Windows 컴퓨터에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Windows 머신에 대해 발생할 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
Windows 컴퓨터 경고
서버용 Microsoft Defender 플랜 2는 엔드포인트용 Microsoft Defender에서 제공하는 기능 외에도 고유한 검색 및 경고를 제공합니다. Windows 머신에 대해 제공되는 경고는 다음과 같습니다.
악성 IP에서 로그온이 감지되었습니다. [여러 번 발생함]
설명: 계정 [계정] 및 프로세스 [프로세스]에 대한 원격 인증이 성공적으로 수행되었지만 로그온 IP 주소(x.x.x.x)는 이전에 악의적이거나 매우 비정상적인 것으로 보고되었습니다. 성공적인 공격이 발생했을 수 있습니다. .scr 확장이 있는 파일은 화면 보호기 파일이며 일반적으로 Windows 시스템 디렉터리에서 상주하고 실행됩니다.
MITRE 전술: -
심각도: 높음
적응형 애플리케이션 제어 정책 위반이 감사됨
VM_AdaptiveApplicationControlWindowsViolationAudited
설명: 아래 사용자는 이 컴퓨터에서 조직의 애플리케이션 제어 정책을 위반하는 애플리케이션을 실행했습니다. 이로 인해 컴퓨터가 맬웨어 또는 애플리케이션 취약성에 노출될 수 있습니다.
MITRE 전술: 실행
심각도: 정보 제공
로컬 관리자 그룹에 게스트 계정 추가
설명: 호스트 데이터를 분석한 결과% {Compromised Host}의 로컬 관리자 그룹에 기본 제공 게스트 계정이 추가된 것을 감지했습니다. 이 계정은 공격자 활동과 매우 관련이 있습니다.
MITRE 전술: -
심각도: 보통
이벤트 로그가 지워졌습니다.
설명: 컴퓨터 로그는 사용자별 의심스러운 이벤트 로그 지우기 작업을 나타냅니다. 컴퓨터의 '%{user name}' : '%{CompromisedEntity}'. %{log channel} 로그가 지워졌습니다.
MITRE 전술: -
심각도: 정보 제공
맬웨어 방지 작업 실패
설명: Microsoft Antimalware에서 맬웨어 또는 기타 잠재적으로 원치 않는 소프트웨어에 대한 작업을 수행할 때 오류가 발생했습니다.
MITRE 전술: -
심각도: 보통
맬웨어 방지 작업 수행됨
설명: Azure용 Microsoft 맬웨어 방지 프로그램은 맬웨어 또는 기타 잠재적으로 원치 않는 소프트웨어로부터 이 컴퓨터를 보호하기 위한 조치를 취했습니다.
MITRE 전술: -
심각도: 보통
가상 머신에서 맬웨어 방지 광범위한 파일 제외
(VM_AmBroadFilesExclusion)
설명: 광범위한 제외 규칙이 있는 맬웨어 방지 확장에서 파일 제외는 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: -
심각도: 보통
가상 머신에서 맬웨어 방지 비활성화 및 코드 실행
(VM_AmDisablementAndCodeExecution)
설명: 가상 머신에서 코드 실행과 동시에 맬웨어 방지 기능을 사용하지 않도록 설정합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다.
MITRE 전술: -
심각도: 높음
가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨
(VM_AmDisablement)
설명: 가상 머신에서 맬웨어 방지 기능을 사용할 수 없습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행
(VM_AmFileExclusionAndCodeExecution)
설명: 가상 머신의 사용자 지정 스크립트 확장을 통해 코드가 실행된 것과 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: 방어 회피, 실행
심각도: 높음
가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행(임시)
(VM_AmTempFileExclusionAndCodeExecution)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장 프로그램에서 임시 파일 제외가 감지되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: 방어 회피, 실행
심각도: 높음
가상 머신에서 맬웨어 방지 파일 제외
(VM_AmTempFileExclusion)
설명: 가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisabled)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
가상 머신에서 맬웨어 방지 실시간 보호가 일시적으로 사용하지 않도록 설정됨
(VM_AmTempRealtimeProtectionDisablement)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
가상 머신에서 코드를 실행하는 동안 맬웨어 방지 실시간 보호가 일시적으로 비활성화되었습니다.
