보안 경고 - 참조 가이드
이 문서에는 클라우드용 Microsoft Defender에서 가져올 수 있는 보안 경고와 사용자가 사용하도록 설정한 모든 Microsoft Defender 계획이 나열되어 있습니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
이 페이지의 하단에는 MITRE ATT&CK 행렬의 버전 9와 일치하는 클라우드용 Microsoft Defender 킬 체인을 설명하는 테이블이 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Windows 컴퓨터에 대한 경고
서버용 Microsoft Defender 플랜 2는 엔드포인트용 Microsoft Defender에서 제공하는 기능 외에도 고유한 검색 및 경고를 제공합니다. Windows 머신에 대해 제공되는 경고는 다음과 같습니다.
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 악성 IP에서 로그온이 감지되었습니다. [여러 번 발생함] | [account] 계정 및 [process] 프로세스에 대해 원격 인증이 완료되었지만 로그온 IP 주소(x.x.x.x)가 이전에 악성이거나 매우 이례적인 것으로 보고되었습니다. 성공적인 공격이 발생했을 수 있습니다. .scr 확장이 있는 파일은 화면 보호기 파일이며 일반적으로 Windows 시스템 디렉터리에서 상주하고 실행됩니다. | - | 높음 |
| 로컬 관리자 그룹에 게스트 계정 추가 | 호스트 데이터를 분석한 결과 공격자 활동과 강력하게 연관된 %{Compromised Host}의 로컬 관리istrators 그룹에 기본 제공 게스트 계정이 추가된 것을 발견했습니다. | - | 중간 |
| 이벤트 로그가 지워졌습니다. | 컴퓨터 로그는 사용자별 의심스러운 이벤트 로그 지우기 작업을 나타냅니다. 컴퓨터의 '%{user name}' : '%{CompromisedEntity}'. %{log channel} 로그가 지워졌습니다. | - | Informational |
| 맬웨어 방지 작업 실패 | Microsoft 맬웨어 방지 프로그램은 맬웨어 또는 기타 잠재적으로 원치 않는 소프트웨어에 대한 작업을 수행할 때 오류가 발생했습니다. | - | 중간 |
| 맬웨어 방지 작업 수행됨 | Azure용 Microsoft 맬웨어 방지 프로그램은 맬웨어 또는 기타 잠재적으로 원치 않는 소프트웨어로부터 이 컴퓨터를 보호하기 위한 조치를 취했습니다. | - | 중간 |
| 가상 머신에서 맬웨어 방지 광범위한 파일 제외 (VM_AmBroadFilesExclusion) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
- | 중간 |
| 가상 머신에서 맬웨어 방지 비활성화 및 코드 실행 (VM_AmDisablementAndCodeExecution) |
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다. |
- | 높음 |
| 가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨 (VM_AmDisablement) |
가상 머신에서 맬웨어 방지 기능을 사용하지 않도록 설정합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행 (VM_AmFileExclusionAndCodeExecution) |
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피, 실행 | 높음 |
| 가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행 (VM_AmTempFileExclusionAndCodeExecution) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피, 실행 | 높음 |
| 가상 머신에서 맬웨어 방지 파일 제외 (VM_AmTempFileExclusion) |
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨 (VM_AmRealtimeProtectionDisabled) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 실시간 보호가 일시적으로 사용하지 않도록 설정됨 (VM_AmTempRealtimeProtectionDisablement) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 코드를 실행하는 동안 맬웨어 방지 실시간 보호가 일시적으로 비활성화되었습니다. (VM_AmRealtimeProtectionDisablementAndCodeExec) |
사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화는 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
- | 높음 |
| 가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 차단된 맬웨어 방지 검사(미리 보기) (VM_AmMalwareCampaignRelatedExclusion) |
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 가상 머신에서 제외 규칙이 검색되었습니다. 구독에서 Azure Resource Manager 작업을 분석하여 규칙이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. | 방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨 (VM_AmTemporarilyDisablement) |
가상 머신에서 일시적으로 사용하지 않도록 설정된 맬웨어 방지. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다. |
- | 중간 |
| 가상 머신에서 맬웨어 방지 비정상적인 파일 제외 (VM_UnusualAmFileExclusion) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피 | 중간 |
| 위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신 (AzureDNS_ThreatIntelSuspectDo기본) |
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악의적인 do기본와 비교하여 의심스러운 do기본와의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. | 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 | 중간 |
| IIS 로그 파일 비활성화 및 삭제를 나타내는 검색된 작업 | 호스트 데이터를 분석한 결과, IIS 로그 파일이 비활성화 및/또는 삭제되었음을 보여주는 작업이 감지되었습니다. | - | 중간 |
| 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있지만 손상된 호스트에서 관리 작업을 수행할 때 대/소문자 구분 또는 해시 기반 규칙 일치를 숨기려는 공격자의 전형이기도 합니다. | - | 중간 |
| UAC를 우회하기 위해 악용될 수 있는 레지스트리 키에 대한 변경 내용이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석 결과, UAC(사용자 계정 컨트롤)를 우회하기 위해 남용될 수 있는 레지스트리 키가 변경되었음을 감지했습니다. 이러한 종류의 구성은 무해할 수 있으며, 손상된 호스트에서 권한 없는(표준 사용자) 액세스에서 권한 있는(예: 관리자) 액세스로 전환하려고 할 때 일반적인 공격자 활동이기도 합니다. | - | 중간 |
| 기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 실행 파일을 디코딩하는 데 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다. | - | 높음 |
| WDigest UseLogonCredential 레지스트리 키 사용이 검색됨 | 호스트 데이터를 분석한 결과, 레지스트리 키 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ “UseLogonCredential”의 변경이 감지되었습니다. 특히 이 키는 로그온 자격 증명을 LSA 메모리의 일반 텍스트에 저장할 수 있도록 업데이트되었습니다. 사용하도록 설정하면 공격자는 Mimikatz와 같은 자격 증명 수집 도구를 사용하여 LSA 메모리에서 지우기 텍스트 암호를 덤프할 수 있습니다. | - | 중간 |
| 명령줄 데이터에서 인코딩된 실행 파일이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 base-64로 인코딩된 실행 파일이 검색되었습니다. 이는 이전에 일련의 명령을 통해 실행 파일을 즉석에서 생성하려고 시도하는 공격자와 연결되었으며, 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 회피하려고 시도했습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. | - | 높음 |
| 난독 제거된 명령줄이 검색됨 | 공격자가 점점 더 복잡한 난독 처리 기술을 사용하여 기본 데이터에 대해 실행되는 감지를 피합니다. %{Compromised Host}에서 호스트 데이터를 분석한 후 명령줄에서 의심스러운 난독 처리 표시기가 검색되었습니다. | - | Informational |
| keygen 실행 파일의 가능한 실행이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 keygen 도구를 나타내는 프로세스의 실행이 감지되었습니다. 이러한 도구는 일반적으로 소프트웨어 라이선싱 메커니즘을 무효화하는 데 사용되지만 다운로드는 종종 다른 악성 소프트웨어와 함께 제공됩니다. 활동 그룹 GOLD는 이러한 keygen을 사용하여 손상시키는 호스트에 대한 백도어 액세스 권한을 은밀하게 얻는 것으로 알려져 있습니다. | - | 중간 |
| 맬웨어 삭제기의 가능한 실행이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 대상 호스트에 맬웨어를 설치하는 활동 그룹 GOLD의 방법 중 하나와 관련된 파일 이름이 감지되었습니다. | - | 높음 |
| 가능한 로컬 정찰 활동이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 이전에 활동 그룹 GOLD의 정찰 활동 수행 방법 중 하나와 연결된 systeminfo 명령의 조합이 검색되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속으로 실행하는 경우는 드뭅니다. | - | 낮음 |
| 잠재적으로 의심스러운 Telegram 도구 사용이 감지됨 | 호스트 데이터를 분석한 결과, Telegram이 설치된 것으로 나타납니다. Telegram은 모바일 및 데스크톱 시스템 모두에 존재하는 무료 클라우드 기반 인스턴트 메시징 서비스입니다. 공격자는 악의적인 이진 파일을 다른 컴퓨터, 휴대폰 또는 태블릿으로 전송하기 위해 이 서비스를 남용하는 것으로 알려져 있습니다. | - | 중간 |
| 로그온 시 사용자에게 표시되는 법적 고지 표시 안 함이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로그온할 때 법적 고지가 표시되는지 여부를 제어하는 레지스트리 키가 변경된 것을 감지했습니다. Microsoft 보안 분석에 따르면 이는 호스트를 손상시킨 후 공격자가 수행하는 일반적인 활동입니다. | - | 낮음 |
| HTA 및 PowerShell의 의심스러운 조합이 검색됨 | 공격자가 악의적인 PowerShell 명령을 시작하기 위해 서명된 Microsoft 이진 파일인 mshta.exe(Microsoft HTML 애플리케이션 호스트)를 사용하고 있습니다. 공격자는 종종 인라인 VBScript가 있는 HTA 파일을 사용합니다. 피해자가 HTA 파일을 찾아 실행하도록 선택하면 포함된 PowerShell 명령 및 스크립트가 실행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, PowerShell 명령을 실행하는 mshta.exe가 감지되었습니다. | - | 중간 |
| 의심스러운 명령줄 인수가 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 HYDROGEN이 사용하는 역순 셸과 함께 사용된 의심스러운 명령줄 인수를 감지했습니다. | - | 높음 |
| 디렉터리에서 모든 실행 파일을 시작하는 데 사용되는 의심스러운 명령줄이 검색됨 | 호스트 데이터를 분석한 결과 %{Compromised Host}에서 실행 중인 의심스러운 프로세스가 감지되었습니다. 이 명령줄은 디렉터리에 있을 수 있는 모든 실행 파일(*.exe)을 시작하려고 시도함을 나타냅니다. 이는 손상된 호스트의 표시일 수 있습니다. | - | 중간 |
| 명령줄에서 의심스러운 자격 증명이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 활동 그룹 BORON에서 파일을 실행하는 데 의심스러운 암호가 사용되는 것을 발견했습니다. 이 활동 그룹은 이 암호를 사용하여 피해자 호스트에서 Pirpi 맬웨어를 실행하는 것으로 알려져 있습니다. | - | 높음 |
| 의심스러운 문서 자격 증명이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 맬웨어가 파일을 실행하는 데 사용되는 의심스러운 일반적인 사전 계산 암호 해시가 검색되었습니다. 활동 그룹 HYDROGEN는 이 암호를 사용하여 피해자 호스트에서 맬웨어를 실행하는 것으로 알려져 있습니다. | - | 높음 |
| VBScript.Encode 명령의 의심스러운 실행이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, VBScript.Encode 명령이 실행된 것으로 감지되었습니다. 이렇게 하면 스크립트를 읽을 수 없는 텍스트로 인코딩하므로 사용자가 코드를 검사하기가 더 어려워집니다. Microsoft 위협 연구에 따르면 공격자는 감지 시스템을 피하기 위해 공격의 일부로 인코딩된 VBscript 파일을 사용하는 경우가 많습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. | - | 중간 |
| rundll32.exe를 통해 의심스러운 실행이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 rundll32.exe가 손상된 호스트에 첫 번째 단계 임플란트를 설치할 때 이전에 활동 그룹 GOLD에서 사용한 프로세스 명명 체계와 일치하는 일반적이지 않은 이름으로 프로세스를 실행하는 데 사용되는 것으로 확인되었습니다. | - | 높음 |
| 의심스러운 파일 클린up 명령이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 손상 후 자체 정리 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 관련된 systeminfo 명령 조합이 감지되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 두 번 연속으로 실행한 다음 여기에서 발생한 방식으로 삭제 명령을 실행하는 경우는 드뭅니다. | - | 높음 |
| 의심스러운 파일 생성이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 BARIUM이 피해자 호스트에 대해 수행한 손상 후 작업을 이전에 표시한 프로세스의 생성 또는 실행이 감지되었습니다. 이 활동 그룹은 피싱 문서의 첨부 파일이 열린 후 손상된 호스트에 더 많은 맬웨어를 다운로드하기 위해 이 기술을 사용하는 것으로 알려져 있습니다. | - | 높음 |
| 의심스러운 명명된 파이프 통신이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 Windows 콘솔 명령에서 로컬 명명된 파이프에 데이터가 기록되는 것을 감지했습니다. 명명된 파이프는 공격자가 악의적인 임플란트를 작업하고 통신하는 데 사용하는 채널로 알려져 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. | - | 높음 |
| 의심스러운 네트워크 활동이 검색됨 | %{Compromised Host}에서 네트워크 트래픽을 분석한 결과 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 무해할 수 있지만 일반적으로 공격자가 도구 다운로드, 명령 및 제어 및 데이터 반출을 위해 악성 서버와 통신하는 데 사용됩니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. | - | 낮음 |
| 의심스러운 새 방화벽 규칙이 검색됨 | 호스트 데이터를 분석한 결과, netsh.exe를 통해 의심스러운 위치에 있는 실행 파일에서 보내는 트래픽을 허용하도록 새 방화벽 규칙이 추가되었습니다. | - | 중간 |
| 시스템의 보안 상태를 낮추기 위해 Cacls의 의심스러운 사용이 감지됨 | 공격자는 무차별 암호 대입, 스피어 피싱 등과 같은 무수한 방법을 사용하여 초기 타협을 달성하고 네트워크에서 발판을 마련합니다. 초기 손상이 달성되면 시스템의 보안 설정을 낮추는 단계를 수행하는 경우가 많습니다. Cacls - 변경 액세스 제어 목록의 약식은 폴더 및 파일에 대한 보안 권한을 수정하는 데 자주 사용되는 Microsoft Windows 네이티브 명령줄 유틸리티입니다. 공격자가 시스템의 보안 설정을 낮추기 위해 이진 파일을 사용하는 데 많은 시간이 소요됩니다. 이 작업은 모든 사용자에게 ftp.exe, net.exe, wscript.exe 등과 같은 일부 시스템 이진 파일에 대한 모든 권한을 부여하여 수행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 시스템의 보안을 낮추기 위해 Cacls의 의심스러운 사용이 감지되었습니다. | - | 중간 |
| FTP -s 스위치의 의심스러운 사용이 감지됨 | %{Compromised Host}에서 프로세스 생성 데이터를 분석한 결과가 FTP "-s:filename" 스위치의 사용을 감지했습니다. 이 스위치는 클라이언트가 실행할 FTP 스크립트 파일을 지정하는 데 사용됩니다. 맬웨어 또는 악성 프로세스는 이 FTP 스위치(-s:filename)를 사용하여 원격 FTP 서버에 연결하고 더 악의적인 이진 파일을 다운로드하도록 구성된 스크립트 파일을 가리키는 것으로 알려져 있습니다. | - | 중간 |
| 실행 코드를 시작하는 데 Pcalua.exe의 의심스러운 사용이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 실행 파일 코드를 시작하는 데 pcalua.exe가 사용된 것으로 감지되었습니다. Pcalua.exe는 프로그램을 설치하거나 실행하는 동안 호환성 문제를 감지하는 Microsoft Windows "프로그램 호환성 도우미"의 구성 요소입니다. 공격자는 합법적인 Windows 시스템 도구의 기능을 남용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 pcalua.exe와 함께 -a 스위치를 사용하여 로컬 또는 원격 공유에서 악성 실행 파일을 시작합니다. | - | 중간 |
