보안 경고 - 참조 가이드

이 문서에는 클라우드용 Microsoft Defender에서 가져올 수 있는 보안 경고와 사용자가 사용하도록 설정한 모든 Microsoft Defender 계획이 나열되어 있습니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.

이 페이지의 하단에는 MITRE ATT&CK 행렬의 버전 9와 일치하는 클라우드용 Microsoft Defender 킬 체인을 설명하는 테이블이 있습니다.

이러한 경고에 응답하는 방법을 알아봅니다.

경고를 내보내는 방법을 알아봅니다.

참고

서로 다른 원본의 경고가 표시되는 데 각각 다른 시간이 걸릴 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고를 표시하는 경우 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.

Windows 컴퓨터에 대한 경고

서버용 Microsoft Defender 플랜 2는 엔드포인트용 Microsoft Defender에서 제공하는 기능 외에도 고유한 검색 및 경고를 제공합니다. Windows 머신에 대해 제공되는 경고는 다음과 같습니다.

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
악성 IP에서 로그온이 감지되었습니다. [여러 번 발생함] [account] 계정 및 [process] 프로세스에 대해 원격 인증이 완료되었지만 로그온 IP 주소(x.x.x.x)가 이전에 악성이거나 매우 이례적인 것으로 보고되었습니다. 공격이 발생했을 수 있습니다. 확장명이 .scr인 파일은 화면 보호기 파일이며 일반적으로 Windows 시스템 디렉터리에 있으며 이곳에서 실행됩니다. - 높음
로컬 관리자 그룹에 게스트 계정 추가 호스트 데이터의 분석 결과 %{Compromised Host}의 로컬 관리자 그룹에 기본 제공 게스트 계정이 추가되어 공격자 활동과 높은 관련이 있음을 감지했습니다. - 중간
이벤트 로그가 지워짐 컴퓨터 로그에 '%{CompromisedEntity}' 컴퓨터에서 '%{user name}' 사용자의 의심스러운 이벤트 로그 지우기 작업이 나타납니다. %{log channel} 로그가 지워졌습니다. - 정보 제공
맬웨어 방지 작업 실패함 Microsoft Antimalware가 맬웨어 또는 기타 사용자 동의 없이 설치된 소프트웨어에 대한 대응 조치를 취하는 동안 오류가 발생했습니다. - 중간
맬웨어 방지 작업 수행됨 Azure용 Microsoft Antimalware가 맬웨어 또는 기타 사용자 동의 없이 설치된 소프트웨어로부터 이 컴퓨터를 보호하기 위한 작업을 수행했습니다. - 중간
가상 머신에서 맬웨어 방지 광범위한 파일 제외
(VM_AmBroadFilesExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비활성화 및 코드 실행
(VM_AmDisablementAndCodeExecution)
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다.
- 높음
가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨
(VM_AmDisablement)
가상 머신에서 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmFileExclusionAndCodeExecution)
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmTempFileExclusionAndCodeExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 방지 파일 제외
(VM_AmTempFileExclusion)
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisabled)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmTempRealtimeProtectionDisablement)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 코드가 실행되는 동안 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisablementAndCodeExec)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
- 높음
가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 맬웨어 방지 검사가 차단됨
(VM_AmMalwareCampaignRelatedExclusion)
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 하는 제외 규칙이 가상 머신에서 감지되었습니다. 이 규칙은 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. 방어 회피 중간
가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨
(VM_AmTemporarilyDisablement)
가상 머신에서 맬웨어 방지 임시로 비활성화 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비정상 파일 제외
(VM_UnusualAmFileExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 중간
가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousCmd)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousEntryPoint)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 페이로드가 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousPayload)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 GitHub 리포지토리의 페이로드가 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
IIS 로그 파일 비활성화 및 삭제를 나타내는 작업이 감지됨 호스트 데이터를 분석한 결과, IIS 로그 파일이 비활성화 및/또는 삭제되었음을 보여주는 작업이 감지되었습니다. - 중간
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있으며, 공격자가 손상된 호스트에서 관리 작업을 수행할 때 대소문자를 구분하거나 일치하는 해시 기반 규칙을 숨기려는 경우에도 일반적입니다. - 중간
UAC를 우회하는 데 남용될 수 있는 레지스트리 키에 대한 변경이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석 결과, UAC(사용자 계정 컨트롤)를 우회하기 위해 남용될 수 있는 레지스트리 키가 변경되었음을 감지했습니다. 이러한 종류의 구성은 무해할 수 있으며, 손상된 호스트에서 권한 없는(표준 사용자) 액세스에서 권한 있는(예: 관리자) 액세스로 전환하려고 할 때 일반적인 공격자 활동이기도 합니다. - 중간
기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 실행 파일을 디코딩하는 데 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다. - 높음
WDigest UseLogonCredential 레지스트리 키를 사용하는 것이 감지됨 호스트 데이터를 분석한 결과, 레지스트리 키 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ “UseLogonCredential”의 변경이 감지되었습니다. 특히 이 키는 로그온 자격 증명을 LSA 메모리에 일반 텍스트로 저장할 수 있도록 업데이트되었습니다. 사용하도록 설정하면 공격자는 Mimikatz와 같은 자격 증명 수집 도구를 사용하여 LSA 메모리에서 지우기 텍스트 암호를 덤프할 수 있습니다. - 중간
명령줄 데이터에서 인코딩된 실행 파일이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, base-64로 인코딩된 실행 파일이 감지되었습니다. 이전에는 일련의 명령을 통해 실행 파일을 즉석에서 구성하려는 공격자 및 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 피하려는 공격자와 관련이 있었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
난독 처리된 명령줄이 감지됨 공격자가 점점 더 복잡한 난독 처리 기술을 사용하여 기본 데이터에 대해 실행되는 감지를 피합니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 명령줄에서 의심스러운 난독 지표가 감지되었습니다. - 정보 제공
Petya 랜섬웨어 지표가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, Petya 랜섬웨어와 관련된 지표가 감지되었습니다. 자세한 내용은 https://aka.ms/petya-blog 을 참조하세요. 이 경고와 관련된 명령줄을 검토하고 해당 경고를 보안 팀에 에스컬레이션하세요. - 높음
keygen 실행 파일의 실행이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 keygen 도구를 나타내는 프로세스의 실행을 감지했습니다. 이 도구는 일반적으로 소프트웨어 라이선싱 메커니즘을 무효화하는 데 사용되지만 해당 다운로드는 종종 다른 악성 소프트웨어와 함께 번들로 제공됩니다. 활동 그룹 GOLD는 이러한 keygen을 사용하여 손상시키는 호스트에 대한 백도어 액세스 권한을 은밀하게 얻는 것으로 알려져 있습니다. - 중간
맬웨어 드로퍼의 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 대상 호스트에 맬웨어를 설치하는 활동 그룹 GOLD의 방법 중 하나와 관련된 파일 이름이 감지되었습니다. - 높음
로컬 정찰 활동이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 정찰 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 관련된 systeminfo 명령 조합이 감지되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속 실행하는 것은 드문 경우입니다. -
잠재적으로 의심스러운 Telegram 도구를 사용하는 것으로 감지됨 호스트 데이터를 분석한 결과, Telegram이 설치된 것으로 나타납니다. Telegram은 모바일 및 데스크톱 시스템 모두에 존재하는 무료 클라우드 기반 인스턴트 메시징 서비스입니다. 공격자는 이 서비스를 악용하여 악성 바이너리를 다른 컴퓨터, 전화 또는 태블릿으로 전송하는 것으로 알려져 있습니다. - 중간
로그온 시 사용자에게 표시되는 법적 고지를 표시하지 않는 것으로 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로그온할 때 법적 고지가 표시되는지 여부를 제어하는 레지스트리 키가 변경된 것을 감지했습니다. Microsoft 보안 분석에 따르면 이는 호스트를 손상시킨 후 공격자가 수행하는 일반적인 활동입니다. - 낮음
HTA와 PowerShell의 의심스러운 조합이 감지됨 공격자가 악성 PowerShell 명령을 실행하기 위해 서명된 Microsoft 이진 파일인 mshta.exe(Microsoft HTML 응용 프로그램 호스트)를 사용하고 있습니다. 공격자는 인라인 VBScript를 사용하여 HTA 파일에 의존하는 경우가 많습니다. 피해자가 HTA 파일을 찾아 실행하도록 선택하면 포함된 PowerShell 명령 및 스크립트가 실행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, PowerShell 명령을 실행하는 mshta.exe가 감지되었습니다. - 중간
의심스러운 명령줄 인수가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 HYDROGEN이 사용하는 역순 셸과 함께 사용된 의심스러운 명령줄 인수를 감지했습니다. - 높음
디렉터리의 모든 실행 파일을 시작하는 데 사용된 의심스러운 명령줄이 감지됨 호스트 데이터를 분석한 결과, 의심스러운 프로세스가 %{Compromised Host}에서 실행되고 있음을 감지했습니다. 이 명령줄은 디렉터리에 있을 수 있는 모든 실행 파일(*.exe)을 시작하려고 시도함을 나타냅니다. 이는 손상된 호스트를 암시할 수 있습니다. - 중간
명령줄에서 의심스러운 자격 증명이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 BORON이 파일을 실행하는 데 사용하는 의심스러운 암호를 감지했습니다. 이 활동 그룹은 이 암호를 사용하여 대상 호스트에서 Pirpi 맬웨어를 실행하는 것으로 알려져 있습니다. - 높음
의심스러운 문서 자격 증명이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 맬웨어가 파일을 실행하는 데 사용되는 일반적으로 의심스러운 미리 계산된 암호 해시가 감지되었습니다. 활동 그룹 HYDROGEN은 이 암호를 사용하여 대상 호스트에서 맬웨어를 실행하는 것으로 알려져 있습니다. - 높음
VBScript.Encode 명령의 의심스러운 실행이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, VBScript.Encode 명령이 실행된 것으로 감지되었습니다. 읽을 수 없는 텍스트로 스크립트를 인코딩하므로 사용자가 코드를 검사하기가 더 어렵습니다. Microsoft 위협 연구에 따르면 공격자는 감지 시스템을 피하기 위해 공격의 일부로 인코딩된 VBscript 파일을 사용하는 경우가 많습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 중간
rundll32.exe를 통한 의심스러운 실행이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 손상된 호스트에 첫 단계 이식물을 설치할 때 활동 그룹 GOLD에서 이전에 사용된 프로세스 이름 지정 스키마와 일치하는 드문 이름으로 프로세스를 실행하는 데 rundll32.exe를 사용한 것이 감지되었습니다. - 높음
의심스러운 파일 정리 명령이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 손상 후 자체 정리 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 관련된 systeminfo 명령 조합이 감지되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속 실행한 다음 삭제 명령을 수행하는 것은 드문 경우입니다. - 높음
의심스러운 파일 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과 이전에 활동 그룹 BARIUM이 피해자 호스트에서 수행한 손상 후 작업을 표시한 프로세스의 생성 또는 실행이 감지되었습니다. 이 활동 그룹은 피싱 문서의 첨부 파일이 열린 후 손상된 호스트에 더 많은 맬웨어를 다운로드하는 데 이 기술을 사용하는 것으로 알려져 있습니다. - 높음
의심스러운 명명된 파이프 통신이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, Windows 콘솔 명령에서 명명된 로컬 파이프에 작성되는 데이터가 감지되었습니다. 명명된 파이프는 공격자가 악성 이식물과 통신하고 작업하는 데 사용하는 채널로 알려져 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
의심스러운 네트워크 활동이 감지됨 %{Compromised Host}에서 네트워크 트래픽을 분석한 결과, 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 일반적으로 무해할 수 있으며, 일반적으로 도구 다운로드, 명령 및 제어, 데이터 반출을 위한 악성 서버와 통신하기 위해 공격자가 사용합니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. - 낮음
의심스러운 새 방화벽 규칙이 감지됨 호스트 데이터를 분석한 결과, netsh.exe를 통해 의심스러운 위치에 있는 실행 파일에서 보내는 트래픽을 허용하도록 새 방화벽 규칙이 추가되었습니다. - 중간
시스템의 보안 상태를 낮추는 의심스러운 CACLS 사용이 감지됨 공격자는 무차별 암호 대입, 스피어 피싱 등의 다양한 방법을 사용하여 초기 손상을 달성하고 네트워크에 기반을 구축합니다. 초기 손상이 달성되면 시스템의 보안 설정을 낮추는 단계를 수행하는 경우가 많습니다. CACLS(변경 액세스 제어 목록의 약어)는 폴더 및 파일에 대한 보안 권한을 수정하는 데 자주 사용되는 Microsoft Windows 기본 명령줄 유틸리티입니다. 공격자는 시스템의 보안 설정을 낮추기 위해 이진 파일을 사용하는 경우가 많습니다. 이 작업은 모든 사용자에게 ftp.exe, net.exe, wscript.exe 등의 일부 시스템 이진 파일에 대한 모든 권한을 부여하여 수행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 시스템의 보안을 낮추기 위해 CACLS에 대한 의심스러운 사용이 감지되었습니다. - 중간
FTP -s 스위치에 대한 의심스러운 사용이 감지됨: %{Compromised Host}에서 프로세스 생성 데이터를 분석한 결과, FTP의 "-s:filename" 스위치가 사용된 것이 감지되었습니다. 이 스위치는 클라이언트가 실행할 FTP 스크립트 파일을 지정하는 데 사용됩니다. 맬웨어 또는 악성 프로세스는 이 FTP 스위치(-s:filename)를 사용하여 원격 FTP 서버에 연결하고 더 악의적인 이진 파일을 다운로드하도록 구성된 스크립트 파일을 가리키는 것으로 알려져 있습니다. - 중간
실행 파일 코드를 시작하는 데 Pcalua.exe에 대한 의심스러운 사용이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 실행 파일 코드를 시작하는 데 pcalua.exe가 사용된 것으로 감지되었습니다. pcalua.exe는 프로그램 설치 또는 실행 중에 호환성 문제를 감지하는 Microsoft Windows "프로그램 호환성 관리자"의 구성 요소입니다. 공격자는 합법적인 Windows 시스템 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 -a 스위치와 함께 pcalua.exe를 사용하여 로컬 또는 원격 공유에서 악성 실행 파일을 시작합니다. - 중간
중요한 서비스의 비활성화가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과는 SharedAccess 또는 Windows 보안 앱과 같은 중요한 서비스를 중지하는 데 사용되는 “net.exe stop” 명령의 실행을 감지했습니다. 이러한 서비스 중 하나가 중지되면 악의적인 동작을 암시할 수 있습니다. - 중간