(VM_AmRealtimeProtectionDisablementAndCodeExec)
설명: 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화는 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
MITRE 전술: -
심각도: 높음
가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 차단된 맬웨어 방지 검사(미리 보기)
(VM_AmMalwareCampaignRelatedExclusion)
설명: 맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 가상 머신에서 제외 규칙이 검색되었습니다. 구독에서 Azure Resource Manager 작업을 분석하여 규칙이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨
(VM_AmTemporarilyDisablement)
설명: 가상 머신에서 맬웨어 방지를 일시적으로 사용하지 않도록 설정합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
MITRE 전술: -
심각도: 보통
가상 머신에서 맬웨어 방지 비정상적인 파일 제외
(VM_UnusualAmFileExclusion)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장 프로그램에서 비정상적인 파일 제외가 감지되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
MITRE 전술: 방어 회피
심각도: 보통
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
설명: 리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다.
MITRE 전술: 초기 액세스, 지속성, 실행, 명령 및 제어, 악용
심각도: 보통
IIS 로그 파일 비활성화 및 삭제를 나타내는 검색된 작업
설명: 호스트 데이터를 분석한 결과 IIS 로그 파일이 비활성화 및/또는 삭제되는 것을 보여 주는 작업이 검색되었습니다.
MITRE 전술: -
심각도: 보통
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 대문자와 소문자가 비정상적으로 혼합된 명령줄이 검색되었습니다. 이러한 종류의 패턴은 무해할 수 있지만 손상된 호스트에서 관리 작업을 수행할 때 대/소문자 구분 또는 해시 기반 규칙 일치를 숨기려는 공격자의 전형이기도 합니다.
MITRE 전술: -
심각도: 보통
UAC를 우회하기 위해 악용될 수 있는 레지스트리 키에 대한 변경 내용이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 UAC(사용자 계정 컨트롤)를 우회하기 위해 악용될 수 있는 레지스트리 키가 변경된 것을 발견했습니다. 이러한 종류의 구성은 무해할 수 있으며, 손상된 호스트에서 권한 없는(표준 사용자) 액세스에서 권한 있는(예: 관리자) 액세스로 전환하려고 할 때 일반적인 공격자 활동이기도 합니다.
MITRE 전술: -
심각도: 보통
기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe 인증서 및 인증서 데이터 조작과 관련된 주요 목적 대신 실행 파일을 디코딩하는 데 사용되고 있음을 발견했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다.
MITRE 전술: -
심각도: 높음
WDigest UseLogonCredential 레지스트리 키 사용이 검색됨
설명: 호스트 데이터를 분석한 결과 레지스트리 키 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential"의 변경 내용이 검색되었습니다. 특히 이 키는 로그온 자격 증명을 LSA 메모리의 일반 텍스트에 저장할 수 있도록 업데이트되었습니다. 사용하도록 설정하면 공격자는 Mimikatz와 같은 자격 증명 수집 도구를 사용하여 LSA 메모리에서 지우기 텍스트 암호를 덤프할 수 있습니다.
MITRE 전술: -
심각도: 보통
명령줄 데이터에서 인코딩된 실행 파일이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 base-64로 인코딩된 실행 파일이 검색되었습니다. 이는 이전에 일련의 명령을 통해 실행 파일을 즉석에서 생성하려고 시도하는 공격자와 연결되었으며, 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 회피하려고 시도했습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
MITRE 전술: -
심각도: 높음
난독 제거된 명령줄이 검색됨
설명: 공격자는 점점 더 복잡한 난독 처리 기술을 사용하여 기본 데이터에 대해 실행되는 검색을 회피합니다. %{Compromised Host}에서 호스트 데이터를 분석한 후 명령줄에서 의심스러운 난독 처리 표시기가 검색되었습니다.
MITRE 전술: -
심각도: 정보 제공
keygen 실행 파일의 가능한 실행이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 keygen 도구를 나타내는 프로세스의 실행이 감지되었습니다. 이러한 도구는 일반적으로 소프트웨어 라이선스 메커니즘을 무효화하는 데 사용되지만 다운로드는 종종 다른 악성 소프트웨어와 함께 번들로 제공됩니다. 활동 그룹 GOLD는 이러한 keygen을 사용하여 손상시키는 호스트에 대한 백도어 액세스 권한을 은밀하게 얻는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 보통
맬웨어 삭제기의 가능한 실행이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이전에 피해자 호스트에 맬웨어를 설치하는 활동 그룹 GOLD의 방법 중 하나와 연결된 파일 이름이 검색되었습니다.
MITRE 전술: -
심각도: 높음
가능한 로컬 정찰 활동이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이전에 정찰 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 연결된 systeminfo 명령의 조합이 검색되었습니다. 'systeminfo.exe'은 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속으로 실행하는 경우는 드뭅니다.