| 중요한 서비스의 사용 안 됨이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과는 SharedAccess 또는 Windows 보안 앱과 같은 중요한 서비스를 중지하는 데 사용되는 “net.exe stop” 명령의 실행을 감지했습니다. 이러한 서비스 중 하나가 중지되면 악의적인 동작이 표시될 수 있습니다. | - | 중간 |
| 디지털 통화 마이닝 관련 동작이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 감지되었습니다. | - | 높음 |
| 동적 PS 스크립트 생성 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 동적으로 생성되는 PowerShell 스크립트가 감지되었습니다. 공격자는 때때로 ID 시스템을 피하기 위해 점진적으로 스크립트를 생성하는 이 방식을 사용합니다. 이는 합법적인 활동이거나 컴퓨터 중 하나가 손상되었음을 나타낼 수 있습니다. | - | 중간 |
| 의심스러운 위치에서 실행 중인 실행 파일 | 호스트 데이터를 분석한 결과, 의심스러운 알려진 파일과 공통된 위치에서 실행 중인 %{Compromised Host}에서 실행 파일이 감지되었습니다. 이 실행 파일은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. | - | 높음 |
| 파일리스 공격 동작이 감지됨 (VM_FilelessAttackBehavior.Windows) |
지정된 프로세스의 메모리에는 파일리스 공격에 일반적으로 사용되는 동작이 포함됩니다. 구체적인 동작은 다음과 같습니다. 1) Shellcode는 일반적으로 소프트웨어 취약성 악용에 페이로드로 사용되는 코드의 작은 조각입니다. 2) 활성 네트워크 연결. 자세한 내용은 아래의 NetworkConnections를 참조하세요. 3) 보안에 중요한 운영 체제 인터페이스를 호출하는 함수입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요. 4) 동적으로 할당된 코드 세그먼트에서 시작된 스레드를 포함합니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다. |
방어 회피 | 낮음 |
| 파일리스 공격 기법이 검색됨 (VM_FilelessAttackTechnique.Windows) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 보안 소프트웨어에서 탐지를 회피하는 동안 공격자가 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다. 1) Shellcode는 일반적으로 소프트웨어 취약성 악용에 페이로드로 사용되는 코드의 작은 조각입니다. 2) 코드 삽입 공격과 같이 프로세스에 삽입된 실행 파일 이미지입니다. 3) 활성 네트워크 연결. 자세한 내용은 아래의 NetworkConnections를 참조하세요. 4) 보안에 중요한 운영 체제 인터페이스를 호출하는 함수입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요. 5) 프로세스 중공, 적대적 코드에 대한 컨테이너 역할을하는 시스템에 합법적 인 프로세스가 로드되는 악성 코드에 의해 사용되는 기술이다. 6) 동적으로 할당된 코드 세그먼트에서 시작된 스레드를 포함합니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다. |
방어 회피, 실행 | 높음 |
| 파일리스 공격 도구 키트가 검색됨 (VM_FilelessAttackToolkit.Windows) |
지정된 프로세스의 메모리에는 파일리스 공격 도구 키트 [도구 키트 이름]이 포함됩니다. 파일리스 공격 도구 키트는 디스크에서 맬웨어의 추적을 최소화하거나 제거하는 기술을 사용하며 디스크 기반 맬웨어 검색 솔루션에서 검색 가능성을 크게 줄입니다. 구체적인 동작은 다음과 같습니다. 1) 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어. 2) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다. 3) 프로세스 메모리에 악성 실행 파일을 삽입했습니다. |
방어 회피, 실행 | 중간 |
| 위험 수준이 높은 소프트웨어가 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 후 과거에 맬웨어 설치와 관련된 소프트웨어의 사용이 감지되었습니다. 악성 소프트웨어 배포에 사용되는 일반적인 기술은 이 경고에서 볼 수 있는 것과 같이 무해한 다른 도구로 패키지화하는 것입니다. 이러한 도구를 사용하면 백그라운드에서 맬웨어를 자동으로 설치할 수 있습니다. | - | 중간 |
| 로컬 관리자 그룹 구성원이 열거됨 | 머신 로그에 %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹에 대한 성공적인 열거가 나타납니다. 특히 %{Enumerating User Domain Name}%{Enumerating User Name}은(는) %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹의 구성원을 원격으로 열거했습니다. 이 활동은 합법적인 활동이거나 조직의 컴퓨터가 손상되어 %{vmname}을(를) 정찰하는 데 사용되었다는 표시일 수 있습니다. | - | Informational |
| ZINC 서버 임플란트에서 만든 악의적인 방화벽 규칙[여러 번 확인됨] | 알려진 행위자 ZINC와 일치하는 기술을 사용하여 방화벽 규칙을 만들었습니다. 이 규칙은 명령 & 제어 통신을 허용하기 위해 %{Compromised Host}에서 포트를 여는 데 사용될 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 높음 |
| 악의적인 SQL 활동 | 컴퓨터 로그는 계정 %{사용자 이름}에서 '%{process name}'이(가) 실행되었음을 나타냅니다. 이 활동은 악의적인 것으로 간주됩니다. | - | 높음 |
| 쿼리된 여러 Do기본 계정 | 호스트 데이터를 분석한 결과 %{Compromised Host}에서 짧은 기간 내에 비정상적인 수의 고유 할 일기본 계정이 쿼리되고 있는 것으로 확인되었습니다. 이러한 종류의 활동은 합법적일 수 있지만 손상의 표시일 수도 있습니다. | - | 중간 |
| 가능한 자격 증명 덤프가 검색됨[여러 번 확인됨] | 호스트 데이터를 분석한 결과 메모리에서 자격 증명을 추출할 수 있는 방식으로 사용되는 네이티브 Windows 도구(예: sqldumper.exe)의 사용이 감지되었습니다. 공격자는 종종 이러한 기술을 사용하여 자격 증명을 추출한 다음, 횡적 이동 및 권한 상승에 추가로 사용합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| AppLocker를 바이패스하려는 잠재적 시도가 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 AppLocker 제한을 우회하려는 시도가 감지되었습니다. AppLocker는 Windows 시스템에서 실행할 수 있는 실행 파일을 제한하는 정책을 구현하도록 구성할 수 있습니다. 이 경고에서 식별된 것과 유사한 명령줄 패턴은 이전에 신뢰할 수 있는 실행 파일(AppLocker 정책에서 허용됨)을 사용하여 신뢰할 수 없는 코드를 실행하여 AppLocker 정책을 우회하려는 공격자 시도와 연결되었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. | - | 높음 |
| PsExec 실행이 검색됨 (VM_RunByPsExec) |
호스트 데이터를 분석하면 프로세스 %{Process Name}이(가) PsExec 유틸리티에 의해 실행되었음을 나타냅니다. PsExec는 프로세스를 원격으로 실행하는 데 사용할 수 있습니다. 이 기술은 악의적인 용도로 사용될 수 있습니다. | 횡적 이동, 실행 | Informational |
| 실행된 희귀 SVCHOST 서비스 그룹 (VM_SvcHostRunInRareServiceGroup) |
시스템 프로세스 SVCHOST는 드문 서비스 그룹을 실행하는 것으로 관찰되었습니다. 맬웨어는 종종 SVCHOST를 사용하여 악의적인 활동을 가장합니다. | 방어 회피, 실행 | Informational |
| 고정 키 공격이 감지됨 | 호스트 데이터를 분석한 결과, 공격자가 %{Compromised Host} 호스트에게 백도어 액세스를 제공하기 위해 접근성 이진(예: 고정 키, 화면 키보드, 내레이터)을 와해시키는 것으로 나타납니다. | - | 중간 |
| 무차별 암호 대입 공격 성공 (VM_LoginBruteForceSuccess) |
동일한 원본에서 여러 로그인 시도가 감지되었습니다. 일부는 호스트에 성공적으로 인증되었습니다. 이는 공격자가 유효한 계정 자격 증명을 찾기 위해 수많은 인증 시도를 수행하는 버스트 공격과 유사합니다. |
악용 | 보통/높음 |
| RDP 하이재킹을 암시하는 의심스러운 무결성 수준 | 호스트 데이터를 분석한 결과 SYSTEM 권한으로 실행되는 tscon.exe가 감지되었습니다. 이는 컨텍스트를 이 호스트에서 로그온한 다른 사용자로 전환하기 위해 공격자가 이 이진 파일을 남용했음을 나타낼 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 알려진 공격자 기술입니다. | - | 중간 |
| 의심 서비스 설치 | 호스트 데이터를 분석하면 tscon.exe가 서비스로 설치되는 것을 감지했습니다. 이 이진 파일이 서비스로 시작되면 공격자가 RDP 연결을 하이재킹하여 이 호스트에서 로그온한 다른 사용자로 간단하게 전환할 수 있습니다. 더 많은 사용자 계정을 손상시키고 네트워크를 통해 횡적으로 이동하는 알려진 공격자 기술입니다. | - | 중간 |
| 의심되는 Kerberos 골든 티켓 공격 매개 변수 관찰됨 | 호스트 데이터를 분석한 결과, Kerberos Golden Ticket 공격과 일치하는 명령줄 매개 변수가 감지되었습니다. | - | 중간 |
| 의심스러운 계정 생성이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 로컬 계정 %{의심스러운 계정 이름}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{유사 계정 이름}'과 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. | - | 중간 |
| 의심스러운 활동이 감지됨 (VM_SuspiciousActivity) |
호스트 데이터를 분석한 결과 지금까지 악의적인 활동과 연결된 %{machine name}에서 실행되는 하나 이상의 프로세스 시퀀스가 검색되었습니다. 개별 명령이 무해해 보일 수 있지만 경고는 이러한 명령의 집계에 따라 점수가 매겨집니다. 이는 합법적인 활동이거나 손상된 호스트의 표시일 수 있습니다. | 실행 | 중간 |
| 의심스러운 인증 활동 (VM_LoginBruteForceValidUserFailed) |
그 중 어느 것도 성공하지 못했지만, 그 중 일부는 호스트에서 사용한 계정을 인식했습니다. 이는 공격자가 호스트에 액세스할 유효한 자격 증명을 찾기 위해 미리 정의된 계정 이름 및 암호 사전을 사용하여 수많은 인증 시도를 수행하는 사전 공격과 유사합니다. 이는 일부 호스트 계정 이름이 잘 알려진 계정 이름 사전에 존재할 수도 있음을 나타냅니다. | 검색 | 중간 |
| 의심스러운 코드 세그먼트가 감지됨 | 코드 세그먼트가 반사형 삽입 및 프로세스 비우기에 사용되는 등 비표준 메서드를 사용하여 할당되는 것을 나타냅니다. 경고는 보고된 코드 세그먼트의 기능 및 동작에 대한 컨텍스트를 제공하기 위해 처리된 코드 세그먼트의 더 많은 특성을 제공합니다. | - | 중간 |
| 의심스러운 이중 확장 파일이 실행됨 | 호스트 데이터를 분석한 결과, 의심스러운 이중 확장으로 프로세스를 실행한 것으로 나타납니다. 이 확장은 파일을 열어도 안전하다고 생각하도록 사용자를 속일 수 있으며 시스템에 맬웨어가 있음을 나타낼 수 있습니다. | - | 높음 |
| Certutil을 사용한 의심스러운 다운로드가 감지됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| Certutil을 사용한 의심스러운 다운로드가 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. | - | 중간 |
| 의심스러운 PowerShell 활동이 감지됨 | 호스트 데이터를 분석한 결과 알려진 의심스러운 스크립트와 공통된 기능이 있는 %{Compromised Host}에서 실행되는 PowerShell 스크립트가 검색되었습니다. 이 스크립트는 합법적인 활동이거나 손상된 호스트의 표시일 수 있습니다. | - | 높음 |
| 의심스러운 PowerShell cmdlet이 실행됨 | 호스트 데이터를 분석하는 것은 알려진 악성 PowerShell PowerSploit cmdlet의 실행을 나타냅니다. | - | 중간 |
| 의심스러운 프로세스 실행 [여러 번 확인됨] | 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 높음 |
| 의심스러운 프로세스가 실행됨 | 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. | - | 높음 |
| 의심스러운 프로세스 이름이 검색됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 의심스러운 프로세스(예: 알려진 공격자 도구에 해당하거나 일반 시야에서 숨기려는 공격자 도구를 암시하는 방식으로 명명된 프로세스)가 검색되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| 의심스러운 프로세스 이름이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 의심스러운 프로세스(예: 알려진 공격자 도구에 해당하거나 일반 시야에서 숨기려는 공격자 도구를 암시하는 방식으로 명명된 프로세스)가 검색되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. | - | 중간 |
| 의심스러운 프로세스 종료 버스트가 감지됨 (VM_TaskkillBurst) |
호스트 데이터를 분석한 결과, %{Machine Name}에서 의심스러운 프로세스 종료가 버스트된 것으로 나타납니다. 특히 %{NumberOfCommands} 프로세스는 %{Begin}에서 %{Ending} 사이에 종료되었습니다. | 방어 회피 | 낮음 |
| 의심스러운 SQL 활동 | 컴퓨터 로그는 계정 %{사용자 이름}에서 '%{process name}'이(가) 실행되었음을 나타냅니다. 이 활동은 이 계정에서 일반적이지 않습니다. | - | 중간 |
| 의심스러운 SVCHOST 프로세스가 실행됨 | 시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 종종 SVCHOST를 사용하여 악의적인 활동을 가장합니다. | - | 높음 |
| 의심스러운 시스템 프로세스가 실행됨 (VM_SystemProcessInAbnormalContext) |
시스템 프로세스 %{process name}이(가) 비정상적인 컨텍스트에서 실행되는 것으로 확인되었습니다. 맬웨어는 이 프로세스 이름을 사용하여 악의적인 활동을 위장하는 경우가 많습니다. | 방어 회피, 실행 | 높음 |
| 의심스러운 볼륨 섀도 복사 작업 | 호스트 데이터 분석에서 리소스에 대한 섀도 복사본 삭제 작업을 탐지했습니다. VSC(볼륨 섀도 복사본)는 데이터 스냅샷을 저장하는 중요한 아티팩트입니다. 일부 맬웨어 및 특정 랜섬웨어는 VSC를 대상으로 지정하여 백업 전략을 파괴합니다. | - | 높음 |
| 의심스러운 WindowPosition 레지스트리 값이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 데스크톱의 보이지 않는 섹션에서 애플리케이션 창을 숨길 수 있는 WindowPosition 레지스트리 구성 변경 시도가 감지되었습니다. 이는 합법적인 활동이거나 손상된 머신의 표시일 수 있습니다. 이 유형의 활동은 이전에 Win32/OneSystemCare 및 Win32/SystemHealer 및 Win32/Creprote와 같은 맬웨어와 같은 알려진 광고웨어(또는 원치 않는 소프트웨어)와 연결되었습니다. WindowPosition 값이 201329664 설정되면(16진수: X-축=0c00 및 Y-축=0c00에 해당하는 16진수: 0c00 0x0c00) 표시되는 시작 메뉴/작업 표시줄 아래 보기에서 숨겨진 영역에 있는 사용자 화면의 보이지 않는 섹션에 콘솔 앱의 창이 배치됩니다. 알려진 용의자 16진수 값에는 c000c000이 포함되지만 제한되지는 않습니다. | - | 낮음 |
| 의심스러운 명명된 프로세스가 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 이름이 매우 유사하지만 매우 일반적으로 실행되는 프로세스(%{프로세스 이름과 유사)와 다른 프로세스가 검색되었습니다. 이 프로세스는 무해할 수 있지만 악의적인 도구의 이름을 합법적인 프로세스 이름과 비슷하게 지정하여 공격자가 눈에 잘 띄지 않게 숨기는 것으로 알려져 있습니다. | - | 중간 |
| 가상 머신에서 비정상적인 구성이 재설정됨 (VM_VMAccessUnusualConfigReset) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 구성 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| 비정상적인 프로세스 실행이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, %{User Name}이(가) 비정상적인 프로세스를 실행한 것으로 감지됩니다. %{User Name}과(와) 같은 계정은 제한된 일련의 작업을 수행하는 경향이 있습니다. 이 실행은 문자가 아닌 것으로 판단되어 의심스러울 수 있습니다. | - | 높음 |
| 가상 머신에서 비정상적인 사용자 암호 재설정 (VM_VMAccessUnusualPasswordReset) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 다시 설정하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| 가상 머신에서 비정상적인 사용자 SSH 키 재설정됨 (VM_VMAccessUnusualSSHReset) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 다시 설정하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| VBScript HTTP 개체 할당이 검색됨 | 명령 프롬프트를 사용하여 VBScript 파일을 생성한 것이 감지되었습니다. 다음 스크립트에는 HTTP 개체 할당 명령이 포함되어 있습니다. 이 작업은 악성 파일을 다운로드하는 데 사용할 수 있습니다. | ||
| 가상 머신에서 GPU 확장의 의심스러운 설치(미리 보기) (VM_GPUDriverExtensionUnusualExecution) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. | 영향 | 낮음 |
Linux 머신에 대한 경고
서버용 Microsoft Defender 플랜 2는 엔드포인트용 Microsoft Defender에서 제공하는 기능 외에도 고유한 검색 및 경고를 제공합니다. Linux 머신에 대해 제공되는 경고는 다음과 같습니다.
