セキュリティ アラート - リファレンス ガイド

この記事では、Microsoft Defender for Cloud と、有効にした Microsoft Defender プランから取得できるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

このページの下部には、MITRE ATT&CK マトリックスのバージョン 9 に沿った Microsoft Defender for Cloud キル チェーンについて説明する表があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Windows マシンのアラート

Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Windows マシンに対して提供されるアラートは次のとおりです。

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)。 [複数回表示] アカウント [account] とプロセス [process] のリモート認証が正常に行われましたが、ログオン IP アドレス (x.x.x.x) は、以前に悪意のあるまたは極めて異常として報告されています。 攻撃が成功した可能性があります。 .scr 拡張子を持つファイルはスクリーンセーバー ファイルで、通常は Windows システム ディレクトリに常駐しており、そこから実行されます。 -
適応型アプリケーション制御ポリシー違反が監査されました
VM_AdaptiveApplicationControlWindowsViolationAudited
次のユーザーは、このコンピューティングで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。 実行 情報提供
Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加) ホスト データの分析により、%{Compromised Host} で組み込みの Guest アカウントが Local Administrators グループに追加されたことが検出されました。これは、攻撃者のアクティビティと密接に関連しています。 - Medium
An event log was cleared (イベント ログが消去されました) マシン ログに、マシン '%{CompromisedEntity}' でユーザー '%{user name}' による不審なイベント ログの消去操作が示されています。 %{log channel} ログが消去されました。 - Informational
Antimalware Action Failed (マルウェア対策アクションが失敗しました) マルウェアまたはその他の望ましくない可能性のあるソフトウェアに対するアクションの実行中に、Microsoft Antimalware でエラーが発生しました。 - Medium
Antimalware Action Taken (マルウェア対策アクションが実行されました) Azure の Microsoft Antimalware により、このマシンをマルウェアまたはその他の望ましくない可能性のあるソフトウェアから保護するためのアクションが実行されました。 - Medium
Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)
(VM_AmBroadFilesExclusion)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、広範な除外ルールを使用したマルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
- Medium
Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)
(VM_AmDisablementAndCodeExecution)
仮想マシンでコードの実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。
-
Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)
(VM_AmDisablement)
仮想マシンでマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
防御回避 Medium
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmFileExclusionAndCodeExecution)
仮想マシンでカスタム スクリプト拡張機能を使用してコードが実行されると同時に、マルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避、実行
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmTempFileExclusionAndCodeExecution)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能からの一時的なファイル除外が仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避、実行
Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)
(VM_AmTempFileExclusion)
仮想マシンのマルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)
(VM_AmRealtimeProtectionDisabled)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmTempRealtimeProtectionDisablement)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmRealtimeProtectionDisablementAndCodeExec)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
-
Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)
(VM_AmMalwareCampaignRelatedExclusion)
マルウェア活動に関連している疑いのある特定のファイルがウイルス対策拡張機能によってスキャンされるのを阻止する除外ルールが、仮想マシンで検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。 防御回避 Medium
Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)
(VM_AmTemporarilyDisablement)
仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
- Medium
Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)
(VM_UnusualAmFileExclusion)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる、マルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避 Medium
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用
Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました) ホスト データの分析により、IIS ログ ファイルが無効化または削除されていることを示すアクションが検出されました。 - Medium
Detected anomalous mix of upper and lower case characters in command-line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました) %{Compromised Host} 上のホスト データの分析により、通常とは異なる大文字と小文字の混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。 - Medium
Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました) %{Compromised Host} 上のホスト データの分析により、UAC (ユーザー アカウント制御) をバイパスするために悪用される可能性のあるレジストリ キーが変更されたことが検出されました。 この種類の構成は、無害な場合もありますが、侵害されたホストで特権なし (標準ユーザー) から特権 (管理者など) アクセスに移行しようとする場合の攻撃者の典型的なアクティビティでもあります。 - Medium
Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました) %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、実行可能ファイルをデコードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。 -
Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました) ホスト データの分析により、レジストリ キー HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" が変更されたことが検出されました。 具体的には、このキーが、ログオン資格情報をクリア テキストで LSA メモリに格納できるように更新されています。 有効化されると、攻撃者は、Mimikatz などの資格情報収集ツールを使用して、LSA メモリからクリア テキスト パスワードをダンプできます。 - Medium
Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました) %{Compromised Host} 上のホスト データの分析により、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 -
Detected obfuscated command line (難読化されたコマンド ラインが検出されました) 攻撃者は、基になるデータに対して実行される検出を回避するため、ますます複雑化させた難読化手法を使用しています。 %{Compromised Host} 上のホスト データの分析により、コマンドラインで不審な難読化のインジケーターが検出されました。 - 情報提供
Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました) %{Compromised Host} 上のホスト データの分析により、keygen ツールを示す名前のプロセスが実行されたことが検出されました。このようなツールは、通常、ソフトウェア ライセンス メカニズムを無効にするために使用されますが、他の悪意のあるソフトウェアがバンドルされてダウンロードされることがよくあります。 アクティビティ グループ GOLD は、このような keygen を利用して、侵害したホストへのバック ドア アクセスを極秘に獲得することで知られています。 - Medium
Detected possible execution of malware dropper (マルウェア ドロッパーが実行された可能性が検出されました) %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD の犠牲ホストでマルウェアをインストールする手法の 1 つに関連付けられていたファイル名が検出されました。 -
Detected possible local reconnaissance activity (ローカル偵察アクティビティの可能性が検出されました) %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD が偵察アクティビティを実行する手法の 1 つに関連付けられていた systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、ここで行われたように、2 回連続して実行されることはめったにありません。 -
Detected potentially suspicious use of Telegram tool (Telegram ツールの不審な可能性がある使用方法が検出されました) ホスト データの分析で、Telegram のインストールが示されました。これはモバイルおよびデスクトップ システムの両方に存在するクラウドベースの無料のインスタント メッセージング サービスです。 攻撃者がこのサービスを悪用して、悪意のあるバイナリを他のコンピューター、電話、またはタブレットに転送することがわかっています。 - Medium
Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました) %{Compromised Host} 上のホスト データの分析により、ログオン時に法的通知をユーザーに表示するかどうかを制御するレジストリ キーの変更が検出されました。 Microsoft のセキュリティ分析では、これは攻撃者がホストを侵害した後に行われる一般的なアクティビティであると特定されています。 -
Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の不審な組み合わせが検出されました) 署名済みの Microsoft バイナリである mshta.exe (Microsoft HTML アプリケーション ホスト) が、悪意のある PowerShell コマンドを起動するために攻撃者によって使用されています。 攻撃者は、インライン VBScript が含まれた HTA ファイルをよく使用します。 被害者がその HTA ファイルを参照して実行することを選択すると、そこに含まれている PowerShell コマンドとスクリプトが実行されます。 %{Compromised Host} 上のホスト データの分析により、PowerShell コマンドを起動する mshta.exe が検出されました。 - Medium
Detected suspicious commandline arguments (不審なコマンドライン引数が検出されました) %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ HYDROGEN が使用しているリバース シェルと共に、不審なコマンド ライン引数が使用されていることが検出されました。 -
Detected suspicious commandline used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される不審なコマンドラインが検出されました) ホスト データの分析により、%{Compromised Host} 上で不審なプロセスが実行されていることが検出されました。 このコマンドラインは、ディレクトリ内に存在する可能性のあるすべての実行可能ファイル (*.exe) を起動しようとしていることを示しています。 これは、侵害されたホストの兆候である可能性があります。 - Medium
Detected suspicious credentials in commandline (コマンドラインで不審な資格情報が検出されました) %{Compromised Host} 上のホスト データの分析により、ファイルを実行するために、アクティビティ グループ BORON によって不審なパスワードが使用されていることが検出されました。 このアクティビティ グループは、このパスワードを使用して、犠牲ホストで Pirpi マルウェアを実行することが知られています。 -
Detected suspicious document credentials (不審なドキュメントの資格情報が検出されました) %{Compromised Host} 上のホスト データの分析により、ファイルを実行するためにマルウェアによって使用されている、不審な共通の事前計算されたパスワード ハッシュが検出されました。 アクティビティ グループ HYDROGEN は、このパスワードを使用して、犠牲ホストでマルウェアを実行することが知られています。 -
Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの不審な実行が検出されました) %{Compromised Host} 上のホスト データの分析により、VBScript.Encode コマンドの実行が検出されました。 これは、スクリプトを読み取り不可能なテキストにエンコードして、ユーザーがコードを調べることを難しくします。 Microsoft の脅威の研究では、攻撃者は検出システムを回避するため、攻撃の一部としてエンコードされた VBscript ファイルをよく使用することがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 - Medium
Detected suspicious execution via rundll32.exe (rundll32.exe による不審な実行が検出されました) %{Compromised Host} 上のホスト データの分析により、通常とは異なる名前のプロセスを実行するために rundll32.exe が使用されたことが検出されました。これは、アクティビティ グループ GOLD によって、侵害されたホストに第 1 段階のインプラントをインストールするときに使用されたことがあるプロセスの命名スキームと一致します。 -
Detected suspicious file cleanup commands (不審なファイルのクリーンアップ コマンドが検出されました) %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD が侵害後に自己クリーンアップ アクティビティを実行する手法の 1 つに関連付けられていたことがある systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、このように 2 回連続して実行され、その後に削除コマンドが実行されることはめったにありません。 -
Detected suspicious file creation (不審なファイルの作成が検出されました) %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ BARIUM によって犠牲ホストに対して行われた侵害後のアクションとして以前に示されたことがあるプロセスの作成または実行が検出されました。 このアクティビティ グループは、この手法を使用して、フィッシング ドキュメントの添付ファイルを開くと、侵害したホストにさらに多くのマルウェアをダウンロードすることで知られています。 -
Detected suspicious named pipe communications (不審な名前付きパイプ通信が検出されました) %{Compromised Host} 上のホスト データの分析により、Windows コンソール コマンドからローカルの名前付きパイプにデータが書き込まれていることが検出されました。 名前付きパイプは、攻撃者が悪意のあるインプラントを使用し、通信するために使用されるチャンネルであることがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 -
Detected suspicious network activity (不審なネットワーク アクティビティが検出されました) %{Compromised Host} からのネットワーク トラフィックの分析で、不審なネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 -
Detected suspicious new firewall rule (不審な新しいファイアウォール規則が検出されました) ホスト データの分析により、不審な場所の実行可能ファイルからのトラフィックを許可する新しい IP ファイアウォール規則が netsh.exe を介して追加されていることが検出されました。 - Medium
Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の不審な使用が検出されました) 攻撃者は、ブルート フォースやスピア フィッシングなどのさまざまな方法を使用して、最初の侵害を達成し、ネットワーク上の足掛かりを得ます。 彼らは最初の侵害を達成すると、多くの場合、システムのセキュリティ設定を低くするための手順を実行します。 Cacls (change access control list の略) は、Microsoft Windows ネイティブ コマンド ライン ユーティリティで、フォルダーおよびファイルのセキュリティ アクセス許可を変更するためによく使用されます。 システムのセキュリティ設定を低くするために、バイナリが攻撃者によって長時間使用されます。 これは、Everyone に、ftp.exe、net.exe、wscript.exe などの一部のシステム バイナリへのフル アクセスを付与することで行われます。%{Compromised Host} 上のホスト データの分析により、システムのセキュリティを低下させるために、Cacls の不審な使用が検出されました。 - Medium
Detected suspicious use of FTP -s Switch (FTP -s スイッチの不審な使用が検出されました) %{Compromised Host} からのプロセス作成データの分析により、FTP "-s:filename" スイッチの使用が検出されました。 このスイッチは、クライアントが実行する FTP スクリプト ファイルを指定するために使用されます。 マルウェアまたは悪意のあるプロセスによって、この FTP スイッチ (-s:filename) を使用して、リモート FTP サーバーに接続してさらに多くの悪意のあるバイナリをダウンロードするように構成されているスクリプト ファイルが指定されることが知られています。 - Medium
Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の不審な使用が検出されました) %{Compromised Host} 上のホスト データの分析により、実行可能コードを起動する pcalua.exe の使用が検出されました。 pcalua.exe は、Microsoft Windows の "プログラム互換性アシスタント" のコンポーネントで、プログラムのインストール時または実行時の互換性の問題を検出します。 攻撃者は、正当な Windows システム ツールの機能を悪用して、悪意のあるアクションを実行することが知られています。たとえば、pcalua.exe とともに -a スイッチを使用して、ローカルでまたはリモート共有から悪意のある実行可能ファイルを起動したりします。 - Medium
Detected the disabling of critical services (重要なサービスの無効化が検出されました) %{Compromised Host} 上のホスト データの分析により、SharedAccess や Windows Security アプリなどの重要なサービスを停止するために使用される "net.exe stop" コマンドの実行が検出されました。 これらのいずれかのサービスの停止は、悪質な動作の兆候である場合があります。 - Medium
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。 -
Dynamic PS script construction (動的 PS スクリプトの構築) %{Compromised Host} 上のホスト データの分析により、PowerShell スクリプトが動的に構築されていることが検出されました。 攻撃者は、IDS システムを回避するため、スクリプトを段階的に構築するこの方法を使用する場合があります。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 - Medium
Executable found running from a suspicious location (不審な場所から実行されている実行可能ファイルが見つかりました) ホスト データの分析により、%{Compromised Host} で既知の不審なファイルと同様の場所から実行されている実行可能ファイルが検出されました。 この実行可能ファイルは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 -
Fileless attack behavior detected (ファイルレス攻撃動作が検出されました)
(VM_FilelessAttackBehavior.Windows)
指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。 具体的な動作は次のとおりです。
1) シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
2) アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
3) セキュリティの影響を受けやすいオペレーティング システム インターフェイスに対する関数の呼び出し。 参照される OS 機能については、後述する機能を参照してください。
4) 動的に割り当てられたコード セグメントで開始されたスレッドが含まれます。 これは、プロセス インジェクション攻撃の一般的なパターンです。
防御回避
Fileless attack technique detected (ファイルレス攻撃手法が検出されました)
(VM_FilelessAttackTechnique.Windows)
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです。
1) シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
2) コード インジェクション攻撃など、プロセスに挿入される実行可能イメージ。
3) アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
4) セキュリティの影響を受けやすいオペレーティング システム インターフェイスに対する関数の呼び出し。 参照される OS 機能については、後述する機能を参照してください。
5) プロセス ハロウイング。マルウェアに使用される手法です。正当なプロセスがシステムに読み込まれ、悪意のあるコードのコンテナーとして機能します。
6) 動的に割り当てられたコード セグメントで開始されたスレッドが含まれます。 これは、プロセス インジェクション攻撃の一般的なパターンです。
防御回避、実行
Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました)
(VM_FilelessAttackToolkit.Windows)
指定されたプロセスのメモリに、ファイルレス攻撃ツールキット [ツールキットの名前] が含まれています。 ファイルレス攻撃ツールキットには、ディスク上のマルウェアの痕跡を最小化または排除し、ディスクベースのマルウェア スキャン ソリューションによって検出される可能性を大幅に減らす手法が使用されています。 具体的な動作は次のとおりです。
1) 既知のツールキットと暗号化マイニング ソフトウェア。
2) シェルコード。通常、ソフトウェアの脆弱性の悪用時にペイロードとして使用される小さなコードです。
3) プロセス メモリ内に挿入された悪意のある実行可能ファイル。
防御回避、実行 Medium
High risk software detected (危険度の高いソフトウェアが検出されました) %{Compromised Host} 上のホスト データの分析により、過去にマルウェアのインストールに関連付けられていたことがあるソフトウェアの使用が検出されました。 悪意のあるソフトウェアの配布に使用される一般的な手法として、このアラートに示されているように、無害なツール内にそれをパッケージ化することが挙げられます。 これらのツールを使用すると、バックグラウンドでマルウェアが気付かないうちにインストールされる可能性があります。 - Medium
Local Administrators group members were enumerated (Local Administrators グループのメンバーが列挙されました) マシン ログに、グループ %{Enumerated Group Domain Name}%{Enumerated Group Name} に対する列挙が成功したことが示されています。 具体的には、%{Enumerating User Domain Name}%{Enumerating User Name} が、%{Enumerated Group Domain Name}%{Enumerated Group Name} グループのメンバーをリモートで列挙しました。 このアクティビティは、正当なアクティビティである場合もあれば、組織内のマシンが侵害され、%{vmname} の偵察に使用されたことを示している場合もあります。 - Informational
Malicious firewall rule created by ZINC server implant [seen multiple times] (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則 [複数回表示]) ファイアウォール規則は、既知のアクター (ZINC) に一致する手法を使用して作成されました。 この規則は、コマンド アンド コントロール通信を許可するために、%{Compromised Host} でポートを開くために使用された可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Malicious SQL activity (悪意のある SQL アクティビティ) マシン ログに、%{process name}' がアカウント %{user name} によって実行されたことが示されています。 このアクティビティは悪意のあるものと見なされます。 -
Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました) ホスト データの分析によって、%{Compromised Host} から短期間に通常とは異なる数のドメイン アカウントが照会されたことが判明しました。 この種のアクティビティは正当である可能性がありますが、侵害を示している場合もあります。 - Medium
Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示]) ホスト データの分析によって、メモリから資格情報を抽出できるようにする方法で使用されるネイティブ Windows ツール (sqldumper.exe など) の使用が検出されました。 多くの場合、攻撃者はこれらの手法を使用して資格情報を抽出し、それを横移動や特権エスカレーションに使用します。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました) %{Compromised Host} 上のホスト データの分析により、AppLocker 制限をバイパスする可能性のある試行が検出されました。 AppLocker は、Windows システムで実行できる実行可能ファイルを制限するポリシーを実装するように構成できます。 このアラートで識別されたものと同様のコマンド ライン パターンは、以前に攻撃者が、信頼できる実行可能ファイル (AppLocker ポリシーによって許可) を使用して信頼されていないコードを実行することで、AppLocker ポリシーを回避する試行に関連付けられていました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 -
Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました)
(VM_SvcHostRunInRareServiceGroup)
システム プロセス SVCHOST が、まれなサービス グループを実行していることが観察されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。 防御回避、実行 Informational
Sticky keys attack detected (固定キー攻撃が検出されました) ホスト データの分析で、攻撃者がホスト %{Compromised Host} へのバックドア アクセスを提供するために、アクセシビリティ バイナリ (固定キー、スクリーン キーボード、ナレーターなど) を侵害している可能性があることが示されています。 - Medium
Successful brute force attack (ブルート フォース攻撃の成功)
(VM_LoginBruteForceSuccess)
同じソースから複数回のサインイン試行が検出されました。 一部がホストに対して正常に認証されました。
これは、攻撃者が有効なアカウント資格情報を見つけるために多数の認証試行を実行する、バースト攻撃に似ています。
悪用 中/高
Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル) ホスト データの分析により、SYSTEM 特権で実行されている tscon.exe が検出されました。これは、このホストでログオンしている他のユーザーにコンテキストを切り替えるために、攻撃者がこのバイナリを悪用していることを示している可能性があります。これは、追加のユーザー アカウントを侵害し、ネットワーク全体を横方向に移動する攻撃者の既知の手法です。 - Medium
Suspect service installation (不審なサービスのインストール) ホスト データの分析により、tscon.exe がサービスとしてインストールされたことが検出されました。このバイナリはサービスとして開始されているため、攻撃者は、RDP 接続をハイジャックすることによって、このホスト上の他のログオン ユーザーに簡単に切り替えられる可能性があります。これは、さらに多くのユーザー アカウントを侵害し、ネットワーク全体を横方向に移動する既知の攻撃手法です。 - Medium
Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました) ホスト データの分析により、Kerberos ゴールデン チケット攻撃と一致するコマンドライン パラメーターが検出されました。 - Medium
Suspicious Account Creation Detected (不審なアカウント作成が検出されました) %{Compromised Host} 上のホスト データの分析により、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{Similar To Account Name}' と非常によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。 - Medium
Suspicious Activity Detected (不審なアクティビティが検出されました)
(VM_SuspiciousActivity)
ホスト データの分析によって、従来から悪意のあるアクティビティに関連付けられている、%{machine name} で実行中の 1 つ以上のプロセスのシーケンスが検出されました。 個々のコマンドは害がないように見える可能性がありますが、それらのコマンドの集合に基づいてアラートが評価されます。 これは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 実行 Medium
Suspicious authentication activity (不審な認証エラー アクティビティ)
(VM_LoginBruteForceValidUserFailed)
いずれも成功しませんでしたが、それらの一部がアカウントを使用したことがホストによって認識されました。 これは、ホストにアクセスするための有効な資格情報を見つけるために、定義済みのアカウント名とパスワードの辞書を使用して、攻撃者が多数の認証試行を実行する辞書攻撃に似ています。 これは、既知のアカウント名辞書にホスト アカウント名の一部が存在している可能性があることを示しています。 プローブ Medium
Suspicious code segment detected (不審なコード セグメントが検出されました) 反射型インジェクションやプロセス ハロウイングなど、標準以外の方法を使用してコード セグメントが割り当てられたことを示します。 このアラートは、処理されたコード セグメントのさらに多くの特性を提供して、報告されるコード セグメントの能力と動作に関するコンテキストを提供します。 - Medium
Suspicious double extension file executed (拡張子が 2 つある不審なファイルが実行されました) ホスト データの分析で、拡張子が 2 つある不審なプロセスの実行が示されています。 この拡張子は、ファイルを開いても安全であるとユーザーを欺くことがあります。また、システム上にマルウェアが存在することを示している場合があります。 -
Suspicious download using Certutil detected [seen multiple times] (Certutil を使用した不審なダウンロード [複数回表示]) %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード) %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 -
Suspicious PowerShell Activity Detected (不審な PowerShell アクティビティが検出されました) ホスト データの分析により、%{Compromised Host} で、既知の不審なスクリプトと共通する機能を持つ PowerShell スクリプトが実行されていることが検出されました。 このスクリプトは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 -
Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました) ホスト データの分析で、既知の悪意のある PowerShell PowerSploit コマンドレットの実行が示されています。 - Medium
Suspicious process executed [seen multiple times] (不審なプロセスが実行されました [複数回表示]) マシン ログに、不審なプロセス '%{Suspicious Process}' がマシン上で実行されていたことが示されています。多くの場合、これは攻撃者の資格情報へのアクセスの試行に関連付けられています。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Suspicious process executed (不審なプロセスが実行されました) マシン ログに、不審なプロセス '%{Suspicious Process}' がマシン上で実行されていたことが示されています。多くの場合、これは攻撃者の資格情報へのアクセスの試行に関連付けられています。 -
Suspicious process name detected [seen multiple times] (不審なプロセス名が検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、不審な名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応していたり、目立たないようにする攻撃ツールを連想させる方法で名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Suspicious process name detected (不審なプロセス名が検出されました) %{Compromised Host} 上のホスト データの分析により、不審な名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応していたり、目立たないようにする攻撃ツールを連想させる方法で名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 -
Suspicious SQL activity (不審な SQL アクティビティ) マシン ログに、%{process name}' がアカウント %{user name} によって実行されたことが示されています。 このアカウントでは、このアクティビティは一般的ではありません。 - Medium
Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました) システム プロセス SVCHOST が異常なコンテキストで実行されていることが確認されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。 -
Suspicious system process executed (不審なシステム プロセスが実行されました)
(VM_SystemProcessInAbnormalContext)
システム プロセス %{process name} が異常なコンテキストで実行されていることが確認されました。 マルウェアは、悪意のあるアクティビティをマスカレードするためにこのプロセス名を使用することがよくあります。 防御回避、実行
Suspicious Volume Shadow Copy Activity (不審なボリューム シャドウ コピー アクティビティ) ホスト データの分析により、リソースに対するシャドウ コピーの削除アクティビティが検出されました。 ボリューム シャドウ コピー (VSC) は、データ スナップショットを保存する重要なアーティファクトです。 一部のマルウェア (具体的にはランサムウェア) は、バックアップ戦略を妨害するために VSC をターゲットにします。 -
Suspicious WindowPosition registry value detected (不審な WindowPosition レジストリ値が検出されました) %{Compromised Host} 上のホスト データの分析により、WindowPosition レジストリ構成の変更が試されたことが検出されました。これは、デスクトップの非表示セクションにアプリケーション ウィンドウを隠していることを示している可能性があります。 これは、正当なアクティビティである可能性も、または侵害されたマシンの兆候である可能性もあります。この種のアクティビティは、以前は Win32/OneSystemCare や Win32/SystemHealer などの既知のアドウェア (または望ましくないソフトウェア) および Win32/Creprote などのマルウェアに関連付けられていました。 WindowPosition 値が 201329664 に設定されている場合 (16 進数:0x0c00 0c00、X 軸 = 0c00 と Y 軸 = 0c00 に対応します)、これにより、コンソール アプリのウィンドウが、ユーザーの画面の非表示セクション (表示されている [スタート] メニューとタスクバーの下に隠れて見えない領域) に配置されます。 既知の不審な 16 進値には c000c000 が含まれますが、これに限定されません。 -
Suspiciously named process detected (不審な名前が付けられたプロセスが検出されました) %{Compromised Host} 上のホスト データの分析により、非常に一般的に実行されるプロセス (%{Similar To Process Name}) とよく似ているが異なる名前のプロセスが検出されました。 このプロセスは無害の可能性もありますが、攻撃者が悪意のあるツールを隠すために正当なプロセス名に似た名前を付けることがあることが知られています。 - Medium
Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)
(VM_VMAccessUnusualConfigReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる構成のリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとしている可能性があります。
資格情報アクセス
Unusual process execution detected (通常とは異なるプロセスの実行が検出されました) %{Compromised Host} 上のホスト データの分析により、%{User Name} による通常とは異なるプロセスの実行が検出されました。 %{User Name} などのアカウントは、限られた一連の操作を実行する傾向があります。この実行は、普段の振る舞いとは異なっており、不審な可能性があると判断されました。 -
Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)
(VM_VMAccessUnusualPasswordReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー パスワードのリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのローカル ユーザーの資格情報をリセットし、侵害しようとしている可能性があります。
資格情報アクセス Medium
Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)
(VM_VMAccessUnusualSSHReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー SSH キーのリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのユーザー アカウントの SSH キーをリセットし、侵害しようとしている可能性があります。
資格情報アクセス Medium
VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました) コマンド プロンプトを使用した VBScript ファイルの作成が検出されました。 次のスクリプトには、HTTP オブジェクト割り当てコマンドが含まれています。 このアクションは、悪意のあるファイルをダウンロードするために使用される可能性があります。
仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)
(VM_GPUDriverExtensionUnusualExecution)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、GPU 拡張機能の疑わしいインストールが仮想マシンで検出されました。 攻撃者は、GPU ドライバー拡張機能を使用して、暗号化ジャックを実行するために、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 影響