MITRE 전술: -
심각도: 낮음
잠재적으로 의심스러운 Telegram 도구 사용이 감지됨
설명: 호스트 데이터를 분석하면 모바일 및 데스크톱 시스템 모두에 존재하는 무료 클라우드 기반 인스턴트 메시징 서비스인 Telegram의 설치가 표시됩니다. 공격자는 악의적인 이진 파일을 다른 컴퓨터, 휴대폰 또는 태블릿으로 전송하기 위해 이 서비스를 남용하는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 보통
로그온 시 사용자에게 표시되는 법적 고지 표시 안 함이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 로그온할 때 사용자에게 법적 알림이 표시되는지 여부를 제어하는 레지스트리 키의 변경 내용이 검색되었습니다. Microsoft 보안 분석에 따르면 이는 호스트를 손상시킨 후 공격자가 수행하는 일반적인 활동입니다.
MITRE 전술: -
심각도: 낮음
HTA 및 PowerShell의 의심스러운 조합이 검색됨
설명: 공격자가 악의적인 PowerShell 명령을 시작하기 위해 서명된 Microsoft 이진 파일인 mshta.exe(Microsoft HTML 애플리케이션 호스트)를 사용합니다. 공격자는 종종 인라인 VBScript가 있는 HTA 파일을 사용합니다. 피해자가 HTA 파일을 찾아 실행하도록 선택하면 포함된 PowerShell 명령 및 스크립트가 실행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, PowerShell 명령을 실행하는 mshta.exe가 감지되었습니다.
MITRE 전술: -
심각도: 보통
의심스러운 명령줄 인수가 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 활동 그룹 HYDROGEN에서 사용하는 역방향 셸과 함께 사용된 의심스러운 명령줄 인수가 검색되었습니다.
MITRE 전술: -
심각도: 높음
디렉터리에서 모든 실행 파일을 시작하는 데 사용되는 의심스러운 명령줄이 검색됨
설명: 호스트 데이터를 분석한 결과 %{Compromised Host}에서 실행 중인 의심스러운 프로세스가 감지되었습니다. 명령줄은 디렉터리에 상주할 수 있는 모든 실행 파일(*.exe)을 시작하려고 시도했음을 나타냅니다. 이는 손상된 호스트의 표시일 수 있습니다.
MITRE 전술: -
심각도: 보통
명령줄에서 의심스러운 자격 증명이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 활동 그룹 BORON에서 파일을 실행하는 데 의심스러운 암호가 사용되는 것을 발견했습니다. 이 활동 그룹은 이 암호를 사용하여 피해자 호스트에서 Pirpi 맬웨어를 실행하는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 높음
의심스러운 문서 자격 증명이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 맬웨어가 파일을 실행하는 데 사용되는 의심스러운 일반적인 사전 계산 암호 해시가 검색되었습니다. 활동 그룹 HYDROGEN는 이 암호를 사용하여 피해자 호스트에서 맬웨어를 실행하는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 높음
VBScript.Encode 명령의 의심스러운 실행이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 후 VBScript.Encode 명령의 실행이 감지되었습니다. 이렇게 하면 스크립트를 읽을 수 없는 텍스트로 인코딩하므로 사용자가 코드를 검사하기가 더 어려워집니다. Microsoft 위협 연구에 따르면 공격자는 감지 시스템을 피하기 위해 공격의 일부로 인코딩된 VBscript 파일을 사용하는 경우가 많습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
MITRE 전술: -
심각도: 보통
rundll32.exe 통해 의심스러운 실행이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과, 손상된 호스트에 첫 번째 단계 임플란트를 설치할 때 이전에 활동 그룹 GOLD에서 사용한 프로세스 명명 체계와 일치하는 일반적이지 않은 이름의 프로세스를 실행하는 데 사용되는 rundll32.exe 감지되었습니다.
MITRE 전술: -
심각도: 높음
의심스러운 파일 정리 명령이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이전에 손상 후 자체 정리 작업을 수행하는 활동 그룹 GOLD의 방법 중 하나와 연결된 systeminfo 명령의 조합이 검색되었습니다. 'systeminfo.exe'은 합법적인 Windows 도구이지만 연속해서 두 번 실행한 다음 여기에서 발생한 방식으로 삭제 명령을 실행하는 경우는 드뭅니다.