디지털 통화 마이닝 관련 동작이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 감지되었습니다. - 높음
동적 PS 스크립트 생성 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 동적으로 생성되는 PowerShell 스크립트가 감지되었습니다. 공격자는 때때로 ID 시스템을 피하기 위해 점진적으로 스크립트를 생성하는 이 방식을 사용합니다. 이는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. - 중간
의심스러운 위치에서 실행 중인 실행 파일이 있음 호스트 데이터를 분석한 결과, 의심스러운 알려진 파일과 공통된 위치에서 실행 중인 %{Compromised Host}에서 실행 파일이 감지되었습니다. 이 실행 파일은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
파일리스 공격 동작이 감지됨
(VM_FilelessAttackBehavior.Windows)
지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다. 구체적인 동작은 다음과 같습니다.
1) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
2) Azure 네트워크 연결 자세한 내용은 아래의 NetworkConnections를 참조하세요.
3) 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
4) 동적으로 할당된 코드 세그먼트에서 시작된 스레드가 포함됩니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
방어 회피 낮음
파일리스 공격 기술이 감지됨
(VM_FilelessAttackTechnique.Windows)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다.
1) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
2) 코드 삽입 공격과 같이 프로세스에 삽입되는 실행 파일 이미지입니다.
3) Azure 네트워크 연결 자세한 내용은 아래의 NetworkConnections를 참조하세요.
4) 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
5) 프로세스 비우기. 악의적인 코드의 컨테이너 역할을 하기 위해 시스템에 적법한 프로세스가 로드되는 맬웨어에서 사용되는 기술입니다.
6) 동적으로 할당된 코드 세그먼트에서 시작된 스레드가 포함됩니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
방어 우회, 실행 높음
파일리스 공격 도구 키트가 감지됨
(VM_FilelessAttackToolkit.Windows)
지정된 프로세스의 메모리에 파일리스 공격 도구 키트([도구 키트 이름])가 포함되어 있습니다. 파일리스 공격 도구 키트는 디스크에서 맬웨어의 추적을 최소화하거나 제거하는 기술을 사용하며 디스크 기반 맬웨어 검사 솔루션을 통한 감지 가능성을 대폭 줄입니다. 구체적인 동작은 다음과 같습니다.
1) 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어.
2) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
3) 프로세스 메모리에 악성 실행 파일을 삽입했습니다.
방어 우회, 실행 중간
고위험 소프트웨어가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 과거의 맬웨어 설치와 관련된 소프트웨어 사용이 감지되었습니다. 악성 소프트웨어 배포에 사용되는 일반적인 기술은 이 경고에서 볼 수 있는 것과 같이 무해한 다른 도구로 패키지화하는 것입니다. 해당 도구를 사용하면 맬웨어가 백그라운드에서 자동으로 설치될 수 있습니다. - 중간
로컬 관리자 그룹 구성원이 열거됨 머신 로그에 %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹에 대한 성공적인 열거가 나타납니다. 특히 %{Enumerating User Domain Name}%{Enumerating User Name}은(는) %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹의 구성원을 원격으로 열거했습니다. 이 활동은 합법적인 활동일 수도 있고 조직의 컴퓨터가 손상되어 %{vmname}을(를) 정찰하는 데 사용된 것을 암시할 수도 있습니다. - 정보 제공
ZINC 서버 이식물로 인해 악성 방화벽 규칙이 생성됨[여러 번 발생함] 알려진 행위자인 ZINC와 일치하는 기술을 사용하여 방화벽 규칙이 생성되었습니다. 이 규칙은 명령 & 제어 통신을 허용하기 위해 %{Compromised Host}에서 포트를 여는 데 사용될 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
악성 SQL 활동 컴퓨터 로그에 '%{process name}'이(가) %{user name} 계정으로 실행된 것이 나타납니다. 이 활동은 악의적인 것으로 간주됩니다. - 높음
여러 도메인 계정이 쿼리됨 호스트 데이터를 분석한 결과, %{Compromised Host}에서 짧은 시간 내에 비정상적인 개수의 도메인 계정이 쿼리되고 있음이 감지되었습니다. 이러한 종류의 활동은 합법적일 수 있지만 손상을 암시할 수도 있습니다. - 중간
자격 증명 덤프가 감지되었을 수 있음[여러 번 발생함] 호스트 데이터를 분석한 결과, 메모리에서 자격 증명을 추출할 수 있는 방식으로 사용되는 기본 Windows 도구(예: sqldumper.exe)를 사용하는 것이 감지되었습니다. 공격자는 종종 이 기술을 사용하여 자격 증명을 추출한 후 측면 이동 및 권한 에스컬레이션에 추가로 사용합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
AppLocker를 우회하려는 잠재적인 시도가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, AppLocker 제한을 우회하려는 잠재적인 시도가 감지되었습니다. AppLocker는 Windows 시스템에서 실행할 수 있는 실행 파일을 제한하는 정책을 구현하도록 구성할 수 있습니다. 이 경고에서 확인된 것과 유사한 명령줄 패턴은 이전에 공격자가 신뢰할 수 없는 코드를 실행하기 위해 신뢰할 수 있는 실행 파일(AppLocker 정책에서 허용)을 사용하여 AppLocker 정책을 우회하려는 시도와 관련이 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
PsExec 실행이 감지됨
(VM_RunByPsExec)
호스트 데이터를 분석한 결과, %{Process Name} 프로세스가 PsExec 유틸리티에 의해 실행된 것으로 나타납니다. PsExec는 프로세스를 원격으로 실행하는 데 사용할 수 있습니다. 이 기술은 악의적인 목적으로 사용될 수도 있습니다. 측면 이동, 실행 정보 제공
랜섬웨어 지표가 감지됨[여러 번 발생함] 호스트 데이터를 분석한 결과, 일반적으로 잠금 화면 및 암호화 랜섬웨어와 관련된 의심스러운 활동이 나타납니다. 화면 잠금 랜섬웨어는 대화형 호스트 사용 및 해당 파일에 대한 액세스를 차단하기 위해 전체 화면 메시지를 표시합니다. 암호화 랜섬웨어는 데이터 파일을 암호화하여 액세스를 차단합니다. 두 경우 모두 일반적으로 파일 액세스를 복원하기 위해 지불을 요청하는 랜섬 메시지가 표시됩니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
랜섬웨어 지표가 감지됨 호스트 데이터를 분석한 결과, 일반적으로 잠금 화면 및 암호화 랜섬웨어와 관련된 의심스러운 활동이 나타납니다. 화면 잠금 랜섬웨어는 대화형 호스트 사용 및 해당 파일에 대한 액세스를 차단하기 위해 전체 화면 메시지를 표시합니다. 암호화 랜섬웨어는 데이터 파일을 암호화하여 액세스를 차단합니다. 두 경우 모두 일반적으로 파일 액세스를 복원하기 위해 지불을 요청하는 랜섬 메시지가 표시됩니다. - 높음
드문 SVCHOST 서비스 그룹이 실행됨
(VM_SvcHostRunInRareServiceGroup)
드문 서비스 그룹에서 실행되는 시스템 프로세스 SVCHOST가 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다. 방어 우회, 실행 정보 제공
고정 키 공격이 감지됨 호스트 데이터를 분석한 결과, 공격자가 %{Compromised Host} 호스트에게 백도어 액세스를 제공하기 위해 접근성 이진(예: 고정 키, 화면 키보드, 내레이터)을 와해시키는 것으로 나타납니다. - 중간
성공적인 무차별 암호 대입 공격
(VM_LoginBruteForceSuccess)
동일한 소스에서 여러 번의 로그인 시도가 탐지되었습니다. 그 중 일부는 호스트에 성공적으로 인증되었습니다.
이는 공격자가 유효한 계정 자격 증명을 찾기 위해 수많은 인증을 수행하는 버스트 공격과 비슷합니다.
악용 중간/높음
RDP 하이재킹을 암시하는 의심스러운 무결성 수준 호스트 데이터를 분석한 결과 시스템 권한으로 실행되는 tscon.exe 감지되었습니다. 이는 이 호스트에서 로그온한 다른 사용자로 컨텍스트를 전환하기 위해 공격자가 이 이진 파일을 남용했음을 나타낼 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 알려진 공격자 기술입니다. - 중간
의심스로운 서비스 설치 호스트 데이터를 분석한 결과 서비스로 tscon.exe 설치가 감지되었습니다. 이 바이너리가 서비스로 시작되면 공격자가 RDP 연결을 하이재킹하여 이 호스트에서 로그온한 다른 사용자로 간단하게 전환할 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 알려진 공격자 기술입니다. - 중간
의심스러운 Kerberos Golden Ticket 공격 매개 변수가 관찰됨 호스트 데이터를 분석한 결과, Kerberos Golden Ticket 공격과 일치하는 명령줄 매개 변수가 감지되었습니다. - 중간
의심스러운 계정 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로컬 계정 %{Suspicious account name}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{Similar To Account Name}'과(와) 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. - 중간
의심스러운 활동이 감지됨
(VM_SuspiciousActivity)
호스트 데이터를 분석한 결과, 악성 활동과 관련된 %{machine name}에서 실행 중인 하나 이상의 프로세스 시퀀스가 감지되었습니다. 개별 명령은 무해한 것으로 나타날 수 있지만 이러한 명령의 집계를 기반으로 경고 점수가 매겨집니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. 실행 중간
의심스러운 인증 활동
(VM_LoginBruteForceValidUserFailed)
모든 활동이 성공하지는 않지만 일부는 계정을 사용하여 호스트에서 인식되었습니다. 이는 사전 공격과 유사합니다. 여기서 공격자는 사전 정의된 계정 이름 및 암호 사전을 사용하여 호스트에 액세스하기 위한 유효한 자격 증명을 찾기 위해 수많은 인증 시도를 수행합니다. 이는 일부 호스트 계정 이름이 잘 알려진 계정 이름 사전에 존재할 수도 있음을 나타냅니다. 검색 중간
의심스러운 코드 세그먼트가 감지됨 코드 세그먼트가 반사형 삽입 및 프로세스 비우기에 사용되는 등 비표준 메서드를 사용하여 할당되는 것을 나타냅니다. 경고는 보고된 코드 세그먼트의 기능 및 동작에 대한 컨텍스트를 제공하기 위해 처리된 코드 세그먼트의 더 많은 특성을 제공합니다. - 중간
의심스러운 이중 확장 파일이 실행됨 호스트 데이터를 분석한 결과, 의심스러운 이중 확장으로 프로세스를 실행한 것으로 나타납니다. 이 확장은 사용자가 파일을 열어도 안전하다고 생각하도록 유도하지만 시스템에는 맬웨어가 있을 수 있습니다. - 높음
Certutil을 사용한 의심스러운 다운로드가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
Certutil을 사용한 의심스러운 다운로드가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. - 중간
가상 머신에서 실행 실패로 의심되는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousFailure)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 실패로 의심되는 사용자 지정 스크립트 확장이 검색되었습니다.
이러한 실패는 이 확장에 의해 실행되는 악성 스크립트와 관련될 수 있습니다.
실행 중간
의심스러운 PowerShell 활동이 감지됨 호스트 데이터를 분석한 결과, 의심스러운 알려진 스크립트와 공통된 기능이 있는 %{Compromised Host}에서 실행 중인 PowerShell 스크립트가 감지되었습니다. 이 스크립트는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
의심스러운 PowerShell cmdlet이 실행됨 호스트 데이터를 분석한 결과, 알려진 악성 PowerShell PowerSploit cmdlet이 실행된 것으로 나타납니다. - 중간
의심스러운 프로세스가 실행됨[여러 번 발생함] 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
의심스러운 프로세스가 실행됨 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. - 높음
의심스러운 프로세스 이름이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 감지되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
의심스러운 프로세스 이름이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 감지되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. - 중간
의심스러운 프로세스 종료 버스트가 감지됨
(VM_TaskkillBurst)
호스트 데이터를 분석한 결과, %{Machine Name}에서 의심스러운 프로세스 종료가 버스트된 것으로 나타납니다. 특히 %{NumberOfCommands}개의 프로세스가 %{Begin}에서 %{Ending} 사이에 종료되었습니다. 방어 회피 낮음
의심스러운 SQL 활동 컴퓨터 로그에 '%{process name}'이(가) %{user name} 계정으로 실행된 것이 나타납니다. 이 활동은 이 계정에서 일반적이지 않습니다. - 중간
의심스러운 SVCHOST 프로세스가 실행됨 시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다. - 높음
의심스러운 시스템 프로세스가 실행됨
(VM_SystemProcessInAbnormalContext)
시스템 프로세스 %{process name}이(가) 비정상적인 컨텍스트에서 실행되는 것이 관찰되었습니다. 맬웨어는 이 프로세스 이름을 사용하여 악의적인 활동을 위장하는 경우가 많습니다. 방어 우회, 실행 높음
의심스러운 볼륨 섀도 복사본 활동 호스트 데이터를 분석한 결과, 리소스에서 섀도 복사본 삭제 활동이 감지되었습니다. VSC(볼륨 섀도 복사본)는 데이터 스냅샷을 저장하는 중요한 아티팩트입니다. 일부 맬웨어 및 특정 랜섬웨어는 VSC를 대상으로 지정하여 백업 전략을 파괴합니다. - 높음
의심스러운 WindowPosition 레지스트리 값이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, WindowPosition 레지스트리의 구성 변경 시도가 감지되었습니다. 이는 데스크톱의 보이지 않는 섹션에서 응용 프로그램 창을 숨길 수 있음을 암시합니다. 이는 합법적인 활동일 수도 있고 손상된 컴퓨터를 암시할 수도 있습니다. 이전에는 이 유형의 활동이 Win32/OneSystemCare 및 Win32/SystemHealer와 같은 알려진 애드웨어(또는 원치 않는 소프트웨어) 및 Win32/Creprote와 같은 맬웨어와 관련이 있었습니다. WindowPosition 값이 201329664로 설정된 경우(16진수: 0x0c00 0c00, X축=0c00 및 Y축=0c00에 해당) 콘솔 앱의 창을 보이는 시작 메뉴/작업 표시줄 아래 보기에서 숨겨진 영역의 사용자 화면에서 보이지 않는 섹션에 배치합니다. 의심스러운 알려진 16진수 값에는 c000c000이 포함되지만 이에 국한되지는 않습니다. - 낮음
의심스러운 명명된 프로세스가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 매우 유사하지만 일반적으로 실행되는 프로세스(%{Similar To Process Name})와는 다른 프로세스가 감지되었습니다. 이 프로세스는 무해할 수 있지만 공격자가 합법적인 프로세스 이름과 유사한 악성 도구의 이름을 지정하여 잘 보이지 않도록 숨기는 것으로 알려져 잇습니다. - 중간
가상 머신에서 비정상적인 구성이 재설정됨
(VM_VMAccessUnusualConfigReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 구성 초기화가 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제
(VM_CustomScriptExtensionUnusualDeletion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행
(VM_CustomScriptExtensionUnusualExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
의심스러운 프로세스 실행이 감지됨: %{Compromised Host}에서 호스트 데이터를 분석한 결과, %{User Name}이(가) 비정상적인 프로세스를 실행한 것으로 감지됩니다. %{User Name}과(와) 같은 계정은 제한된 일련의 작업을 수행하는 경향이 있습니다. 이 실행은 문자가 아닌 것으로 판단되어 의심스러울 수 있습니다. - 높음
가상 머신에서 비정상적인 사용자 암호가 재설정됨
(VM_VMAccessUnusualPasswordReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 비정상적인 사용자 SSH 키 재설정됨
(VM_VMAccessUnusualSSHReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 재설정하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
VBScript HTTP 개체 할당이 감지됨 명령 프롬프트를 사용하여 VBScript 파일을 생성한 것이 감지되었습니다. 다음 스크립트에는 HTTP 개체 할당 명령이 포함되어 있습니다. 이 작업은 악성 파일을 다운로드하는 데 이용될 수 있습니다. - 높음

