セキュリティ アラート - リファレンス ガイド

この記事では、Microsoft Defender for Cloud から取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

このページの下部には、 MITRE ATT&CK マトリックスのバージョン 9 に沿った Microsoft Defender for Cloud キル チェーンについて説明する表。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Windows マシンのアラート

Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Windows マシンに対して提供されるアラートは次のとおりです。

詳細な説明と注意

A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)。 [複数回表示]

説明: アカウント [アカウント] とプロセス [プロセス] のリモート認証が正常に行われましたが、ログオン IP アドレス (x.x.x.x) は以前に悪意のある、または非常に珍しいと報告されていました。 攻撃が成功した可能性があります。 .scr 拡張子を持つファイルはスクリーンセーバー ファイルで、通常は Windows システム ディレクトリに常駐しており、そこから実行されます。

MITRE の戦術: -

重大度: 高

適応型アプリケーション制御ポリシー違反が監査されました

VM_AdaptiveApplicationControlWindowsViolationAudited

説明: 次のユーザーは、このコンピューターで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。

MITRE の戦術: 実行

重大度: 情報

Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加)

説明: ホスト データの分析により、攻撃者のアクティビティに強く関連する %{Compromised Host} のローカル管理者グループに組み込みのゲスト アカウントが追加されたことが検出されました。

MITRE の戦術: -

重大度: 中

An event log was cleared (イベント ログが消去されました)

説明: マシン ログは、ユーザーによる疑わしいイベント ログのクリア操作を示します。マシンの '%{user name}' : '%{CompromisedEntity}'。 %{log channel} ログが消去されました。

MITRE の戦術: -

重大度: 情報

Antimalware Action Failed (マルウェア対策アクションが失敗しました)

説明: マルウェアやその他の望ましくない可能性のあるソフトウェアに対してアクションを実行するときに、Microsoft マルウェア対策でエラーが発生しました。

MITRE の戦術: -

重大度: 中

Antimalware Action Taken (マルウェア対策アクションが実行されました)

説明: Microsoft Antimalware for Azure は、このマシンをマルウェアやその他の望ましくない可能性のあるソフトウェアから保護するためのアクションを実行しました。

MITRE の戦術: -

重大度: 中

Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)

(VM_AmBroadFilesExclusion)

説明: 広範な除外ルールを持つマルウェア対策拡張機能からのファイルの除外は、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE の戦術: -

重大度: 中

Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)

(VM_AmDisablementAndCodeExecution)

説明: 仮想マシンでのコード実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。

MITRE の戦術: -

重大度: 高

Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)

(VM_AmDisablement)

説明: 仮想マシンでマルウェア対策が無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)

(VM_AmFileExclusionAndCodeExecution)

説明: 仮想マシン上のカスタム スクリプト拡張機能を使用してコードが実行されたのと同時に、マルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避、実行

重大度: 高

Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)

(VM_AmTempFileExclusionAndCodeExecution)

説明: カスタム スクリプト拡張機能を使用したコードの実行と並行してマルウェア対策拡張機能からの一時ファイルの除外が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避、実行

重大度: 高

Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)

(VM_AmTempFileExclusion)

説明: 仮想マシン上のマルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)

(VM_AmRealtimeProtectionDisabled)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)

(VM_AmTempRealtimeProtectionDisablement)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護の一時的な無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)

(VM_AmRealtimeProtectionDisablementAndCodeExec)

説明: カスタム スクリプト拡張機能を使用したコード実行と並行して、マルウェア対策拡張機能のリアルタイム保護の一時的な無効化が、サブスクリプションの Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE の戦術: -

重大度: 高

Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)

(VM_AmMalwareCampaignRelatedExclusion)

説明: マルウェアキャンペーンに関連していると疑われる特定のファイルをマルウェア対策拡張機能がスキャンするのを防ぐために、仮想マシンで除外ルールが検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)

(VM_AmTemporarilyDisablement)

説明: 仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。

MITRE の戦術: -

重大度: 中

Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)

(VM_UnusualAmFileExclusion)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能からの異常なファイル除外が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)

(AzureDNS_ThreatIntelSuspectDomain)

説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。

MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用

重大度: 中

Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました)

説明: IIS ログ ファイルが無効または削除されていることを示すホスト データ検出アクションの分析。

MITRE の戦術: -

重大度: 中

Detected anomalous mix of upper and lower case characters in command-line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました)

説明: %{Compromised Host} のホスト データの分析で、大文字と小文字が異常に混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。

MITRE の戦術: -

重大度: 中

Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、UAC (ユーザー アカウント制御) をバイパスするために悪用される可能性のあるレジストリ キーが変更されたことが検出されました。 この種類の構成は、無害な場合もありますが、侵害されたホストで特権なし (標準ユーザー) から特権 (管理者など) アクセスに移行しようとする場合の攻撃者の典型的なアクティビティでもあります。

MITRE の戦術: -

重大度: 中

Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました)

説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、組み込みの管理者ユーティリティである certutil.exeが実行可能ファイルのデコードに使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。

MITRE の戦術: -

重大度: 高

Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました)

説明: ホスト データの分析で、レジストリ キー HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" の変更が検出されました。 具体的には、このキーが、ログオン資格情報をクリア テキストで LSA メモリに格納できるように更新されています。 有効化されると、攻撃者は、Mimikatz などの資格情報収集ツールを使用して、LSA メモリからクリア テキスト パスワードをダンプできます。

MITRE の戦術: -

重大度: 中

Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。

MITRE の戦術: -

重大度: 高

Detected obfuscated command line (難読化されたコマンド ラインが検出されました)

説明: 攻撃者は、ますます複雑な難読化手法を使用して、基になるデータに対して実行される検出を回避します。 %{Compromised Host} 上のホスト データの分析により、コマンドラインで不審な難読化のインジケーターが検出されました。

MITRE の戦術: -

重大度: 情報

Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました)

説明: %{Compromised Host} 上のホスト データの分析により、keygen ツールを示す名前のプロセスの実行が検出されました。このようなツールは通常、ソフトウェア ライセンス メカニズムを打ち負かすために使用されますが、ダウンロードは多くの場合、他の悪意のあるソフトウェアにバンドルされています。 アクティビティ グループ GOLD は、このような keygen を利用して、侵害したホストへのバック ドア アクセスを極秘に獲得することで知られています。

MITRE の戦術: -

重大度: 中

Detected possible execution of malware dropper (マルウェア ドロッパーが実行された可能性が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、以前にアクティビティ グループ GOLD のマルウェアを対象ホストにインストールする方法のいずれかに関連付けられているファイル名が検出されました。

MITRE の戦術: -

重大度: 高

Detected possible local reconnaissance activity (ローカル偵察アクティビティの可能性が検出されました)

説明: %{Compromised Host} でのホスト データの分析により、以前にアクティビティ グループ GOLD の偵察アクティビティを実行する方法の 1 つに関連付けられた systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、ここで行われたように、2 回連続して実行されることはめったにありません。

MITRE の戦術: -

重大度: 低

Detected potentially suspicious use of Telegram tool (Telegram ツールの不審な可能性がある使用方法が検出されました)

説明: ホスト データの分析では、モバイルシステムとデスクトップシステムの両方に存在する無料のクラウドベースのインスタント メッセージング サービスである Telegram のインストールが示されます。 攻撃者がこのサービスを悪用して、悪意のあるバイナリを他のコンピューター、電話、またはタブレットに転送することがわかっています。

MITRE の戦術: -

重大度: 中

Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました)

説明: %{Compromised Host} でのホスト データの分析により、ログオン時に法的通知をユーザーに表示するかどうかを制御するレジストリ キーの変更が検出されました。 Microsoft のセキュリティ分析では、これは攻撃者がホストを侵害した後に行われる一般的なアクティビティであると特定されています。

MITRE の戦術: -

重大度: 低

Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の不審な組み合わせが検出されました)

説明: 署名された Microsoft バイナリであるmshta.exe (Microsoft HTML アプリケーション ホスト) は、攻撃者が悪意のある PowerShell コマンドを起動するために使用されています。 攻撃者は、インライン VBScript が含まれた HTA ファイルをよく使用します。 被害者がその HTA ファイルを参照して実行することを選択すると、そこに含まれている PowerShell コマンドとスクリプトが実行されます。 %{Compromised Host} 上のホスト データの分析により、PowerShell コマンドを起動する mshta.exe が検出されました。

MITRE の戦術: -

重大度: 中

Detected suspicious commandline arguments (不審なコマンドライン引数が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、アクティビティ グループ HYDROGEN によって使用される逆シェルと組み合わせて使用されている疑わしいコマンドライン引数が検出されました。

MITRE の戦術: -

重大度: 高

Detected suspicious commandline used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される不審なコマンドラインが検出されました)

説明: ホスト データの分析で、%{Compromised Host} で実行されている疑わしいプロセスが検出されました。 コマンド ラインは、ディレクトリに存在する可能性があるすべての実行可能ファイル (*.exe) を開始しようとしたことを示します。 これは、侵害されたホストの兆候である可能性があります。

MITRE の戦術: -

重大度: 中

Detected suspicious credentials in commandline (コマンドラインで不審な資格情報が検出されました)

説明: %{Compromised Host} でのホスト データの分析で、アクティビティ グループのボロンによるファイルの実行に使用されている疑わしいパスワードが検出されました。 このアクティビティ グループは、このパスワードを使用して、犠牲ホストで Pirpi マルウェアを実行することが知られています。

MITRE の戦術: -

重大度: 高

Detected suspicious document credentials (不審なドキュメントの資格情報が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、マルウェアがファイルの実行に使用する疑わしい、一般的な事前計算済みパスワード ハッシュが検出されました。 アクティビティ グループ HYDROGEN は、このパスワードを使用して、犠牲ホストでマルウェアを実行することが知られています。

MITRE の戦術: -

重大度: 高

Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの不審な実行が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、VBScript.Encode コマンドの実行が検出されました。 これは、スクリプトを読み取り不可能なテキストにエンコードして、ユーザーがコードを調べることを難しくします。 Microsoft の脅威の研究では、攻撃者は検出システムを回避するため、攻撃の一部としてエンコードされた VBscript ファイルをよく使用することがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。

MITRE の戦術: -

重大度: 中

Detected suspicious execution via rundll32.exe (rundll32.exe による不審な実行が検出されました)

説明: %{Compromised Host} でのホスト データの分析により、一般的でない名前のプロセスの実行に使用rundll32.exeが検出されました。これは、侵害されたホストに第 1 段階のインプラントをインストールするときにアクティビティ グループ GOLD によって以前に使用されていたプロセスの名前付けスキームと一致しています。

MITRE の戦術: -

重大度: 高

Detected suspicious file cleanup commands (不審なファイルのクリーンアップ コマンドが検出されました)

説明: %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD の 1 つの方法に関連付けられていた systeminfo コマンドの組み合わせが検出され、侵害後の自己クリーンアップ アクティビティが実行されました。 'systeminfo.exe' は正規の Windows ツールですが、このように 2 回連続して実行され、その後に削除コマンドが実行されることはめったにありません。

MITRE の戦術: -

重大度: 高

Detected suspicious file creation (不審なファイルの作成が検出されました)

説明: %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ BARIUM によって被害者ホストに対して実行された侵害後のアクションが以前に示されたプロセスの作成または実行が検出されました。 このアクティビティ グループは、この手法を使用して、フィッシング ドキュメントの添付ファイルを開くと、侵害したホストにさらに多くのマルウェアをダウンロードすることで知られています。

MITRE の戦術: -

重大度: 高

Detected suspicious named pipe communications (不審な名前付きパイプ通信が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、Windows コンソール コマンドからローカルの名前付きパイプに書き込まれているデータが検出されました。 名前付きパイプは、攻撃者が悪意のあるインプラントを使用し、通信するために使用されるチャンネルであることがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。

MITRE の戦術: -

重大度: 高

Detected suspicious network activity (不審なネットワーク アクティビティが検出されました)

説明: %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。

MITRE の戦術: -

重大度: 低

Detected suspicious new firewall rule (不審な新しいファイアウォール規則が検出されました)

説明: ホスト データの分析により、疑わしい場所にある実行可能ファイルからのトラフィックを許可するために、netsh.exe経由で新しいファイアウォール規則が追加されたことが検出されました。

MITRE の戦術: -

重大度: 中

Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の不審な使用が検出されました)

説明: 攻撃者はブルート フォース、スピア フィッシングなどの無数の方法を使用して、初期の侵害を達成し、ネットワーク上の足がかりを得ます。 彼らは最初の侵害を達成すると、多くの場合、システムのセキュリティ設定を低くするための手順を実行します。 Caclsâ€"アクセス制御リストの変更の略は、フォルダーとファイルのセキュリティアクセス許可を変更するためによく使用される Microsoft Windows ネイティブコマンドラインユーティリティです。 システムのセキュリティ設定を低くするために、バイナリが攻撃者によって長時間使用されます。 これは、Everyone に、ftp.exe、net.exe、wscript.exe などの一部のシステム バイナリへのフル アクセスを付与することで行われます。%{Compromised Host} 上のホスト データの分析により、システムのセキュリティを低下させるために、Cacls の不審な使用が検出されました。

MITRE の戦術: -

重大度: 中

Detected suspicious use of FTP -s Switch (FTP -s スイッチの不審な使用が検出されました)

説明: %{Compromised Host} からのプロセス作成データの分析で、FTP "-s:filename" スイッチの使用が検出されました。 このスイッチは、クライアントが実行する FTP スクリプト ファイルを指定するために使用されます。 マルウェアまたは悪意のあるプロセスによって、この FTP スイッチ (-s:filename) を使用して、リモート FTP サーバーに接続してさらに多くの悪意のあるバイナリをダウンロードするように構成されているスクリプト ファイルが指定されることが知られています。

MITRE の戦術: -

重大度: 中

Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の不審な使用が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、実行可能コードを起動するためのpcalua.exeの使用が検出されました。 pcalua.exe は、Microsoft Windows の "プログラム互換性アシスタント" のコンポーネントで、プログラムのインストール時または実行時の互換性の問題を検出します。 攻撃者は、正当な Windows システム ツールの機能を悪用して、悪意のあるアクションを実行することが知られています。たとえば、pcalua.exe とともに -a スイッチを使用して、ローカルでまたはリモート共有から悪意のある実行可能ファイルを起動したりします。

MITRE の戦術: -

重大度: 中

Detected the disabling of critical services (重要なサービスの無効化が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、SharedAccess や Windows セキュリティ アプリなどの重要なサービスを停止するために使用されている "net.exe停止" コマンドの実行が検出されました。 これらのいずれかのサービスの停止は、悪質な動作の兆候である場合があります。

MITRE の戦術: -

重大度: 中

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

説明: %{Compromised Host} でのホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。

MITRE の戦術: -

重大度: 高

Dynamic PS script construction (動的 PS スクリプトの構築)

説明: %{Compromised Host} でのホスト データの分析により、PowerShell スクリプトが動的に構築されていることが検出されました。 攻撃者は、IDS システムを回避するため、スクリプトを段階的に構築するこの方法を使用する場合があります。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。

MITRE の戦術: -

重大度: 中

Executable found running from a suspicious location (不審な場所から実行されている実行可能ファイルが見つかりました)

説明: ホスト データの分析により、既知の疑わしいファイルと共通の場所から実行されている %{Compromised Host} 上の実行可能ファイルが検出されました。 この実行可能ファイルは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。

MITRE の戦術: -

重大度: 高

Fileless attack behavior detected (ファイルレス攻撃動作が検出されました)

(VM_FilelessAttackBehavior.Windows)

説明: 指定されたプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 具体的な動作は次のとおりです。

1. シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
2. アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
3. セキュリティの機密性の高いオペレーティング システム インターフェイスへの関数呼び出し。 参照される OS 機能については、後述する機能を参照してください。
4. 動的に割り当てられたコード セグメントで開始されたスレッドを格納します。 これは、プロセス インジェクション攻撃の一般的なパターンです。

MITRE 戦術: 防御回避

重大度: 低

Fileless attack technique detected (ファイルレス攻撃手法が検出されました)

(VM_FilelessAttackTechnique.Windows)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです。

1. シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
2. コードインジェクション攻撃など、プロセスに挿入された実行可能イメージ。
3. アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
4. セキュリティの機密性の高いオペレーティング システム インターフェイスへの関数呼び出し。 参照される OS 機能については、後述する機能を参照してください。
5. プロセスの中空化は、悪意のあるコードのコンテナーとして機能するために正当なプロセスがシステムに読み込まれるマルウェアによって使用される手法です。
6. 動的に割り当てられたコード セグメントで開始されたスレッドを格納します。 これは、プロセス インジェクション攻撃の一般的なパターンです。

MITRE 戦術: 防御回避、実行

重大度: 高

Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました)

(VM_FilelessAttackToolkit.Windows)

説明: 指定されたプロセスのメモリには、ファイルレス攻撃ツールキット [ツールキット名] が含まれています。 ファイルレス攻撃ツールキットには、ディスク上のマルウェアの痕跡を最小化または排除し、ディスクベースのマルウェア スキャン ソリューションによって検出される可能性を大幅に減らす手法が使用されています。 具体的な動作は次のとおりです。

1. よく知られているツールキットと暗号化マイニング ソフトウェア。
2. シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
3. プロセス メモリに悪意のある実行可能ファイルが挿入されました。

MITRE 戦術: 防御回避、実行

重大度: 中

High risk software detected (危険度の高いソフトウェアが検出されました)

説明: %{Compromised Host} からのホスト データの分析により、過去にマルウェアのインストールに関連付けられたソフトウェアの使用が検出されました。 悪意のあるソフトウェアの配布に使用される一般的な手法として、このアラートに示されているように、無害なツール内にそれをパッケージ化することが挙げられます。 これらのツールを使用すると、バックグラウンドでマルウェアが気付かないうちにインストールされる可能性があります。

MITRE の戦術: -

重大度: 中

Local Administrators group members were enumerated (Local Administrators グループのメンバーが列挙されました)

説明: マシン ログは、グループ %{列挙グループ ドメイン名}%{列挙グループ名} の列挙が成功したことを示します。 具体的には、%{Enumerating User Domain Name}%{Enumerating User Name} が、%{Enumerated Group Domain Name}%{Enumerated Group Name} グループのメンバーをリモートで列挙しました。 このアクティビティは、正当なアクティビティである場合もあれば、組織内のマシンが侵害され、%{vmname} の偵察に使用されたことを示している場合もあります。

MITRE の戦術: -

重大度: 情報

Malicious firewall rule created by ZINC server implant [seen multiple times] (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則 [複数回表示])

説明: 既知のアクター (ZINC) に一致する手法を使用してファイアウォール規則が作成されました。 この規則は、コマンド アンド コントロール通信を許可するために、%{Compromised Host} でポートを開くために使用された可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 高

Malicious SQL activity (悪意のある SQL アクティビティ)

説明: マシン ログは、'%{process name}' がアカウント %{user name} によって実行されたことを示します。 このアクティビティは悪意のあるものと見なされます。

MITRE の戦術: -

重大度: 高

Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました)

説明: ホスト データの分析により、%{Compromised Host} から短時間で異なる数の個別のドメイン アカウントが照会されていることが確認されました。 この種のアクティビティは正当である可能性がありますが、侵害を示している場合もあります。

MITRE の戦術: -

重大度: 中

Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示])

説明: ホスト データの分析では、メモリから資格情報を抽出できる方法でネイティブ Windows ツール (sqldumper.exe など) の使用が検出されました。 多くの場合、攻撃者はこれらの手法を使用して資格情報を抽出し、それを横移動や特権エスカレーションに使用します。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、AppLocker 制限をバイパスしようとする可能性が検出されました。 AppLocker は、Windows システムで実行できる実行可能ファイルを制限するポリシーを実装するように構成できます。 このアラートで識別されたものと同様のコマンド ライン パターンは、以前に攻撃者が、信頼できる実行可能ファイル (AppLocker ポリシーによって許可) を使用して信頼されていないコードを実行することで、AppLocker ポリシーを回避する試行に関連付けられていました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。

MITRE の戦術: -

重大度: 高

Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました)

(VM_SvcHostRunInRareServiceGroup)

説明: まれなサービス グループが実行されているシステム プロセス SVCHOST が観察されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。

MITRE 戦術: 防御回避、実行

重大度: 情報

Sticky keys attack detected (固定キー攻撃が検出されました)

説明: ホスト データの分析は、攻撃者がホスト %{Compromised Host} へのバックドア アクセスを提供するために、アクセシビリティ バイナリ (固定キー、スクリーン キーボード、ナレーターなど) を転覆している可能性があることを示します。