MITRE 전술: -
심각도: 높음
의심스러운 파일 생성이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 BARIUM이 피해자 호스트에 대해 수행한 손상 후 작업을 이전에 표시한 프로세스의 생성 또는 실행이 감지되었습니다. 이 활동 그룹은 피싱 문서의 첨부 파일이 열린 후 손상된 호스트에 더 많은 맬웨어를 다운로드하기 위해 이 기술을 사용하는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 높음
의심스러운 명명된 파이프 통신이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 Windows 콘솔 명령에서 로컬 명명된 파이프에 데이터가 기록되는 것을 감지했습니다. 명명된 파이프는 공격자가 악의적인 임플란트를 작업하고 통신하는 데 사용하는 채널로 알려져 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
MITRE 전술: -
심각도: 높음
의심스러운 네트워크 활동이 검색됨
설명: %{Compromised Host}에서 네트워크 트래픽을 분석한 결과 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 무해할 수 있지만 일반적으로 공격자가 도구 다운로드, 명령 및 제어 및 데이터 반출을 위해 악성 서버와 통신하는 데 사용됩니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다.
MITRE 전술: -
심각도: 낮음
의심스러운 새 방화벽 규칙이 검색됨
설명: 호스트 데이터를 분석한 결과 의심스러운 위치에서 실행 파일의 트래픽을 허용하기 위해 netsh.exe 통해 새 방화벽 규칙이 추가되었습니다.
MITRE 전술: -
심각도: 보통
시스템의 보안 상태를 낮추기 위해 Cacls의 의심스러운 사용이 감지됨
설명: 공격자는 무차별 암호 대입, 스피어 피싱 등과 같은 무수한 방법을 사용하여 초기 타협을 달성하고 네트워크에서 발판을 마련합니다. 초기 손상이 달성되면 시스템의 보안 설정을 낮추는 단계를 수행하는 경우가 많습니다. 변경 액세스 제어 목록에 대한 Caclsâ€"short는 폴더 및 파일에 대한 보안 권한을 수정하는 데 자주 사용되는 Microsoft Windows 네이티브 명령줄 유틸리티입니다. 공격자가 시스템의 보안 설정을 낮추기 위해 이진 파일을 사용하는 데 많은 시간이 소요됩니다. 이 작업은 모든 사용자에게 ftp.exe, net.exe, wscript.exe 등과 같은 일부 시스템 이진 파일에 대한 모든 권한을 부여하여 수행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 시스템의 보안을 낮추기 위해 Cacls의 의심스러운 사용이 감지되었습니다.
MITRE 전술: -
심각도: 보통
FTP -s 스위치의 의심스러운 사용이 감지됨
설명: %{Compromised Host}에서 프로세스 생성 데이터를 분석한 후 FTP "-s:filename" 스위치의 사용을 감지했습니다. 이 스위치는 클라이언트가 실행할 FTP 스크립트 파일을 지정하는 데 사용됩니다. 맬웨어 또는 악성 프로세스는 이 FTP 스위치(-s:filename)를 사용하여 원격 FTP 서버에 연결하고 더 악의적인 이진 파일을 다운로드하도록 구성된 스크립트 파일을 가리키는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 보통
실행 코드를 시작하는 데 Pcalua.exe 의심스러운 사용이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 후 실행 코드를 시작하는 데 pcalua.exe 사용이 감지되었습니다. Pcalua.exe 프로그램을 설치하거나 실행하는 동안 호환성 문제를 감지하는 Microsoft Windows "프로그램 호환성 도우미"의 구성 요소입니다. 공격자는 합법적인 Windows 시스템 도구의 기능을 남용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 -a 스위치와 함께 pcalua.exe 사용하여 로컬 또는 원격 공유에서 악의적인 실행 파일을 시작합니다.
MITRE 전술: -
심각도: 보통
중요한 서비스의 사용 안 됨이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과는 SharedAccess 또는 Windows 보안 앱과 같은 중요한 서비스를 중지하는 데 사용되는 "net.exe 중지" 명령의 실행을 감지했습니다. 이러한 서비스 중 하나가 중지되면 악의적인 동작이 표시될 수 있습니다.
MITRE 전술: -
심각도: 보통
디지털 통화 마이닝 관련 동작이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 감지되었습니다.
MITRE 전술: -
심각도: 높음
동적 PS 스크립트 생성
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 PowerShell 스크립트가 동적으로 생성되는 것을 감지했습니다. 공격자는 때때로 ID 시스템을 피하기 위해 점진적으로 스크립트를 생성하는 이 방식을 사용합니다. 이는 합법적인 활동이거나 컴퓨터 중 하나가 손상되었음을 나타낼 수 있습니다.