Linux 컴퓨터에 대한 경고

서버용 Microsoft Defender 플랜 2는 엔드포인트용 Microsoft Defender에서 제공하는 기능 외에도 고유한 검색 및 경고를 제공합니다. Linux 머신에 대해 제공되는 경고는 다음과 같습니다.

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
기록 파일이 지워짐 호스트 데이터를 분석한 결과, 명령 기록 로그 파일의 선택이 취소된 것으로 나타납니다. 공격자는 추적을 숨기기 위해 이 작업을 수행할 수 있습니다. '%{user name}' 사용자가 작업을 수행했습니다. - 중간
가상 머신에서 맬웨어 방지 광범위한 파일 제외
(VM_AmBroadFilesExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비활성화 및 코드 실행
(VM_AmDisablementAndCodeExecution)
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다.
- 높음
가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨
(VM_AmDisablement)
가상 머신에서 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmFileExclusionAndCodeExecution)
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmTempFileExclusionAndCodeExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 방지 파일 제외
(VM_AmTempFileExclusion)
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisabled)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmTempRealtimeProtectionDisablement)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 코드가 실행되는 동안 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisablementAndCodeExec)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
- 높음
가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 맬웨어 방지 검사가 차단됨
(VM_AmMalwareCampaignRelatedExclusion)
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 하는 제외 규칙이 가상 머신에서 감지되었습니다. 이 규칙은 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. 방어 회피 중간
가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨
(VM_AmTemporarilyDisablement)
가상 머신에서 맬웨어 방지 임시로 비활성화 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비정상 파일 제외
(VM_UnusualAmFileExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
랜섬웨어와 유사한 동작이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 알려진 랜섬웨어와 유사한 파일의 실행이 감지되었습니다. 이 랜섬웨어는 사용자가 시스템 또는 개인 파일에 액세스할 수 없도록 하며 액세스 권한을 다시 얻는 데 랜섬 지불을 요구합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 중간
마이너 이미지가 있는 컨테이너가 감지됨
(VM_MinerInContainerImage)
컴퓨터 로그에서 디지털 통화 마이닝과 관련된 이미지를 실행하는 Docker 컨테이너의 실행을 나타냅니다. 실행 높음
가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousCmd)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousEntryPoint)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 페이로드가 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousPayload)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 GitHub 리포지토리의 페이로드가 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있으며, 공격자가 손상된 호스트에서 관리 작업을 수행할 때 대소문자를 구분하거나 일치하는 해시 기반 규칙을 숨기려는 경우에도 일반적입니다. - 중간
알려진 악성 소스에서 파일 다운로드가 감지됨 호스트 데이터를 분석한 결과, %{Compromised Host}의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다. - 중간
의심스러운 네트워크 활동이 감지됨 %{Compromised Host}에서 네트워크 트래픽을 분석한 결과, 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 일반적으로 무해할 수 있으며, 일반적으로 도구 다운로드, 명령 및 제어, 데이터 반출을 위한 악성 서버와 통신하기 위해 공격자가 사용합니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. - 낮음
디지털 통화 마이닝 관련 동작이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 감지되었습니다. - 높음
로깅 비활성화[여러 번 발생함] Linux 감사 시스템은 시스템에서 보안 관련 정보를 추적하는 방법을 제공합니다. 시스템에서 발생하는 이벤트에 대한 정보를 최대한 많이 기록합니다. 감사된 로깅을 비활성화하면 시스템에서 사용되는 보안 정책의 위반을 발견하지 못할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
Xorg 취약성 악용[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 인수를 가진 Xorg 사용자가 감지되었습니다. 공격자는 권한 상승을 시도하는 데 이 기술을 이용할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
실패한 SSH 무차별 암호 대입 공격
(VM_SshBruteForceFailed)
%{Attackers} 공격자의 실패한 무차별 암호 대입 공격이 감지되었습니다. 공격자가 %{Accounts used on failed sign in to host attempts} 사용자 이름으로 호스트에 액세스하려고 했습니다. 검색 중간
파일리스 공격 동작이 검색됨
(VM_FilelessAttackBehavior.Linux)
아래에 지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
실행 낮음
파일리스 공격 기술이 검색됨
(VM_FilelessAttackTechnique.Linux)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
실행 높음
파일리스 공격 도구 키트가 검색됨
(VM_FilelessAttackToolkit.Linux)
아래에 지정된 프로세스의 메모리에 파일리스 공격 도구 키트({ToolKitName})가 포함되어 있습니다. 파일리스 공격 도구 키트는 일반적으로 파일 시스템에 존재하지 않으므로 기존 바이러스 백신 소프트웨어에서 검색하기가 어렵습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
방어 우회, 실행 높음
숨겨진 파일 실행이 감지됨 호스트 데이터를 분석한 결과, 숨겨진 파일이 %{user name}에 의해 실행된 것으로 나타납니다. 이 활동은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 정보 제공
새 SSH 키가 추가됨[여러 번 발생함]
(VM_SshKeyAddition)
새 SSH 키가 권한 있는 키 파일에 추가되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. 지속성 낮음
새 SSH 키가 추가됨 새 SSH 키가 권한 있는 키 파일에 추가되었습니다. - 낮음
백도어가 감지되었을 수 있음[여러 번 발생함] 호스트 데이터를 분석한 결과, 의심스러운 파일이 다운로드된 후 구독의 %{Compromised Host}에서 실행되는 것이 감지되었습니다. 이 활동은 이전의 백도어 설치와 관련되어 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
메일 서버 악용 가능성이 검색됨
(VM_MailserverExploitation )
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 메일 서버 계정에서 비정상적인 실행이 검색되었습니다. 악용 중간
악성 웹 셸이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 웹 셸이 감지되었을 수 있습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨터에 웹 셸을 업로드하는 경우가 많습니다. - 중간
암호화 방법을 사용한 암호 변경이 감지되었을 수 있음[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 암호화 방법을 사용한 암호 변경이 감지되었습니다. 공격자는 이 변경을 수행하여 손상 후 액세스를 계속하고 지속성을 확보할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
디지털 통화 마이닝 관련 프로세스가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스의 실행이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 100번 이상 발생했습니다. - 중간
디지털 통화 마이닝 관련 프로세스가 감지됨 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스의 실행이 감지되었습니다. 악용, 실행 중간
Python 인코딩 다운로더가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 원격 위치에서 코드를 다운로드 및 실행하는 인코딩된 Python의 실행이 감지되었습니다. 이는 악의적인 활동을 암시할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
호스트에서 캡처된 스크린샷[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 화면 캡처 도구의 사용자가 감지되었습니다. 공격자는 이 도구를 사용하여 비공개 데이터에 액세스할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
셸 코드가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 명령줄에서 생성된 셸 코드가 감지되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
성공적인 SSH 무차별 암호 대입 공격
(VM_SshBruteForceSuccess)
호스트 데이터를 분석한 결과, 성공적인 무차별 암호 대입 공격이 감지되었습니다. IP %{Attacker source IP}에 대해 여러 번의 로그인 시도가 있었습니다. %{Accounts used to successfully sign in to host} 사용자로 해당 IP에서 성공적으로 로그인되었습니다. 즉, 호스트가 손상되어 악의적인 행위자가 제어할 수 있음을 의미합니다. 악용 높음
의심스러운 계정 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로컬 계정 %{Suspicious account name}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{Similar To Account Name}'과(와) 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. - 중간
가상 머신에서 실행 실패로 의심되는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousFailure)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 실패로 의심되는 사용자 지정 스크립트 확장이 검색되었습니다.
이러한 실패는 이 확장에 의해 실행되는 악성 스크립트와 관련될 수 있습니다.
실행 중간
의심스러운 커널 모듈이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 커널 모듈로 로드되는 공유 개체 파일이 감지되었습니다. 이는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
의심스러운 암호 액세스[여러 번 발생함] 호스트 데이터를 분석한 결과, %{Compromised Host}에서 암호화된 사용자 암호에 대해 의심스러운 액세스가 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 정보 제공
의심스러운 암호 액세스 호스트 데이터를 분석한 결과, %{Compromised Host}에서 암호화된 사용자 암호에 대해 의심스러운 액세스가 감지되었습니다. - 정보 제공
Kubernetes 대시보드에 대한 의심스러운 요청
(VM_KubernetesDashboard)
컴퓨터 로그에 Kubernetes 대시보드에 대한 의심스러운 요청이 있었던 것으로 나타납니다. 해당 요청은 Kubernetes 노드에서 전송되었으며 노드에서 실행중인 컨테이너 중 하나일 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. 측면 이동 중간
가상 머신에서 비정상적인 구성이 재설정됨
(VM_VMAccessUnusualConfigReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 구성 초기화가 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제
(VM_CustomScriptExtensionUnusualDeletion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행
(VM_CustomScriptExtensionUnusualExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 비정상적인 사용자 암호가 재설정됨
(VM_VMAccessUnusualPasswordReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 비정상적인 사용자 SSH 키 재설정됨
(VM_VMAccessUnusualSSHReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 재설정하여 손상시킬 수 있습니다.
자격 증명 액세스 중간

Azure App Service에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
Windows App Service에서 Linux 명령을 실행하려고 함
(AppServices_LinuxCommandOnWindows)
App Service 프로세스를 분석한 결과, Windows App Service에서 Linux 명령을 실행하려는 시도가 감지되었습니다. 이 작업은 웹 응용 프로그램에 의해 실행되었습니다. 이 동작은 일반적인 웹 응용 프로그램의 취약성을 악용하는 캠페인 중에 나타나는 경우가 많습니다.
(적용 대상: Windows의 App Service)
- 중간
Azure App Service FTP 인터페이스에 연결된 IP가 위협 인텔리전스에 있음
(AppServices_IncomingTiClientIpFtp)
Azure App Service FTP 로그에 위협 인텔리전스 피드에 있는 소스 주소와의 연결이 나타납니다. 이 연결 도중 나열된 페이지에 사용자가 액세스했습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 중간
높은 권한 명령을 실행하려는 시도가 감지됨
(AppServices_HighPrivilegeCommand)
App Service 프로세스를 분석한 결과, 높은 권한이 필요한 명령을 실행하려는 시도가 검색되었습니다.
웹 응용 프로그램 컨텍스트에서 실행된 명령입니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서는 악의적인 활동에서도 이 동작이 발견됩니다.
(적용 대상: Windows의 App Service)
- 중간
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 중간
비정상적인 IP 주소에서 웹 페이지에 대한 연결이 감지됨
(AppServices_AnomalousPageAccess)
Azure App Service 활동 로그에는 나열된 원본 IP 주소에서 중요한 웹 페이지로의 비정상적인 연결이 나타납니다. 이는 누군가 웹 앱 관리 페이지에 대한 무차별 암호 대입 공격을 시도하고 있음을 나타낼 수도 있습니다. 합법적인 사용자가 새 IP 주소를 사용했기 때문일 수도 있습니다. 원본 IP 주소를 신뢰할 수 있으면 이 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 낮음
App Service 리소스에 대한 현수 DNS 레코드 검색됨
(AppServices_DanglingDomain)
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약합니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 높음
명령줄 데이터에서 인코딩된 실행 파일이 감지됨
(AppServices_Base64EncodedExecutableInCommandLineParams)
{손상된 호스트}에서 호스트 데이터를 분석한 결과, base-64로 인코딩된 실행 파일이 감지되었습니다. 이전에는 일련의 명령을 통해 실행 파일을 즉석에서 구성하려는 공격자 및 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 피하려는 공격자와 관련이 있었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
알려진 악성 소스에서 파일 다운로드가 감지됨
(AppServices_SuspectDownload)
호스트 데이터를 분석한 결과, 호스트의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
권한 상승, 실행, 반출, 명령 및 제어 중간
의심스러운 파일 다운로드가 감지됨
(AppServices_SuspectDownloadArtifacts)
호스트 데이터를 분석한 결과 원격 파일의 의심스러운 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
지속성 중간
디지털 통화 마이닝 관련 동작이 감지됨
(AppServices_DigitalCurrencyMining)
Inn-Flow-WebJobs에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 검색되었습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
certutil을 사용하여 디코딩된 실행 파일
(AppServices_ExecutableDecodedUsingCertutil)
[손상된 엔터티]에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 실행 파일을 디코딩하는 데 사용되고 있습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
파일리스 공격 동작이 검색됨
(AppServices_FilelessAttackBehaviorDetection)
아래에 지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
파일리스 공격 기술이 검색됨
(AppServices_FilelessAttackTechniqueDetection)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
파일리스 공격 도구 키트가 검색됨
(AppServices_FilelessAttackToolkitDetection)
아래에 지정된 프로세스의 메모리에 파일리스 공격 도구 키트({ToolKitName})가 포함되어 있습니다. 일반적으로 파일리스 공격 도구 키트는 파일 시스템에 영향을 주지 않기 때문에 기존의 바이러스 백신 소프트웨어를 통해 검색하기가 어렵습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
방어 우회, 실행 높음
App Service에 대한 클라우드용 Microsoft Defender 테스트 경고(위협 아님)
(AppServices_EICAR)
클라우드용 Microsoft Defender에서 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 높음
NMap 검사가 검색됨
(AppServices_Nmap)
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다.
검색된 의심스러운 활동은 NMAP와 연관이 있습니다. 공격자는 이 도구를 사용하여 웹 애플리케이션을 검색해 취약성을 찾는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
피싱 콘텐츠가 Azure Webapps에 호스트됨
(AppServices_PhishingContent)
피싱 공격에 사용된 URL이 Azure AppServices 웹 사이트에 있습니다. 이 URL은 Microsoft 365 고객에게 전송된 피싱 공격의 일부입니다. 해당 콘텐츠는 일반적으로 방문자가 회사 자격 증명이나 재무 정보를 합법적으로 보이는 웹 사이트에 입력하도록 유도합니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
컬렉션 높음
업로드 파일의 PHP 파일
(AppServices_PhpInUploadFolder)
Azure App Service 활동 로그에 업로드 폴더에 있는 의심스러운 PHP 페이지에 대한 액세스가 나타납니다.
이 유형의 폴더에는 일반적으로 PHP 파일이 포함되지 않습니다. 이 형식의 파일이 존재하면 임의의 파일 업로드 취약성을 이용하는 악용을 암시할 수도 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
가능한 Cryptocoinminer 다운로드 검색됨
(AppServices_CryptoCoinMinerDownload)
호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 파일의 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
방어 우회, 명령 및 제어, 악용 중간
가능한 데이터 반출이 감지됨
(AppServices_DataEgressArtifacts)
호스트/디바이스 데이터를 분석한 결과 데이터 송신 조건이 감지되었을 수 있습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다.
(적용 대상: Linux의 App Service)
컬렉션, 반출 중간
App Service 리소스에 대한 잠재적 현수 DNS 레코드가 검색됨
(AppServices_PotentialDanglingDomain)
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약할 수 있습니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. 이 경우 도메인 확인 ID가 있는 텍스트 레코드가 발견되었습니다. 이러한 텍스트 레코드는 하위 도메인 인수를 방지하지만, 여전히 현수 도메인을 제거하는 것을 권장합니다. DNS 레코드를 하위 도메인을 가리키도록 두면 나중에 조직 내에서 TXT 파일 또는 레코드를 삭제할 경우 위험에 노출될 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
잠재적인 역방향 셸이 감지됨
(AppServices_ReverseShell)
호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 감지되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다.
(적용 대상: Linux의 App Service)
Exfiltration, Exploitation 중간
원시 데이터 다운로드가 감지됨
(AppServices_DownloadCodeFromWebsite)
App Service 프로세스를 분석한 결과, Pastebin과 같은 원시 데이터 웹 사이트에서 코드를 다운로드하려는 시도가 감지되었습니다. 이 작업은 PHP 프로세스를 통해 실행되었습니다. 이 동작은 웹 셸 또는 기타 악성 구성 요소를 App Service에 다운로드하려는 시도와 관련이 있습니다.
(적용 대상: Windows의 App Service)
실행 중간
디스크에 넘기기 출력 저장이 감지됨
(AppServices_CurlToDisk)
App Service 프로세스를 분석한 결과, 디스크에 출력이 저장된 넘기기 명령 실행이 감지되었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동에서도 이 동작이 관찰됩니다.
(적용 대상: Windows의 App Service)
- 낮음
스팸 폴더 참조 페이지가 감지됨
(AppServices_SpamReferrer)
Azure App Service 활동 로그에 스팸 활동과 관련된 웹 사이트에서 발생한 것으로 식별된 웹 작업이 나타납니다. 이는 웹 사이트가 손상되어 스팸 활동에 사용되는 경우에 발생할 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
취약할 수 있는 웹 페이지에 대한 의심스러운 액세스가 감지됨
(AppServices_ScanSensitivePage)
Azure App Service 활동 로그에 중요한 것으로 보이는 웹 페이지가 액세스된 것으로 나타납니다. 이 의심스러운 활동은 액세스 패턴이 웹 스캐너의 액세스 패턴과 유사한 소스 IP 주소에서 시작되었습니다.
이 활동은 공격자가 민감하거나 취약한 웹 페이지에 액세스하기 위해 네트워크를 검사하려는 시도와 관련이 있는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
의심스러운 도메인 이름 참조
(AppServices_CommandlineSuspectDomain)
호스트 데이터를 분석한 결과, 의심스러운 도메인 이름에 대한 참조가 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
(적용 대상: Linux의 App Service)
반출 낮음
Certutil을 사용한 의심스러운 다운로드가 감지됨
(AppServices_DownloadUsingCertutil)
{NAME}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다.
(적용 대상: Windows의 App Service)
실행 중간
의심스러운 PHP 실행이 감지됨
(AppServices_SuspectPhp)
컴퓨터 로그에 의심스러운 PHP 프로세스가 실행 중인 것으로 나타납니다. 이 작업에는 PHP 프로세스를 사용하여 명령줄에서 운영 체제 명령 또는 PHP 코드를 실행하려는 시도가 있었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 이 동작이 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동으로 암시될 수도 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
의심스러운 PowerShell cmdlet이 실행됨
(AppServices_PowerShellPowerSploitScriptExecution)
호스트 데이터를 분석한 결과, 알려진 악성 PowerShell PowerSploit cmdlet이 실행된 것으로 나타납니다.
(적용 대상: Windows의 App Service)
실행 중간
의심스러운 프로세스가 실행됨
(AppServices_KnownCredential AccessTools)
머신 로그에 의심스러운 '%{process path}' 프로세스가 머신에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다.
(적용 대상: Windows의 App Service)
자격 증명 액세스 높음
의심스러운 프로세스 이름이 감지됨
(AppServices_ProcessWithKnownSuspiciousExtension)
{NAME}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 검색되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다.
(적용 대상: Windows의 App Service)
지속성, Defense Evasion 중간
의심스러운 SVCHOST 프로세스가 실행됨
(AppServices_SVCHostFromInvalidPath)
시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
의심스러운 사용자 에이전트가 감지됨
(AppServices_UserAgentInjection)
Azure App Service 활동 로그에 의심스러운 사용자 에이전트가 있는 요청이 나타납니다. 이 동작은 App Service 응용 프로그램의 취약성을 악용하려는 시도를 나타낼 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 중간
의심스러운 WordPress 테마 호출이 감지됨
(AppServices_WpThemeInjection)
Azure App Service 활동 로그에 App Service 리소스에서의 코드 삽입 활동이 발생한 것으로 나타납니다.
이 의심스러운 활동은 코드의 서버 쪽 실행을 지원하기 위해 WordPress 테마를 조작한 후 조작된 테마 파일을 호출하도록 직접 웹 요청을 수행하는 활동과 유사합니다.
이러한 유형의 활동은 과거에 WordPress에 대한 공격 캠페인의 일부로 간주되었습니다.
App Service 리소스가 WordPress 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
취약성 검사기가 감지됨
(AppServices_DrupalScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 CMS(콘텐츠 관리 시스템)를 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 Drupal 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service)
사전 공격 중간
취약성 검사기가 감지됨
(AppServices_JoomlaScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 Joomla 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 Joomla 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
취약성 검사기가 감지됨
(AppServices_WpScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 WordPress 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 WordPress 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
웹 지문이 감지됨
(AppServices_WebFingerprinting)
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다.
검색된 의심스러운 활동은 Blind Elephant라는 도구와 관련되어 있습니다. 도구는 웹 서버를 지문 인식하고 설치된 애플리케이션 및 버전을 감지하려고 합니다.
공격자는 이 도구를 사용하여 웹 애플리케이션을 검색해 취약성을 찾는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
웹 사이트가 위협 인텔리전스 피드에서 악성으로 태그 지정됨
(AppServices_SmartScreen)
아래에 설명된 웹 사이트는 Windows SmartScreen에 의해 악성 사이트로 표시됩니다. 가양성이라고 생각되는 경우 제공된 보고서 피드백 링크를 통해 Windows SmartScreen에 문의하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
컬렉션 중간

컨테이너에 대한 경고 - Kubernetes 클러스터

컨테이너용 Microsoft Defender는 컨트롤 플레인(API 서버) 및 컨테이너화된 워크로드 자체를 모두 모니터링하여 클러스터 수준 및 기본 클러스터 노드에서 보안 경고를 제공합니다. 컨트롤 플레인 보안 경고는 경고 유형의 K8S_의 접두사로 인식할 수 있습니다. 클러스터의 런타임 워크로드에 대한 보안 경고는 경고 유형의 K8S.NODE_ 접두사로 인식할 수 있습니다. 달리 표시되지 않는 한, 모든 경고는 Linux에서만 지원됩니다.