MITRE の戦術: -

重大度: 中

Successful brute force attack (ブルート フォース攻撃の成功)

(VM_LoginBruteForceSuccess)

説明: 同じソースから複数のサインイン試行が検出されました。 一部がホストに対して正常に認証されました。 これは、攻撃者が有効なアカウント資格情報を見つけるために多数の認証試行を実行する、バースト攻撃に似ています。

MITRE の戦術: 悪用

重大度: 中/高

Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル)

説明: ホスト データの分析によって、SYSTEM 特権で実行されているtscon.exeが検出されました。これは、攻撃者がこのホスト上のログオンしている他のユーザーにコンテキストを切り替えるために、このバイナリを悪用したことを示している可能性があります。これは、より多くのユーザー アカウントを侵害し、ネットワークを横方向に移動する既知の攻撃者の手法です。

MITRE の戦術: -

重大度: 中

Suspect service installation (不審なサービスのインストール)

説明: ホスト データの分析により、サービスとしてのtscon.exeのインストールが検出されました。このバイナリがサービスとして開始されると、攻撃者は RDP 接続をハイジャックすることで、このホスト上のログオンしている他のユーザーに簡単に切り替えることができます。これは、より多くのユーザー アカウントを侵害し、ネットワークを横方向に移動する既知の攻撃者の手法です。

MITRE の戦術: -

重大度: 中

Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました)

説明: Kerberos ゴールデン チケット攻撃と一致するコマンド ライン パラメーターが検出されたホスト データの分析。

MITRE の戦術: -

重大度: 中

Suspicious Account Creation Detected (不審なアカウント作成が検出されました)

説明: %{Compromised Host} でのホスト データの分析で、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{アカウント名に似ています}' によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。

MITRE の戦術: -

重大度: 中

Suspicious Activity Detected (不審なアクティビティが検出されました)

(VM_SuspiciousActivity)

説明: ホスト データの分析により、悪意のあるアクティビティに過去に関連付けられた %{machine name} で実行されている 1 つ以上のプロセスのシーケンスが検出されました。 個々のコマンドは無害に見えるかもしれませんが、これらのコマンドの集計に基づいてアラートがスコア付けされます。 これは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。

MITRE の戦術: 実行

重大度: 中

Suspicious authentication activity (不審な認証エラー アクティビティ)

(VM_LoginBruteForceValidUserFailed)

説明: いずれも成功しなかったものの、一部の使用アカウントはホストによって認識されました。 これは、ホストにアクセスするための有効な資格情報を見つけるために、定義済みのアカウント名とパスワードの辞書を使用して、攻撃者が多数の認証試行を実行する辞書攻撃に似ています。 これは、既知のアカウント名辞書にホスト アカウント名の一部が存在している可能性があることを示しています。

MITRE の戦術: プローブ

重大度: 中

Suspicious code segment detected (不審なコード セグメントが検出されました)

説明: コード セグメントが、反射注入やプロセス中空などの標準以外の方法を使用して割り当てられていることを示します。 このアラートは、処理されたコード セグメントのさらに多くの特性を提供して、報告されるコード セグメントの能力と動作に関するコンテキストを提供します。

MITRE の戦術: -

重大度: 中

Suspicious double extension file executed (拡張子が 2 つある不審なファイルが実行されました)

説明: ホスト データの分析は、疑わしい二重拡張を含むプロセスの実行を示します。 この拡張機能は、ファイルを開いても安全であると考え、システム上にマルウェアが存在することを示す可能性があります。

MITRE の戦術: -

重大度: 高

Suspicious download using Certutil detected [seen multiple times] (Certutil を使用した不審なダウンロード [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリのダウンロードに組み込みの管理者ユーティリティであるcertutil.exeが使用されたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード)

説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリのダウンロードに組み込みの管理者ユーティリティであるcertutil.exeが使用されたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。

MITRE の戦術: -

重大度: 中

Suspicious PowerShell Activity Detected (不審な PowerShell アクティビティが検出されました)

説明: ホスト データの分析で、既知の疑わしいスクリプトと共通の機能を持つ %{Compromised Host} で実行されている PowerShell スクリプトが検出されました。 このスクリプトは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。

MITRE の戦術: -

重大度: 高

Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました)

説明: ホスト データの分析は、既知の悪意のある PowerShell PowerSploit コマンドレットの実行を示します。

MITRE の戦術: -

重大度: 中

Suspicious process executed [seen multiple times] (不審なプロセスが実行されました [複数回表示])

説明: コンピューター ログは、疑わしいプロセス '%{Suspicious Process}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 高

Suspicious process executed (不審なプロセスが実行されました)

説明: コンピューター ログは、疑わしいプロセス '%{Suspicious Process}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。

MITRE の戦術: -

重大度: 高

Suspicious process name detected [seen multiple times] (不審なプロセス名が検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応したり、攻撃者のツールを示唆する方法で名前が付けられたりして、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Suspicious process name detected (不審なプロセス名が検出されました)

説明: %{Compromised Host} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応したり、攻撃者のツールを示唆する方法で名前が付けられたりして、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。

MITRE の戦術: -

重大度: 中

Suspicious SQL activity (不審な SQL アクティビティ)

説明: マシン ログは、'%{process name}' がアカウント %{user name} によって実行されたことを示します。 このアカウントでは、このアクティビティは一般的ではありません。

MITRE の戦術: -

重大度: 中

Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました)

説明: システム プロセス SVCHOST が異常なコンテキストで実行されていることを確認しました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。

MITRE の戦術: -

重大度: 高

Suspicious system process executed (不審なシステム プロセスが実行されました)

(VM_SystemProcessInAbnormalContext)

説明: システム プロセス %{プロセス名} が異常なコンテキストで実行されています。 マルウェアは、悪意のあるアクティビティをマスカレードするためにこのプロセス名を使用することがよくあります。

MITRE 戦術: 防御回避、実行

重大度: 高

Suspicious Volume Shadow Copy Activity (不審なボリューム シャドウ コピー アクティビティ)

説明: ホスト データの分析で、リソースに対するシャドウ コピー削除アクティビティが検出されました。 ボリューム シャドウ コピー (VSC) は、データ スナップショットを保存する重要なアーティファクトです。 一部のマルウェア (具体的にはランサムウェア) は、バックアップ戦略を妨害するために VSC をターゲットにします。

MITRE の戦術: -

重大度: 高

Suspicious WindowPosition registry value detected (不審な WindowPosition レジストリ値が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、デスクトップの非表示のセクションでアプリケーション ウィンドウを非表示にすることを示す可能性がある WindowPosition レジストリ構成の変更が試行されたことが検出されました。 これは、正当なアクティビティである可能性も、または侵害されたマシンの兆候である可能性もあります。この種のアクティビティは、以前は Win32/OneSystemCare や Win32/SystemHealer などの既知のアドウェア (または望ましくないソフトウェア) および Win32/Creprote などのマルウェアに関連付けられていました。 WindowPosition 値が 201329664 に設定されている場合 (16 進数:0x0c00 0c00、X 軸 = 0c00 と Y 軸 = 0c00 に対応します)、これにより、コンソール アプリのウィンドウが、ユーザーの画面の非表示セクション (表示されている [スタート] メニューとタスクバーの下に隠れて見えない領域) に配置されます。 既知の疑わしい 16 進値には、c000c000 が含まれますが、これらに限定されません。

MITRE の戦術: -

重大度: 低

Suspiciously named process detected (不審な名前が付けられたプロセスが検出されました)

説明: %{Compromised Host} でのホスト データの分析では、名前が非常に似ていますが、一般的に実行されるプロセス (%{プロセス名に似ています}) とは異なるプロセスが検出されました。 このプロセスは無害の可能性もありますが、攻撃者が悪意のあるツールを隠すために正当なプロセス名に似た名前を付けることがあることが知られています。

MITRE の戦術: -

重大度: 中

Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)

(VM_VMAccessUnusualConfigReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常な構成のリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとする可能性があります。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual process execution detected (通常とは異なるプロセスの実行が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、通常とは異なる %{User Name} によるプロセスの実行が検出されました。 %{User Name} などのアカウントは限られた操作セットを実行する傾向があり、この実行は文字外れであると判断され、疑わしい可能性があります。

MITRE の戦術: -

重大度: 高

Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)

(VM_VMAccessUnusualPasswordReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常なユーザー パスワードリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のローカル ユーザーの資格情報をリセットし、侵害を試みることができます。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)

(VM_VMAccessUnusualSSHReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで通常とは異なるユーザー SSH キーのリセットが検出されました。 このアクションは正当なものである可能性があります。攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のユーザー アカウントの SSH キーをリセットし、侵害を試みることができます。

MITRE の戦術: 資格情報アクセス

重大度: 中

VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました)

説明: コマンド プロンプトを使用した VBScript ファイルの作成が検出されました。 次のスクリプトには、HTTP オブジェクト割り当てコマンドが含まれています。 このアクションは、悪意のあるファイルをダウンロードするために使用される可能性があります。

仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)

(VM_GPUDriverExtensionUnusualExecution)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。

MITRE 戦術: 影響

重大度: 低

Azure 一時ツールの呼び出しが検出されました

(ARM_AzureHound)

説明: Azure 一時操作はサブスクリプションで実行され、リソースを列挙するための情報収集操作が実行されました。 脅威アクターは、Azure・ ハウンドなどの自動化されたツールを使用してリソースを列挙し、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: 検出

重大度: 中

Linux マシンのアラート

Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Linux マシンに対して提供されるアラートは次のとおりです。

詳細な説明と注意

a history file has been cleared (履歴ファイルが消去されました)

説明: ホスト データの分析は、コマンド履歴ログ ファイルがクリアされたことを示します。 攻撃者は、トレースをカバーするためにこれを行う可能性があります。 操作は次のユーザーによって実行されました: '%{user name}'。

MITRE の戦術: -

重大度: 中

適応型アプリケーション制御ポリシー違反が監査されました

(VM_AdaptiveApplicationControlLinuxViolationAudited)

説明: 次のユーザーは、このコンピューターで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。

MITRE の戦術: 実行

重大度: 情報

Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)

(VM_AmBroadFilesExclusion)

説明: 広範な除外ルールを持つマルウェア対策拡張機能からのファイルの除外は、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE の戦術: -

重大度: 中

Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)

(VM_AmDisablementAndCodeExecution)

説明: 仮想マシンでのコード実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。

MITRE の戦術: -

重大度: 高

Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)

(VM_AmDisablement)

説明: 仮想マシンでマルウェア対策が無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)

(VM_AmFileExclusionAndCodeExecution)

説明: 仮想マシン上のカスタム スクリプト拡張機能を使用してコードが実行されたのと同時に、マルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避、実行

重大度: 高

Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)

(VM_AmTempFileExclusionAndCodeExecution)

説明: カスタム スクリプト拡張機能を使用したコードの実行と並行してマルウェア対策拡張機能からの一時ファイルの除外が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避、実行

重大度: 高

Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)

(VM_AmTempFileExclusion)

説明: 仮想マシン上のマルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)

(VM_AmRealtimeProtectionDisabled)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)

(VM_AmTempRealtimeProtectionDisablement)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護の一時的な無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)

(VM_AmRealtimeProtectionDisablementAndCodeExec)

説明: カスタム スクリプト拡張機能を使用したコード実行と並行して、マルウェア対策拡張機能のリアルタイム保護の一時的な無効化が、サブスクリプションの Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。

MITRE の戦術: -

重大度: 高

Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)

(VM_AmMalwareCampaignRelatedExclusion)

説明: マルウェアキャンペーンに関連していると疑われる特定のファイルをマルウェア対策拡張機能がスキャンするのを防ぐために、仮想マシンで除外ルールが検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。

MITRE 戦術: 防御回避

重大度: 中

Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)

(VM_AmTemporarilyDisablement)

説明: 仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。

MITRE の戦術: -

重大度: 中

Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)

(VM_UnusualAmFileExclusion)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能からの異常なファイル除外が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Behavior similar to ransomware detected [seen multiple times] (ランサムウェアに似た動作が検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析により、ユーザーがシステムまたは個人のファイルにアクセスできないようにする既知のランサムウェアと類似したファイルの実行が検出され、アクセスを回復するために身代金の支払いが要求されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 高

Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)

(AzureDNS_ThreatIntelSuspectDomain)

説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。

MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用

重大度: 中

Container with a miner image detected (マイナー イメージを持つコンテナーが検出されました)

(VM_MinerInContainerImage)

説明: コンピューター ログは、デジタル通貨マイニングに関連付けられたイメージを実行する Docker コンテナーの実行を示します。

MITRE の戦術: 実行

重大度: 高

Detected anomalous mix of upper and lower case characters in command line (コマンド ラインで通常とは異なる大文字と小文字の混在が検出されました)

説明: %{Compromised Host} のホスト データの分析で、大文字と小文字が異常に混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。

MITRE の戦術: -

重大度: 中

Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)

説明: ホスト データの分析により、%{Compromised Host} 上の既知のマルウェア ソースからのファイルのダウンロードが検出されました。

MITRE の戦術: -

重大度: 中

Detected suspicious network activity (不審なネットワーク アクティビティが検出されました)

説明: %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。

MITRE の戦術: -

重大度: 低

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

説明: %{Compromised Host} でのホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。

MITRE の戦術: -

重大度: 高

Disabling of auditd logging [seen multiple times] (auditd ログ記録の無効化 [複数回表示])

説明: Linux 監査システムは、システムのセキュリティ関連の情報を追跡する方法を提供します。 これにより、ご使用のシステムで発生しているイベントについて、可能な限り多くの情報が記録されます。 auditd ログ記録を無効にすると、システムで使用されるセキュリティ ポリシーの違反の検出を妨げる可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 低

Exploitation of Xorg vulnerability [seen multiple times] (Xorg の脆弱性の悪用 [複数回表示])

説明: %{Compromised Host} でのホスト データの分析により、疑わしい引数を持つ Xorg のユーザーが検出されました。 攻撃者は、特権エスカレーションの試行でこの手法を使用する可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Failed SSH brute force attack (失敗した SSH ブルート フォース攻撃)

(VM_SshBruteForceFailed)

説明: 失敗したブルート フォース攻撃は、次の攻撃者から検出されました: %{Attackers}。 攻撃者は次のユーザー名を使用してホストにアクセスしようとしました: %{Accounts used on failed sign in to host attempts}。

MITRE の戦術: プローブ

重大度: 中

Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました)

(VM_FilelessAttackBehavior.Linux)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 具体的な動作は次のとおりです: {観察された動作の一覧}

MITRE の戦術: 実行

重大度: 低

Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました)

(VM_FilelessAttackTechnique.Linux)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです: {観察された動作の一覧}

MITRE の戦術: 実行

重大度: 高

Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました)

(VM_FilelessAttackToolkit.Linux)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃ツールキット {ToolKitName} が含まれています。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 具体的な動作は次のとおりです: {観察された動作の一覧}

MITRE 戦術: 防御回避、実行

重大度: 高

Hidden file execution detected (隠しファイルの実行が検出されました)

説明: ホスト データの分析は、%{ユーザー名} によって隠しファイルが実行されたことを示します。 このアクティビティは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。

MITRE の戦術: -

重大度: 情報

New SSH key added [seen multiple times] (新しい SSH キーが追加されました [複数回表示])

(VM_SshKeyAddition)

説明: 承認されたキー ファイルに新しい SSH キーが追加されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: 永続化

重大度: 低

New SSH key added (新しい SSH キーが追加されました)

説明: 承認されたキー ファイルに新しい SSH キーが追加されました。

MITRE の戦術: -

重大度: 低

Possible backdoor detected [seen multiple times] (バックドアの可能性が検出されました [複数回表示])

説明: ホスト データの分析により、疑わしいファイルがダウンロードされ、サブスクリプションの %{Compromised Host} で実行されていることが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Possible exploitation of the mailserver detected (メール サーバーの悪用の可能性が検出されました)

(VM_MailserverExploitation )

説明: %{Compromised Host} 上のホスト データの分析で、メール サーバー アカウントで異常な実行が検出されました

MITRE の戦術: 悪用

重大度: 中

Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました)

説明: %{Compromised Host} 上のホスト データの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したマシンに Web シェルをアップロードすることがよくあります。

MITRE の戦術: -

重大度: 中

Possible password change using crypt-method detected [seen multiple times] (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました [複数回表示])

説明: %{Compromised Host} のホスト データの分析で、crypt メソッドを使用してパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Process associated with digital currency mining detected [seen multiple times] (デジタル通貨マイニングに関連するプロセスが検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析で、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。 この動作は、次のマシンで今日 100 回以上見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)

説明: ホスト データ分析で、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。

MITRE の戦術: 悪用、実行

重大度: 中

Python encoded downloader detected [seen multiple times] (Python エンコード ダウンローダーが検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析により、リモートの場所からコードをダウンロードして実行するエンコードされた Python の実行が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 低

Screenshot taken on host [seen multiple times] (ホストでスクリーンショットが作成されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析で、画面キャプチャ ツールのユーザーが検出されました。 攻撃者は、これらのツールを使用してプライベート データにアクセスする可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 低

Shellcode detected [seen multiple times] (Shellcode が検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析で、コマンド ラインからシェルコードが生成されていることが検出されました。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Successful SSH brute force attack (SSH ブルート フォース攻撃の成功)

(VM_SshBruteForceSuccess)

説明: ホスト データの分析により、ブルート フォース攻撃が成功したことが検出されました。 IP %{Attacker source IP} が、複数のログイン試行を行っていたことが確認されました。 成功したログインは、次のユーザーを使用してその IP から行われました: %{Accounts used to successfully sign in to host}。 これは、ホストが悪意のあるアクターによって侵害され、制御される可能性があることを意味します。

MITRE の戦術: 悪用

重大度: 高

Suspicious Account Creation Detected (不審なアカウント作成が検出されました)

説明: %{Compromised Host} でのホスト データの分析で、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{アカウント名に似ています}' によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。

MITRE の戦術: -

重大度: 中

Suspicious kernel module detected [seen multiple times] (不審なカーネル モジュールが検出されました [複数回表示])

説明: %{Compromised Host} 上のホスト データの分析で、カーネル モジュールとして読み込まれている共有オブジェクト ファイルが検出されました。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 中

Suspicious password accesss [seen multiple times] (不審なパスワード アクセス [複数回表示])

説明: ホスト データの分析で、%{Compromised Host} の暗号化されたユーザー パスワードへの疑わしいアクセスが検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]

MITRE の戦術: -

重大度: 情報

Suspicious password access (不審なパスワード アクセス)

説明: ホスト データの分析で、%{Compromised Host} の暗号化されたユーザー パスワードへの疑わしいアクセスが検出されました。

MITRE の戦術: -

重大度: 情報

Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)

(VM_KubernetesDashboard)

説明: マシン ログは、Kubernetes ダッシュボードに対して疑わしい要求が行われたことを示します。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。

MITRE の戦術: LateralMovement

重大度: 中

Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)

(VM_VMAccessUnusualConfigReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常な構成のリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとする可能性があります。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)

(VM_VMAccessUnusualPasswordReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常なユーザー パスワードリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のローカル ユーザーの資格情報をリセットし、侵害を試みることができます。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)

(VM_VMAccessUnusualSSHReset)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで通常とは異なるユーザー SSH キーのリセットが検出されました。 このアクションは正当なものである可能性があります。攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のユーザー アカウントの SSH キーをリセットし、侵害を試みることができます。

MITRE の戦術: 資格情報アクセス

重大度: 中

仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)

(VM_GPUDriverExtensionUnusualExecution)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。

MITRE 戦術: 影響

重大度: 低

DNS のアラート

重要

2023 年 8 月 1 日の時点で、Defender for DNS の既存のサブスクリプションを持つお客様は引き続きサービスを使用できますが、新規契約者の場合は Defender for Servers P2 の一部として疑わしい DNS アクティビティに関するアラートを受け取ります。

詳細な説明と注意

Anomalous network protocol usage (ネットワーク プロトコルの異常な使用)

(AzureDNS_ProtocolAnomaly)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、異常なプロトコルの使用が検出されました。 このようなトラフィックは、おそらく無害ですが、ネットワーク トラフィック フィルタリングをバイパスするために、この一般的なプロトコルの不正使用を示している可能性があります。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。

MITRE の戦術: 流出

重大度: -

Anonymity network activity (匿名ネットワーク アクティビティ)

(AzureDNS_DarkWeb)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、匿名性ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Anonymity network activity using web proxy (Web プロキシを使用した匿名ネットワーク アクティビティ)

