セキュリティ アラート - リファレンス ガイド
この記事では、Microsoft Defender for Cloud と、有効にした Microsoft Defender プランから取得できるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
このページの下部には、MITRE ATT&CK マトリックスのバージョン 9 に合わせて配置された Microsoft Defender for Cloud キル チェーンについて説明する表があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている疑わしいプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Windows マシンのアラート
Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Windows マシンに対して提供されるアラートは次のとおりです。
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)。 [複数回表示] | アカウント [account] とプロセス [process] のリモート認証が正常に行われましたが、ログオン IP アドレス (x.x.x.x) は、以前に悪意のあるまたは極めて異常として報告されています。 攻撃が成功した可能性があります。 .scr 拡張子を持つファイルはスクリーンセーバー ファイルで、通常は Windows システム ディレクトリに常駐しており、そこから実行されます。 | - | 高 |
| Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加) | ホスト データの分析により、%{Compromised Host} で組み込みの Guest アカウントが Local Administrators グループに追加されたことが検出されました。これは、攻撃者のアクティビティと密接に関連しています。 | - | Medium |
| An event log was cleared (イベント ログが消去されました) | マシン ログに、マシン '%{CompromisedEntity}' でユーザー '%{user name}' による疑わしいイベント ログの消去操作が示されています。 %{log channel} ログが消去されました。 | - | Informational |
| Antimalware Action Failed (マルウェア対策アクションが失敗しました) | マルウェアまたはその他の望ましくない可能性のあるソフトウェアに対するアクションの実行中に、Microsoft Antimalware でエラーが発生しました。 | - | Medium |
| Antimalware Action Taken (マルウェア対策アクションが実行されました) | Azure の Microsoft Antimalware により、このマシンをマルウェアまたはその他の望ましくない可能性のあるソフトウェアから保護するためのアクションが実行されました。 | - | Medium |
| Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外) (VM_AmBroadFilesExclusion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、広範な除外ルールを使用したマルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
- | Medium |
| Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行) (VM_AmDisablementAndCodeExecution) |
仮想マシンでコードの実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。 |
- | 高 |
| Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化) (VM_AmDisablement) |
仮想マシンでマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行) (VM_AmFileExclusionAndCodeExecution) |
仮想マシンでカスタム スクリプト拡張機能を使用してコードが実行されると同時に、マルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避、実行 | 高 |
| Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行) (VM_AmTempFileExclusionAndCodeExecution) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能からの一時的なファイル除外が仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避、実行 | 高 |
| Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外) (VM_AmTempFileExclusion) |
仮想マシンのマルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました) (VM_AmRealtimeProtectionDisabled) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました) (VM_AmTempRealtimeProtectionDisablement) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました) (VM_AmRealtimeProtectionDisablementAndCodeExec) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
- | 高 |
| Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました) (VM_AmMalwareCampaignRelatedExclusion) |
マルウェア活動に関連している疑いのある特定のファイルがウイルス対策拡張機能によってスキャンされるのを阻止する除外ルールが、仮想マシンで検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。 | 防御回避 | Medium |
| Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています) (VM_AmTemporarilyDisablement) |
仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。 |
- | Medium |
| Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外) (VM_UnusualAmFileExclusion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる、マルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避 | Medium |
| Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、疑わしいドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用 | Medium |
| Custom script extension with suspicious command in your virtual machine (疑わしいコマンドを使用した、仮想マシンのカスタム スクリプト拡張機能) (VM_CustomScriptExtensionSuspiciousCmd) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいコマンドを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Custom script extension with suspicious entry-point in your virtual machine (疑わしいエントリ ポイントを使用した、仮想マシンのカスタム スクリプト拡張機能) (VM_CustomScriptExtensionSuspiciousEntryPoint) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいエントリ ポイントを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 このエントリ ポイントは、疑わしい GitHub リポジトリを参照しています。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Custom script extension with suspicious payload in your virtual machine (疑わしいペイロードを使用した、仮想マシンのカスタム スクリプト拡張機) (VM_CustomScriptExtensionSuspiciousPayload) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしい GitHub リポジトリからのペイロードを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました) | ホスト データの分析により、IIS ログ ファイルが無効化または削除されていることを示すアクションが検出されました。 | - | Medium |
| Detected anomalous mix of upper and lower case characters in command-line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました) | %{Compromised Host} 上のホスト データの分析により、通常とは異なる大文字と小文字の混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。 | - | Medium |
| Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました) | %{Compromised Host} 上のホスト データの分析により、UAC (ユーザー アカウント制御) をバイパスするために悪用される可能性のあるレジストリ キーが変更されたことが検出されました。 この種類の構成は、無害な場合もありますが、侵害されたホストで特権なし (標準ユーザー) から特権 (管理者など) アクセスに移行しようとする場合の攻撃者の典型的なアクティビティでもあります。 | - | Medium |
| Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました) | %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、実行可能ファイルをデコードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。 | - | 高 |
| Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました) | ホスト データの分析により、レジストリ キー HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" が変更されたことが検出されました。 具体的には、このキーが、ログオン資格情報をクリア テキストで LSA メモリに格納できるように更新されています。 有効化されると、攻撃者は、Mimikatz などの資格情報収集ツールを使用して、LSA メモリからクリア テキスト パスワードをダンプできます。 | - | Medium |
| Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました) | %{Compromised Host} 上のホスト データの分析により、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 | - | 高 |
| Detected obfuscated command line (難読化されたコマンド ラインが検出されました) | 攻撃者は、基になるデータに対して実行される検出を回避するため、ますます複雑化させた難読化手法を使用しています。 %{Compromised Host} 上のホスト データの分析により、コマンドラインで疑わしい難読化のインジケーターが検出されました。 | - | Informational |
| Detected Petya ransomware indicators (Petya ランサムウェア インジケーターが検出されました) | %{Compromised Host} 上のホスト データの分析により、Petya ランサムウェアに関連するインジケーターが検出されました。 詳細については、「 https://aka.ms/petya-blog 」を参照してください。 このアラートに関連付けられているコマンド ラインを確認し、このアラートをセキュリティ チームにエスカレーションしてください。 | - | 高 |
| Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました) | %{Compromised Host} 上のホスト データの分析により、keygen ツールを示す名前のプロセスが実行されたことが検出されました。このようなツールは、通常、ソフトウェア ライセンス メカニズムを無効にするために使用されますが、他の悪意のあるソフトウェアがバンドルされてダウンロードされることがよくあります。 アクティビティ グループ GOLD は、このような keygen を利用して、侵害したホストへのバック ドア アクセスを極秘に獲得することで知られています。 | - | Medium |
| Detected possible execution of malware dropper (マルウェア ドロッパーが実行された可能性が検出されました) | %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD の犠牲ホストでマルウェアをインストールする手法の 1 つに関連付けられていたファイル名が検出されました。 | - | 高 |
| Detected possible local reconnaissance activity (ローカル偵察アクティビティの可能性が検出されました) | %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD が偵察アクティビティを実行する手法の 1 つに関連付けられていた systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、ここで行われたように、2 回連続して実行されることはめったにありません。 | - | |
| Detected potentially suspicious use of Telegram tool (Telegram ツールの疑わしい可能性がある使用方法が検出されました) | ホスト データの分析で、Telegram のインストールが示されました。これはモバイルおよびデスクトップ システムの両方に存在するクラウドベースの無料のインスタント メッセージング サービスです。 攻撃者がこのサービスを悪用して、悪意のあるバイナリを他のコンピューター、電話、またはタブレットに転送することがわかっています。 | - | Medium |
| Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました) | %{Compromised Host} 上のホスト データの分析により、ログオン時に法的通知をユーザーに表示するかどうかを制御するレジストリ キーの変更が検出されました。 Microsoft のセキュリティ分析では、これは攻撃者がホストを侵害した後に行われる一般的なアクティビティであると特定されています。 | - | 低 |
| Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の疑わしい組み合わせが検出されました) | 署名済みの Microsoft バイナリである mshta.exe (Microsoft HTML アプリケーション ホスト) が、悪意のある PowerShell コマンドを起動するために攻撃者によって使用されています。 攻撃者は、インライン VBScript が含まれた HTA ファイルをよく使用します。 犠牲者がその HTA ファイルを参照して実行することを選択すると、そこに含まれている PowerShell コマンドとスクリプトが実行されます。 %{Compromised Host} 上のホスト データの分析により、PowerShell コマンドを起動する mshta.exe が検出されました。 | - | Medium |
| Detected suspicious commandline arguments (疑わしいコマンドライン引数が検出されました) | %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ HYDROGEN が使用しているリバース シェルと共に、疑わしいコマンド ライン引数が使用されていることが検出されました。 | - | 高 |
| Detected suspicious commandline used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される疑わしいコマンドラインが検出されました) | ホスト データの分析により、%{Compromised Host} 上で疑わしいプロセスが実行されていることが検出されました。 このコマンドラインは、ディレクトリ内に存在する可能性のあるすべての実行可能ファイル (*.exe) を起動しようとしていることを示しています。 これは、侵害されたホストの兆候である可能性があります。 | - | Medium |
| Detected suspicious credentials in commandline (コマンドラインで疑わしい資格情報が検出されました) | %{Compromised Host} 上のホスト データの分析により、ファイルを実行するために、アクティビティ グループ BORON によって疑わしいパスワードが使用されていることが検出されました。 このアクティビティ グループは、このパスワードを使用して、犠牲ホストで Pirpi マルウェアを実行することが知られています。 | - | 高 |
| Detected suspicious document credentials (疑わしいドキュメントの資格情報が検出されました) | %{Compromised Host} 上のホスト データの分析により、ファイルを実行するためにマルウェアによって使用されている、疑わしい共通の事前計算されたパスワード ハッシュが検出されました。 アクティビティ グループ HYDROGEN は、このパスワードを使用して、犠牲ホストでマルウェアを実行することが知られています。 | - | 高 |
| Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの疑わしい実行が検出されました) | %{Compromised Host} 上のホスト データの分析により、VBScript.Encode コマンドの実行が検出されました。 これは、スクリプトを読み取り不可能なテキストにエンコードして、ユーザーがコードを調べることを難しくします。 Microsoft の脅威の研究では、攻撃者は検出システムを回避するため、攻撃の一部としてエンコードされた VBscript ファイルをよく使用することがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 | - | Medium |
| Detected suspicious execution via rundll32.exe (rundll32.exe による疑わしい実行が検出されました) | %{Compromised Host} 上のホスト データの分析により、通常とは異なる名前のプロセスを実行するために rundll32.exe が使用されたことが検出されました。これは、アクティビティ グループ GOLD によって、侵害されたホストに第 1 段階のインプラントをインストールするときに使用されたことがあるプロセスの命名スキームと一致します。 | - | 高 |
| Detected suspicious file cleanup commands (疑わしいファイルのクリーンアップ コマンドが検出されました) | %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD が侵害後に自己クリーンアップ アクティビティを実行する手法の 1 つに関連付けられていたことがある systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、このように 2 回連続して実行され、その後に削除コマンドが実行されることはめったにありません。 | - | 高 |
| Detected suspicious file creation (疑わしいファイルの作成が検出されました) | %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ BARIUM によって犠牲ホストに対して行われた侵害後のアクションとして以前に示されたことがあるプロセスの作成または実行が検出されました。 このアクティビティ グループは、この手法を使用して、フィッシング ドキュメントの添付ファイルを開くと、侵害したホストにさらに多くのマルウェアをダウンロードすることで知られています。 | - | 高 |
| Detected suspicious named pipe communications (疑わしい名前付きパイプ通信が検出されました) | %{Compromised Host} 上のホスト データの分析により、Windows コンソール コマンドからローカルの名前付きパイプにデータが書き込まれていることが検出されました。 名前付きパイプは、攻撃者が悪意のあるインプラントを使用し、通信するために使用されるチャンネルであることがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 | - | 高 |
| Detected suspicious network activity (疑わしいネットワーク アクティビティが検出されました) | %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 | - | 低 |
| Detected suspicious new firewall rule (疑わしい新しいファイアウォール規則が検出されました) | ホスト データの分析により、疑わしい場所の実行可能ファイルからのトラフィックを許可する新しい IP ファイアウォール規則が netsh.exe を介して追加されていることが検出されました。 | - | Medium |
| Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の疑わしい使用が検出されました) | 攻撃者は、ブルート フォースやスピア フィッシングなどのさまざまな方法を使用して、最初の侵害を達成し、ネットワーク上の足掛かりを得ます。 彼らは最初の侵害を達成すると、多くの場合、システムのセキュリティ設定を低くするための手順を実行します。 Cacls (change access control list の略) は、Microsoft Windows ネイティブ コマンド ライン ユーティリティで、フォルダーおよびファイルのセキュリティ アクセス許可を変更するためによく使用されます。 システムのセキュリティ設定を低くするために、バイナリが攻撃者によって長時間使用されます。 これは、Everyone に、ftp.exe、net.exe、wscript.exe などの一部のシステム バイナリへのフル アクセスを付与することで行われます。%{Compromised Host} 上のホスト データの分析により、システムのセキュリティを低下させるために、Cacls の疑わしい使用が検出されました。 | - | Medium |
| Detected suspicious use of FTP -s Switch (FTP -s スイッチの疑わしい使用が検出されました) | %{Compromised Host} からのプロセス作成データの分析により、FTP "-s:filename" スイッチの使用が検出されました。 このスイッチは、クライアントが実行する FTP スクリプト ファイルを指定するために使用されます。 マルウェアまたは悪意のあるプロセスが、この FTP スイッチ (-s:filename) を使用して、リモート FTP サーバーに接続し、さらに多くの悪意のあるバイナリをダウンロードするように構成されているスクリプト ファイルを指定することが知られています。 | - | Medium |
| Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の疑わしい使用が検出されました) | %{Compromised Host} 上のホスト データの分析により、実行可能コードを起動する pcalua.exe の使用が検出されました。 pcalua.exe は、Microsoft Windows の "プログラム互換性アシスタント" のコンポーネントで、プログラムのインストール時または実行時の互換性の問題を検出します。 攻撃者は、正当な Windows システム ツールの機能を悪用して、悪意のあるアクションを実行することが知られています。たとえば、pcalua.exe とともに -a スイッチを使用して、ローカルでまたはリモート共有から悪意のある実行可能ファイルを起動したりします。 | - | Medium |
| Detected the disabling of critical services (重要なサービスの無効化が検出されました) | %{Compromised Host} 上のホスト データの分析により、SharedAccess や Windows Security アプリなどの重要なサービスを停止するために使用される "net.exe stop" コマンドの実行が検出されました。 これらのいずれかのサービスの停止は、悪質な動作の兆候である場合があります。 | - | Medium |
| Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) | %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。 | - | 高 |
| Dynamic PS script construction (動的 PS スクリプトの構築) | %{Compromised Host} 上のホスト データの分析により、PowerShell スクリプトが動的に構築されていることが検出されました。 攻撃者は、IDS システムを回避するため、スクリプトを段階的に構築するこの方法を使用する場合があります。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 | - | Medium |
| Executable found running from a suspicious location (疑わしい場所から実行されている実行可能ファイルが見つかりました) | ホスト データの分析により、%{Compromised Host} で既知の疑わしいファイルと同様の場所から実行されている実行可能ファイルが検出されました。 この実行可能ファイルは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 | - | 高 |
| Fileless attack behavior detected (ファイルレス攻撃動作が検出されました) (VM_FilelessAttackBehavior.Windows) |
指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。 具体的な動作は次のとおりです。 1) シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。 2) アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。 3) セキュリティの影響を受けやすいオペレーティング システム インターフェイスに対する関数の呼び出し。 参照される OS 機能については、後述する機能を参照してください。 4) 動的に割り当てられたコード セグメントで開始されたスレッドが含まれます。 これは、プロセス インジェクション攻撃の一般的なパターンです。 |
防御回避 | 低 |
| Fileless attack technique detected (ファイルレス攻撃手法が検出されました) (VM_FilelessAttackTechnique.Windows) |
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです。 1) シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。 2) コード インジェクション攻撃など、プロセスに挿入される実行可能イメージ。 3) アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。 4) セキュリティの影響を受けやすいオペレーティング システム インターフェイスに対する関数の呼び出し。 参照される OS 機能については、後述する機能を参照してください。 5) プロセス ハロウイング。マルウェアに使用される手法です。正当なプロセスがシステムに読み込まれ、悪意のあるコードのコンテナーとして機能します。 6) 動的に割り当てられたコード セグメントで開始されたスレッドが含まれます。 これは、プロセス インジェクション攻撃の一般的なパターンです。 |
防御回避、実行 | 高 |
| Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました) (VM_FilelessAttackToolkit.Windows) |
指定されたプロセスのメモリに、ファイルレス攻撃ツールキットが含まれています: [ツールキットの名前]。 ファイルレス攻撃ツールキットには、ディスク上のマルウェアの痕跡を最小化または排除し、ディスクベースのマルウェア スキャン ソリューションによって検出される可能性を大幅に減らす手法が使用されています。 具体的な動作は次のとおりです。 1) 既知のツールキットと暗号化マイニング ソフトウェア。 2) シェルコード。通常、ソフトウェアの脆弱性の悪用時にペイロードとして使用される小さなコードです。 3) プロセス メモリ内に挿入された悪意のある実行可能ファイル。 |
防御回避、実行 | Medium |
| High risk software detected (危険度の高いソフトウェアが検出されました) | %{Compromised Host} 上のホスト データの分析により、過去にマルウェアのインストールに関連付けられていたことがあるソフトウェアの使用が検出されました。 悪意のあるソフトウェアの配布に使用される一般的な手法として、このアラートに示されているように、無害なツール内にそれをパッケージ化することが挙げられます。 これらのツールを使用すると、バックグラウンドでマルウェアが気付かないうちにインストールされる可能性があります。 | - | Medium |
| Local Administrators group members were enumerated (Local Administrators グループのメンバーが列挙されました) | マシン ログに、グループ %{Enumerated Group Domain Name}%{Enumerated Group Name} に対する列挙が成功したことが示されています。 具体的には、%{Enumerating User Domain Name}%{Enumerating User Name} が、%{Enumerated Group Domain Name}%{Enumerated Group Name} グループのメンバーをリモートで列挙しました。 このアクティビティは、正当なアクティビティである場合もあれば、組織内のマシンが侵害され、%{vmname} の偵察に使用されたことを示している場合もあります。 | - | Informational |