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
Kubernetes에서 트러스트 인증 구성이 검색된 노출된 Postgres 서비스(미리 보기)
(K8S_ExposedPostgresTrustAuth)
Kubernetes 클러스터 구성 분석에서 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스는 자격 증명이 필요하지 않은 트러스트 인증 방법으로 구성됩니다. 초기 액세스 중간
Kubernetes에서 위험한 구성이 감지된 노출된 Postgres 서비스(미리 보기)
(K8S_ExposedPostgresBroadIPRange)
Kubernetes 클러스터 구성 분석에서 위험한 구성이 있는 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스를 광범위한 IP 주소에 노출하면 보안 위험이 발생합니다. 초기 액세스 중간
검색된 컨테이너에서 새 Linux 네임스페이스 만들기 시도
(K8S.NODE_NamespaceCreation) 1
Kubernetes 클러스터의 컨테이너 내에서 실행되는 프로세스를 분석한 결과 새 Linux 네임스페이스를 만들려는 시도가 감지되었습니다. 이 동작은 합법적일 수 있지만 공격자가 컨테이너에서 노드로 이스케이프하려고 시도한다는 것을 나타낼 수 있습니다. 일부 CVE-2022-0185 익스플로잇은 이 기술을 사용합니다. 권한 상승 중간
기록 파일이 지워짐
(K8S.NODE_HistoryFileCleared) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 명령 기록 로그 파일이 지워진 것이 검색되었습니다. 공격자는 추적을 숨기기 위해 이 작업을 수행할 수 있습니다. 지정된 사용자 계정으로 작업을 수행했습니다. DefenseEvasion 중간
Kubernetes와 연결된 관리 ID의 비정상적인 활동(미리 보기)
(K8S_AbnormalMiAcitivty)
Azure Resource Manager 작업을 분석한 결과, AKS 추가 기능에서 사용되는 관리 ID의 비정상적인 동작이 감지되었습니다. 검색된 활동이 연결된 추가 기능의 동작과 일치하지 않습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 아마도 Kubernetes 클러스터의 손상된 컨테이너에서 공격자가 ID를 획득했음을 나타낼 수 있습니다. 측면 확대 중간
비정상적인 Kubernetes 서비스 계정 작업이 검색됨
(K8S_ServiceAccountRareOperation)
Kubernetes 감사 로그를 분석한 결과, Kubernetes 클러스터의 서비스 계정에서 비정상적인 동작이 감지되었습니다. 서비스 계정은 이 서비스 계정에 일반적이지 않은 작업에 사용되었습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 서비스 계정이 악의적인 목적으로 사용되고 있음을 나타낼 수 있습니다. 수평 이동, 자격 증명 액세스 중간
일반적이지 않은 연결 시도가 감지됨
(K8S.NODE_SuspectConnection) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 socks 프로토콜을 활용하는 일반적이지 않은 연결 시도가 검색되었습니다. 이는 정상적인 작업에서는 매우 드물지만 네트워크 계층 검색을 우회하려는 공격자에게 알려진 기술입니다. 실행, 반출, 악용 중간
비정상적인 Pod 배포(미리 보기)
(K8S_AnomalousPodDeployment) 3
Kubernetes 감사 로그 분석에서 이전 Pod 배포 작업을 기반으로 비정상적인 Pod 배포를 감지했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관련되어 있는지를 고려할 때 변칙으로 간주됩니다. 모니터링되는 기능에는 사용된 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용되는 사용자 에이전트, Pod 배포가 자주 발생하는 네임스페이스인지 여부, 기타 기능이 포함됩니다. 비정상적인 활동으로 이 경고를 발생시키는 주요 원인은 경고의 확장 속성 아래에 자세히 설명되어 있습니다. 실행 중간
비정상적인 비밀 액세스(미리 보기)
(K8S_AnomalousSecretAccess) 2
Kubernetes 감사 로그 분석에서 이전 비밀 액세스 작업을 기반으로 비정상적인 비밀 액세스 요청을 검색했습니다. 이 작업은 비밀 액세스 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 서로 관련되어 있는지 고려할 때 변칙으로 간주됩니다. 이 분석에서 모니터링하는 기능에는 사용된 사용자 이름, 비밀 이름, 네임스페이스 이름, 작업에 사용된 사용자 에이전트 또는 기타 기능이 포함됩니다. 이 경고를 비정상적인 작업으로 발생시키는 가장 큰 원인은 경고 확장 속성에 자세히 설명되어 있습니다. 자격 증명 액세스 중간
apt-daily-upgrade.timer 서비스 중지 시도가 감지됨
(K8S.NODE_TimerServiceDisabled) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 socks 프로토콜을 활용하는 일반적이지 않은 연결 시도가 검색되었습니다. 공격자는 이 서비스를 중지하고, 악성 파일을 다운로드하고, 공격에 대한 실행 권한을 부여하는 것으로 관찰되었습니다. 이 활동은 서비스가 정상적인 관리 작업을 통해 업데이트되는 경우에도 발생할 수 있습니다. DefenseEvasion 정보 제공
일반적인 Linux 봇과 유사한 동작이 감지됨(미리 보기)
(K8S.NODE_CommonBot)
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 공통 Linux 봇넷과 연결된 프로세스의 실행이 검색되었습니다. 실행, 컬렉션, 명령, 제어 중간
Fairware 랜섬웨어와 유사한 동작이 감지됨
(K8S.NODE_FairwareMalware) 1
컨테이너 내에서 실행되는 프로세스를 분석한 결과, 의심스러운 위치에 적용되는 rm -rf 명령의 실행이 감지되었습니다. rm -rf는 파일을 재귀적으로 삭제하므로 일반적으로 개별 폴더에 사용됩니다. 이 경우에는 많은 데이터를 제거할 수 있는 위치에서 사용됩니다. Fairware 랜섬웨어는 이 폴더에서 rm-rf 명령을 실행하는 것으로 알려져 있습니다. 실행 중간
높은 권한으로 실행되는 컨테이너 내의 명령
(K8S.NODE_PrivilegedExecutionInContainer) 1
컴퓨터 로그에 권한 있는 명령이 Docker 컨테이너에서 실행되었던 것으로 나타납니다. 권한 있는 명령에는 호스트 컴퓨터에 대한 확장된 권한이 있습니다. 권한 상승 낮음
권한 있는 모드에서 실행되는 컨테이너
(K8S.NODE_PrivilegedContainerArtifacts) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 권한 있는 컨테이너를 실행하는 Docker 명령의 실행이 검색되었습니다. 권한 있는 컨테이너에는 호스팅 Pod 또는 호스트 리소스에 대한 모든 권한이 있습니다. 손상되면 공격자가 권한 있는 컨테이너를 사용하여 호스팅 Pod 또는 호스트에 액세스할 수 있습니다. PrivilegeEscalation, Execution 낮음
중요한 볼륨 탑재가 있는 컨테이너가 감지됨
(K8S_SensitiveMount)
Kubernetes 감사 로그를 분석한 결과, 중요한 볼륨 탑재가 있는 새 컨테이너가 감지되었습니다. 감지된 볼륨은 중요한 파일 또는 폴더를 노드에서 컨테이너로 탑재하는 hostPath 유형입니다. 컨테이너가 손상되면 공격자가 이 탑재를 사용하여 노드에 액세스할 수 있습니다. 권한 상승 중간
Kubernetes에서 CoreDNS 수정이 감지됨
(K8S_CoreDnsModification) 23
Kubernetes 감사 로그를 분석한 결과, CoreDNS 구성 수정이 감지되었습니다. CoreDNS의 구성은 해당 configmap을 재정의하여 수정할 수 있습니다. 이 활동은 합법적일 수 있지만, 공격자에게 configmap을 수정할 수 있는 권한이 있는 경우 해당 공격자가 클러스터의 DNS 서버 동작을 변경하고 포이즌을 수행할 수 있습니다. 측면 확대 낮음
허용 웹후크 구성 만들기가 감지됨
(K8S_AdmissionController) 3
Kubernetes 감사 로그를 분석한 결과, 새 허용 웹후크 구성이 감지되었습니다. Kubernetes에는 MutatingAdmissionWebhook 및 ValidatingAdmissionWebhook라는 두 개의 기본 제공 제네릭 허용 컨트롤러가 있습니다. 이러한 허용 컨트롤러의 동작은 사용자가 클러스터에 배포하는 허용 웹후크를 통해 결정됩니다. 이러한 허용 컨트롤러의 사용은 합법적일 수 있지만, 공격자가 이러한 웹후크를 사용하여 요청을 수정하거나(MutatingAdmissionWebhook의 경우) 요청을 검사하고, 중요한 정보를 얻을 수 있습니다(ValidatingAdmissionWebhook의 경우). 자격 증명 액세스, 지속성 낮음
알려진 악성 소스에서 파일 다운로드가 감지됨
(K8S.NODE_SuspectDownload) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 맬웨어를 배포하는 데 자주 사용되는 원본에서 파일 다운로드가 검색되었습니다. PrivilegeEscalation, Execution, Exfiltration, Command And Control 중간
의심스러운 파일 다운로드가 감지됨
(K8S.NODE_SuspectDownloadArtifacts) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 원격 파일 다운로드가 검색되었습니다. 지속성 낮음
Nohup 명령에 대한 의심스러운 사용이 감지됨
(K8S.NODE_SuspectNohup) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 nohup 명령의 의심스러운 사용이 검색되었습니다. 공격자가 임시 디렉터리에서 숨겨진 파일을 실행하여 실행 파일을 백그라운드에서 실행할 수 있도록 nohup 명령을 사용하는 것이 관찰되었습니다. 이 명령이 임시 디렉터리에 있는 숨겨진 파일에서 실행되는 것은 드뭅니다. 지속성, DefenseEvasion 중간
Useradd 명령에 대한 의심스러운 사용이 감지됨
(K8S.NODE_SuspectUserAddition) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 useradd 명령의 의심스러운 사용이 검색되었습니다. 지속성 중간
디지털 통화 마이닝 컨테이너가 감지됨
(K8S_MaliciousContainerImage) 3
Kubernetes 감사 로그를 분석한 결과, 디지털 통화 마이닝 도구와 관련된 이미지가 있는 컨테이너가 감지되었습니다. 실행 높은
디지털 통화 마이닝 관련 동작이 감지됨
(K8S.NODE_DigitalCurrencyMining) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 검색되었습니다. 실행 높음
Kubernetes 노드에서 Docker 빌드 작업이 감지됨
(K8S.NODE_ImageBuildOnNode) 1
컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스의 분석이 Kubernetes 노드에서 컨테이너 이미지의 빌드 작업을 검색했습니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다. DefenseEvasion 낮음
Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기)
(K8S_ServiceAcountPermissionAnomaly) 3
Kubernetes 감사 로그를 분석한 결과, 클러스터에 대한 과도한 권한 역할 할당이 감지되었습니다. 할당된 역할에 대한 나열된 권한은 특정 서비스 계정에서 일반적이지 않습니다. 이 감지에서는 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨, 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 클라우드용 Microsoft Defender에서 모니터링하는 모든 클러스터에서 이 권한이 사용되는 방법을 고려합니다. 권한 상승 낮음
의심스러운 위치에서 실행 중인 실행 파일(미리 보기)
(K8S.NODE_SuspectExecutablePath)
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 알려진 의심스러운 파일과 연결된 위치에서 실행되고 있는 실행 파일이 검색되었습니다. 이 실행 파일은 합법적인 작업이거나 손상된 시스템의 표시일 수 있습니다. 실행 중간
Kubernetes 대시보드가 노출된 것이 탐지됨
(K8S_ExposedKubeflow)
Kubernetes 감사 로그를 분석한 결과, Kubeflow를 실행하는 클러스터의 부하 분산 장치를 통해 Istio 수신이 노출된 것을 탐지했습니다. 이 작업은 Kubeflow 대시보드를 인터넷에 노출할 수 있습니다. 대시보드가 인터넷에 노출되면 공격자가 대시보드에 액세스하여 클러스터에서 악성 컨테이너 또는 코드를 실행할 수 있습니다. 자세한 내용은 이 문서(https://aka.ms/exposedkubeflow-blog )에서 확인하세요. 초기 액세스 중간
표시된 Kubernetes 대시보드가 감지됨
(K8S_ExposedDashboard)
Kubernetes 감사 로그를 분석한 결과, LoadBalancer 서비스에 의한 Kubernetes 대시보드 표시가 감지되었습니다. 표시된 대시보드는 클러스터 관리에 대한 인증되지 않은 액세스를 허용하고, 이로 인해 보안 위협이 발생합니다. 초기 액세스 높음
Kubernetes 서비스가 노출된 것이 탐지됨
(K8S_ExposedService)
Kubernetes 감사 로그를 분석한 결과, 부하 분산 장치를 통해 서비스가 노출된 것이 탐지되었습니다. 이 서비스는 노드에서 프로세스를 실행하거나 새 컨테이너를 만드는 것처럼 클러스터에 많은 영향을 미치는 작업을 허용하는 중요한 애플리케이션과 관련되어 있습니다. 경우에 따라 이 서비스에서 인증을 요구하지 않습니다. 서비스에서 인증을 요구하지 않는 경우 인터넷에 공개되면 보안 위험이 발생합니다. 초기 액세스 중간
AKS에서 노출된 Redis 서비스 탐지됨
(K8S_ExposedRedis)
Kubernetes 감사 로그를 분석한 결과, 부하 분산 장치를 통해 Redis 서비스가 노출된 것이 탐지되었습니다. 서비스에서 인증을 요구하지 않는 경우 인터넷에 공개되면 보안 위험이 발생합니다. 초기 액세스 낮음
DDOS 도구 키트와 관련된 지표가 감지됨
(K8S.NODE_KnownLinuxDDoSToolkit) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 DDoS 공격을 시작하고, 포트 및 서비스를 열고, 감염된 시스템을 완전히 제어할 수 있는 맬웨어와 연결된 도구 키트에 속하는 파일 이름이 검색되었습니다. 이 역시 합법적인 활동일 수 있습니다. Persistence, LateralMovement, Execution, Exploitation 중간
프록시 IP 주소에서 K8S API 요청이 감지됨
(K8S_TI_Proxy) 3
Kubernetes 감사 로그를 분석한 결과, TOR과 같은 프록시 서비스와 연결된 IP 주소에서 클러스터에 대한 API 요청이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 실행 낮음
Kubernetes 이벤트가 삭제됨
(K8S_DeleteEvents) 23
클라우드용 Defender에서 일부 Kubernetes 이벤트가 삭제된 것으로 감지되었습니다. Kubernetes 이벤트는 클러스터의 변경에 대한 정보를 포함하는 Kubernetes의 개체입니다. 공격자가 클러스터에서 자신의 작업을 숨기기 위해 이러한 이벤트를 삭제할 수 있습니다. 방어 회피 낮음
Kubernetes 침투 테스트 도구가 감지됨
(K8S_PenTestToolsKubeHunter)
Kubernetes 감사 로그를 분석한 결과, AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다. 실행 낮음
호스트 방화벽에 대한 조작이 감지됨
(K8S.NODE_FirewallDisabled) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 온호스트 방화벽의 조작 가능성이 검색되었습니다. 공격자는 데이터를 반출하기 위해 이 동작을 비활성화하는 경우가 많습니다. DefenseEvasion, Exfiltration 중간
클라우드용 Microsoft Defender 테스트 경고(위협 아님)입니다.
(K8S.NODE_EICAR) 1
클라우드용 Microsoft Defender에서 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다. 실행 높음
네임스페이스에 새 컨테이너가 감지됨
(K8S_KubeSystemContainer) 3
Kubernetes 감사 로그를 분석한 결과, kube-system 네임스페이스에서 일반적으로 실행되는 컨테이너에 속하지 않는 새 컨테이너가 이 네임스페이스에서 감지되었습니다. kube-system 네임스페이스에는 사용자 리소스가 포함되지 않아야 합니다. 공격자가 이 네임스페이스를 사용하여 악성 구성 요소를 숨길 수 있습니다. 지속성 낮음
높은 권한의 새 역할이 감지됨
(K8S_HighPrivilegesRole) 3
Kubernetes 감사 로그를 분석한 결과, 권한이 높은 새 역할이 감지되었습니다. 높은 권한이 있는 역할에 바인딩하면 클러스터에서 높은 권한이 사용자/그룹에 부여됩니다. 불필요한 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. 지속성 낮음
공격 도구가 감지되었을 수 있음
(K8S.NODE_KnownLinuxAttackTool) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 도구 호출이 검색되었습니다. 이 도구는 다른 사용자를 공격하는 악의적인 사용자와 관련된 경우가 많습니다. Execution, Collection, Command And Control, Probing 중간
잠재적인 백도어 검색됨
(K8S.NODE_LinuxBackdoorArtifact) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 파일이 다운로드되어 실행되고 있음이 검색되었습니다. 이 활동은 이전의 백도어 설치와 관련되어 있습니다. Persistence, DefenseEvasion, Execution, Exploitation 중간
가능한 명령줄 악용 시도
(K8S.NODE_ExploitAttempt) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 알려진 취약성에 대한 가능한 악용 시도가 검색되었습니다. 악용 중간
자격 증명 액세스 도구가 감지되었을 수 있음
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 지정된 프로세스 및 명령줄 기록 항목으로 식별된 가능한 알려진 자격 증명 액세스 도구가 컨테이너에서 실행되고 있음이 검색되었습니다. 이 도구는 자격 증명에 액세스를 시도하는 공격자와 관련된 경우가 많습니다. 자격 증명 액세스 중간
가능한 Cryptocoinminer 다운로드 검색됨
(K8S.NODE_CryptoCoinMinerDownload) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 파일의 다운로드가 검색되었습니다. DefenseEvasion, Command And Control, Exploitation 중간
가능한 데이터 반출이 감지됨
(K8S.NODE_DataEgressArtifacts) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 가능한 데이터 송신 조건이 검색되었습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. 컬렉션, 반출 중간
로그 변조 활동이 감지되었을 수 있음
(K8S.NODE_SystemLogRemoval) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 작업을 진행하는 중에 사용자의 작업을 추적하는 파일의 가능한 제거가 검색되었습니다. 공격자는 이러한 로그 파일을 삭제하여 감지를 피하고 악의적인 활동의 흔적을 남기지 않는 경우가 많습니다. DefenseEvasion 중간
암호화 방법을 사용한 가능한 암호 변경이 감지됨
(K8S.NODE_SuspectPasswordChange) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 crypt 메서드를 사용한 암호 변경이 검색되었습니다. 공격자는 이 변경을 수행하여 손상 후 액세스를 계속하고 지속성을 확보할 수 있습니다. 자격 증명 액세스 중간
외부 IP 주소로 잠재적 포트 전달
(K8S.NODE_SuspectPortForwarding) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 포트 전달이 외부 IP 주소로 시작되었음이 검색되었습니다. Exfiltration, Command And Control 중간
잠재적인 역방향 셸이 감지됨
(K8S.NODE_ReverseShell) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 잠재적인 역방향 셸이 검색되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. Exfiltration, Exploitation 중간
권한 있는 컨테이너가 감지됨
(K8S_PrivilegedContainer)
Kubernetes 감사 로그를 분석한 결과, 권한 있는 새 컨테이너가 감지되었습니다. 권한 있는 컨테이너는 노드의 리소스에 액세스할 수 있으며 컨테이너 간의 격리를 해제합니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 노드에 대한 액세스 권한을 얻을 수 있습니다. 권한 상승 낮음
디지털 통화 마이닝 관련 프로세스가 감지됨
(K8S.NODE_CryptoCoinMinerArtifacts) 1
컨테이너 내에서 실행되는 프로세스를 분석한 결과, 일반적으로 디지털 통화 마이닝과 연결된 프로세스의 실행이 감지되었습니다. Execution, Exploitation 중간
프로세스가 비정상적인 방식으로 SSH 인증 키 파일에 액세스하는 것으로 나타남
(K8S.NODE_SshKeyAccess) 1
SSH authorized_keys 파일이 알려진 맬웨어 캠페인과 유사한 방법으로 액세스되었습니다. 이 액세스는 작업자가 머신에 대한 영구 액세스를 시도 중임을 의미합니다. Unknown 낮음
cluster-admin 역할에 대한 역할 바인딩이 감지됨
(K8S_ClusterAdminBinding)
Kubernetes 감사 로그를 분석한 결과, 관리자 권한을 부여하는 cluster-admin 역할에 대한 새 바인딩이 감지되었습니다. 불필요한 관리자 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. 지속성 낮음
보안 관련 프로세스 종료가 검색됨
(K8S.NODE_SuspectProcessTermination) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 컨테이너의 보안 모니터링과 관련된 프로세스를 종료하려는 시도가 검색되었습니다. 손상 후 공격자가 미리 정의된 스크립트를 사용하여 이러한 프로세스를 종료하려고 하는 경우가 종종 있습니다. 지속성 낮음
SSH 서버가 컨테이너 내부에서 실행 중임
(K8S.NODE_ContainerSSH) 1
컨테이너 내에서 실행되는 프로세스를 분석한 결과, 컨테이너 내에서 실행되는 SSH 서버가 감지되었습니다. 실행 중간
의심스러운 파일 타임스탬프 수정
(K8S.NODE_TimestampTampering) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 타임스탬프 수정이 검색되었습니다. 공격자는 새로 삭제된 파일의 감지를 피하기 위해 기존의 합법적인 파일에서 새 도구로 타임스탬프를 복사하는 경우가 많습니다. 지속성, DefenseEvasion 낮음
Kubernetes API에 대한 의심스러운 요청
(K8S.NODE_KubernetesAPI) 1
컨테이너 내에서 실행되는 프로세스 분석은 Kubernetes API에 의심스러운 요청이 있었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다. 측면 이동 중간
Kubernetes 대시보드에 대한 의심스러운 요청
(K8S.NODE_KubernetesDashboard) 1
컨테이너 내에서 실행 중인 프로세스 분석은 Kubernetes 대시보드에 의심스러운 요청이 있었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다. 측면 이동 중간
잠재적인 암호화 코인 마이너가 시작됨
(K8S.NODE_CryptoCoinMinerExecution) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 방식으로 시작되는 프로세스가 검색되었습니다. 실행 중간
의심스러운 암호 액세스
(K8S.NODE_SuspectPasswordFileAccess) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 암호화된 사용자 암호에 액세스하려는 의심스러운 시도가 검색되었습니다. 지속성 정보 제공
HTTPS를 통한 DNS의 의심스러운 사용
(K8S.NODE_SuspiciousDNSOverHttps) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 HTTPS를 통한 DNS 호출의 일반적이지 않은 사용이 검색되었습니다. 이 기술은 공격자가 의심스럽거나 악의적인 사이트에 대한 호출을 숨기는 데 사용됩니다. DefenseEvasion, Exfiltration 중간
악의적인 위치에 대한 가능한 연결이 감지되었습니다.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 악의적이거나 비정상적인 것으로 보고된 위치에 대한 연결이 검색되었습니다. 이는 손상이 발생했을 수 있음을 나타내는 지표입니다. 초기 액세스 중간
악성 웹 셸이 감지되었을 수 있습니다.
(K8S.NODE_Webshell) 1
컨테이너 내에서 실행되는 프로세스를 분석에서 가능한 역방향 셸이 감지되었습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨팅 리소스에 웹 셸을 업로드하는 경우가 많습니다. 지속성, 악용 중간
여러 정찰 명령의 버스트는 손상 후 초기 활동을 나타낼 수 있음
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
호스트/디바이스 데이터를 분석에서 초기 손상 후 공격자가 수행한 시스템 또는 호스트 세부 정보 수집과 관련된 여러 정찰 명령의 실행이 감지되었습니다. 검색, 수집 낮음
의심스러운 다운로드 후 작업 실행
(K8S.NODE_DownloadAndRunCombo) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 파일이 다운로드된 다음, 동일한 명령으로 실행되는 것이 감지되었습니다. 항상 악의적인 것은 아니지만 공격자가 악성 파일을 피해자 컴퓨터에 가져오는 데 사용하는 매우 일반적인 기술입니다. 실행, CommandAndControl, 악용 중간
디지털 통화 마이닝 활동
(K8S.NODE_CurrencyMining) 1
DNS 트랜잭션 분석에서 디지털 통화 마이닝 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 낮음
kubelet kubeconfig 파일에 대한 액세스가 감지됨
(K8S.NODE_KubeConfigAccess) 1
Kubernetes 클러스터 노드에서 실행되는 프로세스를 분석한 결과 호스트의 kubeconfig 파일에 대한 액세스가 감지되었습니다. Kubelet 프로세스에서 일반적으로 사용되는 kubeconfig 파일에는 Kubernetes 클러스터 API 서버에 대한 자격 증명이 포함되어 있습니다. 이 파일에 대한 액세스는 종종 해당 자격 증명에 액세스하려는 공격자 또는 파일에 액세스할 수 있는지 확인하는 보안 검사 도구와 연결됩니다. 자격 증명 액세스 중간
클라우드 메타데이터 서비스에 대한 액세스가 감지됨
(K8S.NODE_ImdsCall) 1
컨테이너 내에서 실행되는 프로세스를 분석한 결과 ID 토큰을 획득하기 위한 클라우드 메타데이터 서비스에 대한 액세스가 감지되었습니다. 컨테이너는 일반적으로 이러한 작업을 수행하지 않습니다. 이 동작은 합법적일 수 있지만 공격자는 실행 중인 컨테이너에 대한 초기 액세스 권한을 얻은 후 이 기술을 사용하여 클라우드 리소스에 액세스할 수 있습니다. 자격 증명 액세스 중간
MITRE Caldera 에이전트가 검색됨
(K8S.NODE_MitreCalderaTools) 1
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 프로세스가 검색되었습니다. 이는 다른 머신을 공격하는 데 악의적으로 사용될 수 있는 MITRE 54ndc47 에이전트와 연관된 경우가 많습니다. Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation 중간