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 기록 파일이 지워짐 | 호스트 데이터를 분석하면 명령 기록 로그 파일이 지워졌음이 표시됩니다. 공격자는 추적을 숨기기 위해 이 작업을 수행할 수 있습니다. 사용자가 '%{user name}'을(를) 수행했습니다. | - | 중간 |
| 가상 머신에서 맬웨어 방지 광범위한 파일 제외 (VM_AmBroadFilesExclusion) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
- | 중간 |
| 가상 머신에서 맬웨어 방지 비활성화 및 코드 실행 (VM_AmDisablementAndCodeExecution) |
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다. |
- | 높음 |
| 가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨 (VM_AmDisablement) |
가상 머신에서 맬웨어 방지 기능을 사용하지 않도록 설정합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행 (VM_AmFileExclusionAndCodeExecution) |
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피, 실행 | 높음 |
| 가상 머신에서 맬웨어 방지 파일 제외 및 코드 실행 (VM_AmTempFileExclusionAndCodeExecution) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피, 실행 | 높음 |
| 가상 머신에서 맬웨어 방지 파일 제외 (VM_AmTempFileExclusion) |
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨 (VM_AmRealtimeProtectionDisabled) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 실시간 보호가 일시적으로 사용하지 않도록 설정됨 (VM_AmTempRealtimeProtectionDisablement) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
방어 회피 | 중간 |
| 가상 머신에서 코드를 실행하는 동안 맬웨어 방지 실시간 보호가 일시적으로 비활성화되었습니다. (VM_AmRealtimeProtectionDisablementAndCodeExec) |
사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화는 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다. |
- | 높음 |
| 가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 차단된 맬웨어 방지 검사(미리 보기) (VM_AmMalwareCampaignRelatedExclusion) |
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 가상 머신에서 제외 규칙이 검색되었습니다. 구독에서 Azure Resource Manager 작업을 분석하여 규칙이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. | 방어 회피 | 중간 |
| 가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨 (VM_AmTemporarilyDisablement) |
가상 머신에서 일시적으로 사용하지 않도록 설정된 맬웨어 방지. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다. |
- | 중간 |
| 가상 머신에서 맬웨어 방지 비정상적인 파일 제외 (VM_UnusualAmFileExclusion) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다. 공격자는 임의의 코드를 실행하거나 맬웨어로 컴퓨터를 감염시키는 동안 탐지를 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. |
방어 회피 | 중간 |
| 랜섬웨어와 유사한 동작이 감지됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 사용자가 시스템 또는 개인 파일에 액세스하지 못하게 할 수 있는 알려진 랜섬웨어와 유사한 파일의 실행을 감지하고 액세스 권한을 다시 가져오기 위해 몸값 지불을 요구합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 높음 |
| 위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신 (AzureDNS_ThreatIntelSuspectDo기본) |
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악의적인 do기본와 비교하여 의심스러운 do기본와의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. | 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 | 중간 |
| 마이너 이미지가 있는 컨테이너가 감지됨 (VM_MinerInContainerImage) |
컴퓨터 로그는 디지털 통화 마이닝과 연결된 이미지를 실행하는 Docker 컨테이너의 실행을 나타냅니다. | 실행 | 높음 |
| 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있지만 손상된 호스트에서 관리 작업을 수행할 때 대/소문자 구분 또는 해시 기반 규칙 일치를 숨기려는 공격자의 전형이기도 합니다. | - | 중간 |
| 알려진 악성 원본에서 검색된 파일 다운로드 | 호스트 데이터를 분석한 결과 %{Compromised Host}의 알려진 맬웨어 원본에서 파일 다운로드가 감지되었습니다. | - | 중간 |
| 의심스러운 네트워크 활동이 검색됨 | %{Compromised Host}에서 네트워크 트래픽을 분석한 결과 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 무해할 수 있지만 일반적으로 공격자가 도구 다운로드, 명령 및 제어 및 데이터 반출을 위해 악성 서버와 통신하는 데 사용됩니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. | - | 낮음 |
| 디지털 통화 마이닝 관련 동작이 검색됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 감지되었습니다. | - | 높음 |
| 감사된 로깅 사용 안 됨[여러 번 본 경우] | Linux 감사 시스템은 시스템에 대한 보안 관련 정보를 추적하는 방법을 제공합니다. 시스템에서 발생하는 이벤트에 대한 정보를 최대한 많이 기록합니다. 감사된 로깅을 사용하지 않도록 설정하면 시스템에서 사용되는 보안 정책 위반 검색을 방해할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 낮음 |
| Xorg 취약성 악용 [여러 번 발생함] | %{Compromised Host}에서 호스트 데이터를 분석한 후 의심스러운 인수가 있는 Xorg 사용자가 검색되었습니다. 공격자는 권한 상승 시도에서 이 기술을 사용할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| SSH 무차별 암호 대입 공격 실패 (VM_SshBruteForceFailed) |
다음 공격자에서 실패한 무차별 암호 대입 공격이 감지되었습니다. %{Attackers}. 공격자가 다음 사용자 이름으로 호스트에 액세스하려고 했습니다. %{호스트 시도에 실패한 로그인에 사용된 계정}. | 검색 | 중간 |
| 파일리스 공격 동작이 검색됨 (VM_FilelessAttackBehavior.Linux) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} |
실행 | 낮음 |
| 파일리스 공격 기술이 검색됨 (VM_FilelessAttackTechnique.Linux) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 보안 소프트웨어에서 탐지를 회피하는 동안 공격자가 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} |
실행 | 높음 |
| 파일리스 공격 도구 키트가 검색됨 (VM_FilelessAttackToolkit.Linux) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격 도구 키트 {ToolKitName}이 포함되어 있습니다. 파일리스 공격 도구 키트는 일반적으로 파일 시스템에 존재하지 않으므로 기존 바이러스 백신 소프트웨어에서 검색하기가 어렵습니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} |
방어 회피, 실행 | 높음 |
| 숨겨진 파일 실행이 검색됨 | 호스트 데이터를 분석하면 숨겨진 파일이 %{user name}에 의해 실행되었음을 나타냅니다. 이 활동은 합법적인 활동이거나 손상된 호스트의 표시일 수 있습니다. | - | Informational |
| 새 SSH 키가 추가됨[여러 번 볼 수 있습니다] (VM_SshKeyAddition) |
새 SSH 키가 권한 있는 키 파일에 추가되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | 지속성 | 낮음 |
| 새 SSH 키가 추가됨 | 새 SSH 키가 권한 있는 키 파일에 추가되었습니다. | - | 낮음 |
| 가능한 백도어 감지 [여러 번 본] | 호스트 데이터를 분석한 결과 의심스러운 파일이 다운로드된 후 구독의 %{Compromised Host}에서 실행되는 것을 발견했습니다. 이 활동은 이전에 백도어 설치와 연결되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| 메일 서버를 악용할 수 있음이 감지됨 (VM_MailserverExploitation) |
%{Compromised Host}에서 호스트 데이터를 분석한 후 메일 서버 계정에서 비정상적인 실행이 감지됨 | 악용 | 중간 |
| 악성 웹 셸이 검색되었을 수 있음 | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 웹 셸이 감지되었을 수 있습니다. 공격자는 지속성 또는 추가 악용을 위해 손상된 컴퓨터에 웹 셸을 업로드하는 경우가 많습니다. | - | 중간 |
| 암호화 방법을 사용하여 가능한 암호 변경이 감지됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 후 암호화 방법을 사용하여 암호 변경이 감지되었습니다. 공격자는 이 변경을 수행하여 계속 액세스하고 손상 후 지속성을 얻을 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| 디지털 통화 마이닝과 관련된 프로세스가 감지됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스의 실행이 감지되었습니다. 이 동작은 현재 [컴퓨터 이름] 컴퓨터에서 100번 이상 표시되었습니다. | - | 중간 |
| 디지털 통화 마이닝 관련 프로세스가 감지됨 | 호스트 데이터 분석에서 일반적으로 디지털 통화 마이닝과 연결된 프로세스의 실행을 감지했습니다. | 악용, 실행 | 중간 |
| Python 인코딩된 다운로더가 검색됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과 원격 위치에서 코드를 다운로드하고 실행하는 인코딩된 Python의 실행이 감지되었습니다. 악의적인 활동의 표시일 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 낮음 |
| 호스트에서 캡처된 스크린샷[여러 번 발생함] | %{Compromised Host}에서 호스트 데이터를 분석한 결과 화면 캡처 도구의 사용자가 검색되었습니다. 공격자는 이러한 도구를 사용하여 개인 데이터에 액세스할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 낮음 |
| Shellcode가 검색됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과, 명령줄에서 생성된 셸 코드가 감지되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| 성공적인 SSH 무차별 암호 대입 공격 (VM_SshBruteForceSuccess) |
호스트 데이터를 분석한 결과, 성공적인 무차별 암호 대입 공격이 감지되었습니다. IP %{Attacker source IP}에 대해 여러 번의 로그인 시도가 있었습니다. 호스트에 성공적으로 로그인하는 데 사용된 %{Accounts 사용자와 함께 해당 IP에서 성공적으로 로그인했습니다.}. 즉, 악의적인 행위자가 호스트를 손상하고 제어할 수 있습니다. | 악용 | 높음 |
| 의심스러운 계정 생성이 감지됨 | %{Compromised Host}에서 호스트 데이터를 분석한 결과 로컬 계정 %{의심스러운 계정 이름}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{유사 계정 이름}'과 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. | - | 중간 |
| 의심스러운 커널 모듈이 검색됨[여러 번 확인됨] | %{Compromised Host}에서 호스트 데이터를 분석한 결과 커널 모듈로 로드되는 공유 개체 파일이 검색되었습니다. 이는 합법적인 활동이거나 컴퓨터 중 하나가 손상되었음을 나타낼 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | 중간 |
| 의심스러운 암호 액세스 [여러 번 본] | 호스트 데이터를 분석하면 %{Compromised Host}에서 암호화된 사용자 암호에 대한 의심스러운 액세스가 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. | - | Informational |
| 의심스러운 암호 액세스 | 호스트 데이터를 분석하면 %{Compromised Host}에서 암호화된 사용자 암호에 대한 의심스러운 액세스가 감지되었습니다. | - | Informational |
| Kubernetes 대시보드에 대한 의심스러운 요청 (VM_KubernetesDashboard) |
컴퓨터 로그는 Kubernetes 대시보드에 의심스러운 요청이 이루어졌다는 것을 나타냅니다. 요청은 노드에서 실행되는 컨테이너 중 하나에서 Kubernetes 노드에서 전송되었을 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. | 측면 이동 | 중간 |
| 가상 머신에서 비정상적인 구성이 재설정됨 (VM_VMAccessUnusualConfigReset) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 구성 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| 가상 머신에서 비정상적인 사용자 암호 재설정 (VM_VMAccessUnusualPasswordReset) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 다시 설정하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| 가상 머신에서 비정상적인 사용자 SSH 키 재설정됨 (VM_VMAccessUnusualSSHReset) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다. 이 작업은 합법적일 수 있지만 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 다시 설정하여 손상시킬 수 있습니다. |
자격 증명 액세스 | 중간 |
| 가상 머신에서 GPU 확장의 의심스러운 설치(미리 보기) (VM_GPUDriverExtensionUnusualExecution) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. | 영향 | 낮음 |
DNS에 대한 경고
Important
8월 1일부터 DNS용 Defender에 대한 기존 구독을 보유한 고객은 서비스를 계속 사용할 수 있지만, 새 구독자는 서버용 Defender P2의 일부로 의심스러운 DNS 활동에 대한 경고를 받게 됩니다.
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 비정상적인 네트워크 프로토콜 사용 (AzureDNS_ProtocolAnomaly) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 후 비정상적인 프로토콜 사용량이 검색되었습니다. 이러한 트래픽은 심각하지 않을 수 있지만 네트워크 트래픽 필터링을 우회하기 위해 이 공통 프로토콜의 남용을 나타낼 수 있습니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. | 반출 | - |
| 익명 네트워크 활동 (AzureDNS_DarkWeb) |
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 통신의 추적 및 지문을 회피하기 위해 자주 사용됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| 웹 프록시를 사용하는 익명 네트워크 활동 (AzureDNS_DarkWebProxy) |
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 통신의 추적 및 지문을 회피하기 위해 자주 사용됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| 의심스러운 싱크홀과 통신을 시도했습니다기본 (AzureDNS_SinkholedDo기본) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 후 싱크홀된 do기본 대한 요청이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 중간 |
| 피싱 가능성이 있는 도메인과 통신 (AzureDNS_PhishingDo기본) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 가능한 피싱 수행에 대한 요청이 검색되었습니다기본. 이러한 활동은 무해할 수 있지만 공격자가 원격 서비스에 자격 증명을 수집하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 합법적인 서비스에 대한 자격 증명 악용이 포함될 수 있습니다. | 반출 | 낮음 |
| 알고리즘적으로 생성된 의심스러운 통신을 수행합니다기본 (AzureDNS_Do기본GenerationAlgorithm) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 do기본 생성 알고리즘의 사용이 감지되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| 위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신 (AzureDNS_ThreatIntelSuspectDo기본) |
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악의적인 do기본와 비교하여 의심스러운 do기본와의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. | Initial Access | 중간 |
| 의심스러운 임의 도메인 이름과 통신 (AzureDNS_RandomizedDo기본) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 임의로 생성된 do기본 이름의 사용이 감지되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| 디지털 통화 마이닝 활동 (AzureDNS_CurrencyMining) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 디지털 통화 마이닝 작업이 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| 네트워크 침입 감지 서명 활성화 (AzureDNS_SuspiciousDo기본) |
%{CompromisedEntity}에서 DNS 트랜잭션을 분석한 결과 알려진 악성 네트워크 서명이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 중간 |
| DNS 터널을 통해 가능한 데이터 다운로드 (AzureDNS_DataInfiltration) |
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| DNS 터널을 통해 가능한 데이터 반출 (AzureDNS_DataExfiltration) |
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| DNS 터널을 통한 데이터 전송 가능 (AzureDNS_DataObfuscation) |
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 공격자가 네트워크 모니터링 및 필터링을 회피하기 위해 자주 수행됩니다. 일반적인 관련 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
Azure VM 확장에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 구독에 GPU 확장을 설치하는 데 의심스러운 오류 발생(미리 보기) (VM_GPUExtensionSuspiciousFailure) |
지원되지 않는 VM에 GPU 확장을 설치하려는 의심스러운 의도가 있습니다. 이 확장은 그래픽 프로세서가 장착된 가상 머신에 설치해야 하며, 이 경우 가상 머신에는 이러한 기능이 장착되어 있지 않습니다. 이러한 실패는 악의적인 공격자가 암호화 마이닝 목적으로 해당 확장을 여러 번 설치할 때 나타날 수 있습니다. | 영향 | 중간 |
| 가상 머신에서 의심스러운 GPU 확장 설치가 탐지됨(미리 보기) (VM_GPUDriverExtensionUnusualExecution) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. 이 활동은 보안 주체의 동작이 일반적인 패턴에서 벗어나므로 의심스러운 것으로 간주됩니다. | 영향 | 낮음 |
| 가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지됨(미리 보기) (VM_RunCommandSuspiciousScript) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. | 실행 | 높음 |
| 가상 머신에서 의심스러운 무단 실행 명령 사용이 탐지됨(미리 보기) (VM_RunCommandSuspiciousFailure) |
실행 명령의 의심스러운 무단 사용이 실패했으며 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행하려고 시도할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. | 실행 | 중간 |
| 가상 머신에서 의심스러운 실행 명령 사용이 탐지됨(미리 보기) (VM_RunCommandSuspiciousUsage) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 실행 명령 사용이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. | 실행 | 낮음 |
| 가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 탐지됨(미리 보기) (VM_SuspiciousMultiExtensionUsage) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 감지되었습니다. 공격자는 구독에서 데이터 수집, 네트워크 트래픽 모니터링 등에 대해 이러한 확장을 악용할 수 있습니다. 해당 사용은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. | 정찰 | 중간 |
| 가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지됨(미리 보기) (VM_DiskEncryptionSuspiciousUsage) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지되었습니다. 공격자는 랜섬웨어 활동을 수행하기 위해 디스크 암호화 확장을 악용하여 Azure Resource Manager를 통해 가상 머신에 전체 디스크 암호화를 배포할 수 있습니다. 해당 작업은 이전에 일반적으로 볼 수 없었고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. | 영향 | 중간 |
| 가상 머신에서 VMAccess 확장의 의심스러운 사용이 감지됨(미리 보기) (VM_VMAccessSuspiciousUsage) |
가상 머신에서 VMAccess 확장의 의심스러운 사용이 감지되었습니다. 공격자는 액세스 권한을 다시 설정하거나 관리 사용자를 관리하여 높은 권한으로 가상 머신에 액세스하고 손상하기 위해 VMAccess 확장을 악용할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. | 지속성 | 중간 |
| 가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지됨(미리 보기) (VM_DSCExtensionSuspiciousScript) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. | 실행 | 높음 |
| 가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지됨(미리 보기) (VM_DSCExtensionSuspiciousUsage) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. | 실행 | 낮음 |
| 가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지됨(미리 보기) (VM_CustomScriptExtensionSuspiciousCmd) |
구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. | 실행 | 높음 |