MITRE 전술: -
심각도: 보통
의심스러운 위치에서 실행 중인 실행 파일
설명: 호스트 데이터를 분석한 결과 알려진 의심스러운 파일과 공통된 위치에서 실행되는 %{Compromised Host}에서 실행 파일이 검색되었습니다. 이 실행 파일은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
MITRE 전술: -
심각도: 높음
파일리스 공격 동작이 감지됨
(VM_FilelessAttackBehavior.Windows)
설명: 지정된 프로세스의 메모리에는 파일리스 공격에 일반적으로 사용되는 동작이 포함됩니다. 구체적인 동작은 다음과 같습니다.
- Shellcode는 일반적으로 소프트웨어 취약성 악용의 페이로드로 사용되는 코드의 작은 조각입니다.
- 활성 네트워크 연결. 자세한 내용은 아래의 NetworkConnections를 참조하세요.
- 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
- 동적으로 할당된 코드 세그먼트에서 시작된 스레드를 포함합니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
MITRE 전술: 방어 회피
심각도: 낮음
파일리스 공격 기법이 검색됨
(VM_FilelessAttackTechnique.Windows)
설명: 아래에 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 보안 소프트웨어에서 탐지를 회피하는 동안 공격자가 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다.
- Shellcode는 일반적으로 소프트웨어 취약성 악용의 페이로드로 사용되는 코드의 작은 조각입니다.
- 코드 삽입 공격과 같이 프로세스에 삽입된 실행 파일 이미지입니다.
- 활성 네트워크 연결. 자세한 내용은 아래의 NetworkConnections를 참조하세요.
- 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
- 프로세스 속이 빈, 적대 코드에 대 한 컨테이너 역할을 시스템에 합법적인 프로세스를 로드 하는 맬웨어에 의해 사용 되는 기술.
- 동적으로 할당된 코드 세그먼트에서 시작된 스레드를 포함합니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
MITRE 전술: 방어 회피, 실행
심각도: 높음
파일리스 공격 도구 키트가 검색됨
(VM_FilelessAttackToolkit.Windows)
설명: 지정된 프로세스의 메모리에는 파일리스 공격 도구 키트[toolkit 이름]이 포함됩니다. 파일리스 공격 도구 키트는 디스크에서 맬웨어의 추적을 최소화하거나 제거하는 기술을 사용하며 디스크 기반 맬웨어 검색 솔루션에서 검색 가능성을 크게 줄입니다. 구체적인 동작은 다음과 같습니다.
- 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어.
- Shellcode는 일반적으로 소프트웨어 취약성 악용의 페이로드로 사용되는 코드의 작은 조각입니다.
- 프로세스 메모리에 악성 실행 파일을 삽입했습니다.
MITRE 전술: 방어 회피, 실행
심각도: 보통
위험 수준이 높은 소프트웨어가 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 후 과거에 맬웨어 설치와 연결된 소프트웨어의 사용량이 감지되었습니다. 악성 소프트웨어 배포에 사용되는 일반적인 기술은 이 경고에서 볼 수 있는 것과 같이 무해한 다른 도구로 패키지화하는 것입니다. 이러한 도구를 사용하면 백그라운드에서 맬웨어를 자동으로 설치할 수 있습니다.
MITRE 전술: -
심각도: 보통
로컬 관리자 그룹 구성원이 열거됨
설명: 컴퓨터 로그는 %{열거형 그룹 도메인 이름}%{열거형 그룹 이름}에 대한 열거가 성공했음을 나타냅니다. 특히 %{Enumerating User Domain Name}%{Enumerating User Name}은(는) %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹의 구성원을 원격으로 열거했습니다. 이 활동은 합법적인 활동이거나 조직의 컴퓨터가 손상되어 %{vmname}을(를) 정찰하는 데 사용되었다는 표시일 수 있습니다.
MITRE 전술: -
심각도: 정보 제공
ZINC 서버 임플란트에서 만든 악의적인 방화벽 규칙[여러 번 확인됨]
설명: 알려진 행위자 ZINC와 일치하는 기술을 사용하여 방화벽 규칙을 만들었습니다. 이 규칙은 명령 및 제어 통신을 허용하기 위해 %{Compromised Host}에서 포트를 여는 데 사용되었을 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다.
MITRE 전술: -
심각도: 높음
악의적인 SQL 활동
설명: 컴퓨터 로그에 '%{process name}'이(가) 계정에 의해 실행되었음을 나타냅니다. %{user name}. 이 활동은 악의적인 것으로 간주됩니다.
MITRE 전술: -
심각도: 높음
쿼리된 여러 도메인 계정
설명: 호스트 데이터를 분석한 결과 %{Compromised Host}에서 짧은 기간 내에 비정상적인 수의 고유 도메인 계정을 쿼리하는 것으로 확인되었습니다. 이러한 종류의 활동은 합법적일 수 있지만 손상의 표시일 수도 있습니다.
