto di sicurezza rilevato attività di crypto mining sospette (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività di crypto mining sospetta dopo l'attività sospetta dell'utente o dell'entità servizio. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attività di account sospetta potrebbe indicare un attore di minaccia che ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di crypto mining riuscita potrebbe suggerire che hanno compromesso correttamente la risorsa e lo usano per le criptovalute di data mining, che possono portare a un aumento dei costi per l'organizzazione. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività di crypto mining sospetta dopo un attacco di forza bruta sulla stessa risorsa macchina virtuale. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attacco di forza bruta sulla macchina virtuale potrebbe indicare che un attore di minaccia sta tentando di ottenere l'accesso non autorizzato all'ambiente e l'attività di crypto mining riuscita potrebbe suggerire che la risorsa sia stata compromessa correttamente e che venga usata per le criptovalute di data mining, il che può portare a un aumento dei costi per l'organizzazione. |
Alto |
| Evento imprevisto di sicurezza rilevato attività sospette di Key Vault (anteprima) | Scenario 1: questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività sospetta correlata all'utilizzo di Key Vault. Più avvisi di diversi piani di Defender per il cloud sono stati attivati da questo utente o da un'entità servizio, che aumenta la fedeltà delle attività dannose nell'ambiente in uso. Un'attività sospetta di Key Vault potrebbe indicare che un attore di minaccia sta tentando di ottenere l'accesso ai dati sensibili, ad esempio chiavi, segreti e certificati, e l'account viene compromesso e viene usato con finalità dannose. Scenario 2: questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività sospetta correlata all'utilizzo di Key Vault. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività sospetta di Key Vault potrebbe indicare che un attore di minaccia sta tentando di ottenere l'accesso ai dati sensibili, ad esempio chiavi, segreti e certificati, e l'account viene compromesso e viene usato con finalità dannose. Scenario 3: questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività sospetta correlata all'utilizzo di Key Vault. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. Un'attività sospetta di Key Vault potrebbe indicare che un attore di minaccia sta tentando di ottenere l'accesso ai dati sensibili, ad esempio chiavi, segreti e certificati, e l'account viene compromesso e viene usato con finalità dannose. |
Alto |
| Evento imprevisto di sicurezza rilevato attività sas sospetta (anteprima) | Questo evento imprevisto indica che è stata rilevata un'attività sospetta dopo il potenziale uso improprio di un token di firma di accesso condiviso. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'utilizzo di un token di firma di accesso condiviso può indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'account di archiviazione e sta tentando di accedere o esfiltrare i dati sensibili. | Alto |
| Evento imprevisto di sicurezza rilevato un'attività di posizione geografica anomala (anteprima) | Scenario 1: questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività di posizione geografica anomala. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. Un'attività sospetta proveniente da posizioni anomale potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. Scenario 2: questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività di posizione geografica anomala. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività sospetta proveniente da posizioni anomale potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. |
Alto |
| Evento imprevisto di sicurezza rilevato attività IP sospette (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività sospetta originata da un indirizzo IP sospetto. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività sospetta proveniente da un indirizzo IP sospetto potrebbe indicare che un utente malintenzionato ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività sospetta originata da un indirizzo IP sospetto. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sullo stesso utente o entità servizio, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività sospetta proveniente da un indirizzo IP sospetto può indicare che un utente malintenzionato ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. |
Alto |
| Evento imprevisto di sicurezza rilevato attività di attacco fileless sospette (anteprima) | Questo evento imprevisto indica che è stato rilevato un toolkit di attacco senza file in una macchina virtuale dopo un potenziale tentativo di exploit sulla stessa risorsa. Sono stati attivati più avvisi di diversi piani di Defender per il cloud nella stessa macchina virtuale, aumentando così la fedeltà delle attività dannose nell'ambiente. La presenza di un toolkit di attacco senza file nella macchina virtuale potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di eludere il rilevamento durante l'esecuzione di ulteriori attività dannose. | Alto |
| Evento imprevisto di sicurezza rilevato attività DDOS sospette (anteprima) | Questo evento imprevisto indica che nell'ambiente è stata rilevata un'attività DDOS (Distributed Denial of Service) sospetta. Gli attacchi DDOS sono progettati per sovraccaricare la rete o l'applicazione con un volume elevato di traffico, causando la mancata disponibilità per gli utenti legittimi. Sono stati attivati più avvisi di piani diversi di Defender per il Cloud nello stesso indirizzo IP, aumentando così la fedeltà dell’attività dannosa nell'ambiente. | Alto |
| Evento imprevisto di sicurezza rilevato attività di esfiltrazione di dati sospetti (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività di esfiltrazione di dati sospetta dopo l'attività sospetta dell'utente o dell'entità servizio. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attività dell'account sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di esfiltrazione dei dati successiva potrebbe suggerire di tentare di rubare informazioni riservate. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività di esfiltrazione di dati sospetta dopo l'attività sospetta dell'utente o dell'entità servizio. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'attività dell'account sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di esfiltrazione dei dati successiva potrebbe suggerire di tentare di rubare informazioni riservate. Scenario 3: questo evento imprevisto indica che è stata rilevata un'attività di esfiltrazione di dati sospetta dopo la reimpostazione insolita della password in una macchina virtuale. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'attività dell'account sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di esfiltrazione dei dati successiva potrebbe suggerire di tentare di rubare informazioni riservate. |
Alto |