| 가상 머신에서 사용자 지정 스크립트 확장의 의심스러운 실행 실패 (VM_CustomScriptExtensionSuspiciousFailure) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장의 의심스러운 오류가 감지되었습니다. 이러한 실패는 이 확장에 의해 실행되는 악성 스크립트와 관련될 수 있습니다. | 실행 | 중간 |
| 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제 (VM_CustomScriptExtensionUnusualDeletion) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다. | 실행 | 중간 |
| 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행 (VM_CustomScriptExtensionUnusualExecution) |
구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 감지되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다. | 실행 | 중간 |
| 가상 머신에서 의심스러운 진입점이 있는 사용자 지정 스크립트 확장 (VM_CustomScriptExtensionSuspiciousEntryPoint) |
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다. | 실행 | 중간 |
| 가상 머신에서 의심스러운 페이로드가 있는 사용자 지정 스크립트 확장 (VM_CustomScriptExtensionSuspiciousPayload) |
의심스러운 GitHub 리포지토리의 페이로드가 있는 사용자 지정 스크립트 확장은 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다. | 실행 | 중간 |
Azure 앱 서비스에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| Windows App Service에서 Linux 명령을 실행하려는 시도 (AppServices_LinuxCommandOnWindows) |
App Service 프로세스를 분석한 결과, Windows App Service에서 Linux 명령을 실행하려는 시도가 감지되었습니다. 이 작업은 웹 애플리케이션에서 실행되었습니다. 이 동작은 일반적인 웹 애플리케이션에서 취약성을 악용하는 캠페인 중에 종종 표시됩니다. (적용 대상: Windows의 App Service) |
- | 중간 |
| Azure App Service FTP 인터페이스에 연결된 IP가 위협 인텔리전스에 있음 (AppServices_IncomingTiClientIpFtp) |
Azure 앱 서비스 FTP 로그는 위협 인텔리전스 피드에 있는 원본 주소의 연결을 나타냅니다. 이 연결 도중 나열된 페이지에 사용자가 액세스했습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
Initial Access | 중간 |
| 높은 권한 명령을 실행하려고 시도했습니다. (AppServices_HighPrivilegeCommand) |
App Service 프로세스를 분석한 결과, 높은 권한이 필요한 명령을 실행하려는 시도가 검색되었습니다. 이 명령은 웹 애플리케이션 컨텍스트에서 실행되었습니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서는 악의적인 활동에서도 이 동작이 관찰됩니다. (적용 대상: Windows의 App Service) |
- | 중간 |
| 위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신 (AzureDNS_ThreatIntelSuspectDo기본) |
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악의적인 do기본와 비교하여 의심스러운 do기본와의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. | 초기 액세스, 지속성, 실행, 명령 및 제어, 악용 | 중간 |
| 비정상적인 IP 주소에서 웹 페이지로 커넥트이 검색됨 (AppServices_AnomalousPageAccess) |
Azure App Service 활동 로그에는 나열된 원본 IP 주소에서 중요한 웹 페이지로의 비정상적인 연결이 나타납니다. 이는 누군가가 웹앱 관리 페이지에 무차별 암호 대입 공격을 시도하고 있음을 나타낼 수 있습니다. 합법적인 사용자가 새 IP 주소를 사용한 결과일 수도 있습니다. 원본 IP 주소를 신뢰할 수 있는 경우 이 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
Initial Access | 낮음 |
| App Service 리소스에 대한 현수 DNS 레코드 검색됨 (AppServices_DanglingDo기본) |
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약합니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
- | 높음 |
| 명령줄 데이터에서 인코딩된 실행 파일이 검색됨 (AppServices_Base64EncodedExecutableInCommandLineParams) |
{Compromised host}에서 호스트 데이터를 분석한 결과 base-64로 인코딩된 실행 파일이 검색되었습니다. 이는 이전에 일련의 명령을 통해 실행 파일을 즉석에서 생성하려고 시도하는 공격자와 연결되었으며, 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 회피하려고 시도했습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. (적용 대상: Windows의 App Service) |
방어 회피, 실행 | 높음 |
| 알려진 악성 원본에서 검색된 파일 다운로드 (AppServices_SuspectDownload) |
호스트 데이터를 분석한 결과, 호스트의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다. (적용 대상: Linux의 App Service) |
권한 상승, 실행, 반출, 명령 및 제어 | 중간 |
| 의심스러운 파일 다운로드가 검색됨 (AppServices_SuspectDownloadArtifacts) |
호스트 데이터를 분석한 결과 원격 파일의 의심스러운 다운로드가 감지되었습니다. (적용 대상: Linux의 App Service) |
지속성 | 중간 |
| 디지털 통화 마이닝 관련 동작이 검색됨 (AppServices_DigitalCurrencyMining) |
Inn-Flow-WebJobs에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 검색되었습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 높음 |
| certutil을 사용하여 디코딩된 실행 파일 (AppServices_ExecutableDecodedUsingCertutil) |
[손상된 엔터티]에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 기본stream 용도 대신 실행 파일을 디코딩하는 데 사용되고 있음을 발견했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다. (적용 대상: Windows의 App Service) |
방어 회피, 실행 | 높음 |
| 파일리스 공격 동작이 검색됨 (AppServices_FilelessAttackBehaviorDetection) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 중간 |
| 파일리스 공격 기술이 검색됨 (AppServices_FilelessAttackTechniqueDetection) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 보안 소프트웨어에서 탐지를 회피하는 동안 공격자가 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 높음 |
| 파일리스 공격 도구 키트가 검색됨 (AppServices_FilelessAttackToolkitDetection) |
아래에 지정된 프로세스의 메모리에는 파일리스 공격 도구 키트 {ToolKitName}이 포함되어 있습니다. 파일리스 공격 도구 키트는 일반적으로 파일 시스템에 존재하지 않으므로 기존 바이러스 백신 소프트웨어에서 검색하기가 어렵습니다. 구체적인 동작은 다음과 같습니다. {list of observed behaviors} (적용 대상: Windows의 App Service 및 Linux의 App Service) |
방어 회피, 실행 | 높음 |
| App Service에 대한 클라우드용 Microsoft Defender 테스트 경고(위협 아님) (AppServices_EICAR) |
클라우드용 Microsoft Defender에서 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
- | 높음 |
| NMap 검색이 검색됨 (AppServices_Nmap) |
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다. 검색된 의심스러운 활동이 NMAP와 연결됩니다. 공격자는 종종 이 도구를 사용하여 웹 애플리케이션을 검색하여 취약성을 찾습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
사전 공격 | 중간 |
| Azure Webapps에서 호스트되는 피싱 콘텐츠 (AppServices_PhishingContent) |
피싱 공격에 사용된 URL이 Azure AppServices 웹 사이트에 있습니다. 이 URL은 Microsoft 365 고객에게 전송된 피싱 공격의 일부였습니다. 해당 콘텐츠는 일반적으로 방문자가 회사 자격 증명이나 재무 정보를 합법적으로 보이는 웹 사이트에 입력하도록 유도합니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
컬렉션 | 높음 |
| 업로드 폴더의 PHP 파일 (AppServices_PhpInUploadFolder) |
Azure App Service 활동 로그에 업로드 폴더에 있는 의심스러운 PHP 페이지에 대한 액세스가 나타납니다. 이 유형의 폴더는 일반적으로 PHP 파일을 포함하지 않습니다. 이러한 유형의 파일이 존재하면 임의 파일 업로드 취약성을 활용하는 악용을 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 중간 |
| 가능한 Cryptocoinminer 다운로드가 검색됨 (AppServices_CryptoCoinMinerDownload) |
호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 파일의 다운로드가 감지되었습니다. (적용 대상: Linux의 App Service) |
방어 회피, 명령 및 제어, 악용 | 중간 |
| 가능한 데이터 반출이 감지됨 (AppServices_DataEgressArtifacts) |
호스트/디바이스 데이터를 분석한 결과 가능한 데이터 송신 조건이 검색되었습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. (적용 대상: Linux의 App Service) |
컬렉션, 반출 | 중간 |
| App Service 리소스에 대한 잠재적 현수 DNS 레코드가 검색됨 (AppServices_PotentialDanglingDomain) |
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이렇게 하면 하위 기본 인수에 취약해질 수 있습니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. 이 경우 Do기본 확인 ID가 있는 텍스트 레코드가 발견되었습니다. 이러한 텍스트 레코드는 하위 도메인 인수를 방지하지만, 여전히 현수 도메인을 제거하는 것을 권장합니다. 하위 문서를 가리키는 DNS 레코드를 그대로 두면기본 조직의 누군가가 나중에 TXT 파일 또는 레코드를 삭제하면 위험에 처하게 됩니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
- | 낮음 |
| 잠재적인 역방향 셸이 검색됨 (AppServices_ReverseShell) |
호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 감지되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. (적용 대상: Linux의 App Service) |
반출, 악용 | 중간 |
| 원시 데이터 다운로드가 검색됨 (AppServices_DownloadCodeFromWebsite) |
App Service 프로세스를 분석한 결과 Pastebin과 같은 원시 데이터 웹 사이트에서 코드를 다운로드하려는 시도가 감지되었습니다. 이 작업은 PHP 프로세스에 의해 실행되었습니다. 이 동작은 웹 셸 또는 기타 악성 구성 요소를 App Service에 다운로드하려는 시도와 관련이 있습니다. (적용 대상: Windows의 App Service) |
실행 | 중간 |
| 검색된 디스크에 curl 출력 저장 (AppServices_CurlToDisk) |
App Service 프로세스를 분석한 결과, 디스크에 출력이 저장된 넘기기 명령 실행이 감지되었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동에서도 이 동작이 관찰됩니다. (적용 대상: Windows의 App Service) |
- | 낮음 |
| 스팸 폴더 참조기가 검색됨 (AppServices_SpamReferrer) |
Azure 앱 서비스 활동 로그는 스팸 활동과 연결된 웹 사이트에서 시작된 것으로 식별된 웹 활동을 나타냅니다. 이는 웹 사이트가 손상되어 스팸 활동에 사용되는 경우에 발생할 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
- | 낮음 |
| 취약할 수 있는 웹 페이지에 대한 의심스러운 액세스가 감지됨 (AppServices_ScanSensitivePage) |
Azure 앱 서비스 활동 로그는 중요한 것으로 보이는 웹 페이지에 액세스했음을 나타냅니다. 이 의심스러운 활동은 액세스 패턴이 웹 스캐너의 액세스 패턴과 유사한 소스 IP 주소에서 시작되었습니다. 이 활동은 종종 공격자가 네트워크를 스캔하여 중요하거나 취약한 웹 페이지에 액세스하려고 시도하는 것과 관련이 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
- | 낮음 |
| 의심스러운 do기본 이름 참조 (AppServices_CommandlineSuspectDo기본) |
호스트 데이터를 분석한 결과, 의심스러운 도메인 이름에 대한 참조가 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. (적용 대상: Linux의 App Service) |
반출 | 낮음 |
| Certutil을 사용한 의심스러운 다운로드가 감지됨 (AppServices_DownloadUsingCertutil) |
{NAME}에서 호스트 데이터를 분석한 결과 인증서 및 인증서 데이터 조작과 관련된 기본stream 용도 대신 이진 파일을 다운로드하기 위해 기본 제공 관리자 유틸리티인 certutil.exe를 사용하는 것이 감지되었습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. (적용 대상: Windows의 App Service) |
실행 | 중간 |
| 의심스러운 PHP 실행이 감지됨 (AppServices_SuspectPhp) |
컴퓨터 로그에 의심스러운 PHP 프로세스가 실행 중인 것으로 나타납니다. 작업에는 PHP 프로세스를 사용하여 명령줄에서 운영 체제 명령 또는 PHP 코드를 실행하려는 시도가 포함되었습니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서 이 동작은 웹 셸로 웹 사이트를 감염시키려는 시도와 같은 악의적인 활동을 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 중간 |
| 의심스러운 PowerShell cmdlet이 실행됨 (AppServices_PowerShellPowerSploitScriptExecution) |
호스트 데이터를 분석하는 것은 알려진 악성 PowerShell PowerSploit cmdlet의 실행을 나타냅니다. (적용 대상: Windows의 App Service) |
실행 | 중간 |
| 의심스러운 프로세스가 실행됨 (AppServices_KnownCredential AccessTools) |
머신 로그에 의심스러운 '%{process path}' 프로세스가 머신에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. (적용 대상: Windows의 App Service) |
자격 증명 액세스 | 높음 |
| 의심스러운 프로세스 이름이 검색됨 (AppServices_ProcessWithKnownSuspiciousExtension) |
{NAME}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 검색되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. (적용 대상: Windows의 App Service) |
지속성, 방어 회피 | 중간 |
| 의심스러운 SVCHOST 프로세스가 실행됨 (AppServices_SVCHostFromInvalidPath) |
시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다. (적용 대상: Windows의 App Service) |
방어 회피, 실행 | 높음 |
| 의심스러운 사용자 에이전트가 검색됨 (AppServices_UserAgentInjection) |
Azure 앱 서비스 활동 로그는 의심스러운 사용자 에이전트가 있는 요청을 나타냅니다. 이 동작은 App Service 애플리케이션에서 취약성을 악용하려는 시도를 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
Initial Access | 중간 |
| 의심스러운 WordPress 테마 호출이 검색됨 (AppServices_WpThemeInjection) |
Azure 앱 Service 활동 로그는 App Service 리소스에서 가능한 코드 삽입 작업을 나타냅니다. 검색된 의심스러운 활동은 코드의 서버 쪽 실행을 지원하기 위해 WordPress 테마를 조작한 다음 조작된 테마 파일을 호출하는 직접 웹 요청과 유사합니다. 이러한 유형의 활동은 과거에 WordPress를 통한 공격 캠페인의 일부로 보였습니다. App Service 리소스가 WordPress 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
실행 | 높음 |
| 취약성 검사기가 검색됨 (AppServices_DrupalScanner) |
Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 의심스러운 활동이 CMS(콘텐츠 관리 시스템)를 대상으로 하는 도구와 유사한 것으로 검색되었습니다. App Service 리소스가 Drupal 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service) |
사전 공격 | 낮음 |
| 취약성 검사기가 검색됨 (AppServices_JoomlaScanner) |
Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 의심스러운 활동이 Joomla 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다. App Service 리소스가 Joomla 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
사전 공격 | 낮음 |
| 취약성 검사기가 검색됨 (AppServices_WpScanner) |
Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 검색된 의심스러운 활동은 WordPress 애플리케이션을 대상으로 하는 도구와 유사합니다. App Service 리소스가 WordPress 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
사전 공격 | 낮음 |
| 웹 지문이 검색됨 (AppServices_WebFingerprinting) |
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다. 감지된 의심스러운 활동은 블라인드 코끼리라는 도구와 관련이 있습니다. 도구는 웹 서버를 지문 인식하고 설치된 애플리케이션 및 버전을 감지하려고 합니다. 공격자는 종종 이 도구를 사용하여 웹 애플리케이션을 검색하여 취약성을 찾습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
사전 공격 | 중간 |
| 웹 사이트는 위협 인텔리전스 피드에서 악성으로 태그가 지정됩니다. (AppServices_SmartScreen) |
아래에 설명된 웹 사이트는 Windows SmartScreen에 의해 악성 사이트로 표시됩니다. 가양성이라고 생각되면 제공된 보고서 피드백 링크를 통해 Windows SmartScreen에 문의하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service) |
컬렉션 | 중간 |
컨테이너에 대한 경고 - Kubernetes 클러스터
컨테이너용 Microsoft Defender는 컨트롤 플레인(API 서버) 및 컨테이너화된 워크로드 자체를 모두 모니터링하여 클러스터 수준 및 기본 클러스터 노드에서 보안 경고를 제공합니다. 컨트롤 플레인 보안 경고는 경고 유형의 K8S_의 접두사로 인식할 수 있습니다. 클러스터의 런타임 워크로드에 대한 보안 경고는 경고 유형의 K8S.NODE_ 접두사로 인식할 수 있습니다. 달리 표시되지 않는 한, 모든 경고는 Linux에서만 지원됩니다.
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| Kubernetes에서 트러스트 인증 구성이 검색된 노출된 Postgres 서비스(미리 보기) (K8S_ExposedPostgresTrustAuth) |
Kubernetes 클러스터 구성 분석에서 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스는 자격 증명이 필요하지 않은 트러스트 인증 방법으로 구성됩니다. | 초기 액세스 | 중간 |
| Kubernetes에서 위험한 구성이 포함된 노출된 Postgres 서비스 검색됨(미리 보기) (K8S_ExposedPostgresBroadIPRange) |
Kubernetes 클러스터 구성 분석을 통해 위험한 구성을 사용하는 부하 분산 장치에서 Postgres 서비스의 노출을 감지했습니다. 서비스를 광범위한 IP 주소에 노출하면 보안 위험이 발생합니다. | 초기 액세스 | 중간 |
| 검색된 컨테이너에서 새 Linux 네임스페이스 만들기 시도 (K8S.NODE_NamespaceCreation) 1 |
Kubernetes 클러스터의 컨테이너 내에서 실행되는 프로세스를 분석한 결과 새 Linux 네임스페이스를 만들려는 시도가 감지되었습니다. 이 동작은 합법적일 수 있지만 공격자가 컨테이너에서 노드로 이스케이프하려고 시도한다는 것을 나타낼 수 있습니다. 일부 CVE-2022-0185 익스플로잇은 이 기술을 사용합니다. | 권한 상승 | 중간 |
| 기록 파일이 지워짐 (K8S.NODE_HistoryFileCleared) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 명령 기록 로그 파일이 지워진 것이 검색되었습니다. 공격자는 추적을 숨기기 위해 이 작업을 수행할 수 있습니다. 지정된 사용자 계정으로 작업을 수행했습니다. | DefenseEvasion | 중간 |
| Kubernetes와 연결된 관리 ID의 비정상적인 활동(미리 보기) (K8S_AbnormalMiActivity) |
Azure Resource Manager 작업을 분석한 결과, AKS 추가 기능에서 사용되는 관리 ID의 비정상적인 동작이 감지되었습니다. 검색된 활동이 연결된 추가 기능의 동작과 일치하지 않습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 아마도 Kubernetes 클러스터의 손상된 컨테이너에서 공격자가 ID를 획득했음을 나타낼 수 있습니다. | 측면 확대 | 중간 |
| 비정상적인 Kubernetes 서비스 계정 작업이 검색됨 (K8S_ServiceAccountRareOperation) |
Kubernetes 감사 로그를 분석한 결과, Kubernetes 클러스터의 서비스 계정에서 비정상적인 동작이 감지되었습니다. 서비스 계정은 이 서비스 계정에 일반적이지 않은 작업에 사용되었습니다. 이 활동은 합법적일 수 있지만 이러한 동작은 서비스 계정이 악의적인 목적으로 사용되고 있음을 나타낼 수 있습니다. | 수평 이동, 자격 증명 액세스 | 중간 |
| 일반적이지 않은 연결 시도가 감지됨 (K8S.NODE_SuspectConnection) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 socks 프로토콜을 활용하는 일반적이지 않은 연결 시도가 검색되었습니다. 이는 정상적인 작업에서는 매우 드물지만 네트워크 계층 검색을 우회하려는 공격자에게 알려진 기술입니다. | 실행, 반출, 악용 | 중간 |
| 변칙적인 Pod 배포(미리 보기) (K8S_AnomalousPodDeployment) 3 |
Kubernetes 감사 로그 분석에서 이전 Pod 배포 작업을 기반으로 비정상적인 Pod 배포를 감지했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관련되어 있는지 고려할 때 비정상적인 것으로 간주됩니다. 모니터링되는 기능에는 사용된 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용되는 사용자 에이전트, Pod 배포가 자주 발생하는 네임스페이스인지 여부, 기타 기능이 포함됩니다. 비정상적인 활동으로 이 경고를 발생시키는 주요 원인은 경고의 확장 속성 아래에 자세히 설명되어 있습니다. | 실행 | 중간 |