| Malicious firewall rule created by ZINC server implant [seen multiple times] (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則 [複数回表示]) | ファイアウォール規則は、既知のアクター (ZINC) に一致する手法を使用して作成されました。 この規則は、コマンド &アンド コントロール通信を許可するために、%{Compromised Host} でポートを開くために使用された可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 高 |
| Malicious SQL activity (悪意のある SQL アクティビティ) | マシン ログに、%{process name}' がアカウント %{user name} によって実行されたことが示されています。 このアクティビティは悪意のあるものと見なされます。 | - | 高 |
| Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました) | ホスト データの分析によって、%{Compromised Host} から短期間に通常とは異なる数のドメイン アカウントが照会されたことが判明しました。 この種のアクティビティは正当である可能性がありますが、侵害を示している場合もあります。 | - | Medium |
| Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示]) | ホスト データの分析によって、メモリから資格情報を抽出できるようにするために使用されるネイティブ Windows ツール (printbrm.exe など) の使用が検出されました。 多くの場合、攻撃者はこれらの手法を使用して資格情報を抽出し、それを横移動や特権エスカレーションに使用します。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました) | %{Compromised Host} 上のホスト データの分析により、AppLocker 制限をバイパスする可能性のある試行が検出されました。 AppLocker は、Windows システムで実行できる実行可能ファイルを制限するポリシーを実装するように構成できます。 このアラートで識別されたものと同様のコマンド ライン パターンは、以前に攻撃者が、信頼できる実行可能ファイル (AppLocker ポリシーによって許可) を使用して信頼されていないコードを実行することで、AppLocker ポリシーを回避する試行に関連付けられていました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 | - | 高 |
| PsExec execution detected (PsExec の実行が検出されました) (VM_RunByPsExec) |
ホスト データの分析で、プロセス %{Process Name} が PsExec ユーティリティによって実行されたことが示されています。 PsExec は、リモートでプロセスを実行するために使用できます。 この手法は、悪意のある目的で使用される場合があります。 | 横移動、実行 | Informational |
| Ransomware indicators detected [seen multiple times] (ランサムウェア インジケーターが検出されました [複数回表示]) | ホスト データの分析で、過去にロック画面と暗号化のランサムウェアに関連付けられたことがある疑わしいアクティビティが示されています。 ロック画面ランサムウェアでは、ホストの対話形式の使用や、そのファイルへのアクセスを妨げる全画面表示のメッセージが表示されます。 暗号化ランサムウェアは、データ ファイルを暗号化することでアクセスできないようにします。 どちらの場合も、通常、ファイル アクセスを復元するために身代金の支払いを要求するメッセージが表示されます。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 高 |
| Ransomware indicators detected (ランサムウェア インジケーターが検出されました) | ホスト データの分析で、過去にロック画面と暗号化のランサムウェアに関連付けられたことがある疑わしいアクティビティが示されています。 ロック画面ランサムウェアでは、ホストの対話形式の使用や、そのファイルへのアクセスを妨げる全画面表示のメッセージが表示されます。 暗号化ランサムウェアは、データ ファイルを暗号化することでアクセスできないようにします。 どちらの場合も、通常、ファイル アクセスを復元するために身代金の支払いを要求するメッセージが表示されます。 | - | 高 |
| Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました) (VM_SvcHostRunInRareServiceGroup) |
システム プロセス SVCHOST が、まれなサービス グループを実行していることが観察されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。 | 防御回避、実行 | Informational |
| Sticky keys attack detected (固定キー攻撃が検出されました) | ホスト データの分析で、攻撃者がホスト %{Compromised Host} へのバックドア アクセスを提供するために、アクセシビリティ バイナリ (固定キー、スクリーン キーボード、ナレーターなど) を侵害している可能性があることが示されています。 | - | Medium |
| Successful brute force attack (ブルート フォース攻撃の成功) (VM_LoginBruteForceSuccess) |
同じソースから複数回のサインイン試行が検出されました。 一部がホストに対して正常に認証されました。 これは、攻撃者が有効なアカウント資格情報を見つけるために多数の認証試行を実行する、バースト攻撃に似ています。 |
悪用 | 中/高 |
| Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル) | ホスト データの分析により、SYSTEM 特権で実行されている tscon.exe が検出されました。これは、このホストでログオンしているさらに多くのユーザーにコンテキストを切り替えるために、攻撃者がこのバイナリを悪用していることを示している可能性があります。これは、追加のユーザー アカウントを侵害し、ネットワーク全体を横方向に移動する既知の攻撃手法です。 | - | Medium |
| Suspect service installation (不審なサービスのインストール) | ホスト データの分析により、tscon.exe がサービスとしてインストールされたことが検出されました。このバイナリはサービスとして開始されているため、攻撃者は、RDP 接続をハイジャックすることによって、このホスト上の他のログオン ユーザーに簡単に切り替えられる可能性があります。これは、さらに多くのユーザー アカウントを侵害し、ネットワーク全体を横方向に移動する既知の攻撃手法です。 | - | Medium |
| Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました) | ホスト データの分析により、Kerberos ゴールデン チケット攻撃と一致するコマンドライン パラメーターが検出されました。 | - | Medium |
| Suspicious Account Creation Detected (疑わしいアカウント作成が検出されました) | %{Compromised Host} 上のホスト データの分析により、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{Similar To Account Name}' と非常によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。 | - | Medium |
| Suspicious Activity Detected (不審なアクティビティが検出されました) (VM_SuspiciousActivity) |
ホスト データの分析によって、従来から悪意のあるアクティビティに関連付けられている、%{machine name} で実行中の 1 つ以上のプロセスのシーケンスが検出されました。 個々のコマンドは害がないように見える可能性がありますが、それらのコマンドの集合に基づいてアラートが評価されます。 これは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 | 実行 | Medium |
| Suspicious authentication activity (不審な認証エラー アクティビティ) (VM_LoginBruteForceValidUserFailed) |
いずれも成功しませんでしたが、それらの一部がアカウントを使用したことがホストによって認識されました。 これは、ホストにアクセスするための有効な資格情報を見つけるために、定義済みのアカウント名とパスワードの辞書を使用して、攻撃者が多数の認証試行を実行する辞書攻撃に似ています。 これは、既知のアカウント名辞書にホスト アカウント名の一部が存在している可能性があることを示しています。 | プローブ | Medium |
| Suspicious code segment detected (疑わしいコード セグメントが検出されました) | 反射型インジェクションやプロセス ハロウイングなど、標準以外の方法を使用してコード セグメントが割り当てられたことを示します。 このアラートは、処理されたコード セグメントのさらに多くの特性を提供して、報告されるコード セグメントの能力と動作に関するコンテキストを提供します。 | - | Medium |
| Suspicious double extension file executed (拡張子が 2 つある不審なファイルが実行されました) | ホスト データの分析で、拡張子が 2 つある不審なプロセスの実行が示されています。 この拡張子は、ファイルを開いても安全であるとユーザーを欺くことがあります。また、システム上にマルウェアが存在することを示している場合があります。 | - | 高 |
| Suspicious download using Certutil detected [seen multiple times] (Certutil を使用した疑わしいダウンロード [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Suspicious download using Certutil detected (Certutil を使用した疑わしいダウンロード) | %{Compromised Host} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 | - | Medium |
| Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタム スクリプト拡張機能の疑わしい実行の失敗) (VM_CustomScriptExtensionSuspiciousFailure) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能の疑わしい失敗が仮想マシンで検出されました。 このような失敗は、この拡張機能によって実行された悪意のあるスクリプトに関連している可能性があります。 |
実行 | Medium |
| Suspicious PowerShell Activity Detected (疑わしい PowerShell アクティビティが検出されました) | ホスト データの分析により、%{Compromised Host} で、既知の疑わしいスクリプトと共通する機能を持つ PowerShell スクリプトが実行されていることが検出されました。 このスクリプトは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 | - | 高 |
| Suspicious PowerShell cmdlets executed (疑わしい PowerShell コマンドレットが実行されました) | ホスト データの分析で、既知の悪意のある PowerShell PowerSploit コマンドレットの実行が示されています。 | - | Medium |
| Suspicious process executed [seen multiple times] (疑わしいプロセスが実行されました [複数回表示]) | マシン ログに、疑わしいプロセス '%{Suspicious Process}' がマシン上で実行されていたことが示されています。多くの場合、これは攻撃者の資格情報へのアクセスの試行に関連付けられています。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 高 |
| Suspicious process executed (疑わしいプロセスが実行されました) | マシン ログに、疑わしいプロセス '%{Suspicious Process}' がマシン上で実行されていたことが示されています。多くの場合、これは攻撃者の資格情報へのアクセスの試行に関連付けられています。 | - | 高 |
| Suspicious process name detected [seen multiple times] (疑わしいプロセス名が検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、疑わしい名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応していたり、目立たないようにする攻撃ツールを連想させる方法で名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Suspicious process name detected (疑わしいプロセス名が検出されました) | %{Compromised Host} 上のホスト データの分析により、疑わしい名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応していたり、目立たないようにする攻撃ツールを連想させる方法で名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 | - | Medium |
| Suspicious process termination burst (疑わしいプロセス終了バースト) (VM_TaskkillBurst) |
ホスト データの分析で、%{Machine Name} での疑わしいプロセス終了バーストが示されています。 具体的には、%{NumberOfCommands} のプロセスが %{Begin} から %{Ending} の間に中止されました。 | 防御回避 | 低 |
| Suspicious SQL activity (疑わしい SQL アクティビティ) | マシン ログに、%{process name}' がアカウント %{user name} によって実行されたことが示されています。 このアカウントでは、このアクティビティは一般的ではありません。 | - | Medium |
| Suspicious SVCHOST process executed (疑わしい SVCHOST プロセスが実行されました) | システム プロセス SVCHOST が異常なコンテキストで実行されていることが確認されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。 | - | 高 |
| Suspicious system process executed (疑わしいシステム プロセスが実行されました) (VM_SystemProcessInAbnormalContext) |
システム プロセス %{process name} が異常なコンテキストで実行されていることが確認されました。 マルウェアは、悪意のあるアクティビティをマスカレードするためにこのプロセス名を使用することがよくあります。 | 防御回避、実行 | 高 |
| Suspicious Volume Shadow Copy Activity (疑わしいボリューム シャドウ コピー アクティビティ) | ホスト データの分析により、リソースに対するシャドウ コピーの削除アクティビティが検出されました。 ボリューム シャドウ コピー (VSC) は、データ スナップショットを保存する重要なアーティファクトです。 一部のマルウェア (具体的にはランサムウェア) は、バックアップ戦略を妨害するために VSC をターゲットにします。 | - | 高 |
| Suspicious WindowPosition registry value detected (疑わしい WindowPosition レジストリ値が検出されました) | %{Compromised Host} 上のホスト データの分析により、WindowPosition レジストリ構成の変更が試行されたことが検出されました。これは、デスクトップの非表示セクションにアプリケーション ウィンドウを隠していることを示している可能性があります。 これは、正当なアクティビティである可能性も、または侵害されたマシンの兆候である可能性もあります。この種のアクティビティは、以前は Win32/OneSystemCare や Win32/SystemHealer などの既知のアドウェア (または望ましくないソフトウェア) および Win32/Creprote などのマルウェアに関連付けられていました。 WindowPosition 値が 201329664 に設定されている場合 (16 進数:0x0c00 0c00、X 軸 = 0c00 と Y 軸 = 0c00 に対応します)、これにより、コンソール アプリのウィンドウが、ユーザーの画面の非表示セクション (表示されている [スタート] メニューとタスクバーの下に隠れて見えない領域) に配置されます。 既知の不審な 16 進値には c000c000 が含まれますが、これに限定されません。 | - | 低 |
| Suspiciously named process detected (疑わしい名前が付けられたプロセスが検出されました) | %{Compromised Host} 上のホスト データの分析により、非常に一般的に実行されるプロセス (%{Similar To Process Name}) とよく似ているが異なる名前のプロセスが検出されました。 このプロセスは無害の可能性もありますが、攻撃者が悪意のあるツールを隠すために正当なプロセス名に似た名前を付けることがあることが知られています。 | - | Medium |
| Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット) (VM_VMAccessUnusualConfigReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる構成のリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
| Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の削除) (VM_CustomScriptExtensionUnusualDeletion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の削除が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の実行) (VM_CustomScriptExtensionUnusualExecution) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の実行が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Unusual process execution detected (通常とは異なるプロセスの実行が検出されました) | %{Compromised Host} 上のホスト データの分析により、%{User Name} による通常とは異なるプロセスの実行が検出されました。 %{User Name} などのアカウントは、限られた一連の操作を実行する傾向があります。この実行は、普段の振る舞いとは異なっており、疑わしい可能性があると判断されました。 | - | 高 |
| Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット) (VM_VMAccessUnusualPasswordReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー パスワードのリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのローカル ユーザーの資格情報をリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
| Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット) (VM_VMAccessUnusualSSHReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー SSH キーのリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのユーザー アカウントの SSH キーをリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
| VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました) | コマンド プロンプトを使用した VBScript ファイルの作成が検出されました。 次のスクリプトには、HTTP オブジェクト割り当てコマンドが含まれています。 このアクションは、悪意のあるファイルをダウンロードするために使用される可能性があります。 | - | 高 |
Linux マシンのアラート
Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Linux マシンに対して提供されるアラートは次のとおりです。
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| a history file has been cleared (履歴ファイルが消去されました) | ホスト データの分析で、コマンド履歴ログ ファイルが消去されたことが示されています。 攻撃者は、証拠を残さないようにするためにこれを行う場合があります。 操作は次のユーザーによって実行されました: '%{user name}'。 | - | Medium |
| Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外) (VM_AmBroadFilesExclusion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、広範な除外ルールを使用したマルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
- | Medium |
| Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行) (VM_AmDisablementAndCodeExecution) |
仮想マシンでコードの実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。 |
- | 高 |
| Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化) (VM_AmDisablement) |
仮想マシンでマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行) (VM_AmFileExclusionAndCodeExecution) |
仮想マシンでカスタム スクリプト拡張機能を使用してコードが実行されると同時に、マルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避、実行 | 高 |
| Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行) (VM_AmTempFileExclusionAndCodeExecution) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能からの一時的なファイル除外が仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避、実行 | 高 |
| Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外) (VM_AmTempFileExclusion) |
仮想マシンのマルウェア対策スキャナーからファイルが除外されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました) (VM_AmRealtimeProtectionDisabled) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました) (VM_AmTempRealtimeProtectionDisablement) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
防御回避 | Medium |
| Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました) (VM_AmRealtimeProtectionDisablementAndCodeExec) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能を使用したコードの実行と並列して、マルウェア対策拡張機能のリアルタイム保護が一時的に無効になっていることが仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。 |
- | 高 |
| Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました) (VM_AmMalwareCampaignRelatedExclusion) |
マルウェア活動に関連している疑いのある特定のファイルがウイルス対策拡張機能によってスキャンされるのを阻止する除外ルールが、仮想マシンで検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。 | 防御回避 | Medium |
| Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています) (VM_AmTemporarilyDisablement) |
仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。 |
- | Medium |
| Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外) (VM_UnusualAmFileExclusion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる、マルウェア対策拡張機能からのファイル除外が仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。 |
防御回避 | Medium |
| Behavior similar to ransomware detected [seen multiple times] (ランサムウェアに似た動作が検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、ユーザーがシステム ファイルや個人ファイルにアクセスすることを妨げたり、アクセスを回復するために身代金支払いを要求したりする可能性がある、既知のランサムウェアに似たファイルの実行が検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 高 |
| Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、疑わしいドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用 | Medium |
| Container with a miner image detected (マイナー イメージを持つコンテナーが検出されました) (VM_MinerInContainerImage) |
マシン ログに、デジタル通貨マイニングに関連付けられているイメージを実行する Docker コンテナーの実行が示されています。 | 実行 | 高 |
| Custom script extension with suspicious command in your virtual machine (疑わしいコマンドを使用した、仮想マシンのカスタム スクリプト拡張機能) (VM_CustomScriptExtensionSuspiciousCmd) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいコマンドを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Custom script extension with suspicious entry-point in your virtual machine (疑わしいエントリ ポイントを使用した、仮想マシンのカスタム スクリプト拡張機能) (VM_CustomScriptExtensionSuspiciousEntryPoint) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいエントリ ポイントを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 このエントリ ポイントは、疑わしい GitHub リポジトリを参照しています。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Custom script extension with suspicious payload in your virtual machine (疑わしいペイロードを使用した、仮想マシンのカスタム スクリプト拡張機) (VM_CustomScriptExtensionSuspiciousPayload) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしい GitHub リポジトリからのペイロードを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Detected anomalous mix of upper and lower case characters in command line (コマンド ラインで通常とは異なる大文字と小文字の混在が検出されました) | %{Compromised Host} 上のホスト データの分析により、通常とは異なる大文字と小文字の混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。 | - | Medium |
| Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) | ホスト データの分析で、%{Compromised Host} で既知のマルウェア ソースからのファイルのダウンロードが検出されました。 | - | Medium |
| Detected suspicious network activity (疑わしいネットワーク アクティビティが検出されました) | %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 | - | 低 |
| Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) | %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。 | - | 高 |
| Disabling of auditd logging [seen multiple times] (auditd ログ記録の無効化 [複数回表示]) | Linux 監査システムには、システムに関するセキュリティ関連情報を追跡する手段が用意されています。 これにより、ご使用のシステムで発生しているイベントについて、可能な限り多くの情報が記録されます。 auditd ログ記録を無効にすると、システムで使用されるセキュリティ ポリシーの違反の検出を妨げる可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 低 |