(AzureDNS_DarkWebProxy)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、匿名性ネットワーク アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワーク通信の追跡やフィンガープリントを回避するために攻撃者によって頻繁に使用されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Attempted communication with suspicious sinkholed domain (不審なシンクホール ドメインとの通信の試行)

(AzureDNS_SinkholedDomain)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、シンクホールド ドメインの要求が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 中

Communication with possible phishing domain (フィッシングの可能性があるドメインとの通信)

(AzureDNS_PhishingDomain)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、フィッシング ドメインの可能性がある要求が検出されました。 このようなアクティビティは無害の場合もありますが、リモート サービスに対する資格情報を収集するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、正当なサービスでの資格情報の悪用が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 情報

Communication with suspicious algorithmically generated domain (アルゴリズムによって生成された不審なドメインとの通信)

(AzureDNS_DomainGenerationAlgorithm)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、ドメイン生成アルゴリズムが使用されている可能性が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 情報

Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)

(AzureDNS_ThreatIntelSuspectDomain)

説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。

MITRE の戦術: 初期アクセス

重大度: 中

Communication with suspicious random domain name (不審なランダム ドメイン名との通信)

(AzureDNS_RandomizedDomain)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、疑わしいランダムに生成されたドメイン名の使用が検出されました。 このようなアクティビティは無害の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 情報

Digital currency mining activity (デジタル通貨マイニング アクティビティ)

(AzureDNS_CurrencyMining)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、デジタル通貨マイニング アクティビティが検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Network intrusion detection signature activation (ネットワーク侵入検知シグネチャのアクティブ化)

(AzureDNS_SuspiciousDomain)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、既知の悪意のあるネットワーク署名が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 中

Possible data download via DNS tunnel (DNS トンネルを介したデータ ダウンロードの可能性)

(AzureDNS_DataInfiltration)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Possible data exfiltration via DNS tunnel (DNS トンネルを介したデータ流出の可能性)

(AzureDNS_DataExfiltration)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Possible data transfer via DNS tunnel (DNS トンネルを介したデータ転送の可能性)

(AzureDNS_DataObfuscation)

説明: %{CompromisedEntity} からの DNS トランザクションの分析で、DNS トンネルの可能性が検出されました。 このようなアクティビティはユーザーの正当な行動の場合もありますが、ネットワークの監視とフィルタリングを回避するために攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

Azure VM 拡張機能のアラート

これらのアラートは、Azure 仮想マシン拡張機能の疑わしいアクティビティの検出に焦点を当て、仮想マシンに対する悪意のあるアクティビティを侵害および実行しようとする攻撃者の試みに関する分析情報を提供します。

Azure 仮想マシン拡張機能は、仮想マシンでデプロイ後に実行され、構成、自動化、監視、セキュリティなどの機能を提供する小規模なアプリケーションです。 拡張機能は強力なツールですが、次のようなさまざまな悪意のある意図で脅威アクターに使用される可能性があります。

• データ収集と監視

• 高い特権でのコードの実行と構成のデプロイ

• 資格情報のリセットと管理ユーザーの作成

• ディスクの暗号化

Azure VM 拡張機能の悪用に対する最新の保護 Defender for Cloud について説明します。

サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー)

(VM_GPUExtensionSuspiciousFailure)

説明: サポートされていない VM に GPU 拡張機能をインストールする疑わしい意図。 この拡張機能はグラフィック プロセッサを搭載した仮想マシンにインストールする必要がありますが、この場合、仮想マシンにはグラフィック プロセッサが搭載されていません。 これらのエラーは、悪意のある攻撃者が暗号化マイニングを目的としてそのような拡張機能の複数のインストールを実行するときに発生する可能性があります。

MITRE 戦術: 影響

重大度: 中

仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー)

(VM_GPUDriverExtensionUnusualExecution)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンに GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 プリンシパルの動作が通常のパターンから逸脱しているため、この行為は不審であると考えられます。

MITRE 戦術: 影響

重大度: 低

仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー)

(VM_RunCommandSuspiciousScript)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、疑わしいスクリプトを含む実行コマンドが仮想マシンで検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー)

(VM_RunCommandSuspiciousFailure)

説明: 実行コマンドの疑わしい未承認の使用が失敗し、サブスクリプションの Azure Resource Manager 操作を分析して仮想マシンで検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードの実行を試みる可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE の戦術: 実行

重大度: 中

仮想マシン上で不審な Run Command の使用が検出されました (プレビュー)

(VM_RunCommandSuspiciousUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで実行コマンドの疑わしい使用状況が検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE の戦術: 実行

重大度: 低

複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_SuspiciousMultiExtensionUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで複数の監視またはデータ収集拡張機能の疑わしい使用状況が検出されました。 攻撃者は、データの収集やネットワーク トラフィックの監視などのために、サブスクリプション内でこのような拡張機能を悪用する可能性があります。 この使用はこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE 戦術: 偵察

重大度: 中

仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー)

(VM_DiskEncryptionSuspiciousUsage)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンにディスク暗号化拡張機能の疑わしいインストールが検出されました。 攻撃者はディスク暗号化拡張機能を悪用し、Azure Resource Manager 経由で仮想マシンにフルディスク暗号化を展開し、ランサムウェア アクティビティを実行する可能性があります。 このアクティビティは、これまで一般的に見られたことがなく、拡張機能のインストール数が多いため、疑わしいと考えられます。

MITRE 戦術: 影響

重大度: 中

VMAccess 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_VMAccessSuspiciousUsage)

説明: 仮想マシンで VMAccess 拡張機能の疑わしい使用が検出されました。 攻撃者は、VMAccess 拡張機能を悪用してアクセス権を取得し、アクセスをリセットしたり、管理ユーザーを管理したりすることで、高い特権で仮想マシンを侵害する可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。

MITRE の戦術: 永続化

重大度: 中

不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー)

(VM_DSCExtensionSuspiciousScript)

説明: 疑わしいスクリプトを含む Desired State Configuration (DSC) 拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_DSCExtensionSuspiciousUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで Desired State Configuration (DSC) 拡張機能の疑わしい使用状況が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 低

不審なスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました (プレビュー)

(VM_CustomScriptExtensionSuspiciousCmd)

説明: 疑わしいスクリプトを含むカスタム スクリプト拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者はカスタム スクリプト拡張機能を使用し、Azure Resource Manager 経由で仮想マシン上で高い特権で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタム スクリプト拡張機能の不審な実行の失敗)

(VM_CustomScriptExtensionSuspiciousFailure)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでカスタム スクリプト拡張機能の疑わしいエラーが検出されました。 このようなエラーは、この拡張機能によって実行される悪意のあるスクリプトに関連付けられている可能性があります。

MITRE の戦術: 実行

重大度: 中

Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の削除)

(VM_CustomScriptExtensionUnusualDeletion)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでカスタム スクリプト拡張機能の異常な削除が検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の実行)

(VM_CustomScriptExtensionUnusualExecution)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでカスタム スクリプト拡張機能の異常な実行が検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Custom script extension with suspicious entry-point in your virtual machine (不審なエントリ ポイントを使用した、仮想マシンのカスタム スクリプト拡張機能)

(VM_CustomScriptExtensionSuspiciousEntryPoint)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、疑わしいエントリ ポイントを含むカスタム スクリプト拡張機能が仮想マシンで検出されました。 このエントリ ポイントは、不審な GitHub リポジトリを参照しています。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタム スクリプト拡張機)

(VM_CustomScriptExtensionSuspiciousPayload)

説明: 疑わしい GitHub リポジトリからのペイロードを含むカスタム スクリプト拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Azure App Service のアラート

詳細な説明と注意

An attempt to run Linux commands on a Windows App Service (Windows App Service での Linux コマンドの実行試行)

(AppServices_LinuxCommandOnWindows)

説明: App Service プロセスの分析で、Windows App Service で Linux コマンドを実行しようとしましたが検出されました。 このアクションは、Web アプリケーションにより実行されていました。 この動作は、一般的な Web アプリケーションの脆弱性を悪用する活動でよく見られます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 中

An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (脅威インテリジェンスで、Azure App Service の FTP インターフェイスに接続した IP が見つかりました)

(AppServices_IncomingTiClientIpFtp)

説明: Azure アプリサービス FTP ログは、脅威インテリジェンス フィードで見つかったソース アドレスからの接続を示します。 この接続中に、ユーザーが、一覧表示されているページにアクセスしました。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 中

Attempt to run high privilege command detected (高い特権のコマンドの実行試行が検出されました)

(AppServices_HighPrivilegeCommand)

説明: App Service プロセスの分析で、高い特権を必要とするコマンドの実行が検出されました。 このコマンドは、Web アプリケーションのコンテキストで実行されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 中

Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)

(AzureDNS_ThreatIntelSuspectDomain)

説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。

MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用

重大度: 中

Connection to web page from anomalous IP address detected (異常な IP アドレスからの Web ページへの接続が検出されました)

(AppServices_AnomalousPageAccess)

説明: Azure アプリ サービス アクティビティ ログは、一覧に示されているソース IP アドレスから機密性の高い Web ページへの異常な接続を示します。 これは、何者かが Web アプリの管理ページにブルート フォース攻撃を試みていることを示している可能性があります。 正当なユーザーが新しい IP アドレスを使用した結果である可能性もあります。 ソース IP アドレスが信頼されている場合、このリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 低

Dangling DNS record for an App Service resource detected (App Service リソースの未解決の DNS レコードが検出されました)

(AppServices_DanglingDomain)

説明: 最近削除された App Service リソース ("未解決の DNS" エントリとも呼ばれます) を指す DNS レコードが検出されました。 サブドメインの乗っ取りに対して無防備な状態となっています。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 高

Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)

(AppServices_Base64EncodedExecutableInCommandLineParams)

説明: {Compromised host} 上のホスト データの分析で、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)

(AppServices_SuspectDownload)

説明: ホスト データの分析により、ホスト上の既知のマルウェア ソースからのファイルのダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE の戦術: 特権エスカレーション、実行、流出、コマンドと制御

重大度: 中

Detected suspicious file download (不審なファイルのダウンロードが検出されました)

(AppServices_SuspectDownloadArtifacts)

説明: ホスト データの分析で、リモート ファイルの疑わしいダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE の戦術: 永続化

重大度: 中

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

(AppServices_DigitalCurrencyMining)

説明: Inn-Flow-WebJobs 上のホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 高

Executable decoded using certutil (certutil を使用してデコードされた実行可能ファイル)

(AppServices_ExecutableDecodedUsingCertutil)

説明: [セキュリティ侵害されたエンティティ] のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、組み込みの管理者ユーティリティである certutil.exe が実行可能ファイルのデコードに使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Fileless Attack Behavior Detected (ファイルレス攻撃動作が検出されました)

(AppServices_FilelessAttackBehaviorDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE の戦術: 実行

重大度: 中

Fileless Attack Technique Detected (ファイルレス攻撃手法が検出されました)

(AppServices_FilelessAttackTechniqueDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE の戦術: 実行

重大度: 高

Fileless Attack Toolkit Detected (ファイルレス攻撃ツールキットが検出されました)

(AppServices_FilelessAttackToolkitDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃ツールキット {ToolKitName} が含まれています。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE 戦術: 防御回避、実行

重大度: 高

Microsoft Defender for Cloud test alert for App Service (not a threat) (App Service に対する Microsoft Defender for Cloud のテスト アラート (脅威ではありません))

(AppServices_EICAR)

説明: これは、Microsoft Defender for Cloud によって生成されるテスト アラートです。 これ以外の操作は必要ありません。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 高

NMap scanning detected (NMap スキャンが検出されました)

(AppServices_Nmap)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで Web フィンガープリント アクティビティの可能性を示します。 検出された不審なアクティビティは、NMAP と関連しています。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 情報

Phishing content hosted on Azure Webapps (Azure Webapps でホストされているコンテンツのフィッシング)

(AppServices_PhishingContent)

説明: Azure アプリServices Web サイトで見つかったフィッシング攻撃に使用される URL。 この URL は、Microsoft 365 のお客様に送信されたフィッシング攻撃の一部でした。 通常、このコンテンツでは、訪問者が正規に見える Web サイトに自分の会社の資格情報または財務情報を入力するよう誘導します。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: コレクション

重大度: 高

PHP file in upload folder (アップロード フォルダー内の PHP ファイル)

(AppServices_PhpInUploadFolder)

説明: Azure アプリ サービス アクティビティ ログは、アップロード フォルダーにある疑わしい PHP ページへのアクセスを示します。 この種のフォルダーには通常、PHP ファイルは含まれません。 この種のファイルが存在する場合は、任意のファイル アップロードの脆弱性を利用した悪用を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 中

Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)

(AppServices_CryptoCoinMinerDownload)

説明: ホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE 戦術: 防御回避、コマンドアンドコントロール、悪用

重大度: 中

Possible data exfiltration detected (データ流出の可能性が検出されました)

(AppServices_DataEgressArtifacts)

説明: ホスト/デバイス データの分析で、データエグレス状態の可能性が検出されました。 攻撃者は多くの場合、侵害したマシンからデータを送信します。 (適用対象: App Service on Linux)

MITRE の戦術: コレクション、流出

重大度: 中

Potential dangling DNS record for an App Service resource detected (App Service リソースに対する潜在的な未解決の DNS レコードが検出されました)

(AppServices_PotentialDanglingDomain)

説明: 最近削除された App Service リソース ("未解決の DNS" エントリとも呼ばれます) を指す DNS レコードが検出されました。 サブドメインの乗っ取りに対して無防備な状態となっている可能性があります。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 このケースでは、ドメイン検証 ID を含んだテキスト レコードが見つかりました。 そのようなテキスト レコードにはサブドメインの乗っ取りを防ぐ効果がありますが、それでも未解決のドメインを削除することをお勧めします。 そのサブドメインを指す DNS レコードを放置すると、今後、その TXT ファイルまたはレコードが組織内のだれかによって削除された場合にリスクが生じます。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Potential reverse shell detected (リバース シェルの可能性が検出されました)

(AppServices_ReverseShell)

説明: ホスト データの分析で、潜在的な逆シェルが検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。 (適用対象: App Service on Linux)

MITRE の戦術: 流出、悪用

重大度: 中

Raw data download detected (生データのダウンロードが検出されました)

(AppServices_DownloadCodeFromWebsite)

説明: App Service プロセスの分析で、Pastebin などの生データ Web サイトからコードをダウンロードしようとしました。 このアクションは PHP プロセスによって実行されました。 この動作は、Web シェルやその他の悪意のあるコンポーネントを App Service にダウンロードする試行に関連付けられています。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Saving curl output to disk detected (curl 出力のディスクへの保存が検出されました)

(AppServices_CurlToDisk)

説明: App Service プロセスの分析により、出力がディスクに保存された curl コマンドの実行が検出されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 低

Spam folder referrer detected (スパム フォルダーの参照元が検出されました)

(AppServices_SpamReferrer)

説明: Azure アプリ サービス アクティビティ ログは、スパム アクティビティに関連付けられている Web サイトから送信されたものとして識別された Web アクティビティを示します。 これは、Web サイトが侵害され、スパム アクティビティに使用された場合に発生する可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Suspicious access to possibly vulnerable web page detected (脆弱な可能性がある Web ページへの不審なアクセスが検出されました)

(AppServices_ScanSensitivePage)

説明: Azure アプリサービス アクティビティ ログは、機密性の高いと思われる Web ページにアクセスされたことを示します。 この不審なアクティビティは、Web スキャナーによるものに似たアクセス パターンを持つソース IP アドレスから発生しています。 このアクティビティは、多くの場合、攻撃者がネットワークをスキャンして、機密性が高いか脆弱な Web ページへのアクセス権を取得しようとする試みと関連しています。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Suspicious domain name reference (不審なドメイン名参照)

(AppServices_CommandlineSuspectDomain)

説明: 疑わしいドメイン名への参照が検出されたホスト データの分析。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 (適用対象: App Service on Linux)

MITRE の戦術: 流出

重大度: 低

Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード)

(AppServices_DownloadUsingCertutil)

説明: {NAME} でのホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするための組み込みの管理者ユーティリティであるcertutil.exeが使用されているのが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Suspicious PHP execution detected (不審な PHP の実行が検出されました)

(AppServices_SuspectPhp)

説明: マシン ログは、疑わしい PHP プロセスが実行されていることを示します。 このアクションには、PHP プロセスを使用してコマンドラインからオペレーティング システム コマンドまたは PHP コードを実行する試みが含まれていました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティを示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 中

Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました)

(AppServices_PowerShellPowerSploitScriptExecution)

説明: ホスト データの分析は、既知の悪意のある PowerShell PowerSploit コマンドレットの実行を示します。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Suspicious process executed (不審なプロセスが実行されました)

(AppServices_KnownCredential AccessTools)

説明: マシン ログは、疑わしいプロセス '%{process path}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。 (適用対象: App Service on Windows)

MITRE の戦術: 資格情報アクセス

重大度: 高

Suspicious process name detected (不審なプロセス名が検出されました)

(AppServices_ProcessWithKnownSuspiciousExtension)

説明: {NAME} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応しているか、攻撃者のツールを示唆する方法で名前が付けられ、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 (適用対象: App Service on Windows)

MITRE 戦術: 永続化、防御回避

重大度: 中

Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました)

(AppServices_SVCHostFromInvalidPath)

説明: システム プロセス SVCHOST が異常なコンテキストで実行されていることを確認しました。 マルウェアは、多くの場合、悪意のあるアクティビティをマスクするために SVCHOST を使用します。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Suspicious User Agent detected (不審なユーザー エージェントが検出されました)

(AppServices_UserAgentInjection)

説明: Azure アプリ サービス アクティビティ ログは、疑わしいユーザー エージェントを使用した要求を示します。 この動作は、App Service アプリケーションの脆弱性を悪用する試行を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 情報

Suspicious WordPress theme invocation detected (不審な WordPress テーマの呼び出しが検出されました)

(AppServices_WpThemeInjection)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで発生する可能性のあるコード挿入アクティビティを示します。 検出された不審なアクティビティは、WordPress テーマの操作のアクティビティに似ています。このアクティビティはサーバー側でのコードの実行をサポートし、その実行の後に、操作されたテーマ ファイルを呼び出すための直接の Web 要求が続きます。 この種類のアクティビティは、WordPress での攻撃活動の一環として過去に確認されています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 高

Vulnerability scanner detected (脆弱性スキャナーが検出されました)

(AppServices_DrupalScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、コンテンツ管理システム (CMS) をターゲットにしているツールのアクティビティに似ています。 App Service リソースが Drupal サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows)

MITRE の戦術: プレアタッチ

重大度: 低

Vulnerability scanner detected (脆弱性スキャナーが検出されました)

(AppServices_JoomlaScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、Joomla アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが Joomla サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 低

Vulnerability scanner detected (脆弱性スキャナーが検出されました)

(AppServices_WpScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、WordPress アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 低

Web fingerprinting detected (Web フィンガー プリントが検出されました)

(AppServices_WebFingerprinting)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで Web フィンガープリント アクティビティの可能性を示します。 検出された不審なアクティビティは、Blind Elephant と呼ばれるツールと関連しています。 このツールは、Web サーバーのフィンガープリントを取得し、インストールされているアプリケーションとバージョンを検出しようとします。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 中

Website is tagged as malicious in threat intelligence feed (Web サイトが脅威インテリジェンス フィードで悪意のあるものとしてタグ付けされています)

(AppServices_SmartScreen)

説明: 以下に説明する Web サイトは、Windows SmartScreen によって悪意のあるサイトとしてマークされます。 擬陽性であると考えられる場合は、提供されているレポート フィードバック リンクを使用して Windows SmartScreen までお問い合わせください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: コレクション

重大度: 中

コンテナーのアラート - Kubernetes クラスター

Microsoft Defender for Containers では、コントロール プレーン (API サーバー) とコンテナー化されたワークロード自体の両方を監視することで、クラスター レベルと基になるクラスター ノードのセキュリティ アラートを提供します。 コントロール プレーンのセキュリティ アラートは、アラートの種類の K8S_ プレフィックスで見分けることができます。 クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。 特に指定がない限り、すべてのアラートは Linux でのみサポートされます。

詳細な説明と注意

Exposed Postgres service with trust authentication configuration in Kubernetes detected (Preview) (Kubernetes で信頼認証構成を使用した Postgres サービスの公開が検出されました (プレビュー))

(K8S_ExposedPostgresTrustAuth)

説明: Kubernetes クラスター構成分析で、ロード バランサーによる Postgres サービスの公開が検出されました。 このサービスは、資格情報を必要としない信頼認証方式を使用して構成されています。

