Оповещение для Resource Manager

В этой статье перечислены оповещения системы безопасности, которые можно получить для Resource Manager из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения Resource Manager

Примечание.

Оповещения с указанием делегированного доступа активируются из-за действий сторонних поставщиков услуг. Узнайте больше о указаниях действий поставщиков услуг.

Дополнительные сведения и примечания

Операция Azure Resource Manager с подозрительного IP-адреса

(ARM_OperationFromSuspiciousIP)

Описание: Microsoft Defender для Resource Manager обнаружил операцию с IP-адреса, помеченного как подозрительные в веб-каналах аналитики угроз.

Тактика MITRE: Выполнение

Серьезность: средний

Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера

(ARM_OperationFromSuspiciousProxyIP)

Описание: Microsoft Defender для Resource Manager обнаружил операцию управления ресурсами из IP-адреса, связанного с прокси-службами, например TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках

(ARM_MicroBurst.AzDomainInfo)

Описание. Сценарий PowerShell был запущен в подписке и выполнял подозрительный шаблон выполнения операций сбора информации для обнаружения ресурсов, разрешений и сетевых структур. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для сбора информации о вредоносных действиях. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: низкая

Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках

(ARM_MicroBurst.AzureDomainInfo)

Описание. Сценарий PowerShell был запущен в подписке и выполнял подозрительный шаблон выполнения операций сбора информации для обнаружения ресурсов, разрешений и сетевых структур. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для сбора информации о вредоносных действиях. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: низкая

Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине

(ARM_MicroBurst.AzVMBulkCMD)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон выполнения кода на виртуальной машине или списке виртуальных машин. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для запуска скрипта на виртуальной машине для вредоносных действий. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине

(RM_MicroBurst.AzureRmVMBulkCMD)

Описание. Набор средств эксплуатации MicroBurst использовался для выполнения кода на виртуальных машинах. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения ключей из хранилищ ключей Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения ключей из Azure Key Vault. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления ключей и использования их для доступа к конфиденциальным данным или бокового перемещения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения ключей к вашим учетным записям хранения

(ARM_MicroBurst.AZStorageKeysREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения ключей в учетные записи хранения. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления ключей и использования их для доступа к конфиденциальным данным в учетной записи хранения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения секретов из ваших хранилищ ключей Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения секретов из Azure Key Vault. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления секретов и использования их для доступа к конфиденциальным данным или бокового перемещения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для повышения уровня доступа из Azure AD в Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Описание. Набор средств эксплуатации PowerZure использовался для повышения доступа из AzureAD в Azure. Это действие было обнаружено при анализе операций Azure Resource Manager в клиенте.

Тактика MITRE: -

Серьезность: высокий уровень

Набор инструментов эксплуатации PowerZure, используемый для перечисления ресурсов

(ARM_PowerZure.GetAzureTargets)

Описание. Набор средств эксплуатации PowerZure использовался для перечисления ресурсов от имени законной учетной записи пользователя в вашей организации. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для перечисления контейнеров хранения, общих ресурсов и таблиц

(ARM_PowerZure.ShowStorageContent)

Описание. Набор средств эксплуатации PowerZure использовался для перечисления общих папок хранения, таблиц и контейнеров. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для выполнения Runbook в вашей подписке

(ARM_PowerZure.StartRunbook)

Описание. Набор средств для эксплуатации PowerZure использовался для выполнения модуля Runbook. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для извлечения содержимого Runbook

(ARM_PowerZure.AzureRunbookContent)

Описание. Набор средств эксплуатации PowerZure использовался для извлечения содержимого Runbook. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

PREVIEW - Azurite toolkit run detected (Предварительная версия — обнаружен запуск набора средств Azurite)

(ARM_Azurite)

Описание. В вашей среде обнаружен известный запуск средств разведки облачной среды. Средство Azurite может использоваться злоумышленником (или тестировщиком уязвимостей) для сопоставления ресурсов подписок и обнаружения небезопасных конфигураций.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Предварительная версия. Обнаружено подозрительное создание вычислительных ресурсов

(ARM_SuspiciousComputeCreation)

Описание. Microsoft Defender для Resource Manager определил подозрительное создание вычислительных ресурсов в подписке с помощью Виртуальные машины или масштабируемого набора Azure. Определяемые операции предназначены для эффективного управления средами администраторами путем развертывания новых ресурсов при необходимости. Хотя это действие может быть законным, субъект угроз может использовать такие операции для проведения крипто-интеллектуального анализа данных. Действие считается подозрительным, так как масштаб вычислительных ресурсов выше, чем ранее наблюдалось в подписке. Это может указывать на то, что субъект скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: влияние