Linux マシンのアラート

Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Linux マシンに対して提供されるアラートは次のとおりです。

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
a history file has been cleared (履歴ファイルが消去されました) ホスト データの分析で、コマンド履歴ログ ファイルが消去されたことが示されています。 攻撃者は、証拠を残さないようにするためにこれを行う場合があります。 操作は次のユーザーによって実行されました: '%{user name}'。 -
適応型アプリケーション制御ポリシー違反が監査されました
(VM_AdaptiveApplicationControlLinuxViolationAudited)
次のユーザーは、このコンピューティングで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。 実行 情報提供
Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)
(VM_AmBroadFilesExclusion)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、広範な除外ルールを使用したマルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
- Medium
Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)
(VM_AmDisablementAndCodeExecution)
仮想マシンでコードの実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。
-
Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)
(VM_AmDisablement)
仮想マシンでマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
防御回避 Medium
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmFileExclusionAndCodeExecution)
仮想マシンでカスタム スクリプト拡張機能を使用してコードが実行されると同時に、マルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避、実行
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmTempFileExclusionAndCodeExecution)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能からの一時的なファイル除外が仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避、実行
Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)
(VM_AmTempFileExclusion)
仮想マシンのマルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)
(VM_AmRealtimeProtectionDisabled)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmTempRealtimeProtectionDisablement)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
防御回避 Medium
Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmRealtimeProtectionDisablementAndCodeExec)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
-
Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)
(VM_AmMalwareCampaignRelatedExclusion)
マルウェア活動に関連している疑いのある特定のファイルがウイルス対策拡張機能によってスキャンされるのを阻止する除外ルールが、仮想マシンで検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。 防御回避 Medium
Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)
(VM_AmTemporarilyDisablement)
仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
- Medium
Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)
(VM_UnusualAmFileExclusion)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる、マルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。
攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
防御回避 Medium
Behavior similar to ransomware detected [seen multiple times] (ランサムウェアに似た動作が検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、ユーザーがシステム ファイルや個人ファイルにアクセスすることを妨げたり、アクセスを回復するために身代金支払いを要求したりする可能性がある、既知のランサムウェアに似たファイルの実行が検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用 Medium
Container with a miner image detected (マイナー イメージを持つコンテナーが検出されました)
(VM_MinerInContainerImage)
マシン ログに、デジタル通貨マイニングに関連付けられているイメージを実行する Docker コンテナーの実行が示されています。 実行
Detected anomalous mix of upper and lower case characters in command line (コマンド ラインで通常とは異なる大文字と小文字の混在が検出されました) %{Compromised Host} 上のホスト データの分析により、通常とは異なる大文字と小文字の混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。 - Medium
Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) ホスト データの分析で、%{Compromised Host} で既知のマルウェア ソースからのファイルのダウンロードが検出されました。 - Medium
Detected suspicious network activity (不審なネットワーク アクティビティが検出されました) %{Compromised Host} からのネットワーク トラフィックの分析で、不審なネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 -
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。 -
Disabling of auditd logging [seen multiple times] (auditd ログ記録の無効化 [複数回表示]) Linux 監査システムには、システムに関するセキュリティ関連情報を追跡する手段が用意されています。 これにより、ご使用のシステムで発生しているイベントについて、可能な限り多くの情報が記録されます。 auditd ログ記録を無効にすると、システムで使用されるセキュリティ ポリシーの違反の検出を妨げる可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Exploitation of Xorg vulnerability [seen multiple times] (Xorg の脆弱性の悪用 [複数回表示]) %{Compromised Host} 上のホスト データの分析により、不審な引数を持つ Xorg のユーザーが検出されました。 攻撃者が特権エスカレーションの試行で、この手法を使用する場合があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Failed SSH brute force attack (失敗した SSH ブルート フォース攻撃)
(VM_SshBruteForceFailed)
次の攻撃者からのブルート フォース攻撃が失敗したことが検出されました: %{Attackers}。 攻撃者は次のユーザー名を使用してホストにアクセスしようとしました: %{Accounts used on failed sign in to host attempts}。 プローブ Medium
Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました)
(VM_FilelessAttackBehavior.Linux)
以下に指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。
具体的な動作は次のとおりです: {観察された動作の一覧}
実行
Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました)
(VM_FilelessAttackTechnique.Linux)
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。
具体的な動作は次のとおりです: {観察された動作の一覧}
実行
Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました)
(VM_FilelessAttackToolkit.Linux)
以下に示すプロセスのメモリには、ファイルレス攻撃ツールキットが含まれています: {ToolKitName}。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。
具体的な動作は次のとおりです: {観察された動作の一覧}
防御回避、実行
Hidden file execution detected (隠しファイルの実行が検出されました) ホスト データの分析で、%{user name} によって隠しファイルが実行されたことが示されています。 このアクティビティは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 - Informational
New SSH key added [seen multiple times] (新しい SSH キーが追加されました [複数回表示])
(VM_SshKeyAddition)
新しい SSH キーが承認済みキー ファイルに追加されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] 永続化
New SSH key added (新しい SSH キーが追加されました) 新しい SSH キーが承認済みキー ファイルに追加されました。 -
Possible backdoor detected [seen multiple times] (バックドアの可能性が検出されました [複数回表示]) ホスト データの分析により、ダウンロードされてご使用のサブスクリプション内の %{Compromised Host} で実行されている不審なファイルが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Possible exploitation of the mailserver detected (メール サーバーの悪用の可能性が検出されました)
(VM_MailserverExploitation )
%{Compromised Host} 上のホスト データの分析により、メール サーバー アカウントでの異常な実行が検出されました 悪用 Medium
Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました) %{Compromised Host} 上のホスト データの分析により、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したマシンに Web シェルをアップロードすることがよくあります。 - Medium
Possible password change using crypt-method detected [seen multiple times] (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、crypt メソッドを使用したパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Process associated with digital currency mining detected [seen multiple times] (デジタル通貨マイニングに関連するプロセスが検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 この動作は、次のマシンで今日 100 回以上見られました: [マシン名] - Medium
Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました) ホスト データ分析で、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 悪用、実行 Medium
Python encoded downloader detected [seen multiple times] (Python エンコード ダウンローダーが検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、リモートの場所からコードをダウンロードして実行するエンコードされた Python の実行が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Screenshot taken on host [seen multiple times] (ホストでスクリーンショットが作成されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、画面キャプチャ ツールの使用が検出されました。 攻撃者は、これらのツールを使用してプライベート データにアクセスする場合があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] -
Shellcode detected [seen multiple times] (Shellcode が検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、コマンド ラインから shellcode が生成されていることが検出されました。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Successful SSH brute force attack (SSH ブルート フォース攻撃の成功)
(VM_SshBruteForceSuccess)
ホスト データの分析で、ブルート フォース攻撃が成功したことが検出されました。 IP %{Attacker source IP} が、複数のログイン試行を行っていたことが確認されました。 成功したログインは、次のユーザーを使用してその IP から行われました: %{Accounts used to successfully sign in to host}。 これは、ホストが侵害され、悪意のあるアクターによって制御されている可能性があることを意味します。 悪用
Suspicious Account Creation Detected (不審なアカウント作成が検出されました) %{Compromised Host} 上のホスト データの分析により、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{Similar To Account Name}' と非常によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。 -
Suspicious kernel module detected [seen multiple times] (不審なカーネル モジュールが検出されました [複数回表示]) %{Compromised Host} 上のホスト データの分析により、カーネル モジュールとして読み込まれている共有オブジェクト ファイルが検出されました。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Medium
Suspicious password accesss [seen multiple times] (不審なパスワード アクセス [複数回表示]) ホスト データの分析で、%{Compromised Host} で暗号化されたユーザー パスワードへの不審なアクセスが検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] - Informational
Suspicious password access (不審なパスワード アクセス) ホスト データの分析で、%{Compromised Host} で暗号化されたユーザー パスワードへの不審なアクセスが検出されました。 - Informational
Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)
(VM_KubernetesDashboard)
マシンのログは、Kubernetes ダッシュボードに対して不審な要求が行われたことを示しています。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。 横移動 Medium
Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)
(VM_VMAccessUnusualConfigReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる構成のリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとしている可能性があります。
資格情報アクセス
Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)
(VM_VMAccessUnusualPasswordReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー パスワードのリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのローカル ユーザーの資格情報をリセットし、侵害しようとしている可能性があります。
資格情報アクセス Medium
Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)
(VM_VMAccessUnusualSSHReset)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー SSH キーのリセットが仮想マシンで検出されました。
このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのユーザー アカウントの SSH キーをリセットし、侵害しようとしている可能性があります。
資格情報アクセス Medium
仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)
(VM_GPUDriverExtensionUnusualExecution)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、GPU 拡張機能の疑わしいインストールが仮想マシンで検出されました。 攻撃者は、GPU ドライバー拡張機能を使用して、暗号化ジャックを実行するために、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 影響

DNS のアラート

重要

8 月 1 日の時点で、Defender for DNS の既存のサブスクリプションを持つお客様は引き続きサービスを使用できますが、新規契約者の場合は Defender for Servers P2 の一部として疑わしい DNS アクティビティに関するアラートを受け取ります。