MITRE 전술: -
심각도: 보통
가능한 자격 증명 덤프가 검색됨[여러 번 확인됨]
설명: 호스트 데이터를 분석한 결과 메모리에서 자격 증명을 추출할 수 있는 방식으로 사용되는 네이티브 windows 도구(예: sqldumper.exe)의 사용이 감지되었습니다. 공격자는 종종 이러한 기술을 사용하여 자격 증명을 추출한 다음, 횡적 이동 및 권한 상승에 추가로 사용합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다.
MITRE 전술: -
심각도: 보통
AppLocker를 바이패스하려는 잠재적 시도가 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 AppLocker 제한을 우회하려는 잠재적 시도가 감지되었습니다. AppLocker는 Windows 시스템에서 실행할 수 있는 실행 파일을 제한하는 정책을 구현하도록 구성할 수 있습니다. 이 경고에서 식별된 것과 유사한 명령줄 패턴은 이전에 신뢰할 수 있는 실행 파일(AppLocker 정책에서 허용됨)을 사용하여 신뢰할 수 없는 코드를 실행하여 AppLocker 정책을 우회하려는 공격자 시도와 연결되었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
MITRE 전술: -
심각도: 높음
실행된 희귀 SVCHOST 서비스 그룹
(VM_SvcHostRunInRareServiceGroup)
설명: 시스템 프로세스 SVCHOST가 드문 서비스 그룹을 실행하는 것으로 확인되었습니다. 맬웨어는 종종 SVCHOST를 사용하여 악의적인 활동을 가장합니다.
MITRE 전술: 방어 회피, 실행
심각도: 정보 제공
고정 키 공격이 감지됨
설명: 호스트 데이터 분석은 공격자가 호스트 %{Compromised Host}에 백도어 액세스를 제공하기 위해 접근성 이진 파일(예: 고정 키, 화상 키보드, 내레이터)을 전복할 수 있음을 나타냅니다.
MITRE 전술: -
심각도: 보통
무차별 암호 대입 공격 성공
(VM_LoginBruteForceSuccess)
설명: 동일한 원본에서 여러 로그인 시도가 감지되었습니다. 일부는 호스트에 성공적으로 인증되었습니다. 이는 공격자가 유효한 계정 자격 증명을 찾기 위해 수많은 인증 시도를 수행하는 버스트 공격과 유사합니다.
MITRE 전술: 악용
심각도: 중간/높음
RDP 하이재킹을 암시하는 의심스러운 무결성 수준
설명: 호스트 데이터 분석에서 SYSTEM 권한으로 실행되는 tscon.exe 감지했습니다. 이는 컨텍스트를 이 호스트에 로그온한 다른 사용자로 전환하기 위해 이 이진 파일을 남용하는 공격자를 나타낼 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 알려진 공격자 기술입니다.
MITRE 전술: -
심각도: 보통
의심 서비스 설치
설명: 호스트 데이터를 분석하여 서비스로 tscon.exe 설치를 감지했습니다. 이 이진 파일이 서비스로 시작되면 공격자가 RDP 연결을 하이재킹하여 이 호스트에서 로그온한 다른 사용자로 간단하게 전환할 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 것으로 알려진 공격자 기술입니다.
MITRE 전술: -
심각도: 보통
의심되는 Kerberos 골든 티켓 공격 매개 변수 관찰됨
설명: 호스트 데이터 분석에서 Kerberos 골든 티켓 공격과 일치하는 명령줄 매개 변수를 검색했습니다.
MITRE 전술: -
심각도: 보통
의심스러운 계정 생성이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 로컬 계정 %{의심스러운 계정 이름}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{유사 계정 이름}'과 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다.
MITRE 전술: -
심각도: 보통
의심스러운 활동이 감지됨
(VM_SuspiciousActivity)
설명: 호스트 데이터를 분석한 결과 지금까지 악의적인 활동과 연결된 %{machine name}에서 실행 중인 하나 이상의 프로세스 시퀀스가 검색되었습니다. 개별 명령이 무해해 보일 수 있지만 이러한 명령의 집계에 따라 경고가 점수가 매겨집니다. 이는 합법적인 활동이거나 손상된 호스트의 표시일 수 있습니다.