| 비정상적인 비밀 액세스(미리 보기) (K8S_AnomalousSecretAccess) 2 |
Kubernetes 감사 로그 분석에서 이전 비밀 액세스 작업을 기반으로 비정상적인 비밀 액세스 요청을 검색했습니다. 이 작업은 비밀 액세스 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 서로 관련되어 있는지 고려할 때 변칙으로 간주됩니다. 이 분석에서 모니터링하는 기능에는 사용된 사용자 이름, 비밀 이름, 네임스페이스 이름, 작업에 사용된 사용자 에이전트 또는 기타 기능이 포함됩니다. 이 경고를 비정상적인 작업으로 발생시키는 가장 큰 원인은 경고 확장 속성에 자세히 설명되어 있습니다. | 자격 증명 액세스 | 중간 |
| apt-daily-upgrade.timer 서비스 중지 시도가 감지됨 (K8S.NODE_TimerServiceDisabled) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 socks 프로토콜을 활용하는 일반적이지 않은 연결 시도가 검색되었습니다. 공격자는 이 서비스를 중지하고, 악성 파일을 다운로드하고, 공격에 대한 실행 권한을 부여하는 것으로 관찰되었습니다. 이 활동은 서비스가 정상적인 관리 작업을 통해 업데이트되는 경우에도 발생할 수 있습니다. | DefenseEvasion | Informational |
| 일반적인 Linux 봇과 유사한 동작이 감지됨(미리 보기) (K8S.NODE_CommonBot) |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 공통 Linux 봇넷과 연결된 프로세스의 실행이 검색되었습니다. | 실행, 컬렉션, 명령, 제어 | 중간 |
| 높은 권한으로 실행되는 컨테이너 내의 명령 (K8S.NODE_PrivilegedExecutionInContainer) 1 |
컴퓨터 로그에 권한 있는 명령이 Docker 컨테이너에서 실행되었던 것으로 나타납니다. 권한 있는 명령에는 호스트 컴퓨터에 대한 확장된 권한이 있습니다. | 권한 상승 | 낮음 |
| 권한 있는 모드에서 실행되는 컨테이너 (K8S.NODE_PrivilegedContainerArtifacts) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 권한 있는 컨테이너를 실행하는 Docker 명령의 실행이 검색되었습니다. 권한 있는 컨테이너에는 호스팅 Pod 또는 호스트 리소스에 대한 모든 권한이 있습니다. 손상되면 공격자가 권한 있는 컨테이너를 사용하여 호스팅 Pod 또는 호스트에 액세스할 수 있습니다. | PrivilegeEscalation, Execution | 낮음 |
| 중요한 볼륨 탑재가 감지된 컨테이너 (K8S_SensitiveMount) |
Kubernetes 감사 로그를 분석한 결과, 중요한 볼륨 탑재가 있는 새 컨테이너가 감지되었습니다. 검색된 볼륨은 노드에서 컨테이너로 중요한 파일 또는 폴더를 탑재하는 hostPath 형식입니다. 컨테이너가 손상되면 공격자는 이 탑재를 사용하여 노드에 액세스할 수 있습니다. | 권한 상승 | 중간 |
| Kubernetes에서 CoreDNS 수정이 검색됨 (K8S_CoreDnsModification) 23 |
Kubernetes 감사 로그를 분석한 결과, CoreDNS 구성 수정이 감지되었습니다. 해당 configmap을 재정의하여 CoreDNS의 구성을 수정할 수 있습니다. 이 활동은 합법적일 수 있지만 공격자가 configmap을 수정할 수 있는 권한이 있는 경우 클러스터의 DNS 서버 동작을 변경하고 포이즌할 수 있습니다. | 측면 확대 | 낮음 |
| 허용 웹후크 구성 생성이 감지됨 (K8S_AdmissionController) 3 |
Kubernetes 감사 로그 분석에서 새 허용 웹후크 구성을 검색했습니다. Kubernetes에는 두 개의 기본 제공 일반 허용 컨트롤러인 MutatingAdmissionWebhook 및 ValidatingAdmissionWebhook가 있습니다. 이러한 허용 컨트롤러의 동작은 사용자가 클러스터에 배포하는 허용 웹후크를 통해 결정됩니다. 이러한 허용 컨트롤러의 사용은 합법적일 수 있지만 공격자는 요청을 수정하거나(MutatingAdmissionWebhook의 경우) 요청을 검사하고 중요한 정보(ValidatingAdmissionWebhook의 경우)를 얻기 위해 이러한 웹후크를 사용할 수 있습니다. | 자격 증명 액세스, 지속성 | 낮음 |
| 알려진 악성 원본에서 검색된 파일 다운로드 (K8S.NODE_SuspectDownload) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 맬웨어를 배포하는 데 자주 사용되는 원본에서 파일 다운로드가 검색되었습니다. | PrivilegeEscalation, Execution, Exfiltration, Command And Control | 중간 |
| 의심스러운 파일 다운로드가 검색됨 (K8S.NODE_SuspectDownloadArtifacts) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 원격 파일 다운로드가 검색되었습니다. | 지속성 | 낮음 |
| nohup 명령의 의심스러운 사용이 감지됨 (K8S.NODE_SuspectNohup) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 nohup 명령의 의심스러운 사용이 검색되었습니다. 공격자가 임시 디렉터리에서 숨겨진 파일을 실행하여 실행 파일을 백그라운드에서 실행할 수 있도록 nohup 명령을 사용하는 것이 관찰되었습니다. 임시 디렉터리에 있는 숨겨진 파일에서 이 명령이 실행되는 것은 드문 일입니다. | 지속성, DefenseEvasion | 중간 |
| useradd 명령의 의심스러운 사용이 감지됨 (K8S.NODE_SuspectUserAddition) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 useradd 명령의 의심스러운 사용이 검색되었습니다. | 지속성 | 중간 |
| 디지털 통화 마이닝 컨테이너가 검색됨 (K8S_MaliciousContainerImage) 3 |
Kubernetes 감사 로그를 분석한 결과, 디지털 통화 마이닝 도구와 관련된 이미지가 있는 컨테이너가 감지되었습니다. | 실행 | 높음 |
| 디지털 통화 마이닝 관련 동작이 검색됨 (K8S.NODE_DigitalCurrencyMining) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 검색되었습니다. | 실행 | 높음 |
| Kubernetes 노드에서 검색된 Docker 빌드 작업 (K8S.NODE_ImageBuildOnNode) 1 |
컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스의 분석이 Kubernetes 노드에서 컨테이너 이미지의 빌드 작업을 검색했습니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다. | DefenseEvasion | 낮음 |
| Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기) (K8S_ServiceAcountPermissionAnomaly) 3 |
Kubernetes 감사 로그 분석에서 클러스터에 대한 과도한 권한 역할 할당이 발견되었습니다. 할당된 역할에 대한 나열된 권한은 특정 서비스 계정에서 일반적이지 않습니다. 이 검색은 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨 및 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 클라우드용 Microsoft Defender에서 모니터링하는 모든 클러스터에서 이 권한이 사용되는 방법을 고려합니다. | 권한 상승 | 낮음 |
| 의심스러운 위치에서 실행 중인 실행 파일(미리 보기) (K8S.NODE_SuspectExecutablePath) |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 알려진 의심스러운 파일과 연결된 위치에서 실행되고 있는 실행 파일이 검색되었습니다. 이 실행 파일은 합법적인 작업이거나 손상된 시스템의 표시일 수 있습니다. | 실행 | 중간 |
| 노출된 Kubeflow 대시보드가 검색됨 (K8S_ExposedKubeflow) |
Kubernetes 감사 로그 분석 결과 Kubeflow를 실행하는 클러스터의 부하 분산 장치에 의한 Istio 수신 노출이 감지되었습니다. 이 작업은 Kubeflow 대시보드를 인터넷에 노출할 수 있습니다. 대시보드가 인터넷에 노출되면 공격자는 대시보드에 액세스하여 클러스터에서 악성 컨테이너 또는 코드를 실행할 수 있습니다. 다음 문서에서 자세한 내용을 찾습니다. https://aka.ms/exposedkubeflow-blog | Initial Access | 중간 |
| 노출된 Kubernetes 대시보드가 검색됨 (K8S_ExposedDashboard) |
Kubernetes 감사 로그를 분석한 결과, LoadBalancer 서비스에 의한 Kubernetes 대시보드 표시가 감지되었습니다. 노출된 대시보드는 클러스터 관리에 인증되지 않은 액세스를 허용하고 보안 위협을 제기합니다. | Initial Access | 높음 |
| Kubernetes 서비스가 노출된 것이 탐지됨 (K8S_ExposedService) |
Kubernetes 감사 로그를 분석한 결과, 부하 분산 장치를 통해 서비스가 노출된 것이 탐지되었습니다. 이 서비스는 노드에서 프로세스를 실행하거나 새 컨테이너를 만드는 등 클러스터에서 높은 영향을 주는 작업을 허용하는 중요한 애플리케이션과 관련이 있습니다. 경우에 따라 이 서비스에 인증이 필요하지 않습니다. 서비스에 인증이 필요하지 않은 경우 인터넷에 노출하면 보안 위험이 발생합니다. | Initial Access | 중간 |
| AKS에서 노출된 Redis 서비스가 검색됨 (K8S_ExposedRedis) |
Kubernetes 감사 로그 분석에서 부하 분산 장치에서 Redis 서비스의 노출을 감지했습니다. 서비스에 인증이 필요하지 않은 경우 인터넷에 노출하면 보안 위험이 발생합니다. | Initial Access | 낮음 |
| DDOS 도구 키트와 관련된 지표가 감지됨 (K8S.NODE_KnownLinuxDDoSToolkit) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 DDoS 공격을 시작하고, 포트 및 서비스를 열고, 감염된 시스템을 완전히 제어할 수 있는 맬웨어와 연결된 도구 키트에 속하는 파일 이름이 검색되었습니다. 이는 합법적인 활동일 수도 있습니다. | Persistence, LateralMovement, Execution, Exploitation | 중간 |
| 프록시 IP 주소에서 K8S API 요청이 감지됨 (K8S_TI_Proxy) 3 |
Kubernetes 감사 로그를 분석한 결과, TOR과 같은 프록시 서비스와 연결된 IP 주소에서 클러스터에 대한 API 요청이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. | 실행 | 낮음 |
| Kubernetes 이벤트가 삭제됨 (K8S_DeleteEvents) 23 |
클라우드용 Defender에서 일부 Kubernetes 이벤트가 삭제된 것으로 감지되었습니다. Kubernetes 이벤트는 클러스터의 변경 내용에 대한 정보를 포함하는 Kubernetes의 개체입니다. 공격자는 클러스터에서 작업을 숨기기 위해 해당 이벤트를 삭제할 수 있습니다. | 방어 회피 | 낮음 |
| Kubernetes 침투 테스트 도구가 검색됨 (K8S_PenTestToolsKubeHunter) |
Kubernetes 감사 로그를 분석한 결과, AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다. | 실행 | 낮음 |
| 호스트 방화벽 조작이 감지됨 (K8S.NODE_FirewallDisabled) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 온호스트 방화벽의 조작 가능성이 검색되었습니다. 공격자는 데이터를 내보내기 위해 이 기능을 사용하지 않도록 설정하는 경우가 많습니다. | DefenseEvasion, Exfiltration | 중간 |
| 클라우드용 Microsoft Defender 경고(위협이 아님)를 테스트합니다. (K8S.NODE_EICAR) 1 |
클라우드용 Microsoft Defender에서 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다. | 실행 | 높음 |
| kube-system 네임스페이스의 새 컨테이너가 검색됨 (K8S_KubeSystemContainer) 3 |
Kubernetes 감사 로그 분석에서 kube-system 네임스페이스에서 이 네임스페이스에서 일반적으로 실행되는 컨테이너에 속하지 않는 새 컨테이너를 검색했습니다. kube-system 네임스페이스에는 사용자 리소스가 포함되지 않아야 합니다. 공격자가 이 네임스페이스를 사용하여 악성 구성 요소를 숨길 수 있습니다. | 지속성 | 낮음 |
| 새 높은 권한 역할이 검색됨 (K8S_HighPrivilegesRole) 3 |
Kubernetes 감사 로그 분석에서 높은 권한이 있는 새 역할을 검색했습니다. 높은 권한이 있는 역할에 바인딩하면 클러스터에서 높은 권한이 사용자/그룹에 부여됩니다. 불필요한 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. | 지속성 | 낮음 |
| 가능한 공격 도구가 검색됨 (K8S.NODE_KnownLinuxAttackTool) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 도구 호출이 검색되었습니다. 이 도구는 다른 사용자를 공격하는 악의적인 사용자와 관련된 경우가 많습니다. | Execution, Collection, Command And Control, Probing | 중간 |
| 백도어 검색 가능 (K8S.NODE_LinuxBackdoorArtifact) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 파일이 다운로드되어 실행되고 있음이 검색되었습니다. 이 활동은 이전에 백도어 설치와 연결되었습니다. | Persistence, DefenseEvasion, Execution, Exploitation | 중간 |
| 가능한 명령줄 악용 시도 (K8S.NODE_ExploitAttempt) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 알려진 취약성에 대한 가능한 악용 시도가 검색되었습니다. | 악용 | 중간 |
| 가능한 자격 증명 액세스 도구가 검색됨 (K8S.NODE_KnownLinuxCredentialAccessTool) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 지정된 프로세스 및 명령줄 기록 항목으로 식별된 가능한 알려진 자격 증명 액세스 도구가 컨테이너에서 실행되고 있음이 검색되었습니다. 이 도구는 자격 증명에 액세스를 시도하는 공격자와 관련된 경우가 많습니다. | 자격 증명 액세스 | 중간 |
| 가능한 Cryptocoinminer 다운로드가 검색됨 (K8S.NODE_CryptoCoinMinerDownload) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 파일의 다운로드가 검색되었습니다. | DefenseEvasion, Command And Control, Exploitation | 중간 |
| 가능한 데이터 반출이 감지됨 (K8S.NODE_DataEgressArtifacts) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 가능한 데이터 송신 조건이 검색되었습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. | 컬렉션, 반출 | 중간 |
| 로그 변조 활동이 감지되었을 수 있음 (K8S.NODE_SystemLogRemoval) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 작업을 진행하는 중에 사용자의 작업을 추적하는 파일의 가능한 제거가 검색되었습니다. 공격자는 종종 이러한 로그 파일을 삭제하여 탐지를 회피하고 악의적인 활동의 흔적을 남기지 않으려고 합니다. | DefenseEvasion | 중간 |
| 암호화 방법을 사용한 가능한 암호 변경이 감지됨 (K8S.NODE_SuspectPasswordChange) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 crypt 메서드를 사용한 암호 변경이 검색되었습니다. 공격자는 이 변경을 수행하여 손상 후 액세스를 계속하고 지속성을 확보할 수 있습니다. | 자격 증명 액세스 | 중간 |
| 외부 IP 주소로 잠재적 포트 전달 (K8S.NODE_SuspectPortForwarding) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 포트 전달이 외부 IP 주소로 시작되었음이 검색되었습니다. | Exfiltration, Command And Control | 중간 |
| 잠재적인 역방향 셸이 검색됨 (K8S.NODE_ReverseShell) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 잠재적인 역방향 셸이 검색되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. | 반출, 악용 | 중간 |
| 권한 있는 컨테이너가 검색됨 (K8S_PrivilegedContainer) |
Kubernetes 감사 로그를 분석한 결과, 권한 있는 새 컨테이너가 감지되었습니다. 권한 있는 컨테이너는 노드의 리소스에 액세스할 수 있으며 컨테이너 간의 격리를 중단합니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 노드에 대한 액세스 권한을 얻을 수 있습니다. | 권한 상승 | 낮음 |
| 디지털 통화 마이닝 관련 프로세스가 감지됨 (K8S.NODE_CryptoCoinMinerArtifacts) 1 |
컨테이너 내에서 실행되는 프로세스를 분석한 결과, 일반적으로 디지털 통화 마이닝과 연결된 프로세스의 실행이 감지되었습니다. | 실행, 악용 | 중간 |
| 비정상적인 방법으로 SSH 권한 있는 키 파일에 액세스하는 프로세스 (K8S.NODE_SshKeyAccess) 1 |
SSH authorized_keys 파일이 알려진 맬웨어 캠페인과 유사한 방법으로 액세스되었습니다. 이 액세스는 작업자가 머신에 대한 영구 액세스를 시도 중임을 의미합니다. | Unknown | 낮음 |
| 클러스터 관리자 역할에 대한 역할 바인딩이 검색됨 (K8S_Cluster관리Binding) |
Kubernetes 감사 로그 분석에서 관리자 권한을 부여하는 클러스터 관리자 역할에 대한 새 바인딩을 검색했습니다. 불필요한 관리자 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. | 지속성 | 낮음 |
| 보안 관련 프로세스 종료가 감지됨 (K8S.NODE_SuspectProcessTermination) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 컨테이너의 보안 모니터링과 관련된 프로세스를 종료하려는 시도가 검색되었습니다. 공격자는 종종 손상 후 미리 정의된 스크립트를 사용하여 이러한 프로세스를 종료하려고 합니다. | 지속성 | 낮음 |
| SSH 서버가 컨테이너 내에서 실행되고 있습니다. (K8S.NODE_ContainerSSH) 1 |
컨테이너 내에서 실행되는 프로세스를 분석한 결과, 컨테이너 내에서 실행되는 SSH 서버가 감지되었습니다. | 실행 | 중간 |
| 의심스러운 파일 타임스탬프 수정 (K8S.NODE_TimestampTampering) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 타임스탬프 수정이 검색되었습니다. 공격자는 새로 삭제된 파일의 감지를 피하기 위해 기존의 합법적인 파일에서 새 도구로 타임스탬프를 복사하는 경우가 많습니다. | 지속성, DefenseEvasion | 낮음 |
| Kubernetes API에 대한 의심스러운 요청 (K8S.NODE_KubernetesAPI) 1 |
컨테이너 내에서 실행되는 프로세스 분석은 Kubernetes API에 의심스러운 요청이 있었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다. | 측면 이동 | 중간 |
| Kubernetes 대시보드에 대한 의심스러운 요청 (K8S.NODE_KubernetesDashboard) 1 |
컨테이너 내에서 실행 중인 프로세스 분석은 Kubernetes 대시보드에 의심스러운 요청이 있었음을 나타냅니다. 요청이 클러스터의 컨테이너에서 전송되었습니다. 이 동작은 의도적일 수 있지만 손상된 컨테이너가 클러스터에서 실행 중임을 나타낼 수 있습니다. | 측면 이동 | 중간 |
| 잠재적인 암호화 코인 마이너가 시작됨 (K8S.NODE_CryptoCoinMinerExecution) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 일반적으로 디지털 통화 마이닝과 연결된 방식으로 시작되는 프로세스가 검색되었습니다. | 실행 | 중간 |
| 의심스러운 암호 액세스 (K8S.NODE_SuspectPasswordFileAccess) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 암호화된 사용자 암호에 액세스하려는 의심스러운 시도가 검색되었습니다. | 지속성 | Informational |
| HTTPS를 통한 DNS의 의심스러운 사용 (K8S.NODE_SuspiciousDNSOverHttps) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 HTTPS를 통한 DNS 호출의 일반적이지 않은 사용이 검색되었습니다. 이 기술은 공격자가 의심스럽거나 악의적인 사이트에 대한 호출을 숨기는 데 사용됩니다. | DefenseEvasion, Exfiltration | 중간 |
| 악의적인 위치에 대한 가능한 연결이 검색되었습니다. (K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 악의적이거나 비정상적인 것으로 보고된 위치에 대한 연결이 검색되었습니다. 이는 손상이 발생했을 수 있음을 나타내는 지표입니다. | 초기 액세스 | 중간 |
| 악성 웹 셸이 감지되었을 수 있습니다. (K8S.NODE_Webshell) 1 |
컨테이너 내에서 실행되는 프로세스를 분석에서 가능한 역방향 셸이 감지되었습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨팅 리소스에 웹 셸을 업로드하는 경우가 많습니다. | 지속성, 악용 | 중간 |
| 여러 정찰 명령의 버스트는 손상 후 초기 활동을 나타낼 수 있음 (K8S.NODE_ReconnaissanceArtifactsBurst) 1 |
호스트/디바이스 데이터를 분석에서 초기 손상 후 공격자가 수행한 시스템 또는 호스트 세부 정보 수집과 관련된 여러 정찰 명령의 실행이 감지되었습니다. | 검색, 수집 | 낮음 |
| 의심스러운 다운로드 후 작업 실행 (K8S.NODE_DownloadAndRunCombo) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 파일이 다운로드된 다음, 동일한 명령으로 실행되는 것이 감지되었습니다. 항상 악의적인 것은 아니지만 공격자가 악성 파일을 피해자 컴퓨터에 가져오는 데 사용하는 매우 일반적인 기술입니다. | 실행, CommandAndControl, 악용 | 중간 |
| 디지털 통화 마이닝 활동 (K8S.NODE_CurrencyMining) 1 |
DNS 트랜잭션 분석에서 디지털 통화 마이닝 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다. | 반출 | 낮음 |
| kubelet kubeconfig 파일에 대한 액세스가 감지됨 (K8S.NODE_KubeConfigAccess) 1 |
Kubernetes 클러스터 노드에서 실행되는 프로세스를 분석한 결과 호스트의 kubeconfig 파일에 대한 액세스가 감지되었습니다. Kubelet 프로세스에서 일반적으로 사용되는 kubeconfig 파일에는 Kubernetes 클러스터 API 서버에 대한 자격 증명이 포함되어 있습니다. 이 파일에 대한 액세스는 종종 해당 자격 증명에 액세스하려는 공격자 또는 파일에 액세스할 수 있는지 확인하는 보안 검사 도구와 연결됩니다. | 자격 증명 액세스 | 중간 |
| 클라우드 메타데이터 서비스에 대한 액세스가 감지됨 (K8S.NODE_ImdsCall) 1 |
컨테이너 내에서 실행되는 프로세스를 분석한 결과 ID 토큰을 획득하기 위한 클라우드 메타데이터 서비스에 대한 액세스가 감지되었습니다. 컨테이너는 일반적으로 이러한 작업을 수행하지 않습니다. 이 동작은 합법적일 수 있지만 공격자는 실행 중인 컨테이너에 대한 초기 액세스 권한을 얻은 후 이 기술을 사용하여 클라우드 리소스에 액세스할 수 있습니다. | 자격 증명 액세스 | 중간 |
| MITRE Caldera 에이전트가 검색됨 (K8S.NODE_MitreCalderaTools) 1 |
컨테이너 내에서 또는 직접 Kubernetes 노드에서 실행되는 프로세스의 분석에서 의심스러운 프로세스가 검색되었습니다. 이는 다른 머신을 공격하는 데 악의적으로 사용될 수 있는 MITRE 54ndc47 에이전트와 연관된 경우가 많습니다. | Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation | 중간 |
1: AKS가 아닌 클러스터에 대한 미리 보기: 이 경고는 AKS 클러스터에서 일반적으로 사용할 수 있지만 Azure Arc, EKS 및 GKE와 같은 다른 환경에서는 미리 보기로 제공됩니다.
2: GKE 클러스터에 대한 제한 사항: GKE는 모든 경고 유형을 지원하지 않는 Kubernetes 감사 정책을 사용합니다. 따라서 Kubernetes 감사 이벤트를 기반으로 하는 이 보안 경고는 GKE 클러스터에 대해 지원되지 않습니다.
3: 이 경고는 Windows 노드/컨테이너에서 지원됩니다.