| Exploitation of Xorg vulnerability [seen multiple times] (Xorg の脆弱性の悪用 [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、疑わしい引数を持つ Xorg のユーザーが検出されました。 攻撃者が特権エスカレーションの試行で、この手法を使用する場合があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Failed SSH brute force attack (失敗した SSH ブルート フォース攻撃) (VM_SshBruteForceFailed) |
次の攻撃者からのブルート フォース攻撃が失敗したことが検出されました: %{Attackers}。 攻撃者は次のユーザー名を使用してホストにアクセスしようとしました: %{Accounts used on failed sign in to host attempts}。 | プローブ | Medium |
| Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました) (VM_FilelessAttackBehavior.Linux) |
以下に指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。 具体的な動作は次のとおりです: {観察された動作の一覧} |
実行 | 低 |
| Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました) (VM_FilelessAttackTechnique.Linux) |
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです: {観察された動作の一覧} |
実行 | 高 |
| Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました) (VM_FilelessAttackToolkit.Linux) |
以下に示すプロセスのメモリには、ファイルレス攻撃ツールキットが含まれています: {ToolKitName}。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 具体的な動作は次のとおりです: {観察された動作の一覧} |
防御回避、実行 | 高 |
| Hidden file execution detected (隠しファイルの実行が検出されました) | ホスト データの分析で、%{user name} によって隠しファイルが実行されたことが示されています。 このアクティビティは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。 | - | Informational |
| New SSH key added [seen multiple times] (新しい SSH キーが追加されました [複数回表示]) (VM_SshKeyAddition) |
新しい SSH キーが承認済みキー ファイルに追加されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | 永続化 | 低 |
| New SSH key added (新しい SSH キーが追加されました) | 新しい SSH キーが承認済みキー ファイルに追加されました。 | - | 低 |
| Possible backdoor detected [seen multiple times] (バックドアの可能性が検出されました [複数回表示]) | ホスト データの分析により、ダウンロードされてご使用のサブスクリプション内の %{Compromised Host} で実行されている疑わしいファイルが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Possible exploitation of the mailserver detected (メール サーバーの悪用の可能性が検出されました) (VM_MailserverExploitation ) |
%{Compromised Host} 上のホスト データの分析により、メール サーバー アカウントでの異常な実行が検出されました | 悪用 | Medium |
| Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました) | %{Compromised Host} 上のホスト データの分析により、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したマシンに Web シェルをアップロードすることがよくあります。 | - | Medium |
| Possible password change using crypt-method detected [seen multiple times] (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、crypt メソッドを使用したパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Process associated with digital currency mining detected [seen multiple times] (デジタル通貨マイニングに関連するプロセスが検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 この動作は、次のマシンで今日 100 回以上見られました: [マシン名] | - | Medium |
| Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました) | ホスト データ分析で、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 | 悪用、実行 | Medium |
| Python encoded downloader detected [seen multiple times] (Python エンコード ダウンローダーが検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、リモートの場所からコードをダウンロードして実行するエンコードされた Python の実行が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 低 |
| Screenshot taken on host [seen multiple times] (ホストでスクリーンショットが作成されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、画面キャプチャ ツールの使用が検出されました。 攻撃者は、これらのツールを使用してプライベート データにアクセスする場合があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | 低 |
| Shellcode detected [seen multiple times] (Shellcode が検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、コマンド ラインから shellcode が生成されていることが検出されました。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Successful SSH brute force attack (SSH ブルート フォース攻撃の成功) (VM_SshBruteForceSuccess) |
ホスト データの分析で、ブルート フォース攻撃が成功したことが検出されました。 IP %{Attacker source IP} が、複数のログイン試行を行っていたことが確認されました。 成功したログインは、次のユーザーを使用してその IP から行われました: %{Accounts used to successfully sign in to host}。 これは、ホストが侵害され、悪意のあるアクターによって制御されている可能性があることを意味します。 | 悪用 | 高 |
| Suspicious Account Creation Detected (疑わしいアカウント作成が検出されました) | %{Compromised Host} 上のホスト データの分析により、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{Similar To Account Name}' と非常によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。 | - | Medium |
| Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタム スクリプト拡張機能の疑わしい実行の失敗) (VM_CustomScriptExtensionSuspiciousFailure) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、カスタム スクリプト拡張機能の疑わしい失敗が仮想マシンで検出されました。 このような失敗は、この拡張機能によって実行された悪意のあるスクリプトに関連している可能性があります。 |
実行 | Medium |
| Suspicious kernel module detected [seen multiple times] (不審なカーネル モジュールが検出されました [複数回表示]) | %{Compromised Host} 上のホスト データの分析により、カーネル モジュールとして読み込まれている共有オブジェクト ファイルが検出されました。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Medium |
| Suspicious password accesss [seen multiple times] (不審なパスワード アクセス [複数回表示]) | ホスト データの分析で、%{Compromised Host} で暗号化されたユーザー パスワードへの不審なアクセスが検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名] | - | Informational |
| Suspicious password access (不審なパスワード アクセス) | ホスト データの分析で、%{Compromised Host} で暗号化されたユーザー パスワードへの不審なアクセスが検出されました。 | - | Informational |
| Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの疑わしい要求) (VM_KubernetesDashboard) |
マシンのログは、Kubernetes ダッシュボードに対して疑わしい要求が行われたことを示しています。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。 | 横移動 | Medium |
| Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット) (VM_VMAccessUnusualConfigReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なる構成のリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
| Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の削除) (VM_CustomScriptExtensionUnusualDeletion) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の削除が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の実行) (VM_CustomScriptExtensionUnusualExecution) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるカスタム スクリプト拡張機能の実行が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。 |
実行 | Medium |
| Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット) (VM_VMAccessUnusualPasswordReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー パスワードのリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのローカル ユーザーの資格情報をリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
| Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット) (VM_VMAccessUnusualSSHReset) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、通常とは異なるユーザー SSH キーのリセットが仮想マシンで検出されました。 このアクションは正当である場合もありますが、攻撃者が VM アクセス拡張機能を利用して仮想マシンのユーザー アカウントの SSH キーをリセットし、侵害しようとしている可能性があります。 |
資格情報アクセス | Medium |
Azure App Service のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| An attempt to run Linux commands on a Windows App Service (Windows App Service での Linux コマンドの実行試行) (AppServices_LinuxCommandOnWindows) |
App Service のプロセスの分析で、Windows App Service での Linux コマンドの実行試行が検出されました。 このアクションは、Web アプリケーションにより実行されていました。 この動作は、一般的な Web アプリケーションの脆弱性を悪用する活動でよく見られます。 (適用対象: App Service on Windows) |
- | Medium |
| An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (脅威インテリジェンスで、Azure App Service の FTP インターフェイスに接続した IP が見つかりました) (AppServices_IncomingTiClientIpFtp) |
Azure App Service の FTP ログに、脅威インテリジェンス フィードで見つかったソース アドレスからの接続が示されています。 この接続中に、ユーザーが、一覧表示されているページにアクセスしました。 (適用対象: App Service on Windows と App Service on Linux) |
初期アクセス | Medium |
| Attempt to run high privilege command detected (高い特権のコマンドの実行試行が検出されました) (AppServices_HighPrivilegeCommand) |
App Service のプロセスの分析により、高い特権が必要なコマンドの実行試行が検出されました。 このコマンドは、Web アプリケーションのコンテキストで実行されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows) |
- | Medium |
| Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、疑わしいドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス、永続化、実行、コマンド アンド コントロール、悪用 | Medium |
| Connection to web page from anomalous IP address detected (異常な IP アドレスからの Web ページへの接続が検出されました) (AppServices_AnomalousPageAccess) |
Azure App Service のアクティビティ ログに、一覧に含まれているソース IP アドレスから機密性の高い Web ページへの異常な接続が示されています。 これは、何者かが Web アプリの管理ページにブルート フォース攻撃を試みていることを示している可能性があります。 正当なユーザーが新しい IP アドレスを使用した結果である可能性もあります。 ソース IP アドレスが信頼されている場合、このリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux) |
初期アクセス | 低 |
| Dangling DNS record for an App Service resource detected (App Service リソースの未解決の DNS レコードが検出されました) (AppServices_DanglingDomain) |
最近削除された App Service リソースを参照する DNS レコード ("未解決の DNS" エントリ) が検出されました。 サブドメインの乗っ取りに対して無防備な状態となっています。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 (適用対象: App Service on Windows と App Service on Linux) |
- | 高 |
| Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました) (AppServices_Base64EncodedExecutableInCommandLineParams) |
{Compromised host} 上のホスト データの分析により、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 (適用対象: App Service on Windows) |
防御回避、実行 | 高 |
| Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) (AppServices_SuspectDownload) |
ホスト データの分析により、ホストで既知のマルウェア ソースからのファイルのダウンロードが検出されました。 (適用対象: App Service on Linux) |
特権エスカレーション、実行、窃盗、コマンド アンド コントロール | Medium |
| Detected suspicious file download (疑わしいファイルのダウンロードが検出されました) (AppServices_SuspectDownloadArtifacts) |
ホスト データの分析により、疑わしいリモート ファイルのダウンロードが検出されました。 (適用対象: App Service on Linux) |
永続化 | Medium |
| Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) (AppServices_DigitalCurrencyMining) |
Inn-Flow-WebJobs 上のホスト データの分析により、通常はデジタル通貨マイニングに関連するプロセスまたはコマンドの実行が検出されました。 (適用対象: App Service on Windows と App Service on Linux) |
実行 | 高 |
| Executable decoded using certutil (certutil を使用してデコードされた実行可能ファイル) (AppServices_ExecutableDecodedUsingCertutil) |
[Compromised entity] 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、実行可能ファイルをデコードするために使用されていたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。 (適用対象: App Service on Windows) |
防御回避、実行 | 高 |
| Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました) (AppServices_FilelessAttackBehaviorDetection) |
以下に指定されたプロセスのメモリには、ファイルレス攻撃で一般的に使用される動作が含まれています。 具体的な動作は次のとおりです: {観察された動作の一覧} (適用対象: App Service on Windows と App Service on Linux) |
実行 | Medium |
| Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました) (AppServices_FilelessAttackTechniqueDetection) |
以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです: {観察された動作の一覧} (適用対象: App Service on Windows と App Service on Linux) |
実行 | 高 |
| Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました) (AppServices_FilelessAttackToolkitDetection) |
以下に示すプロセスのメモリには、ファイルレス攻撃ツールキットが含まれています: {ToolKitName}。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 具体的な動作は次のとおりです: {観察された動作の一覧} (適用対象: App Service on Windows と App Service on Linux) |
防御回避、実行 | 高 |
| Microsoft Defender for Cloud test alert for App Service (not a threat) (App Service に対する Microsoft Defender for Cloud のテスト アラート (脅威ではありません)) (AppServices_EICAR) |
これは、Microsoft Defender for Cloud によって生成されたテスト アラートです。 これ以外の操作は必要ありません。 (適用対象: App Service on Windows と App Service on Linux) |
- | 高 |
| NMap scanning detected (NMap スキャンが検出されました) (AppServices_Nmap) |
Azure App Service のアクティビティ ログに、App Service リソースに対する Web フィンガー プリント アクティビティの可能性が示されています。 検出された不審なアクティビティは、NMAP と関連しています。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux) |
攻撃前 | Medium |
| Phishing content hosted on Azure Webapps (Azure Webapps でホストされているコンテンツのフィッシング) (AppServices_PhishingContent) |
Azure AppServices Web サイトでフィッシング攻撃に使用された URL が検出されました。 この URL は、Microsoft 365 のお客様に送信されたフィッシング攻撃の一部でした。 通常、このコンテンツでは、訪問者が正規に見える Web サイトに自分の会社の資格情報または財務情報を入力するよう誘導します。 (適用対象: App Service on Windows と App Service on Linux) |
コレクション | 高 |
| PHP file in upload folder (アップロード フォルダー内の PHP ファイル) (AppServices_PhpInUploadFolder) |
Azure App Service のアクティビティ ログに、アップロード フォルダー内にある不審な PHP ページへのアクセスが示されています。 この種のフォルダーには通常、 PHP ファイルは含まれません。 この種のファイルが存在する場合は、任意のファイル アップロードの脆弱性を利用した悪用を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux) |
実行 | Medium |
| Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました) (AppServices_CryptoCoinMinerDownload) |
ホスト データの分析により、通常はデジタル通貨マイニングに関連するファイルのダウンロードが検出されました。 (適用対象: App Service on Linux) |
防御回避、コマンド アンド コントロール、悪用 | Medium |
| Possible data exfiltration detected (データ流出の可能性が検出されました) (AppServices_DataEgressArtifacts) |
ホスト/デバイス データの分析により、データ エグレス状態の可能性が検出されました。 攻撃者は多くの場合、侵害したマシンからデータを送信します。 (適用対象: App Service on Linux) |
コレクション、データ流出 | Medium |
| Potential dangling DNS record for an App Service resource detected (App Service リソースに対する潜在的な未解決の DNS レコードが検出されました) (AppServices_PotentialDanglingDomain) |
最近削除された App Service リソースを参照する DNS レコード ("未解決の DNS" エントリ) が検出されました。 サブドメインの乗っ取りに対して無防備な状態となっている可能性があります。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 このケースでは、ドメイン検証 ID を含んだテキスト レコードが見つかりました。 そのようなテキスト レコードにはサブドメインの乗っ取りを防ぐ効果がありますが、それでも未解決のドメインを削除することをお勧めします。 そのサブドメインを指す DNS レコードを放置すると、今後、その TXT ファイルまたはレコードが組織内のだれかによって削除された場合にリスクが生じます。 (適用対象: App Service on Windows と App Service on Linux) |
- | 低 |
| Potential reverse shell detected (リバース シェルの可能性が検出されました) (AppServices_ReverseShell) |
ホスト データの分析により、リバース シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。 (適用対象: App Service on Linux) |
窃盗、悪用 | Medium |
| Raw data download detected (生データのダウンロードが検出されました) (AppServices_DownloadCodeFromWebsite) |
App Service プロセスの分析により、Pastebin などの生データ Web サイトからコードをダウンロードする試行が検出されました。 このアクションは PHP プロセスによって実行されました。 この動作は、Web シェルやその他の悪意のあるコンポーネントを App Service にダウンロードする試行に関連付けられています。 (適用対象: App Service on Windows) |
実行 | Medium |
| Saving curl output to disk detected (curl 出力のディスクへの保存が検出されました) (AppServices_CurlToDisk) |
App Service プロセスの分析により、curl コマンドが実行され、出力がディスクに保存されたことが検出されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows) |
- | 低 |
| Spam folder referrer detected (スパム フォルダーの参照元が検出されました) (AppServices_SpamReferrer) |
Azure App Service のアクティビティ ログに、スパム アクティビティに関連付けられている Web サイトが発信元と特定された Web アクティビティが示されています。 これは、Web サイトが侵害され、スパム アクティビティに使用された場合に発生する可能性があります。 (適用対象: App Service on Windows と App Service on Linux) |
- | 低 |
| Suspicious access to possibly vulnerable web page detected (脆弱な可能性がある Web ページへの不審なアクセスが検出されました) (AppServices_ScanSensitivePage) |
Azure App Service のアクティビティ ログに、機密性が高いと思われる Web ページにアクセスされたことが示されています。 この不審なアクティビティは、Web スキャナーによるものに似たアクセス パターンを持つソース IP アドレスから発生しています。 このアクティビティは、多くの場合、攻撃者がネットワークをスキャンして、機密性が高いか脆弱な Web ページへのアクセス権を取得しようとする試みと関連しています。 (適用対象: App Service on Windows と App Service on Linux) |
- | 低 |
| Suspicious domain name reference (疑わしいドメイン名参照) (AppServices_CommandlineSuspectDomain) |
ホスト データの分析により、疑わしいドメイン名の参照が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 (適用対象: App Service on Linux) |
窃盗 | 低 |
| Suspicious download using Certutil detected (Certutil を使用した疑わしいダウンロード) (AppServices_DownloadUsingCertutil) |
{NAME} 上のホスト データの分析により、certutil.exe (組み込みの管理者ユーティリティ) が、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするために使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 (適用対象: App Service on Windows) |
実行 | Medium |
| Suspicious PHP execution detected (疑わしい PHP の実行が検出されました) (AppServices_SuspectPhp) |
マシン ログは、不審な PHP プロセスが実行されていることを示しています。 このアクションには、PHP プロセスを使用してコマンドラインからオペレーティング システム コマンドまたは PHP コードを実行する試みが含まれていました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティを示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux) |
実行 | Medium |
| Suspicious PowerShell cmdlets executed (疑わしい PowerShell コマンドレットが実行されました) (AppServices_PowerShellPowerSploitScriptExecution) |
ホスト データの分析で、既知の悪意のある PowerShell PowerSploit コマンドレットの実行が示されています。 (適用対象: App Service on Windows) |
実行 | Medium |
| Suspicious process executed (疑わしいプロセスが実行されました) (AppServices_KnownCredential AccessTools) |
マシン ログに、疑わしいプロセス '%{process path}' がマシン上で実行されていたことが示されています。これは、多くの場合、攻撃者による資格情報へのアクセスの試行に関連しています。 (適用対象: App Service on Windows) |
資格情報アクセス | 高 |