1: AKS가 아닌 클러스터에 대한 미리 보기: 이 경고는 AKS 클러스터에서 일반적으로 사용할 수 있지만 Azure Arc, EKS 및 GKE와 같은 다른 환경에서는 미리 보기로 제공됩니다.

2: GKE 클러스터에 대한 제한 사항: GKE는 모든 경고 유형을 지원하지 않는 Kubernetes 감사 정책을 사용합니다. 따라서 Kubernetes 감사 이벤트를 기반으로 하는 이 보안 경고는 GKE 클러스터에 대해 지원되지 않습니다.

3: 이 경고는 Windows 노드/컨테이너에서 지원됩니다.

SQL Database 및 Azure Synapse Analytics에 대한 경고

추가 세부 정보 및 참고 사항

경고 Description MITRE 전술
(자세한 정보)
심각도
SQL 삽입에 대한 취약성이 있을 수 있음
(SQL. DB_VulnerabilityToSqlInjection
Sql. VM_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
Sql. DW_VulnerabilityToSqlInjection
Synapse.SQLPool_VulnerabilityToSqlInjection)
응용 프로그램이 데이터베이스에서 결함 있는 SQL 문을 생성했습니다. 이는 SQL 삽입 공격에 대해 발생 가능한 취약성을 나타낼 수 있습니다. 잘못된 문에 대한 두 가지 가능한 이유가 있습니다. 잘못된 SQL문을 구성한 응용 프로그램 코드에서 결함 발생 응용 프로그램 코드 또는 저장 프로시저가 SQL 삽입에 악용될 수 있는 잘못된 SQL문을 생성할 때 사용자 입력을 삭제하지 않았음 사전 공격 중간
잠재적으로 위험한 응용 프로그램에서 로그온을 시도함
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
Sql. DW_HarmfulApplication
Synapse.SQLPool_HarmfulApplication)
잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다. 사전 공격 높음
비정상적인 Azure 데이터 센터에서 로그온
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly
Synapse.SQLPool_DataCenterAnomaly)
SQL Server에 대한 액세스 패턴이 변경되었으며 누군가가 비정상적인 Azure 데이터 센터에서 SQL Server에 로그인했습니다. 어떤 경우에 경고는 합법적인 작업(새 응용 프로그램 또는 Azure 서비스)을 감지합니다. 경우에 따라 경고는 악의적인 작업(공격자가 Azure의 위반된 리소스에서 작동)을 감지합니다. 검색 낮음
비정상적인 위치에서 로그온
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly
Synapse.SQLPool_GeoAnomaly)
SQL Server에 대한 액세스 패턴에 변경이 있으며 누군가가 비정상적인 지리적 위치에서 SQL Server에 로그인했습니다. 일부 경우에서 경고는 합법적인 작업(새 애플리케이션 또는 개발자 유지 관리)을 검색합니다. 다른 경우에 경고는 악의적인 작업(퇴사 직원 또는 외부 공격자)을 감지합니다. 악용 중간
60일 이내에 표시되지 않는 주 사용자의 로그인
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly
Synapse.SQLPool_PrincipalAnomaly)
최근 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. 악용 중간
도메인의 로그인이 60일 이내에 표시되지 않음
(SQL. DB_DomainAnomaly
Sql. VM_DomainAnomaly
Sql. DW_DomainAnomaly
SQL.MI_DomainAnomaly
Synapse.SQLPool_DomainAnomaly)
사용자가 지난 60일 동안 다른 사용자가 연결하지 않은 도메인에서 리소스에 로그인했습니다. 이 리소스가 새 리소스이거나 리소스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. 악용 중간
의심스러운 IP에서 로그인
(SQL. DB_SuspiciousIpAnomaly
Sql. VM_SuspiciousIpAnomaly
Sql. DW_SuspiciousIpAnomaly
SQL.MI_SuspiciousIpAnomaly
Synapse.SQLPool_SuspiciousIpAnomaly)
Microsoft Threat Intelligence가 의심스러운 활동과 연결된 IP 주소에서 리소스에 성공적으로 액세스했습니다. 사전 공격 중간
잠재적인 SQL 삽입
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
SQL 삽입에 취약한 것으로 식별된 응용 프로그램에 대해 활성 익스플로잇이 발생했습니다. 즉, 공격자가 취약한 응용 프로그램 코드 또는 저장 프로시저를 사용하여 악성 SQL문을 삽입하려고 하는 것을 의미합니다. 사전 공격 높음
유효한 사용자를 사용한 의심스러운 무차별 암호 대입 공격
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자가 로그인할 수 있는 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다. 사전 공격 높음
의심스러운 무차별 암호 대입 공격
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 사전 공격 높음
의심스러운 성공적인 무차별 암호 대입 공격
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce
Synapse.SQLPool_BruteForce)
리소스에 대한 명백한 무차별 암호 대입 공격 후 성공적인 로그인이 발생했습니다. 사전 공격 높음
SQL Server 잠재적으로 Windows 명령 셸을 생성하고 비정상적인 외부 원본에 액세스했습니다.
(SQL. DB_ShellExternalSourceAnomaly
Sql. VM_ShellExternalSourceAnomaly
Sql. DW_ShellExternalSourceAnomaly
SQL.MI_ShellExternalSourceAnomaly
Synapse.SQLPool_ShellExternalSourceAnomaly)
의심스러운 SQL 문은 이전에 볼 수 없었던 외부 원본이 있는 Windows 명령 셸을 생성했을 수 있습니다. 외부 원본에 액세스하는 셸을 실행하는 것은 공격자가 악의적인 페이로드를 다운로드한 다음 컴퓨터에서 실행하여 손상시키는 데 사용하는 방법입니다. 이렇게 하면 공격자가 원격 방향에서 악의적인 작업을 수행할 수 있습니다. 또는 외부 원본에 액세스하여 외부 대상으로 데이터를 유출하는 데 사용할 수 있습니다. 실행 높음
난독 처리된 부품이 있는 비정상적인 페이로드는 SQL Server
(SQL. VM_PotentialSqlInjection)
누군가가 SQL 쿼리에서 명령을 숨기면서 운영 체제와 통신하는 SQL Server 계층을 활용하는 새 페이로드를 시작했습니다. 공격자는 일반적으로 xp_cmdshell, sp_add_job 등과 같이 널리 모니터링되는 영향력 있는 명령을 숨깁니다. 난독 처리 기술은 정규식 검색을 방지하고 로그의 가독성을 손상시키기 위해 문자열 연결, 캐스팅, 기본 변경 등과 같은 합법적인 명령을 남용합니다. 실행 높음