MITRE の戦術: InitialAccess

重大度: 中

Exposed Postgres service with risky configuration in Kubernetes detected (Preview) (Kubernetes で危険な構成を持つ Postgres サービスの公開が検出さました (プレビュー))

(K8S_ExposedPostgresBroadIPRange)

説明: Kubernetes クラスター構成分析で、危険な構成を持つロード バランサーによる Postgres サービスの公開が検出されました。 このサービスを広範囲の IP アドレスに公開すると、セキュリティ リスクが発生します。

MITRE の戦術: InitialAccess

重大度: 中

Attempt to create a new Linux namespace from a container detected （新しい Linux 名前空間をコンテナーから作成する試みの検出）

(K8S.NODE_NamespaceCreation) ¹

説明: Kubernetes クラスター内のコンテナー内で実行されているプロセスの分析で、新しい Linux 名前空間を作成しようとしました。 これは正当な動作である場合と、攻撃者がコンテナーからノードに逃れようとしていることを示している場合があります。 一部の CVE-2022-0185 の悪用では、この手法を使用します。

MITRE の戦術: PrivilegeEscalation

重大度: 情報

A history file has been cleared （履歴ファイルが消去されました）

(K8S.NODE_HistoryFileCleared) ¹

説明: コンテナー内または Kubernetes ノード上で直接実行されているプロセスの分析により、コマンド履歴ログ ファイルがクリアされたことが検出されました。 攻撃者は、自分のトラックをカバーするためにこれを行う可能性があります。 この操作は、指定されたユーザー アカウントによって実行されました。

MITRE 戦術: DefenseEvasion

重大度: 中

Abnormal activity of managed identity associated with Kubernetes (Preview)(Kubernetes に関連付けられたマネージド ID の異常なアクティビティ (プレビュー))

(K8S_AbnormalMiActivity)

説明: Azure Resource Manager 操作の分析で、AKS アドオンによって使用されるマネージド ID の異常な動作が検出されました。 検出されたアクティビティは、関連付けられているアドオンの動作と一致しません。 このアクティビティは正当である可能性もありますが、このような動作は、Kubernetes クラスター内の侵害されたコンテナーで攻撃者が ID を取得したことを示している場合があります。

MITRE 戦術: 横移動

重大度: 中

Abnormal Kubernetes service account operation detected (異常な Kubernetes サービス アカウントの操作が検出されました)

(K8S_ServiceAccountRareOperation)

説明: Kubernetes 監査ログ分析で、Kubernetes クラスター内のサービス アカウントによる異常な動作が検出されました。 サービス アカウントが、このサービス アカウントではあまり使用されない操作に使用されました。 このアクティビティは正当である可能性もありますが、このような動作は、サービス アカウントが悪意のある目的で使用されていることを示している場合があります。

MITRE の戦術: 横移動、資格情報アクセス

重大度: 中

An uncommon connection attempt detected (一般的でない接続試行が検出されました)

(K8S.NODE_SuspectConnection) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、ソックス プロトコルを使用する一般的でない接続試行が検出されました。 これは、通常の操作ではほとんど見られませんが、ネットワーク層の検出を回避しようとする攻撃者の既知の手法です。

MITRE の戦術: 実行、流出、悪用

重大度: 中

Attempt to stop apt-daily-upgrade.timer service detected (apt-daily-upgrade.timer サービスの停止の試行が検出されました)

(K8S.NODE_TimerServiceDisabled) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、apt-daily-upgrade.timer サービスを停止する試行が検出されました。 攻撃者がこのサービスを停止して悪意のあるファイルをダウンロードし、攻撃のために実行特権を付与することが確認されています。 このアクティビティは、通常の管理アクションによってサービスが更新された場合にも発生する可能性があります。

MITRE 戦術: DefenseEvasion

重大度: 情報

Behavior similar to common Linux bots detected (Preview) (一般的な Linux ボットに似た動作が検出されました (プレビュー))

(K8S.NODE_CommonBot)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常は一般的な Linux ボットネットに関連付けられているプロセスの実行が検出されました。

MITRE の戦術: 実行、収集、コマンド、制御

重大度: 中

Command within a container running with high privileges (コンテナー内でコマンドが高い特権で実行されています)

(K8S.NODE_PrivilegedExecutionInContainer) ¹

説明: マシン ログは、特権コマンドが Docker コンテナーで実行されたことを示します。 特権コマンドには、ホスト マシンに対する拡張特権があります。

MITRE の戦術: PrivilegeEscalation

重大度: 情報

Container running in privileged mode (コンテナーが特権モードで実行されています）

(K8S.NODE_PrivilegedContainerArtifacts) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、特権コンテナーを実行している Docker コマンドの実行が検出されました。 特権コンテナーには、ホスティング ポッドまたはホスト リソースへのフル アクセス権があります。 侵害された場合、攻撃者は特権コンテナーを使用してホスティング ポッドまたはホストにアクセスする可能性があります。

MITRE の戦術: PrivilegeEscalation、Execution

重大度: 情報

Container with a sensitive volume mount detected (機密のボリューム マウントを持つコンテナーが検出されました)

(K8S_SensitiveMount)

説明: Kubernetes 監査ログ分析で、機密性の高いボリューム マウントを持つ新しいコンテナーが検出されました。 検出されたボリュームは、機密性の高いファイルまたはフォルダーをノードからコンテナーにマウントする hostPath 型です。 コンテナーが侵害された場合、攻撃者はノードにアクセスするためにこのマウントを使用することができます。

MITRE の戦術: 特権エスカレーション

重大度: 情報

CoreDNS modification in Kubernetes detected (Kubernetes で CoreDNS の変更が検出されました)

(K8S_CoreDnsModification) ²³

説明: Kubernetes 監査ログ分析で CoreDNS 構成の変更が検出されました。 CoreDNS の構成は、その configmap をオーバーライドすることによって変更できます。 このアクティビティは、正当である可能性もありますが、攻撃者が configmap を変更する権限を持っている場合、攻撃者はクラスターの DNS サーバーの動作を変更してこれを汚染する可能性があります。

MITRE 戦術: 横移動

重大度: 低

Creation of admission webhook configuration detected (アドミッション Webhook 構成の作成が検出されました)

(K8S_AdmissionController) ³

説明: Kubernetes 監査ログ分析で、新しいアドミッション Webhook 構成が検出されました。 Kubernetes には、MutatingAdmissionWebhook と ValidatingAdmissionWebhook という 2 つの組み込み汎用アドミッション コントローラーがあります。 これらのアドミッション コントローラーの動作は、ユーザーがクラスターにデプロイするアドミッション Webhook によって決まります。 このようなアドミッション コントローラーの使用は、正当である可能性もありますが、攻撃者は、このような Webhook を使用して、要求を変更することも (MutatingAdmissionWebhook の場合)、要求を検査して機密情報を取得することもできます (ValidatingAdmissionWebhook の場合)。

MITRE の戦術: 資格情報アクセス、永続化

重大度: 情報

Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)

(K8S.NODE_SuspectDownload) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、マルウェアの配布に頻繁に使用されるソースからのファイルのダウンロードが検出されました。

MITRE の戦術: PrivilegeEscalation、Execution、Exfiltration、Command and Control

重大度: 中

Detected suspicious file download (不審なファイルのダウンロードが検出されました)

(K8S.NODE_SuspectDownloadArtifacts) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、リモート ファイルの疑わしいダウンロードが検出されました。

MITRE の戦術: 永続化

重大度: 情報

Detected suspicious use of the nohup command (nohup コマンドの不審な使用が検出されました)

(K8S.NODE_SuspectNohup) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、nohup コマンドの疑わしい使用が検出されました。 攻撃者は、nohup コマンドを使用して一時ディレクトリから隠しファイルを実行し、実行可能ファイルをバックグラウンドで実行できるようにすることが確認されています。 一時ディレクトリにある隠しファイルに対してこのコマンドを実行することはほとんどありません。

MITRE の戦術: 永続化、防御の取り込み

重大度: 中

Detected suspicious use of the useradd command (useradd コマンドの不審な使用が検出されました)

(K8S.NODE_SuspectUserAddition) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、useradd コマンドの疑わしい使用が検出されました。

MITRE の戦術: 永続化

重大度: 中

Digital currency mining container detected (デジタル通貨マイニング コンテナーが検出されました)

(K8S_MaliciousContainerImage) ³

説明: Kubernetes 監査ログ分析で、デジタル通貨マイニング ツールに関連付けられたイメージを持つコンテナーが検出されました。

MITRE の戦術: 実行

重大度: 高

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

(K8S.NODE_DigitalCurrencyMining) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。

MITRE の戦術: 実行

重大度: 高

Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました)

(K8S.NODE_ImageBuildOnNode) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、Kubernetes ノード上のコンテナー イメージのビルド操作が検出されました。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。

MITRE 戦術: DefenseEvasion

重大度: 情報

Exposed Kubeflow dashboard detected (Kubeflow ダッシュボードの公開が検出されました)

(K8S_ExposedKubeflow)

説明: Kubernetes 監査ログ分析で、Kubeflow を実行するクラスター内のロード バランサーによる Istio イングレスの露出が検出されました。 このアクションにより、Kubeflow ダッシュボードがインターネットに公開される可能性があります。 ダッシュボードがインターネットに公開されると、攻撃者がアクセスし、クラスター上で悪意のあるコンテナーやコードを実行するおそれがあります。 詳細については、 https://aka.ms/exposedkubeflow-blog の記事を参照してください

MITRE の戦術: 初期アクセス

重大度: 中

Exposed Kubernetes dashboard detected (公開された Kubernetes ダッシュボードが検出されました)

(K8S_ExposedDashboard)

説明: Kubernetes 監査ログ分析で、LoadBalancer サービスによる Kubernetes ダッシュボードの公開が検出されました。 ダッシュボードが公開されると、クラスター管理への認証されていないアクセスが可能になり、セキュリティ上の脅威が生じます。

MITRE の戦術: 初期アクセス

重大度: 高

Exposed Kubernetes service detected (Kubernetes サービスの公開が検出されました)

(K8S_ExposedService)

説明: Kubernetes 監査ログ分析で、ロード バランサーによるサービスの公開が検出されました。 このサービスは、ノードでのプロセスの実行や新しいコンテナーの作成など、クラスター内で影響の大きい操作を許可する機密性の高いアプリケーションに関連しています。 場合によっては、このサービスは認証を要求しません。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。

MITRE の戦術: 初期アクセス

重大度: 中

Exposed Redis service in AKS detected (AKS での Redis サービスの公開が検出されました)

(K8S_ExposedRedis)

説明: Kubernetes 監査ログ分析で、ロード バランサーによる Redis サービスの公開が検出されました。 サービスが認証を要求しない場合、インターネットに公開するとセキュリティ リスクが生じます。

MITRE の戦術: 初期アクセス

重大度: 低

Indicators associated with DDOS toolkit detected (DDOS ツールキットに関連付けられているインジケーターが検出されました)

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、DDoS 攻撃を開始し、ポートとサービスを開き、感染したシステムを完全に制御できるマルウェアに関連付けられたツールキットの一部であるファイル名が検出されました。 これは、正当なアクティビティである可能性もあります。

MITRE の戦術: 永続化、LateralMovement、Execution、Exploitation

重大度: 中

K8S API requests from proxy IP address detected (プロキシ IP アドレスからの K8S API 要求が検出されました)

(K8S_TI_Proxy) ³

説明: Kubernetes 監査ログ分析で、TOR などのプロキシ サービスに関連付けられている IP アドレスからクラスターへの API 要求が検出されました。 この動作は、正当である可能性もありますが、悪意のあるアクティビティで攻撃者がソース IP を隠そうとするときによく見られます。

MITRE の戦術: 実行

重大度: 低

Kubernetes events deleted (Kubernetes イベントが削除されました)

(K8S_DeleteEvents) ²³

説明: 一部の Kubernetes イベントが削除されたことが Defender for Cloud で検出されました。 Kubernetes イベントは、クラスター内の変更に関する情報を含む Kubernetes のオブジェクトです。 攻撃者は、クラスター内での操作を隠すためにこれらのイベントを削除する可能性があります。

MITRE 戦術: 防御回避

重大度: 低

Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました)

(K8S_PenTestToolsKubeHunter)

説明: Kubernetes 監査ログ分析で、AKS クラスターでの Kubernetes 侵入テスト ツールの使用状況が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。

MITRE の戦術: 実行

重大度: 低

Microsoft Defender for Cloud test alert (not a threat) (Microsoft Defender for Cloud のテスト アラート (脅威ではありません))

(K8S.NODE_EICAR) ¹

説明: これは、Microsoft Defender for Cloud によって生成されるテスト アラートです。 これ以外の操作は必要ありません。

MITRE の戦術: 実行

重大度: 高

New container in the kube-system namespace detected (kube-system 名前空間で新しいコンテナーが検出されました)

(K8S_KubeSystemContainer) ³

説明: Kubernetes 監査ログ分析で、この名前空間で通常実行されるコンテナーの中にない kube-system 名前空間の新しいコンテナーが検出されました。 kube-system 名前空間にユーザー リソースを含めることはできません。 攻撃者は、悪意のあるコンポーネントを隠すためにこの名前空間を使用することができます。

MITRE の戦術: 永続化

重大度: 情報

New high privileges role detected (新しい高い特権のロールが検出されました)

(K8S_HighPrivilegesRole) ³

説明: Kubernetes 監査ログ分析で、高い特権を持つ新しいロールが検出されました。 高い特権が付与されているロールにバインドすると、クラスター内のユーザーやグループに高い特権が付与されます。 不必要な特権によって、クラスター内で特権エスカレーションが発生する可能性があります。

MITRE の戦術: 永続化

重大度: 情報

Possible attack tool detected (攻撃ツールの可能性が検出されました)

(K8S.NODE_KnownLinuxAttackTool) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいツールの呼び出しが検出されました。 多くの場合、このツールは他のユーザーを攻撃する悪意のあるユーザーに関係します。

MITRE の戦術: 実行、コレクション、コマンドとコントロール、プローブ

重大度: 中

Possible backdoor detected (バックドアの可能性が検出されました)

(K8S.NODE_LinuxBackdoorArtifact) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいファイルがダウンロードされて実行されていることが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。

MITRE の戦術: 永続化、防御の取り込み、実行、悪用

重大度: 中

Possible command line exploitation attempt (コマンド ラインの悪用試行の可能性があります)

(K8S.NODE_ExploitAttempt) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、既知の脆弱性に対する悪用試行の可能性が検出されました。

MITRE の戦術: 悪用

重大度: 中

Possible credential access tool detected (資格情報アクセス ツールの可能性が検出されました)

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、指定されたプロセスとコマンド ライン履歴項目で識別された、既知の資格情報アクセス ツールがコンテナーで実行されていた可能性があることを検出しました。 このツールは、攻撃者の資格情報へのアクセスの試行に関連付けられていることがよくあります。

MITRE の戦術: CredentialAccess

重大度: 中

Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)

(K8S.NODE_CryptoCoinMinerDownload) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。

MITRE 戦術: DefenseEvasion、Command and Control、Exploitation

重大度: 中

Possible Log Tampering Activity Detected (ログの改ざんアクティビティの可能性が検出されました)

(K8S.NODE_SystemLogRemoval) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、操作中にユーザーのアクティビティを追跡するファイルが削除される可能性が検出されました。 攻撃者は、検出を回避し、悪意のあるアクティビティの痕跡を残さないようにするため、このようなログ ファイルを削除することがよくあります。

MITRE 戦術: DefenseEvasion

重大度: 中

Possible password change using crypt-method detected (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました)

(K8S.NODE_SuspectPasswordChange) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、crypt メソッドを使用してパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。

MITRE の戦術: CredentialAccess

重大度: 中

Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります)

(K8S.NODE_SuspectPortForwarding) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、外部 IP アドレスへのポート転送の開始が検出されました。

MITRE の戦術: 流出、コマンドと制御

重大度: 中

Potential reverse shell detected (リバース シェルの可能性が検出されました)

(K8S.NODE_ReverseShell) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、逆シェルの可能性が検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。

MITRE の戦術: 流出、悪用

重大度: 中

Privileged Container Detected (特権コンテナーが検出されました)

(K8S_PrivilegedContainer)

説明: Kubernetes 監査ログ分析で、新しい特権コンテナーが検出されました。 特権コンテナーは、ノードのリソースにアクセスできるため、コンテナー間の分離が破壊されます。 侵害された場合、攻撃者はノードにアクセスするために、特権コンテナーを使用できます。

MITRE の戦術: 特権エスカレーション

重大度: 情報

Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

説明: コンテナー内で実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。

MITRE の戦術: 実行、悪用

重大度: 中

Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました)

(K8S.NODE_SshKeyAccess) ¹

説明: 既知のマルウェア キャンペーンと同様の方法で SSH authorized_keys ファイルにアクセスしました。 このアクセスは、アクターがマシンへの永続的なアクセスを取得しようとしていることを示している可能性があります。

MITRE 戦術: 不明

重大度: 情報

Role binding to the cluster-admin role detected (クラスター管理者ロールへのロール バインドが検出されました)

(K8S_ClusterAdminBinding)

説明: Kubernetes 監査ログ分析で、管理者特権を付与するクラスター管理者ロールへの新しいバインドが検出されました。 不必要な管理者特権によって、クラスター内で特権エスカレーションが発生する可能性があります。

MITRE の戦術: 永続化

重大度: 情報

Security-related process termination detected (セキュリティ関連のプロセスの終了が検出されました)

(K8S.NODE_SuspectProcessTermination) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、コンテナーのセキュリティ監視に関連するプロセスを終了する試行が検出されました。 多くの場合、攻撃者は事前に定義されたスクリプトを使用して、侵害後にこのようなプロセスを終了しようとします。

MITRE の戦術: 永続化

重大度: 低

SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています)

(K8S.NODE_ContainerSSH) ¹

説明: コンテナー内で実行されているプロセスの分析で、コンテナー内で実行されている SSH サーバーが検出されました。

MITRE の戦術: 実行

重大度: 情報

Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更)

(K8S.NODE_TimestampTampering) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいタイムスタンプの変更が検出されました。 攻撃者は、既存の正当なファイルから新しいツールにタイムスタンプをコピーして、これらの新しくドロップされたファイルの検出を回避することがよくあります。

MITRE の戦術: 永続化、防御の取り込み

重大度: 低

Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求)

(K8S.NODE_KubernetesAPI) ¹

説明: コンテナー内で実行されているプロセスの分析は、Kubernetes API に対して疑わしい要求が行われたことを示します。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。

MITRE の戦術: LateralMovement

重大度: 中

Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)

(K8S.NODE_KubernetesDashboard) ¹

説明: コンテナー内で実行されているプロセスの分析は、Kubernetes ダッシュボードに対して疑わしい要求が行われたことを示します。 この要求は、クラスター内のコンテナーから送信されました。 この動作は意図的なものである場合もありますが、侵害されたコンテナーがクラスターで実行されていることを示している可能性があります。

MITRE の戦術: LateralMovement

重大度: 中

Potential crypto coin miner started (暗号化コイン マイナーが起動された可能性があります)

(K8S.NODE_CryptoCoinMinerExecution) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、通常はデジタル通貨マイニングに関連付けられている方法でプロセスが開始されていることが検出されました。

MITRE の戦術: 実行

重大度: 中

Suspicious password access (不審なパスワード アクセス)

(K8S.NODE_SuspectPasswordFileAccess) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、暗号化されたユーザー パスワードへの疑わしいアクセス試行が検出されました。

MITRE の戦術: 永続化

重大度: 情報

Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました)

(K8S.NODE_Webshell) ¹

説明: コンテナー内で実行されているプロセスの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したコンピューティング リソースに Web シェルをアップロードすることがよくあります。

MITRE の戦術: 永続化、悪用

重大度: 中

Burst of multiple reconnaissance commands could indicate initial activity after compromise (複数の偵察コマンドのバーストは、侵害後の初期アクティビティを示している可能性があります)

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

説明: ホスト/デバイス データの分析により、最初の侵害後に攻撃者によって実行されたシステムまたはホストの詳細の収集に関連する複数の偵察コマンドの実行が検出されました。

MITRE の戦術: 検出、コレクション

重大度: 低

Suspicious Download Then Run Activity (不審なダウンロードして実行のアクティビティ)

(K8S.NODE_DownloadAndRunCombo) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、ファイルがダウンロードされ、同じコマンドで実行されていることが検出されました。 これは必ずしも悪意のあるものではありませんが、攻撃者が悪意のあるファイルを被害者のマシンに取り込むために使用する非常に一般的な手法です。