| Suspicious process name detected (疑わしいプロセス名が検出されました) (AppServices_ProcessWithKnownSuspiciousExtension) |
{NAME} 上のホスト データの分析により、不審な名前のプロセスが検出されました。これらは、たとえば、既知の攻撃ツールに対応しているものであったり、目立たないように攻撃ツールらしい名前が付けられていたりします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 (適用対象: App Service on Windows) |
永続化、防御回避 | Medium |
| Suspicious SVCHOST process executed (疑わしい SVCHOST プロセスが実行されました) (AppServices_SVCHostFromInvalidPath) |
システム プロセス SVCHOST が異常なコンテキストで実行されていることが確認されました。 マルウェアは、その悪意のあるアクティビティをマスクするために SVCHOST を使用することがよくあります。 (適用対象: App Service on Windows) |
防御回避、実行 | 高 |
| Suspicious User Agent detected (疑わしいユーザー エージェントが検出されました) (AppServices_UserAgentInjection) |
Azure App Service のアクティビティ ログに、疑わしいユーザー エージェントの要求が示されています。 この動作は、App Service アプリケーションの脆弱性を悪用する試行を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux) |
初期アクセス | Medium |
| Suspicious WordPress theme invocation detected (不審な WordPress テーマの呼び出しが検出されました) (AppServices_WpThemeInjection) |
Azure App Service のアクティビティ ログに、App Service リソースに対するコード インジェクション アクティビティの可能性が示されています。 検出された不審なアクティビティは、WordPress テーマの操作のアクティビティに似ています。このアクティビティはサーバー側でのコードの実行をサポートし、その実行の後に、操作されたテーマ ファイルを呼び出すための直接の Web 要求が続きます。 この種類のアクティビティは、WordPress での攻撃活動の一環として過去に確認されています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux) |
実行 | 高 |
| Vulnerability scanner detected (脆弱性スキャナーが検出されました) (AppServices_DrupalScanner) |
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。 検出された不審なアクティビティは、コンテンツ管理システム (CMS) をターゲットにしているツールのアクティビティに似ています。 App Service リソースが Drupal サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows) |
攻撃前 | Medium |
| Vulnerability scanner detected (脆弱性スキャナーが検出されました) (AppServices_JoomlaScanner) |
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。 検出された不審なアクティビティは、Joomla アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが Joomla サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux) |
攻撃前 | Medium |
| Vulnerability scanner detected (脆弱性スキャナーが検出されました) (AppServices_WpScanner) |
Azure App Service のアクティビティ ログに、App Service リソースに対して脆弱性スキャナーが使用された可能性が示されています。 検出された不審なアクティビティは、WordPress アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux) |
攻撃前 | Medium |
| Web fingerprinting detected (Web フィンガー プリントが検出されました) (AppServices_WebFingerprinting) |
Azure App Service のアクティビティ ログに、App Service リソースに対する Web フィンガー プリント アクティビティの可能性が示されています。 検出された不審なアクティビティは、Blind Elephant と呼ばれるツールと関連しています。 このツールは、Web サーバーのフィンガープリントを取得し、インストールされているアプリケーションとバージョンを検出しようとします。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux) |
攻撃前 | Medium |
| Website is tagged as malicious in threat intelligence feed (Web サイトが脅威インテリジェンス フィードで悪意のあるものとしてタグ付けされています) (AppServices_SmartScreen) |
次に示すように、Web サイトが Windows SmartScreen によって悪意のあるサイトとしてマークされています。 擬陽性であると考えられる場合は、提供されているレポート フィードバック リンクを使用して Windows SmartScreen までお問い合わせください。 (適用対象: App Service on Windows と App Service on Linux) |
コレクション | Medium |
コンテナーのアラート - Kubernetes クラスター
Microsoft Defender for Containers では、コントロール プレーン (API サーバー) とコンテナー化されたワークロード自体の両方を監視することで、クラスター レベルと基になるクラスター ノードのセキュリティ アラートを提供します。 コントロール プレーンのセキュリティ アラートは、アラートの種類の K8S_ プレフィックスで見分けることができます。 クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。 特に指定がない限り、すべてのアラートは Linux でのみサポートされます。
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Exposed Postgres service with trust authentication configuration in Kubernetes detected (Preview) (Kubernetes で信頼認証構成を使用した Postgres サービスの公開が検出されました (プレビュー)) (K8S_ExposedPostgresTrustAuth) |
Kubernetes クラスター構成分析で、ロード バランサーによる Postgres サービスの公開が検出されました。 このサービスは、資格情報を必要としない信頼認証方式を使用して構成されています。 | 初期アクセス | Medium |
| Exposed Postgres service with risky configuration in Kubernetes detected (Preview) (Kubernetes で危険な構成を持つ Postgres サービスの公開が検出さました (プレビュー)) (K8S_ExposedPostgresBroadIPRange) |
Kubernetes クラスター構成分析で、ロード バランサーによる危険な構成を持つ Postgres サービスの公開が検出されました。 このサービスを広範囲の IP アドレスに公開すると、セキュリティ リスクが発生します。 | 初期アクセス | Medium |
| 新しい Linux 名前空間をコンテナーから作成する試みの検出 (K8S.NODE_NamespaceCreation) 1 |
Kubernetes クラスターのコンテナー内で実行されているプロセスの分析で、新しい Linux 名前空間の作成試行が検出されました。 これは正当な動作である場合と、攻撃者がコンテナーからノードに逃れようとしていることを示している場合があります。 一部の CVE-2022-0185 の悪用では、この手法を使用します。 | 特権エスカレーション | Medium |
| 履歴ファイルが消去されました (K8S.NODE_HistoryFileCleared) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、コマンド履歴ログ ファイルがクリアされたことが検出されました。 攻撃者は、証拠を残さないようにするためにこれを行う場合があります。 この操作は、指定されたユーザー アカウントによって実行されました。 | 防御回避 | Medium |
| Kubernetes に関連付けられたマネージド ID の異常なアクティビティ (プレビュー) (K8S_AbnormalMiAcitivty) |
Azure Resource Manager 操作の分析により、AKS アドオンで使用されたマネージド ID の異常な動作が検出されました。 検出されたアクティビティは、関連付けられているアドオンの動作と一致しません。 このアクティビティは正当である可能性もありますが、このような動作は、Kubernetes クラスター内の侵害されたコンテナーで攻撃者が ID を取得したことを示している場合があります。 | 侵入の拡大 | Medium |
| 異常な Kubernetes サービス アカウントの操作が検出されました (K8S_ServiceAccountRareOperation) |
Kubernetes 監査ログ分析で、Kubernetes クラスター内のサービス アカウントによる異常な動作が検出されました。 サービス アカウントが、このサービス アカウントではあまり使用されない操作に使用されました。 このアクティビティは正当である可能性もありますが、このような動作は、サービス アカウントが悪意のある目的で使用されていることを示している場合があります。 | 侵入の拡大、資格情報のアクセス | Medium |
| 一般的でない接続試行が検出されました (K8S.NODE_SuspectConnection) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、socks プロトコルを使用した一般的でない接続試行が検出されました。 これは、通常の操作ではほとんど見られませんが、ネットワーク層の検出を回避しようとする攻撃者の既知の手法です。 | 実行、流出、悪用 | Medium |
| Anomalous pod deployment (Preview) (異常なポッドのデプロイ (プレビュー)) (K8S_AnomalousPodDeployment) 3 |
Kubernetes 監査ログ分析で、以前のポッドのデプロイ アクティビティに基づいて異常なポッドのデプロイが検出されました。 このアクティビティは、デプロイ操作に見られるさまざまな特徴の相互関係を考慮した場合、異常と考えられます。 監視対象となる特徴には、使用されるコンテナー イメージ レジストリ、デプロイを実行するアカウント、曜日、このアカウントがポッドのデプロイを実行する頻度、操作で使用されるユーザー エージェント、ポッドのデプロイが頻繁に発生している名前空間かどうかなどがあります。 異常なアクティビティとしてこのアラートを発生させる主な原因については、アラートの拡張プロパティで詳述されています。 | 実行 | Medium |
| 異常なシークレット アクセス (プレビュー) (K8S_AnomalousSecretAccess) 2 |
Kubernetes 監査ログ分析で、以前のシークレット アクセス アクティビティに基づいて異常なシークレット アクセス要求が検出されました。 このアクティビティは、シークレットアクセス操作で見られるさまざまな機能が互いにどのように関連しているかを考慮すると、異常と見なされます。 この分析によって監視される機能には、使用されるユーザー名、シークレットの名前、名前空間の名前、操作で使用されるユーザー エージェント、またはその他の機能が含まれます。 異常なアクティビティとしてこのアラートが発生する主な原因については、アラートの拡張プロパティに詳しい説明があります。 | 資格情報アクセス | Medium |
| Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました) (K8S.NODE_TimerServiceDisabled) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、socks プロトコルを使用した一般的でない接続試行が検出されました。 攻撃者がこのサービスを停止して悪意のあるファイルをダウンロードし、攻撃のために実行特権を付与することが確認されています。 このアクティビティは、通常の管理アクションによってサービスが更新された場合にも発生する可能性があります。 | 防御回避 | Informational |
| Behavior similar to common Linux bots detected (Preview) (一般的な Linux ボットに似た動作が検出されました (プレビュー)) (K8S.NODE_CommonBot) |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常は一般的な Linux ボットネットに関連するプロセスの実行が検出されました。 | 実行、収集、コマンド アンド コントロール | Medium |
| Behavior similar to Fairware ransomware detected (Fairware ランサムウェアに似た動作が検出されました) (K8S.NODE_FairwareMalware) 1 |
コンテナー内で実行されているプロセスの分析により、不審な場所に適用された rm -rf コマンドの実行が検出されました。 rm -rf は再帰的にファイルを削除するため、通常は個別のフォルダーで使用されます。 このケースでは、大量のデータが削除される可能性のある場所で使用されています。 Fairware ランサムウェアは、このフォルダーで rm -rf コマンドを実行することが知られています。 | 実行 | Medium |
| コンテナー内でコマンドが高い特権で実行されています (K8S.NODE_PrivilegedExecutionInContainer) 1 |
マシンのログは、Docker コンテナーで特権コマンドが実行されたことを示しています。 特権コマンドには、ホスト マシンに対する拡張特権があります。 | 特権エスカレーション | 低 |
| コンテナーが特権モードで実行されています (K8S.NODE_PrivilegedContainerArtifacts) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、特権コンテナーを実行している Docker コマンドの実行が検出されました。 特権コンテナーには、ホスティング ポッドまたはホスト リソースへのフル アクセス権があります。 侵害された場合、攻撃者はホスティングポッドまたはホスト へのアクセス許可を得るために、アクセス許可されたコンテナーを使用できます。 | PrivilegeEscalation、Execution | 低 |
| Container with a sensitive volume mount detected (機密のボリューム マウントを持つコンテナーが検出されました) (K8S_SensitiveMount) |
Kubernetes 監査ログ分析によって、機密のボリューム マウントを持つ新しいコンテナーが検出されました。 検出されたボリュームは、機密性の高いファイルまたはフォルダーをノードからコンテナーにマウントする hostPath 型です。 コンテナーが侵害された場合、攻撃者はノードにアクセスするためにこのマウントを使用することができます。 | Privilege Escalation (特権昇格) | Medium |
| CoreDNS modification in Kubernetes detected (Kubernetes で CoreDNS の変更が検出されました) (K8S_CoreDnsModification) 23 |
Kubernetes 監査ログ分析によって、CoreDNS 構成の変更が検出されました。 CoreDNS の構成は、その configmap をオーバーライドすることによって変更できます。 このアクティビティは、正当である可能性もありますが、攻撃者が configmap を変更する権限を持っている場合、攻撃者はクラスターの DNS サーバーの動作を変更してこれを汚染する可能性があります。 | 侵入の拡大 | 低 |
| Creation of admission webhook configuration detected (アドミッション Webhook 構成の作成が検出されました) (K8S_AdmissionController) 3 |
Kubernetes 監査ログ分析によって、新しいアドミッション Webhook 構成が検出されました。 Kubernetes には、MutatingAdmissionWebhook と ValidatingAdmissionWebhook という 2 つの組み込み汎用アドミッション コントローラーがあります。 これらのアドミッション コントローラーの動作は、ユーザーがクラスターにデプロイするアドミッション Webhook によって決まります。 このようなアドミッション コントローラーの使用は、正当である可能性もありますが、攻撃者は、このような Webhook を使用して、要求を変更することも (MutatingAdmissionWebhook の場合)、要求を検査して機密情報を取得することもできます (ValidatingAdmissionWebhook の場合)。 | 資格情報アクセス、永続化 | 低 |
| Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) (K8S.NODE_SuspectDownload) 1 |
コンテナー内または Kubernetes ノード上で直接で実行されているプロセスの分析により、マルウェアの配布に頻繁に使用されるソースからのファイルのダウンロードが検出されました。 | 特権エスカレーション、実行、流出、コマンド アンド コントロール | Medium |
| Detected suspicious file download (疑わしいファイルのダウンロードが検出されました) (K8S.NODE_SuspectDownloadArtifacts) 1 |
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、リモート ファイルの不審なダウンロードが検出されました。 | 永続化 | 低 |
| Detected suspicious use of the nohup command (nohup コマンドの疑わしい使用が検出されました) (K8S.NODE_SuspectNohup) 1 |
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、nohup コマンドの疑わしい使用が検出されました。 攻撃者は、nohup コマンドを使用して一時ディレクトリから隠しファイルを実行し、実行可能ファイルをバックグラウンドで実行できるようにすることが確認されています。 一時ディレクトリにある隠しファイルに対してこのコマンドを実行することはほとんどありません。 | 永続化、防御回避 | Medium |
| Detected suspicious use of the useradd command (useradd コマンドの疑わしい使用が検出されました) (K8S.NODE_SuspectUserAddition) 1 |
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、useradd コマンドの疑わしい使用が検出されました。 | 永続化 | Medium |
| Digital currency mining container detected (デジタル通貨マイニング コンテナーが検出されました) (K8S_MaliciousContainerImage) 3 |
Kubernetes 監査ログ分析によって、デジタル通貨マイニング ツールに関連付けられているイメージを含むコンテナーが検出されました。 | 実行 | 高 |
| Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) (K8S.NODE_DigitalCurrencyMining) 1 |
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。 | 実行 | 高 |
| Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました) (K8S.NODE_ImageBuildOnNode) 1 |
コンテナー内、または直接 Kubernetes ノード上で実行されているプロセスの分析で、Kubernetes ノード上でのコンテナー イメージのビルド操作が検出されました。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。 | 防御回避 | 低 |
| Excessive role permissions assigned in Kubernetes cluster (Preview) (Kubernetes クラスターで割り当てられた過剰なロール権限 (プレビュー)) (K8S_ServiceAcountPermissionAnomaly) 3 |
Kubernetes 監査ログの分析で、クラスターへの過剰なアクセス許可ロールの割り当てが検出されました。 割り当てられたロールに対して示されているアクセス許可は、特定のサービス アカウントで一般的ではありません。 この検出では、Azure によって監視されるクラスター全体での同じサービス アカウントへの以前のロールの割り当て、アクセス許可あたりのボリューム、および特定のアクセス許可の影響が考慮されます。 このアラートに使用される異常検出モデルでは、Microsoft Defender for Cloud によって監視されているすべてのクラスターで、このアクセス許可がどのように使用されているかが考慮されます。 | Privilege Escalation (特権昇格) | 低 |
| Executable found running from a suspicious location (Preview) (不審な場所から実行されている実行可能ファイルが見つかりました (プレビュー)) (K8S.NODE_SuspectExecutablePath) |
コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、既知の疑わしいファイルに関連付けられている場所から実行されている実行可能ファイルが検出されました。 この実行可能ファイルは、正当なアクティビティ、または侵害されたシステムの兆候のいずれかである可能性があります。 | 実行 | Medium |
| Exposed Kubeflow dashboard detected (Kubeflow ダッシュボードの公開が検出されました) (K8S_ExposedKubeflow) |
Kubernetes 監査ログ分析で、Kubeflow を実行するクラスター内のロード バランサーによる Istio Ingress の公開が検出されました。 このアクションにより、Kubeflow ダッシュボードがインターネットに公開される可能性があります。 ダッシュボードがインターネットに公開されると、攻撃者がアクセスし、クラスター上で悪意のあるコンテナーやコードを実行するおそれがあります。 詳細については、 https://aka.ms/exposedkubeflow-blog の記事を参照してください | 初期アクセス | Medium |
| Exposed Kubernetes dashboard detected (公開された Kubernetes ダッシュボードが検出されました) (K8S_ExposedDashboard) |
Kubernetes 監査ログ分析によって、LoadBalancer サービスによる Kubernetes ダッシュボードの公開が検出されました。 ダッシュボードが公開されると、クラスター管理への認証されていないアクセスが可能になり、セキュリティ上の脅威が生じます。 | 初期アクセス | 高 |
| Exposed Kubernetes service detected (Kubernetes サービスの公開が検出されました) (K8S_ExposedService) |
Kubernetes 監査ログ分析で、ロード バランサーによるサービスの公開が検出されました。 このサービスは、ノードでのプロセスの実行や新しいコンテナーの作成など、クラスター内で影響の大きい操作を許可する機密性の高いアプリケーションに関連しています。 場合によっては、このサービスは認証を要求しません。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。 | 初期アクセス | Medium |
| Exposed Redis service in AKS detected (AKS での Redis サービスの公開が検出されました) (K8S_ExposedRedis) |
Kubernetes 監査ログ分析で、ロード バランサーによる Redis サービスの公開が検出されました。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。 | 初期アクセス | 低 |
| Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました) (K8S.NODE_KnownLinuxDDoSToolkit) 1 |
コンテナー内で、または Kubernetes ノード上で直接実行されているプロセスの分析により、マルウェアに関連付けられているツールキットの一部であるファイル名が検出され、このマルウェアはDDoS 攻撃を開始し、ポートとサービスを開き、感染したシステムを完全に制御することができます。 これは、正当なアクティビティである可能性もあります。 | 永続化、横移動、実行、悪用 | Medium |
| K8S API requests from proxy IP address detected (プロキシ IP アドレスからの K8S API 要求が検出されました) (K8S_TI_Proxy) 3 |
Kubernetes 監査ログ分析によって、TOR などのプロキシ サービスに関連付けられている IP アドレスからクラスターへの API 要求が検出されました。 この動作は、正当である可能性もありますが、悪意のあるアクティビティで攻撃者がソース IP を隠そうとするときによく見られます。 | 実行 | 低 |
| Kubernetes events deleted (Kubernetes イベントが削除されました) (K8S_DeleteEvents) 23 |
Defender for Cloud によって、一部の Kubernetes イベントが削除されたことが検出されました。 Kubernetes イベントは、クラスター内の変更に関する情報を含む Kubernetes のオブジェクトです。 攻撃者は、クラスター内での操作を隠すためにこれらのイベントを削除する可能性があります。 | 防御回避 | 低 |
| Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました) (K8S_PenTestToolsKubeHunter) |
Kubernetes 監査ログ分析によって、AKS クラスターでの Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 | 実行 | 低 |
| Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました) (K8S.NODE_FirewallDisabled) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、ホスト上のファイアウォールが操作される可能性が検出されました。 攻撃者は、データを抜き取るためにこれを無効にすることがよくあります。 | 防御回避、流出 | Medium |
| Microsoft Defender for Cloud test alert (not a threat) (Microsoft Defender for Cloud のテスト アラート (脅威ではありません)) (K8S.NODE_EICAR) 1 |
これは、Microsoft Defender for Cloud によって生成されたテスト アラートです。 これ以外の操作は必要ありません。 | 実行 | 高 |
| New container in the kube-system namespace detected (kube-system 名前空間で新しいコンテナーが検出されました) (K8S_KubeSystemContainer) 3 |
Kubernetes 監査ログ分析によって、kube-system 名前空間に、通常はこの名前空間で実行されない新しいコンテナーが検出されました。 kube-system 名前空間にユーザー リソースを含めることはできません。 攻撃者は、悪意のあるコンポーネントを隠すためにこの名前空間を使用することができます。 | 永続化 | 低 |
| New high privileges role detected (新しい高い特権のロールが検出されました) (K8S_HighPrivilegesRole) 3 |
Kubernetes 監査ログ分析によって、高い特権を持つ新しいロールが検出されました。 高い特権が付与されているロールにバインドすると、クラスター内のユーザーやグループに高い特権が付与されます。 不必要な特権によって、クラスター内で特権エスカレーションが発生する可能性があります。 | 永続化 | 低 |
| Possible attack tool detected (攻撃ツールの可能性が検出されました) (K8S.NODE_KnownLinuxAttackTool) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、疑わしいツールの呼び出しが検出されました。 多くの場合、このツールは他のユーザーを攻撃する悪意のあるユーザーに関係します。 | 実行、収集、コマンド アンド コントロール、プローブ | Medium |
| バックドアの可能性が検出されました (K8S.NODE_LinuxBackdoorArtifact) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、不審なファイルがダウンロードされ、実行されたことが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 | 永続化、防御回避、実行、悪用 | Medium |
| コマンド ラインの悪用試行の可能性があります (K8S.NODE_ExploitAttempt) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、既知の脆弱性に対する悪用試行の可能性が検出されました。 | 悪用 | Medium |
| Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました) (K8S.NODE_KnownLinuxCredentialAccessTool) 1 |
コンテナー内、または Kubernetes ノード上で直接で実行されているプロセスの分析で、指定されたプロセスとコマンド ライン履歴項目によって特定された、既知の資格情報アクセス ツールの可能性があるツールがコンテナーで実行されていたことが検出されました。 このツールは、攻撃者の資格情報へのアクセスの試行に関連付けられていることがよくあります。 | 資格情報アクセス | Medium |
| Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました) (K8S.NODE_CryptoCoinMinerDownload) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。 | 防御回避、コマンド アンド コントロール、悪用 | Medium |