SQL Database 및 Azure Synapse Analytics에 대한 경고
| 경고 | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| SQL 삽입에 대한 가능한 취약성 (SQL. DB_VulnerabilityToSqlInjection Sql. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection Sql. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
애플리케이션이 데이터베이스에 잘못된 SQL 문을 생성했습니다. 이는 SQL 삽입 공격에 대한 가능한 취약성을 나타낼 수 있습니다. 잘못된 문에 대한 두 가지 가능한 이유가 있습니다. 애플리케이션 코드의 결함으로 잘못된 SQL 문이 생성되었을 수 있습니다. 또는 애플리케이션 코드 또는 저장 프로시저가 오류 SQL 문을 생성할 때 사용자 입력을 삭제하지 않았으므로 SQL 삽입에 악용될 수 있습니다. | 사전 공격 | 중간 |
| 잠재적으로 유해한 애플리케이션에 의한 로그온 시도 (SQL. DB_HarmfulApplication SQL.VM_HarmfulApplication SQL.MI_HarmfulApplication Sql. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다. | 사전 공격 | 높음 |
| 비정상적인 Azure 데이터 센터에서 로그온 (SQL. DB_DataCenterAnomaly Sql. VM_DataCenterAnomaly Sql. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
비정상적인 Azure Data Center에서 누군가가 서버에 로그인한 SQL Server에 대한 액세스 패턴이 변경되었습니다. 어떤 경우에 경고는 합법적인 작업(새 응용 프로그램 또는 Azure 서비스)을 감지합니다. 다른 경우 경고는 악의적인 작업(Azure에서 위반된 리소스에서 작동하는 공격자)을 검색합니다. | 검색 | 낮음 |
| 비정상적인 위치에서 로그온 (SQL. DB_GeoAnomaly SQL.VM_GeoAnomaly SQL.DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
누군가가 비정상적인 지리적 위치에서 서버에 로그인한 SQL Server에 대한 액세스 패턴이 변경되었습니다. 일부 경우에서 경고는 합법적인 작업(새 애플리케이션 또는 개발자 유지 관리)을 검색합니다. 다른 경우에 경고는 악의적인 작업(퇴사 직원 또는 외부 공격자)을 감지합니다. | 악용 | 중간 |
| 60일 동안 표시되지 않는 주 사용자의 로그인 (SQL. DB_PrincipalAnomaly SQL.VM_PrincipalAnomaly Sql. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
지난 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. | 악용 | 중간 |
| 60일 동안 볼 수 없는 기본 로그인 (SQL. DB_Do기본안말리 Sql. VM_Do기본안말리 Sql. DW_Do기본안말리 SQL.MI_Do기본안말리 Synapse.SQLPool_Do기본안말리) |
사용자가 할 일에서 리소스에 로그인했으며기본 지난 60일 동안 다른 사용자가 연결되지 않았습니다. 이 리소스가 새 리소스이거나 리소스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. | 악용 | 중간 |
| 의심스러운 IP에서 로그인 (SQL. DB_SuspiciousIpAnomaly Sql. VM_SuspiciousIpAnomaly Sql. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
Microsoft Threat Intelligence가 의심스러운 활동과 연결한 IP 주소에서 리소스에 성공적으로 액세스했습니다. | 사전 공격 | 중간 |
| 잠재적인 SQL 삽입 (SQL. DB_PotentialSqlInjection Sql. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection Sql. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
SQL 삽입에 취약한 식별된 애플리케이션에 대해 활성 악용이 발생했습니다. 즉, 공격자가 취약한 애플리케이션 코드 또는 저장 프로시저를 사용하여 악의적인 SQL 문을 삽입하려고 합니다. | 사전 공격 | 높음 |
| 유효한 사용자를 사용한 무차별 암호 대입 공격 의심 (SQL.DB_BruteForce SQL.VM_BruteForce Sql. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자는 로그인 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다. | 사전 공격 | 높음 |
| 무차별 암호 대입 공격 의심 (SQL.DB_BruteForce SQL.VM_BruteForce Sql. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. | 사전 공격 | 높음 |
| 무차별 암호 대입 공격 성공 의심 (SQL.DB_BruteForce SQL.VM_BruteForce Sql. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
리소스에 대한 명백한 무차별 암호 대입 공격 후 로그인에 성공했습니다. | 사전 공격 | 높음 |
| SQL Server가 잠재적으로 Windows 명령 셸을 생성하고 비정상적인 외부 원본에 액세스했습니다. (SQL. DB_ShellExternalSourceAnomaly Sql. VM_ShellExternalSourceAnomaly Sql. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
의심스러운 SQL 문은 이전에 볼 수 없었던 외부 원본이 있는 Windows 명령 셸을 생성할 수 있습니다. 외부 원본에 액세스하는 셸을 실행하는 것은 공격자가 악의적인 페이로드를 다운로드한 다음 컴퓨터에서 실행하여 손상시키는 데 사용하는 방법입니다. 이렇게 하면 공격자가 원격 방향으로 악의적인 작업을 수행할 수 있습니다. 또는 외부 원본에 액세스하여 외부 대상으로 데이터를 전송할 수 있습니다. | 실행 | 높음 |
| 난독 처리된 부품이 있는 비정상적인 페이로드가 SQL Server에 의해 시작되었습니다. (SQL. VM_PotentialSqlInjection) |
누군가가 SQL 쿼리에서 명령을 숨기면서 운영 체제와 통신하는 SQL Server의 계층을 활용하는 새 페이로드를 시작했습니다. 공격자는 일반적으로 xp_cmdshell, sp_add_job 등과 같이 널리 모니터링되는 영향력 있는 명령을 숨깁니다. 난독 처리 기술은 문자열 연결, 캐스팅, 기본 변경 등과 같은 합법적인 명령을 남용하여 정규식 검색을 방지하고 로그의 가독성을 손상시킵니다. | 실행 | 높음 |
오픈 소스 관계형 데이터베이스에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 유효한 사용자를 사용한 무차별 암호 대입 공격 의심 (SQL.PostgreSQL_BruteForce Sql. MariaDB_BruteForce Sql. MySQL_BruteForce) |
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자는 로그인 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다. | 사전 공격 | 높음 |
| 무차별 암호 대입 공격 성공 의심 (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce Sql. MariaDB_BruteForce) |
리소스에 대한 명백한 무차별 암호 대입 공격 후 로그인에 성공했습니다. | 사전 공격 | 높음 |
| 무차별 암호 대입 공격 의심 (SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce Sql. MariaDB_BruteForce) |
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. | 사전 공격 | 높음 |
| 잠재적으로 유해한 애플리케이션에 의한 로그온 시도 (SQL. PostgreSQL_HarmfulApplication Sql. MariaDB_HarmfulApplication Sql. MySQL_HarmfulApplication) |
잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다. | 사전 공격 | 높음 |
| 60일 동안 표시되지 않는 주 사용자의 로그인 (SQL.PostgreSQL_PrincipalAnomaly SQL.MariaDB_PrincipalAnomaly Sql. MySQL_PrincipalAnomaly) |
지난 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. | 악용 | 중간 |
| 60일 동안 볼 수 없는 기본 로그인 (SQL. MariaDB_Do기본안말리 SQL.PostgreSQL_DomainAnomaly Sql. MySQL_Do기본안말리) |
사용자가 할 일에서 리소스에 로그인했으며기본 지난 60일 동안 다른 사용자가 연결되지 않았습니다. 이 리소스가 새 리소스이거나 리소스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다. | 악용 | 중간 |
| 비정상적인 Azure 데이터 센터에서 로그온 (SQL.PostgreSQL_DataCenterAnomaly SQL.MariaDB_DataCenterAnomaly Sql. MySQL_DataCenterAnomaly) |
비정상적인 Azure 데이터 센터에서 리소스에 로그온한 사람 | 검색 | 낮음 |
| 비정상적인 클라우드 공급자에서 로그온 (SQL. PostgreSQL_CloudProviderAnomaly Sql. MariaDB_CloudProviderAnomaly Sql. MySQL_CloudProviderAnomaly) |
지난 60일 동안 표시되지 않은 클라우드 공급자의 리소스에 로그온한 사람이 있습니다. 위협 행위자는 캠페인에서 사용할 일회성 컴퓨팅 능력을 쉽고 빠르게 얻을 수 있습니다. 새 클라우드 공급자의 최근 채택으로 인해 예상되는 동작인 경우 클라우드용 Defender는 시간이 지남에 따라 학습하고 향후 가양성 방지를 시도합니다. | 악용 | 중간 |
| 비정상적인 위치에서 로그온 (SQL. MariaDB_GeoAnomaly Sql. PostgreSQL_GeoAnomaly Sql. MySQL_GeoAnomaly) |
비정상적인 Azure 데이터 센터에서 리소스에 로그온한 사람 | 악용 | 중간 |
| 의심스러운 IP에서 로그인 (SQL. PostgreSQL_SuspiciousIpAnomaly SQL.MariaDB_SuspiciousIpAnomaly Sql. MySQL_SuspiciousIpAnomaly) |
Microsoft Threat Intelligence가 의심스러운 활동과 연결한 IP 주소에서 리소스에 성공적으로 액세스했습니다. | 사전 공격 | 중간 |
Resource Manager에 대한 경고
참고 항목
위임된 액세스 표시가 있는 경고는 타사 서비스 공급자의 활동으로 인해 트리거됩니다. 서비스 공급자 활동 표시에 대해 자세히 알아봅니다.
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 의심스러운 IP 주소에서 Azure Resource Manager 작업 (ARM_OperationFromSuspiciousIP) |
Resource Manager용 Microsoft Defender는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 발견했습니다. | 실행 | 중간 |
| 의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업 (ARM_OperationFromSuspiciousProxyIP) |
Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다. | 방어 회피 | 중간 |
| 구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AzDomainInfo) |
PowerShell 스크립트는 구독에서 실행되었으며 리소스, 권한 및 네트워크 구조를 검색하기 위해 정보 수집 작업을 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대한 정보를 수집합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | - | 낮음 |
| 구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AzureDo기본Info) |
PowerShell 스크립트는 구독에서 실행되었으며 리소스, 권한 및 네트워크 구조를 검색하기 위해 정보 수집 작업을 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대한 정보를 수집합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | - | 낮음 |
| 가상 머신에서 코드를 실행하는 데 사용되는 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AzVMBulkCMD) |
PowerShell 스크립트는 구독에서 실행되었으며 VM 또는 VM 목록에서 코드를 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동을 위해 VM에서 스크립트를 실행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | 실행 | 높음 |
| 가상 머신에서 코드를 실행하는 데 사용되는 MicroBurst 악용 도구 키트 (RM_MicroBurst.AzureRmVMBulkCMD) |
MicroBurst의 악용 도구 키트는 가상 머신에서 코드를 실행하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| Azure Key Vault에서 키를 추출하는 데 사용되는 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AzKeyVaultKeysREST) |
PowerShell 스크립트는 구독에서 실행되었으며 Azure Key Vault에서 키를 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 이를 사용하여 중요한 데이터에 액세스하거나 횡적 이동을 수행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | - | 높음 |
| 스토리지 계정에 키를 추출하는 데 사용되는 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AZStorageKeysREST) |
PowerShell 스크립트가 구독에서 실행되었으며 스토리지 계정에 키를 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 이를 사용하여 스토리지 계정의 중요한 데이터에 액세스합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | 컬렉션 | 높음 |
| Azure Key Vault에서 비밀을 추출하는 데 사용되는 MicroBurst 악용 도구 키트 (ARM_MicroBurst.AzKeyVaultSecretsREST) |
PowerShell 스크립트는 구독에서 실행되었으며 Azure Key Vault에서 비밀을 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 비밀을 나열하고 이를 사용하여 중요한 데이터에 액세스하거나 횡적 이동을 수행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | - | 높음 |
| Azure AD에서 Azure로 액세스를 상승시키는 데 사용되는 PowerZure 악용 도구 키트 (ARM_PowerZure.AzureElevatedPrivileges) |
PowerZure 악용 도구 키트는 AzureAD에서 Azure로의 액세스를 상승시키는 데 사용되었습니다. 이는 테넌트에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| 리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용됨 (ARM_PowerZure.GetAzureTargets) |
PowerZure 악용 도구 키트는 조직의 합법적인 사용자 계정을 대신하여 리소스를 열거하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | 컬렉션 | 높음 |
| 스토리지 컨테이너, 공유 및 테이블을 열거하는 데 사용되는 PowerZure 악용 도구 키트 (ARM_PowerZure.ShowStorageContent) |
PowerZure 악용 도구 키트는 스토리지 공유, 테이블 및 컨테이너를 열거하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| 구독에서 Runbook을 실행하는 데 사용되는 PowerZure 악용 도구 키트 (ARM_PowerZure.StartRunbook) |
Runbook을 실행하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| Runbook 콘텐츠를 추출하는 데 사용되는 PowerZure 악용 도구 키트 (ARM_PowerZure.AzureRunbookContent) |
PowerZure 악용 도구 키트는 Runbook 콘텐츠를 추출하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | 컬렉션 | 높음 |
| 미리 보기 - Azurite 도구 키트 실행이 검색됨 (ARM_Azurite) |
알려진 클라우드 환경 정찰 도구 키트의 실행이 사용자 환경에서 감지되었습니다. Azurite 도구는 공격자(또는 침투 테스터)가 구독 리소스를 매핑하고 안전하지 않은 구성을 식별하는 데 사용할 수 있습니다. | 컬렉션 | 높음 |
| 미리 보기 - 의심스러운 컴퓨팅 리소스 만들기가 탐지됨 (ARM_SuspiciousComputeCreation) |
Resource Manager용 Microsoft Defender 구독에서 가상 머신/Azure 스케일링 집합을 사용하는 컴퓨팅 리소스의 의심스러운 만들기를 식별했습니다. 식별된 작업은 관리자가 필요할 때 새로운 리소스를 배포하여 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이러한 작업은 합법적일 수 있지만, 위협 행위자는 이러한 작업을 암호화 마이닝에 활용할 수 있습니다. 이 작업은 컴퓨팅 리소스 규모가 이전에 구독에서 관찰된 것보다 높으므로 의심스러운 것으로 간주됩니다. 이는 보안 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. |
영향 | 중간 |
| 미리 보기 - 의심스러운 키 자격 증명 모음 복구가 검색됨 (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender for Resource Manager에서 일시 삭제된 키 자격 증명 모음 리소스에 대한 의심스러운 복구 작업을 검색했습니다. 리소스를 복구하는 사용자는 리소스를 삭제한 사용자와 다릅니다. 사용자가 이러한 작업을 거의 호출하지 않으므로 이는 매우 의심스럽습니다. 또한 사용자는 MFA(다단계 인증) 없이 로그온했습니다. 이는 사용자가 손상되어 중요한 리소스에 액세스하거나 네트워크를 통해 횡적 이동을 수행하기 위해 비밀 및 키를 검색하려고 시도 중임을 나타낼 수 있습니다. |
수평 이동 | 중간/높음 |
| 미리 보기 - 비활성 계정을 사용하는 의심스러운 관리 세션이 검색됨 (ARM_UnusedAccountPersistence) |
구독 활동 로그 분석을 통해 의심스러운 동작이 감지되었습니다. 오랫동안 사용하지 않는 보안 주체는 이제 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. | 지속성 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '자격 증명 액세스' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.CredentialAccess) |
Resource Manager용 Microsoft Defender는 자격 증명에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 자격 증명 액세스 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '데이터 수집' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.Collection) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 컬렉션 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '방어 회피' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.DefenseEvasion) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 방어 회피 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 방어 회피 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '실행' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.Execution) |
Resource Manager용 Microsoft Defender는 구독의 머신에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 방어 실행 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '영향' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.Impact) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 구성 변경 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 영향 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '초기 액세스' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.InitialAccess) |
Resource Manager용 Microsoft Defender는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스 권한을 얻을 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 초기 액세스 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '횡적 이동 액세스' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.LateralMovement) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 수평 이동 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '지속성' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.Persistence) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경에서 지속성을 설정할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 지속성 | 중간 |
| 미리 보기 - 검색된 서비스 주체에 의한 고위험 '권한 에스컬레이션' 작업의 의심스러운 호출 (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 상승시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 권한 상승 | 중간 |
| 미리 보기 - 비활성 계정을 사용하는 의심스러운 관리 세션이 검색됨 (ARM_UnusedAccountPersistence) |
구독 활동 로그 분석을 통해 의심스러운 동작이 감지되었습니다. 오랫동안 사용하지 않는 보안 주체는 이제 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. | 지속성 | 중간 |
| 미리 보기 - PowerShell을 사용한 의심스러운 관리 세션이 감지됨 (ARM_UnusedAppPowershellPersistence) |