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Anomalous network protocol usage (ネットワーク プロトコルの異常な使用)
(AzureDNS_ProtocolAnomaly)
%{CompromisedEntity} からの DNS トランザクションの分析により、プロトコルの異常な使用が検出されました。 このようなトラフィックは無害の場合もありますが、ネットワーク トラフィック フィルタリングをバイパスするために、この一般的なプロトコルの不正使用を示している可能性があります。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 窃盗 -
Anonymity network activity (匿名ネットワーク アクティビティ)
(AzureDNS_DarkWeb)
%{CompromisedEntity} からの DNS トランザクションの分析により、匿名ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Anonymity network activity using web proxy (Web プロキシを使用した匿名ネットワーク アクティビティ)
(AzureDNS_DarkWebProxy)
%{CompromisedEntity} からの DNS トランザクションの分析により、匿名ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Attempted communication with suspicious sinkholed domain (不審なシンクホール ドメインとの通信の試行)
(AzureDNS_SinkholedDomain)
%{CompromisedEntity} からの DNS トランザクションの分析により、シンクホール ドメインに対する要求が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗 Medium
Communication with possible phishing domain (フィッシングの可能性があるドメインとの通信)
(AzureDNS_PhishingDomain)
%{CompromisedEntity} からの DNS トランザクションの分析により、フィッシングの可能性があるドメインに対する要求が検出されました。 このようなアクティビティは無害の場合もありますが、リモート サービスに対する資格情報を収集するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、正当なサービスでの資格情報の悪用が含まれる可能性があります。 窃盗 情報提供
Communication with suspicious algorithmically generated domain (アルゴリズムによって生成された不審なドメインとの通信)
(AzureDNS_DomainGenerationAlgorithm)
%{CompromisedEntity} からの DNS トランザクションの分析により、ドメイン生成アルゴリズムが使用された可能性があることが検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗 情報提供
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 初期アクセス Medium
Communication with suspicious random domain name (不審なランダム ドメイン名との通信)
(AzureDNS_RandomizedDomain)
%{CompromisedEntity} からの DNS トランザクションの分析により、ランダムに生成された不審なドメイン名の使用が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗 情報提供
Digital currency mining activity (デジタル通貨マイニング アクティビティ)
(AzureDNS_CurrencyMining)
%{CompromisedEntity} からの DNS トランザクションの分析により、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Network intrusion detection signature activation (ネットワーク侵入検知シグネチャのアクティブ化)
(AzureDNS_SuspiciousDomain)
%{CompromisedEntity} からの DNS トランザクションの分析により、既知の悪意のあるネットワーク シグネチャが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗 Medium
Possible data download via DNS tunnel (DNS トンネルを介したデータ ダウンロードの可能性)
(AzureDNS_DataInfiltration)
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Possible data exfiltration via DNS tunnel (DNS トンネルを介したデータ流出の可能性)
(AzureDNS_DataExfiltration)
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Possible data transfer via DNS tunnel (DNS トンネルを介したデータ転送の可能性)
(AzureDNS_DataObfuscation)
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 窃盗

Azure VM 拡張機能のアラート

これらのアラートは、Azure 仮想マシン拡張機能の疑わしいアクティビティを検出することに重点を置き、仮想マシンで悪意のあるアクティビティを侵害および実行しようとする攻撃者の試みに関する分析情報を提供します。

Azure 仮想マシン拡張機能は、仮想マシンでデプロイ後に実行され、構成、自動化、監視、セキュリティなどの機能を提供する小規模なアプリケーションです。 拡張機能は強力なツールですが、次のようなさまざまな悪意のある意図で脅威アクターに使用される可能性があります。

  • データ収集と監視

  • 高い特権でのコードの実行と構成のデプロイ

  • 資格情報のリセットと管理ユーザーの作成

  • ディスクの暗号化

Azure VM 拡張機能の悪用に対する Defender for Cloud の最新の保護について説明します。

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー)
(VM_GPUExtensionSuspiciousFailure)
サポートされていない VM に GPU 拡張機能をインストールしようとする不審な意図。 この拡張機能はグラフィック プロセッサを搭載した仮想マシンにインストールする必要がありますが、この場合、仮想マシンにはグラフィック プロセッサが搭載されていません。 これらのエラーは、悪意のある攻撃者が暗号化マイニングを目的としてそのような拡張機能の複数のインストールを実行するときに発生する可能性があります。 影響
仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー)
(VM_GPUDriverExtensionUnusualExecution)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で GPU 拡張機能の不審なインストールが検出されました。 攻撃者は、GPU ドライバー拡張機能を使用して、暗号化ジャックを実行するために、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 プリンシパルの動作が通常のパターンから逸脱しているため、この行為は不審であると考えられます。 影響
仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー)
(VM_RunCommandSuspiciousScript)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で不審なスクリプトを含む Run Command が検出されました。 攻撃者は Run Command を使用し、Azure Resource Manager 経由で仮想マシン上で高い権限で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 実行
仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー)
(VM_RunCommandSuspiciousFailure)
Run Command の不審な不正使用が失敗し、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシン上で検出されました。 攻撃者は、Run Command を使用して、Azure Resource Manager 経由で仮想マシン上で高い権限で悪意のあるコードを実行しようとする可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 実行
仮想マシン上で不審な Run Command の使用が検出されました (プレビュー)
(VM_RunCommandSuspiciousUsage)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で Run Command の不審な使用が検出されました。 攻撃者は Run Command を使用し、Azure Resource Manager 経由で仮想マシン上で高い権限で悪意のあるコードを実行する可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 実行
複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)
(VM_SuspiciousMultiExtensionUsage)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で複数の監視拡張機能またはデータ収集拡張機能の不審な使用が検出されました。 攻撃者は、サブスクリプション内のデータ収集、ネットワーク トラフィックの監視などのためにこのような拡張機能を悪用する可能性があります。 この使用はこれまで一般的に見られたことがないため、疑わしいと考えられます。 偵察
仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー)
(VM_DiskEncryptionSuspiciousUsage)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました。 攻撃者はディスク暗号化拡張機能を悪用し、Azure Resource Manager 経由で仮想マシンにフルディスク暗号化を展開し、ランサムウェア アクティビティを実行する可能性があります。 このアクティビティは、これまで一般的に見られたことがなく、拡張機能のインストール数が多いため、疑わしいと考えられます。 影響
VMAccess 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)
(VM_VMAccessSuspiciousUsage)
VMAccess 拡張機能の不審な使用が仮想マシンで検出されました。 攻撃者は、VMAccess 拡張機能を悪用してアクセスを取得し、アクセスをリセットしたり管理ユーザーを管理したりすることで、高い権限を持つ仮想マシンを侵害する可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 永続化
不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー)
(VM_DSCExtensionSuspiciousScript)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い権限で仮想マシンに展開する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 実行
Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)
(VM_DSCExtensionSuspiciousUsage)
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で Desired State Configuration (DSC) 拡張機能の不審な使用が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い権限で仮想マシンに展開する可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 実行
不審なスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました (プレビュー)
(VM_CustomScriptExtensionSuspiciousCmd)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいスクリプトを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者はカスタム スクリプト拡張機能を使用し、Azure Resource Manager 経由で仮想マシン上で高い権限で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 実行
Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタム スクリプト拡張機能の不審な実行の失敗)
(VM_CustomScriptExtensionSuspiciousFailure)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能の不審な失敗が仮想マシンで検出されました。 このような失敗は、この拡張機能によって実行された悪意のあるスクリプトに関連している可能性があります。 実行
Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の削除)
(VM_CustomScriptExtensionUnusualDeletion)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の削除が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 実行 Medium
Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の実行)
(VM_CustomScriptExtensionUnusualExecution)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の実行が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 実行 Medium
Custom script extension with suspicious entry-point in your virtual machine (不審なエントリ ポイントを使用した、仮想マシンのカスタム スクリプト拡張機能)
(VM_CustomScriptExtensionSuspiciousEntryPoint)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、不審なエントリ ポイントを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 このエントリ ポイントは、不審な GitHub リポジトリを参照しています。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 実行 Medium
Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタム スクリプト拡張機)
(VM_CustomScriptExtensionSuspiciousPayload)
サブスクリプションでの Azure Resource Manager の操作を分析することによって、不審な GitHub リポジトリからのペイロードを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 実行

Azure App Service のアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
An attempt to run Linux commands on a Windows App Service (Windows App Service での Linux コマンドの実行試行)
(AppServices_LinuxCommandOnWindows)
App Service のプロセスの分析で、Windows App Service での Linux コマンドの実行試行が検出されました。 このアクションは、Web アプリケーションにより実行されていました。 この動作は、一般的な Web アプリケーションの脆弱性を悪用する活動でよく見られます。
(適用対象: App Service on Windows)
- Medium
An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (脅威インテリジェンスで、Azure App Service の FTP インターフェイスに接続した IP が見つかりました)
(AppServices_IncomingTiClientIpFtp)
Azure App Service の FTP ログに、脅威インテリジェンス フィードで見つかったソース アドレスからの接続が示されています。 この接続中に、ユーザーが、一覧表示されているページにアクセスしました。
(適用対象: App Service on Windows と App Service on Linux)
初期アクセス Medium
Attempt to run high privilege command detected (高い特権のコマンドの実行試行が検出されました)
(AppServices_HighPrivilegeCommand)
App Service のプロセスの分析により、高い特権が必要なコマンドの実行試行が検出されました。
このコマンドは、Web アプリケーションのコンテキストで実行されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は悪意のあるアクティビティでも観察されます。
(適用対象: App Service on Windows)
- Medium
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用 Medium
Connection to web page from anomalous IP address detected (異常な IP アドレスからの Web ページへの接続が検出されました)
(AppServices_AnomalousPageAccess)
Azure App Service のアクティビティ ログに、一覧に含まれているソース IP アドレスから機密性の高い Web ページへの異常な接続が示されています。 これは、何者かが Web アプリの管理ページにブルート フォース攻撃を試みていることを示している可能性があります。 正当なユーザーが新しい IP アドレスを使用した結果である可能性もあります。 ソース IP アドレスが信頼されている場合、このリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。
(適用対象: App Service on Windows と App Service on Linux)
初期アクセス
Dangling DNS record for an App Service resource detected (App Service リソースの未解決の DNS レコードが検出されました)
(AppServices_DanglingDomain)
最近削除された App Service リソースを参照する DNS レコード ("未解決の DNS" エントリ) が検出されました。 サブドメインの乗っ取りに対して無防備な状態となっています。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。
(適用対象: App Service on Windows と App Service on Linux)
-
Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)
(AppServices_Base64EncodedExecutableInCommandLineParams)
{Compromised host} 上のホスト データの分析により、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。
(適用対象: App Service on Windows)
防御回避、実行
Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)
(AppServices_SuspectDownload)
ホスト データの分析により、ホストで既知のマルウェア ソースからのファイルのダウンロードが検出されました。
(適用対象: App Service on Linux)
特権エスカレーション、実行、窃盗、コマンド アンド コントロール Medium
Detected suspicious file download (不審なファイルのダウンロードが検出されました)
(AppServices_SuspectDownloadArtifacts)
ホスト データの分析により、不審なリモート ファイルのダウンロードが検出されました。
(適用対象: App Service on Linux)
永続化 Medium
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
(AppServices_DigitalCurrencyMining)
Inn-Flow-WebJobs 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。
(適用対象: App Service on Windows と App Service on Linux)
実行
Executable decoded using certutil (certutil を使用してデコードされた実行可能ファイル)
(AppServices_ExecutableDecodedUsingCertutil)
[Compromised entity] 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、実行可能ファイルをデコードするために使用されていたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。
(適用対象: App Service on Windows)
防御回避、実行
Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました)
(AppServices_FilelessAttackBehaviorDetection)
以下に指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。
具体的な動作は次のとおりです: {観察された動作の一覧}
(適用対象: App Service on Windows と App Service on Linux)
実行 Medium
Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました)
(AppServices_FilelessAttackTechniqueDetection)
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。
具体的な動作は次のとおりです: {観察された動作の一覧}
(適用対象: App Service on Windows と App Service on Linux)
実行
Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました)
(AppServices_FilelessAttackToolkitDetection)
以下に示すプロセスのメモリには、ファイルレス攻撃ツールキットが含まれています: {ToolKitName}。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。
具体的な動作は次のとおりです: {観察された動作の一覧}
(適用対象: App Service on Windows と App Service on Linux)
防御回避、実行
Microsoft Defender for Cloud test alert for App Service (not a threat) (App Service に対する Microsoft Defender for Cloud のテスト アラート (脅威ではありません))
(AppServices_EICAR)
これは、Microsoft Defender for Cloud によって生成されたテスト アラートです。 これ以外の操作は必要ありません。
(適用対象: App Service on Windows と App Service on Linux)
-
NMap scanning detected (NMap スキャンが検出されました)
(AppServices_Nmap)
Azure App Service のアクティビティ ログに、App Service リソースに対する Web フィンガー プリント アクティビティの可能性が示されています。
検出された不審なアクティビティは、NMAP と関連しています。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。
(適用対象: App Service on Windows と App Service on Linux)
攻撃前 情報提供
Phishing content hosted on Azure Webapps (Azure Webapps でホストされているコンテンツのフィッシング)
(AppServices_PhishingContent)
Azure AppServices Web サイトでフィッシング攻撃に使用された URL が検出されました。 この URL は、Microsoft 365 のお客様に送信されたフィッシング攻撃の一部でした。 通常、このコンテンツでは、訪問者が正規に見える Web サイトに自分の会社の資格情報または財務情報を入力するよう誘導します。
(適用対象: App Service on Windows と App Service on Linux)
コレクション
PHP file in upload folder (アップロード フォルダー内の PHP ファイル)
(AppServices_PhpInUploadFolder)
Azure App Service のアクティビティ ログに、アップロード フォルダー内にある不審な PHP ページへのアクセスが示されています。
この種のフォルダーには通常、PHP ファイルは含まれません。 この種のファイルが存在する場合は、任意のファイル アップロードの脆弱性を利用した悪用を示している可能性があります。
(適用対象: App Service on Windows と App Service on Linux)
実行 Medium
Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)
(AppServices_CryptoCoinMinerDownload)
ホスト データの分析により、通常はデジタル通貨マイニングに関連するファイルのダウンロードが検出されました。
(適用対象: App Service on Linux)
防御回避、コマンド アンド コントロール、悪用 Medium
Possible data exfiltration detected (データ流出の可能性が検出されました)
(AppServices_DataEgressArtifacts)
ホスト/デバイス データの分析により、データ エグレス状態の可能性が検出されました。 攻撃者は多くの場合、侵害したマシンからデータを送信します。
(適用対象: App Service on Linux)
コレクション、データ流出 Medium
Potential dangling DNS record for an App Service resource detected (App Service リソースに対する潜在的な未解決の DNS レコードが検出されました)
(AppServices_PotentialDanglingDomain)
最近削除された App Service リソースを参照する DNS レコード ("未解決の DNS" エントリ) が検出されました。 サブドメインの乗っ取りに対して無防備な状態となっている可能性があります。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 このケースでは、ドメイン検証 ID を含んだテキスト レコードが見つかりました。 そのようなテキスト レコードにはサブドメインの乗っ取りを防ぐ効果がありますが、それでも未解決のドメインを削除することをお勧めします。 そのサブドメインを指す DNS レコードを放置すると、今後、その TXT ファイルまたはレコードが組織内のだれかによって削除された場合にリスクが生じます。
(適用対象: App Service on Windows と App Service on Linux)
-
Potential reverse shell detected (リバース シェルの可能性が検出されました)
(AppServices_ReverseShell)
ホスト データの分析により、リバース シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。
(適用対象: App Service on Linux)
窃盗、悪用 Medium
Raw data download detected (生データのダウンロードが検出されました)
(AppServices_DownloadCodeFromWebsite)
App Service プロセスの分析により、Pastebin などの生データ Web サイトからコードをダウンロードする試行が検出されました。 このアクションは PHP プロセスによって実行されました。 この動作は、Web シェルやその他の悪意のあるコンポーネントを App Service にダウンロードする試行に関連付けられています。
(適用対象: App Service on Windows)
実行 Medium
Saving curl output to disk detected (curl 出力のディスクへの保存が検出されました)
(AppServices_CurlToDisk)
App Service プロセスの分析により、curl コマンドが実行され、出力がディスクに保存されたことが検出されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティでも観察されます。
(適用対象: App Service on Windows)
-
Spam folder referrer detected (スパム フォルダーの参照元が検出されました)
(AppServices_SpamReferrer)
Azure App Service のアクティビティ ログに、スパム アクティビティに関連付けられている Web サイトが発信元と特定された Web アクティビティが示されています。 これは、Web サイトが侵害され、スパム アクティビティに使用された場合に発生する可能性があります。
(適用対象: App Service on Windows と App Service on Linux)
-
Suspicious access to possibly vulnerable web page detected (脆弱な可能性がある Web ページへの不審なアクセスが検出されました)
(AppServices_ScanSensitivePage)
Azure App Service のアクティビティ ログに、機密性が高いと思われる Web ページにアクセスされたことが示されています。 この不審なアクティビティは、Web スキャナーによるものに似たアクセス パターンを持つソース IP アドレスから発生しています。
このアクティビティは、多くの場合、攻撃者がネットワークをスキャンして、機密性が高いか脆弱な Web ページへのアクセス権を取得しようとする試みと関連しています。
(適用対象: App Service on Windows と App Service on Linux)
-
Suspicious domain name reference (不審なドメイン名参照)
(AppServices_CommandlineSuspectDomain)
ホスト データの分析により、不審なドメイン名の参照が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。
(適用対象: App Service on Linux)
窃盗
Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード)
(AppServices_DownloadUsingCertutil)
{NAME} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。
(適用対象: App Service on Windows)
実行 Medium
Suspicious PHP execution detected (不審な PHP の実行が検出されました)
(AppServices_SuspectPhp)
マシン ログは、不審な PHP プロセスが実行されていることを示しています。 このアクションには、PHP プロセスを使用してコマンドラインからオペレーティング システム コマンドまたは PHP コードを実行する試みが含まれていました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティを示している可能性があります。
(適用対象: App Service on Windows と App Service on Linux)
実行 Medium
Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました)
(AppServices_PowerShellPowerSploitScriptExecution)
ホスト データの分析で、既知の悪意のある PowerShell PowerSploit コマンドレットの実行が示されています。
(適用対象: App Service on Windows)
実行 Medium
Suspicious process executed (不審なプロセスが実行されました)
(AppServices_KnownCredential AccessTools)
マシン ログに、不審なプロセス '%{process path}' がマシン上で実行されていたことが示されています。これは、多くの場合、攻撃者による資格情報へのアクセスの試行に関連しています。
(適用対象: App Service on Windows)
資格情報アクセス
Suspicious process name detected (不審なプロセス名が検出されました)
(AppServices_ProcessWithKnownSuspiciousExtension)
{NAME} 上のホスト データの分析により、不審な名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応しているものであったり、目立たないように攻撃ツールらしい名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。
(適用対象: App Service on Windows)
永続化、防御回避 Medium
Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました)
(AppServices_SVCHostFromInvalidPath)
システム プロセス SVCHOST が異常なコンテキストで実行されていることが確認されました。 マルウェアは、その悪意のあるアクティビティをマスクするために SVCHOST を使用することがよくあります。
(適用対象: App Service on Windows)
防御回避、実行
Suspicious User Agent detected (不審なユーザー エージェントが検出されました)
(AppServices_UserAgentInjection)
Azure App Service のアクティビティ ログに、不審なユーザー エージェントの要求が示されています。 この動作は、App Service アプリケーションの脆弱性を悪用する試行を示している可能性があります。
(適用対象: App Service on Windows と App Service on Linux)
初期アクセス 情報提供
Suspicious WordPress theme invocation detected (不審な WordPress テーマの呼び出しが検出されました)
(AppServices_WpThemeInjection)
Azure App Service のアクティビティ ログに、App Service リソースに対するコード インジェクション アクティビティの可能性が示されています。
検出された不審なアクティビティは、WordPress テーマの操作のアクティビティに似ています。このアクティビティはサーバー側でのコードの実行をサポートし、その実行の後に、操作されたテーマ ファイルを呼び出すための直接の Web 要求が続きます。
この種類のアクティビティは、WordPress での攻撃活動の一環として過去に確認されています。
App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。
(適用対象: App Service on Windows と App Service on Linux)
実行
Vulnerability scanner detected (脆弱性スキャナーが検出されました)
(AppServices_DrupalScanner)
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。
検出された不審なアクティビティは、コンテンツ管理システム (CMS) をターゲットにしているツールのアクティビティに似ています。
App Service リソースが Drupal サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。
(適用対象: App Service on Windows)
攻撃前
Vulnerability scanner detected (脆弱性スキャナーが検出されました)
(AppServices_JoomlaScanner)
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。
検出された不審なアクティビティは、Joomla アプリケーションをターゲットにしているツールのアクティビティに似ています。
App Service リソースが Joomla サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。
(適用対象: App Service on Windows と App Service on Linux)
攻撃前
Vulnerability scanner detected (脆弱性スキャナーが検出されました)
(AppServices_WpScanner)
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。
検出された不審なアクティビティは、WordPress アプリケーションをターゲットにしているツールのアクティビティに似ています。
App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。
(適用対象: App Service on Windows と App Service on Linux)
攻撃前
Web fingerprinting detected (Web フィンガー プリントが検出されました)
(AppServices_WebFingerprinting)
Azure App Service のアクティビティ ログに、App Service リソースに対する Web フィンガー プリント アクティビティの可能性が示されています。
検出された不審なアクティビティは、Blind Elephant と呼ばれるツールと関連しています。 このツールは、Web サーバーのフィンガープリントを取得し、インストールされているアプリケーションとバージョンを検出しようとします。
攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。
(適用対象: App Service on Windows と App Service on Linux)
攻撃前 Medium
Website is tagged as malicious in threat intelligence feed (Web サイトが脅威インテリジェンス フィードで悪意のあるものとしてタグ付けされています)
(AppServices_SmartScreen)
次に示すように、Web サイトが Windows SmartScreen によって悪意のあるサイトとしてマークされています。 擬陽性であると考えられる場合は、提供されているレポート フィードバック リンクを使用して Windows SmartScreen までお問い合わせください。
(適用対象: App Service on Windows と App Service on Linux)
コレクション Medium