Серьезность: средний

PREVIEW — обнаружено подозрительное восстановление хранилища ключей

(Arm_Suspicious_Vault_Recovering)

Описание. Microsoft Defender для Resource Manager обнаружила подозрительные операции восстановления для ресурса хранилища ключей с обратимым удалением. Пользователь, восстанавливающий ресурс, отличается от пользователя, удаляющего его. Это очень подозрительно, так как пользователь редко вызывает такую операцию. Кроме того, пользователь вошел в систему без многофакторной проверки подлинности (MFA). Это может указывать на то, что пользователь скомпрометирован и пытается обнаружить секреты и ключи для получения доступа к конфиденциальным ресурсам или выполнять боковое перемещение по сети.

Тактика MITRE: боковое движение

Серьезность: средний или высокий

PREVIEW - Suspicious management session using an inactive account detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием неактивной учетной записи)

(ARM_UnusedAccountPersistence)

Описание. Анализ журналов действий подписки обнаружил подозрительное поведение. Субъект, который не используется в течение длительного периода времени, теперь выполняет действия, которые могут обеспечить сохраняемость для злоумышленника.

Тактика MITRE: сохраняемость

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Доступ к учетным данным" субъектом-службой

(ARM_AnomalousServiceOperation.CredentialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Сбор данных" субъектом-службой

(ARM_AnomalousServiceOperation.Collection)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Коллекция

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким риском "Защита Evasion" субъектом-службой.

(ARM_AnomalousServiceOperation.DefenseEvasion)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку обойти защиту. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы избежать обнаружения при компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Оборона Evasion

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким риском выполнения субъектом-службой

(ARM_AnomalousServiceOperation.Execution)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском на компьютере в подписке, что может указывать на попытку выполнить код. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Оборона выполнения

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "Влияние" субъектом-службой

(ARM_AnomalousServiceOperation.Impact)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: влияние

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Первоначальный доступ" субъектом-службой

(ARM_AnomalousServiceOperation.InitialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы получить первоначальный доступ к ограниченным ресурсам в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: начальный доступ

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "Боковой доступ к перемещению" субъектом-службой

(ARM_AnomalousServiceOperation.LateralMovement)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку выполнить боковое перемещение. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: боковое движение

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "сохраняемость" субъектом-службой

(ARM_AnomalousServiceOperation.Сохраняемость)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку установить сохраняемость. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для установления сохраняемости в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: сохраняемость

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким риском "Повышение привилегий" субъектом-службой

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку повышения привилегий. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: повышение привилегий

Серьезность: средний

PREVIEW - Suspicious management session using an inactive account detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием неактивной учетной записи)

(ARM_UnusedAccountPersistence)

Описание. Анализ журналов действий подписки обнаружил подозрительное поведение. Субъект, который не используется в течение длительного периода времени, теперь выполняет действия, которые могут обеспечить сохраняемость для злоумышленника.

Тактика MITRE: сохраняемость

Серьезность: средний

PREVIEW - Suspicious management session using PowerShell detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием PowerShell)

(ARM_UnusedAppPowershellPersistence)

Описание. Анализ журналов действий подписки обнаружил подозрительное поведение. Субъект, который не регулярно использует PowerShell для управления средой подписки, теперь использует PowerShell и выполняет действия, которые могут обеспечить сохраняемость для злоумышленника.

Тактика MITRE: сохраняемость

Серьезность: средний

Предварительный просмотр сеанса подозрительного управления с помощью портал Azure обнаружен

(ARM_UnusedAppIbizaPersistence)

Описание. Анализ журналов действий подписки обнаружил подозрительное поведение. Участник, который регулярно не использует портал Azure (Ibiza) для управления средой подписки (не использовал портал Azure для управления в течение последних 45 дней или подписку, которая им активно управляется), теперь использует портал Azure и выполняет действия, которые могут обеспечить сохраняемость для злоумышленника.

Тактика MITRE: сохраняемость

Серьезность: средний

Привилегированная пользовательская роль, созданная для вашей подписки подозрительным образом (предварительная версия)

(ARM_PrivilegedRoleDefinitionCreation)

Описание: Microsoft Defender для Resource Manager обнаружила подозрительное создание определения привилегированных пользовательских ролей в подписке. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается создать привилегированную роль для использования в будущем, чтобы избежать обнаружения.