MITRE の戦術: 実行、CommandAndControl、悪用

重大度: 中

Access to kubelet kubeconfig file detected (kubelet kubeconfig ファイルへのアクセスが検出されました)

(K8S.NODE_KubeConfigAccess) ¹

説明: Kubernetes クラスター ノードで実行されているプロセスの分析で、ホスト上の kubeconfig ファイルへのアクセスが検出されました。 Kubelet プロセスで通常使用される kubeconfig ファイルには、Kubernetes クラスター API サーバーへの資格情報が含まれています。 このファイルへのアクセスは、多くの場合、攻撃者がそれらの資格情報にアクセスしようとしているか、ファイルにアクセスできるかどうかを確認するセキュリティ スキャン ツールに関連付けられます。

MITRE の戦術: CredentialAccess

重大度: 中

Access to cloud metadata service detected (クラウド メタデータ サービスへのアクセスが検出されました)

(K8S.NODE_ImdsCall) ¹

説明: コンテナー内で実行されているプロセスの分析により、ID トークンを取得するためのクラウド メタデータ サービスへのアクセスが検出されました。 コンテナーでは通常、このような操作は実行されません。 この動作は正当なものである可能性がありますが、攻撃者は、実行中のコンテナーに最初にアクセスした後、この手法を使用してクラウド リソースにアクセスする可能性があります。

MITRE の戦術: CredentialAccess

重大度: 中

MITRE Caldera agent detected (MITRE Caldera エージェントが検出されました)

(K8S.NODE_MitreCalderaTools) ¹

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、疑わしいプロセスが検出されました。 これは多くの場合、MITRE 54ndc47 エージェントに関連付けられています。これは、他のマシンを攻撃するために悪意を持って使用される可能性があります。

MITRE の戦術: 永続化、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command and Control、Probing、Exploitation

重大度: 中

¹: AKS 以外のクラスターの プレビュー: このアラートは AKS クラスターで一般公開されていますが、Azure Arc、EKS、GKE などの他の環境ではプレビュー段階です。

²: GKE クラスターの制限事項: GKE で使用している Kubernetes 監査ポリシーは、すべてのアラートの種類はサポートしていません。 そのため、Kubernetes の監査イベントに基づくこのセキュリティ アラートは、GKE クラスターではサポートされていません。

³: このアラートは、Windows ノード/コンテナ―でサポートされています。

SQL Database と Azure Synapse Analytics のアラート

詳細な説明と注意

A possible vulnerability to SQL Injection (SQL インジェクションにつながる可能性のある脆弱性)

(SQL。sql をDB_VulnerabilityToSqlInjectionします。sql をVM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjectionします。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

説明: アプリケーションによって、データベースに問題のある SQL ステートメントが生成されました。 これは、SQL インジェクション攻撃に対する脆弱性があることを示している可能性があります。 エラーのあるステートメントの理由としては、次の 2 つが考えられます。 アプリケーション コードの欠陥により、エラーのある SQL ステートメントが作成された可能性がある。 または、アプリケーション コードまたはストアド プロシージャでユーザー入力がサニタイズされず、エラーのある SQL ステートメントが作成され、SQL インジェクションに悪用される可能性がある。

MITRE の戦術: プレアタッチ

重大度: 中

有害な可能性があるアプリケーションからのログオン アクティビティ

(SQL。SQL をDB_HarmfulApplicationします。sql をVM_HarmfulApplication SQL.MI_HarmfulApplicationします。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。

MITRE の戦術: プレアタッチ

重大度: 高

Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)

(SQL。SQL をDB_DataCenterAnomalyします。sql をVM_DataCenterAnomalyします。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

説明: SQL Server へのアクセス パターンに変更が加わり、だれかが通常とは異なる Azure Data Center からサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや Azure サービス) が検出されることがあります。 それ以外の場合は、アラートによって悪意のあるアクション (Azure の侵害されたリソースからの攻撃者の操作) が検出されます。

MITRE の戦術: プローブ

重大度: 低

Log on from an unusual location (通常とは異なる場所からのログオン)

(SQL。sql をDB_GeoAnomalyします。sql をVM_GeoAnomalyします。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

説明: SQL Server へのアクセス パターンが変更されました。このパターンでは、だれかが通常とは異なる地理的な場所からサーバーにサインインしています。 このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。

MITRE の戦術: 悪用

重大度: 中

Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)

(SQL。SQL をDB_PrincipalAnomalyします。sql をVM_PrincipalAnomalyします。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)

(SQL。sql をDB_DomainAnomalyします。sql をVM_DomainAnomalyします。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

説明: ユーザーは、過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしています。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Login from a suspicious IP (不審な IP からのログイン)

(SQL。sql をDB_SuspiciousIpAnomalyします。SQL をVM_SuspiciousIpAnomalyします。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスからリソースに正常にアクセスされました。

MITRE の戦術: プレアタッチ

重大度: 中

SQL インジェクションの可能性

(SQL。sql をDB_PotentialSqlInjectionします。SQL をVM_PotentialSqlInjection SQL.MI_PotentialSqlInjectionします。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

説明: SQL インジェクションに対して脆弱な特定されたアプリケーションに対してアクティブな悪用が発生しました。 これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して、悪意のある SQL ステートメントを挿入しようとしていることを意味します。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack (ブルート フォース攻撃の可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースに対する明らかなブルート フォース攻撃の後にログインが成功しました。

MITRE の戦術: プレアタッチ

重大度: 高

SQL Server potentially spawned a Windows command shell and accessed an abnormal external source (SQL Server では、Windows コマンド シェルを生成し、異常な外部ソースにアクセスする可能性があります)

(SQL。sql をDB_ShellExternalSourceAnomalyします。SQL をVM_ShellExternalSourceAnomalyします。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

説明: 疑わしい SQL ステートメントによって、これまで見たことのない外部ソースを含む Windows コマンド シェルが生成される可能性があります。 外部ソースにアクセスするシェルを実行することは、攻撃者が悪意のあるペイロードをダウンロードし、それをマシン上で実行して侵害するために使用される方法です。 これにより、攻撃者はリモートで悪意のあるタスクを実行できます。 または、外部ソースへのアクセスを使用して、外部変換先にデータを流出させることができます。

MITRE の戦術: 実行

重大度: 高

Unusual payload with obfuscated parts has been initiated by SQL Server (難読化されたパーツを含む通常とは異なるペイロードが、SQL Server によって開始されました)

(SQL.VM_PotentialSqlInjection)

説明: SQL クエリでコマンドを隠しながらオペレーティング システムと通信する SQL Server のレイヤーを使用して、新しいペイロードが開始されました。 攻撃者は、通常、xp_cmdshell、sp_add_job など、一般的に監視されている影響力のあるコマンドを隠します。 難読化手法では、正規表現の検出を回避し、ログの読みやすさを損なわせるために、文字列連結、キャスト、ベース変更などの正当なコマンドを悪用します。

MITRE の戦術: 実行

重大度: 高

オープンソース リレーショナル データベースのアラート

詳細な説明と注意

Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMariaDB_BruteForceします。MySQL_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)

説明: リソースに対する明らかなブルート フォース攻撃の後にログインが成功しました。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack (ブルート フォース攻撃の可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。

MITRE の戦術: プレアタッチ

重大度: 高

Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました)

(SQL。sql をPostgreSQL_HarmfulApplicationします。sql をMariaDB_HarmfulApplicationします。MySQL_HarmfulApplication)

説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。

MITRE の戦術: プレアタッチ

重大度: 高

Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)

(SQL。sql をPostgreSQL_PrincipalAnomalyします。sql をMariaDB_PrincipalAnomalyします。MySQL_PrincipalAnomaly)

説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)

(SQL。SQL をMariaDB_DomainAnomalyします。sql をPostgreSQL_DomainAnomalyします。MySQL_DomainAnomaly)

説明: ユーザーは、過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしています。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)

(SQL。sql をPostgreSQL_DataCenterAnomalyします。SQL をMariaDB_DataCenterAnomalyします。MySQL_DataCenterAnomaly)

説明: 異常な Azure データ センターからリソースにログオンしたユーザー。

MITRE の戦術: プローブ

重大度: 低

Logon from an unusual cloud provider (通常とは異なるクラウド プロバイダーからのログオン)

(SQL。SQL をPostgreSQL_CloudProviderAnomalyします。sql をMariaDB_CloudProviderAnomalyします。MySQL_CloudProviderAnomaly)

説明: 過去 60 日以内にクラウド プロバイダーからリソースにログオンしたユーザー。 脅威アクターは、その活動で使用する破棄可能なコンピューティング能力をすばやくかつ簡単に入手できます。 これが、新しいクラウド プロバイダーの最近の導入に起因する予想される動作である場合、Defender for Cloud は時間をかけて学習し、今後の誤検知を防止することを試みます。

MITRE の戦術: 悪用

重大度: 中

Log on from an unusual location (通常とは異なる場所からのログオン)

(SQL。sql をMariaDB_GeoAnomalyします。sql をPostgreSQL_GeoAnomalyします。MySQL_GeoAnomaly)

説明: 異常な Azure データ センターからリソースにログオンしたユーザー。

MITRE の戦術: 悪用

重大度: 中

Login from a suspicious IP (不審な IP からのログイン)

(SQL。sql をPostgreSQL_SuspiciousIpAnomalyします。sql をMariaDB_SuspiciousIpAnomalyします。MySQL_SuspiciousIpAnomaly)

説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスからリソースに正常にアクセスされました。

MITRE の戦術: プレアタッチ

重大度: 中

Resource Manager のアラート

注意

委任されたアクセスが表示されているアラートは、サードパーティのサービス プロバイダーのアクティビティのためにトリガーされます。 サービス プロバイダーのアクティビティの表示の詳細を確認してください。

詳細な説明と注意

Azure Resource Manager operation from suspicious IP address (不審な IP アドレスからの Azure Resource Manager の操作)

(ARM_OperationFromSuspiciousIP)

説明: Microsoft Defender for Resource Manager は、脅威インテリジェンス フィードで疑わしいとマークされている IP アドレスからの操作を検出しました。

MITRE の戦術: 実行

重大度: 中

Azure Resource Manager operation from suspicious proxy IP address (不審なプロキシ IP アドレスからの Azure Resource Manager の操作)

(ARM_OperationFromSuspiciousProxyIP)

説明: Microsoft Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられている IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。

MITRE 戦術: 防御回避

重大度: 中

MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AzDomainInfo)

説明: PowerShell スクリプトがサブスクリプションで実行され、リソース、アクセス許可、およびネットワーク構造を検出するための情報収集操作を実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: -

重大度: 低

MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AzureDomainInfo)

説明: PowerShell スクリプトがサブスクリプションで実行され、リソース、アクセス許可、およびネットワーク構造を検出するための情報収集操作を実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: -

重大度: 低

MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AzVMBulkCMD)

説明: サブスクリプションで PowerShell スクリプトが実行され、VM または VM の一覧でコードを実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために VM でスクリプトを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: 実行

重大度: 高

MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)

(RM_MicroBurst.AzureRmVMBulkCMD)

説明: MicroBurst の悪用ツールキットは、仮想マシンでコードを実行するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

MicroBurst exploitation toolkit used to extract keys from your Azure key vaults (Azure キー コンテナーからのキーの抽出に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AzKeyVaultKeysREST)

説明: サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からキーを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: -

重大度: 高

MicroBurst exploitation toolkit used to extract keys to your storage accounts (ストレージ アカウントへのキーの抽出に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AZStorageKeysREST)

説明: サブスクリプションで PowerShell スクリプトが実行され、ストレージ アカウントにキーを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用してストレージ アカウント内の機密データにアクセスします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: コレクション

重大度: 高

MicroBurst exploitation toolkit used to extract secrets from your Azure key vaults (Azure キー コンテナーからのシークレットの抽出に MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.AzKeyVaultSecretsREST)

説明: サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からシークレットを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してシークレットをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: -

重大度: 高

PowerZure exploitation toolkit used to elevate access from Azure AD to Azure (Azure AD から Azure へのアクセス権の昇格に PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.AzureElevatedPrivileges)

説明: PowerZure 悪用ツールキットを使用して、AzureAD から Azure へのアクセスを昇格しました。 これは、テナントでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

PowerZure exploitation toolkit used to enumerate resources (リソースの列挙に PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.GetAzureTargets)

説明: PowerZure 悪用ツールキットは、組織内の正当なユーザー アカウントに代わってリソースを列挙するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: コレクション

重大度: 高

PowerZure exploitation toolkit used to enumerate storage containers, shares, and tables (ストレージ コンテナー、共有、テーブルの列挙に PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.ShowStorageContent)

説明: PowerZure 悪用ツールキットは、ストレージ共有、テーブル、コンテナーを列挙するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

PowerZure exploitation toolkit used to execute a Runbook in your subscription (サブスクリプションでの Runbook の実行に PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.StartRunbook)

説明: PowerZure 悪用ツールキットを使用して Runbook を実行しました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

PowerZure exploitation toolkit used to extract Runbooks content (Runbook の内容の抽出に PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.AzureRunbookContent)

説明: PowerZure 悪用ツールキットを使用して Runbook コンテンツを抽出しました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: コレクション

重大度: 高

PREVIEW - Azurite toolkit run detected (プレビュー - Azurite ツールキットの実行が検出されました)

(ARM_Azurite)

説明: 環境内で既知のクラウド環境偵察ツールキットの実行が検出されました。 Azurite ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピングおよび安全でない構成の特定に使用される恐れがあります。

MITRE の戦術: コレクション

重大度: 高

プレビュー - 検出されたコンピューティング リソースの疑わしい作成

(ARM_SuspiciousComputeCreation)

説明: Microsoft Defender for Resource Manager は、仮想マシン/Azure スケール セットを使用して、サブスクリプション内のコンピューティング リソースの疑わしい作成を特定しました。 特定された操作は、必要に応じて新しいリソースをデプロイすることで管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターがこのような操作を利用して、暗号資産マイニングを行う可能性があります。 コンピューティング リソースのスケールは、サブスクリプションで以前に確認されたよりも高いため、アクティビティは疑わしいと見なされます。 これは、プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE 戦術: 影響

重大度: 中

プレビュー - 不審なキー コンテナーの回復が検出されました

(Arm_Suspicious_Vault_Recovering)

説明: 論理的に削除されたキー コンテナー リソースに対する疑わしい回復操作が Microsoft Defender for Resource Manager によって検出されました。 リソースを回復しているユーザーは、リソースを削除したユーザーとは異なります。 ユーザーがこのような操作を呼び出すことは稀なため、これは非常に不審なです。 さらに、ユーザーは多要素認証 (MFA) なしでログオンしました。 これは、このユーザーが侵害され、機密性の高いリソースにアクセスしたり、ネットワーク内で横移動を実行したりするために、シークレットとキーを検出しようとしていることを示している可能性があります。

MITRE 戦術: 横移動

重大度: 中/高

PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)

(ARM_UnusedAccountPersistence)

説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。

MITRE の戦術: 永続化

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Credential Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "資格情報アクセス" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.CredentialAccess)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、資格情報へのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE の戦術: 資格情報アクセス

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Data Collection' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "データ収集" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.Collection)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、データの収集の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内のリソースに関する機密データを収集する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE の戦術: コレクション

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Defense Evasion' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "防御回避" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.DefenseEvasion)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、防御を回避しようとする試みを示している可能性があります。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、環境内のリソースを侵害している間に検出されないように、このような操作を利用する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE 戦術: 防御回避

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Execution' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "実行" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.Execution)

説明: Microsoft Defender for Resource Manager は、サブスクリプション内のコンピューターで危険度の高い操作が疑わしい呼び出しを検出しました。これは、コードの実行試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE 戦術: 防御の実行

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Impact' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "影響" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.Impact)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、構成の変更が試行されたことを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE 戦術: 影響

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Initial Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "初期アクセス" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.InitialAccess)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、制限されたリソースへのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の制限されたリソースへの初期アクセスを取得する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE の戦術: 初期アクセス

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Lateral Movement Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "横移動アクセス" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.LateralMovement)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、横移動を実行しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して環境内のより多くのリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE 戦術: 横移動

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'persistence' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "永続化" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.Persistence)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、永続化を確立しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内で永続化を確立する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE の戦術: 永続化

重大度: 中

PREVIEW - Suspicious invocation of a high-risk 'Privilege Escalation' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "特権エスカレーション" 操作の不審な呼び出しが検出されました)

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、特権をエスカレートしようとする試みを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して特権をエスカレートし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。

MITRE の戦術: 特権エスカレーション

重大度: 中

PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)

(ARM_UnusedAccountPersistence)

説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。

MITRE の戦術: 永続化

重大度: 中

PREVIEW - Suspicious management session using PowerShell detected (プレビュー - PowerShell を使用する不審な管理セッションが検出されました)

(ARM_UnusedAppPowershellPersistence)

説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に PowerShell を使用しないプリンシパルでは、現在、PowerShell が使用され、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。

MITRE の戦術: 永続化

重大度: 中

プレビュー: Azure portal を使用した疑わしい管理セッションが検出されました

(ARM_UnusedAppIbizaPersistence)

説明: サブスクリプション アクティビティ ログの分析で、疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に Azure portal (Ibiza) を使用しない (過去 45 日間、Azure portal を使用して管理していない、またはアクティブに管理しているサブスクリプション) プリンシパルで、現在、Azure portal を使用して、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。

MITRE の戦術: 永続化

重大度: 中

Privileged custom role created for your subscription in a suspicious way (Preview) (不審な方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー))

(ARM_PrivilegedRoleDefinitionCreation)

説明: Microsoft Defender for Resource Manager で、サブスクリプションで特権カスタム ロール定義が疑わしい作成を検出しました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。

MITRE 戦術: 特権エスカレーション、防御回避

重大度: 情報

Suspicious Azure role assignment detected (Preview) (不審な Azure ロールの割り当てが検出されました (プレビュー))

(ARM_AnomalousRBACRoleAssignment)

説明: Microsoft Defender for Resource Manager は、テナントで PIM (Privileged Identity Management) を使用して実行された疑わしい Azure ロールの割り当てを特定しました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、管理者がプリンシパルに Azure リソースへのアクセスを許可できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターはロールの割り当てを利用してアクセス許可をエスカレートし、攻撃を進めることができます。

MITRE 戦術: 横移動、防御回避

重大度: 低 (PIM) / 高

高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー)

(ARM_AnomalousOperation.CredentialAccess)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、資格情報へのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.Collection)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、データの収集の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内のリソースに関する機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: コレクション

重大度: 中

Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.DefenseEvasion)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、防御を回避しようとする試みを示している可能性があります。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、環境内のリソースを侵害している間に検出されないように、このような操作を利用する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE 戦術: 防御回避

重大度: 中

Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (高リスクの "実行" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.Execution)

説明: Microsoft Defender for Resource Manager は、サブスクリプション内のコンピューターで危険度の高い操作が疑わしい呼び出しを検出しました。これは、コードの実行試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: 実行

重大度: 中

Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (高リスクの "影響" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.Impact)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、構成の変更が試行されたことを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE 戦術: 影響

重大度: 中

高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー)

(ARM_AnomalousOperation.InitialAccess)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、制限されたリソースへのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の制限されたリソースへの初期アクセスを取得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: 初期アクセス

重大度: 中

Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.LateralMovement)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、横移動を実行しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して環境内のより多くのリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE 戦術: 横移動

重大度: 中

疑わしいアクセス権の昇格操作 (プレビュー) (ARM_AnomalousElevateAccess)

説明: Microsoft Defender for Resource Manager によって、疑わしい "アクセス権の昇格" 操作が特定されました。 このプリンシパルがこのような操作を呼び出すことはめったにないため、このアクティビティは疑わしいと見なされます。 このアクティビティは正当なものである可能性があります。脅威アクターは、侵害されたユーザーに対して特権エスカレーションを実行するために "アクセス権の昇格" 操作を利用する可能性があります。

MITRE の戦術: 特権エスカレーション

重大度: 中

Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (高リスクの "永続化" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.Persistence)

説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、永続化を確立しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: 永続化

重大度: 中

Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー))

(ARM_AnomalousOperation.PrivilegeEscalation)

説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、特権をエスカレートしようとする試みを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して特権をエスカレートし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。

MITRE の戦術: 特権エスカレーション

重大度: 中

Usage of MicroBurst exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、MicroBurst 悪用ツールキットが使用されました)

(ARM_MicroBurst.RunCodeOnBehalf)