MITRE 전술: 실행
심각도: 보통
의심스러운 인증 활동
(VM_LoginBruteForceValidUserFailed)
설명: 성공하지는 못했지만 일부 사용된 계정은 호스트에서 인식했습니다. 이는 공격자가 호스트에 액세스할 유효한 자격 증명을 찾기 위해 미리 정의된 계정 이름 및 암호 사전을 사용하여 수많은 인증 시도를 수행하는 사전 공격과 유사합니다. 이는 일부 호스트 계정 이름이 잘 알려진 계정 이름 사전에 존재할 수도 있음을 나타냅니다.
MITRE 전술: 검색
심각도: 보통
의심스러운 코드 세그먼트가 감지됨
설명: 반사 삽입 및 프로세스 빈 공간과 같은 비표준 메서드를 사용하여 코드 세그먼트가 할당되었음을 나타냅니다. 경고는 보고된 코드 세그먼트의 기능 및 동작에 대한 컨텍스트를 제공하기 위해 처리된 코드 세그먼트의 더 많은 특성을 제공합니다.
MITRE 전술: -
심각도: 보통
의심스러운 이중 확장 파일이 실행됨
설명: 호스트 데이터 분석은 의심스러운 이중 확장이 있는 프로세스의 실행을 나타냅니다. 이 확장은 파일을 열어도 안전하다고 생각하도록 사용자를 속일 수 있으며 시스템에 맬웨어가 있음을 나타낼 수 있습니다.
MITRE 전술: -
심각도: 높음
Certutil을 사용한 의심스러운 다운로드가 감지됨[여러 번 확인됨]
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 인증서 및 인증서 데이터 조작과 관련된 주요 목적 대신 이진 파일을 다운로드하기 위해 기본 제공 관리자 유틸리티인 certutil.exe 사용이 감지되었습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다.
MITRE 전술: -
심각도: 보통
Certutil을 사용한 의심스러운 다운로드가 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 인증서 및 인증서 데이터 조작과 관련된 주요 목적 대신 이진 파일을 다운로드하기 위해 기본 제공 관리자 유틸리티인 certutil.exe 사용이 감지되었습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다.
MITRE 전술: -
심각도: 보통
의심스러운 PowerShell 활동이 감지됨
설명: 호스트 데이터를 분석한 결과 알려진 의심스러운 스크립트와 공통된 기능이 있는 %{Compromised Host}에서 실행되는 PowerShell 스크립트가 검색되었습니다. 이 스크립트는 합법적인 활동이거나 손상된 호스트의 표시일 수 있습니다.
MITRE 전술: -
심각도: 높음
의심스러운 PowerShell cmdlet이 실행됨
설명: 호스트 데이터 분석은 알려진 악성 PowerShell PowerSploit cmdlet의 실행을 나타냅니다.
MITRE 전술: -
심각도: 보통
의심스러운 프로세스 실행 [여러 번 확인됨]
설명: 컴퓨터 로그는 의심스러운 프로세스 '%{의심스러운 프로세스}'가 컴퓨터에서 실행 중임을 나타내며, 공격자가 자격 증명에 액세스하려고 시도하는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다.
MITRE 전술: -
심각도: 높음
의심스러운 프로세스가 실행됨
설명: 컴퓨터 로그는 의심스러운 프로세스 '%{의심스러운 프로세스}'가 컴퓨터에서 실행 중임을 나타내며, 공격자가 자격 증명에 액세스하려고 시도하는 경우가 많습니다.
MITRE 전술: -
심각도: 높음
의심스러운 프로세스 이름이 검색됨[여러 번 확인됨]
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 의심스러운 프로세스를 감지했습니다(예: 알려진 공격자 도구에 해당하거나 일반 시야에서 숨기려는 공격자 도구를 암시하는 방식으로 명명됨). 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다.
MITRE 전술: -
심각도: 보통
의심스러운 프로세스 이름이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 의심스러운 프로세스를 감지했습니다(예: 알려진 공격자 도구에 해당하거나 일반 시야에서 숨기려는 공격자 도구를 암시하는 방식으로 명명됨). 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다.
MITRE 전술: -
심각도: 보통
의심스러운 SQL 활동
설명: 컴퓨터 로그에 '%{process name}'이(가) 계정에 의해 실행되었음을 나타냅니다. %{user name}. 이 활동은 이 계정에서 일반적이지 않습니다.
MITRE 전술: -
심각도: 보통
의심스러운 SVCHOST 프로세스가 실행됨
설명: 시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 종종 SVCHOST를 사용하여 악의적인 활동을 가장합니다.