Тактика MITRE: Эскалация привилегий, Оборона Evasion

Серьезность: информационная

Обнаружено подозрительное назначение ролей Azure (предварительная версия)

(ARM_AnomalousRBACRoleAssignment)

Описание: Microsoft Defender для Resource Manager определил подозрительное назначение ролей Azure / выполнено с помощью PIM (управление привилегированными пользователями) в клиенте, что может указывать на то, что учетная запись в вашей организации была скомпрометирована. Обнаруженные операции позволяют администраторам предоставить субъектам доступ к ресурсам Azure. Хотя это действие может быть законным, субъект угроз может использовать назначение ролей для эскалации своих разрешений, позволяя им продвигать свою атаку.

Тактика MITRE: боковое движение, оборона Evasion

Серьезность: низкая (PIM) / высокая

Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (Обнаружен подозрительный вызов операции доступа к учетным данным с высоким риском (предварительная версия))

(ARM_AnomalousOperation.CredentialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (Обнаружен подозрительный вызов операции сбора данных с высоким риском (предварительная версия))

(ARM_AnomalousOperation.Collection)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: Коллекция

Серьезность: средний

Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (Обнаружен подозрительный вызов операции обхода защиты с высоким риском (предварительная версия))

(ARM_AnomalousOperation.DefenseEvasion)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку обойти защиту. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы избежать обнаружения при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (Обнаружен подозрительный вызов операции выполнения с высоким риском (предварительная версия))

(ARM_AnomalousOperation.Execution)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском на компьютере в подписке, что может указывать на попытку выполнить код. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (Обнаружен подозрительный вызов операции воздействия с высоким риском (предварительная версия))

(ARM_AnomalousOperation.Impact)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: влияние

Серьезность: средний

Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (Обнаружен подозрительный вызов операции первоначального доступа с высоким риском (предварительная версия))

(ARM_AnomalousOperation.InitialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы получить первоначальный доступ к ограниченным ресурсам в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (Обнаружен подозрительный вызов операции бокового смещения с высоким риском (предварительная версия))

(ARM_AnomalousOperation.LateralMovement)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку выполнить боковое перемещение. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: боковое движение

Серьезность: средний

Подозрительное повышение доступа (предварительная версия)(ARM_AnomalousElevateAccess)

Описание: Microsoft Defender для Resource Manager определила подозрительную операцию "Повышенный доступ". Действие считается подозрительным, так как этот субъект редко вызывает такие операции. Хотя это действие может быть законным, субъект угроз может использовать операцию "Повышенный доступ" для повышения привилегий для скомпрометированного пользователя.

Тактика MITRE: эскалация привилегий

Серьезность: средний

Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия))

(ARM_AnomalousOperation.Persistence)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку установить сохраняемость. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для установления сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: сохраняемость

Серьезность: средний

Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия))

(ARM_AnomalousOperation.PrivilegeEscalation)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку повышения привилегий. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: эскалация привилегий

Серьезность: средний

Использование набора средств эксплуатации MicroBurst для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure

(ARM_MicroBurst.RunCodeOnBehalf)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон выполнения произвольного кода или эксфильтрации учетных данных учетной записи служба автоматизации Azure. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для выполнения произвольного кода для вредоносных действий. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: сохраняемость, доступ к учетным данным

Серьезность: высокий уровень

Использование методов NetSPI для сохранения устойчивости в среде Azure

(ARM_NetSPI.MaintainPersistence)

Описание. Использование метода сохраняемости NetSPI для создания серверной части веб-перехватчика и поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Использование набора средств эксплуатации PowerZure для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure

(ARM_PowerZure.RunCodeOnBehalf)

Описание. Набор средств для эксплуатации PowerZure обнаружил попытку выполнения кода или эксфильтрации учетных данных учетной записи служба автоматизации Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Использование функции PowerZure для сохранения устойчивости в среде Azure

(ARM_PowerZure.MaintainPersistence)

Описание. Набор средств эксплуатации PowerZure обнаружил создание серверной части веб-перехватчика для поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Обнаружено подозрительное назначение классических ролей (предварительная версия)

(ARM_AnomalousClassicRoleAssignment)

Описание: Microsoft Defender для Resource Manager определила подозрительное назначение классической роли в клиенте, что может указывать на то, что учетная запись в вашей организации была скомпрометирована. Обнаруженные операции предназначены для обеспечения обратной совместимости с классическими ролями, которые больше не используются. Хотя это действие может быть законным, субъект угроз может использовать такое назначение для предоставления разрешений другой учетной записи пользователя под их контролем.

Тактика MITRE: боковое движение, оборона Evasion

Серьезность: высокий уровень

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги

• Оповещения системы безопасности в Microsoft Defender для облака
• Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака
• Непрерывный экспорт данных Defender для облака