説明: PowerShell スクリプトがサブスクリプションで実行され、任意のコードを実行したり、Azure Automation アカウントの資格情報を流出させたりする疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために任意のコードを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。

MITRE の戦術: 永続化、資格情報アクセス

重大度: 高

Usage of NetSPI techniques to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために NetSPI 手法が使用されました)

(ARM_NetSPI.MaintainPersistence)

説明: NetSPI 永続化手法を使用して、Webhook バックドアを作成し、Azure 環境で永続化を維持します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

Usage of PowerZure exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、PowerZure 悪用ツールキットが使用されました)

(ARM_PowerZure.RunCodeOnBehalf)

説明: PowerZure 悪用ツールキットで、コードの実行または Azure Automation アカウントの資格情報の流出が検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

Usage of PowerZure function to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために PowerZure 機能が使用されました)

(ARM_PowerZure.MaintainPersistence)

説明: PowerZure 悪用ツールキットによって、Azure 環境での永続化を維持するための Webhook バックドアの作成が検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。

MITRE の戦術: -

重大度: 高

Suspicious classic role assignment detected (Preview) (不審なクラシックロールの割り当てが検出されました (プレビュー))

(ARM_AnomalousClassicRoleAssignment)

説明: Microsoft Defender for Resource Manager は、テナントでの疑わしいクラシック ロールの割り当てを特定しました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、一般的に使用されなくなった従来のロールとの下位互換性を提供するように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような割り当てを利用して、自分の制御下にある別のユーザー アカウントにアクセス許可を付与する可能性があります。

MITRE 戦術: 横移動、防御回避

重大度: 高

Azure Storage のアラート

詳細な説明と注意

Access from a suspicious application (不審なアプリケーションからのアクセス)

(Storage.Blob_SuspiciousApp)

説明: 疑わしいアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。 これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。 適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2

MITRE の戦術: 初期アクセス

重大度: 高/中

Access from a suspicious IP address (不審な IP アドレスからのアクセス)

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

説明: 疑わしいと見なされる IP アドレスからこのストレージ アカウントに正常にアクセスされたことを示します。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2

MITRE 戦術: 攻撃前

重大度: 高/中/低

Phishing content hosted on a storage account (ストレージ アカウントでホストされているフィッシング コンテンツ)

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

説明: フィッシング攻撃で使用される URL は、Azure Storage アカウントを指します。 この URL は、Microsoft 365 のユーザーに影響を与えるフィッシング攻撃の一部でした。 通常、このようなページでホストされているコンテンツは、訪問者が正規に見える Web フォームに自社の資格情報や財務情報を入力するよう誘導することを目的としています。 このアラートは、Microsoft 脅威インテリジェンスを利用しています。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象:Azure Blob Storage、Azure Files

MITRE の戦術: コレクション

重大度: 高

Storage account identified as source for distribution of malware (マルウェアの配布元として識別されたストレージ アカウント)

(Storage.Files_WidespreadeAm)

説明: マルウェア対策アラートは、感染したファイルが、複数の VM にマウントされている Azure ファイル共有に格納されていることを示します。 Azure ファイル共有がマウントされている VM へのアクセス権を攻撃者が取得した場合、攻撃者は、それを使用して、同じ共有をマウントする他の VM にマルウェアを拡散させることができます。 適用対象: Azure Files

MITRE の戦術: 実行

重大度: 中

The access level of a potentially sensitive storage blob container was changed to allow unauthenticated public access (機密である可能性のあるストレージ BLOB コンテナーのアクセス レベルが変更され、認証されていないパブリック アクセスが許可されました)

(Storage.Blob_OpenACL)

説明: アラートは、機密性の高いデータを含む可能性があるストレージ アカウント内の BLOB コンテナーのアクセス レベルを"コンテナー" レベルに変更して、認証されていない (匿名) パブリック アクセスを許可したことを示します。 変更は、Azure portal を通じて行われました。 統計分析に基づいて、BLOB コンテナーには機密データが含まれている可能性があるというフラグが設定されます。 この分析では、BLOB コンテナーまたは同様の名前のストレージ アカウントは、通常、パブリック アクセスに公開されないことが示唆されています。 適用対象: Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: コレクション

重大度: 中

Authenticated access from a Tor exit node (Tor 出口ノードからの認証済みアクセス)

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

説明: ストレージ アカウント内の 1 つ以上のストレージ コンテナー/ファイル共有に、Tor のアクティブな出口ノード (匿名化プロキシ) であることが知られている IP アドレスから正常にアクセスされました。 脅威アクターは Tor を使用して、アクティビティを追跡することを困難にしています。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2

MITRE 戦術: 初期アクセス/事前攻撃

重大度: 高/中

Access from an unusual location to a storage account (ストレージ アカウントへの通常とは異なる場所からのアクセス)

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

説明: Azure Storage アカウントへのアクセス パターンに変更が加えられたことを示します。 最近のアクティビティと比較して見慣れない IP アドレスから誰かがこのアカウントにアクセスしました。 攻撃者がアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。 後者の例には、新しいアプリケーションまたは開発者からのリモート メンテナンスがあります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2

MITRE の戦術: 初期アクセス

重大度: 高/中/低

Unusual unauthenticated access to a storage container (ストレージ コンテナーへの通常とは異なる認証されていないアクセス)

(Storage.Blob_AnonymousAccessAnomaly)

説明: このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変更です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。 適用対象:Azure Blob Storage

MITRE の戦術: 初期アクセス

重大度: 高/低

Potential malware uploaded to a storage account (マルウェアがストレージ アカウントにアップロードされた可能性)

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

説明: 潜在的なマルウェアを含む BLOB が、ストレージ アカウント内の BLOB コンテナーまたはファイル共有にアップロードされたことを示します。 このアラートは、ウイルス、トロイの木馬、スパイウェア、ランサムウェアのハッシュなど、Microsoft の脅威インテリジェンスの機能を活用したハッシュ評価分析に基づいています。 潜在的な原因には、攻撃者による意図的なマルウェアのアップロードや、正当なユーザーによる悪意のある可能性のある BLOB の意図しないアップロードが含まれる可能性があります。 適用対象: Azure Blob Storage、Azure Files (REST API 経由のトランザクションのみ) Microsoft の脅威インテリジェンス機能の詳細について説明。

MITRE 戦術: 横移動

重大度: 高

Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました)

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

説明: ストレージ アカウントでパブリックに開かれているストレージ コンテナーの検出が、スキャン スクリプトまたはツールによって過去 1 時間に正常に実行されました。

通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。

脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE の戦術: コレクション

重大度: 高/中

Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました)

(Storage.Blob_OpenContainersScanning.FailedAttempt)

説明: 過去 1 時間に、パブリックに開いているストレージ コンテナーをスキャンしようとして失敗した一連の試行が実行されました。

通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。

脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE の戦術: コレクション

重大度: 高/低

Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるアクセスの検査)

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

説明: ストレージ アカウントのアクセス許可が、このアカウントの最近のアクティビティと比較して異常な方法で検査されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files

MITRE の戦術: 検出

重大度: 高/中

Unusual amount of data extracted from a storage account (通常とは異なる量のデータがストレージ アカウントから抽出されました)

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

説明: このストレージ コンテナーでの最近のアクティビティと比較して、異常に大量のデータが抽出されたことを示します。 原因として考えられるのは、攻撃者が Blob Storage を保持するコンテナーから大量のデータを抽出したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2

MITRE の戦術: 流出

重大度: 高/低

Unusual application accessed a storage account (通常とは異なるアプリケーションがストレージ アカウントにアクセスしました)

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

説明: 通常とは異なるアプリケーションがこのストレージ アカウントにアクセスしたことを示します。 原因として考えられるのは、攻撃者が新しいアプリケーションを使用して、ご自分のストレージ アカウントにアクセスしたことです。 適用対象:Azure Blob Storage、Azure Files

MITRE の戦術: 実行

重大度: 高/中

Unusual access inspection in a storage account (ストレージ アカウントでの通常と異なるデータの探索)

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

説明: ストレージ アカウント内の BLOB またはコンテナーが、このアカウントの最近のアクティビティと比較して異常な方法で列挙されたことを示します。 原因として考えられるのは、攻撃者が将来の攻撃のための偵察を実行したことです。 適用対象:Azure Blob Storage、Azure Files

MITRE の戦術: 実行

重大度: 高/中

Unusual deletion in a storage account (ストレージ アカウントでの通常と異なる削除)

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

説明: このアカウントの最近のアクティビティと比較して、ストレージ アカウントで 1 つ以上の予期しない削除操作が発生したことを示します。 原因として考えられるのは、攻撃者がストレージ アカウントからデータを削除したことです。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2

MITRE の戦術: 流出

重大度: 高/中

機密性の高い BLOB コンテナーへの異常な認証されていないパブリック アクセス (プレビュー)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

説明: アラートは、外部 (パブリック) IP アドレスを使用して、だれかが認証なしでストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示します。 このアクセスが不審なのは、BLOB コンテナーはパブリック アクセスに対してオープンになっていて、通常は内部ネットワーク (プライベート IP アドレス) からの認証を使用してのみアクセスされるためです。 このアクセスは、BLOB コンテナーのアクセス レベルが正しく構成されておらず、悪意のあるアクターがパブリック アクセスを悪用した可能性があることを示している可能性があります。 このセキュリティ アラートには、検出された機密情報コンテキスト (スキャン時間、分類ラベル、情報の種類、ファイルの種類) が含まれます。 機密データの脅威検出の詳細について確認してください。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 初期アクセス

重大度: 高

機密性の高い BLOB コンテナーから異常な量のデータが抽出された (プレビュー)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

説明: アラートは、だれかがストレージ アカウント内の機密データを含む BLOB コンテナーから異常に大量のデータを抽出したことを示します。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 流出

重大度: 中

機密性の高い BLOB コンテナーから異常な数の BLOB が抽出された (プレビュー)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

説明: アラートは、だれかがストレージ アカウント内の機密データを含む BLOB コンテナーから異常に多くの BLOB を抽出したことを示します。 適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 流出

既知の不審なアプリケーションから機密性の高い BLOB コンテナーへのアクセス (プレビュー)

Storage.Blob_SuspiciousApp.Sensitive

説明: アラートは、既知の疑わしいアプリケーションを持つユーザーが、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスし、認証された操作を実行したことを示します。
このアクセスは、既知の疑わしいアプリケーションを使用して、脅威アクターがストレージ アカウントにアクセスするための資格情報を取得したことを示している可能性があります。 ただしアクセスが、組織で実施された侵入テストを示している可能性もあります。 適用対象: データ秘密度脅威検出機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 初期アクセス

重大度: 高

既知の不審な IP アドレスから機密性の高い BLOB コンテナーへのアクセス (プレビュー)

Storage.Blob_SuspiciousIp.Sensitive

説明: アラートは、Microsoft Threat Intelligence によって脅威 Intel に関連付けられている既知の疑わしい IP アドレスから、ストレージ アカウント内の機密データを含む BLOB コンテナーに誰かがアクセスしたことを示します。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE 戦術: 攻撃前

重大度: 高

Tor 出口ノードから機密性の高い BLOB コンテナーへのアクセス (プレビュー)

Storage.Blob_TorAnomaly.Sensitive

説明: アラートは、Tor 出口ノードと呼ばれる IP アドレスを持つユーザーが、認証されたアクセス権を持つストレージ アカウント内の機密データを持つ BLOB コンテナーにアクセスしたことを示します。 Tor 出口ノードからの認証されているアクセスは、悪質である可能性がある意図のために、アクターが匿名を維持しようとしていることを強く示しています。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE 戦術: 攻撃前

重大度: 高

通常とは異なる場所から機密性の高い BLOB コンテナーへのアクセス (プレビュー)

Storage.Blob_GeoAnomaly.Sensitive

説明: アラートは、だれかが通常とは異なる場所からの認証を使用して、ストレージ アカウント内の機密データを含む BLOB コンテナーにアクセスしたことを示します。 アクセスは認証されたため、このストレージ アカウントへのアクセスを許可する資格情報が侵害された可能性があります。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 初期アクセス

重大度: 中

機密性の高いストレージ BLOB コンテナーのアクセス レベルが、認証されていないパブリック アクセスを許可するように変更された (プレビュー)

Storage.Blob_OpenACL.Sensitive

説明: アラートは、機密データを含むストレージ アカウント内の BLOB コンテナーのアクセス レベルを"コンテナー" レベルに変更したことを示します。これにより、認証されていない (匿名) パブリック アクセスが許可されます。 変更は、Azure portal を通じて行われました。 アクセス レベルの変更により、データのセキュリティが損なわれる可能性があります。 このアラートがトリガーされた場合は直ちにアクションを起こし、データをセキュリティで保護し、未認可のアクセスを防ぐことをお勧めします。 適用対象: 新しい Defender for Storage プランでデータ秘密度の脅威検出機能が有効になっている Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: コレクション

重大度: 高

過剰なアクセス許可を持つ SAS トークンを使用した Azure ストレージ アカウントへの不審な外部アクセス (プレビュー)

Storage.Blob_AccountSas.InternalSasUsedExternally

説明: このアラートは、外部 (パブリック) IP アドレスを持つユーザーが、有効期限が長い過度に制限されていない SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 SAS トークンは、通常 (プライベート IP アドレスの) 内部ネットワークでのみ使用されるため、この種類のアクセスは不審なと見なされます。 このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩したか、正当なソースから意図せずに漏洩したことを示している可能性があります。 アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 流出/リソース開発/影響

重大度: 中

過剰なアクセス許可を持つ SAS トークンを使用した Azure ストレージ アカウントに対する不審な外部操作 (プレビュー)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

説明: このアラートは、外部 (パブリック) IP アドレスを持つユーザーが、有効期限が長い過度に制限されていない SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 この SAS トークンを使用して (プライベート IP アドレスからではなく) ネットワークの外部で呼び出された操作は、一般に、一連の特定の読み取り/書き込み/削除操作に使用されますが、他の操作が発生したため、このアクセスは不審なと見なされます。 このアクティビティは、SAS トークンが悪意のあるアクターによって漏洩したか、正当なソースから意図せずに漏洩したことを示している可能性があります。 アクセスが正当であっても、有効期限が長く多くのアクセス許可を持つ SAS トークンを使用することは、セキュリティのベスト プラクティスに反しており、潜在的なセキュリティ リスクが生じます。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 流出/リソース開発/影響

重大度: 中

パブリック IP アドレスから Azure ストレージ アカウントにアクセスするのに通常とは異なる SAS トークンが使用された (プレビュー)

Storage.Blob_AccountSas.UnusualExternalAccess

説明: アラートは、外部 (パブリック) IP アドレスを持つユーザーがアカウント SAS トークンを使用してストレージ アカウントにアクセスしたことを示します。 SAS トークンを使用したストレージ アカウントへのアクセスは、通常、内部 (プライベート) IP アドレスからのみ行われるため、アクセスはまったく普通ではなく不審なと見なされます。 このストレージ アカウントへのアクセスを取得するため、組織内または外部から悪意のあるアクターによって SAS トークンが漏洩された、または生成された可能性があります。 適用対象: 新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE の戦術: 流出/リソース開発/影響

重大度: 低

ストレージ アカウントに悪意のあるファイルがアップロードされた

Storage.Blob_AM.MalwareFound

説明: アラートは、悪意のある BLOB がストレージ アカウントにアップロードされたことを示します。 このセキュリティ アラートは、Defender for Storage のマルウェア スキャン機能によって生成されます。 潜在的な原因には、脅威アクターによるマルウェアの意図的なアップロードや、正当なユーザーによる悪意のあるファイルの意図しないアップロードが含まれる可能性があります。 適用対象: マルウェア スキャン機能が有効な新しい Defender for Storage プランを使用する Azure BLOB (Standard 汎用 v2、Azure Data Lake Storage Gen2、または Premium ブロック BLOB) ストレージ アカウント。

MITRE 戦術: 横移動

重大度: 高

悪意のある BLOB がストレージ アカウントからダウンロードされました (プレビュー)

Storage.Blob_MalwareDownload

説明: アラートは、悪意のある BLOB がストレージ アカウントからダウンロードされたことを示します。 潜在的な原因には、ストレージ アカウントにアップロードされ、削除または検疫されていないマルウェアが含まれる可能性があります。これにより、脅威アクターがそれをダウンロードしたり、正当なユーザーやアプリケーションによるマルウェアの意図しないダウンロードが可能になったりする可能性があります。 適用対象: マルウェア スキャン機能が有効になっている新しい Defender for Storage プランを使用する Azure Blob (Standard 汎用 v2、Azure Data Lake Storage Gen2、Premium ブロック BLOB) ストレージ アカウント。

MITRE 戦術: 横移動

重大度: Eicar - low の場合は High

Azure Cosmos DB のアラート

詳細な説明と注意

Access from a Tor exit node (Tor 出口ノードからのアクセス)

(CosmosDB_TorAnomaly)

説明: この Azure Cosmos DB アカウントは、匿名化プロキシである Tor のアクティブな出口ノードであることが知られている IP アドレスから正常にアクセスされました。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。

MITRE の戦術: 初期アクセス

重大度: 高/中

Access from a suspicious IP (不審な IP からのアクセス)

(CosmosDB_SuspiciousIp)

説明: この Azure Cosmos DB アカウントは、Microsoft Threat Intelligence によって脅威として識別された IP アドレスから正常にアクセスされました。

MITRE の戦術: 初期アクセス

重大度: 中

Access from an unusual location (通常とは異なる場所からのアクセス)

(CosmosDB_GeoAnomaly)

説明: この Azure Cosmos DB アカウントは、通常のアクセス パターンに基づいて、なじみのない場所からアクセスされました。

脅威アクターがアカウントへのアクセス権を取得したか、あるいは正当なユーザーが新しい、または通常とは異なる地理的場所から接続しました。

MITRE の戦術: 初期アクセス

重大度: 低

Unusual volume of data extracted (異常に大容量のデータの抽出)

(CosmosDB_DataExfiltrationAnomaly)

説明: この Azure Cosmos DB アカウントから、異常に大量のデータが抽出されました。 これは、脅威アクターがデータを抜き通ったことを示している可能性があります。

MITRE の戦術: 流出

重大度: 中

Extraction of Azure Cosmos DB accounts keys via a potentially malicious script (悪意のある可能性があるスクリプトを使用した Azure Cosmos DB アカウント キーの抽出)

(CosmosDB_SuspiciousListKeys.MaliciousScript)

説明: サブスクリプションで PowerShell スクリプトが実行され、サブスクリプション内の Azure Cosmos DB アカウントのキーを取得するために、キー一覧操作の疑わしいパターンが実行されました。 脅威アクターは、Microburst などの自動化されたスクリプトを使用して、キーを一覧表示し、アクセスできる Azure Cosmos DB アカウントを見つけ出します。

この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境内の Azure Cosmos DB アカウントを侵害しようとしていることを示している可能性があります。

または、悪意のある内部関係者が機微なデータにアクセスし、横移動を試みている可能性があります。

MITRE の戦術: コレクション

重大度: 中

Suspicious extraction of Azure Cosmos DB account keys (Azure Cosmos DB アカウント キーの不審な抽出) (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

説明: 疑わしいソースがサブスクリプションから Azure Cosmos DB アカウント アクセス キーを抽出しました。 このソースが正当なソースでない場合は、影響が大きい問題である可能性があります。 抽出されたアクセス キーは、関連するデータベースと、その中の格納データを完全に制御します。 ソースが不審なとフラグ付けされた理由を理解するには、各特定のアラートの詳細を参照してください。

MITRE の戦術: 資格情報アクセス

重大度: 高

SQL injection: potential data exfiltration (SQL インジェクション: データ流出の可能性)

(CosmosDB_SqlInjection.DataExfiltration)

説明: 疑わしい SQL ステートメントを使用して、この Azure Cosmos DB アカウント内のコンテナーに対してクエリを実行しました。

挿入されたステートメントにより、脅威アクターが、アクセスを許可されていないデータの流出に成功している可能性があります。

Azure Cosmos DB クエリの構造と機能により、Azure Cosmos DB アカウントに対する多くの既知の SQL インジェクション攻撃は動作しません。 ただし、この攻撃で使用されるバリエーションが機能し、脅威アクターがデータを流出させる可能性があります。

MITRE の戦術: 流出

重大度: 中

SQL injection: fuzzing attempt (SQL インジェクション: ファジングの試行)