MITRE 전술: -
심각도: 높음
의심스러운 시스템 프로세스가 실행됨
(VM_SystemProcessInAbnormalContext)
설명: 시스템 프로세스 %{process name}이(가) 비정상적인 컨텍스트에서 실행되는 것으로 확인되었습니다. 맬웨어는 이 프로세스 이름을 사용하여 악의적인 활동을 위장하는 경우가 많습니다.
MITRE 전술: 방어 회피, 실행
심각도: 높음
의심스러운 볼륨 섀도 복사 작업
설명: 호스트 데이터를 분석한 결과 리소스에서 섀도 복사본 삭제 작업이 감지되었습니다. VSC(볼륨 섀도 복사본)는 데이터 스냅샷을 저장하는 중요한 아티팩트입니다. 일부 맬웨어 및 특정 랜섬웨어는 VSC를 대상으로 지정하여 백업 전략을 파괴합니다.
MITRE 전술: -
심각도: 높음
의심스러운 WindowPosition 레지스트리 값이 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 데스크톱의 보이지 않는 섹션에서 애플리케이션 창을 숨길 수 있는 WindowPosition 레지스트리 구성 변경 시도가 감지되었습니다. 이는 합법적인 활동이거나 손상된 머신의 표시일 수 있습니다. 이 유형의 활동은 이전에 Win32/OneSystemCare 및 Win32/SystemHealer 및 Win32/Creprote와 같은 맬웨어와 같은 알려진 광고웨어(또는 원치 않는 소프트웨어)와 연결되었습니다. WindowPosition 값이 201329664 설정되면(16진수: X-축=0c00 및 Y-축=0c00에 해당하는 16진수: 0c00 0x0c00) 표시되는 시작 메뉴/작업 표시줄 아래 보기에서 숨겨진 영역에 있는 사용자 화면의 보이지 않는 섹션에 콘솔 앱의 창이 배치됩니다. 알려진 용의자 16진수 값에는 c000c000이 포함되지만 제한되지는 않습니다.
MITRE 전술: -
심각도: 낮음
의심스러운 명명된 프로세스가 검색됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 매우 유사하지만 매우 일반적으로 실행되는 프로세스(%{프로세스 이름과 유사)와 다른 프로세스가 검색되었습니다. 이 프로세스는 무해할 수 있지만 악의적인 도구의 이름을 합법적인 프로세스 이름과 비슷하게 지정하여 공격자가 눈에 잘 띄지 않게 숨기는 것으로 알려져 있습니다.
MITRE 전술: -
심각도: 보통
가상 머신에서 비정상적인 구성이 재설정됨
(VM_VMAccessUnusualConfigReset)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 구성 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 구성을 다시 설정하여 손상시킬 수 있습니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
비정상적인 프로세스 실행이 감지됨
설명: %{Compromised Host}에서 호스트 데이터를 분석한 결과 비정상적인 %{User Name}에 의한 프로세스 실행이 감지되었습니다. %{User Name}과 같은 계정은 제한된 작업 집합을 수행하는 경향이 있으며, 이 실행은 문자가 부족하여 의심스러울 수 있습니다.
MITRE 전술: -
심각도: 높음
가상 머신에서 비정상적인 사용자 암호 재설정
(VM_VMAccessUnusualPasswordReset)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 다시 설정하여 손상시킬 수 있습니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
가상 머신에서 비정상적인 사용자 SSH 키 재설정됨
(VM_VMAccessUnusualSSHReset)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 다시 설정하여 손상시킬 수 있습니다.
MITRE 전술: 자격 증명 액세스
심각도: 보통
VBScript HTTP 개체 할당이 검색됨
설명: 명령 프롬프트를 사용하여 VBScript 파일을 만드는 것이 감지되었습니다. 다음 스크립트에는 HTTP 개체 할당 명령이 포함되어 있습니다. 이 작업은 악성 파일을 다운로드하는 데 사용할 수 있습니다.
가상 머신에서 GPU 확장의 의심스러운 설치(미리 보기)
(VM_GPUDriverExtensionUnusualExecution)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 GPU 확장의 의심스러운 설치가 검색되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다.
MITRE 전술: 영향
심각도: 낮음
AzureHound 도구 호출이 검색됨
(ARM_AzureHound)
설명: AzureHound는 구독에서 실행되었으며 리소스를 열거하는 정보 수집 작업을 수행했습니다. 위협 행위자는 AzureHound와 같은 자동화된 도구를 사용하여 리소스를 열거하고 이를 사용하여 중요한 데이터에 액세스하거나 횡적 이동을 수행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 사용자 환경을 손상하려고 함을 나타낼 수 있습니다.
MITRE 전술: 검색
심각도: 보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.