| Possible data exfiltration detected (データ流出の可能性が検出されました) (K8S.NODE_DataEgressArtifacts) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、データエグレス状態の可能性が検出されました。 攻撃者は多くの場合、侵害したマシンからデータを送信します。 | コレクション、データ流出 | Medium |
| Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました) (K8S.NODE_SystemLogRemoval) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、操作コース中にユーザーのアクティビティを追跡するファイルが削除された可能性が検出されました。 攻撃者は、検出を回避し、悪意のあるアクティビティの痕跡を残さないようにするため、このようなログ ファイルを削除することがよくあります。 | 防御回避 | Medium |
| crypt メソッドを使用してパスワードが変更された可能性があることが検出されました (K8S.NODE_SuspectPasswordChange) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、仮想メソッドを使ってパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 | 資格情報アクセス | Medium |
| Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります) (K8S.NODE_SuspectPortForwarding) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、外部 IP アドレスへのポート転送の開始が検出されました。 | 流出、コマンド アンド コントロール | Medium |
| Potential reverse shell detected (リバース シェルの可能性が検出されました) (K8S.NODE_ReverseShell) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、リバース シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。 | 窃盗、悪用 | Medium |
| Privileged Container Detected (特権コンテナーが検出されました) (K8S_PrivilegedContainer) |
Kubernetes 監査ログ分析によって、新しい特権コンテナーが検出されました。 特権コンテナーは、ノードのリソースにアクセスできるため、コンテナー間の分離が破壊されます。 侵害された場合、攻撃者はノードにアクセスするために、特権コンテナーを使用できます。 | Privilege Escalation (特権昇格) | 低 |
| Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました) (K8S.NODE_CryptoCoinMinerArtifacts) 1 |
コンテナー内で実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 | Execution、Exploitation | Medium |
| Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました) (K8S.NODE_SshKeyAccess) 1 |
マルウェアの既知の攻撃活動と同様の方法で、SSH 承認済みキー ファイルがアクセスされました。 このアクセスは、アクターがマシンへの永続的なアクセスを取得しようとしていることを示している可能性があります。 | Unknown | 低 |
| Role binding to the cluster-admin role detected (クラスター管理者ロールへのロール バインドが検出されました) (K8S_ClusterAdminBinding) |
Kubernetes 監査ログ分析によって、管理者特権を付与する、クラスター管理者ロールへの新しいバインドが検出されました。 不必要な管理者特権によって、クラスター内で特権エスカレーションが発生する可能性があります。 | 永続化 | 低 |
| Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました) (K8S.NODE_SuspectProcessTermination) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、コンテナーのセキュリティモニタリングに関連するプロセスの終了の試行が検出されました。 多くの場合、攻撃者は事前に定義されたスクリプトを使用して、侵害後にこのようなプロセスを終了しようとします。 | 永続化 | 低 |
| SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています) (K8S.NODE_ContainerSSH) 1 |
コンテナー内で実行されているプロセスの分析により、コンテナー内で SSH サーバーが実行されていることが検出されました。 | 実行 | Medium |
| Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更) (K8S.NODE_TimestampTampering) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、疑わしいtimestampの変更が検出されました。 攻撃者は、既存の正当なファイルから新しいツールにタイムスタンプをコピーして、これらの新しくドロップされたファイルの検出を回避することがよくあります。 | 永続化、防御回避 | 低 |
| Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求) (K8S.NODE_KubernetesAPI) 1 |
コンテナー内で実行されているプロセスの分析で、Kubernetes API に対して不審な要求が行われたことが示されています。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。 | 横移動 | Medium |
| Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの疑わしい要求) (K8S.NODE_KubernetesDashboard) 1 |
コンテナー内で実行されているプロセスの分析で、Kubernetes ダッシュボードに対して不審な要求が行われたことが示されています。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。 | 横移動 | Medium |
| 暗号化コイン マイナーが起動された可能性があります (K8S.NODE_CryptoCoinMinerExecution) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連する方法で開始されるプロセスが検出されました。 | 実行 | Medium |
| Suspicious password access (不審なパスワード アクセス) (K8S.NODE_SuspectPasswordFileAccess) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、暗号化されたユーザー パスワードにアクセスするための疑わしい試行が検出されました。 | 永続性 | Informational |
| DNS over HTTPS の不審な使用 (K8S.NODE_SuspiciousDNSOverHttps) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、一般的ではない方法で HTTPS 経由の DNS 呼び出しが使用されていることが検出されました。 この手法は、攻撃者が不審なサイトや悪意のあるサイトの呼び出しを隠すために使用されます。 | 防御回避、流出 | Medium |
| 悪意のある場所への接続の可能性が検出されました。 (K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、悪意があるまたは異常であるとレポートされた場所への接続が検出されました。 これは、侵害が発生した可能性を示すものです。 | 初期アクセス | Medium |
| 悪意のある Web シェルの可能性が検出されました。 (K8S.NODE_Webshell) 1 |
コンテナー内で実行されているプロセスの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したコンピューティング リソースに Web シェルをアップロードすることがよくあります。 | 永続化、悪用 | Medium |
| 複数の偵察コマンドのバーストは、侵害後の初期アクティビティを示している可能性があります (K8S.NODE_ReconnaissanceArtifactsBurst) 1 |
ホスト/デバイス データの分析により、最初の侵害後に攻撃者によって実行されたシステムまたはホストの詳細の収集に関連する複数の偵察コマンドの実行が検出されました。 | 検出、コレクション | 低 |
| 不審なダウンロードして実行のアクティビティ (K8S.NODE_DownloadAndRunCombo) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析で、ダウンロードされているファイルが、その後、同じコマンドで実行されていることが検出されました。 これは必ずしも悪意のあるものではありませんが、攻撃者が悪意のあるファイルを被害者のマシンに取り込むために使用する非常に一般的な手法です。 | 実行、CommandAndControl、悪用 | Medium |
| Digital currency mining activity (デジタル通貨マイニング アクティビティ) (K8S.NODE_CurrencyMining) 1 |
DNS トランザクションの分析により、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | 低 |
| kubelet kubeconfig ファイルへのアクセスが検出されました (K8S.NODE_KubeConfigAccess) 1 |
Kubernetes クラスター ノードで実行されているプロセスの分析により、ホスト上の kubeconfig ファイルへのアクセスが検出されました。 Kubelet プロセスで通常使用される kubeconfig ファイルには、Kubernetes クラスター API サーバーへの資格情報が含まれています。 このファイルへのアクセスは、多くの場合、攻撃者がそれらの資格情報にアクセスしようとしているか、ファイルにアクセスできるかどうかを確認するセキュリティ スキャン ツールに関連付けられます。 | 資格情報アクセス | Medium |
| クラウド メタデータ サービスへのアクセスが検出されました (K8S.NODE_ImdsCall) 1 |
コンテナー内で実行されているプロセスの分析で、ID トークンを取得するためのクラウド メタデータ サービスへのアクセスが検出されました。 コンテナーでは通常、このような操作は実行されません。 この動作は正当なものである可能性がありますが、攻撃者は、実行中のコンテナーに最初にアクセスした後、この手法を使用してクラウド リソースにアクセスする可能性があります。 | 資格情報アクセス | Medium |
| MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました) (K8S.NODE_MitreCalderaTools) 1 |
コンテナー内、または Kubernetes ノード上で直接実行されているプロセスの分析により、疑わしいプロセスが検出されました。 多くの場合、これは、他のマシンを攻撃するために悪用される可能性がある MITRE 54ndc47 エージェントに関係しています。 | 永続化、特権エスカレーション、防御回避、資格情報アクセス、探索、横移動、実行、収集、流出、コマンド アンド コントロール、プローブ、悪用 | Medium |
1: 非 AKS クラスターのプレビュー: このアラートは AKS クラスターでは一般提供されていますが、Azure Arc、EKS、GKE などの他の環境ではプレビュー段階です。
2: GKE クラスターの制限事項: GKE で使用している Kubernetes 監査ポリシーは、すべてのアラートの種類をサポートしていません。 そのため、Kubernetes の監査イベントに基づくこのセキュリティ アラートは、GKE クラスターではサポートされていません。
3: このアラートは、Windows ノード/コンテナ―でサポートされています。
SQL Database と Azure Synapse Analytics のアラート
| アラート: | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| A possible vulnerability to SQL Injection (SQL インジェクションにつながる可能性のある脆弱性) (SQL.DB_VulnerabilityToSqlInjection SQL.VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL.DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
アプリケーションにより、データベースでエラーのある SQL ステートメントが生成されました。 これは、SQL インジェクション攻撃に対する脆弱性があることを示している可能性があります。 エラーのあるステートメントの理由としては、次の 2 つが考えられます。 アプリケーション コードの欠陥により、エラーのある SQL ステートメントが作成された可能性がある。 または、アプリケーション コードまたはストアド プロシージャでユーザー入力がサニタイズされず、エラーのある SQL ステートメントが作成され、SQL インジェクションに悪用される可能性がある。 | 攻撃前 | Medium |
| Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました) (SQL.DB_HarmfulApplication SQL.VM_HarmfulApplication SQL.MI_HarmfulApplication SQL.DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
害を及ぼすおそれのあるアプリケーションによってリソースへのアクセスが試行されました。 | 攻撃前 | 高 |
| Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン) (SQL.DB_DataCenterAnomaly SQL.VM_DataCenterAnomaly SQL.DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
SQL Server へのアクセス パターンに変化があり、何者かが通常とは異なる Azure データ センターからサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや Azure サービス) が検出されることがあります。 それ以外の場合は、アラートによって悪意のあるアクション (Azure の侵害されたリソースからの攻撃者の操作) が検出されます。 | プローブ | 低 |
| Log on from an unusual location (通常とは異なる場所からのログオン) (SQL.DB_GeoAnomaly SQL.VM_GeoAnomaly SQL.DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
SQL Server へのアクセス パターンに変化があり、何者かが通常とは異なる地理的な場所からサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。 | 悪用 | Medium |
| Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません) (SQL.DB_PrincipalAnomaly SQL.VM_PrincipalAnomaly SQL.DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
過去 60 日以内に確認されていないプリンシパル ユーザーが、データベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 | 悪用 | Medium |
| Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン) (SQL.DB_DomainAnomaly SQL.VM_DomainAnomaly SQL.DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly) |
ユーザーが、他のユーザーが過去 60 日間接続していないドメインからお使いのリソースにログインしました。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 | 悪用 | Medium |
| Login from a suspicious IP (疑わしい IP からのログイン) (SQL.DB_SuspiciousIpAnomaly SQL.VM_SuspiciousIpAnomaly SQL.DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
Microsoft の脅威インテリジェンスによって疑わしいアクティビティに関連付けられている IP アドレスから、お使いのリソースへのアクセスが成功しました。 | 攻撃前 | Medium |
| SQL インジェクションの可能性 (SQL.DB_PotentialSqlInjection SQL.VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL.DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
SQL インジェクションに脆弱な特定されたアプリケーションに対してアクティブな悪用が発生しました。 これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して、悪意のある SQL ステートメントを挿入しようとしていることを意味します。 | 攻撃前 | 高 |
| Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性) (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。 | 攻撃前 | 高 |
| Suspected brute force attack (ブルート フォース攻撃の可能性) (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 | 攻撃前 | 高 |
| Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性) (SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
お使いのリソースに対する明らかなブルート フォース攻撃の後に、ログインが成功しました。 | 攻撃前 | 高 |
| SQL Server では、Windows コマンド シェルを生成し、異常な外部ソースにアクセスする可能性があります (SQL.DB_ShellExternalSourceAnomaly SQL.VM_ShellExternalSourceAnomaly SQL.DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
疑わしい SQL ステートメントでは、これまで見たことのない外部ソースを含む Windows コマンド シェルが生成される可能性があります。 外部ソースにアクセスするシェルを実行することは、攻撃者が悪意のあるペイロードをダウンロードし、それをマシン上で実行して侵害するために使用される方法です。 これにより、攻撃者はリモートで悪意のあるタスクを実行できます。 または、外部ソースへのアクセスを使用して、外部変換先にデータを流出させることができます。 | 実行 | 高 |
| 難読化されたパーツを含む通常とは異なるペイロードが、SQL Server によって開始されました (SQL.VM_PotentialSqlInjection) |
SQL クエリでコマンドを隠しながら、オペレーティング システムと通信する SQL Server のレイヤーを利用して、新しいペイロードが開始されました。 攻撃者は、通常、xp_cmdshell、sp_add_job など、一般的に監視されている影響力のあるコマンドを隠します。 難読化手法では、正規表現の検出を回避し、ログの読みやすさを損なわせるために、文字列連結、キャスト、ベース変更などの正当なコマンドを悪用します。 | 実行 | 高 |
オープンソース リレーショナル データベースのアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性) (SQL.PostgreSQL_BruteForce SQL.MariaDB_BruteForce SQL.MySQL_BruteForce) |
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。 | 攻撃前 | 高 |
| Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性) (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce) |
お使いのリソースに対する明らかなブルート フォース攻撃の後に、ログインが成功しました。 | 攻撃前 | 高 |
| Suspected brute force attack (ブルート フォース攻撃の可能性) (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce) |
お使いのリソースに対してブルート フォース攻撃が行われている可能性が検出されました。 | 攻撃前 | 高 |
| Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました) (SQL.PostgreSQL_HarmfulApplication SQL.MariaDB_HarmfulApplication SQL.MySQL_HarmfulApplication) |
害を及ぼすおそれのあるアプリケーションによってリソースへのアクセスが試行されました。 | 攻撃前 | 高 |
| Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません) (SQL.PostgreSQL_PrincipalAnomaly SQL.MariaDB_PrincipalAnomaly SQL.MySQL_PrincipalAnomaly) |
過去 60 日以内に確認されていないプリンシパル ユーザーが、データベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 | 悪用 | Medium |
| Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン) (SQL.MariaDB_DomainAnomaly SQL.PostgreSQL_DomainAnomaly SQL.MySQL_DomainAnomaly) |
ユーザーが、他のユーザーが過去 60 日間接続していないドメインからお使いのリソースにログインしました。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。 | 悪用 | Medium |
| Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン) (SQL.PostgreSQL_DataCenterAnomaly SQL.MariaDB_DataCenterAnomaly SQL.MySQL_DataCenterAnomaly) |
何者かが、通常とは異なる Azure データ センターからお使いのリソースにログオンしました。 | プローブ | 低 |
| Logon from an unusual cloud provider (通常とは異なるクラウド プロバイダーからのログオン) (SQL.PostgreSQL_CloudProviderAnomaly SQL.MariaDB_CloudProviderAnomaly SQL.MySQL_CloudProviderAnomaly) |
何者かが、過去 60 日間確認されていないクラウド プロバイダーからお使いのリソースにログオンしました。 脅威アクターは、その活動で使用する破棄可能なコンピューティング能力をすばやくかつ簡単に入手できます。 これが、新しいクラウド プロバイダーの最近の導入に起因する予想される動作である場合、Defender for Cloud は時間をかけて学習し、今後の誤検知を防止することを試みます。 | 悪用 | Medium |
| Log on from an unusual location (通常とは異なる場所からのログオン) (SQL.MariaDB_GeoAnomaly SQL.PostgreSQL_GeoAnomaly SQL.MySQL_GeoAnomaly) |
何者かが、通常とは異なる Azure データ センターからお使いのリソースにログオンしました。 | 悪用 | Medium |
| Login from a suspicious IP (疑わしい IP からのログイン) (SQL.PostgreSQL_SuspiciousIpAnomaly SQL.MariaDB_SuspiciousIpAnomaly SQL.MySQL_SuspiciousIpAnomaly) |
Microsoft の脅威インテリジェンスによって疑わしいアクティビティに関連付けられている IP アドレスから、お使いのリソースへのアクセスが成功しました。 | 攻撃前 | Medium |
Resource Manager のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| 疑わしい IP アドレスからの Azure Resource Manager の操作 (ARM_OperationFromSuspiciousIP) |
Microsoft Defender for Resource Manager によって、脅威インテリジェンス フィードで不審とマークされている IP アドレスからの操作が検出されました。 | 実行 | Medium |
| 疑わしいプロキシ IP アドレスからの Azure Resource Manager の操作 (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられた IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 | 防御回避 | Medium |
| MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AzDomainInfo) |
MicroBurst の情報収集モジュールがサブスクリプションに対して実行されました。 このツールを使用すると、リソース、アクセス許可、ネットワーク構造を検出できます。 これは、サブスクリプション内の Azure アクティビティ ログとリソース管理操作を分析することによって検出されました。 | - | 低 |
| MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AzureDomainInfo) |
MicroBurst の情報収集モジュールがサブスクリプションに対して実行されました。 このツールを使用すると、リソース、アクセス許可、ネットワーク構造を検出できます。 これは、サブスクリプション内の Azure アクティビティ ログとリソース管理操作を分析することによって検出されました。 | - | 低 |
| MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AzVMBulkCMD) |
MicroBurst の悪用ツールキットが、仮想マシンでのコードの実行に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | 実行 | 高 |
| MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました) (RM_MicroBurst.AzureRmVMBulkCMD) |
MicroBurst の悪用ツールキットが、仮想マシンでのコードの実行に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| MicroBurst exploitation toolkit used to extract keys from your Azure key vaults (Azure キー コンテナーからのキーの抽出に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AzKeyVaultKeysREST) |
MicroBurst の悪用ツールキットが、Azure キー コンテナーからのキーの抽出に使用されました。 これは、サブスクリプション内の Azure アクティビティ ログとリソース管理操作を分析することによって検出されました。 | - | 高 |
| MicroBurst exploitation toolkit used to extract keys to your storage accounts (ストレージ アカウントへのキーの抽出に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AZStorageKeysREST) |
MicroBurst の悪用ツールキットが、ストレージ アカウントへのキーの抽出に使用されました。 これは、サブスクリプション内の Azure アクティビティ ログとリソース管理操作を分析することによって検出されました。 | コレクション | 高 |
| MicroBurst exploitation toolkit used to extract secrets from your Azure key vaults (Azure キー コンテナーからのシークレットの抽出に MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.AzKeyVaultSecretsREST) |
MicroBurst の悪用ツールキットが、Azure キー コンテナーからのシークレットの抽出に使用されました。 これは、サブスクリプション内の Azure アクティビティ ログとリソース管理操作を分析することによって検出されました。 | - | 高 |
| PowerZure exploitation toolkit used to elevate access from Azure AD to Azure (Azure AD から Azure へのアクセス権の昇格に PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.AzureElevatedPrivileges) |
PowerZure 悪用ツールキットが、Azure AD から Azure へのアクセス権の昇格に使用されました。 これは、テナントでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| PowerZure exploitation toolkit used to enumerate resources (リソースの列挙に PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.GetAzureTargets) |
PowerZure 悪用ツールキットが、組織内の正当なユーザー アカウントに代わってリソースを列挙するのに使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | コレクション | 高 |
| PowerZure exploitation toolkit used to enumerate storage containers, shares, and tables (ストレージ コンテナー、共有、テーブルの列挙に PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.ShowStorageContent) |