구독 활동 로그 분석을 통해 의심스러운 동작이 감지되었습니다. 구독 환경을 관리하는 데 정기적으로 PowerShell을 사용하지 않는 보안 주체가 현재 PowerShell을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. | 지속성 | 중간 |
| 미리 보기 – Azure Portal을 사용하는 의심스러운 관리 세션이 검색됨 (ARM_UnusedAppIbizaPersistence) |
구독 활동 로그를 분석한 결과 의심스러운 동작이 감지되었습니다. Azure Portal(Ibiza)을 정기적으로 사용하여 구독 환경을 관리하지 않는 보안 주체(지난 45일 동안 Azure Portal을 사용하여 관리하지 않았거나 적극적으로 관리 중인 구독)는 이제 Azure Portal을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. | 지속성 | 중간 |
| 의심스러운 방식으로 구독에 대해 생성된 권한 있는 사용자 지정 역할(미리 보기) (ARM_PrivilegedRoleDefinitionCreation) |
Resource Manager용 Azure Defender가 구독에서 의심스러운 방식으로 생성된 권한 있는 사용자 지정 역할 정의를 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 향후 탐지를 회피하는 데 사용할 권한 있는 역할을 만들려고 시도 중임을 나타낼 수 있습니다. | 권한 상승, 방어 회피 | 낮음 |
| 의심스러운 Azure 역할 할당 검색됨(미리 보기) (ARM_AnomalousRBACRoleAssignment) |
Resource Manager용 Microsoft Defender는 조직의 계정이 손상되었음을 나타낼 수 있는 테넌트에서 PIM(Privileged Identity Management)을 사용하여 수행된 의심스러운 Azure 역할 할당을 식별했습니다. 식별된 작업은 관리자가 주체에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있도록 설계되었습니다. 이 작업이 합법적일 수는 있지만 위협 작업자는 역할 할당을 활용하여 권한을 확대한 후 공격을 진행할 수 있습니다. | 수평 이동, 방어 우회 | 낮음(PIM)/높음 |
| 위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기) (ARM_AnomalousOperation.CredentialAccess) |
Resource Manager용 Microsoft Defender는 자격 증명에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 자격 증명 액세스 | 중간 |
| 고위험 '데이터 컬렉션' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Collection) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 컬렉션 | 중간 |
| 고위험 '방어 회피' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.DefenseEvasion) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 방어 회피 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 방어 회피 | 중간 |
| 고위험 '실행' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Execution) |
Resource Manager용 Microsoft Defender는 구독의 머신에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 실행 | 중간 |
| 고위험 '영향' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Impact) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 구성 변경 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 영향 | 중간 |
| 위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기) (ARM_AnomalousOperation.InitialAccess) |
Resource Manager용 Microsoft Defender는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스 권한을 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | Initial Access | 중간 |
| 고위험 '측면 이동' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.LateralMovement) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 측면 확대 | 중간 |
| 의심스러운 권한 상승 액세스 작업(미리 보기)(ARM_AnomalousElevateAccess) | Resource Manager용 Microsoft Defender에서 의심스러운 "액세스 권한 상승" 작업을 확인했습니다. 이 보안 주체는 이러한 작업을 거의 호출하지 못하므로 활동이 의심스러운 것으로 간주됩니다. 이 활동은 합법적일 수 있지만 위협 행위자는 "액세스 권한 상승" 작업을 활용하여 손상된 사용자에 대한 권한 에스컬레이션을 수행할 수 있습니다. | 권한 상승 | 중간 |
| 고위험 '지속성' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Persistence) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 지속성 | 중간 |
| 고위험 '권한 상승' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.PrivilegeEscalation) |
Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했는데, 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 상승시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. | 권한 상승 | 중간 |
| MicroBurst 악용 도구 키트를 사용하여 임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출 (ARM_MicroBurst.RunCodeOnBehalf) |
PowerShell 스크립트는 구독에서 실행되었으며 임의의 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대해 임의의 코드를 실행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다. | 지속성, 자격 증명 액세스 | 높음 |
| NetSPI 기술을 사용하여 Azure 환경에서 지속성을 기본 (ARM_NetSPI.MaintainPersistence) |
NetSPI 지속성 기술을 사용하여 웹후크 백도어 만들기 및 Azure 환경에서 지속성을 기본. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| 임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 PowerZure 악용 도구 키트 사용 (ARM_PowerZure.RunCodeOnBehalf) |
PowerZure 악용 도구 키트가 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출하려고 시도하는 것을 감지했습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| Azure 환경에서 지속성을 기본 데 PowerZure 함수 사용 (ARM_PowerZure.MaintainPersistence) |
PowerZure 악용 도구 키트는 Azure 환경에서 지속성을 기본 위해 웹후크 백도어를 만드는 것을 감지했습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. | - | 높음 |
| 의심스러운 클래식 역할 할당 검색됨(미리 보기) (ARM_AnomalousClassicRoleAssignment) |
Resource Manager용 Microsoft Defender는 조직의 계정이 손상되었음을 나타낼 수 있는 테넌트의 의심스러운 클래식 역할 할당을 식별했습니다. 식별된 작업은 더 이상 일반적으로 사용되지 않는 이전 클래식 역할과의 호환성을 제공하도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 할당을 활용하여 제어하는 다른 사용자 계정에 권한을 부여할 수 있습니다. | 수평 이동, 방어 우회 | 높음 |
Azure Storage에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 의심스러운 애플리케이션에서 액세스 (Storage.Blob_SuspiciousApp) |
의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다. 이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 얻었고 이를 악용하고 있음을 나타내는 것일 수 있습니다. 이는 또한 조직에서 수행된 침투 테스트의 표시일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | 높음/보통 |
| 의심스러운 IP 주소에서 액세스 (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
의심스러운 것으로 간주되는 IP 주소에서 이 스토리지 계정에 성공적으로 액세스했음을 나타냅니다. 이 경고는 Microsoft 위협 인텔리전스를 통해 지원됩니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
사전 공격 | 높음/중간/낮음 |
| 스토리지 계정에서 호스트되는 피싱 콘텐츠 (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
피싱 공격에 사용되는 URL은 Azure Storage 계정을 가리킵니다. 이 URL은 Microsoft 365 사용자에게 영향을 주는 피싱 공격의 일부였습니다. 일반적으로 이러한 페이지에서 호스트되는 콘텐츠는 방문자가 합법적인 웹 양식에 회사 자격 증명 또는 재무 정보를 입력하도록 속이도록 설계되었습니다. 이 경고는 Microsoft 위협 인텔리전스를 통해 지원됩니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. 적용 대상: Azure Blob Storage, Azure Files |
컬렉션 | 높음 |
| 맬웨어 배포를 위한 원본으로 식별된 스토리지 계정 (Storage.Files_WidespreadeAm) |
맬웨어 방지 경고는 감염된 파일이 여러 VM에 탑재된 Azure 파일 공유에 저장됨을 나타냅니다. 공격자가 탑재된 Azure 파일 공유를 사용하여 VM에 액세스하는 경우 이를 사용하여 동일한 공유를 탑재하는 다른 VM에 맬웨어를 전파할 수 있습니다. 적용 대상: Azure Files |
실행 | 중간 |
| 인증되지 않은 공용 액세스를 허용하도록 잠재적으로 중요한 스토리지 Blob 컨테이너의 액세스 수준이 변경되었습니다. (Storage.Blob_OpenACL) |
경고는 누군가가 인증되지 않은(익명) 공용 액세스를 허용하도록 중요한 데이터를 포함할 수 있는 스토리지 계정의 Blob 컨테이너의 액세스 수준을 '컨테이너' 수준으로 변경했음을 나타냅니다. Azure Portal을 통해 변경되었습니다. 통계 분석에 따라 Blob 컨테이너는 중요한 데이터를 포함하는 것으로 플래그가 지정됩니다. 이 분석에 따르면 이름이 비슷한 Blob 컨테이너 또는 스토리지 계정은 일반적으로 공용 액세스에 노출되지 않습니다. 적용 대상: Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
컬렉션 | 중간 |
| Tor 종료 노드에서 인증된 액세스 (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
스토리지 계정의 하나 이상의 스토리지 컨테이너/파일 공유가 Tor(익명 프록시)의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. 공격자는 Tor를 사용하여 자신의 작업을 역추적하기 어렵게 만듭니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
초기 액세스/사전 공격 | 높음/보통 |
| 비정상적인 위치에서 스토리지 계정으로 액세스 (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Azure Storage 계정에 대한 액세스 패턴이 변경되었음을 나타냅니다. 최근 활동과 비교할 때 익숙하지 않은 것으로 간주되는 IP 주소를 통해 누군가가 이 계정에 액세스했습니다. 공격자가 계정에 대한 액세스 권한을 얻었거나 합법적인 사용자가 신규 또는 비정상적인 지리적 위치에서 연결되었습니다. 후자의 예는 새 애플리케이션 또는 개발자의 원격 기본 테넌트입니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Initial Access | 높음/중간/낮음 |
| 스토리지 컨테이너에 대한 비정상적인 인증되지 않은 액세스 (Storage.Blob_AnonymousAccessAnomaly) |
이 스토리지 계정은 일반적인 액세스 패턴의 변경인 인증 없이 액세스되었습니다. 이 컨테이너에 대한 읽기 액세스는 일반적으로 인증됩니다. 이는 공격자가 이 스토리지 계정의 스토리지 컨테이너에 대한 공용 읽기 권한을 악용할 수 있음을 나타낼 수 있습니다. 적용 대상: Azure Blob Storage |
Initial Access | 높음/낮음 |
| 스토리지 계정에 업로드된 잠재적 맬웨어 (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
잠재적 맬웨어가 들어 있는 Blob이 스토리지 계정의 Blob 컨테이너 또는 파일 공유에 업로드되었음을 나타납니다. 이 경고는 바이러스, 트로이 목마, 스파이웨어 및 랜섬웨어에 대한 해시를 포함하는 Microsoft 위협 인텔리전스의 기능을 활용하는 해시 평판 분석을 기반으로 합니다. 잠재적 원인에는 공격자의 의도적인 맬웨어 업로드 또는 합법적인 사용자가 잠재적으로 악의적인 Blob을 의도치 않게 업로드하는 경우가 있을 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files(REST API를 통해 트랜잭션에만 해당) Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. |
측면 확대 | 높음 |
| 공개적으로 액세스할 수 있는 스토리지 컨테이너가 성공적으로 검색되었습니다. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
지난 1시간 동안 검사 스크립트 또는 도구를 사용하여 스토리지 계정에서 공개적으로 열린 스토리지 컨테이너를 성공적으로 발견했습니다. 이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다. 공격자는 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검사할 수 있습니다. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
컬렉션 | 높음/보통 |
| 공개적으로 액세스할 수 있는 스토리지 컨테이너 검사 실패 (Storage.Blob_OpenContainersScanning.FailedAttempt) |
지난 1시간 동안 공개적으로 열린 스토리지 컨테이너를 검사하려는 일련의 실패 시도가 수행되었습니다. 이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다. 공격자는 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검사할 수 있습니다. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
컬렉션 | 높음/낮음 |
| 스토리지 계정에서 비정상적인 액세스 검사 (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
스토리지 계정의 액세스 권한이 이 계정의 최근 활동과 비교하여 비정상적인 방식으로 검사되었음을 나타냅니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files |
검색 | 높음/보통 |
| 스토리지 계정에서 추출된 비정상적인 양의 데이터 (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
이 스토리지 컨테이너의 최근 활동에 비해 비정상적으로 많은 양의 데이터가 추출되었음을 나타냅니다. 잠재적인 원인은 공격자가 Blob Storage를 보유하는 컨테이너에서 대량의 데이터를 추출한 것입니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
반출 | 높음/낮음 |
| 비정상적인 애플리케이션이 스토리지 계정에 액세스했습니다. (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
비정상적인 애플리케이션이 이 스토리지 계정에 액세스했음을 나타냅니다. 잠재적 원인은 공격자가 새 응용 프로그램을 사용 하여 저장소 계정에 액세스한 것일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files |
실행 | 높음/보통 |
| 스토리지 계정에서 비정상적인 데이터 탐색 (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
스토리지 계정의 Blob 또는 컨테이너가 이 계정의 최근 활동과 비교하여 비정상적인 방식으로 열거되었음을 나타냅니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files |
실행 | 높음/보통 |
| 스토리지 계정에서 비정상적인 삭제 (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
이 계정의 최근 활동과 비교할 때 저장소 계정에서 하나 이상의 예기치 않은 삭제 작업이 발생한 것으로 나타납니다. 잠재적인 원인은 공격자가 스토리지 계정에서 데이터를 삭제한 것입니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
반출 | 높음/보통 |
| 중요한 Blob 컨테이너에 대한 비정상적인 인증되지 않은 공용 액세스(미리 보기) Storage.Blob_AnonymousAccessAnomaly.Sensitive |
경고는 누군가가 외부(공용) IP 주소를 사용하여 인증 없이 스토리지 계정에서 중요한 데이터가 있는 Blob 컨테이너에 액세스했음을 나타냅니다. Blob 컨테이너는 공용 액세스에 열려 있고 일반적으로 내부 네트워크(개인 IP 주소)의 인증으로만 액세스되므로 이 액세스는 의심스럽습니다. 이 액세스는 Blob 컨테이너의 액세스 수준이 잘못 구성되었으며 악의적인 행위자가 공용 액세스를 악용했을 수 있음을 나타낼 수 있습니다. 보안 경고에는 검색된 중요한 정보 컨텍스트(검색 시간, 분류 레이블, 정보 형식 및 파일 형식)가 포함됩니다. 중요한 데이터 위협 감지에 대해 자세히 알아봅니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
Initial Access | 높음 |
| 중요한 Blob 컨테이너에서 추출된 비정상적인 양의 데이터(미리 보기) Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive |
경고는 누군가가 스토리지 계정에 중요한 데이터가 있는 Blob 컨테이너에서 비정상적으로 많은 수의 Blob을 추출했음을 나타냅니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
반출 | 중간 |
| 중요한 Blob 컨테이너에서 추출된 비정상적인 수의 Blob(미리 보기) Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive |
경고는 누군가가 스토리지 계정의 중요한 데이터가 있는 Blob 컨테이너에서 비정상적으로 많은 양의 데이터를 추출했음을 나타냅니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
반출 | |
| 알려진 의심스러운 애플리케이션에서 중요한 Blob 컨테이너로 액세스(미리 보기) Storage.Blob_SuspiciousApp.Sensitive |
경고는 알려진 의심스러운 애플리케이션을 가진 사람이 스토리지 계정의 중요한 데이터가 있는 Blob 컨테이너에 액세스하고 인증된 작업을 수행했음을 나타냅니다. 액세스는 위협 행위자가 알려진 의심스러운 애플리케이션을 사용하여 스토리지 계정에 액세스하기 위한 자격 증명을 획득했음을 나타낼 수 있습니다. 그러나 액세스는 조직에서 수행된 침투 테스트를 나타낼 수도 있습니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
Initial Access | 높음 |
| 알려진 의심스러운 IP 주소에서 중요한 Blob 컨테이너로의 액세스(미리 보기) Storage.Blob_SuspiciousIp.Sensitive |
경고는 누군가가 Microsoft Threat Intelligence의 위협 인텔과 연결된 알려진 의심스러운 IP 주소에서 스토리지 계정의 중요한 데이터가 있는 Blob 컨테이너에 액세스했음을 나타냅니다. 액세스가 인증되었으므로 이 스토리지 계정에 대한 액세스를 허용하는 자격 증명이 손상되었을 수 있습니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
사전 공격 | 높음 |
| Tor 종료 노드에서 중요한 Blob 컨테이너로 액세스(미리 보기) Storage.Blob_TorAnomaly.Sensitive |
경고는 TOR 종료 노드로 알려진 IP 주소를 가진 사람이 인증된 액세스 권한이 있는 스토리지 계정의 중요한 데이터가 있는 Blob 컨테이너에 액세스했음을 나타냅니다. Tor 종료 노드에서 인증된 액세스는 행위자가 악의적인 의도로 익명으로 다시 기본 것을 강력하게 나타냅니다. 액세스가 인증되었으므로 이 스토리지 계정에 대한 액세스를 허용하는 자격 증명이 손상되었을 수 있습니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
사전 공격 | 높음 |
| 비정상적인 위치에서 중요한 Blob 컨테이너로 액세스(미리 보기) Storage.Blob_GeoAnomaly.Sensitive |
경고는 누군가가 비정상적인 위치에서 인증을 통해 스토리지 계정의 중요한 데이터가 있는 Blob 컨테이너에 액세스했음을 나타냅니다. 액세스가 인증되었으므로 이 스토리지 계정에 대한 액세스를 허용하는 자격 증명이 손상되었을 수 있습니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
Initial Access | 중간 |
| 인증되지 않은 공용 액세스를 허용하도록 중요한 스토리지 Blob 컨테이너의 액세스 수준이 변경되었습니다(미리 보기). Storage.Blob_OpenACL.Sensitive |
경고는 누군가가 중요한 데이터를 포함하는 스토리지 계정의 Blob 컨테이너의 액세스 수준을 인증되지 않은(익명) 공용 액세스를 허용하는 '컨테이너' 수준으로 변경했음을 나타냅니다. Azure Portal을 통해 변경되었습니다. 액세스 수준 변경은 데이터의 보안을 손상시킬 수 있습니다. 이 경고가 트리거되는 경우 데이터를 보호하고 무단 액세스를 방지하기 위해 즉각적인 조치를 취하는 것이 좋습니다. 적용 대상: 데이터 민감도 위협 검색 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
컬렉션 | 높음 |
| 지나치게 허용되는 SAS 토큰을 사용하여 Azure Storage 계정에 대한 의심스러운 외부 액세스(미리 보기) Storage.Blob_AccountSas.InternalSasUsedExternally |
경고는 외부(공용) IP 주소를 가진 사용자가 만료 날짜가 긴 지나치게 허용되는 SAS 토큰을 사용하여 스토리지 계정에 액세스했음을 나타냅니다. SAS 토큰은 일반적으로 내부 네트워크(개인 IP 주소)에서만 사용되므로 이러한 유형의 액세스는 의심스러운 것으로 간주됩니다. 이 활동은 SAS 토큰이 악의적인 행위자가 유출했거나 합법적인 원본에서 의도치 않게 유출되었음을 나타낼 수 있습니다. 액세스가 합법적인 경우에도 만료 날짜가 긴 높은 사용 권한 SAS 토큰을 사용하는 것은 보안 모범 사례에 위배되며 잠재적인 보안 위험을 초래합니다. 적용 대상: 새 Defender for Storage 계획을 사용하는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
반출 / 리소스 개발 / 영향 | 중간 |
| 지나치게 허용되는 SAS 토큰을 사용하여 Azure Storage 계정에 대한 의심스러운 외부 작업(미리 보기) Storage.Blob_AccountSas.UnusualOperationFromExternalIp |