コンテナーのアラート - Kubernetes クラスター

Microsoft Defender for Containers では、コントロール プレーン (API サーバー) とコンテナー化されたワークロード自体の両方を監視することで、クラスター レベルと基になるクラスター ノードのセキュリティ アラートを提供します。 コントロール プレーンのセキュリティ アラートは、アラートの種類の K8S_ プレフィックスで見分けることができます。 クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。 特に指定がない限り、すべてのアラートは Linux でのみサポートされます。

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Exposed Postgres service with trust authentication configuration in Kubernetes detected (Preview) (Kubernetes で信頼認証構成を使用した Postgres サービスの公開が検出されました (プレビュー))
(K8S_ExposedPostgresTrustAuth)
Kubernetes クラスター構成分析で、ロード バランサーによる Postgres サービスの公開が検出されました。 このサービスは、資格情報を必要としない信頼認証方式を使用して構成されています。 初期アクセス Medium
Exposed Postgres service with risky configuration in Kubernetes detected (Preview) (Kubernetes で危険な構成を持つ Postgres サービスの公開が検出さました (プレビュー))
(K8S_ExposedPostgresBroadIPRange)
Kubernetes クラスター構成分析で、ロード バランサーによる危険な構成を持つ Postgres サービスの公開が検出されました。 このサービスを広範囲の IP アドレスに公開すると、セキュリティ リスクが発生します。 初期アクセス Medium
Attempt to create a new Linux namespace from a container detected (新しい Linux 名前空間をコンテナーから作成する試みの検出)
(K8S.NODE_NamespaceCreation) 1
Kubernetes クラスターのコンテナー内で実行されているプロセスの分析で、新しい Linux 名前空間の作成試行が検出されました。 これは正当な動作である場合と、攻撃者がコンテナーからノードに逃れようとしていることを示している場合があります。 一部の CVE-2022-0185 の悪用では、この手法を使用します。 特権エスカレーション 情報提供
A history file has been cleared (履歴ファイルが消去されました)
(K8S.NODE_HistoryFileCleared) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、コマンド履歴ログ ファイルがクリアされたことが検出されました。 攻撃者は、証拠を残さないようにするためにこれを行う場合があります。 この操作は、指定されたユーザー アカウントによって実行されました。 防御回避 Medium
Abnormal activity of managed identity associated with Kubernetes (Preview)(Kubernetes に関連付けられたマネージド ID の異常なアクティビティ (プレビュー))
(K8S_AbnormalMiActivity)
Azure Resource Manager 操作の分析により、AKS アドオンで使用されたマネージド ID の異常な動作が検出されました。 検出されたアクティビティは、関連付けられているアドオンの動作と一致しません。 このアクティビティは正当である可能性もありますが、このような動作は、Kubernetes クラスター内の侵害されたコンテナーで攻撃者が ID を取得したことを示している場合があります。 侵入の拡大 Medium
Abnormal Kubernetes service account operation detected (異常な Kubernetes サービス アカウントの操作が検出されました)
(K8S_ServiceAccountRareOperation)
Kubernetes 監査ログ分析で、Kubernetes クラスター内のサービス アカウントによる異常な動作が検出されました。 サービス アカウントが、このサービス アカウントではあまり使用されない操作に使用されました。 このアクティビティは正当である可能性もありますが、このような動作は、サービス アカウントが悪意のある目的で使用されていることを示している場合があります。 侵入の拡大、資格情報のアクセス Medium
An uncommon connection attempt detected (一般的でない接続試行が検出されました)
(K8S.NODE_SuspectConnection) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、socks プロトコルを使用した一般的でない接続試行が検出されました。 これは、通常の操作ではほとんど見られませんが、ネットワーク層の検出を回避しようとする攻撃者の既知の手法です。 実行、流出、悪用
Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました)
(K8S.NODE_TimerServiceDisabled) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、socks プロトコルを使用した一般的でない接続試行が検出されました。 攻撃者がこのサービスを停止して悪意のあるファイルをダウンロードし、攻撃のために実行特権を付与することが確認されています。 このアクティビティは、通常の管理アクションによってサービスが更新された場合にも発生する可能性があります。 防御回避 Informational
Behavior similar to common Linux bots detected (Preview) (一般的な Linux ボットに似た動作が検出されました (プレビュー))
(K8S.NODE_CommonBot)
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常は一般的な Linux ボットネットに関連するプロセスの実行が検出されました。 実行、収集、コマンド アンド コントロール
Command within a container running with high privileges (コンテナー内でコマンドが高い特権で実行されています)
(K8S.NODE_PrivilegedExecutionInContainer) 1
マシンのログは、Docker コンテナーで特権コマンドが実行されたことを示しています。 特権コマンドには、ホスト マシンに対する拡張特権があります。 特権エスカレーション 情報提供
Container running in privileged mode (コンテナーが特権モードで実行されています)
(K8S.NODE_PrivilegedContainerArtifacts) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、特権コンテナーを実行している Docker コマンドの実行が検出されました。 特権コンテナーには、ホスティング ポッドまたはホスト リソースへのフル アクセス権があります。 侵害された場合、攻撃者はホスティングポッドまたはホスト へのアクセス許可を得るために、アクセス許可されたコンテナーを使用できます。 特権エスカレーション、実行 情報提供
Container with a sensitive volume mount detected (機密のボリューム マウントを持つコンテナーが検出されました)
(K8S_SensitiveMount)
Kubernetes 監査ログ分析によって、機密のボリューム マウントを持つ新しいコンテナーが検出されました。 検出されたボリュームは、機密性の高いファイルまたはフォルダーをノードからコンテナーにマウントする hostPath 型です。 コンテナーが侵害された場合、攻撃者はノードにアクセスするためにこのマウントを使用することができます。 Privilege Escalation (特権昇格) 情報提供
CoreDNS modification in Kubernetes detected (Kubernetes で CoreDNS の変更が検出されました)
(K8S_CoreDnsModification) 23
Kubernetes 監査ログ分析によって、CoreDNS 構成の変更が検出されました。 CoreDNS の構成は、その configmap をオーバーライドすることによって変更できます。 このアクティビティは、正当である可能性もありますが、攻撃者が configmap を変更する権限を持っている場合、攻撃者はクラスターの DNS サーバーの動作を変更してこれを汚染する可能性があります。 侵入の拡大
Creation of admission webhook configuration detected (アドミッション Webhook 構成の作成が検出されました)
(K8S_AdmissionController) 3
Kubernetes 監査ログ分析によって、新しいアドミッション Webhook 構成が検出されました。 Kubernetes には、MutatingAdmissionWebhook と ValidatingAdmissionWebhook という 2 つの組み込み汎用アドミッション コントローラーがあります。 これらのアドミッション コントローラーの動作は、ユーザーがクラスターにデプロイするアドミッション Webhook によって決まります。 このようなアドミッション コントローラーの使用は、正当である可能性もありますが、攻撃者は、このような Webhook を使用して、要求を変更することも (MutatingAdmissionWebhook の場合)、要求を検査して機密情報を取得することもできます (ValidatingAdmissionWebhook の場合)。 資格情報アクセス、永続化 情報提供
Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)
(K8S.NODE_SuspectDownload) 1
コンテナー内または Kubernetes ノード上で直接で実行されているプロセスの分析により、マルウェアの配布に頻繁に使用されるソースからのファイルのダウンロードが検出されました。 特権エスカレーション、実行、流出、コマンド アンド コントロール Medium
Detected suspicious file download (不審なファイルのダウンロードが検出されました)
(K8S.NODE_SuspectDownloadArtifacts) 1
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、リモート ファイルの不審なダウンロードが検出されました。 永続性 Informational
Detected suspicious use of the nohup command (nohup コマンドの不審な使用が検出されました)
(K8S.NODE_SuspectNohup) 1
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、nohup コマンドの不審な使用が検出されました。 攻撃者は、nohup コマンドを使用して一時ディレクトリから隠しファイルを実行し、実行可能ファイルをバックグラウンドで実行できるようにすることが確認されています。 一時ディレクトリにある隠しファイルに対してこのコマンドを実行することはほとんどありません。 永続化、防御回避 Medium
Detected suspicious use of the useradd command (useradd コマンドの不審な使用が検出されました)
(K8S.NODE_SuspectUserAddition) 1
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、useradd コマンドの不審な使用が検出されました。 永続化 Medium
Digital currency mining container detected (デジタル通貨マイニング コンテナーが検出されました)
(K8S_MaliciousContainerImage) 3
Kubernetes 監査ログ分析によって、デジタル通貨マイニング ツールに関連付けられているイメージを含むコンテナーが検出されました。 実行
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
(K8S.NODE_DigitalCurrencyMining) 1
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。 実行
Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました)
(K8S.NODE_ImageBuildOnNode) 1
コンテナー内、または直接 Kubernetes ノード上で実行されているプロセスの分析で、Kubernetes ノード上でのコンテナー イメージのビルド操作が検出されました。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。 防御回避 Informational
Exposed Kubeflow dashboard detected (Kubeflow ダッシュボードの公開が検出されました)
(K8S_ExposedKubeflow)
Kubernetes 監査ログ分析で、Kubeflow を実行するクラスター内のロード バランサーによる Istio Ingress の公開が検出されました。 このアクションにより、Kubeflow ダッシュボードがインターネットに公開される可能性があります。 ダッシュボードがインターネットに公開されると、攻撃者がアクセスし、クラスター上で悪意のあるコンテナーやコードを実行するおそれがあります。 詳細については、 https://aka.ms/exposedkubeflow-blog の記事を参照してください 初期アクセス Medium
Exposed Kubernetes dashboard detected (公開された Kubernetes ダッシュボードが検出されました)
(K8S_ExposedDashboard)
Kubernetes 監査ログ分析によって、LoadBalancer サービスによる Kubernetes ダッシュボードの公開が検出されました。 ダッシュボードが公開されると、クラスター管理への認証されていないアクセスが可能になり、セキュリティ上の脅威が生じます。 初期アクセス
Exposed Kubernetes service detected (Kubernetes サービスの公開が検出されました)
(K8S_ExposedService)
Kubernetes 監査ログ分析で、ロード バランサーによるサービスの公開が検出されました。 このサービスは、ノードでのプロセスの実行や新しいコンテナーの作成など、クラスター内で影響の大きい操作を許可する機密性の高いアプリケーションに関連しています。 場合によっては、このサービスは認証を要求しません。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。 初期アクセス Medium
Exposed Redis service in AKS detected (AKS での Redis サービスの公開が検出されました)
(K8S_ExposedRedis)
Kubernetes 監査ログ分析で、ロード バランサーによる Redis サービスの公開が検出されました。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。 初期アクセス
Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました)
(K8S.NODE_KnownLinuxDDoSToolkit) 1
コンテナー内で、または Kubernetes ノード上で直接実行されているプロセスの分析により、マルウェアに関連付けられているツールキットの一部であるファイル名が検出され、このマルウェアはDDoS 攻撃を開始し、ポートとサービスを開き、感染したシステムを完全に制御することができます。 これは、正当なアクティビティである可能性もあります。 永続化、横移動、実行、悪用 Medium
K8S API requests from proxy IP address detected (プロキシ IP アドレスからの K8S API 要求が検出されました)
(K8S_TI_Proxy) 3
Kubernetes 監査ログ分析によって、TOR などのプロキシ サービスに関連付けられている IP アドレスからクラスターへの API 要求が検出されました。 この動作は、正当である可能性もありますが、悪意のあるアクティビティで攻撃者がソース IP を隠そうとするときによく見られます。 実行
Kubernetes events deleted (Kubernetes イベントが削除されました)
(K8S_DeleteEvents) 23
Defender for Cloud によって、一部の Kubernetes イベントが削除されたことが検出されました。 Kubernetes イベントは、クラスター内の変更に関する情報を含む Kubernetes のオブジェクトです。 攻撃者は、クラスター内での操作を隠すためにこれらのイベントを削除する可能性があります。 防御回避
Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました)
(K8S_PenTestToolsKubeHunter)
Kubernetes 監査ログ分析によって、AKS クラスターでの Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 実行
Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました)
(K8S.NODE_FirewallDisabled) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、ホスト上のファイアウォールが操作される可能性が検出されました。 攻撃者は、データを抜き取るためにこれを無効にすることがよくあります。 防御回避、流出 Medium
Microsoft Defender for Cloud test alert (not a threat) (Microsoft Defender for Cloud のテスト アラート (脅威ではありません))
(K8S.NODE_EICAR) 1
これは、Microsoft Defender for Cloud によって生成されたテスト アラートです。 これ以外の操作は必要ありません。 実行
New container in the kube-system namespace detected (kube-system 名前空間で新しいコンテナーが検出されました)
(K8S_KubeSystemContainer) 3
Kubernetes 監査ログ分析によって、kube-system 名前空間に、通常はこの名前空間で実行されない新しいコンテナーが検出されました。 kube-system 名前空間にユーザー リソースを含めることはできません。 攻撃者は、悪意のあるコンポーネントを隠すためにこの名前空間を使用することができます。 永続性 Informational
New high privileges role detected (新しい高い特権のロールが検出されました)
(K8S_HighPrivilegesRole) 3
Kubernetes 監査ログ分析によって、高い特権を持つ新しいロールが検出されました。 高い特権が付与されているロールにバインドすると、クラスター内のユーザーやグループに高い特権が付与されます。 不必要な特権によって、クラスター内で特権エスカレーションが発生する可能性があります。 永続性 Informational
Possible attack tool detected (攻撃ツールの可能性が検出されました)
(K8S.NODE_KnownLinuxAttackTool) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、不審なツールの呼び出しが検出されました。 多くの場合、このツールは他のユーザーを攻撃する悪意のあるユーザーに関係します。 実行、収集、コマンド アンド コントロール、プローブ Medium
Possible backdoor detected (バックドアの可能性が検出されました)
(K8S.NODE_LinuxBackdoorArtifact) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、不審なファイルがダウンロードされ、実行されたことが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 永続化、防御回避、実行、悪用 Medium
Possible command line exploitation attempt (コマンド ラインの悪用試行の可能性があります)
(K8S.NODE_ExploitAttempt) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、既知の脆弱性に対する悪用試行の可能性が検出されました。 悪用 Medium
Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました)
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
コンテナー内、または Kubernetes ノード上で直接で実行されているプロセスの分析で、指定されたプロセスとコマンド ライン履歴項目によって特定された、既知の資格情報アクセス ツールの可能性があるツールがコンテナーで実行されていたことが検出されました。 このツールは、攻撃者の資格情報へのアクセスの試行に関連付けられていることがよくあります。 資格情報アクセス Medium
Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)
(K8S.NODE_CryptoCoinMinerDownload) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。 防御回避、コマンド アンド コントロール、悪用
Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました)
(K8S.NODE_SystemLogRemoval) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、操作コース中にユーザーのアクティビティを追跡するファイルが削除された可能性が検出されました。 攻撃者は、検出を回避し、悪意のあるアクティビティの痕跡を残さないようにするため、このようなログ ファイルを削除することがよくあります。 防御回避 Medium
Possible password change using crypt-method detected (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました)
(K8S.NODE_SuspectPasswordChange) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、仮想メソッドを使ってパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 資格情報アクセス Medium
Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります)
(K8S.NODE_SuspectPortForwarding) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、外部 IP アドレスへのポートフォワーディングの開始が検出されました。 流出、コマンド アンド コントロール Medium
Potential reverse shell detected (リバース シェルの可能性が検出されました)
(K8S.NODE_ReverseShell) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、リバース シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。 窃盗、悪用 Medium
Privileged Container Detected (特権コンテナーが検出されました)
(K8S_PrivilegedContainer)
Kubernetes 監査ログ分析によって、新しい特権コンテナーが検出されました。 特権コンテナーは、ノードのリソースにアクセスできるため、コンテナー間の分離が破壊されます。 侵害された場合、攻撃者はノードにアクセスするために、特権コンテナーを使用できます。 Privilege Escalation (特権昇格) 情報提供
Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)
(K8S.NODE_CryptoCoinMinerArtifacts) 1
コンテナー内で実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 Execution、Exploitation Medium
Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました)
(K8S.NODE_SshKeyAccess) 1
マルウェアの既知の攻撃活動と同様の方法で、SSH 承認済みキー ファイルがアクセスされました。 このアクセスは、アクターがマシンへの永続的なアクセスを取得しようとしていることを示している可能性があります。 Unknown 情報提供
Role binding to the cluster-admin role detected (クラスター管理者ロールへのロール バインドが検出されました)
(K8S_ClusterAdminBinding)
Kubernetes 監査ログ分析によって、管理者特権を付与する、クラスター管理者ロールへの新しいバインドが検出されました。 不必要な管理者特権によって、クラスター内で特権エスカレーションが発生する可能性があります。 永続性 Informational
Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました)
(K8S.NODE_SuspectProcessTermination) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、コンテナーのセキュリティモニタリングに関連するプロセスの終了の試行が検出されました。 多くの場合、攻撃者は事前に定義されたスクリプトを使用して、侵害後にこのようなプロセスを終了しようとします。 永続化
SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています)
(K8S.NODE_ContainerSSH) 1
コンテナー内で実行されているプロセスの分析により、コンテナー内で SSH サーバーが実行されていることが検出されました。 実行 情報提供
Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更)
(K8S.NODE_TimestampTampering) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、不審なtimestampの変更が検出されました。 攻撃者は、既存の正当なファイルから新しいツールにタイムスタンプをコピーして、これらの新しくドロップされたファイルの検出を回避することがよくあります。 永続化、防御回避
Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求)
(K8S.NODE_KubernetesAPI) 1
コンテナー内で実行されているプロセスの分析で、Kubernetes API に対して不審な要求が行われたことが示されています。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。 横移動 Medium
Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)
(K8S.NODE_KubernetesDashboard) 1
コンテナー内で実行されているプロセスの分析で、Kubernetes ダッシュボードに対して不審な要求が行われたことが示されています。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。 横移動 Medium
Potential crypto coin miner started (暗号化コイン マイナーが起動された可能性があります)
(K8S.NODE_CryptoCoinMinerExecution) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連する方法で開始されるプロセスが検出されました。 実行 Medium
Suspicious password access (不審なパスワード アクセス)
(K8S.NODE_SuspectPasswordFileAccess) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、暗号化されたユーザー パスワードにアクセスするための不審な試行が検出されました。 永続性 Informational
Suspicious use of DNS over HTTPS (DNS over HTTPS の不審な使用)
(K8S.NODE_SuspiciousDNSOverHttps) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、一般的ではない方法で HTTPS 経由の DNS 呼び出しが使用されていることが検出されました。 この手法は、攻撃者が不審なサイトや悪意のあるサイトの呼び出しを隠すために使用されます。 防御回避、流出 Medium
A possible connection to malicious location has been detected. (悪意のある場所への接続の可能性が検出されました)
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、悪意があるまたは異常であるとレポートされた場所への接続が検出されました。 これは、侵害が発生した可能性を示すものです。 初期アクセス Medium
Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました)
(K8S.NODE_Webshell) 1
コンテナー内で実行されているプロセスの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したコンピューティング リソースに Web シェルをアップロードすることがよくあります。 永続化、悪用 Medium
Burst of multiple reconnaissance commands could indicate initial activity after compromise (複数の偵察コマンドのバーストは、侵害後の初期アクティビティを示している可能性があります)
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
ホスト/デバイス データの分析により、最初の侵害後に攻撃者によって実行されたシステムまたはホストの詳細の収集に関連する複数の偵察コマンドの実行が検出されました。 検出、コレクション
Suspicious Download Then Run Activity (不審なダウンロードして実行のアクティビティ)
(K8S.NODE_DownloadAndRunCombo) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、ダウンロードされているファイルが、その後、同じコマンドで実行されていることが検出されました。 これは必ずしも悪意のあるものではありませんが、攻撃者が悪意のあるファイルを被害者のマシンに取り込むために使用する非常に一般的な手法です。 実行、CommandAndControl、悪用 Medium
Digital currency mining activity (デジタル通貨マイニング アクティビティ)
(K8S.NODE_CurrencyMining) 1
DNS トランザクションの分析により、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。 窃盗
Access to kubelet kubeconfig file detected (kubelet kubeconfig ファイルへのアクセスが検出されました)
(K8S.NODE_KubeConfigAccess) 1
Kubernetes クラスター ノードで実行されているプロセスの分析により、ホスト上の kubeconfig ファイルへのアクセスが検出されました。 Kubelet プロセスで通常使用される kubeconfig ファイルには、Kubernetes クラスター API サーバーへの資格情報が含まれています。 このファイルへのアクセスは、多くの場合、攻撃者がそれらの資格情報にアクセスしようとしているか、ファイルにアクセスできるかどうかを確認するセキュリティ スキャン ツールに関連付けられます。 資格情報アクセス Medium
Access to cloud metadata service detected (クラウド メタデータ サービスへのアクセスが検出されました)
(K8S.NODE_ImdsCall) 1
コンテナー内で実行されているプロセスの分析で、ID トークンを取得するためのクラウド メタデータ サービスへのアクセスが検出されました。 コンテナーでは通常、このような操作は実行されません。 この動作は正当なものである可能性がありますが、攻撃者は、実行中のコンテナーに最初にアクセスした後、この手法を使用してクラウド リソースにアクセスする可能性があります。 資格情報アクセス Medium
MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました)
(K8S.NODE_MitreCalderaTools) 1
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、不審なプロセスが検出されました。 多くの場合、これは、他のマシンを攻撃するために悪用される可能性がある MITRE 54ndc47 エージェントに関係しています。 永続化、特権エスカレーション、防御回避、資格情報アクセス、検出、横移動、実行、収集、流出、コマンド アンド コントロール、プローブ、悪用 Medium