PowerZure 悪用ツールキットが、ストレージ共有、テーブル、コンテナーの列挙に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| PowerZure exploitation toolkit used to execute a Runbook in your subscription (サブスクリプションでの Runbook の実行に PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.StartRunbook) |
PowerZure 悪用ツールキットが Runbook の実行に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| PowerZure exploitation toolkit used to extract Runbooks content (Runbook の内容の抽出に PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.AzureRunbookContent) |
PowerZure 悪用ツールキットが Runbook の内容の抽出に使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | コレクション | 高 |
| PREVIEW - Activity from a risky IP address (プレビュー - 危険な IP アドレスからのアクティビティ) (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
匿名プロキシ IP アドレスとして識別されている IP アドレスからのユーザー アクティビティが検出されました。 このようなプロキシは、自分のデバイスの IP アドレスを隠したいユーザーによって使用され、悪意のある目的で使用される恐れがあります。 この検出では、組織内の他のユーザーがよく使用する IP アドレスのタグ付けが間違っているなどの誤検知を低減する機械学習アルゴリズムが活用されます。 アクティブな Microsoft Defender for Cloud Apps ライセンスが必要です。 |
- | Medium |
| PREVIEW - Activity from infrequent country (プレビュー - 頻度の低い国からのアクティビティ) (ARM.MCAS_ActivityFromInfrequentCountry) |
組織内のユーザーが最近アクセスしていなかった場所や一度もアクセスしていない場所からアクティビティが発生しました。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンでは、組織内のユーザーによって使用された以前の場所に関する情報が格納されます。 アクティブな Microsoft Defender for Cloud Apps ライセンスが必要です。 |
- | Medium |
| PREVIEW - Azurite toolkit run detected (プレビュー - Azurite ツールキットの実行が検出されました) (ARM_Azurite) |
ご利用の環境で、既知のクラウド環境偵察ツールキットの実行が検出されました。 Azurite ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピングおよび安全でない構成の特定に使用される恐れがあります。 | コレクション | 高 |
| PREVIEW - Impossible travel activity (プレビュー - あり得ない移動アクティビティ) (ARM.MCAS_ImpossibleTravelActivity) |
地理的に離れた場所を起点とする 2 つのユーザー アクティビティ (1 つまたは複数のセッションで) が発生しました。 これは、ユーザーが 1 番目の場所から 2 番目の場所に移動するのにかかった時間よりも短い時間内に発生します。 これは、別のユーザーが同じ資格情報を使用していることを示します。 この検出では、組織内の他のユーザーによって定期的に使用される VPN や場所など、あり得ない移動状況の原因になる明らかな誤検知を無視する機械学習アルゴリズムが使用されます。 この検出には 7 日間の初期学習期間があり、その間に新しいユーザーのアクティビティ パターンの学習が行われます。 アクティブな Microsoft Defender for Cloud Apps ライセンスが必要です。 |
- | Medium |
| プレビュー - 疑わしいキー コンテナーの回復が検出されました (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender for Resource Manager は、論理削除されたキー コンテナー リソースに対する疑わしい回復操作を検出しました。 リソースを回復しているユーザーは、リソースを削除したユーザーとは異なります。 ユーザーがこのような操作を呼び出すことは稀なため、これは非常に疑わしいです。 さらに、ユーザーは多要素認証 (MFA) なしでログオンしています。 これは、このユーザーが侵害され、機密性の高いリソースにアクセスしたり、ネットワーク内で横移動を実行したりするために、シークレットとキーを検出しようとしていることを示している可能性があります。 |
侵入拡大 | 中/高 |
| PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する疑わしい管理セッションが検出されました) (ARM_UnusedAccountPersistence) |
サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 | 永続化 | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "資格情報アクセス" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.CredentialAccess) |
Microsoft Defender for Resource Manager により、資格情報へのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 資格情報へのアクセス | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "データ収集" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.Collection) |
Microsoft Defender for Resource Manager により、データ収集の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソース上の機密データを収集する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | コレクション | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "防御回避" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.DefenseEvasion) |
Microsoft Defender for Resource Manager により、防御回避の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、検出を免れつつ環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 防御回避 | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "実行" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.Execution) |
Microsoft Defender for Resource Manager により、コード実行の試行を示す可能性がある、マシン上での高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 防衛実行 | 中 |
| プレビュー - サービス プリンシパルによるリスクの高い "影響" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.Impact) |
Microsoft Defender for Resource Manager により、構成変更の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 影響 | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "初期アクセス" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.InitialAccess) |
Microsoft Defender for Resource Manager により、制限されたリソースへのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内の制限されたリソースへの初期アクセスを獲得する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 初期アクセス | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "横移動アクセス" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.LateralMovement) |
Microsoft Defender for Resource Manager により、侵入拡大の実行の試みを示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような操作を利用して、環境内のより多くのリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 侵入拡大 | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "永続化" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.Persistence) |
Microsoft Defender for Resource Manager により、永続化確立の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内で永続化を確立する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 永続化 | Medium |
| プレビュー - サービス プリンシパルによるリスクの高い "特権エスカレーション" 操作の疑わしい呼び出しが検出されました (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Microsoft Defender for Resource Manager により、特権エスカレーションの試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用し、特権エスカレーションと並行して環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 | 権限の昇格 | Medium |
| PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する疑わしい管理セッションが検出されました) (ARM_UnusedAccountPersistence) |
サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 | 永続化 | Medium |
| PREVIEW - Suspicious management session using PowerShell detected (プレビュー - PowerShell を使用する疑わしい管理セッションが検出されました) (ARM_UnusedAppPowershellPersistence) |
サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に PowerShell を使用しないプリンシパルでは、現在、PowerShell が使用され、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 | 永続化 | Medium |
| PREVIEW – Suspicious management session using Azure portal detected (プレビュー - Azure portal を使用する疑わしい管理セッションが検出されました) (ARM_UnusedAppIbizaPersistence) |
サブスクリプションのアクティビティ ログの分析により、疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に Azure portal (Ibiza) を使用しない (過去 45 日間、Azure portal を使用して管理していない、またはアクティブに管理しているサブスクリプション) プリンシパルで、現在、Azure portal を使用して、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。 | 永続化 | Medium |
| Privileged custom role created for your subscription in a suspicious way (Preview) (疑わしい方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー)) (ARM_PrivilegedRoleDefinitionCreation) |
Microsoft Defender for Resource Manager によって、サブスクリプション内で、疑わしい方法で作成された特権付きカスタム ロールの定義が検出されました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。 | 特権エスカレーション、防御回避 | 低 |
| Suspicious Azure role assignment detected (Preview) (疑わしい Azure ロールの割り当てが検出されました (プレビュー)) (ARM_AnomalousRBACRoleAssignment) |
Microsoft Defender for Resource Manager によって、テナントで PIM (Privileged Identity Management) を使用して実行された疑わしい Azure ロールの割り当てが特定されました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、管理者がプリンシパルに Azure リソースへのアクセスを許可できるように設計されています。 このアクティビティは正当なものであるかもしれませんが、脅威アクターはロールの割り当てを利用してアクセス許可をエスカレートし、攻撃を進める可能性があります。 | 侵入の拡大、防御回避 | 低 (PIM)/高 |
| 高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender for Resource Manager により、資格情報へのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 資格情報アクセス | Medium |
| 高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.Collection) |
Microsoft Defender for Resource Manager により、データ収集の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソース上の機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | コレクション | Medium |
| 高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender for Resource Manager により、防御回避の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、検出を免れつつ環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 防御回避 | Medium |
| 高リスクの "実行" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.Execution) |
Microsoft Defender for Resource Manager により、コード実行の試行を示す可能性がある、マシン上での高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 実行 | Medium |
| 高リスクの "影響" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.Impact) |
Microsoft Defender for Resource Manager により、構成変更の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 影響 | Medium |
| 高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender for Resource Manager により、制限されたリソースへのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内の制限されたリソースへの初期アクセスを獲得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 初期アクセス | Medium |
| 高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender for Resource Manager により、侵入拡大の実行の試みを示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような操作を利用して、環境内のより多くのリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 侵入の拡大 | Medium |
| 高リスクの "永続化" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender for Resource Manager により、永続化確立の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 永続化 | Medium |
| 高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender for Resource Manager により、特権エスカレーションの試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用し、特権エスカレーションと並行して環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Privilege Escalation (特権昇格) | Medium |
| Usage of MicroBurst exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、MicroBurst 悪用ツールキットが使用されました) (ARM_MicroBurst.RunCodeOnBehalf) |
任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、MicroBurst 悪用ツールキットが使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | 永続化、資格情報アクセス | 高 |
| Usage of NetSPI techniques to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために NetSPI 手法が使用されました) (ARM_NetSPI.MaintainPersistence) |
Webhook バックドアを作成し、Azure 環境で永続性を維持するために、NetSPI 永続化手法が使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| Usage of PowerZure exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、PowerZure 悪用ツールキットが使用されました) (ARM_PowerZure.RunCodeOnBehalf) |
コードの実行または Azure Automation アカウントの資格情報の抜き取りを試みた PowerZure 悪用ツールキットが検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| Usage of PowerZure function to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために PowerZure 機能が使用されました) (ARM_PowerZure.MaintainPersistence) |
Azure 環境で永続性を維持するために Webhook バックドアを作成した PowerZure 悪用ツールキットが検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 | - | 高 |
| Suspicious classic role assignment detected (Preview) (疑わしいクラシックロールの割り当てが検出されました (プレビュー)) (ARM_AnomalousClassicRoleAssignment) |
Microsoft Defender for Resource Manager によって、テナントでクラシック ロールの割り当てが特定されました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、一般的に使用されなくなった従来のロールとの下位互換性を提供するように設計されています。 このアクティビティは正当なものである可能性がありますが、脅威アクターはこのような割り当てを利用して、制御下にあるより多くのユーザーアカウントにアクセス許可を付与する可能性があります。 | 侵入の拡大、防御回避 | 高 |
DNS のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Anomalous network protocol usage (ネットワーク プロトコルの異常な使用) (AzureDNS_ProtocolAnomaly) |
%{CompromisedEntity} からの DNS トランザクションの分析により、プロトコルの異常な使用が検出されました。 このようなトラフィックは無害の場合もありますが、ネットワーク トラフィック フィルタリングをバイパスするために、この一般的なプロトコルの不正使用を示している可能性があります。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。 | 窃盗 | - |
| Anonymity network activity (匿名ネットワーク アクティビティ) (AzureDNS_DarkWeb) |
%{CompromisedEntity} からの DNS トランザクションの分析により、匿名ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Anonymity network activity using web proxy (Web プロキシを使用した匿名ネットワーク アクティビティ) (AzureDNS_DarkWebProxy) |
%{CompromisedEntity} からの DNS トランザクションの分析により、匿名ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Attempted communication with suspicious sinkholed domain (疑わしいシンクホール ドメインとの通信の試行) (AzureDNS_SinkholedDomain) |
%{CompromisedEntity} からの DNS トランザクションの分析により、シンクホール ドメインに対する要求が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Communication with possible phishing domain (フィッシングの可能性があるドメインとの通信) (AzureDNS_PhishingDomain) |
%{CompromisedEntity} からの DNS トランザクションの分析により、フィッシングの可能性があるドメインに対する要求が検出されました。 このようなアクティビティは無害の場合もありますが、リモート サービスに対する資格情報を収集するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、正当なサービスでの資格情報の悪用が含まれる可能性があります。 | 窃盗 | - |
| Communication with suspicious algorithmically generated domain (アルゴリズムによって生成された疑わしいドメインとの通信) (AzureDNS_DomainGenerationAlgorithm) |
%{CompromisedEntity} からの DNS トランザクションの分析により、ドメイン生成アルゴリズムが使用された可能性があることが検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、疑わしいドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス | Medium |
| Communication with suspicious random domain name (疑わしいランダム ドメイン名との通信) (AzureDNS_RandomizedDomain) |
%{CompromisedEntity} からの DNS トランザクションの分析により、ランダムに生成された疑わしいドメイン名の使用が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Digital currency mining activity (デジタル通貨マイニング アクティビティ) (AzureDNS_CurrencyMining) |
%{CompromisedEntity} からの DNS トランザクションの分析により、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Network intrusion detection signature activation (ネットワーク侵入検知シグネチャのアクティブ化) (AzureDNS_SuspiciousDomain) |
%{CompromisedEntity} からの DNS トランザクションの分析により、既知の悪意のあるネットワーク シグネチャが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Possible data download via DNS tunnel (DNS トンネルを介したデータ ダウンロードの可能性) (AzureDNS_DataInfiltration) |
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Possible data exfiltration via DNS tunnel (DNS トンネルを介したデータ流出の可能性) (AzureDNS_DataExfiltration) |
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
| Possible data transfer via DNS tunnel (DNS トンネルを介したデータ転送の可能性) (AzureDNS_DataObfuscation) |
%{CompromisedEntity} からの DNS トランザクションの分析により、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 | 窃盗 | - |
Azure Storage のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| 疑わしいアプリケーションからのアクセス (Storage.Blob_SuspiciousApp) |
疑わしいアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。 これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。 適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2 |
初期アクセス | 高/中 |
| 疑わしい IP アドレスからのアクセス (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
疑わしいと見なされている IP アドレスからこのストレージ アカウントへのアクセスが成功したことを示しています。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2 |
攻撃前 | 高/中/低 |
| ストレージ アカウントでホストされているフィッシング コンテンツ (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
フィッシング攻撃で使用された URL が、お客様の Azure Storage アカウントを指しています。 この URL は、Microsoft 365 のユーザーに影響を与えるフィッシング攻撃の一部でした。 通常、このようなページでホストされているコンテンツは、訪問者が正規に見える Web フォームに自社の資格情報や財務情報を入力するよう誘導することを目的としています。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files |
コレクション | 高 |
| マルウェアの配布元として識別されたストレージ アカウント (Storage.Files_WidespreadeAm) |
マルウェア対策アラートは、複数の VM にマウントされている Azure ファイル共有に、感染したファイルが格納されていることを示します。 Azure ファイル共有がマウントされている VM へのアクセス権を攻撃者が取得した場合、攻撃者は、それを使用して、同じ共有をマウントする他の VM にマルウェアを拡散させることができます。 適用対象: Azure Files |
実行 | Medium |
| 潜在的な機密データが含まれているストレージ アカウントが、一般に公開されているコンテナーで検出されました (Storage.Blob_OpenACL) |
ストレージ アカウント内のコンテナーのアクセス ポリシーが、匿名アクセスを許可するように変更されました。 コンテナーに機密データが保持されている場合、これはデータ侵害につながる可能性があります。 このアラートは、Azure アクティビティ ログの分析に基づいています。 適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2 |
コレクション | Medium |
| Authenticated access from a Tor exit node (Tor 出口ノードからの認証済みアクセス) (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
ストレージ アカウント内の 1 つ以上のストレージ コンテナーまたはファイル共有が、Tor (匿名化プロキシ) のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 脅威アクターは Tor を使用して、アクティビティを遡ることを困難にします。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2 |
初期アクセス/攻撃前 | 高/中 |
| Access from an unusual location to a storage account (ストレージ アカウントへの通常とは異なる場所からのアクセス) (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Azure Storage アカウントへのアクセス パターンに変化があったことを示しています。 最近のアクティビティと比較して見慣れない IP アドレスから誰かがこのアカウントにアクセスしました。 攻撃者がアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2 |