오픈 소스 관계형 데이터베이스에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
유효한 사용자를 사용한 의심스러운 무차별 암호 대입 공격
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자가 로그인할 수 있는 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다. 사전 공격 높음
의심스러운 성공적인 무차별 암호 대입 공격
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
리소스에 대한 명백한 무차별 암호 대입 공격 후 성공적인 로그인이 발생했습니다. 사전 공격 높음
의심스러운 무차별 암호 대입 공격
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 사전 공격 높음
잠재적으로 위험한 응용 프로그램에서 로그온을 시도함
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다. 사전 공격 높음
60일 이내에 표시되지 않는 주 사용자의 로그인
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
최근 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. 악용 중간
도메인의 로그인이 60일 이내에 표시되지 않음
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
사용자가 지난 60일 동안 다른 사용자가 연결하지 않은 도메인에서 리소스에 로그인했습니다. 이 리소스가 새 리소스이거나 리소스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. 악용 중간
비정상적인 Azure 데이터 센터에서 로그온
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
누군가가 비정상적인 Azure 데이터 센터에서 리소스에 로그온했습니다. 검색 낮음
비정상적인 클라우드 공급자에서 로그온
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
최근 60일 이내에 클라우드 공급자에서 사용자 리소스에 로그온한 사람이 확인되지 않았습니다. 위협 행위자는 캠페인에서 사용할 일회성 컴퓨팅 능력을 쉽고 빠르게 얻을 수 있습니다. 새 클라우드 공급자의 최근 채택으로 인해 예상되는 동작인 경우 클라우드용 Defender는 시간이 지남에 따라 학습하고 향후 가양성 방지를 시도합니다. 악용 중간
비정상적인 위치에서 로그온
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
누군가가 비정상적인 Azure 데이터 센터에서 리소스에 로그온했습니다. 악용 중간
의심스러운 IP에서 로그인
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Microsoft Threat Intelligence가 의심스러운 활동과 연결된 IP 주소에서 리소스에 성공적으로 액세스했습니다. 사전 공격 중간

Resource Manager에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
의심스러운 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)
Resource Manager용 Microsoft Defender는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서의 작업을 감지했습니다. 실행 중간
의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousProxyIP)
Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만, 위협 행위자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 방어 회피 중간
구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzDomainInfo)
구독에서 MicroBurst의 정보 수집 모듈이 실행되었습니다. 이 도구는 리소스, 권한 및 네트워크 구조를 검색하는 데 사용할 수 있습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzureDomainInfo)
구독에서 MicroBurst의 정보 수집 모듈이 실행되었습니다. 이 도구는 리소스, 권한 및 네트워크 구조를 검색하는 데 사용할 수 있습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
가상 머신에서 코드를 실행하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzVMBulkCMD)
가상 머신에서 코드를 실행하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 실행 높음
가상 머신에서 코드를 실행하는 데 사용된 MicroBurst 악용 도구 키트
(RM_MicroBurst.AzureRmVMBulkCMD)
가상 머신에서 코드를 실행하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Azure Key Vault에서 키를 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AzKeyVaultKeysREST)
Azure 키 자격 증명 모음에서 키를 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
스토리지 계정으로 키를 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AZStorageKeysREST)
스토리지 계정에서 키를 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. 컬렉션 높음
Azure Key Vault에서 비밀을 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Azure 키 자격 증명 모음에서 비밀을 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
Azure AD에서 Azure로의 액세스를 강화하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.AzureElevatedPrivileges)
Azure AD에서 Azure로의 액세스를 강화하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 테넌트에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.GetAzureTargets)
조직의 합법적인 사용자 계정을 대신하여 리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 컬렉션 높음
스토리지 컨테이너, 공유 및 테이블을 열거하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.ShowStorageContent)
스토리지 공유, 테이블 및 컨테이너를 열거하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
구독에서 Runbook을 실행하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.StartRunbook)
Runbook을 실행하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Runbook 콘텐츠를 추출하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.AzureRunbookContent)
Runbook 콘텐츠를 추출하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 컬렉션 높음
미리 보기 - 위험한 IP 주소에서 활동 발생
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
익명 프록시 IP 주소로 식별된 IP 주소에서 사용자 활동이 감지되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 감지는 조직의 다른 사용자가 널리 사용하는 태그가 잘못 지정된 IP 주소와 같은 가양성을 줄이는 기계 학습 알고리즘을 이용합니다.
활성 클라우드용 Microsoft Defender 앱 라이선스가 필요합니다.
- 중간
미리 보기 - 자주 사용되지 않는 국가에서 활동 발생
(ARM.MCAS_ActivityFromInfrequentCountry)
조직의 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치에서 활동이 발생했습니다.
이 검색은 이전 활동 위치를 고려하여 새 위치 및 드문 위치를 확인합니다. 이상 문제 검색 엔진은 조직의 사용자가 사용하는 이전 위치에 대한 정보를 저장합니다.
활성 클라우드용 Microsoft Defender 앱 라이선스가 필요합니다.
- 중간
미리 보기 - Azurite 도구 키트의 실행이 감지됨
(ARM_Azurite)
알려진 클라우드 환경 정찰 도구 키트의 실행이 사용자 환경에서 감지되었습니다. Azurite 도구는 공격자(또는 침투 테스터)가 구독 리소스를 매핑하고 안전하지 않은 구성을 식별하는 데 사용할 수 있습니다. 컬렉션 높음
미리 보기 - 불가능한 이동 활동
(ARM.MCAS_ImpossibleTravelActivity)
지리적으로 멀리 떨어진 위치에서 시작하여 두 번의 사용자 활동(단일 또는 여러 세션)이 발생했습니다. 이 문제는 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간보다 짧은 시간 내에 발생합니다. 이는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다.
이 감지는 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같은 불가능한 이동 조건에 영향을 주는 확실한 가양성을 무시하는 기계 학습 알고리즘을 이용합니다. 감지에는 7일의 초기 학습 기간이 있으며 이 기간 동안 새 사용자의 활동 패턴을 학습합니다.
활성 클라우드용 Microsoft Defender 앱 라이선스가 필요합니다.
- 중간
미리 보기 - 의심스러운 키 자격 증명 모음 복구가 검색됨
(Arm_Suspicious_Vault_Recovering)
Resource Manager 대한 Microsoft Defender 일시 삭제된 키 자격 증명 모음 리소스에 대한 의심스러운 복구 작업을 검색했습니다.
리소스를 복구하는 사용자는 리소스를 삭제한 사용자와 다릅니다. 사용자가 이러한 작업을 거의 호출하지 않으므로 이는 매우 의심스럽습니다. 또한 사용자는 MFA(다단계 인증) 없이 로그온했습니다.
이는 사용자가 손상되어 중요한 리소스에 액세스하거나 네트워크를 통해 횡적 이동을 수행하기 위해 비밀 및 키를 검색하려고 함을 나타낼 수 있습니다.
수평 이동 중간/높음
미리 보기 - 비활성 계정을 사용한 의심스러운 관리 세션이 감지됨
(ARM_UnusedAccountPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 오랫동안 사용하지 않은 보안 주체가 현재 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '자격 증명 액세스' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.CredentialAccess)
Resource Manager용 Microsoft Defender는 자격 증명에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 자격 증명 액세스 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '데이터 수집' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.Collection)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 컬렉션 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '방어 회피' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.DefenseEvasion)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 방어 회피 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 상태를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 감지되지 않도록 할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 방어 회피 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '실행' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.Execution)
Resource Manager용 Microsoft Defender는 구독의 머신에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 방어 실행 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '영향' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.Impact)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 구성 변경 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 영향 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '초기 액세스' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.InitialAccess)
Resource Manager용 Microsoft Defender는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 초기 액세스 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '횡적 이동 액세스' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.LateralMovement)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 수평 이동 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '지속성' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.Persistence)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 지속성 중간
미리 보기 - 검색된 서비스 주체에 의한 고위험 '권한 에스컬레이션' 작업의 의심스러운 호출
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 권한 상승 중간
미리 보기 - 비활성 계정을 사용한 의심스러운 관리 세션이 감지됨
(ARM_UnusedAccountPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 오랫동안 사용하지 않은 보안 주체가 현재 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
미리 보기 - PowerShell을 사용한 의심스러운 관리 세션이 감지됨
(ARM_UnusedAppPowershellPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 구독 환경을 관리하는 데 정기적으로 PowerShell을 사용하지 않는 보안 주체가 현재 PowerShell을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
미리 보기 – Azure Portal을 사용하는 의심스러운 관리 세션이 감지됨
(ARM_UnusedAppIbizaPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 구독 환경을 관리하는 데 정기적으로 Azure Portal(Ibiza)을 사용하지 않는 보안 주체(최근 45일 동안 Azure Portal을 사용하지 않았거나 적극적으로 관리 중인 구독)가 현재 Azure Portal을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
구독에 대해 권한 있는 사용자 지정 역할이 의심스러운 방식으로 생성됨(미리 보기)
(ARM_PrivilegedRoleDefinitionCreation)
Resource Manager용 Azure Defender가 구독에서 의심스러운 방식으로 생성된 권한 있는 사용자 지정 역할 정의를 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 나중에 우회하는 데 사용할 권한 있는 역할을 만들려고 하는 것임을 나타낼 수 있습니다. 권한 상승, 방어 우회 낮음
의심스러운 Azure 역할 할당 검색됨(미리 보기)
(ARM_AnomalousRBACRoleAssignment)
Resource Manager용 Microsoft Defender는 조직의 계정이 손상되었음을 나타낼 수 있는 테넌트에서 PIM(Privileged Identity Management)을 사용하여 수행된 의심스러운 Azure 역할 할당을 식별했습니다. 식별된 작업은 관리자가 주체에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있도록 설계되었습니다. 이 작업이 합법적일 수는 있지만 위협 작업자는 역할 할당을 활용하여 권한을 확대한 후 공격을 진행할 수 있습니다. 수평 이동, 방어 우회 낮음(PIM)/높음
위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.CredentialAccess)
Resource Manager용 Microsoft Defender는 자격 증명에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 자격 증명 액세스 중간
위험 수준이 높은 ‘데이터 수집’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Collection)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 컬렉션 중간
위험 수준이 높은 ‘방어 회피’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.DefenseEvasion)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 방어 회피 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 상태를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 감지되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 방어 회피 중간
위험 수준이 높은 ‘실행’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Execution)
Resource Manager용 Microsoft Defender는 구독의 머신에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 실행 중간
위험 수준이 높은 ‘영향’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Impact)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 구성 변경 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 영향 중간
위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.InitialAccess)
Resource Manager용 Microsoft Defender는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 초기 액세스 중간
위험 수준이 높은 ‘횡적 이동’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.LateralMovement)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 측면 확대 중간
위험 수준이 높은 ‘지속성’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.Persistence)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 지속성 중간
위험 수준이 높은 ‘권한 에스컬레이션’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.PrivilegeEscalation)
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 권한 상승 중간
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 MicroBurst 악용 도구 키트 사용
(ARM_MicroBurst.RunCodeOnBehalf)
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 MicroBurst 악용 도구 키트를 사용한 것입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 지속성, 자격 증명 액세스 높음
Azure 환경에서 지속성을 유지하기 위해 NetSPI 기술 사용
(ARM_NetSPI.MaintainPersistence)
Azure 환경에서 웹후크 백도어를 만들고 지속성을 유지하기 위해 NetSPI 지속성 기법을 사용합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 PowerZure 악용 도구 키트 사용
(ARM_PowerZure.RunCodeOnBehalf)
임의 코드를 실행하거나 Azure Automation 계정 자격 증명 반출을 시도하는 PowerZure 악용 도구 키트가 검색되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Azure 환경에서 지속성을 유지하기 위해 PowerZure 함수 사용
(ARM_PowerZure.MaintainPersistence)
Azure 환경에서 지속성을 유지하기 위해 웹후크 백도어를 만드는 PowerZure 악용 도구 키트가 검색되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
의심스러운 클래식 역할 할당 검색됨(미리 보기)
(ARM_AnomalousClassicRoleAssignment)
Resource Manager용 Microsoft Defender는 조직의 계정이 손상되었음을 나타낼 수 있는 테넌트의 의심스러운 클래식 역할 할당을 식별했습니다. 식별된 작업은 더 이상 일반적으로 사용되지 않는 이전 클래식 역할과의 호환성을 제공하도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 할당을 활용하여 더 많은 사용자 계정에 권한을 부여할 수 있습니다.  수평 이동, 방어 우회 높음

DNS에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
비정상 네트워크 프로토콜 사용
(AzureDNS_ProtocolAnomaly)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 비정상적인 프로토콜 사용이 검색되었습니다. 이러한 트래픽은 심각하지 않을 수 있지만 네트워크 트래픽 필터링을 우회하기 위해 이 공통 프로토콜의 남용을 나타낼 수 있습니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. 반출 -
익명 네트워크 활동
(AzureDNS_DarkWeb)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 통신의 추적 및 지문 인식을 피하기 위해 사용하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
웹 프록시를 사용하는 익명 네트워크 활동
(AzureDNS_DarkWebProxy)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 통신의 추적 및 지문 인식을 피하기 위해 사용하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
의심스러운 싱크홀 도메인과 통신 시도
(AzureDNS_SinkholedDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 싱크홀 도메인에 대한 요청이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
피싱 가능성이 있는 도메인과 통신
(AzureDNS_PhishingDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 피싱 가능성이 있는 도메인에 대한 요청이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 원격 서비스에 대한 자격 증명을 수집하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 합법적인 서비스의 자격 증명 악용이 포함될 가능성이 있습니다. 반출 -
의심스러운 알고리즘 방식으로 생성된 도메인과 통신
(AzureDNS_DomainGenerationAlgorithm)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 도메인 생성 알고리즘의 사용 가능성이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스 중간
의심스러운 임의 도메인 이름과 통신
(AzureDNS_RandomizedDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 임의로 생성된 의심스러운 도메인 이름의 사용이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
디지털 통화 마이닝 활동
(AzureDNS_CurrencyMining)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 디지털 통화 마이닝 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
네트워크 침입 탐지 서명 활성화
(AzureDNS_SuspiciousDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 알려진 악의적인 네트워크 서명이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 다운로드
(AzureDNS_DataInfiltration)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 반출
(AzureDNS_DataExfiltration)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 반출
(AzureDNS_DataObfuscation)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -

Azure Storage에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
의심스러운 애플리케이션에서 액세스
(Storage.Blob_SuspiciousApp)
의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다.
이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 획득했으며 이를 악용하고 있음을 나타낼 수 있습니다. 이는 조직에서 수행된 침투 테스트의 표시일 수도 있습니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2
초기 액세스 높음/보통
의심스러운 IP 주소에서 액세스
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
의심스러운 것으로 간주되는 IP 주소에서 이 스토리지 계정에 성공적으로 액세스했음을 나타냅니다. 이 경고는 Microsoft 위협 인텔리전스에서 제공합니다.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
사전 공격 높음/중간/낮음
스토리지 계정에서 호스트되는 피싱 콘텐츠
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
피싱 공격에 사용되는 URL이 고객의 Azure Storage 계정을 가리킵니다. 이 URL은 Microsoft 365 사용자에게 영향을 미치는 피싱 공격의 일부였습니다.
일반적으로 이러한 페이지에 호스트되는 콘텐츠는 방문자가 정상적으로 보이는 웹 양식에 회사 자격 증명이나 금융 정보를 입력하도록 속이기 위해 설계되었습니다.
이 경고는 Microsoft 위협 인텔리전스에서 제공합니다.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
적용 대상: Azure Blob Storage, Azure Files
컬렉션 높음
맬웨어 배포를 위한 원본으로 식별된 스토리지 계정
(Storage.Files_WidespreadeAm)
맬웨어 방지 경고는 감염된 파일이 여러 VM에 탑재된 Azure 파일 공유에 저장되었음을 나타냅니다. 공격자가 탑재된 Azure 파일 공유가 있는 VM에 대한 액세스 권한을 얻으면 이를 사용하여 동일한 공유를 탑재하는 다른 VM으로 맬웨어를 퍼뜨릴 수 있습니다.
적용 대상: Azure Files
실행 중간
잠재적으로 중요한 데이터가 있는 스토리지 계정이 공개적으로 노출된 컨테이너에서 검색되었습니다.
(Storage.Blob_OpenACL)
스토리지 계정의 컨테이너에 대한 액세스 정책이 익명 액세스를 허용하도록 수정되었습니다. 이는 컨테이너에 중요한 데이터가 있는 경우 데이터 유출이 발생할 수 있습니다. 이 경고는 Azure 활동 로그 분석을 기반으로 합니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2
컬렉션 중간
Tor 종료 노드에서 인증된 액세스
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
스토리지 계정의 하나 이상의 스토리지 컨테이너/파일 공유가 Tor(익명 프록시)의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. 위협 행위자가 Tor를 사용하여 활동을 추적하기 어렵게 만듭니다. Tor 종료 노드에서 인증된 액세스는 위협 행위자가 자신의 ID를 숨기려고 한다는 것을 나타낼 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
초기 액세스/사전 공격 높음/보통
비정상적인 위치에서 저장소 계정으로 액세스
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Azure Storage 계정에 대한 액세스 패턴이 변경된 것으로 나타납니다. 최근 활동과 비교할 때 익숙하지 않은 것으로 간주되는 IP 주소를 통해 누군가가 이 계정에 액세스했습니다. 공격자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다. 후자의 경우 새 응용 프로그램 또는 개발자의 원격 유지 관리입니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
초기 액세스 높음/중간/낮음
스토리지 컨테이너에 대한 비정상적인 인증되지 않은 액세스
(Storage.Blob_AnonymousAccessAnomaly)
이 스토리지 계정은 일반적인 액세스 패턴의 변경인 인증 없이 액세스되었습니다. 이 컨테이너에 대한 읽기 액세스는 일반적으로 인증됩니다. 이는 위협 행위자가 이 스토리지 계정의 스토리지 컨테이너에 대한 공용 읽기 액세스를 악용할 수 있음을 나타낼 수 있습니다.
적용 대상: Azure Blob Storage
초기 액세스 높음/낮음
저장소 계정에 업로드된 잠재적 맬웨어
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
잠재적 맬웨어가 들어 있는 Blob이 스토리지 계정의 Blob 컨테이너 또는 파일 공유에 업로드되었음을 나타납니다. 이 경고는 바이러스, 트로이 목마, 스파이웨어 및 랜섬웨어에 대한 해시를 포함한 Microsoft 위협 인텔리전스의 기능을 활용하는 해시 평판 분석을 기반으로 합니다. 잠재적 원인에는 공격자의 의도적인 맬웨어 업로드 또는 합법적인 사용자가 잠재적으로 악의적인 Blob을 의도치 않게 업로드하는 경우가 있을 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files(REST API를 통한 트랜잭션만 해당)
맬웨어에 대한 Azure의 해시 평판 분석에 대해 자세히 알아보세요.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
측면 확대 높음
공개적으로 액세스할 수 있는 스토리지 컨테이너가 성공적으로 검색됨
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
스토리지 계정에서 공개적으로 열려 있는 스토리지 컨테이너를 성공적으로 검색한 후 지난 1시간 동안 검사 스크립트 또는 도구를 통해 수행되었습니다.