1: 非 AKS クラスターのプレビュー: このアラートは AKS クラスターでは一般提供されていますが、Azure Arc、EKS、GKE などの他の環境ではプレビュー段階です。

2: GKE クラスターの制限事項: GKE で使用している Kubernetes 監査ポリシーは、すべてのアラートの種類はサポートしていません。 そのため、Kubernetes の監査イベントに基づくこのセキュリティ アラートは、GKE クラスターではサポートされていません。

3: このアラートは、Windows ノード/コンテナ―でサポートされています。

SQL Database と Azure Synapse Analytics のアラート

詳細な説明と注意

アラート: 説明 MITRE の方針
(詳細はこちら)
重大度
A possible vulnerability to SQL Injection (SQL インジェクションにつながる可能性のある脆弱性)
(SQL.DB_VulnerabilityToSqlInjection
SQL.VM_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection
Synapse.SQLPool_VulnerabilityToSqlInjection)
アプリケーションにより、データベースでエラーのある SQL ステートメントが生成されました。 これは、SQL インジェクション攻撃に対する脆弱性があることを示している可能性があります。 エラーのあるステートメントの理由としては、次の 2 つが考えられます。 アプリケーション コードの欠陥により、エラーのある SQL ステートメントが作成された可能性がある。 または、アプリケーション コードまたはストアド プロシージャでユーザー入力がサニタイズされず、エラーのある SQL ステートメントが作成され、SQL インジェクションに悪用される可能性がある。 攻撃前 Medium
Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました)
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication
Synapse.SQLPool_HarmfulApplication)
害を及ぼすおそれのあるアプリケーションによってリソースへのアクセスが試行されました。 攻撃前
Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly
Synapse.SQLPool_DataCenterAnomaly)
SQL Server へのアクセス パターンに変化があり、何者かが通常とは異なる Azure データ センターからサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや Azure サービス) が検出されることがあります。 それ以外の場合は、アラートによって悪意のあるアクション (Azure の侵害されたリソースからの攻撃者の操作) が検出されます。 プローブ
Log on from an unusual location (通常とは異なる場所からのログオン)
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly
Synapse.SQLPool_GeoAnomaly)
SQL Server へのアクセス パターンに変化があり、何者かが通常とは異なる地理的な場所からサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。 悪用 Medium
Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly
Synapse.SQLPool_PrincipalAnomaly)
過去 60 日以内に確認されていないプリンシパル ユーザーが、データベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 悪用 Medium
Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)
(SQL.DB_DomainAnomaly
SQL.VM_DomainAnomaly
SQL.DW_DomainAnomaly
SQL.MI_DomainAnomaly
Synapse.SQLPool_DomainAnomaly)
ユーザーが、他のユーザーが過去 60 日間接続していないドメインからお使いのリソースにログインしました。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 悪用 Medium
Login from a suspicious IP (不審な IP からのログイン)
(SQL.DB_SuspiciousIpAnomaly
SQL.VM_SuspiciousIpAnomaly
SQL.DW_SuspiciousIpAnomaly
SQL.MI_SuspiciousIpAnomaly
Synapse.SQLPool_SuspiciousIpAnomaly)
Microsoft の脅威インテリジェンスによって不審なアクティビティに関連付けられている IP アドレスから、お使いのリソースへのアクセスが成功しました。 攻撃前 Medium
SQL インジェクションの可能性
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
SQL インジェクションに脆弱な特定されたアプリケーションに対してアクティブな悪用が発生しました。 これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して、悪意のある SQL ステートメントを挿入しようとしていることを意味します。 攻撃前
Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。 攻撃前
Suspected brute force attack (ブルート フォース攻撃の可能性)
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃前
Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
お使いのリソースに対する明らかなブルート フォース攻撃の後に、ログインが成功しました。 攻撃前
SQL Server potentially spawned a Windows command shell and accessed an abnormal external source (SQL Server では、Windows コマンド シェルを生成し、異常な外部ソースにアクセスする可能性があります)
(SQL.DB_ShellExternalSourceAnomaly
SQL.VM_ShellExternalSourceAnomaly
SQL.DW_ShellExternalSourceAnomaly
SQL.MI_ShellExternalSourceAnomaly
Synapse.SQLPool_ShellExternalSourceAnomaly)
不審な SQL ステートメントでは、これまで見たことのない外部ソースを含む Windows コマンド シェルが生成される可能性があります。 外部ソースにアクセスするシェルを実行することは、攻撃者が悪意のあるペイロードをダウンロードし、それをマシン上で実行して侵害するために使用される方法です。 これにより、攻撃者はリモートで悪意のあるタスクを実行できます。 または、外部ソースへのアクセスを使用して、外部変換先にデータを流出させることができます。 実行
Unusual payload with obfuscated parts has been initiated by SQL Server (難読化されたパーツを含む通常とは異なるペイロードが、SQL Server によって開始されました)
(SQL.VM_PotentialSqlInjection)
SQL クエリでコマンドを隠しながら、オペレーティング システムと通信する SQL Server のレイヤーを利用して、新しいペイロードが開始されました。 攻撃者は、通常、xp_cmdshell、sp_add_job など、一般的に監視されている影響力のあるコマンドを隠します。 難読化手法では、正規表現の検出を回避し、ログの読みやすさを損なわせるために、文字列連結、キャスト、ベース変更などの正当なコマンドを悪用します。 実行

オープンソース リレーショナル データベースのアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。 攻撃前
Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
お使いのリソースに対する明らかなブルート フォース攻撃の後に、ログインが成功しました。 攻撃前
Suspected brute force attack (ブルート フォース攻撃の可能性)
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃前
Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました)
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
害を及ぼすおそれのあるアプリケーションによってリソースへのアクセスが試行されました。 攻撃前
Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
過去 60 日以内に確認されていないプリンシパル ユーザーが、データベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 悪用 Medium
Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
ユーザーが、他のユーザーが過去 60 日間接続していないドメインからお使いのリソースにログインしました。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 悪用 Medium
Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
何者かが、通常とは異なる Azure データ センターからお使いのリソースにログオンしました。 プローブ
Logon from an unusual cloud provider (通常とは異なるクラウド プロバイダーからのログオン)
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
何者かが、過去 60 日間確認されていないクラウド プロバイダーからお使いのリソースにログオンしました。 脅威アクターは、その活動で使用する破棄可能なコンピューティング能力をすばやくかつ簡単に入手できます。 これが、新しいクラウド プロバイダーの最近の導入に起因する予想される動作である場合、Defender for Cloud は時間をかけて学習し、今後の誤検知を防止することを試みます。 悪用 Medium
Log on from an unusual location (通常とは異なる場所からのログオン)
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
何者かが、通常とは異なる Azure データ センターからお使いのリソースにログオンしました。 悪用 Medium
Login from a suspicious IP (不審な IP からのログイン)
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Microsoft の脅威インテリジェンスによって不審なアクティビティに関連付けられている IP アドレスから、お使いのリソースへのアクセスが成功しました。 攻撃前 Medium

Resource Manager のアラート

注意

委任されたアクセスが表示されているアラートは、サードパーティのサービス プロバイダーのアクティビティのためにトリガーされます。 サービス プロバイダーのアクティビティの表示の詳細を確認してください。