初期アクセス | 高/中/低 |
| Unusual unauthenticated access to a storage container (ストレージ コンテナーへの通常とは異なる認証されていないアクセス) (Storage.Blob_AnonymousAccessAnomaly) |
このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変更です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。 適用対象:Azure Blob Storage |
初期アクセス | 高い/低い |
| Potential malware uploaded to a storage account (マルウェアがストレージ アカウントにアップロードされた可能性) (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
マルウェアを含んだ BLOB が、ストレージ アカウント内の BLOB コンテナーまたはファイル共有にアップロードされた可能性があることを示します。 このアラートは、ウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュなど、Microsoft の脅威インテリジェンスの機能を活用したハッシュ評価分析に基づいています。 原因としては、攻撃者が意図的にマルウェアをアップロードするケースと、正当なユーザーが意図せず悪意のある BLOB をアップロードしてしまうケースが考えられます。 適用対象:Azure Blob Storage、Azure Files (REST API によるトランザクションについてのみ) Azure におけるマルウェアのハッシュ評価分析の詳細に関するページを参照してください。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 |
侵入の拡大 | 高 |
| Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました) (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
スキャン スクリプトまたはツールによって、ストレージ アカウント内の公開されているストレージ コンテナーの検出が過去 1 時間に実行され、検出に成功しました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
コレクション | 高/中 |
| Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました) (Storage.Blob_OpenContainersScanning.FailedAttempt) |
公開されているストレージ コンテナーのスキャンに失敗した一連の試行が過去 1 時間に実行されました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
コレクション | 高い/低い |
| Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるアクセスの検査) (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
ストレージ アカウントのアクセス許可が、このアカウントでの最近のアクティビティと比較して、通常とは異なる方法で検査されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files |
探索 | 高/中 |
| Unusual amount of data extracted from a storage account (通常とは異なる量のデータがストレージ アカウントから抽出されました) (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
このストレージ コンテナーの最近のアクティビティと比較して、異常に大量のデータが抽出されたことを示します。 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーから大量のデータを抽出したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2 |
窃盗 | 高い/低い |
| Unusual application accessed a storage account (通常とは異なるアプリケーションがストレージ アカウントにアクセスしました) (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
通常とは異なるアプリケーションがこのストレージ アカウントにアクセスしたことを示します。 原因として考えられるのは、攻撃者が新しいアプリケーションを使用して、ご自分のストレージ アカウントにアクセスしたことです。 適用対象:Azure Blob Storage、Azure Files |
実行 | 高/中 |
| Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるデータの探索) (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
ストレージ アカウント内の BLOB またはコンテナーが、このアカウントでの最近のアクティビティと比較して、通常と異なる方法で列挙されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files |
実行 | 高/中 |
| Unusual deletion in a storage account (ストレージ アカウントでの通常と異なる削除) (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
このストレージ アカウントでの最近のアクティビティと比較して、アカウントで予期しない 1 つ以上の削除操作が発生したことを示します。 原因として考えられるのは、攻撃者がストレージ アカウントからデータを削除したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2 |
窃盗 | 高/中 |
Azure Cosmos DB のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Tor 出口ノードからのアクセス (CosmosDB_TorAnomaly) |
この Azure Cosmos DB アカウントは、Tor (匿名化プロキシ) のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 | 初期アクセス | 高/中 |
| 疑わしい IP からのアクセス (CosmosDB_SuspiciousIp) |
この Azure Cosmos DB アカウントは、Microsoft 脅威インテリジェンスによって脅威として識別された IP アドレスから正常にアクセスされました。 | 初期アクセス | Medium |
| 通常とは異なる場所からのアクセス (CosmosDB_GeoAnomaly) |
この Azure Cosmos DB アカウントは、通常のアクセス パターンから見て、未知の場所からアクセスされました。 脅威アクターがアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。 |
初期アクセス | 低 |
| 異常に大容量のデータの抽出 (CosmosDB_DataExfiltrationAnomaly) |
この Azure Cosmos DB アカウントから大量のデータが抽出されています。 これは、脅威アクターがデータを抜き通ったことを示している可能性があります。 | 窃盗 | Medium |
| 悪意のある可能性があるスクリプトを使用した Azure Cosmos DB アカウント キーの抽出 (CosmosDB_SuspiciousListKeys.MaliciousScript) |
サブスクリプションで PowerShell スクリプトが実行され、サブスクリプションの Azure Cosmos DB アカウント キーを取得するために、疑わしいパターンのキー リスト操作が実行されました。 脅威アクターは、Microburst などの自動化されたスクリプトを使用して、キーを一覧表示し、アクセスできる Azure Cosmos DB アカウントを見つけ出します。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境内の Azure Cosmos DB アカウントを侵害しようとしていることを示している可能性があります。 または、悪意のある内部関係者が機微なデータにアクセスし、横移動を試みている可能性があります。 |
コレクション | 高 |
| Azure Cosmos DB アカウント キーの疑わしい抽出 (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | 疑わしいソースによって、サブスクリプションから Azure Cosmos DB アカウント アクセス キーが抽出されました。 このソースが正当なソースでない場合は、これは影響の大きい問題である可能性があります。 抽出されたアクセス キーは、関連するデータベースと、その中の格納データを完全に制御します。 ソースが疑わしいとフラグ付けされた理由を理解するには、各特定のアラートの詳細を参照してください。 | 資格情報アクセス | high |
| SQL インジェクション: データ流出の可能性 (CosmosDB_SqlInjection.DataExfiltration) |
この Azure Cosmos DB アカウントのコンテナーを照会するために、疑わしい SQL ステートメントが使用されました。 挿入されたステートメントは、脅威アクターがアクセスを許可されていないデータの流出に成功している可能性があります。 Azure Cosmos DB クエリの構造と機能により、Azure Cosmos DB アカウントに対する多くの既知の SQL インジェクション攻撃は動作しません。 しかし、この攻撃で使用されるバリエーションは機能する可能性があり、脅威アクターはデータを抜き取ることができます。 |
窃盗 | Medium |
| SQL インジェクション: ファジングの試行 (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
この Azure Cosmos DB アカウントのコンテナーを照会するために、疑わしい SQL ステートメントが使用されました。 他の既知の SQL インジェクション攻撃と同様に、この攻撃は Azure Cosmos DB アカウントを侵害しても成功しません。 それでも、脅威アクターがこのアカウントのリソースを攻撃しようとしており、アプリケーションが侵害される可能性があることを示しています。 一部の SQL インジェクション攻撃は成功し、データを抜き取るために使用されることがあります。 これは、攻撃者が SQL インジェクションの試行を続けた場合、Azure Cosmos DB アカウントを侵害し、データを抜き取ることができる可能性があることを意味します。 この脅威を回避するには、パラメーター化されたクエリを使用します。 |
攻撃前 | Low |
Azure ネットワーク レイヤーのアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました) (Network_CommunicationWithC2) |
ネットワーク トラフィック分析で、ご使用のマシン (IP %{Victim IP}) がコマンド アンド コントロール センターの可能性がある対象と通信していることが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしいアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが、コマンド アンド コントロール センターの可能性がある対象と通信していることを示している可能性があります。 | コマンドと制御 | Medium |
| Possible compromised machine detected (侵害された可能性のあるマシンが検出されました) (Network_ResourceIpIndicatedAsMalicious) |
脅威インテリジェンスは、ご使用のマシン (IP% {Machine IP}) が Conficker タイプのマルウェアによって侵害された可能性があることを示しています。 Conficker は、Microsoft Windows オペレーティング システムをターゲットにしたコンピューター ワームで、2008 年 11 月に初めて検出されました。 Conficker は、200 以上の国/地域で政府、企業、および自宅のコンピューターを含む何百万台ものコンピューターに感染し、2003 年の Welchia ワーム以来最大のコンピューター ワーム感染として知られるようになりました。 | コマンドと制御 | Medium |
| Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルート フォース攻撃を受信した可能性が検出されました) (Generic_Incoming_BF_OneToOne) |
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への %{Service Name} 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Victim Port} での不審なアクティビティが示されています。 このアクティビティは、%{Service Name} サーバーに対するブルート フォース攻撃の試行と一致しています。 | 攻撃前 | Medium |
| Possible incoming SQL brute force attempts detected (SQL ブルート フォース攻撃が試行された可能性が検出されました) (SQL_Incoming_BF_OneToOne) |
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への SQL 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Port Number} (%{SQL Service Type}) での不審なアクティビティが示されています。 このアクティビティは、SQL サーバーに対するブルート フォース攻撃の試行と一致しています。 | 攻撃前 | Medium |
| Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました) (DDOS) |
ネットワーク トラフィック分析により、デプロイ内のリソース %{Compromised Host} からの異常な送信アクティビティが検出されました。 このアクティビティは、リソースが侵害され、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしいアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが侵害されていることを示している可能性があります。 接続の量から、次の IP が DOS 攻撃のターゲットになっている可能性があると考えられます: %{Possible Victims}。 これらの IP の一部への通信は正当なものである可能性があることに注意してください。 | 影響 | Medium |
| 複数のソースからの疑わしい着信 RDP ネットワーク アクティビティ (RDP_Incoming_BF_ManyToOne) |
ネットワーク トラフィック分析により、複数のソースから、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常なリモート デスクトップ プロトコル (RDP) 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (ボットネット) から RDP エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 | 攻撃前 | Medium |
| 疑わしい着信 RDP ネットワーク アクティビティ (RDP_Incoming_BF_OneToOne) |
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常なリモート デスクトップ プロトコル (RDP) 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、RDP エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 | 攻撃前 | Medium |
| 複数のソースからの疑わしい着信 SSH ネットワーク アクティビティ (SSH_Incoming_BF_ManyToOne) |
ネットワーク トラフィック分析により、複数のソースから、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な SSH 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (ボットネット) から SSH エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 | 攻撃前 | Medium |
| 疑わしい着信 SSH ネットワーク アクティビティ (SSH_Incoming_BF_OneToOne) |
ネットワーク トラフィック分析により、%{Attacker IP} から、ご使用のリソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な SSH 通信を受信したことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、SSH エンド ポイントに対するブルート フォース攻撃の試行を示している可能性があります。 | 攻撃前 | Medium |
| Suspicious outgoing %{Attacked Protocol} traffic detected (疑わしい %{Attacked Protocol} の送信トラフィックが検出されました) (PortScanning) |
ネットワーク トラフィック分析で、%{Compromised Host} から宛先ポート %{Most Common Port} への疑わしい送信トラフィックが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作は、リソースが %{Attacked Protocol} のブルート フォース試行やポート スイープ攻撃に参加していることを示している可能性があります。 | 探索 | Medium |
| 複数の送信元への疑わしい発信 RDP ネットワーク アクティビティ (RDP_Outgoing_BF_OneToMany) |
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から複数の宛先に、異常なリモート デスクトップ プロトコル (RDP) 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のマシンが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の RDP エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 | 探索 | 高 |
| 疑わしい発信 RDP ネットワーク アクティビティ (RDP_Outgoing_BF_OneToOne) |
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から %{Victim IP} に、異常なリモート デスクトップ プロトコル (RDP) 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、コンピューターが侵害され、現在、外部の RDP エンド ポイントのブルート フォース攻撃に使用されていることを示す可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 | 侵入の拡大 | 高 |
| 複数の送信先への疑わしい発信 SSH ネットワーク アクティビティ (SSH_Outgoing_BF_OneToMany) |
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から複数の宛先に、異常な SSH 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の SSH エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 | 探索 | Medium |
| 疑わしい発信 SSH ネットワーク アクティビティ (SSH_Outgoing_BF_OneToOne) |
ネットワーク トラフィックの分析で、デプロイ内のリソース %{Compromised Host} (%{Attacker IP}) から %{Victim IP} に、異常な SSH 通信が発信されたことが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、ご使用のリソースが侵害され、現在、外部の SSH エンド ポイントのブルート フォース攻撃に使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。 | 侵入の拡大 | Medium |
| Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました) | Microsoft Defender for Cloud によって、ブロックすることが推奨されている IP アドレスからの受信トラフィックが検出されました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 | プローブ | 低 |
Azure Key Vault のアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| Access from a suspicious IP address to a key vault (疑わしい IP アドレスからのキー コンテナーへのアクセス) (KV_SuspiciousIPAccess) |
キー コンテナーが、Microsoft 脅威インテリジェンスによって疑わしい IP アドレスとして識別された IP によって正常にアクセスされました。 これは、お使いのインフラストラクチャが侵害を受けたことを示しているおそれがあります。 さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 | 資格情報アクセス | Medium |
| Access from a TOR exit node to a key vault (TOR 出口ノードからキー コンテナーへのアクセス) (KV_TORAccess) |
キー コンテナーが既知の TOR 出口ノードからアクセスされました。 これは、脅威アクターがキー コンテナーにアクセスし、TOR ネットワークを使用してそのソースの場所を隠していることを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| High volume of operations in a key vault (キー コンテナーでの大量の操作) (KV_OperationVolumeAnomaly) |
ユーザー、サービス プリンシパル、または特定のキー コンテナーによって、異常な数のキー コンテナー操作が実行されました。 この異常なアクティビティ パターンは正当である場合もあるものの、脅威アクターがキー コンテナーとそれに含まれているシークレットにアクセスできるようになったことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| Suspicious policy change and secret query in a key vault (キー コンテナーでの不審なポリシー変更とシークレット クエリ) (KV_PutGetAnomaly) |
ユーザーまたはサービス プリンシパルが、異常な Vault Put ポリシー変更操作と、1 つ以上の Secret Get 操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはありません。 これは正当なアクティビティである場合もありますが、脅威アクターが以前はアクセスできなかったシークレットにアクセスするために、キー コンテナー ポリシーを更新したことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| Suspicious secret listing and query in a key vault (キー コンテナーでの不審なシークレット一覧取得とクエリ) (KV_ListGetAnomaly) |
ユーザーまたはサービス プリンシパルが、異常な Secret List 操作と、1 つ以上の Secret Get 操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはなく、普通はシークレット ダンプに関連付けられています。 これは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに既にアクセスし、ネットワークを横移動したり、機密性の高いリソースへのアクセスを取得したりするために使用できるシークレットを発見しようとしていることを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| 異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました (KV_AccountVolumeAccessDeniedAnomaly) |
ユーザーまたはサービス プリンシパルが過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 | 探索 | 低 |
| 異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました (KV_UserAccessDeniedAnomaly) |
通常はアクセスしないユーザーがキー コンテナーへのアクセスを試みましたが、この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 | 初期アクセス、探索 | 低 |
| Unusual application accessed a key vault (異常なアプリケーションによるキー コンテナーへのアクセス) (KV_AppAnomaly) |
キー コンテナーが、通常はアクセスすることのないサービス プリンシパルによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| Unusual operation pattern in a key vault (キー コンテナーでの異常な操作パターン) (KV_OperationPatternAnomaly) |
ユーザー、サービス プリンシパル、または特定のキー コンテナーによって、異常なパターンのキー コンテナー操作が実行されました。 この異常なアクティビティ パターンは正当である場合もあるものの、脅威アクターがキー コンテナーとそれに含まれているシークレットにアクセスできるようになったことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| Unusual user accessed a key vault (異常なユーザーによるキー コンテナーへのアクセス) (KV_UserAnomaly) |
キー コンテナーが、通常はアクセスすることのないユーザーによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセス) (KV_UserAppAnomaly) |
キー コンテナーが、通常はアクセスすることのないユーザーとサービス プリンシパルのペアによってアクセスされました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、キー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| User accessed high volume of key vaults (ユーザーによる大量のキー コンテナーへのアクセス) (KV_AccountVolumeAnomaly) |
ユーザーまたはサービス プリンシパルが、異常な数のキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである場合もありますが、脅威アクターがキー コンテナーに含まれているシークレットにアクセスしようとして、複数のキー コンテナーにアクセスしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
| 疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました (KV_SuspiciousIPAccessDenied) |
Microsoft 脅威インテリジェンスによって疑わしい IP アドレスとして識別された IP からキー コンテナーへのアクセスが試行され失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | 低 |
Azure DDoS Protection のアラート
| アラート: | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| DDoS Attack detected for Public IP (パブリック IP に対する DDoS 攻撃が検出されました) | パブリック IP (IP アドレス) に対する DDoS 攻撃が検出されましたが、軽減策が実施されています。 | プローブ | 高 |
| DDoS Attack mitigated for Public IP (パブリック IP に対する DDoS 攻撃の軽減策が実施されました) | パブリック IP (IP アドレス) に対する DDoS 攻撃の軽減策が実施されました。 | プローブ | 低 |
セキュリティ インシデント アラート
| アラート: | 説明 | MITRE の方針 (詳細はこちら) |
重大度 |
|---|---|---|---|
| 共有プロセスに関連するセキュリティ インシデントが検出されました | {開始時刻 (UTC)} に開始し、最近 {検出された時刻 (UTC)} に検出されたこのインシデントは、攻撃者がリソース {ホスト} に対して {実行したアクション} したことを示しています | - | 高 |
| 複数のリソースでセキュリティ インシデントが検出されました | {開始時刻 (UTC)} に開始し、最近 {検出された時刻 (UTC)} に検出されたこのインシデントは、クラウド リソース {ホスト} に対して類似した攻撃方法が実行されたことを示しています | - | 中間 |
| 同じソースからセキュリティ インシデントが検出されました | {開始時刻 (UTC)} に開始し、最近 {検出された時刻 (UTC)} に検出されたこのインシデントは、攻撃者がリソース {ホスト} に対して {実行したアクション} したことを示しています | - | 高 |
| 複数のマシンでセキュリティ インシデントが検出されました | {開始時刻 (UTC)} に開始し、最近 {検出された時刻 (UTC)} に検出されたこのインシデントは、攻撃者がリソース {ホスト} に対して {実行したアクション} したことを示しています | - | 中間 |
MITRE ATT&CK の方針
攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの作業を支援するために、Microsoft Defender for Cloud alerts には多くのアラートがある MITRE 戦術が含まれています。
偵察からデータ窃盗までのサイバー攻撃の流れを説明する一連の手順は、"キル チェーン" と呼ばれることがよくあります。
Defender for Cloud でサポートされているキル チェーンの意図を次の表に示します。これらは、MITRE ATT&CK マトリックスのバージョン 9 に基づいています。
| 方針 | ATT&CK バージョン | 説明 |
|---|---|---|
| 攻撃前 | 攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、このステップは、ネットワークの外部から開始された、ターゲット システムをスキャンしてエントリ ポイントを識別するための試行として検出されます。 | |