| Evento imprevisto di sicurezza rilevato attività api sospette (anteprima) | Questo evento imprevisto indica che è stata rilevata un'attività API sospetta. Più avvisi di Defender per il cloud sono stati attivati nella stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'utilizzo sospetto dell'API potrebbe indicare che un attore di minaccia sta tentando di accedere a informazioni riservate o di eseguire azioni non autorizzate. | Alto |
| Evento imprevisto di sicurezza rilevato attività sospette del cluster Kubernetes (anteprima) | Questo evento imprevisto indica che nel cluster Kubernetes è stata rilevata un'attività sospetta. Più avvisi di piani di Defender per il cloud diversi sono stati attivati nello stesso cluster, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attività sospetta nel cluster Kubernetes potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Alto |
| Evento imprevisto di sicurezza rilevato attività di archiviazione sospetta (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività di archiviazione sospetta dopo l'attività sospetta dell'utente o dell'entità servizio. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attività dell'account sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di archiviazione sospetta riuscita potrebbe suggerire di tentare di accedere a dati potenzialmente sensibili. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività di archiviazione sospetta dopo l'attività sospetta dell'utente o dell'entità servizio. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'attività dell'account sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e l'attività di archiviazione sospetta riuscita potrebbe suggerire di tentare di accedere a dati potenzialmente sensibili. |
Alto |
| Evento imprevisto di sicurezza rilevato attività sospette del toolkit di Azure (anteprima) | Questo evento imprevisto indica che è stata rilevata un'attività sospetta dopo il potenziale utilizzo di un toolkit di Azure. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sullo stesso utente o entità servizio, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'uso di un toolkit di Azure può indicare che un utente malintenzionato ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Alto |
| Evento imprevisto di sicurezza rilevato attività DNS sospette (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività DNS sospetta. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. Un'attività DNS sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività DNS sospetta. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività DNS sospetta potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. |
Medio |
| Evento imprevisto di sicurezza rilevato attività SQL sospetta (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività SQL sospetta. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. Un'attività SQL sospetta potrebbe indicare che un attore di minaccia è destinato al server SQL e sta tentando di comprometterlo. Scenario 2: questo evento imprevisto indica che è stata rilevata un'attività SQL sospetta. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. Un'attività SQL sospetta potrebbe indicare che un attore di minaccia è destinato al server SQL e sta tentando di comprometterlo. |
Alto |
| Evento imprevisto di sicurezza rilevato attività sospette del servizio app (anteprima) | Scenario 1: questo evento imprevisto indica che è stata rilevata un'attività sospetta nell'ambiente del servizio app. Più avvisi di piani di Defender per il cloud diversi sono stati attivati sulla stessa risorsa, aumentando così la fedeltà delle attività dannose nell'ambiente. L'attività del servizio app sospetta potrebbe indicare che un attore di minaccia è destinato all'applicazione e potrebbe tentare di comprometterlo. Scenario 2: questo evento imprevisto indica che l'attività sospetta è stata rilevata nell'ambiente del servizio app. Sono stati attivati più avvisi di diversi piani di Defender per il cloud dallo stesso indirizzo IP, aumentando così la fedeltà delle attività dannose nell'ambiente in uso. L'attività del servizio app sospetta potrebbe indicare che un attore di minaccia è destinato all'applicazione e potrebbe tentare di comprometterlo. |
Alto |
| Errore di sicurezza rilevato computer compromesso con la comunicazione botnet | Questo evento imprevisto indica un'attività botnet sospetta nella macchina virtuale. Più avvisi provenienti da piani diversi di Defender per il cloud sono stati attivati in ordine cronologico sulla stessa risorsa, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Medio-alta |
| È stato rilevato un evento imprevisto per la sicurezza dei computer compromessi con la comunicazione botnet | Questo evento imprevisto indica un'attività botnet sospetta nelle macchine virtuali. Più avvisi provenienti da piani diversi di Defender per il cloud sono stati attivati in ordine cronologico sulla stessa risorsa, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Medio-alta |
| Evento imprevisto di sicurezza rilevato computer compromesso con attività in uscita dannose | Questo evento imprevisto indica un'attività in uscita sospetta nella macchina virtuale. Più avvisi provenienti da piani diversi di Defender per il cloud sono stati attivati in ordine cronologico sulla stessa risorsa, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Medio-alta |
| È stato rilevato un evento imprevisto di sicurezza per i computer compromessi | Questo evento imprevisto indica un'attività sospetta in una o più macchine virtuali. Più avvisi di piani di Defender per il cloud diversi sono stati attivati in ordine cronologico per le stesse risorse, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minaccia ha ottenuto l'accesso non autorizzato all'ambiente e ha compromesso correttamente questi computer. | Medio-alta |
| Evento imprevisto di sicurezza rilevato computer compromessi con attività in uscita dannose | Questo evento imprevisto indica un'attività in uscita sospetta dalle macchine virtuali. Più avvisi di piani di Defender per il cloud diversi sono stati attivati in ordine cronologico per le stesse risorse, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Medio-alta |
| Rilevato evento imprevisto di sicurezza in più computer | Questo evento imprevisto indica un'attività sospetta in una o più macchine virtuali. Più avvisi provenienti da piani diversi di Defender per il cloud sono stati attivati in ordine cronologico sulla stessa risorsa, seguendo il framework MITRE ATT&CK. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. | Medio-alta |
| Rilevato evento imprevisto di sicurezza con processo partizionato | Scenario 1: questo evento imprevisto indica un'attività sospetta nella macchina virtuale. Sono stati attivati più avvisi di piani di Defender per il cloud diversi che condividono lo stesso processo. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. Scenario 2: questo evento imprevisto indica un'attività sospetta nelle macchine virtuali. Sono stati attivati più avvisi di piani di Defender per il cloud diversi che condividono lo stesso processo. Ciò potrebbe indicare che un attore di minacce ha ottenuto l'accesso non autorizzato all'ambiente e sta tentando di comprometterlo. |
Medio-alta |
Passaggi successivi
Gestire gli eventi imprevisti di sicurezza in Microsoft Defender for Cloud