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Azure Resource Manager operation from suspicious IP address (不審な IP アドレスからの Azure Resource Manager の操作)
(ARM_OperationFromSuspiciousIP)
Microsoft Defender for Resource Manager によって、脅威インテリジェンス フィードで不審とマークされている IP アドレスからの操作が検出されました。 実行 Medium
Azure Resource Manager operation from suspicious proxy IP address (不審なプロキシ IP アドレスからの Azure Resource Manager の操作)
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられた IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 防御回避 Medium
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzDomainInfo)
サブスクリプションで PowerShell スクリプトが実行され、リソース、アクセス許可、ネットワーク構造を検出するための情報収集操作を実行する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 -
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzureDomainInfo)
サブスクリプションで PowerShell スクリプトが実行され、リソース、アクセス許可、ネットワーク構造を検出するための情報収集操作を実行する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 -
MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzVMBulkCMD)
サブスクリプションで PowerShell スクリプトが実行され、VM または VM の一覧でコードを実行する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために VM でスクリプトを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 実行
MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)
(RM_MicroBurst.AzureRmVMBulkCMD)
MicroBurst の悪用ツールキットが、仮想マシンでのコードの実行に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
MicroBurst exploitation toolkit used to extract keys from your Azure key vaults (Azure キー コンテナーからのキーの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzKeyVaultKeysREST)
サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からキーを抽出する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 -
MicroBurst exploitation toolkit used to extract keys to your storage accounts (ストレージ アカウントへのキーの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AZStorageKeysREST)
サブスクリプションで PowerShell スクリプトが実行され、ストレージ アカウントにキーを抽出する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用してストレージ アカウント内の機密データにアクセスします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 コレクション
MicroBurst exploitation toolkit used to extract secrets from your Azure key vaults (Azure キー コンテナーからのシークレットの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzKeyVaultSecretsREST)
サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からシークレットを抽出する不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してシークレットをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 -
PowerZure exploitation toolkit used to elevate access from Azure AD to Azure (Azure AD から Azure へのアクセス権の昇格に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.AzureElevatedPrivileges)
PowerZure 悪用ツールキットが、Azure AD から Azure へのアクセス権の昇格に使用されました。 これは、テナントでの Azure Resource Manager の操作を分析することによって検出されました。 -
PowerZure exploitation toolkit used to enumerate resources (リソースの列挙に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.GetAzureTargets)
PowerZure 悪用ツールキットが、組織内の正当なユーザー アカウントに代わってリソースを列挙するのに使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 コレクション
PowerZure exploitation toolkit used to enumerate storage containers, shares, and tables (ストレージ コンテナー、共有、テーブルの列挙に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.ShowStorageContent)
PowerZure 悪用ツールキットが、ストレージ共有、テーブル、コンテナーの列挙に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
PowerZure exploitation toolkit used to execute a Runbook in your subscription (サブスクリプションでの Runbook の実行に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.StartRunbook)
PowerZure 悪用ツールキットが Runbook の実行に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
PowerZure exploitation toolkit used to extract Runbooks content (Runbook の内容の抽出に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.AzureRunbookContent)
PowerZure 悪用ツールキットが Runbook の内容の抽出に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 コレクション
PREVIEW - Azurite toolkit run detected (プレビュー - Azurite ツールキットの実行が検出されました)
(ARM_Azurite)
ご利用の環境で、既知のクラウド環境偵察ツールキットの実行が検出されました。 Azurite ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピングおよび安全でない構成の特定に使用される恐れがあります。 コレクション
プレビュー - 検出されたコンピューティング リソースの疑わしい作成
(ARM_SuspiciousComputeCreation)
Microsoft Defender for Resource Manager によって、Virtual Machines/Azure スケール セットを使用しているサブスクリプション内で疑わしい方法で作成されたコンピューティング リソースが特定されました。 特定された操作は、必要に応じて新しいリソースをデプロイすることで管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターではこのような操作を利用して、暗号資産マイニングを行う可能性があります。
コンピューティング リソースのスケールは、サブスクリプションで以前に確認されたよりも高いため、アクティビティは疑わしいと見なされます。
これは、プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
影響 Medium
プレビュー - 不審なキー コンテナーの回復が検出されました
(Arm_Suspicious_Vault_Recovering)
Microsoft Defender for Resource Manager は、論理削除されたキー コンテナー リソースに対する不審な回復操作を検出しました。
リソースを回復しているユーザーは、リソースを削除したユーザーとは異なります。 ユーザーがこのような操作を呼び出すことは稀なため、これは非常に不審なです。 さらに、ユーザーは多要素認証 (MFA) なしでログオンしています。
これは、このユーザーが侵害され、機密性の高いリソースにアクセスしたり、ネットワーク内で横移動を実行したりするために、シークレットとキーを検出しようとしていることを示している可能性があります。
侵入拡大 中/高
PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)
(ARM_UnusedAccountPersistence)
サブスクリプションのアクティビティ ログ分析で、不審な動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 永続化 Medium
PREVIEW - Suspicious invocation of a high-risk 'Credential Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "資格情報アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.CredentialAccess)
Microsoft Defender for Resource Manager により、資格情報へのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 資格情報へのアクセス Medium
PREVIEW - Suspicious invocation of a high-risk 'Data Collection' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "データ収集" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Collection)
Microsoft Defender for Resource Manager により、データ収集の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソース上の機密データを収集する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 コレクション Medium
PREVIEW - Suspicious invocation of a high-risk 'Defense Evasion' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "防御回避" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.DefenseEvasion)
Microsoft Defender for Resource Manager により、防御回避の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、検出を免れつつ環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 防御回避 Medium
PREVIEW - Suspicious invocation of a high-risk 'Execution' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "実行" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Execution)
Microsoft Defender for Resource Manager により、コード実行の試行を示す可能性がある、マシン上での高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 防衛実行
PREVIEW - Suspicious invocation of a high-risk 'Impact' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "影響" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Impact)
Microsoft Defender for Resource Manager により、構成変更の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 影響 Medium
PREVIEW - Suspicious invocation of a high-risk 'Initial Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "初期アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.InitialAccess)
Microsoft Defender for Resource Manager により、制限されたリソースへのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内の制限されたリソースへの初期アクセスを獲得する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 初期アクセス Medium
PREVIEW - Suspicious invocation of a high-risk 'Lateral Movement Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "横移動アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.LateralMovement)
Microsoft Defender for Resource Manager により、侵入拡大の実行の試みを示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような操作を利用して、環境内のより多くのリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 侵入拡大 Medium
PREVIEW - Suspicious invocation of a high-risk 'persistence' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "永続化" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Persistence)
Microsoft Defender for Resource Manager により、永続化確立の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内で永続化を確立する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 永続化 Medium
PREVIEW - Suspicious invocation of a high-risk 'Privilege Escalation' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "特権エスカレーション" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Microsoft Defender for Resource Manager により、特権エスカレーションの試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用し、特権エスカレーションと並行して環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 特権エスカレーション Medium
PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)
(ARM_UnusedAccountPersistence)
サブスクリプションのアクティビティ ログ分析で、不審な動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 永続化 Medium
PREVIEW - Suspicious management session using PowerShell detected (プレビュー - PowerShell を使用する不審な管理セッションが検出されました)
(ARM_UnusedAppPowershellPersistence)
サブスクリプションのアクティビティ ログ分析で、不審な動作が検出されました。 サブスクリプション環境を管理するために定期的に PowerShell を使用しないプリンシパルでは、現在、PowerShell が使用され、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 永続化 Medium
PREVIEW – Suspicious management session using Azure portal detected (プレビュー - Azure portal を使用する不審な管理セッションが検出されました)
(ARM_UnusedAppIbizaPersistence)
サブスクリプションのアクティビティ ログの分析により、不審な動作が検出されました。 サブスクリプション環境を管理するために定期的に Azure portal (Ibiza) を使用しない (過去 45 日間、Azure portal を使用して管理していない、またはアクティブに管理しているサブスクリプション) プリンシパルで、現在、Azure portal を使用して、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 永続化 Medium
Privileged custom role created for your subscription in a suspicious way (Preview) (不審な方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー))
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender for Resource Manager によって、サブスクリプション内で、不審な方法で作成された特権付きカスタム ロールの定義が検出されました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。 特権エスカレーション、防御回避 情報提供
Suspicious Azure role assignment detected (Preview) (不審な Azure ロールの割り当てが検出されました (プレビュー))
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender for Resource Manager によって、テナントで PIM (Privileged Identity Management) を使用して実行された不審な Azure ロールの割り当てが特定されました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、管理者がプリンシパルに Azure リソースへのアクセスを許可できるように設計されています。 このアクティビティは正当なものであるかもしれませんが、脅威アクターはロールの割り当てを利用してアクセス許可をエスカレートし、攻撃を進める可能性があります。 侵入の拡大、防御回避 低 (PIM)/高
高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender for Resource Manager により、資格情報へのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 資格情報アクセス Medium
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Collection)
Microsoft Defender for Resource Manager により、データ収集の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソース上の機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 コレクション Medium
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender for Resource Manager により、防御回避の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、検出を免れつつ環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 防御回避 Medium
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (高リスクの "実行" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Execution)
Microsoft Defender for Resource Manager により、コード実行の試行を示す可能性がある、マシン上での高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 実行 Medium
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (高リスクの "影響" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Impact)
Microsoft Defender for Resource Manager により、構成変更の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 影響 Medium
高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender for Resource Manager により、制限されたリソースへのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内の制限されたリソースへの初期アクセスを獲得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 初期アクセス Medium
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender for Resource Manager により、侵入拡大の実行の試みを示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような操作を利用して、環境内のより多くのリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 侵入の拡大
疑わしいアクセス権の昇格操作 (プレビュー) (ARM_AnomalousElevateAccess) Microsoft Defender for Resource Manager が、疑わしい "アクセス権の昇格" 操作を識別しました。 このプリンシパルがこのような操作を呼び出すことはめったにないため、このアクティビティは疑わしいと見なされます。 このアクティビティは正当なものである可能性もありますが、脅威アクターが "アクセス権の昇格" 操作を利用して、侵害されたユーザーに対して特権エスカレーションを実行する可能性があります。 Privilege Escalation (特権昇格)
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (高リスクの "永続化" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Persistence)
Microsoft Defender for Resource Manager により、永続化確立の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 永続化 Medium
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender for Resource Manager により、特権エスカレーションの試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用し、特権エスカレーションと並行して環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 Privilege Escalation (特権昇格) Medium
Usage of MicroBurst exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.RunCodeOnBehalf)
サブスクリプションで PowerShell スクリプトが実行され、任意のコードを実行したり、Azure Automation のアカウント資格情報を流出させたりする不審なパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために任意のコードを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。 永続化、資格情報アクセス
Usage of NetSPI techniques to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために NetSPI 手法が使用されました)
(ARM_NetSPI.MaintainPersistence)
Webhook バックドアを作成し、Azure 環境で永続性を維持するために、NetSPI 永続化手法が使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
Usage of PowerZure exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.RunCodeOnBehalf)
コードの実行または Azure Automation アカウントの資格情報の抜き取りを試みた PowerZure 悪用ツールキットが検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
Usage of PowerZure function to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために PowerZure 機能が使用されました)
(ARM_PowerZure.MaintainPersistence)
Azure 環境で永続性を維持するために Webhook バックドアを作成した PowerZure 悪用ツールキットが検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 -
Suspicious classic role assignment detected (Preview) (不審なクラシックロールの割り当てが検出されました (プレビュー))
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender for Resource Manager によって、テナントでクラシック ロールの割り当てが特定されました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、一般的に使用されなくなった従来のロールとの下位互換性を提供するように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような割り当てを利用して、制御下にある別のユーザーアカウントにアクセス許可を付与する可能性があります。  侵入の拡大、防御回避

Azure Storage のアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Access from a suspicious application (不審なアプリケーションからのアクセス)
(Storage.Blob_SuspiciousApp)
不審なアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。
これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。
適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2
初期アクセス 高/中
Access from a suspicious IP address (不審な IP アドレスからのアクセス)
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
不審なと見なされている IP アドレスからこのストレージ アカウントへのアクセスが成功したことを示しています。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。
Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。
適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
攻撃前 高/中/低
Phishing content hosted on a storage account (ストレージ アカウントでホストされているフィッシング コンテンツ)
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
フィッシング攻撃で使用された URL が、お客様の Azure Storage アカウントを指しています。 この URL は、Microsoft 365 のユーザーに影響を与えるフィッシング攻撃の一部でした。
通常、このようなページでホストされているコンテンツは、訪問者が正規に見える Web フォームに自社の資格情報や財務情報を入力するよう誘導することを目的としています。
このアラートは、Microsoft 脅威インテリジェンスを利用しています。
Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。
適用対象:Azure Blob Storage、Azure Files
コレクション
Storage account identified as source for distribution of malware (マルウェアの配布元として識別されたストレージ アカウント)
(Storage.Files_WidespreadeAm)
マルウェア対策アラートは、複数の VM にマウントされている Azure ファイル共有に、感染したファイルが格納されていることを示します。 Azure ファイル共有がマウントされている VM へのアクセス権を攻撃者が取得した場合、攻撃者は、それを使用して、同じ共有をマウントする他の VM にマルウェアを拡散させることができます。
適用対象: Azure Files
実行 Medium
The access level of a potentially sensitive storage blob container was changed to allow unauthenticated public access (機密である可能性のあるストレージ BLOB コンテナーのアクセス レベルが変更され、認証されていないパブリック アクセスが許可されました)
(Storage.Blob_OpenACL)
このアラートは、誰かが、ストレージ アカウント内の機密データを含む可能性がある BLOB コンテナーのアクセス レベルを "コンテナー" レベルに変更し、認証されていない (匿名) パブリック アクセスを許可したことを示しています。 変更は、Azure portal を通じて行われました。
統計分析に基づいて、BLOB コンテナーには機密データが含まれている可能性があるというフラグが設定されます。 この分析では、BLOB コンテナーまたは同様の名前のストレージ アカウントは、通常、パブリック アクセスに公開されないことが示唆されています。
適用対象: Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
コレクション Medium
Authenticated access from a Tor exit node (Tor 出口ノードからの認証済みアクセス)
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
ストレージ アカウント内の 1 つ以上のストレージ コンテナーまたはファイル共有が、Tor (匿名化プロキシ) のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 脅威アクターは Tor を使用して、アクティビティを遡ることを困難にします。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。
適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
初期アクセス/攻撃前 高/中
Access from an unusual location to a storage account (ストレージ アカウントへの通常とは異なる場所からのアクセス)
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Azure Storage アカウントへのアクセス パターンに変化があったことを示しています。 最近のアクティビティと比較して見慣れない IP アドレスから誰かがこのアカウントにアクセスしました。 攻撃者がアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。
適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
初期アクセス 高/中/低
Unusual unauthenticated access to a storage container (ストレージ コンテナーへの通常とは異なる認証されていないアクセス)
(Storage.Blob_AnonymousAccessAnomaly)
このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変更です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。
適用対象:Azure Blob Storage
初期アクセス 高い/低い
Potential malware uploaded to a storage account (マルウェアがストレージ アカウントにアップロードされた可能性)
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
マルウェアを含んだ BLOB が、ストレージ アカウント内の BLOB コンテナーまたはファイル共有にアップロードされた可能性があることを示します。 このアラートは、ウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュなど、Microsoft の脅威インテリジェンスの機能を活用したハッシュ評価分析に基づいています。 原因としては、攻撃者が意図的にマルウェアをアップロードするケースと、正当なユーザーが意図せず悪意のある BLOB をアップロードしてしまうケースが考えられます。
適用対象:Azure Blob Storage、Azure Files (REST API によるトランザクションについてのみ)
Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。
侵入の拡大
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました)
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
スキャン スクリプトまたはツールによって、ストレージ アカウント内の公開されているストレージ コンテナーの検出が過去 1 時間に実行され、検出に成功しました。

通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。

脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
コレクション 高/中
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました)
(Storage.Blob_OpenContainersScanning.FailedAttempt)
公開されているストレージ コンテナーのスキャンに失敗した一連の試行が過去 1 時間に実行されました。

通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。

脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
コレクション 高い/低い
Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるアクセスの検査)
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
ストレージ アカウントのアクセス許可が、このアカウントでの最近のアクティビティと比較して、通常とは異なる方法で検査されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。
適用対象:Azure Blob Storage、Azure Files
探索 高/中
Unusual amount of data extracted from a storage account (通常とは異なる量のデータがストレージ アカウントから抽出されました)
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
このストレージ コンテナーの最近のアクティビティと比較して、異常に大量のデータが抽出されたことを示します。 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーから大量のデータを抽出したことです。
適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
窃盗 高い/低い
Unusual application accessed a storage account (通常とは異なるアプリケーションがストレージ アカウントにアクセスしました)
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
通常とは異なるアプリケーションがこのストレージ アカウントにアクセスしたことを示します。 原因として考えられるのは、攻撃者が新しいアプリケーションを使用して、ご自分のストレージ アカウントにアクセスしたことです。
適用対象:Azure Blob Storage、Azure Files
実行 高/中
Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるデータの探索)
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
ストレージ アカウント内の BLOB またはコンテナーが、このアカウントでの最近のアクティビティと比較して、通常と異なる方法で列挙されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。
適用対象:Azure Blob Storage、Azure Files
実行 高/中
Unusual deletion in a storage account (ストレージ アカウントでの通常と異なる削除)
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
このストレージ アカウントでの最近のアクティビティと比較して、アカウントで予期しない 1 つ以上の削除操作が発生したことを示します。 原因として考えられるのは、攻撃者がストレージ アカウントからデータを削除したことです。
適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
窃盗 高/中
機密性の高い BLOB コンテナーへの異常な認証されていないパブリック アクセス (プレビュー)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
このアラートは、誰かが外部 (パブリック) IP アドレスを使用して、認証なしでストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示しています。 このアクセスが不審なのは、BLOB コンテナーはパブリック アクセスに対してオープンになっていて、通常は内部ネットワーク (プライベート IP アドレス) からの認証を使用してのみアクセスされるためです。 このアクセスは、BLOB コンテナーのアクセス レベルが正しく構成されておらず、悪意のあるアクターがパブリック アクセスを悪用したかもしれないことを示している可能性があります。 このセキュリティ アラートには、検出された機密情報コンテキスト (スキャン時間、分類ラベル、情報の種類、ファイルの種類) が含まれます。 機密データの脅威検出の詳細について確認してください。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
初期アクセス
機密性の高い BLOB コンテナーから異常な量のデータが抽出された (プレビュー)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
このアラートは、ストレージ アカウント内の機密データを含む BLOB コンテナーから、誰かが異常に大量のデータを抽出したことを示しています。 適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。 窃盗 Medium
機密性の高い BLOB コンテナーから異常な数の BLOB が抽出された (プレビュー)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
このアラートは、ストレージ アカウント内の機密データを含む BLOB コンテナーから、誰かが異常に多くの BLOB を抽出したことを示しています。 適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。 窃盗
既知の不審なアプリケーションから機密性の高い BLOB コンテナーへのアクセス (プレビュー)
Storage.Blob_SuspiciousApp.Sensitive
このアラートは、既知の不審なアプリケーションを使用する誰かが、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスし、認証された操作を実行したことを示しています。
アクセスは、脅威アクターが既知の不審なアプリケーションを使用して、ストレージ アカウントにアクセスするための資格情報を取得したことを示している可能性があります。 ただしアクセスが、組織で実施された侵入テストを示している可能性もあります。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
初期アクセス
既知の不審な IP アドレスから機密性の高い BLOB コンテナーへのアクセス (プレビュー)
Storage.Blob_SuspiciousIp.Sensitive
このアラートは、誰かが、Microsoft 脅威インテリジェンスによって脅威インテリジェンスに関連付けられている既知の不審な IP アドレスから、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示しています。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。
Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
攻撃前
Tor 出口ノードから機密性の高い BLOB コンテナーへのアクセス (プレビュー)
Storage.Blob_TorAnomaly.Sensitive
このアラートは、誰かが Tor 出口ノードと呼ばれる IP アドレスを使用して、認証されたアクセスにより、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示しています。 Tor 出口ノードからの認証されているアクセスは、悪質である可能性がある意図のために、アクターが匿名を維持しようとしていることを強く示しています。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
攻撃前
通常とは異なる場所から機密性の高い BLOB コンテナーへのアクセス (プレビュー)
Storage.Blob_GeoAnomaly.Sensitive
このアラートは、誰かが通常とは異なる場所から、認証を使用してストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示しています。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
初期アクセス Medium
機密性の高いストレージ BLOB コンテナーのアクセス レベルが、認証されていないパブリック アクセスを許可するように変更された (プレビュー)
Storage.Blob_OpenACL.Sensitive
このアラートは、誰かが、ストレージ アカウント内の機密データを含む BLOB コンテナーのアクセス レベルを "コンテナー" レベルに変更したことを示しています。このレベルでは、認証されていない (匿名) パブリック アクセスが許可されます。 変更は、Azure portal を通じて行われました。
アクセス レベルを変更すると、データのセキュリティが損なわれる可能性があります。 このアラートがトリガーされた場合は直ちにアクションを起こし、データをセキュリティで保護し、未認可のアクセスを防ぐことをお勧めします。
適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
コレクション
過剰なアクセス許可を持つ SAS トークンを使用した Azure ストレージ アカウントへの不審な外部アクセス (プレビュー)
Storage.Blob_AccountSas.InternalSasUsedExternally
このアラートは、誰かが外部 (パブリック) IP アドレスを使用して、有効期限が長く過剰なアクセス許可を持つ SAS トークンによってストレージ アカウントにアクセスしたことを示しています。 SAS トークンは、通常 (プライベート IP アドレスの) 内部ネットワークでのみ使用されるため、この種類のアクセスは不審なと見なされます。
このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩されたか、正当なソースから意図せず漏洩されたことを示している可能性があります。
アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。
適用対象: 新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
流出/リソース開発/影響 Medium
過剰なアクセス許可を持つ SAS トークンを使用した Azure ストレージ アカウントに対する不審な外部操作 (プレビュー)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
このアラートは、誰かが外部 (パブリック) IP アドレスを使用して、有効期限が長く過剰なアクセス許可を持つ SAS トークンによってストレージ アカウントにアクセスしたことを示しています。 この SAS トークンを使用して (プライベート IP アドレスからではなく) ネットワークの外部で呼び出された操作は、一般に、一連の特定の読み取り/書き込み/削除操作に使用されますが、他の操作が発生したため、このアクセスは不審なと見なされます。
このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩されたか、正当なソースから意図せず漏洩されたことを示している可能性があります。
アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。
適用対象: 新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
流出/リソース開発/影響 Medium
パブリック IP アドレスから Azure ストレージ アカウントにアクセスするのに通常とは異なる SAS トークンが使用された (プレビュー)
Storage.Blob_AccountSas.UnusualExternalAccess
このアラートは、誰かが外部 (パブリック) IP アドレスを使用して、アカウントの SAS トークンによってストレージ アカウントにアクセスしたことを示しています。 SAS トークンを使用したストレージ アカウントへのアクセスは、通常、内部 (プライベート) IP アドレスからのみ行われるため、アクセスはまったく普通ではなく不審なと見なされます。
このストレージ アカウントへのアクセスを取得するため、組織内または外部から悪意のあるアクターによって SAS トークンが漏洩された、または生成された可能性があります。
適用対象: 新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
流出/リソース開発/影響
ストレージ アカウントに悪意のあるファイルがアップロードされた
Storage.Blob_AM.MalwareFound
このアラートは、悪意のある BLOB がストレージ アカウントにアップロードされたことを示しています。 このセキュリティ アラートは、Defender for Storage のマルウェア スキャン機能によって生成されます。
原因としては、脅威アクターによる意図的なマルウェアのアップロードや、正当なユーザーによる、悪意のあるファイルの意図しないアップロードが考えられます。
適用対象: マルウェア スキャン機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
侵入の拡大
悪意のある BLOB がストレージ アカウントからダウンロードされました (プレビュー)
Storage.Blob_MalwareDownload
このアラートは、悪意のある BLOB がストレージ アカウントからダウンロードされたことを示しています。 考えられる原因としては、ストレージ アカウントにアップロードされたマルウェアが削除または隔離されなかったために、脅威アクターがマルウェアをダウンロードできるようになった場合や、正規のユーザーやアプリケーションが意図せずにマルウェアをダウンロードした場合などが挙げられます。
適用対象: マルウェア スキャン機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。
侵入の拡大 高、Eicar の場合 - 低