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

説明: 疑わしい SQL ステートメントを使用して、この Azure Cosmos DB アカウント内のコンテナーに対してクエリを実行しました。

他の既知の SQL インジェクション攻撃と同様に、この攻撃は Azure Cosmos DB アカウントを侵害しても成功しません。

ただし、脅威アクターがこのアカウント内のリソースを攻撃しようとしていることを示しており、アプリケーションが侵害される可能性があります。

一部の SQL インジェクション攻撃は成功し、データを抜き取るために使用されることがあります。 つまり、攻撃者が引き続き SQL インジェクションの試行を実行すると、Azure Cosmos DB アカウントが侵害され、データが流出する可能性があります。

この脅威を回避するには、パラメーター化されたクエリを使用します。

MITRE 戦術: 事前攻撃

重大度: 低

Azure ネットワーク レイヤーのアラート

詳細な説明と注意

Network communication with a malicious machine detected (悪意のあるマシンとのネットワーク通信が検出されました)

(Network_CommunicationWithC2)

説明: ネットワーク トラフィック分析は、マシン (IP %{Victim IP}) がコマンド アンド コントロール センターと通信したことを示します。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが、コマンド アンド コントロール センターの可能性がある対象と通信していることを示している可能性があります。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible compromised machine detected (侵害された可能性のあるマシンが検出されました)

(Network_ResourceIpIndicatedAsMalicious)

説明: 脅威インテリジェンスは、コンピューター (IP %{Machine IP}) が Conficker 型のマルウェアによって侵害された可能性があることを示します。 Conficker は、Microsoft Windows オペレーティング システムをターゲットにしたコンピューター ワームで、2008 年 11 月に初めて検出されました。 Conficker は、200 以上の国/地域で政府、企業、および自宅のコンピューターを含む何百万台ものコンピューターに感染し、2003 年の Welchia ワーム以来最大のコンピューター ワーム感染として知られるようになりました。

MITRE の戦術: コマンドとコントロール

重大度: 中

Possible incoming %{Service Name} brute force attempts detected (%{Service Name} ブルート フォース攻撃を受信した可能性が検出されました)

(Generic_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析で、%{Attacker IP} からリソース %{Compromised Host} に関連付けられている %{Victim IP} への着信 %{サービス名} 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Victim Port} での不審なアクティビティが示されています。 このアクティビティは、%{Service Name} サーバーに対するブルート フォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 情報

Possible incoming SQL brute force attempts detected (SQL ブルート フォース攻撃が試行された可能性が検出されました)

(SQL_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析で、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への受信 SQL 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データに、%{Start Time} から %{End Time} の間にポート %{Port Number} (%{SQL Service Type}) での不審なアクティビティが示されています。 このアクティビティは、SQL サーバーに対するブルート フォース攻撃の試行と一致しています。

MITRE の戦術: プレアタッチ

重大度: 中

Possible outgoing denial-of-service attack detected (サービス拒否攻撃が送信された可能性が検出されました)

(DDOS)

説明: ネットワーク トラフィック分析で、デプロイ内のリソースである %{Compromised Host} から発生する異常な送信アクティビティが検出されました。 このアクティビティは、リソースが侵害され、現在、外部エンドポイントに対するサービス拒否攻撃に関与していることを示している可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審なアクティビティは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースが侵害されていることを示している可能性があります。 接続の量から、次の IP が DOS 攻撃のターゲットになっている可能性があると考えられます: %{Possible Victims}。 これらの IP の一部への通信は正当なものである可能性があることに注意してください。

MITRE 戦術: 影響

重大度: 中

Suspicious incoming RDP network activity from multiple sources (複数のソースからの不審な着信 RDP ネットワーク アクティビティ)

(RDP_Incoming_BF_ManyToOne)

説明: ネットワーク トラフィック分析で、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が複数のソースから検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (Botnet) から RDP エンドポイントをブルート フォースする試みを示している可能性があります。

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming RDP network activity (不審な着信 RDP ネットワーク アクティビティ)

(RDP_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な着信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、RDP エンドポイントをブルート フォースする試みを示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity from multiple sources (複数のソースからの不審な着信 SSH ネットワーク アクティビティ)

(SSH_Incoming_BF_ManyToOne)

説明: ネットワーク トラフィック分析により、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が複数のソースから検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、%{Number of Attacking IPs} の固有の IP がご使用のリソースに接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、複数のホスト (Botnet) からの SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious incoming SSH network activity (不審な着信 SSH ネットワーク アクティビティ)

(SSH_Incoming_BF_OneToOne)

説明: ネットワーク トラフィック分析により、%{Attacker IP} から、リソース %{Compromised Host} に関連付けられている %{Victim IP} への異常な受信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、不審な受信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースに転送されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースに対して %{Number of Connections} の着信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、SSH エンドポイントのブルート フォース攻撃の試行を示している可能性があります

MITRE の戦術: プレアタッチ

重大度: 中

Suspicious outgoing %{Attacked Protocol} traffic detected (不審な %{Attacked Protocol} の送信トラフィックが検出されました)

(PortScanning)

説明: ネットワーク トラフィック分析で、%{Compromised Host} から宛先ポート %{最も一般的なポート} への疑わしい送信トラフィックが検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作は、リソースが %{Attacked Protocol} ブルート フォース攻撃またはポート スイープ攻撃に参加していることを示している可能性があります。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing RDP network activity to multiple destinations (複数の送信元への不審な発信 RDP ネットワーク アクティビティ)

(RDP_Outgoing_BF_OneToMany)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のマシンが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、リソースが侵害され、外部 RDP エンドポイントのブルート フォースに使用されたことを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 高

Suspicious outgoing RDP network activity (不審な発信 RDP ネットワーク アクティビティ)

(RDP_Outgoing_BF_OneToOne)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な発信リモート デスクトップ プロトコル (RDP) 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、コンピューターが侵害され、現在は外部 RDP エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 高

Suspicious outgoing SSH network activity to multiple destinations (複数の送信先への不審な発信 SSH ネットワーク アクティビティ)

(SSH_Outgoing_BF_OneToMany)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された複数の宛先への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースが %{Number of Attacked IPs} の固有の IP に接続していることが示されていますが、この環境では異常と考えられます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE の戦術: 検出

重大度: 中

Suspicious outgoing SSH network activity (不審な発信 SSH ネットワーク アクティビティ)

(SSH_Outgoing_BF_OneToOne)

説明: ネットワーク トラフィック分析により、デプロイ内のリソースである %{Compromised Host} (%{Attacker IP}) から発信された %{Victim IP} への異常な送信 SSH 通信が検出されました。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 具体的には、サンプリングされたネットワーク データでは、ご使用のリソースから %{Number of Connections} の送信接続が示されていますが、これはこの環境では異常と考えられます。 このアクティビティは、リソースが侵害され、現在は外部 SSH エンドポイントのブルート フォースに使用されていることを示している可能性があります。 この種の活動によって、自分の IP が外部のエンティティによって悪意のある IP とフラグが付けられる可能性があることに注意してください。

MITRE 戦術: 横移動

重大度: 中

Traffic detected from IP addresses recommended for blocking (ブロックを推奨されていた IP アドレスからトラフィックが検出されました)

(Network_TrafficFromUnrecommendedIP)

説明: Microsoft Defender for Cloud で、ブロックすることをお勧めする IP アドレスからの受信トラフィックが検出されました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。

MITRE の戦術: プローブ

重大度: 情報

Azure Key Vault のアラート

詳細な説明と注意

Access from a suspicious IP address to a key vault (不審な IP アドレスからのキー コンテナーへのアクセス)

(KV_SuspiciousIPAccess)

説明: キー コンテナーは、疑わしい IP アドレスとして Microsoft Threat Intelligence によって識別された IP によって正常にアクセスされました。 これは、インフラストラクチャが侵害されたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。

MITRE の戦術: 資格情報アクセス

重大度: 中

Access from a TOR exit node to a key vault (TOR 出口ノードからキー コンテナーへのアクセス)

(KV_TORAccess)

説明: 既知の TOR 出口ノードからキー コンテナーにアクセスしました。 これは、脅威アクターがキー コンテナーにアクセスし、TOR ネットワークを使用してそのソースの場所を隠していることを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

High volume of operations in a key vault (キー コンテナーでの大量の操作)

(KV_OperationVolumeAnomaly)

説明: 異常な数のキー コンテナー操作が、ユーザー、サービス プリンシパル、または特定のキー コンテナーによって実行されました。 この異常なアクティビティ パターンは正当なものである可能性がありますが、脅威アクターがキー コンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious policy change and secret query in a key vault (キー コンテナーでの不審なポリシー変更とシークレット クエリ)

(KV_PutGetAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常な Vault Put ポリシー変更操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはありません。 これは正当なアクティビティかもしれませんが、脅威アクターが以前にアクセスできないシークレットにアクセスするためにキー コンテナー ポリシーを更新したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Suspicious secret listing and query in a key vault (キー コンテナーでの不審なシークレット一覧取得とクエリ)

(KV_ListGetAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常なシークレット リスト操作を実行し、その後に 1 つ以上のシークレット取得操作を実行しました。 このパターンは、通常、指定されたユーザーまたはサービス プリンシパルによって実行されることはなく、普通はシークレット ダンプに関連付けられています。 これは正当なアクティビティかもしれませんが、脅威アクターがキー コンテナーにアクセスし、ネットワーク内を横方向に移動したり、機密性の高いリソースにアクセスしたりするために使用できるシークレットを検出しようとしていることを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました

(KV_AccountVolumeAccessDeniedAnomaly)

説明: ユーザーまたはサービス プリンシパルが、過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 検出

重大度: 低

Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました)

(KV_UserAccessDeniedAnomaly)

説明: 通常はアクセスしないユーザーによってキー コンテナーへのアクセスが試行されました。この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。

MITRE の戦術: 初期アクセス、検出

重大度: 低

Unusual application accessed a key vault (異常なアプリケーションによるキー コンテナーへのアクセス)

(KV_AppAnomaly)

説明: 通常はアクセスしないサービス プリンシパルによってキー コンテナーにアクセスされました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual operation pattern in a key vault (キー コンテナーでの異常な操作パターン)

(KV_OperationPatternAnomaly)

説明: キー コンテナー操作の異常なパターンは、ユーザー、サービス プリンシパル、または特定のキー コンテナーによって実行されました。 この異常なアクティビティ パターンは正当なものである可能性がありますが、脅威アクターがキー コンテナーとその中に含まれるシークレットへのアクセス権を取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user accessed a key vault (異常なユーザーによるキー コンテナーへのアクセス)

(KV_UserAnomaly)

説明: 通常はアクセスしないユーザーがキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Unusual user-application pair accessed a key vault (通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセス)

(KV_UserAppAnomaly)

説明: 通常はアクセスしないユーザー サービス プリンシパル ペアによってキー コンテナーにアクセスされました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターがその中に含まれるシークレットにアクセスしようとして、キー コンテナーへのアクセスを取得したことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

User accessed high volume of key vaults (ユーザーによる大量のキー コンテナーへのアクセス)

(KV_AccountVolumeAnomaly)

説明: ユーザーまたはサービス プリンシパルが異常に大量のキー コンテナーにアクセスしました。 この異常なアクセス パターンは正当なアクティビティである可能性がありますが、脅威アクターが複数のキー コンテナーにアクセスして、その中に含まれるシークレットにアクセスしようとしたことを示している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました

(KV_SuspiciousIPAccessDenied)

説明: Microsoft Threat Intelligence によって疑わしい IP アドレスとして識別された IP によって、キー コンテナーへのアクセスが失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 低

疑わしい IP (Microsoft 以外または外部) からのキー コンテナーへの異常なアクセス

(KV_UnusualAccessSuspiciousIP)

説明: ユーザーまたはサービス プリンシパルが、過去 24 時間以内に Microsoft 以外の IP からキー コンテナーへの異常なアクセスを試行しました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。

MITRE の戦術: 資格情報アクセス

重大度: 中

Azure DDoS Protection のアラート

詳細な説明と注意

DDoS Attack detected for Public IP (パブリック IP に対する DDoS 攻撃が検出されました)

(NETWORK_DDOS_DETECTED)

説明: パブリック IP (IP アドレス) に対して DDoS 攻撃が検出され、軽減されます。

MITRE の戦術: プローブ

重大度: 高

DDoS Attack mitigated for Public IP (パブリック IP に対する DDoS 攻撃の軽減策が実施されました)

(NETWORK_DDOS_MITIGATED)

説明: パブリック IP (IP アドレス) に対する DDoS 攻撃が軽減されました。

MITRE の戦術: プローブ

重大度: 低

Defender for API のアラート

API エンドポイントへの API トラフィックの不審な母集団レベルの急増

(API_PopulationSpikeInAPITraffic)

説明: API エンドポイントのいずれかで、API トラフィックの疑わしいスパイクが検出されました。 検出システムでは、過去のトラフィック パターンを使用して、すべての IP とエンドポイント間の定期的な API トラフィック量のベースラインが確立されています。このベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。

MITRE 戦術: 影響

重大度: 中

1 つの IP アドレスから API エンドポイントへの API トラフィックの不審な急増

(API_SpikeInAPITraffic)

説明: クライアント IP から API エンドポイントへの API トラフィックの疑わしいスパイクが検出されました。 検出システムでは、過去のトラフィック パターンを使用して、特定の IP からエンドポイントに送信される定期的な API トラフィック量のベースラインが確立されています。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。

MITRE 戦術: 影響

重大度: 中

1 つの IP アドレスと API エンドポイントの間で送信される応答ペイロードが異常に大きい

(API_SpikeInPayload)

説明: 1 つの IP といずれかの API エンドポイント間のトラフィックに対して、API 応答ペイロード サイズの疑わしいスパイクが観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 応答ペイロード サイズを示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 応答ペイロードのサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。

MITRE の戦術: 初期アクセス

重大度: 中

1 つの IP アドレスと API エンドポイントの間で送信される要求本文が異常に大きい

(API_SpikeInPayload)

説明: 1 つの IP といずれかの API エンドポイント間のトラフィックに対して、API 要求本文サイズの疑わしいスパイクが観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 要求本文サイズを示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 要求のサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。

MITRE の戦術: 初期アクセス

重大度: 中

(プレビュー) 1 つの IP アドレスと API エンドポイント間のトラフィックにおける待機時間の不審な急増

(API_SpikeInLatency)

説明: 1 つの IP といずれかの API エンドポイントの間のトラフィックに対して、疑わしい待機時間の急増が観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイント間の通常の API トラフィック待機時間を示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 呼び出しの待機時間が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。

MITRE の戦術: 初期アクセス

重大度: 中

API 要求が、1 つの IP アドレスから異常に多数の個別 API エンドポイントに送信されている

(API_SprayInRequests)

説明: 異なる数の異なるエンドポイントへの API 呼び出しを行う 1 つの IP が観察されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中で 1 つの IP によって呼び出される一般的な個別エンドポイント数を示すベースラインを学習します。 1 つの IP の動作が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。

MITRE の戦術: 検出

重大度: 中

API エンドポイントでのパラメーター列挙

(API_ParameterEnumeration)

説明: API エンドポイントのいずれかにアクセスするときに、パラメーターを列挙する単一の IP が観察されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でこのエンドポイントへのアクセス時に 1 つの IP で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 1 つのクライアント IP が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。

MITRE の戦術: 初期アクセス

重大度: 中

API エンドポイントでの分散パラメーター列挙

(API_DistributedParameterEnumeration)

説明: API エンドポイントのいずれかにアクセスするときに、集計ユーザー作成 (すべての IP) がパラメーターの列挙を確認されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でエンドポイントへのアクセス時にユーザー母集団 (すべての IP) で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 ユーザー母集団が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。

MITRE の戦術: 初期アクセス

重大度: 中

API 呼び出しでの異常なデータ型を持つパラメーター値

(API_UnseenParamType)

説明: 1 つの IP が API エンドポイントのいずれかにアクセスし、低確率のデータ型 (文字列、整数など) のパラメーター値を使用して観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、各 API パラメーターの想定されるデータ型を学習します。 1 つの IP が最近、以前の低確率データ型をパラメーター入力として使用してエンドポイントにアクセスしたため、アラートがトリガーされました。

MITRE 戦術: 影響

重大度: 中

API 呼び出しでの未知のパラメーターの使用

(API_UnseenParam)

説明: 1 つの IP が、要求で以前に見られなかったパラメーターまたは範囲外のパラメーターを使用して、いずれかの API エンドポイントにアクセスしているのを確認しました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、エンドポイントへの呼び出しに関連付けられる一連の想定されるパラメーターを学習します。 1 つの IP が最近、未知のパラメーターを使用してエンドポイントにアクセスしたため、アラートがトリガーされました。

MITRE 戦術: 影響

重大度: 中

Tor 出口ノードから API エンドポイントへのアクセス

(API_AccessFromTorExitNode)

説明: Tor ネットワークから API エンドポイントのいずれかにアクセスした IP アドレス。 Tor は、実際の IP を隠したままインターネットにアクセスできるネットワークです。 正当に使用されることもありますが、攻撃者がユーザーのシステムをオンラインで標的にするときに、自分の ID を隠すために頻繁に使用されます。

MITRE 戦術: 事前攻撃

重大度: 中

不審な IP からの API エンドポイント アクセス

(API_AccessFromSuspiciousIP)

説明: いずれかの API エンドポイントにアクセスする IP アドレスが、脅威になる可能性が高いとして Microsoft Threat Intelligence によって識別されました。 悪意のあるインターネット トラフィックの監視中に、この IP が他のオンライン ターゲットの攻撃に関与していると示されました。

MITRE 戦術: 事前攻撃

重大度: 高

Suspicious User Agent detected (不審なユーザー エージェントが検出されました)

(API_AccessFromSuspiciousUserAgent)

説明: いずれかの API エンドポイントにアクセスする要求のユーザー エージェントに、リモート コードの実行時の試行を示す異常な値が含まれていました。 これは、いずれかの API エンドポイントが侵害されたことを意味するわけではありませんが、攻撃の試行が進行中であることを示唆しています。

MITRE の戦術: 実行

重大度: 中

AI ワークロードのアラート

Azure Open AI モデルのデプロイで資格情報の盗難の試行が検出されました

(AI。Azure_CredentialTheftAttempt)

説明: 資格情報盗難アラートは、GenAI モデルの応答内で資格情報が検出されたときに SOC にユーザー プロンプトに通知するように設計されており、侵害の可能性を示します。 このアラートは、資格情報の漏洩や盗難のケースを検出するために重要です。これは生成 AI に固有であり、成功した場合に重大な結果を招く可能性があります。

MITRE の戦術: 資格情報アクセス、横移動、流出

重大度: 中

Azure Open AI モデルのデプロイに対する脱獄の試行が、Azure AI コンテンツの安全性プロンプト シールドによってブロックされました

(AI。Azure_Jailbreak.ContentFiltering.BlockedAttempt)

説明: ダイレクト プロンプトインジェクション手法を使用して実行される脱獄アラートは、生成 AI のセーフガードをバイパスするためにシステム プロンプトを操作しようとしたことを SOC に通知し、機密データや特権関数にアクセスする可能性があることを通知するように設計されています。 このような試みが Azure Responsible AI Content Safety (AKA Prompt Shields) によってブロックされ、AI リソースの整合性とデータ セキュリティが確保されたことを示しました。

MITRE 戦術: 特権エスカレーション、防御回避

重大度: 中

Azure Open AI モデルのデプロイに対する脱獄の試行が、Azure AI コンテンツの安全性プロンプト シールドによって検出されました

(AI。Azure_Jailbreak.ContentFiltering.DetectedAttempt)

説明: ダイレクト プロンプトインジェクション手法を使用して実行される脱獄アラートは、生成 AI のセーフガードをバイパスするためにシステム プロンプトを操作しようとしたことを SOC に通知し、機密データや特権関数にアクセスする可能性があることを通知するように設計されています。 このような試行は、Azure Responsible AI Content Safety (AKA Prompt Shields) によって検出されましたが、コンテンツ フィルタリングの設定や信頼性の低さによってブロックされなかったことが示されました。

MITRE 戦術: 特権エスカレーション、防御回避

重大度: 中

Azure Open AI モデルのデプロイで検出された機密データの公開

(AI。Azure_DataLeakInModelResponse.Sensitive)

説明: 機密性の高いデータ漏洩アラートは、悪意のあるユーザーが未承認の機密データにアクセスするために生成 AI のセーフガードをバイパスしようとしたことが原因で、GenAI モデルが機密情報でユーザー プロンプトに応答したことを SOC に通知するように設計されています。

MITRE の戦術: コレクション

重大度: 中

非推奨の Defender for Containers アラート

次の一覧には、非推奨となった Defender for Containers のセキュリティ アラートが含まれています。

Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました)