이는 일반적으로 위협 행위자가 중요한 데이터가 포함된 잘못 구성된 열린 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 Blob을 나열하려고 하는 정찰 공격을 나타냅니다.

위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
컬렉션 높음/보통
공개적으로 액세스할 수 있는 스토리지 컨테이너를 검사하지 못함
(Storage.Blob_OpenContainersScanning.FailedAttempt)
공개적으로 열린 스토리지 컨테이너를 검사하는 데 실패한 일련의 시도가 지난 1시간 동안 수행되었습니다.

이는 일반적으로 위협 행위자가 중요한 데이터가 포함된 잘못 구성된 열린 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 Blob을 나열하려고 하는 정찰 공격을 나타냅니다.

위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
컬렉션 높음/낮음
저장소 계정에서 비정상적인 액세스 검사
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정의 액세스 권한이 비정상적인 방식으로 검사된 것으로 나타납니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
검색 높음/보통
저장소 계정에서 추출된 비정상적인 데이터 크기
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
이 저장소 컨테이너의 최근 활동과 비교할 때 비정상적으로 많은 양의 데이터가 추출된 것으로 나타납니다. 잠재적 원인은 공격자가 Blob Storage를 보유한 컨테이너에서 대량의 데이터를 추출한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
반출 높음/낮음
비정상적인 응용 프로그램이 저장소 계정에 액세스함
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
비정상적인 응용 프로그램이 이 저장소 계정에 액세스한 것으로 나타납니다. 잠재적 원인은 공격자가 새 응용 프로그램을 사용 하여 저장소 계정에 액세스한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
실행 높음/보통
저장소 계정에서의 비정상적인 데이터 악용
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정의 Blob 또는 컨테이너가 비정상적인 방식으로 열거된 것으로 나타납니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
실행 높음/보통
저장소 계정에서의 비정상적인 삭제
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정에서 하나 이상의 예기치 않은 삭제 작업이 발생한 것으로 나타납니다. 잠재적 원인은 공격자가 저장소 계정에서 데이터를 삭제한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
반출 높음/보통

Azure Cosmos DB에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
Tor 종료 노드에서 액세스
(CosmosDB_TorAnomaly)
이 Azure Cosmos DB 계정은 익명화 프록시인 Tor의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. Tor 종료 노드에서 인증된 액세스는 위협 행위자가 자신의 ID를 숨기려고 한다는 것을 나타낼 수 있습니다. 초기 액세스 높음/보통
의심스러운 IP에서 액세스
(CosmosDB_SuspiciousIp)
이 Azure Cosmos DB 계정은 Microsoft 위협 인텔리전스의 위협으로 식별된 IP 주소에서 성공적으로 액세스되었습니다. 초기 액세스 중간
비정상적인 위치에서 액세스
(CosmosDB_GeoAnomaly)
이 Azure Cosmos DB 계정은 일반적인 액세스 패턴에 따라 익숙하지 않은 것으로 간주되는 위치에서 액세스되었습니다.

위협 행위자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다.
초기 액세스 낮음
비정상적인 데이터 볼륨이 추출됨
(CosmosDB_DataExfiltrationAnomaly)
이 Azure Cosmos DB 계정에서 비정상적으로 많은 양의 데이터가 추출되었습니다. 이는 위협 행위자가 데이터를 유출했음을 나타낼 수 있습니다. 반출 중간
잠재적으로 악의적인 스크립트를 통해 Azure Cosmos DB 계정 키 추출
(CosmosDB_SuspiciousListKeys.MaliciousScript)
PowerShell 스크립트가 구독에서 실행되었고 의심스러운 키 목록 작업 패턴을 수행하여 구독에서 Azure Cosmos DB 계정의 키를 가져옵니다. 위협 행위자가 Microburst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 액세스할 수 있는 Azure Cosmos DB 계정을 찾습니다.

이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 사용자 환경에서 Azure Cosmos DB 계정을 손상시키려고 했음을 나타낼 수 있습니다.

또는 악의적인 내부자가 중요한 데이터에 액세스하고 횡적 이동을 수행하려고 할 수 있습니다.
컬렉션 높음
Azure Cosmos DB 계정 키의 의심스러운 추출(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) 의심스러운 원본이 구독에서 Azure Cosmos DB 계정 액세스 키를 추출했습니다. 이 원본이 합법적인 원본이 아니면 영향이 큰 문제일 수 있습니다. 추출된 액세스 키는 연결된 데이터베이스와 내부에 저장된 데이터에 대한 모든 권한을 제공합니다. 원본이 의심스러운 것으로 플래그가 지정된 이유를 이해하려면 각 특정 경고의 세부 정보를 참조하세요. 자격 증명 액세스 high
SQL 삽입: 잠재적인 데이터 반출
(CosmosDB_SqlInjection.DataExfiltration)
의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.

삽입된 문이 위협 행위자가 액세스할 수 있는 권한이 없는 데이터를 유출하는 데 성공했을 수 있습니다.

Azure Cosmos DB 쿼리의 구조와 기능으로 인해 Azure Cosmos DB 계정에 대한 알려진 많은 SQL 삽입 공격이 작동하지 않습니다. 그러나 이 공격에 사용되는 변형이 작동할 수 있으며 위협 행위자가 데이터를 유출할 수 있습니다.
반출 중간
SQL 삽입: 퍼지 시도
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다.

다른 잘 알려진 SQL 삽입 공격과 마찬가지로 이 공격은 Azure Cosmos DB 계정을 손상시키는 데 성공하지 못합니다.

그럼에도 불구하고 위협 행위자가 이 계정의 리소스를 공격하려고 하며 애플리케이션이 손상될 수 있음을 나타냅니다.

일부 SQL 삽입 공격은 성공하고 데이터를 유출하는 데 사용할 수 있습니다. 즉, 공격자가 SQL 삽입 시도를 계속 수행하면 Azure Cosmos DB 계정을 손상하고 데이터를 유출할 수 있습니다.

매개 변수화된 쿼리를 사용하여 이 위협을 방지할 수 있습니다.
사전 공격 낮음

Azure 네트워크 계층에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
악성 컴퓨터와의 네트워크 통신이 감지됨:
(Network_CommunicationWithC2)
네트워크 트래픽을 분석한 결과, 컴퓨터(IP %{Victim IP})가 명령 및 컨트롤 센터와 통신한 것으로 나타납니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 활동은 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스가 명령 및 제어 센터와 통신한 것일 수 있습니다. 명령 및 제어 중간
손상된 컴퓨터가 감지되었을 수 있음
(Network_ResourceIpIndicatedAsMalicious)
위협 인텔리전스에 컴퓨터(%{Machine IP} IP 에서)가 Conficker 형식의 맬웨어에 의해 손상된 것으로 나타납니다. Conficker는 Microsoft Windows 운영 체제를 표적으로 하는 컴퓨터 웜이며 2008년 11월에 처음 발견되었습니다. Conficker는 200개 이상의 국가/지역에서 정부, 기업 및 가정용 컴퓨터를 포함한 수백만 대의 컴퓨터를 감염시켜 2003년 Welchia 웜 이후 최대 규모의 컴퓨터 웜 감염을 초래했습니다. 명령 및 제어 중간
수신 %{Service Name} 무차별 암호 대입 시도가 감지되었을 수 있음
(Generic_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Victim IP}에 대한 수신 %{Service Name} 통신이 감지되었으며 이는 %{Attacker IP}의 리소스 %{Compromised Host}과(와) 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Victim Port} 포트에서의 의심스러운 활동을 보여줍니다. 이 활동은 %{Service Name} 서버에 대한 무차별 암호 대입 시도와 일치합니다. 사전 공격 중간
수신 SQL의 무차별 암호 대입 시도가 감지되었을 수 있음
(SQL_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Victim IP}에 대한 수신 SQL 통신이 감지되었으며 이는 %{Attacker IP}의 리소스 %{Compromised Host}과(와) 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Port Number} 포트(%{SQL Service Type})에서의 의심스러운 활동을 보여줍니다. 이 작업은 SQL 서버에 대한 무차별 암호 대입 시도와 일치합니다. 사전 공격 중간
발신 서비스 거부 공격이 감지되었을 수 있음
(DDOS)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host}에서 발생하는 비정상적인 발신 활동이 감지되었습니다. 이 활동은 리소스가 손상되었음을 나타내며 현재 외부 끝점에 대한 서비스 거부 공격에 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 수신 활동은 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스가 손상된 것으로 나타날 수 있습니다. 연결 볼륨에 따라 %{Possible Victims} IP가 DOS 공격의 표적이 될 수 있다고 생각합니다. 이러한 IP 중 일부에 대한 통신은 합법적일 수 있습니다. 영향 중간
여러 소스의 의심스러운 수신 RDP 네트워크 활동
(RDP_Incoming_BF_ManyToOne)
네트워크 트래픽을 분석한 결과, 여러 소스에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 연결된 %{Number of Attacking IPs}개의 고유 IP가 표시되며 이는 환경에서 비정상인 것으로 간주됩니다. 이 활동은 여러 호스트(봇네트)의 RDP 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 수신 RDP 네트워크 활동
(RDP_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Attacker IP}에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 수신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 RDP 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
여러 소스의 의심스러운 수신 SSH 네트워크 활동
(SSH_Incoming_BF_ManyToOne)
네트워크 트래픽을 분석한 결과, 여러 소스에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 연결된 %{Number of Attacking IPs}개의 고유 IP가 표시되며 이는 환경에서 비정상인 것으로 간주됩니다. 이 활동은 여러 호스트(봇네트)의 SSH 엔드포인트에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 수신 SSH 네트워크 활동
(SSH_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Attacker IP}에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 수신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 SSH 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 발신 %{Attacked Protocol} 트래픽이 감지됨
(PortScanning)
네트워크 트래픽을 분석한 결과, %{Compromised Host}에서 대상 포트 %{Most Common Port}(으)로 의심스러운 발신 트래픽이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작은 리소스가 %{Attacked Protocol} 무차별 암호 대입 시도 또는 포트 스윕 공격에 참여하고 있음을 나타낼 수 있습니다. 검색 중간
여러 대상에 대한 의심스러운 발신 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToMany)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 여러 대상에 대해 비정상적인 발신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 컴퓨터가 %{Number of Attacked IPs}개의 고유 IP에 연결된 것으로 표시되며 이는 이 환경에서 비정상인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 RDP 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 검색 높음
의심스러운 발신 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToOne)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 %{Victim IP}에 대해 비정상적인 발신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 RDP 엔드포인트를 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 측면 확대 높음
여러 대상에 대한 의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToMany)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 여러 대상에 대해 비정상적인 발신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스가 %{Number of Attacked IPs}개의 고유 IP에 연결된 것으로 표시되며 이는 이 환경에서 비정상인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 SSH 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 검색 중간
의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToOne)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 %{Victim IP}에 대해 비정상적인 발신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 SSH 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 측면 확대 중간
차단이 권장되는 IP 주소에서 트래픽이 감지됨 클라우드용 Microsoft Defender가 차단하도록 권장하는 IP 주소에서 인바운드 트래픽을 감지했습니다. 이 문제는 일반적으로 이 IP 주소가 이 리소스와 정기적으로 통신하지 않는 경우에 발생합니다. 또는 클라우드용 Defender의 위협 인텔리전스 소스에 의해 IP 주소가 악의적인 것으로 플래그 지정되었습니다. 검색 낮음

Azure Key Vault에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) Description MITRE 전술
(자세한 정보)
심각도
의심스러운 IP 주소에서 Key Vault에 액세스
(KV_SuspiciousIPAccess)
Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 이것은 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사가 권장됩니다. Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요. 자격 증명 액세스 중간
TOR 종료 노드에서 키 자격 증명 모음에 액세스
(KV_TORAccess)
알려진 TOR 종료 노드에서 키 자격 증명 모음에 액세스했습니다. 위협 행위자가 키 자격 증명 모음에 액세스한 후 TOR 네트워크를 사용하여 원본 위치를 숨기고 있다는 의미일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 대량의 작업 발생
(KV_OperationVolumeAnomaly)
사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 수의 키 자격 증명 모음 작업을 수행했습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 의심스러운 정책 변경 및 비밀 쿼리
(KV_PutGetAnomaly)
사용자 또는 서비스 주체가 비정상적인 Vault Put 정책 변경 작업을 수행한 다음, 하나 이상의 Secret Get 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않습니다. 이는 합법적인 활동일 수도 있지만, 위협 행위자가 이전에 액세스할 수 없었던 비밀에 액세스하기 위해 키 자격 증명 모음 정책을 업데이트한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음의 의심스러운 비밀 나열 및 쿼리
(KV_ListGetAnomaly)
사용자 또는 서비스 주체가 비정상적인 Secret List 작업을 수행한 다음, 하나 이상의 Secret Get 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않으며 보통은 비밀 덤프와 연결됩니다. 이는 합법적인 활동일 수도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득한 후 네트워크를 통해 수평으로 이동하거나 중요한 리소스에 대한 액세스 권한을 획득하는 데 사용할 수 있는 비밀을 검색하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다.
(KV_AccountVolumeAccessDeniedAnomaly)
사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다. 검색 낮음
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨
(KV_UserAccessDeniedAnomaly)
일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 초기 액세스, 검색 낮음
비정상적인 애플리케이션이 키 자격 증명 모음에 액세스함
(KV_AppAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 비정상적인 작업 패턴
(KV_OperationPatternAnomaly)
사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 키 자격 증명 모음 작업 패턴을 수행했습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적인 사용자가 키 자격 증명 모음에 액세스함
(KV_UserAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적인 사용자-애플리케이션 쌍이 키 자격 증명 모음에 액세스함
(KV_UserAppAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자-서비스 주체가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
사용자가 대량의 키 자격 증명 모음에 액세스함
(KV_AccountVolumeAnomaly)
사용자 또는 서비스 주체가 비정상적으로 많은 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 여러 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간

Azure DDoS Protection에 대한 경고

추가 세부 정보 및 참고 사항

경고 Description MITRE 전술
(자세한 정보)
심각도
공용 IP에 대한 DDoS 공격이 감지됨 공용 IP(IP 주소)에 대한 DDoS 공격이 감지되어 완화 중입니다. 검색 높음
공용 IP에 대한 DDoS 공격이 완화됨 공용 IP(IP 주소)에 대한 DDoS 공격이 완화되었습니다. 검색 낮음

보안 인시던트 경고

추가 세부 정보 및 참고 사항

경고 Description MITRE 전술
(자세한 정보)
심각도
공유 프로세스에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 높음
여러 리소스에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 {Host} 클라우드 리소스에 대해 유사한 공격 방법이 사용되었습니다. - 중간
동일한 원본에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 높음
여러 머신에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 중간

MITRE ATT&CK 전술

공격 의도를 파악하면 이벤트를 더욱 쉽게 조사하고 보고할 수 있습니다. 이러한 노력을 돕기 위해 클라우드용 Microsoft Defender 경고에는 많은 경고가 포함된 MITRE 전술이 있습니다.

정찰에서 데이터 반출에 이르는 사이버 공격의 진행 과정을 설명하는 일련의 단계를 종종 "킬 체인(kill chain)"이라고 합니다.