Azure Cosmos DB のアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Access from a Tor exit node (Tor 出口ノードからのアクセス)
(CosmosDB_TorAnomaly)
この Azure Cosmos DB アカウントは、Tor (匿名化プロキシ) のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 初期アクセス 高/中
Access from a suspicious IP (不審な IP からのアクセス)
(CosmosDB_SuspiciousIp)
この Azure Cosmos DB アカウントは、Microsoft 脅威インテリジェンスによって脅威として識別された IP アドレスから正常にアクセスされました。 初期アクセス Medium
Access from an unusual location (通常とは異なる場所からのアクセス)
(CosmosDB_GeoAnomaly)
この Azure Cosmos DB アカウントは、通常のアクセス パターンから見て、未知の場所からアクセスされました。

脅威アクターがアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。
初期アクセス
Unusual volume of data extracted (異常に大容量のデータの抽出)
(CosmosDB_DataExfiltrationAnomaly)
この Azure Cosmos DB アカウントから大量のデータが抽出されています。 これは、脅威アクターがデータを抜き通ったことを示している可能性があります。 窃盗 Medium
Extraction of Azure Cosmos DB accounts keys via a potentially malicious script (悪意のある可能性があるスクリプトを使用した Azure Cosmos DB アカウント キーの抽出)
(CosmosDB_SuspiciousListKeys.MaliciousScript)
サブスクリプションで PowerShell スクリプトが実行され、サブスクリプションの Azure Cosmos DB アカウント キーを取得するために、不審なパターンのキー リスト操作が実行されました。 脅威アクターは、Microburst などの自動化されたスクリプトを使用して、キーを一覧表示し、アクセスできる Azure Cosmos DB アカウントを見つけ出します。

この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境内の Azure Cosmos DB アカウントを侵害しようとしていることを示している可能性があります。

または、悪意のある内部関係者が機微なデータにアクセスし、横移動を試みている可能性があります。
コレクション
Suspicious extraction of Azure Cosmos DB account keys (Azure Cosmos DB アカウント キーの不審な抽出) (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) 不審なソースによって、サブスクリプションから Azure Cosmos DB アカウント アクセス キーが抽出されました。 このソースが正当なソースでない場合は、これは影響の大きい問題である可能性があります。 抽出されたアクセス キーは、関連するデータベースと、その中の格納データを完全に制御します。 ソースが不審なとフラグ付けされた理由を理解するには、各特定のアラートの詳細を参照してください。 資格情報アクセス high
SQL injection: potential data exfiltration (SQL インジェクション: データ流出の可能性)
(CosmosDB_SqlInjection.DataExfiltration)
この Azure Cosmos DB アカウントのコンテナーを照会するために、不審な SQL ステートメントが使用されました。

挿入されたステートメントにより、脅威アクターが、アクセスを許可されていないデータの流出に成功している可能性があります。

Azure Cosmos DB クエリの構造と機能により、Azure Cosmos DB アカウントに対する多くの既知の SQL インジェクション攻撃は動作しません。 しかし、この攻撃で使用されるバリエーションは機能する可能性があり、脅威アクターはデータを抜き取ることができます。
窃盗 Medium
SQL injection: fuzzing attempt (SQL インジェクション: ファジングの試行)
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
この Azure Cosmos DB アカウントのコンテナーを照会するために、不審な SQL ステートメントが使用されました。

他の既知の SQL インジェクション攻撃と同様に、この攻撃は Azure Cosmos DB アカウントを侵害しても成功しません。

それでも、脅威アクターがこのアカウントのリソースを攻撃しようとしており、アプリケーションが侵害される可能性があることを示しています。

一部の SQL インジェクション攻撃は成功し、データを抜き取るために使用されることがあります。 これは、攻撃者が SQL インジェクションの試行を続けた場合、Azure Cosmos DB アカウントを侵害し、データを抜き取ることができる可能性があることを意味します。

この脅威を回避するには、パラメーター化されたクエリを使用します。
攻撃前 Low

Azure ネットワーク レイヤーのアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)
(Network_CommunicationWithC2)
ネットワーク トラフィック分析で、ご使用のマシン (IP %{Victim IP}) がコマンド アンド コントロール センターの可能性がある対象と通信していることが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが、コマンド アンド コントロール センターの可能性がある対象と通信していることを示している可能性があります。 コマンドと制御 Medium
Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)
(Network_ResourceIpIndicatedAsMalicious)
脅威インテリジェンスは、ご使用のマシン (IP% {Machine IP}) が Conficker タイプのマルウェアによって侵害された可能性があることを示しています。 Conficker は、Microsoft Windows オペレーティング システムをターゲットにしたコンピューター ワームで、2008 年 11 月に初めて検出されました。 Conficker は、200 以上の国/地域で政府、企業、および自宅のコンピューターを含む何百万台ものコンピューターに感染し、2003 年の Welchia ワーム以来最大のコンピューター ワーム感染として知られるようになりました。 コマンドと制御 Medium
Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルート フォース攻撃を受信した可能性が検出されました)
(Generic_Incoming_BF_OneToOne)
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への %{Service Name} 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Victim Port} での不審なアクティビティが示されています。 このアクティビティは、%{Service Name} サーバーに対するブルート フォース攻撃の試行と一致しています。 攻撃前 情報提供
Possible incoming SQL brute force attempts detected (SQL ブルート フォース攻撃が試行された可能性が検出されました)
(SQL_Incoming_BF_OneToOne)
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への SQL 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Port Number} (%{SQL Service Type}) での不審なアクティビティが示されています。 このアクティビティは、SQL サーバーに対するブルート フォース攻撃の試行と一致しています。 攻撃前 Medium
Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)
(DDOS)
ネットワーク トラフィック分析により、デプロイ内のリソース %{Compromised Host} からの異常な送信アクティビティが検出されました。 このアクティビティは、リソースが侵害され、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが侵害されていることを示している可能性があります。 接続の量から、次の IP が DOS 攻撃のターゲットになっている可能性があると考えられます: %{Possible Victims}。 これらの IP の一部への通信は正当なものである可能性があることに注意してください。 影響 Medium
Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワーク アクティビティ)
(RDP_Incoming_BF_ManyToOne)
ネットワーク トラフィック分析により、複数のソースから、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常なリモート デスクトップ プロトコル (RDP) 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (ボットネット) から RDP エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 攻撃前 Medium
Suspicious incoming RDP network activity (不審な着信 RDP ネットワーク アクティビティ)
(RDP_Incoming_BF_OneToOne)
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常なリモート デスクトップ プロトコル (RDP) 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、RDP エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 攻撃前 Medium
Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワーク アクティビティ)
(SSH_Incoming_BF_ManyToOne)
ネットワーク トラフィック分析により、複数のソースから、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な SSH 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (ボットネット) から SSH エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 攻撃前 Medium
Suspicious incoming SSH network activity (不審な着信 SSH ネットワーク アクティビティ)
(SSH_Incoming_BF_OneToOne)
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な SSH 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、SSH エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 攻撃前 Medium
Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)
(PortScanning)
ネットワーク トラフィック分析で、%{Compromised Host} から宛先ポート %{Most Common Port} への不審な送信トラフィックが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作は、リソースが %{Attacked Protocol} のブルート フォース試行やポート スイープ攻撃に参加していることを示している可能性があります。 探索 Medium
Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワーク アクティビティ)
(RDP_Outgoing_BF_OneToMany)
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から複数の宛先に、異常なリモート デスクトップ プロトコル (RDP) 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のマシンが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の RDP エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 探索
Suspicious outgoing RDP network activity (不審な発信 RDP ネットワーク アクティビティ)
(RDP_Outgoing_BF_OneToOne)
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から %{Victim IP} に、異常なリモート デスクトップ プロトコル (RDP) 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、コンピューターが侵害され、現在、外部の RDP エンド ポイントのブルート フォース攻撃に使用されていることを示す可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 侵入の拡大
Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワーク アクティビティ)
(SSH_Outgoing_BF_OneToMany)
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から複数の宛先に、異常な SSH 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の SSH エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 探索 Medium
Suspicious outgoing SSH network activity (不審な発信 SSH ネットワーク アクティビティ)
(SSH_Outgoing_BF_OneToOne)
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から %{Victim IP} に、異常な SSH 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の SSH エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 侵入の拡大 Medium
Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました)
(Network_TrafficFromUnrecommendedIP)
Microsoft Defender for Cloud によって、ブロックすることが推奨されている IP アドレスからの受信トラフィックが検出されました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 プローブ 情報提供

Azure Key Vault のアラート

詳細な説明と注意

アラート (アラートの種類) 説明 MITRE の方針
(詳細はこちら)
重大度
Access from a suspicious IP address to a key vault (不審な IP アドレスからのキー コンテナーへのアクセス)
(KV_SuspiciousIPAccess)
キー コンテナーが、Microsoft 脅威インテリジェンスによって不審な IP アドレスとして識別された IP によって正常にアクセスされました。 これは、お使いのインフラストラクチャが侵害を受けたことを示しているおそれがあります。 さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 資格情報アクセス Medium
Access from a TOR exit node to a key vault (TOR 出口ノードからキー コンテナーへのアクセス)
(KV_TORAccess)
キー コンテナーが既知の TOR 出口ノードからアクセスされました。 これは、脅威アクターがキー コンテナーにアクセスし、TOR ネットワークを使用してそのソースの場所を隠していることを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
High volume of operations in a key vault (キー コンテナーでの大量の操作)
(KV_OperationVolumeAnomaly)
ユーザー、サービス プリンシパル、または特定のキー コンテナーによって、異常な数のキー コンテナー操作が実行されました。 この異常なアクティビティ パターンは正当である場合もあるものの、脅威アクターがキー コンテナーとそれに含まれているシークレットにアクセスできるようになったことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
Suspicious policy change and secret query in a key vault (キー コンテナーでの不審なポリシー変更とシークレット クエリ)
(KV_PutGetAnomaly)
ユーザーまたはサービス プリンシパルが、異常な Vault Put ポリシー変更操作と、1 つ以上の Secret Get 操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはありません。 これは正当なアクティビティである場合もありますが、脅威アクターが以前はアクセスできなかったシークレットにアクセスするために、キー コンテナー ポリシーを更新したことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
Suspicious secret listing and query in a key vault (キー コンテナーでの不審なシークレット一覧取得とクエリ)
(KV_ListGetAnomaly)
ユーザーまたはサービス プリンシパルが、異常な Secret List 操作と、1 つ以上の Secret Get 操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはなく、普通はシークレット ダンプに関連付けられています。 これは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに既にアクセスし、ネットワークを横移動したり、機密性の高いリソースへのアクセスを取得したりするために使用できるシークレットを発見しようとしていることを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました
(KV_AccountVolumeAccessDeniedAnomaly)
ユーザーまたはサービス プリンシパルが過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 探索
Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)
(KV_UserAccessDeniedAnomaly)
通常はアクセスしないユーザーがキー コンテナーへのアクセスを試みましたが、この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 初期アクセス、検出
Unusual application accessed a key vault (異常なアプリケーションによるキー コンテナーへのアクセス)
(KV_AppAnomaly)
キー コンテナーが、通常はアクセスすることのないサービス プリンシパルによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
Unusual operation pattern in a key vault (キー コンテナーでの異常な操作パターン)
(KV_OperationPatternAnomaly)
ユーザー、サービス プリンシパル、または特定のキー コンテナーによって、異常なパターンのキー コンテナー操作が実行されました。 この異常なアクティビティ パターンは正当である場合もあるものの、脅威アクターがキー コンテナーとそれに含まれているシークレットにアクセスできるようになったことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
Unusual user accessed a key vault (異常なユーザーによるキー コンテナーへのアクセス)
(KV_UserAnomaly)
キー コンテナーが、通常はアクセスすることのないユーザーによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセス)
(KV_UserAppAnomaly)
キー コンテナーが、通常はアクセスすることのないユーザーとサービス プリンシパルのペアによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
User accessed high volume of key vaults (ユーザーによる大量のキー コンテナーへのアクセス)
(KV_AccountVolumeAnomaly)
ユーザーまたはサービス プリンシパルが、異常な数のキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、複数のキー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium
疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました
(KV_SuspiciousIPAccessDenied)
Microsoft 脅威インテリジェンスによって不審な IP アドレスとして識別された IP からキー コンテナーへのアクセスが試行され失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。 資格情報アクセス
疑わしい IP (Microsoft 以外または外部) からのキー コンテナーへの異常なアクセス
(KV_UnusualAccessSuspiciousIP)
ユーザーまたはサービス プリンシパルが過去 24 時間以内に Microsoft 以外の IP からキー コンテナーに異常なアクセスを試みました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 資格情報アクセス Medium

Azure DDoS Protection のアラート

詳細な説明と注意

アラート: 説明 MITRE の方針
(詳細はこちら)
重大度
DDoS Attack detected for Public IP (パブリック IP に対する DDoS 攻撃が検出されました)
(NETWORK_DDOS_DETECTED)
パブリック IP (IP アドレス) に対する DDoS 攻撃が検出されましたが、軽減策が実施されています。 プローブ
DDoS Attack mitigated for Public IP (パブリック IP に対する DDoS 攻撃の軽減策が実施されました)
(NETWORK_DDOS_MITIGATED)
パブリック IP (IP アドレス) に対する DDoS 攻撃の軽減策が実施されました。 プローブ

MITRE ATT&CK の方針

攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの作業を支援するために、Microsoft Defender for Cloud alerts には多くのアラートがある MITRE 戦術が含まれています。

偵察からデータ窃盗までのサイバー攻撃の流れを説明する一連の手順は、"キル チェーン" と呼ばれることがよくあります。

Defender for Cloud でサポートされているキル チェーンの意図は、MITRE ATT&CK マトリックスのバージョン 9 に基づいており、次の表で説明します。

方針 ATT&CK バージョン 説明
攻撃前 攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、このステップは、ネットワークの外部から開始された、ターゲット システムをスキャンしてエントリ ポイントを識別するための試行として検出されます。
初期アクセス V7、V9 初期アクセスは、攻撃者がリソースを攻撃するために足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。多くの場合、脅威アクターは、この段階の後でリソースを制御できます。
永続化 V7、V9 永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。 多くの場合、脅威アクターは、アクセスを回復するための代替バックドアを再起動または提供するためにリモート アクセス ツールを必要とする、システムの再起動、資格情報の損失、その他の障害などの中断によって、システムへのアクセスを維持する必要があります。
特権エスカレーション V7、V9 特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 敵対者が目的を達成するために必要な特定のシステムにアクセスしたり、特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされることがあります。
防御回避 V7、V9 防御回避には、敵対者が検出を回避したり、他の防御を回避したりするために使用できる技法が含まれます。 これらのアクションは、特定の防御または軽減策を破壊する追加の利点がある他のカテゴリの手法と同じ (またはそのバリエーション) である場合があります。
資格情報へのアクセス V7、V9 資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。
検出 V7、V9 検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者は、新しいシステムへのアクセスを取得するとき、制御できるようになったもの、およびそのシステムから操作する利点から、侵入の間の現在の目標または全体的な目標が得られるものを確認する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。
横移動 V7、V9 横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 横移動の手法により、敵対者は、リモート アクセス ツールなどの他のツールを必要とせずに、システムから情報を収集することができます。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、より多くの資格情報へのアクセス、影響の実現など、さまざまな目的に横移動を使用できます。
実行 V7、V9 実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせて使用されることがよくあります。
コレクション V7、V9 コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。
コマンドとコントロール V7、V9 指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。
窃盗 V7、V9 窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。
影響 V7、V9 影響イベントでは、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。 多くの場合、ランサムウェア、改ざん、データ操作などの手法が使用されます。