(K8S.NODE_FirewallDisabled)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、ホスト上のファイアウォールが操作される可能性が検出されました。 攻撃者は、データを抜き取るためにこれを無効にすることがよくあります。

MITRE の戦術: DefenseEvasion、Exfiltration

重大度: 中

Suspicious use of DNS over HTTPS (DNS over HTTPS の不審な使用)

(K8S.NODE_SuspiciousDNSOverHttps)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、一般的でない方法で HTTPS 経由の DNS 呼び出しの使用が検出されました。 この手法は、攻撃者が不審なサイトや悪意のあるサイトの呼び出しを隠すために使用されます。

MITRE の戦術: DefenseEvasion、Exfiltration

重大度: 中

A possible connection to malicious location has been detected. (悪意のある場所への接続の可能性が検出されました)

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、悪意のある場所または異常であると報告された場所への接続が検出されました。 これは、侵害が発生した可能性があることを示す指標です。

MITRE の戦術: InitialAccess

重大度: 中

Digital currency mining activity (デジタル通貨マイニング アクティビティ)

(K8S。NODE_CurrencyMining)

説明: デジタル通貨マイニング アクティビティが検出された DNS トランザクションの分析。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

非推奨の Defender for Servers Linux アラート

VM_AbnormalDaemonTermination

アラート表示名: 異常終了

重大度: 低

VM_BinaryGeneratedFromCommandLine

アラートの表示名: 疑わしいバイナリが検出されました

重大度: 中

VM_CommandlineSuspectDomain

アラート表示名: ドメイン名の参照

重大度: 低

VM_CommonBot

アラートの表示名: 一般的な Linux ボットと同様の動作が検出されました

重大度: 中

VM_CompCommonBots

アラートの表示名: 一般的な Linux ボットに似たコマンドが検出されました

重大度: 中

VM_CompSuspiciousScript

アラート表示名: シェル スクリプトが検出されました

重大度: 中

VM_CompTestRule

アラートの表示名: 複合分析テスト アラート

重大度: 低

VM_CronJobAccess

アラート表示名: スケジュールされたタスクの操作が検出されました

重大度: 情報

VM_CryptoCoinMinerArtifacts

アラート表示名: デジタル通貨マイニングに関連付けられているプロセスが検出されました

重大度: 中

VM_CryptoCoinMinerDownload

アラート表示名: Cryptocoinminer のダウンロードの可能性が検出されました

重大度: 中

VM_CryptoCoinMinerExecution

アラート表示名: 潜在的な暗号コインマイナーが開始されました

重大度: 中

VM_DataEgressArtifacts

アラート表示名: データ流出の可能性が検出されました

重大度: 中

VM_DigitalCurrencyMining

アラート表示名: デジタル通貨マイニング関連の動作が検出されました

重大度: 高

VM_DownloadAndRunCombo

アラートの表示名: 疑わしいダウンロードの実行アクティビティ

重大度: 中

VM_EICAR

アラートの表示名: Microsoft Defender for Cloud のテスト アラート (脅威ではありません)

重大度: 高

VM_ExecuteHiddenFile

アラート表示名: 隠しファイルの実行

重大度: 情報

VM_ExploitAttempt

アラート表示名: コマンド ラインの悪用が試行される可能性があります

重大度: 中

VM_ExposedDocker

アラート表示名: TCP ソケットで公開された Docker デーモン

重大度: 中

VM_FairwareMalware

アラートの表示名: Fairware ランサムウェアに似た動作が検出されました

重大度: 中

VM_FirewallDisabled

アラート表示名: ホスト ファイアウォールの操作が検出されました

重大度: 中

VM_HadoopYarnExploit

アラート表示名: Hadoop Yarn の悪用の可能性

重大度: 中

VM_HistoryFileCleared

アラート表示名: 履歴ファイルがクリアされました

重大度: 中

VM_KnownLinuxAttackTool

アラートの表示名: 攻撃の可能性のあるツールが検出されました

重大度: 中

VM_KnownLinuxCredentialAccessTool

アラートの表示名: 考えられる資格情報アクセス ツールが検出されました

重大度: 中

VM_KnownLinuxDDoSToolkit

アラート表示名: DDOS ツールキットに関連付けられているインジケーターが検出されました

重大度: 中

VM_KnownLinuxScreenshotTool

アラートの表示名: ホストで撮影されたスクリーンショット

重大度: 低

VM_LinuxBackdoorArtifact

アラート表示名: バックドアの可能性が検出されました

重大度: 中

VM_LinuxReconnaissance

アラート表示名: ローカル ホストの偵察が検出されました

重大度: 中

VM_MismatchedScriptFeatures

アラート表示名: スクリプト拡張機能の不一致が検出されました

重大度: 中

VM_MitreCalderaTools

アラート表示名: MITRE カルデラ エージェントが検出されました

重大度: 中

VM_NewSingleUserModeStartupScript

アラートの表示名: 永続化の試行が検出されました

重大度: 中

VM_NewSudoerAccount

アラートの表示名: sudo グループに追加されたアカウント

重大度: 低

VM_OverridingCommonFiles

アラート表示名: 一般的なファイルがオーバーライドされる可能性がある

重大度: 中

VM_PrivilegedContainerArtifacts

アラート表示名: 特権モードで実行されているコンテナー

重大度: 低

VM_PrivilegedExecutionInContainer

アラート表示名: 高い特権で実行されているコンテナー内のコマンド

重大度: 低

VM_ReadingHistoryFile

アラート表示名: bash 履歴ファイルへの通常とは異なるアクセス

重大度: 情報

VM_ReverseShell

アラートの表示名: 潜在的な逆シェルが検出されました

重大度: 中

VM_SshKeyAccess

アラート表示名: SSH 承認キー ファイルに通常とは異なる方法でアクセスするプロセス

重大度: 低

VM_SshKeyAddition

アラート表示名: 新しい SSH キーが追加されました

重大度: 低

VM_SuspectCompilation

アラートの表示名: 不審なコンパイルが検出されました

重大度: 中

VM_SuspectConnection

アラート表示名: 一般的でない接続試行が検出されました

重大度: 中

VM_SuspectDownload

アラート表示名: 既知の悪意のあるソースからのファイルのダウンロードが検出されました

重大度: 中

VM_SuspectDownloadArtifacts

アラート表示名: 疑わしいファイルのダウンロードが検出されました

重大度: 低

VM_SuspectExecutablePath

アラート表示名: 疑わしい場所から実行されている実行可能ファイルが見つかりました

重大度: 中

VM_SuspectHtaccessFileAccess

アラート表示名: htaccess ファイルのアクセスが検出されました

重大度: 中

VM_SuspectInitialShellCommand

アラート表示名: シェルでの疑わしい最初のコマンド

重大度: 低

VM_SuspectMixedCaseText

アラート表示名: コマンド ラインで大文字と小文字の異常な組み合わせが検出されました

重大度: 中

VM_SuspectNetworkConnection

アラート表示名: 疑わしいネットワーク接続

重大度: 情報

VM_SuspectNohup

アラート表示名: nohup コマンドの疑わしい使用が検出されました

重大度: 中

VM_SuspectPasswordChange

アラート表示名: crypt-method を使用したパスワード変更の可能性が検出されました

重大度: 中

VM_SuspectPasswordFileAccess

アラート表示名: 疑わしいパスワード アクセス

重大度: 情報

VM_SuspectPhp

アラートの表示名: 疑わしい PHP の実行が検出されました

重大度: 中

VM_SuspectPortForwarding

アラート表示名: 外部 IP アドレスへの潜在的なポート転送

重大度: 中

VM_SuspectProcessAccountPrivilegeCombo

アラート表示名: サービス アカウントで実行されているプロセスが予期せずルートになりました

重大度: 中

VM_SuspectProcessTermination

アラート表示名: セキュリティ関連のプロセス終了が検出されました

重大度: 低

VM_SuspectUserAddition

アラート表示名: useradd コマンドの疑わしい使用が検出されました

重大度: 中

VM_SuspiciousCommandLineExecution

アラート表示名: 疑わしいコマンドの実行

重大度: 高

VM_SuspiciousDNSOverHttps

アラート表示名: HTTPS 経由での DNS の疑わしい使用

重大度: 中

VM_SystemLogRemoval

アラートの表示名: ログ改ざんの可能性が検出されました

重大度: 中

VM_ThreatIntelCommandLineSuspectDomain

アラートの表示名: 悪意のある場所への接続が検出されました

重大度: 中

VM_ThreatIntelSuspectLogon

アラート表示名: 悪意のある IP からのログオンが検出されました

重大度: 高

VM_TimerServiceDisabled

アラート表示名: apt-daily-upgrade.timer サービスの停止が検出されました

重大度: 情報

VM_TimestampTampering

アラート表示名: 疑わしいファイル のタイムスタンプの変更

重大度: 低

VM_Webshell

アラートの表示名: 悪意のある Web シェルの可能性が検出されました

重大度: 中

非推奨の Defender for Servers Windows アラート

SCUBA_MULTIPLEACCOUNTCREATE

アラート表示名: 複数のホストでのアカウントの疑わしい作成

重大度: 中

SCUBA_PSINSIGHT_CONTEXT

アラート表示名: PowerShell の疑わしい使用が検出されました

重大度: 情報

SCUBA_RULE_AddGuestToAdministrators

アラート表示名: ローカル管理者グループへのゲスト アカウントの追加

重大度: 中

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

アラートの表示名: Apache_Tomcat_executing_suspicious_commands

重大度: 中

SCUBA_RULE_KnownBruteForcingTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownCollectionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownDefenseEvasionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownExecutionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownPassTheHashTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownSpammingTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 中

SCUBA_RULE_Lowering_Security_Settings

アラート表示名: 重要なサービスの無効化が検出されました

重大度: 中

SCUBA_RULE_OtherKnownHackerTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_RDP_session_hijacking_via_tscon

アラート表示名: RDP ハイジャックを示す疑わしい整合性レベル

重大度: 中

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

アラート表示名: サービスのインストールの可能性

重大度: 中

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

アラート表示名: ログオン時にユーザーに表示される法的通知の抑制が検出されました

重大度: 低

SCUBA_RULE_WDigest_Enabling

アラート表示名: WDigest UseLogonCredential レジストリ キーの有効化が検出されました

重大度: 中

VM.Windows_ApplockerBypass

アラート表示名: AppLocker のバイパス試行の可能性が検出されました

重大度: 高

VM.Windows_BariumKnownSuspiciousProcessExecution

アラートの表示名: 疑わしいファイルの作成が検出されました

重大度: 高

VM.Windows_Base64EncodedExecutableInCommandLineParams

アラート表示名: コマンド ライン データでエンコードされた実行可能ファイルが検出されました

重大度: 高

VM.Windows_CalcsCommandLineUse

アラート表示名: システムのセキュリティ状態を下げるために Cacls の疑わしい使用が検出されました

重大度: 中

VM.Windows_CommandLineStartingAllExe

アラート表示名: ディレクトリ内のすべての実行可能ファイルを起動するために使用される疑わしいコマンド ラインが検出されました

重大度: 中

VM.Windows_DisablingAndDeletingIISLogFiles

アラート表示名: IIS ログ ファイルの無効化と削除を示すアクションが検出されました

重大度: 中

VM.Windows_DownloadUsingCertutil

アラート表示名: Certutil を使用した疑わしいダウンロードが検出されました

重大度: 中

VM.Windows_EchoOverPipeOnLocalhost

アラート表示名: 疑わしい名前付きパイプ通信が検出されました

重大度: 高

VM.Windows_EchoToConstructPowerShellScript

アラート表示名: 動的 PowerShell スクリプトの構築

重大度: 中

VM.Windows_ExecutableDecodedUsingCertutil

アラート表示名: 組み込みのcertutil.exe ツールを使用した実行可能ファイルのデコードが検出されました

重大度: 中

VM.Windows_FileDeletionIsSospisiousLocation

アラートの表示名: 疑わしいファイルの削除が検出されました

重大度: 中

VM.Windows_KerberosGoldenTicketAttack

アラート表示名: Kerberos ゴールデン チケット攻撃の可能性があるパラメーターが観察されました

重大度: 中

VM.Windows_KeygenToolKnownProcessName

アラートの表示名: 実行された keygen 実行可能ファイルの疑わしいプロセスの実行が検出されました

重大度: 中

VM.Windows_KnownCredentialAccessTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

VM.Windows_KnownSuspiciousPowerShellScript

アラート表示名: PowerShell の疑わしい使用が検出されました

重大度: 高

VM.Windows_KnownSuspiciousSoftwareInstallation

アラートの表示名: 危険度の高いソフトウェアが検出されました

重大度: 中

VM.Windows_MsHtaAndPowerShellCombination

アラート表示名: HTA と PowerShell の疑わしい組み合わせが検出されました

重大度: 中

VM.Windows_MultipleAccountsQuery

アラートの表示名: 複数のドメイン アカウントのクエリ

重大度: 中

VM.Windows_NewAccountCreation

アラート表示名: アカウントの作成が検出されました

重大度: 情報

VM.Windows_ObfuscatedCommandLine

アラート表示名: 難読化されたコマンド ラインが検出されました。

重大度: 高

VM.Windows_PcaluaUseToLaunchExecutable

アラート表示名: 実行可能コードを起動するためのPcalua.exeの疑わしい使用が検出されました

重大度: 中

VM.Windows_PetyaRansomware

アラートの表示名: 検出された Petya ランサムウェア インジケーター

重大度: 高

VM.Windows_PowerShellPowerSploitScriptExecution

アラート表示名: 疑わしい PowerShell コマンドレットが実行されました

重大度: 中

VM.Windows_RansomwareIndication

アラートの表示名: ランサムウェア インジケーターが検出されました

重大度: 高

VM.Windows_SqlDumperUsedSuspiciously

アラート表示名: 資格情報ダンプの可能性が検出されました [複数回表示]

重大度: 中

VM.Windows_StopCriticalServices

アラート表示名: 重要なサービスの無効化が検出されました

重大度: 中

VM.Windows_SubvertingAccessibilityBinary

アラートの表示名: スティッキー攻撃で疑わしいアカウントの作成が検出されました (中)

VM.Windows_SuspiciousAccountCreation

アラートの表示名: 疑わしいアカウントの作成が検出されました

重大度: 中

VM.Windows_SuspiciousFirewallRuleAdded

アラートの表示名: 疑わしい新しいファイアウォール規則が検出されました

重大度: 中

VM.Windows_SuspiciousFTPSSwitchUsage

アラート表示名: FTP -s スイッチの疑わしい使用が検出されました

重大度: 中

VM.Windows_SuspiciousSQLActivity

アラート表示名: 疑わしい SQL アクティビティ

重大度: 中

VM.Windows_SVCHostFromInvalidPath

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

VM.Windows_SystemEventLogCleared

アラートの表示名: Windows セキュリティ ログがクリアされました

重大度: 情報

VM.Windows_TelegramInstallation

アラート表示名: Telegram ツールの疑わしい使用が検出されました

重大度: 中

VM.Windows_UndercoverProcess

アラート表示名: 疑わしい名前付きプロセスが検出されました

重大度: 高

VM.Windows_UserAccountControlBypass

アラートの表示名: UAC をバイパスするために悪用される可能性があるレジストリ キーへの変更が検出されました

重大度: 中

VM.Windows_VBScriptEncoding

アラート表示名: VBScript.Encode コマンドの疑わしい実行が検出されました

重大度: 中

VM.Windows_WindowPositionRegisteryChange

アラート表示名: Suspicious WindowPosition レジストリ値が検出されました

重大度: 低

VM.Windows_ZincPortOpenningUsingFirewallRule

アラート表示名: ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則

重大度: 高

VM_DigitalCurrencyMining

アラート表示名: デジタル通貨マイニング関連の動作が検出されました

重大度: 高

VM_MaliciousSQLActivity

アラートの表示名: 悪意のある SQL アクティビティ

重大度: 高

VM_ProcessWithDoubleExtensionExecution

アラート表示名: 疑わしい二重拡張ファイルが実行されました

重大度: 高

VM_RegistryPersistencyKey

アラート表示名: Windows レジストリの永続化方法が検出されました

重大度: 低

VM_ShadowCopyDeletion

アラートの表示名: 疑わしい場所から実行されている疑わしいボリューム シャドウ コピー アクティビティの実行可能ファイルが見つかりました

重大度: 高

VM_SuspectExecutablePath

アラート表示名: 疑わしい場所から実行されている実行可能ファイルが見つかりました。コマンド ラインで大文字と小文字の異常な組み合わせが検出されました

重大度: 情報

Medium

VM_SuspectPhp

アラートの表示名: 疑わしい PHP の実行が検出されました

重大度: 中

VM_SuspiciousCommandLineExecution

アラート表示名: 疑わしいコマンドの実行

重大度: 高

VM_SuspiciousScreenSaverExecution

アラート表示名: 疑わしいスクリーンセーバー プロセスが実行されました

重大度: 中

VM_SvcHostRunInRareServiceGroup

アラート表示名: まれに実行された SVCHOST サービス グループ

重大度: 情報

VM_SystemProcessInAbnormalContext

アラート表示名: 疑わしいシステム プロセスが実行されました

重大度: 中

VM_ThreatIntelCommandLineSuspectDomain

アラートの表示名: 悪意のある場所への接続が検出されました

重大度: 中

VM_ThreatIntelSuspectLogon

アラート表示名: 悪意のある IP からのログオンが検出されました

重大度: 高

VM_VbScriptHttpObjectAllocation

アラート表示名: VBScript HTTP オブジェクトの割り当てが検出されました

重大度: 高

VM_TaskkillBurst

アラート表示名: 疑わしいプロセス終了バースト

重大度: 低

VM_RunByPsExec

アラート表示名: PsExec の実行が検出されました

重大度: 情報

MITRE ATT&CK の方針

攻撃の意図を理解することは、イベントをより簡単に調査して報告するのに役立ちます。 これらの作業を支援するために、Microsoft Defender for Cloud alerts には多くのアラートがある MITRE 戦術が含まれています。

偵察からデータ窃盗までのサイバー攻撃の流れを説明する一連の手順は、"キル チェーン" と呼ばれることがよくあります。

Defender for Cloud でサポートされているキル チェーンの意図は、MITRE ATT&CK マトリックスの version 9 に基づいており 次の表で説明します。

方針	ATT&CK バージョン	説明
攻撃前		攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、このステップは、ネットワークの外部から開始された、ターゲット システムをスキャンしてエントリ ポイントを識別するための試行として検出されます。
初期アクセス	V7、V9	初期アクセスは、攻撃者がリソースを攻撃するために足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。多くの場合、脅威アクターは、この段階の後でリソースを制御できます。
永続化	V7、V9	永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。 多くの場合、脅威アクターは、アクセスを回復するための代替バックドアを再起動または提供するためにリモート アクセス ツールを必要とする、システムの再起動、資格情報の損失、その他の障害などの中断によって、システムへのアクセスを維持する必要があります。
特権エスカレーション	V7、V9	特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 特定のシステムにアクセスしたり、敵対者が目的を達成するために必要な特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされる場合があります。
防御回避	V7、V9	防御回避は、敵対者が検出を回避したり、他の防御を回避したりするために使用する可能性のある手法で構成されます。 これらのアクションは、特定の防御または軽減策を破壊する追加の利点がある他のカテゴリの手法と同じ (またはそのバリエーション) である場合があります。
資格情報へのアクセス	V7、V9	資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。
検出	V7、V9	検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者は、新しいシステムへのアクセスを取得するとき、制御できるようになったもの、およびそのシステムから操作する利点から、侵入の間の現在の目標または全体的な目標が得られるものを確認する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。
横移動	V7、V9	横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 横移動の手法により、敵対者は、リモート アクセス ツールなどの他のツールを必要とせずに、システムから情報を収集することができます。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、より多くの資格情報へのアクセス、影響の実現など、さまざまな目的に横移動を使用できます。
実行	V7、V9	実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせて使用されることがよくあります。
コレクション	V7、V9	コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。
コマンドとコントロール	V7、V9	指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。
窃盗	V7、V9	窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリでは、敵対者が流出する情報を探す可能性があるシステムまたはネットワーク上の場所についても説明します。
影響	V7、V9	影響イベントでは、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。 多くの場合、ランサムウェア、改ざん、データ操作などの手法が使用されます。

注意

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ

• Microsoft Defender for Cloud のセキュリティアラート
• Microsoft Defender for Cloud でのセキュリティの警告の管理と対応
• クラウドデータに対して Defender を継続的にエクスポートする