클라우드용 Defender에서 지원되는 킬 체인 의도는 MITRE ATT&CK 매트릭스의 버전 9를 기준으로 하며 아래 표에 설명되어 있습니다.

전술 ATT&CK 버전 Description
사전 공격 사전 공격은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 착취하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하려는 시도가 실패한 것일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 발생하며 대상 시스템을 검사하고 진입점을 식별하려는 시도로 감지됩니다.
초기 액세스 V7, V9 초기 액세스는 공격자가 공격을 받는 리소스에 대한 기반을 구축하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등의 컴퓨팅 호스트 및 리소스와 관련이 있습니다. 이 단계 이후에는 위협 행위자가 리소스를 제어할 수 있는 경우가 많습니다.
지속성 V7, V9 지속성은 위협 행위자에게 해당 시스템에 지속적인 현존을 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 종종 액세스 권한을 다시 얻기 위해 대체 백도어를 다시 시작하거나 제공하도록 시스템 재시작, 자격 증명 손실 또는 원격 액세스 도구가 필요한 기타 장애 등의 중단을 통해 시스템에 대한 액세스를 유지해야 합니다.
권한 상승 V7, V9 권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다.
방어 회피 V7, V9 방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 때때로 이러한 작업은 특정 방어 또는 완화를 파괴하는 추가 이점이 있는 다른 범주의 기술과 동일(또는 변형)합니다.
자격 증명 액세스 V7, V9 자격 증명 액세스는 엔터프라이즈 환경에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 이를 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다.
검색 V7, V9 검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자는 새 시스템에 액세스할 때 자신이 현재 제어할 수 있는 항목과 해당 시스템에서 운영하는 이점이 침입 중에 현재 목적 또는 전체 목표를 향하도록 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다.
측면 이동 V7, V9 측면 이동은 악의적 사용자가 네트워크를 통해 원격 시스템에 액세스하고 제어할 수 있는 기술로 구성되어 있지만 반드시 원격 시스템에서 도구를 실행할 수 있는 것은 아닙니다. 악의적 사용자는 측면 이동 기술을 이용해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 원격 도구 실행, 더 많은 시스템 피벗, 특정 정보 또는 파일에 대한 액세스, 더 많은 자격 증명에 대한 액세스 또는 효과를 유발하는 등 여러 용도로 횡적 이동을 사용할 수 있습니다.
실행 V7, V9 실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 기법은 네트워크의 원격 시스템에 대한 액세스 권한을 확장하기 위해 측면 이동과 함께 사용되는 경우가 많습니다.
컬렉션 V7, V9 수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다.
명령 및 제어 V7, V9 명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다.
반출 V7, V9 반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다.
영향 V7, V9 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성이나 무결성을 직접적으로 줄입니다(비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작 포함). 이 이벤트는 종종 랜섬웨어, 변조, 데이터 조작 등과 같은 기술을 가리킵니다.

참고

미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

서버용 Defender 경고가 더 이상 사용되지 않음

다음 표에는 2023년 4월에 더 이상 사용되지 않을 서버용 Defender 보안 경고가 포함됩니다.

더 이상 사용되지 않는 Linux 경고

경고 유형 경고 표시 이름 심각도
VM.Windows_KnownCredentialAccessTools 의심스러운 프로세스 실행 높음
VM.Windows_SuspiciousAccountCreation 의심스러운 계정 생성이 감지됨 중간
VM_AbnormalDaemonTermination 비정상적인 종료 낮음
VM_BinaryGeneratedFromCommandLine 의심스러운 이진 검색됨 중간
의심스러운 VM_CommandlineSuspectDomain 도메인 이름 참조 낮음
VM_CommonBot 일반적인 Linux 봇과 유사한 동작이 감지됨 중간
VM_CompCommonBots 검색된 일반적인 Linux 봇과 유사한 명령 중간
VM_CompSuspiciousScript 셸 스크립트가 검색됨 중간
VM_CompTestRule 복합 분석 테스트 경고 낮음
VM_CronJobAccess 예약된 작업 조작이 감지됨 정보 제공
VM_CryptoCoinMinerArtifacts 디지털 통화 마이닝 관련 프로세스가 감지됨 중간
VM_CryptoCoinMinerDownload 가능한 Cryptocoinminer 다운로드 검색됨 중간
VM_CryptoCoinMinerExecution 잠재적인 암호화 코인 마이너가 시작됨 중간
VM_DataEgressArtifacts 가능한 데이터 반출이 감지됨 중간
VM_DigitalCurrencyMining 디지털 통화 마이닝 관련 동작이 감지됨 높음
VM_DownloadAndRunCombo 의심스러운 다운로드 후 작업 실행 중간
VM_EICAR 클라우드용 Microsoft Defender 테스트 경고(위협이 아님) 높음
VM_ExecuteHiddenFile 숨겨진 파일 실행 정보 제공
VM_ExploitAttempt 가능한 명령줄 악용 시도 중간
VM_ExposedDocker TCP 소켓에 노출된 Docker 디먼 중간
VM_FairwareMalware Fairware 랜섬웨어와 유사한 동작이 감지됨 중간
VM_FirewallDisabled 호스트 방화벽에 대한 조작이 감지됨 중간
VM_HadoopYarnExploit Hadoop Yarn에 대한 악용이 있을 수 있음 중간
VM_HistoryFileCleared 기록 파일이 지워짐 중간
VM_KnownLinuxAttackTool 공격 도구가 감지되었을 수 있음 중간
VM_KnownLinuxCredentialAccessTool 자격 증명 액세스 도구가 감지되었을 수 있음 중간
VM_KnownLinuxDDoSToolkit DDOS 도구 키트와 관련된 지표가 감지됨 중간
VM_KnownLinuxScreenshotTool 호스트에서 찍은 스크린샷 낮음
VM_LinuxBackdoorArtifact 잠재적인 백도어 검색됨 중간
VM_LinuxReconnaissance 로컬 호스트 정찰이 감지됨 중간
VM_MismatchedScriptFeatures 스크립트 확장 불일치가 감지됨 중간
VM_MitreCalderaTools MITRE Caldera 에이전트가 검색됨 중간
VM_NewSingleUserModeStartupScript 지속성 시도 감지됨 중간
VM_NewSudoerAccount sudo 그룹에 추가된 계정 낮음
VM_OverridingCommonFiles 일반 파일의 잠재적 재정의 중간
VM_PrivilegedContainerArtifacts 권한 있는 모드에서 실행되는 컨테이너 낮음
VM_PrivilegedExecutionInContainer 높은 권한으로 실행되는 컨테이너 내의 명령 낮음
VM_ReadingHistoryFile bash 기록 파일에 대한 비정상적인 액세스 정보 제공
VM_ReverseShell 잠재적인 역방향 셸이 감지됨 중간
VM_SshKeyAccess 프로세스가 비정상적인 방식으로 SSH 인증 키 파일에 액세스하는 것으로 나타남 낮음
VM_SshKeyAddition 새 SSH 키가 추가됨 낮음
VM_SuspectCompilation 의심스러운 컴파일이 감지됨 중간
VM_SuspectConnection 일반적이지 않은 연결 시도가 감지됨 중간
VM_SuspectDownload 알려진 악성 소스에서 파일 다운로드가 감지됨 중간
VM_SuspectDownloadArtifacts 의심스러운 파일 다운로드가 감지됨 낮음
VM_SuspectExecutablePath 의심스러운 위치에서 실행 중인 실행 파일이 있음 중간
VM_SuspectHtaccessFileAccess htaccess 파일에 대한 액세스가 감지됨 중간
VM_SuspectInitialShellCommand 셸의 의심스러운 첫 번째 명령 낮음
VM_SuspectMixedCaseText 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 중간
VM_SuspectNetworkConnection 의심스러운 네트워크 연결 정보 제공
VM_SuspectNohup Nohup 명령에 대한 의심스러운 사용이 감지됨 중간
VM_SuspectPasswordChange 암호화 방법을 사용한 가능한 암호 변경이 감지됨 중간
VM_SuspectPasswordFileAccess 의심스러운 암호 액세스 정보 제공
VM_SuspectPhp 의심스러운 PHP 실행이 감지됨 중간
VM_SuspectPortForwarding 외부 IP 주소로 잠재적 포트 전달 중간
VM_SuspectProcessAccountPrivilegeCombo 서비스 계정에서 실행되는 프로세스가 예기치 않게 루트가 되었습니다. 중간
VM_SuspectProcessTermination 보안 관련 프로세스 종료가 검색됨 낮음
VM_SuspectUserAddition Useradd 명령에 대한 의심스러운 사용이 감지됨 중간
VM_SuspiciousCommandLineExecution 의심스러운 명령 실행 높음
VM_SuspiciousDNSOverHttps HTTPS를 통한 DNS의 의심스러운 사용 중간
VM_SystemLogRemoval 로그 변조 활동이 감지되었을 수 있음 중간
VM_ThreatIntelCommandLineSuspectDomain 악의적인 위치에 대한 가능한 연결이 검색되었습니다. 중간
VM_ThreatIntelSuspectLogon 악의적인 IP의 로그온이 검색되었습니다. 높음
VM_TimerServiceDisabled apt-daily-upgrade.timer 서비스 중지 시도가 감지됨 정보 제공
VM_TimestampTampering 의심스러운 파일 타임스탬프 수정 낮음
VM_Webshell 악의적인 웹 셸이 검색되었을 수 있음 중간

더 이상 사용되지 않는 Windows 경고

경고 유형 경고 표시 이름 심각도
SCUBA_MULTIPLEACCOUNTCREATE 여러 호스트에서 의심스러운 계정 만들기 중간
SCUBA_PSINSIGHT_CONTEXT PowerShell의 의심스러운 사용이 감지됨 정보 제공
SCUBA_RULE_AddGuestToAdministrators 로컬 관리자 그룹에 게스트 계정 추가 중간
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands Apache_Tomcat_executing_suspicious_commands 중간
SCUBA_RULE_KnownBruteForcingTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_KnownCollectionTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_KnownDefenseEvasionTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_KnownExecutionTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_KnownPassTheHashTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_KnownSpammingTools 의심스러운 프로세스 실행 중간
SCUBA_RULE_Lowering_Security_Settings 중요한 서비스의 비활성화가 감지됨 중간
SCUBA_RULE_OtherKnownHackerTools 의심스러운 프로세스 실행 높음
SCUBA_RULE_RDP_session_hijacking_via_tscon RDP 하이재킹을 암시하는 의심스러운 무결성 수준 중간
SCUBA_RULE_RDP_session_hijacking_via_tscon_service 의심스로운 서비스 설치 중간
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices 로그온 시 사용자에게 표시되는 법적 고지를 표시하지 않는 것으로 감지됨 낮음
SCUBA_RULE_WDigest_Enabling WDigest UseLogonCredential 레지스트리 키를 사용하는 것이 감지됨 중간
VM.Windows_ApplockerBypass AppLocker를 우회하려는 잠재적인 시도가 감지됨 높음
VM.Windows_BariumKnownSuspiciousProcessExecution 의심스러운 파일 생성이 감지됨 높음
VM.Windows_Base64EncodedExecutableInCommandLineParams 명령줄 데이터에서 인코딩된 실행 파일이 감지됨 높음
VM.Windows_CalcsCommandLineUse 시스템의 보안 상태를 낮추는 의심스러운 CACLS 사용이 감지됨 중간
VM.Windows_CommandLineStartingAllExe 디렉터리에서 모든 실행 파일을 시작하는 데 사용되는 의심스러운 명령줄 감지 중간
VM.Windows_DisablingAndDeletingIISLogFiles IIS 로그 파일 비활성화 및 삭제를 나타내는 작업이 감지됨 중간
VM.Windows_DownloadUsingCertutil Certutil을 사용한 의심스러운 다운로드가 감지됨 중간
VM.Windows_EchoOverPipeOnLocalhost 의심스러운 명명된 파이프 통신이 감지됨 높음
VM.Windows_EchoToConstructPowerShellScript 동적 PowerShell 스크립트 생성 중간
VM.Windows_ExecutableDecodedUsingCertutil 기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨 중간
VM.Windows_FileDeletionIsSospisiousLocation 의심스러운 파일 삭제가 감지됨 중간
VM.Windows_KerberosGoldenTicketAttack 의심스러운 Kerberos Golden Ticket 공격 매개 변수가 관찰됨 중간
VM.Windows_KeygenToolKnownProcessName keygen 실행 파일 의심스러운 프로세스가 실행될 수 있는 실행이 감지됨 중간
VM.Windows_KnownSuspiciousPowerShellScript PowerShell의 의심스러운 사용이 감지됨 높음
VM.Windows_KnownSuspiciousSoftwareInstallation 고위험 소프트웨어가 감지됨 중간
VM.Windows_MsHtaAndPowerShellCombination HTA와 PowerShell의 의심스러운 조합이 감지됨 중간
VM.Windows_MultipleAccountsQuery 여러 도메인 계정이 쿼리됨 중간
VM.Windows_NewAccountCreation 계정 생성이 검색됨 정보 제공
VM.Windows_ObfuscatedCommandLine 난독 제거된 명령줄이 검색되었습니다. 높음
VM.Windows_PcaluaUseToLaunchExecutable 실행 파일 코드를 시작하는 데 Pcalua.exe에 대한 의심스러운 사용이 감지됨 중간
VM.Windows_PetyaRansomware 검색된 Petya 랜섬웨어 표시기 높음
VM.Windows_PowerShellPowerSploitScriptExecution 의심스러운 PowerShell cmdlet이 실행됨 중간
VM.Windows_RansomwareIndication 랜섬웨어 지표가 감지됨 높음
VM.Windows_SqlDumperUsedSuspiciously 자격 증명 덤프가 감지되었을 수 있음[여러 번 발생함] 중간
VM.Windows_StopCriticalServices 중요한 서비스의 비활성화가 감지됨 중간
VM.Windows_SubvertingAccessibilityBinary 고정 키 공격이 감지됨
의심스러운 계정 생성이 중간으로 감지됨
VM.Windows_SuspiciousFirewallRuleAdded 의심스러운 새 방화벽 규칙이 감지됨 중간
VM.Windows_SuspiciousFTPSSwitchUsage FTP 스위치의 의심스러운 사용이 감지됨 중간
VM.Windows_SuspiciousSQLActivity 의심스러운 SQL 활동 중간
VM.Windows_SVCHostFromInvalidPath 의심스러운 프로세스 실행 높음
VM.Windows_SystemEventLogCleared Windows 보안 로그가 지워진 경우 정보 제공
VM.Windows_TelegramInstallation 잠재적으로 의심스러운 Telegram 도구를 사용하는 것으로 감지됨 중간
VM.Windows_UndercoverProcess 의심스러운 명명된 프로세스가 감지됨 높음
VM.Windows_UserAccountControlBypass UAC를 우회하는 데 남용될 수 있는 레지스트리 키에 대한 변경이 감지됨 중간
VM.Windows_VBScriptEncoding VBScript.Encode 명령의 의심스러운 실행이 감지됨 중간
VM.Windows_WindowPositionRegisteryChange 의심스러운 WindowPosition 레지스트리 값이 감지됨 낮음
VM.Windows_ZincPortOpenningUsingFirewallRule ZINC 서버 임플란트에서 만든 악성 방화벽 규칙 높음
VM_DigitalCurrencyMining 디지털 통화 마이닝 관련 동작이 감지됨 높음
VM_MaliciousSQLActivity 악성 SQL 활동 높음
VM_ProcessWithDoubleExtensionExecution 의심스러운 이중 확장 파일이 실행됨 높음
VM_RegistryPersistencyKey Windows 레지스트리 지속성 메서드가 감지됨: 낮음
VM_ShadowCopyDeletion 의심스러운 볼륨 섀도 복사본 작업
의심스러운 위치에서 실행 중인 실행 파일이 있음
높음
VM_SuspectExecutablePath 의심스러운 위치에서 실행 중인 실행 파일이 있음
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨
정보 제공

중간
VM_SuspectPhp 의심스러운 PHP 실행이 감지됨 중간
VM_SuspiciousCommandLineExecution 의심스러운 명령 실행 높음
VM_SuspiciousScreenSaverExecution 의심스러운 화면 보호기 프로세스가 실행됨 중간
VM_SvcHostRunInRareServiceGroup 드문 SVCHOST 서비스 그룹이 실행됨 정보 제공
VM_SystemProcessInAbnormalContext 의심스러운 시스템 프로세스가 실행됨 중간
VM_ThreatIntelCommandLineSuspectDomain 악의적인 위치에 대한 가능한 연결이 검색되었습니다. 중간
VM_ThreatIntelSuspectLogon 악의적인 IP의 로그온이 검색되었습니다. 높음
VM_VbScriptHttpObjectAllocation VBScript HTTP 개체 할당이 감지됨 높음

다음 단계

클라우드용 Microsoft Defender 보안 경고에 대한 자세한 내용은 다음을 참조하세요.