注意

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

非推奨の Defender for Servers アラート

次の表には、改善プロセスが原因で 2023 年 4 月に非推奨となった Defender for Servers セキュリティ アラートが示されています。

非推奨の Linux アラート

アラートの種類 アラートの表示名 重大度
VM_AbnormalDaemonTermination Abnormal Termination (異常終了)
VM_BinaryGeneratedFromCommandLine Suspicious binary detected (不審なバイナリが検出されました) Medium
VM_CommandlineSuspectDomain Suspicious domain name reference (不審なドメイン名参照)
VM_CommonBot Behavior similar to common Linux bots detected (一般的な Linux ボットに似た動作が検出されました) Medium
VM_CompCommonBots Commands similar to common Linux bots detected (一般的な Linux ボットに似たコマンドが検出されました) Medium
VM_CompSuspiciousScript Shell Script Detected (シェル スクリプトが検出されました) Medium
VM_CompTestRule Composite Analytic Test Alert (複合分析テスト アラート)
VM_CronJobAccess Manipulation of scheduled tasks detected (スケジュールされたタスクの操作が検出されました) Informational
VM_CryptoCoinMinerArtifacts Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました) Medium
VM_CryptoCoinMinerDownload Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました) Medium
VM_CryptoCoinMinerExecution Potential crypto coin miner started (暗号化コイン マイナーが起動された可能性があります) Medium
VM_DataEgressArtifacts Possible data exfiltration detected (データ流出の可能性が検出されました) Medium
VM_DigitalCurrencyMining Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
VM_DownloadAndRunCombo Suspicious Download Then Run Activity (不審なダウンロードして実行のアクティビティ) Medium
VM_EICAR Microsoft Defender for Cloud test alert (not a threat) (Microsoft Defender for Cloud のテスト アラート (脅威ではありません))
VM_ExecuteHiddenFile Execution of hidden file (隠しファイルの実行) Informational
VM_ExploitAttempt Possible command line exploitation attempt (コマンド ラインの悪用試行の可能性があります) Medium
VM_ExposedDocker Exposed Docker daemon on TCP socket (TCP ソケットでの公開 Docker デーモン) Medium
VM_FairwareMalware Behavior similar to Fairware ransomware detected (Fairware ランサムウェアに似た動作が検出されました) Medium
VM_FirewallDisabled Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました) Medium
VM_HadoopYarnExploit Possible exploitation of Hadoop Yarn (Hadoop Yarn の悪用の可能性) Medium
VM_HistoryFileCleared A history file has been cleared (履歴ファイルが消去されました) Medium
VM_KnownLinuxAttackTool Possible attack tool detected (攻撃ツールの可能性が検出されました) Medium
VM_KnownLinuxCredentialAccessTool Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました) Medium
VM_KnownLinuxDDoSToolkit Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました) Medium
VM_KnownLinuxScreenshotTool Screenshot taken on host (ホストでスクリーンショットが作成されました)
VM_LinuxBackdoorArtifact Possible backdoor detected (バックドアの可能性が検出されました) Medium
VM_LinuxReconnaissance Local host reconnaissance detected (ローカル ホスト偵察が検出されました) Medium
VM_MismatchedScriptFeatures Script extension mismatch detected (スクリプト拡張子の不一致が検出されました) Medium
VM_MitreCalderaTools MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました) Medium
VM_NewSingleUserModeStartupScript Detected Persistence Attempt (永続化の試行が検出されました) Medium
VM_NewSudoerAccount Account added to sudo group (sudo グループにアカウントが追加されました)
VM_OverridingCommonFiles Potential overriding of common files (共通ファイルの潜在的な上書き) Medium
VM_PrivilegedContainerArtifacts Container running in privileged mode (コンテナーが特権モードで実行されています)
VM_PrivilegedExecutionInContainer Command within a container running with high privileges (コンテナー内でコマンドが高い特権で実行されています)
VM_ReadingHistoryFile Unusual access to bash history file (bash 履歴ファイルへの通常とは異なるアクセス) Informational
VM_ReverseShell Potential reverse shell detected (リバース シェルの可能性が検出されました) Medium
VM_SshKeyAccess Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました)
VM_SshKeyAddition New SSH key added (新しい SSH キーが追加されました)
VM_SuspectCompilation Suspicious compilation detected (不審なコンパイルが検出されました) Medium
VM_SuspectConnection An uncommon connection attempt detected (一般的でない接続試行が検出されました) Medium
VM_SuspectDownload Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) Medium
VM_SuspectDownloadArtifacts Detected suspicious file download (不審なファイルのダウンロードが検出されました)
VM_SuspectExecutablePath Executable found running from a suspicious location (不審な場所から実行されている実行可能ファイルが見つかりました) Medium
VM_SuspectHtaccessFileAccess Access of htaccess file detected (htaccess ファイルへのアクセスが検出されました) Medium
VM_SuspectInitialShellCommand Suspicious first command in shell (シェルでの不審な最初のコマンド)
VM_SuspectMixedCaseText Detected anomalous mix of uppercase and lowercase characters in command line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました) Medium
VM_SuspectNetworkConnection Suspicious network connection (不審なネットワーク接続) Informational
VM_SuspectNohup Detected suspicious use of the nohup command (nohup コマンドの不審な使用が検出されました) Medium
VM_SuspectPasswordChange Possible password change using crypt-method detected (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました) Medium
VM_SuspectPasswordFileAccess Suspicious password access (不審なパスワード アクセス) Informational
VM_SuspectPhp Suspicious PHP execution detected (不審な PHP の実行が検出されました) Medium
VM_SuspectPortForwarding Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります) Medium
VM_SuspectProcessAccountPrivilegeCombo Process running in a service account became root unexpectedly (サービス アカウントで実行されているプロセスが、予期せずルートになりました) Medium
VM_SuspectProcessTermination Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました)
VM_SuspectUserAddition Detected suspicious use of the useradd command (useradd コマンドの不審な使用が検出されました) Medium
VM_SuspiciousCommandLineExecution Suspicious command execution (不審なコマンドの実行)
VM_SuspiciousDNSOverHttps Suspicious use of DNS over HTTPS (DNS over HTTPS の不審な使用) Medium
VM_SystemLogRemoval Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました) Medium
VM_ThreatIntelCommandLineSuspectDomain A possible connection to malicious location has been detected (悪意のある場所への接続の可能性が検出されました) Medium
VM_ThreatIntelSuspectLogon A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)
VM_TimerServiceDisabled Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました) Informational
VM_TimestampTampering Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更)
VM_Webshell Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました) Medium

非推奨の Windows アラート

アラートの種類 アラートの表示名 Severity
SCUBA_MULTIPLEACCOUNTCREATE Suspicious creation of accounts on multiple hosts (複数のホストでのアカウントの不審な作成) Medium
SCUBA_PSINSIGHT_CONTEXT Suspicious use of PowerShell detected (PowerShell の不審な使用が検出されました) Informational
SCUBA_RULE_AddGuestToAdministrators Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加) Medium
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands Apache_Tomcat_executing_suspicious_commands Medium
SCUBA_RULE_KnownBruteForcingTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_KnownCollectionTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_KnownDefenseEvasionTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_KnownExecutionTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_KnownPassTheHashTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_KnownSpammingTools Suspicious process executed (不審なプロセスの実行) Medium
SCUBA_RULE_Lowering_Security_Settings Detected the disabling of critical services (重要なサービスの無効化が検出されました) Medium
SCUBA_RULE_OtherKnownHackerTools Suspicious process executed (不審なプロセスの実行)
SCUBA_RULE_RDP_session_hijacking_via_tscon Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル) Medium
SCUBA_RULE_RDP_session_hijacking_via_tscon_service Suspect service installation (不審なサービスのインストール) Medium
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました)
SCUBA_RULE_WDigest_Enabling Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました) Medium
VM.Windows_ApplockerBypass Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました)
VM.Windows_BariumKnownSuspiciousProcessExecution Detected suspicious file creation (不審なファイルの作成が検出されました)
VM.Windows_Base64EncodedExecutableInCommandLineParams Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)
VM.Windows_CalcsCommandLineUse Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の不審な使用が検出されました) Medium
VM.Windows_CommandLineStartingAllExe Detected suspicious command line used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される不審なコマンドラインが検出されました) Medium
VM.Windows_DisablingAndDeletingIISLogFiles Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました) Medium
VM.Windows_DownloadUsingCertutil Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード) Medium
VM.Windows_EchoOverPipeOnLocalhost Detected suspicious named pipe communications (不審な名前付きパイプ通信が検出されました)
VM.Windows_EchoToConstructPowerShellScript Dynamic PowerShell script construction (動的 PowerShell スクリプトの構築) Medium
VM.Windows_ExecutableDecodedUsingCertutil Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました) Medium
VM.Windows_FileDeletionIsSospisiousLocation Suspicious file deletion detected (不審なファイルの削除が検出されました) Medium
VM.Windows_KerberosGoldenTicketAttack Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました) Medium
VM.Windows_KeygenToolKnownProcessName Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました) Suspicious process executed (不審なプロセスが実行されました) Medium
VM.Windows_KnownCredentialAccessTools Suspicious process executed (不審なプロセスの実行)
VM.Windows_KnownSuspiciousPowerShellScript Suspicious use of PowerShell detected (PowerShell の不審な使用が検出されました)
VM.Windows_KnownSuspiciousSoftwareInstallation High risk software detected (危険度の高いソフトウェアが検出されました) Medium
VM.Windows_MsHtaAndPowerShellCombination Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の不審な組み合わせが検出されました) Medium
VM.Windows_MultipleAccountsQuery Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました) Medium
VM.Windows_NewAccountCreation Account creation detected (アカウントの作成が検出されました) Informational
VM.Windows_ObfuscatedCommandLine Detected obfuscated command line (難読化されたコマンド ラインが検出されました)
VM.Windows_PcaluaUseToLaunchExecutable Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の不審な使用が検出されました) Medium
VM.Windows_PetyaRansomware Detected Petya ransomware indicators (検出された Petya ランサムウェア インジケーター)
VM.Windows_PowerShellPowerSploitScriptExecution Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました) Medium
VM.Windows_RansomwareIndication Ransomware indicators detected (ランサムウェア インジケーターが検出されました)
VM.Windows_SqlDumperUsedSuspiciously Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示]) Medium
VM.Windows_StopCriticalServices Detected the disabling of critical services (重要なサービスの無効化が検出されました) Medium
VM.Windows_SubvertingAccessibilityBinary Sticky keys attack detected (固定キー攻撃が検出されました)
Suspicious account creation detected Medium (不審なアカウント作成が検出されました (中))
VM.Windows_SuspiciousAccountCreation Suspicious Account Creation Detected (不審なアカウント作成が検出されました) Medium
VM.Windows_SuspiciousFirewallRuleAdded Detected suspicious new firewall rule (不審な新しいファイアウォール規則が検出されました) Medium
VM.Windows_SuspiciousFTPSSwitchUsage Detected suspicious use of FTP -s switch (FTP -s スイッチの不審な使用が検出されました) Medium
VM.Windows_SuspiciousSQLActivity Suspicious SQL activity (不審な SQL アクティビティ) Medium
VM.Windows_SVCHostFromInvalidPath Suspicious process executed (不審なプロセスの実行)
VM.Windows_SystemEventLogCleared The Windows Security log was cleared (Windows セキュリティ ログがクリアされました) Informational
VM.Windows_TelegramInstallation Detected potentially suspicious use of Telegram tool (Telegram ツールの不審な可能性がある使用方法が検出されました) Medium
VM.Windows_UndercoverProcess Suspiciously named process detected (不審な名前が付けられたプロセスが検出されました)
VM.Windows_UserAccountControlBypass Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました) Medium
VM.Windows_VBScriptEncoding Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの不審な実行が検出されました) Medium
VM.Windows_WindowPositionRegisteryChange Suspicious WindowPosition registry value detected (不審な WindowPosition レジストリ値が検出されました)
VM.Windows_ZincPortOpenningUsingFirewallRule Malicious firewall rule created by ZINC server implant (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則)
VM_DigitalCurrencyMining Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
VM_MaliciousSQLActivity Malicious SQL activity (悪意のある SQL アクティビティ)
VM_ProcessWithDoubleExtensionExecution 不審な二重の拡張子のファイルが実行されました
VM_RegistryPersistencyKey Windows registry persistence method detected (Windows レジストリ永続性メソッドが検出されました)
VM_ShadowCopyDeletion Suspicious Volume Shadow Copy Activity (疑わしいボリューム シャドウ コピー アクティビティ)
Executable found running from a suspicious location (不審な場所から実行されている実行可能ファイルが見つかりました)
VM_SuspectExecutablePath Executable found running from a suspicious location (疑わしい場所から実行されている実行可能ファイルが見つかりました)
Detected anomalous mix of uppercase and lowercase characters in command line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました)
Informational

Medium
VM_SuspectPhp Suspicious PHP execution detected (不審な PHP の実行が検出されました) Medium
VM_SuspiciousCommandLineExecution Suspicious command execution (不審なコマンドの実行)
VM_SuspiciousScreenSaverExecution Suspicious Screensaver process executed (不審なスクリーンセーバー プロセスが実行されました) Medium
VM_SvcHostRunInRareServiceGroup Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました) Informational
VM_SystemProcessInAbnormalContext Suspicious system process executed (不審なシステム プロセスが実行されました) Medium
VM_ThreatIntelCommandLineSuspectDomain A possible connection to malicious location has been detected (悪意のある場所への接続の可能性が検出されました) Medium
VM_ThreatIntelSuspectLogon A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)
VM_VbScriptHttpObjectAllocation VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました)
VM_TaskkillBurst Suspicious process termination burst (不審なプロセス終了バースト)
VM_RunByPsExec PsExec execution detected (PsExec の実行が検出されました) 情報提供

Defender for API のアラート

アラート (アラートの種類) 説明 MITRE の方針 重大度
API エンドポイントへの API トラフィックの不審な母集団レベルの急増
(API_PopulationSpikeInAPITraffic)
API エンドポイントの 1 つで、API トラフィックの不審な急増が検出されました。 検出システムでは、過去のトラフィック パターンを使用して、すべての IP とエンドポイント間の定期的な API トラフィック量のベースラインが確立されています。このベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。 影響
1 つの IP アドレスから API エンドポイントへの API トラフィックの不審な急増
(API_SpikeInAPITraffic)
クライアント IP から API エンドポイントへの API トラフィックの不審な急増が検出されました。 検出システムでは、過去のトラフィック パターンを使用して、特定の IP からエンドポイントに送信される定期的な API トラフィック量のベースラインが確立されています。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。 影響
1 つの IP アドレスと API エンドポイントの間で送信される応答ペイロードが異常に大きい
(API_SpikeInPayload)
1 つの IP といずれかの API エンドポイントの間のトラフィックで、API 応答ペイロード サイズの不審な急増が検出されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 応答ペイロード サイズを示すベースラインを学習します。 学習したベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 API 応答ペイロードのサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。 初期アクセス
1 つの IP アドレスと API エンドポイントの間で送信される要求本文が異常に大きい
(API_SpikeInPayload)
1 つの IP といずれかの API エンドポイントの間のトラフィックで、API 要求本文のサイズの不審な急増が検出されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 要求本文サイズを示すベースラインを学習します。 学習したベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 API 要求のサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。 初期アクセス Medium
(プレビュー) 1 つの IP アドレスと API エンドポイント間のトラフィックにおける待機時間の不審な急増
(API_SpikeInLatency)
1 つの IP といずれかの API エンドポイントの間のトラフィックで、待機時間の不審な急増が検出されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイント間の通常の API トラフィック待機時間を示すベースラインを学習します。 学習したベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 API 呼び出しの待機時間が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。 初期アクセス
API 要求が、1 つの IP アドレスから異常に多数の個別 API エンドポイントに送信されている
(API_SprayInRequests)
1 つの IP から異常に多数の個別エンドポイントに対して API 呼び出しが行われているのが検出されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中で 1 つの IP によって呼び出される一般的な個別エンドポイント数を示すベースラインを学習します。 1 つの IP の動作が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。 探索
API エンドポイントでのパラメーター列挙
(API_ParameterEnumeration)
いずれかの API エンドポイントへのアクセス時に 1 つの IP によるパラメーターの列挙が検出されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でこのエンドポイントへのアクセス時に 1 つの IP で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 1 つのクライアント IP が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。 初期アクセス
API エンドポイントでの分散パラメーター列挙
(API_DistributedParameterEnumeration)
いずれかの API エンドポイントへのアクセス時に、全ユーザー母集団 (すべての IP) によるパラメーターの列挙が検出されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でエンドポイントへのアクセス時にユーザー母集団 (すべての IP) で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 ユーザー母集団が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。 初期アクセス
API 呼び出しでの異常なデータ型を持つパラメーター値
(API_UnseenParamType)
1 つの IP が、低確率のデータ型 (文字列、整数など) のパラメーター値を使用していずれかの API エンドポイントにアクセスしたことが検出されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、各 API パラメーターの想定されるデータ型を学習します。 1 つの IP が最近、以前の低確率データ型をパラメーター入力として使用してエンドポイントにアクセスしたため、アラートがトリガーされました。 影響
API 呼び出しでの未知のパラメーターの使用
(API_UnseenParam)
1 つの IP が、要求で未知のパラメーターまたは範囲外のパラメーターを使用していずれかの API エンドポイントにアクセスしたことが検出されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、エンドポイントへの呼び出しに関連付けられる一連の想定されるパラメーターを学習します。 1 つの IP が最近、未知のパラメーターを使用してエンドポイントにアクセスしたため、アラートがトリガーされました。 影響
Tor 出口ノードから API エンドポイントへのアクセス
(API_AccessFromTorExitNode)
Tor ネットワークの IP アドレスが、いずれかの API エンドポイントにアクセスしました。 Tor は、実際の IP を隠したままインターネットにアクセスできるネットワークです。 正当に使用されることもありますが、攻撃者がユーザーのシステムをオンラインで標的にするときに、自分の ID を隠すために頻繁に使用されます。 攻撃前
不審な IP からの API エンドポイント アクセス
(API_AccessFromSuspiciousIP)
いずれかの API エンドポイントにアクセスする IP アドレスが、Microsoft Threat Intelligence によって脅威である可能性が高いと識別されました。 悪意のあるインターネット トラフィックの監視中に、この IP が他のオンライン ターゲットの攻撃に関与していると示されました。 攻撃前
Suspicious User Agent detected (不審なユーザー エージェントが検出されました)
(API_AccessFromSuspiciousUserAgent)
いずれかの API エンドポイントにアクセスする要求のユーザー エージェントに、リモート コードの実行試行を示す異常な値が含まれていました。 これは、いずれかの API エンドポイントが侵害されたことを意味するわけではありませんが、攻撃の試行が進行中であることを示唆しています。 実行 Medium

次の手順