| 初期アクセス | V7、V9 | 初期アクセスは、攻撃者がリソースを攻撃するために足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。多くの場合、脅威アクターは、この段階の後でリソースを制御できます。 |
| 永続化 | V7、V9 | 永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。 多くの場合、脅威アクターは、アクセスを回復するための代替バックドアを再起動または提供するためにリモート アクセス ツールを必要とする、システムの再起動、資格情報の損失、その他の障害などの中断によって、システムへのアクセスを維持する必要があります。 |
| 特権エスカレーション | V7、V9 | 特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 敵対者が目的を達成するために必要な特定のシステムにアクセスしたり、特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされることがあります。 |
| 防御回避 | V7、V9 | 防御回避には、敵対者が検出を回避したり、他の防御を回避したりするために使用できる技法が含まれます。 これらのアクションは、特定の防御または軽減策を破壊する追加の利点がある他のカテゴリの手法と同じ (またはそのバリエーション) である場合があります。 |
| 資格情報へのアクセス | V7、V9 | 資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。 |
| 検出 | V7、V9 | 検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者は、新しいシステムへのアクセスを取得するとき、制御できるようになったもの、およびそのシステムから操作する利点から、侵入の間の現在の目標または全体的な目標が得られるものを確認する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。 |
| 横移動 | V7、V9 | 横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 ラテラル ムーブメントの手法により、敵対者は、リモート アクセス ツールなどの他のツールを必要とせずに、システムから情報を収集することができます。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、より多くの資格情報へのアクセス、影響の実現など、さまざまな目的にラテラル ムーブメントを使用できます。 |
| 実行 | V7、V9 | 実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせて使用されることがよくあります。 |
| コレクション | V7、V9 | コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| コマンドとコントロール | V7、V9 | 指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。 |
| 窃盗 | V7、V9 | 窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| 影響 | V7、V9 | 影響イベントでは、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。 多くの場合、ランサムウェア、改ざん、データ操作などの手法が使用されます。 |
注意
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
非推奨となる Defender for Servers アラート
次の表に、2023 年 4 月に非推奨となる Defender for Servers セキュリティ アラートを示します。
非推奨となる Linux アラート
| Alert Type | アラートの表示名 | Severity |
|---|---|---|
| VM.Windows_KnownCredentialAccessTools | 疑わしいプロセスの実行 | 高 |
| VM.Windows_SuspiciousAccountCreation | Suspicious Account Creation Detected (疑わしいアカウント作成が検出されました) | Medium |
| VM_AbnormalDaemonTermination | 異常終了 | 低 |
| VM_BinaryGeneratedFromCommandLine | Suspicious binary detected (疑わしいバイナリが検出されました) | Medium |
| VM_CommandlineSuspectDomain | Suspicious domain name reference (疑わしいドメイン名参照) | 低 |
| VM_CommonBot | 一般的な Linux ボットに似た動作が検出されました | Medium |
| VM_CompCommonBots | Commands similar to common Linux bots detected (一般的な Linux ボットに似たコマンドが検出されました) | Medium |
| VM_CompSuspiciousScript | Shell Script Detected (シェル スクリプトが検出されました) | Medium |
| VM_CompTestRule | Composite Analytic Test Alert (複合分析テスト アラート) | 低 |
| VM_CronJobAccess | Manipulation of scheduled tasks detected (スケジュールされたタスクの操作が検出されました) | Informational |
| VM_CryptoCoinMinerArtifacts | Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました) | Medium |
| VM_CryptoCoinMinerDownload | Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました) | Medium |
| VM_CryptoCoinMinerExecution | 暗号化コイン マイナーが起動された可能性があります | Medium |
| VM_DataEgressArtifacts | Possible data exfiltration detected (データ流出の可能性が検出されました) | Medium |
| VM_DigitalCurrencyMining | Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) | 高 |
| VM_DownloadAndRunCombo | 不審なダウンロードして実行のアクティビティ | Medium |
| VM_EICAR | Microsoft Defender for Cloud test alert (not a threat) (Microsoft Defender for Cloud のテスト アラート (脅威ではありません)) | 高 |
| VM_ExecuteHiddenFile | Execution of hidden file (隠しファイルの実行) | Informational |
| VM_ExploitAttempt | コマンド ラインの悪用試行の可能性があります | Medium |
| VM_ExposedDocker | TCP ソケットでの公開 Docker デーモン | Medium |
| VM_FairwareMalware | Fairware ランサムウェアに似た動作が検出されました | Medium |
| VM_FirewallDisabled | Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました) | Medium |
| VM_HadoopYarnExploit | Possible exploitation of Hadoop Yarn (Hadoop Yarn の悪用の可能性) | Medium |
| VM_HistoryFileCleared | 履歴ファイルが消去されました | Medium |
| VM_KnownLinuxAttackTool | Possible attack tool detected (攻撃ツールの可能性が検出されました) | Medium |
| VM_KnownLinuxCredentialAccessTool | Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました) | Medium |
| VM_KnownLinuxDDoSToolkit | Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました) | Medium |
| VM_KnownLinuxScreenshotTool | Screenshot taken on host (ホストでスクリーンショットが作成されました) | 低 |
| VM_LinuxBackdoorArtifact | バックドアの可能性が検出されました | Medium |
| VM_LinuxReconnaissance | ローカル ホスト偵察が検出されました | Medium |
| VM_MismatchedScriptFeatures | Script extension mismatch detected (スクリプト拡張子の不一致が検出されました) | Medium |
| VM_MitreCalderaTools | MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました) | Medium |
| VM_NewSingleUserModeStartupScript | Detected Persistence Attempt (永続化の試行が検出されました) | Medium |
| VM_NewSudoerAccount | Account added to sudo group (sudo グループにアカウントが追加されました) | 低 |
| VM_OverridingCommonFiles | 共通ファイルの潜在的な上書き | Medium |
| VM_PrivilegedContainerArtifacts | コンテナーが特権モードで実行されています | 低 |
| VM_PrivilegedExecutionInContainer | コンテナー内でコマンドが高い特権で実行されています | 低 |
| VM_ReadingHistoryFile | Unusual access to bash history file (bash 履歴ファイルへの通常とは異なるアクセス) | Informational |
| VM_ReverseShell | Potential reverse shell detected (リバース シェルの可能性が検出されました) | Medium |
| VM_SshKeyAccess | Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました) | 低 |
| VM_SshKeyAddition | New SSH key added (新しい SSH キーが追加されました) | 低 |
| VM_SuspectCompilation | 不審なコンパイルが検出されました | Medium |
| VM_SuspectConnection | 一般的でない接続試行が検出されました | Medium |
| VM_SuspectDownload | Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました) | Medium |
| VM_SuspectDownloadArtifacts | Detected suspicious file download (疑わしいファイルのダウンロードが検出されました) | 低 |
| VM_SuspectExecutablePath | Executable found running from a suspicious location (疑わしい場所から実行されている実行可能ファイルが見つかりました) | Medium |
| VM_SuspectHtaccessFileAccess | htaccess ファイルへのアクセスが検出されました | Medium |
| VM_SuspectInitialShellCommand | Suspicious first command in shell (シェルでの不審な最初のコマンド) | 低 |
| VM_SuspectMixedCaseText | Detected anomalous mix of uppercase and lowercase characters in command line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました) | Medium |
| VM_SuspectNetworkConnection | Suspicious network connection (疑わしいネットワーク接続) | Informational |
| VM_SuspectNohup | nohup コマンドの疑わしい使用が検出されました | Medium |
| VM_SuspectPasswordChange | crypt メソッドを使用してパスワードが変更された可能性があることが検出されました | Medium |
| VM_SuspectPasswordFileAccess | Suspicious password access (不審なパスワード アクセス) | Informational |
| VM_SuspectPhp | Suspicious PHP execution detected (疑わしい PHP の実行が検出されました) | Medium |
| VM_SuspectPortForwarding | Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります) | Medium |
| VM_SuspectProcessAccountPrivilegeCombo | Process running in a service account became root unexpectedly (サービス アカウントで実行されているプロセスが、予期せずルートになりました) | Medium |
| VM_SuspectProcessTermination | Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました) | 低 |
| VM_SuspectUserAddition | useradd コマンドの疑わしい使用が検出されました | Medium |
| VM_SuspiciousCommandLineExecution | Suspicious command execution (不審なコマンドの実行) | 高 |
| VM_SuspiciousDNSOverHttps | DNS over HTTPS の不審な使用 | Medium |
| VM_SystemLogRemoval | Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました) | Medium |
| VM_ThreatIntelCommandLineSuspectDomain | A possible connection to malicious location has been detected (悪意のある場所への接続の可能性が検出されました) | Medium |
| VM_ThreatIntelSuspectLogon | A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました) | 高 |
| VM_TimerServiceDisabled | Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました) | Informational |
| VM_TimestampTampering | Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更) | 低 |
| VM_Webshell | Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました) | Medium |
非推奨となる Windows アラート
| Alert Type | アラートの表示名 | Severity |
|---|---|---|
| SCUBA_MULTIPLEACCOUNTCREATE | Suspicious creation of accounts on multiple hosts (複数のホストでのアカウントの疑わしい作成) | Medium |
| SCUBA_PSINSIGHT_CONTEXT | Suspicious use of PowerShell detected (PowerShell の疑わしい使用が検出されました) | Informational |
| SCUBA_RULE_AddGuestToAdministrators | Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加) | Medium |
| SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | Medium |
| SCUBA_RULE_KnownBruteForcingTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_KnownCollectionTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_KnownDefenseEvasionTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_KnownExecutionTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_KnownPassTheHashTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_KnownSpammingTools | 疑わしいプロセスの実行 | Medium |
| SCUBA_RULE_Lowering_Security_Settings | Detected the disabling of critical services (重要なサービスの無効化が検出されました) | Medium |
| SCUBA_RULE_OtherKnownHackerTools | 疑わしいプロセスの実行 | 高 |
| SCUBA_RULE_RDP_session_hijacking_via_tscon | Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル) | Medium |
| SCUBA_RULE_RDP_session_hijacking_via_tscon_service | Suspect service installation (不審なサービスのインストール) | Medium |
| SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました) | 低 |
| SCUBA_RULE_WDigest_Enabling | Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました) | Medium |
| VM.Windows_ApplockerBypass | Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました) | 高 |
| VM.Windows_BariumKnownSuspiciousProcessExecution | Detected suspicious file creation (疑わしいファイルの作成が検出されました) | 高 |
| VM.Windows_Base64EncodedExecutableInCommandLineParams | Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました) | 高 |
| VM.Windows_CalcsCommandLineUse | Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の疑わしい使用が検出されました) | Medium |
| VM.Windows_CommandLineStartingAllExe | Detected suspicious command line used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される疑わしいコマンドラインが検出されました) | Medium |
| VM.Windows_DisablingAndDeletingIISLogFiles | Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました) | Medium |
| VM.Windows_DownloadUsingCertutil | Suspicious download using Certutil detected (Certutil を使用した疑わしいダウンロード) | Medium |
| VM.Windows_EchoOverPipeOnLocalhost | Detected suspicious named pipe communications (疑わしい名前付きパイプ通信が検出されました) | 高 |
| VM.Windows_EchoToConstructPowerShellScript | Dynamic PowerShell script construction (動的 PowerShell スクリプトの構築) | Medium |
| VM.Windows_ExecutableDecodedUsingCertutil | Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました) | Medium |
| VM.Windows_FileDeletionIsSospisiousLocation | Suspicious file deletion detected (疑わしいファイルの削除が検出されました) | Medium |
| VM.Windows_KerberosGoldenTicketAttack | Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました) | Medium |
| VM.Windows_KeygenToolKnownProcessName | Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました) Suspicious process executed (疑わしいプロセスが実行されました) | Medium |
| VM.Windows_KnownSuspiciousPowerShellScript | Suspicious use of PowerShell detected (PowerShell の疑わしい使用が検出されました) | 高 |
| VM.Windows_KnownSuspiciousSoftwareInstallation | High risk software detected (危険度の高いソフトウェアが検出されました) | Medium |
| VM.Windows_MsHtaAndPowerShellCombination | Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の疑わしい組み合わせが検出されました) | Medium |
| VM.Windows_MultipleAccountsQuery | Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました) | Medium |
| VM.Windows_NewAccountCreation | Account creation detected (アカウントの作成が検出されました) | Informational |
| VM.Windows_ObfuscatedCommandLine | Detected obfuscated command line (難読化されたコマンド ラインが検出されました) | 高 |
| VM.Windows_PcaluaUseToLaunchExecutable | Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の疑わしい使用が検出されました) | Medium |
| VM.Windows_PetyaRansomware | 検出された Petya ランサムウェア インジケーター | 高 |
| VM.Windows_PowerShellPowerSploitScriptExecution | Suspicious PowerShell cmdlets executed (疑わしい PowerShell コマンドレットが実行されました) | Medium |
| VM.Windows_RansomwareIndication | Ransomware indicators detected (ランサムウェア インジケーターが検出されました) | 高 |
| VM.Windows_SqlDumperUsedSuspiciously | Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示]) | Medium |
| VM.Windows_StopCriticalServices | Detected the disabling of critical services (重要なサービスの無効化が検出されました) | Medium |
| VM.Windows_SubvertingAccessibilityBinary | Sticky keys attack detected (固定キー攻撃が検出されました) Suspicious account creation detected Medium (疑わしいアカウント作成が検出されました (中)) |
|
| VM.Windows_SuspiciousFirewallRuleAdded | Detected suspicious new firewall rule (疑わしい新しいファイアウォール規則が検出されました) | Medium |
| VM.Windows_SuspiciousFTPSSwitchUsage | Detected suspicious use of FTP -s switch (FTP -s スイッチの疑わしい使用が検出されました) | Medium |
| VM.Windows_SuspiciousSQLActivity | Suspicious SQL activity (疑わしい SQL アクティビティ) | Medium |
| VM.Windows_SVCHostFromInvalidPath | 疑わしいプロセスの実行 | 高 |
| VM.Windows_SystemEventLogCleared | The Windows Security log was cleared (Windows セキュリティ ログがクリアされました) | Informational |
| VM.Windows_TelegramInstallation | Detected potentially suspicious use of Telegram tool (Telegram ツールの疑わしい可能性がある使用方法が検出されました) | Medium |
| VM.Windows_UndercoverProcess | Suspiciously named process detected (疑わしい名前が付けられたプロセスが検出されました) | 高 |
| VM.Windows_UserAccountControlBypass | Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました) | Medium |
| VM.Windows_VBScriptEncoding | Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの疑わしい実行が検出されました) | Medium |
| VM.Windows_WindowPositionRegisteryChange | Suspicious WindowPosition registry value detected (疑わしい WindowPosition レジストリ値が検出されました) | 低 |
| VM.Windows_ZincPortOpenningUsingFirewallRule | Malicious firewall rule created by ZINC server implant (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則) | 高 |
| VM_DigitalCurrencyMining | Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました) | 高 |
| VM_MaliciousSQLActivity | Malicious SQL activity (悪意のある SQL アクティビティ) | 高 |
| VM_ProcessWithDoubleExtensionExecution | 疑わしい二重の拡張子のファイルが実行されました | 高 |
| VM_RegistryPersistencyKey | Windows registry persistence method detected (Windows レジストリ永続性メソッドが検出されました) | 低 |
| VM_ShadowCopyDeletion | 疑わしいボリューム シャドウ コピー アクティビティ Executable found running from a suspicious location (疑わしい場所から実行されている実行可能ファイルが見つかりました) |
高 |
| VM_SuspectExecutablePath | Executable found running from a suspicious location (疑わしい場所から実行されている実行可能ファイルが見つかりました) Detected anomalous mix of uppercase and lowercase characters in command line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました) |
Informational Medium |
| VM_SuspectPhp | Suspicious PHP execution detected (疑わしい PHP の実行が検出されました) | Medium |
| VM_SuspiciousCommandLineExecution | Suspicious command execution (不審なコマンドの実行) | 高 |
| VM_SuspiciousScreenSaverExecution | Suspicious Screensaver process executed (疑わしいスクリーンセーバー プロセスが実行されました) | Medium |
| VM_SvcHostRunInRareServiceGroup | Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました) | Informational |
| VM_SystemProcessInAbnormalContext | Suspicious system process executed (疑わしいシステム プロセスが実行されました) | Medium |
| VM_ThreatIntelCommandLineSuspectDomain | A possible connection to malicious location has been detected (悪意のある場所への接続の可能性が検出されました) | Medium |
| VM_ThreatIntelSuspectLogon | A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました) | 高 |
| VM_VbScriptHttpObjectAllocation | VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました) | 高 |
次のステップ
Microsoft Defender for Cloud のセキュリティ アラートの詳細については、以下を参照してください。