경고는 외부(공용) IP 주소를 가진 사용자가 만료 날짜가 긴 지나치게 허용되는 SAS 토큰을 사용하여 스토리지 계정에 액세스했음을 나타냅니다. 이 SAS 토큰을 사용하여 네트워크 외부에서 호출된 작업(개인 IP 주소가 아님)은 일반적으로 특정 읽기/쓰기/삭제 작업 집합에 사용되지만 다른 작업이 발생하여 액세스가 의심스럽기 때문에 액세스가 의심스러운 것으로 간주됩니다. 이 활동은 SAS 토큰이 악의적인 행위자가 유출했거나 의도치 않게 합법적인 원본에서 유출되었음을 나타낼 수 있습니다. 액세스가 합법적인 경우에도 만료 날짜가 긴 높은 사용 권한 SAS 토큰을 사용하는 것은 보안 모범 사례에 위배되며 잠재적인 보안 위험을 초래합니다. 적용 대상: 새 Defender for Storage 계획을 사용하는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
반출 / 리소스 개발 / 영향 | 중간 |
| 공용 IP 주소(미리 보기)에서 Azure Storage 계정에 액세스하는 데 비정상적인 SAS 토큰이 사용되었습니다. Storage.Blob_AccountSas.UnusualExternalAccess |
경고는 외부(공용) IP 주소를 가진 사용자가 계정 SAS 토큰을 사용하여 스토리지 계정에 액세스했음을 나타냅니다. SAS 토큰을 사용하는 스토리지 계정에 대한 액세스는 일반적으로 내부(개인) IP 주소에서만 제공되므로 액세스는 매우 이례적이고 의심스러운 것으로 간주됩니다. SAS 토큰이 조직 내에서 또는 외부에서 악의적인 행위자가 이 스토리지 계정에 액세스하기 위해 유출되거나 생성되었을 수 있습니다. 적용 대상: 새 Defender for Storage 계획을 사용하는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
반출 / 리소스 개발 / 영향 | 낮음 |
| 스토리지 계정에 업로드된 악성 파일 Storage.Blob_AM. MalwareFound |
경고는 악의적인 Blob이 스토리지 계정에 업로드되었음을 나타냅니다. 이 보안 경고는 스토리지용 Defender의 맬웨어 검색 기능에 의해 생성됩니다. 잠재적 원인으로는 위협 행위자가 의도적으로 맬웨어를 업로드하거나 합법적인 사용자가 의도치 않게 악성 파일을 업로드하는 작업이 포함될 수 있습니다. 적용 대상: 맬웨어 검사 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
측면 확대 | 높음 |
| 스토리지 계정에서 악성 Blob을 다운로드했습니다(미리 보기). Storage.Blob_MalwareDownload |
경고는 스토리지 계정에서 악성 Blob이 다운로드되었음을 나타냅니다. 잠재적인 원인으로는 스토리지 계정에 업로드되고 제거되거나 격리되지 않은 맬웨어, 위협 행위자가 다운로드할 수 있도록 하는 맬웨어 또는 합법적인 사용자 또는 애플리케이션에 의한 의도치 않은 맬웨어 다운로드가 포함될 수 있습니다. 적용 대상: 맬웨어 검사 기능을 사용하도록 설정된 새 Defender for Storage 계획이 있는 Azure Blob(표준 범용 v2, Azure Data Lake Storage Gen2 또는 프리미엄 블록 Blob) 스토리지 계정. |
측면 확대 | 높음, 아이카의 경우 - 낮음 |
Azure Cosmos DB에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| Tor 종료 노드에서 액세스 (CosmosDB_TorAnomaly) |
이 Azure Cosmos DB 계정은 익명화 프록시인 Tor의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다. | Initial Access | 높음/보통 |
| 의심스러운 IP에서 액세스 (CosmosDB_SuspiciousIp) |
이 Azure Cosmos DB 계정은 Microsoft 위협 인텔리전스의 위협으로 식별된 IP 주소에서 성공적으로 액세스되었습니다. | Initial Access | 중간 |
| 비정상적인 위치에서 액세스 (CosmosDB_GeoAnomaly) |
이 Azure Cosmos DB 계정은 일반적인 액세스 패턴에 따라 익숙하지 않은 것으로 간주되는 위치에서 액세스되었습니다. 위협 행위자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다. |
Initial Access | 낮음 |
| 비정상적인 데이터 볼륨이 추출됨 (CosmosDB_DataExfiltrationAnomaly) |
이 Azure Cosmos DB 계정에서 비정상적으로 많은 양의 데이터가 추출되었습니다. 이는 위협 행위자가 데이터를 유출했음을 나타낼 수 있습니다. | 반출 | 중간 |
| 잠재적으로 악의적인 스크립트를 통해 Azure Cosmos DB 계정 키 추출 (CosmosDB_SuspiciousListKeys.MaliciousScript) |
PowerShell 스크립트가 구독에서 실행되었고 의심스러운 키 목록 작업 패턴을 수행하여 구독에서 Azure Cosmos DB 계정의 키를 가져옵니다. 위협 행위자가 Microburst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 액세스할 수 있는 Azure Cosmos DB 계정을 찾습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 사용자 환경에서 Azure Cosmos DB 계정을 손상시키려고 했음을 나타낼 수 있습니다. 또는 악의적인 내부자가 중요한 데이터에 액세스하고 횡적 이동을 수행하려고 할 수 있습니다. |
컬렉션 | 중간 |
| Azure Cosmos DB 계정 키의 의심스러운 추출(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | 의심스러운 원본이 구독에서 Azure Cosmos DB 계정 액세스 키를 추출했습니다. 이 원본이 합법적인 원본이 아니면 영향이 큰 문제일 수 있습니다. 추출된 액세스 키는 연결된 데이터베이스와 내부에 저장된 데이터에 대한 모든 권한을 제공합니다. 원본이 의심스러운 것으로 플래그가 지정된 이유를 이해하려면 각 특정 경고의 세부 정보를 참조하세요. | 자격 증명 액세스 | 높음 |
| SQL 삽입: 잠재적인 데이터 반출 (CosmosDB_SqlInjection.DataExfiltration) |
의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다. 삽입된 문이 위협 행위자가 액세스할 수 있는 권한이 없는 데이터를 유출하는 데 성공했을 수 있습니다. Azure Cosmos DB 쿼리의 구조와 기능으로 인해 Azure Cosmos DB 계정에 대한 알려진 많은 SQL 삽입 공격은 작동하지 않습니다. 그러나 이 공격에 사용되는 변형이 작동할 수 있으며 위협 행위자가 데이터를 유출할 수 있습니다. |
반출 | 중간 |
| SQL 삽입: 퍼지 시도 (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
의심스러운 SQL 문이 이 Azure Cosmos DB 계정의 컨테이너를 쿼리하는 데 사용되었습니다. 잘 알려진 다른 SQL 삽입 공격과 마찬가지로 이 공격은 Azure Cosmos DB 계정을 손상시키는 데 성공하지 못합니다. 그럼에도 불구하고 위협 행위자가 이 계정의 리소스를 공격하려고 하고 애플리케이션이 손상될 수 있음을 나타냅니다. 일부 SQL 삽입 공격은 성공하고 데이터를 유출하는 데 사용할 수 있습니다. 즉, 공격자가 SQL 삽입 시도를 계속 수행하면 Azure Cosmos DB 계정을 손상하고 데이터를 유출할 수 있습니다. 매개 변수화된 쿼리를 사용하여 이 위협을 방지할 수 있습니다. |
사전 공격 | 낮음 |
Azure 네트워크 계층에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 악성 컴퓨터와의 네트워크 통신이 감지됨 (Network_CommunicationWithC2) |
네트워크 트래픽을 분석한 결과, 컴퓨터(IP %{Victim IP})가 명령 및 컨트롤 센터와 통신한 것으로 나타납니다. 손상된 리소스가 부하 분산 장치 또는 애플리케이션 게이트웨이인 경우 의심스러운 활동은 백 엔드 풀(부하 분산 장치 또는 애플리케이션 게이트웨이)에 있는 하나 이상의 리소스가 명령 및 제어 센터와 통신했음을 나타낼 수 있습니다. | 명령 및 제어 | 중간 |
| 손상된 컴퓨터가 검색되었을 수 있습니다. (Network_ResourceIpIndicatedAsMalicious) |
위협 인텔리전스는 컴퓨터(IP %{Machine IP})가 Conficker 유형의 맬웨어에 의해 손상되었을 수 있음을 나타냅니다. Conficker는 Microsoft Windows 운영 체제를 대상으로 하는 컴퓨터 웜으로, 2008년 11월에 처음 발견되었습니다. Conficker는 200개 이상의 국가/지역에서 정부, 비즈니스 및 가정용 컴퓨터를 포함한 수백만 대의 컴퓨터를 감염시켜 2003년 웰치아 웜 이후 가장 큰 알려진 컴퓨터 웜 감염이 되었습니다. | 명령 및 제어 | 중간 |
| 들어오는 %{서비스 이름} 무차별 암호 대입 시도가 감지되었습니다. (Generic_Incoming_BF_OneToOne) |
네트워크 트래픽 분석에서 %{Attacker IP}의 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 들어오는 %{Service Name} 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 포트 %{Victim Port}에서 %{Start Time}과 %{End Time} 사이의 의심스러운 활동을 보여 줍니다. 이 활동은 %{Service Name} 서버에 대한 무차별 암호 대입 시도와 일치합니다. | 사전 공격 | 중간 |
| 들어오는 SQL 무차별 암호 대입 시도가 감지됨 (SQL_Incoming_BF_OneToOne) |
네트워크 트래픽 분석에서 %{Attacker IP}에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 들어오는 SQL 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Port Number} 포트(%{SQL Service Type})에서의 의심스러운 활동을 보여줍니다. 이 작업은 SQL 서버에 대한 무차별 암호 대입 시도와 일치합니다. | 사전 공격 | 중간 |
| 나가는 서비스 거부 공격이 감지됨 (DDOS) |
네트워크 트래픽 분석에서 배포의 리소스인 %{Compromised Host}에서 발생하는 비정상적인 나가는 활동이 감지되었습니다. 이 활동은 리소스가 손상되었으며 이제 외부 엔드포인트에 대한 서비스 거부 공격에 관여하고 있음을 나타낼 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 애플리케이션 게이트웨이인 경우 의심스러운 활동은 백 엔드 풀(부하 분산 장치 또는 애플리케이션 게이트웨이)에 있는 하나 이상의 리소스가 손상되었음을 나타낼 수 있습니다. 연결 볼륨에 따라 다음 IP가 DOS 공격의 대상이 될 수 있다고 생각합니다. %{가능한 피해자}. 이러한 IP 중 일부에 대한 통신은 합법적일 수 있습니다. | 영향 | 중간 |
| 여러 원본에서 들어오는 의심스러운 RDP 네트워크 활동 (RDP_Incoming_BF_ManyToOne) |
네트워크 트래픽 분석에서 여러 원본에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 들어오는 RDP(원격 데스크톱 프로토콜) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 연결하는 %{공격 IP 수} 고유 IP를 보여 줍니다. 이 IP는 이 환경에 비정상으로 간주됩니다. 이 활동은 여러 호스트(봇네트)의 RDP 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. | 사전 공격 | 중간 |
| 의심스러운 들어오는 RDP 네트워크 활동 (RDP_Incoming_BF_OneToOne) |
네트워크 트래픽을 분석한 결과, %{Attacker IP}에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 들어오는 연결 %{커넥트}개수를 보여 줍니다. 이 연결은 이 환경에 비정상으로 간주됩니다. 이 활동은 RDP 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다. | 사전 공격 | 중간 |
| 여러 원본에서 의심스러운 들어오는 SSH 네트워크 활동 (SSH_Incoming_BF_ManyToOne) |
네트워크 트래픽을 분석한 결과, 여러 소스에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 연결하는 %{공격 IP 수} 고유 IP를 보여 줍니다. 이 IP는 이 환경에 비정상으로 간주됩니다. 이 활동은 여러 호스트(Botnet)에서 SSH 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다. | 사전 공격 | 중간 |
| 의심스러운 수신 SSH 네트워크 활동 (SSH_Incoming_BF_OneToOne) |
네트워크 트래픽 분석에서 %{Attacker IP}에서 리소스 %{Compromised Host}와 연결된 %{Victim IP}에 대한 비정상적인 들어오는 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 리소스에 들어오는 연결 %{커넥트}개수를 보여 줍니다. 이 연결은 이 환경에 비정상으로 간주됩니다. 이 활동은 SSH 엔드포인트를 무차별 암호 대입하려는 시도를 나타낼 수 있습니다. | 사전 공격 | 중간 |
| 의심스러운 발신 %{공격 프로토콜} 트래픽이 감지됨 (PortScanning) |
네트워크 트래픽 분석에서 %{Compromised Host}에서 대상 포트 %{가장 일반적인 포트}로 나가는 의심스러운 트래픽을 감지했습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작은 리소스가 %{Attacked Protocol} 무차별 암호 대입 시도 또는 포트 스위핑 공격에 참여하고 있음을 나타낼 수 있습니다. | 검색 | 중간 |
| 여러 대상에 대한 의심스러운 나가는 RDP 네트워크 활동 (RDP_Outgoing_BF_OneToMany) |
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 여러 대상에 대해 비정상적인 발신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터는 이 환경에 비정상적인 것으로 간주되는 %{공격된 IP 수} 고유 IP에 연결하는 머신을 보여 줍니다. 이 활동은 리소스가 손상되었으며 이제 외부 RDP 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다. | 검색 | 높음 |
| 의심스러운 나가는 RDP 네트워크 활동 (RDP_Outgoing_BF_OneToOne) |
네트워크 트래픽 분석 결과 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 %{Victim IP}에 대한 비정상적인 나가는 RDP(원격 데스크톱 프로토콜) 통신이 검색되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 컴퓨터가 손상되었으며 이제 외부 RDP 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다. | 측면 확대 | 높음 |
| 여러 대상에 대한 의심스러운 발신 SSH 네트워크 활동 (SSH_Outgoing_BF_OneToMany) |
네트워크 트래픽 분석을 통해 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 여러 대상에 대한 비정상적인 송신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터는 이 환경에 비정상적인 것으로 간주되는 %{공격된 IP 수} 고유 IP에 연결하는 리소스를 보여 줍니다. 이 활동은 리소스가 손상되었으며 이제 외부 SSH 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다. | 검색 | 중간 |
| 의심스러운 발신 SSH 네트워크 활동 (SSH_Outgoing_BF_OneToOne) |
네트워크 트래픽 분석을 통해 배포의 리소스인 %{Compromised Host}(%{Attacker IP})에서 시작된 %{Victim IP}에 대한 비정상적인 송신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 리소스가 손상되었으며 이제 외부 SSH 엔드포인트를 무차별 암호 대입하는 데 사용되었음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 IP가 외부 엔터티에 의해 악의적인 것으로 플래그가 지정될 수 있습니다. | 측면 확대 | 중간 |
| 차단에 권장되는 IP 주소에서 검색된 트래픽 | 클라우드용 Microsoft Defender가 차단하도록 권장하는 IP 주소에서 인바운드 트래픽을 감지했습니다. 일반적으로 이 IP 주소가 이 리소스와 정기적으로 통신하지 않는 경우에 발생합니다. 또는 클라우드용 Defender의 위협 인텔리전스 소스에 의해 IP 주소가 악의적인 것으로 플래그 지정되었습니다. | 검색 | 낮음 |
Azure Key Vault에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 의심스러운 IP 주소에서 Key Vault에 액세스 (KV_SuspiciousIPAccess) |
Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사를 권장합니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. | 자격 증명 액세스 | 중간 |
| TOR 종료 노드에서 키 자격 증명 모음으로 액세스 (KV_TORAccess) |
알려진 TOR 종료 노드에서 키 자격 증명 모음에 액세스했습니다. 이는 위협 행위자가 키 자격 증명 모음에 액세스했으며 TOR 네트워크를 사용하여 원본 위치를 숨기고 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 키 자격 증명 모음에서 대량의 작업 발생 (KV_OperationVolumeAnomaly) |
사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 수의 키 자격 증명 모음 작업을 수행했습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 키 자격 증명 모음의 의심스러운 정책 변경 및 비밀 쿼리 (KV_PutGetAnomaly) |
사용자 또는 서비스 주체가 비정상적인 Vault Put 정책 변경 작업을 수행한 다음, 하나 이상의 Secret Get 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않습니다. 이는 합법적인 활동일 수도 있지만, 위협 행위자가 이전에 액세스할 수 없었던 비밀에 액세스하기 위해 키 자격 증명 모음 정책을 업데이트한 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 키 자격 증명 모음의 의심스러운 비밀 목록 및 쿼리 (KV_ListGetAnomaly) |
사용자 또는 서비스 주체가 비정상적인 비밀 목록 작업과 하나 이상의 비밀 가져오기 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않으며 보통은 비밀 덤프와 연결됩니다. 이는 합법적인 활동일 수도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득한 후 네트워크를 통해 수평으로 이동하거나 중요한 리소스에 대한 액세스 권한을 획득하는 데 사용할 수 있는 비밀을 검색하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다. (KV_AccountVolumeAccessDeniedAnomaly) |
사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다. | 검색 | 낮음 |
| 비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨 (KV_UserAccessDeniedAnomaly) |
일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. | 초기 액세스, 검색 | 낮음 |
| 비정상적인 애플리케이션이 키 자격 증명 모음에 액세스했습니다. (KV_AppAnomaly) |
키 자격 증명 모음은 일반적으로 액세스하지 않는 서비스 주체에 의해 액세스되었습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 키 자격 증명 모음의 비정상적인 작업 패턴 (KV_OperationPatternAnomaly) |
키 자격 증명 모음 작업의 비정상적인 패턴은 사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에 의해 수행되었습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 비정상적인 사용자가 키 자격 증명 모음에 액세스함 (KV_UserAnomaly) |
키 자격 증명 모음에 일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 키 자격 증명 모음에 액세스한 비정상적인 사용자-애플리케이션 쌍 (KV_UserAppAnomaly) |
키 자격 증명 모음은 일반적으로 액세스하지 않는 사용자 서비스 주체 쌍에 의해 액세스되었습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 사용자가 많은 양의 키 자격 증명 모음에 액세스했습니다. (KV_AccountVolumeAnomaly) |
사용자 또는 서비스 주체가 비정상적으로 많은 양의 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 여러 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
| 의심스러운 IP에서 키 자격 증명 모음으로의 액세스 거부 (KV_SuspiciousIPAccessDenied) |
Microsoft Threat Intelligence가 의심스러운 IP 주소로 식별한 IP에 의해 실패한 키 자격 증명 모음 액세스가 시도되었습니다. 이 시도는 실패했지만 인프라가 손상되었을 수 있음을 나타냅니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 낮음 |
| 의심스러운 IP(비 Microsoft 또는 외부)에서 키 자격 증명 모음에 대한 비정상적인 액세스 (KV_UnusualAccessSuspiciousIP) |
사용자 또는 서비스 주체가 지난 24시간 동안 Microsoft가 아닌 IP에서 키 자격 증명 모음에 대한 비정상적인 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이는 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도가 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다. | 자격 증명 액세스 | 중간 |
Azure DDoS Protection에 대한 경고
| 경고 | 설명 | MITRE 전술 (자세한 정보) |
심각도 |
|---|---|---|---|
| 공용 IP에 대해 DDoS 공격이 검색됨 (NETWORK_DDOS_DETECTED) |
공용 IP(IP 주소)에 대해 DDoS 공격이 감지되고 완화되고 있습니다. | 검색 | 높음 |
| 공용 IP에 대한 DDoS 공격이 완화됨 (NETWORK_DDOS_MITIGATED) |
공용 IP(IP 주소)에 대한 DDoS 공격이 완화되었습니다. | 검색 | 낮음 |
MITRE ATT&CK 전술
공격 의도를 파악하면 이벤트를 더욱 쉽게 조사하고 보고할 수 있습니다. 이러한 노력을 돕기 위해 클라우드용 Microsoft Defender 경고에는 많은 경고가 포함된 MITRE 전술이 있습니다.
정찰에서 데이터 반출에 이르는 사이버 공격의 진행 과정을 설명하는 일련의 단계를 종종 "킬 체인(kill chain)"이라고 합니다.
클라우드용 Defender에서 지원되는 킬 체인 의도는 MITRE ATT&CK 매트릭스의 버전 9를 기준으로 하며 아래 표에 설명되어 있습니다.
| 방법 | ATT&CK 버전 | 설명 |
|---|---|---|
| 사전 공격 | 사전 공격은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 착취하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하려는 시도가 실패한 것일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 발생하며 대상 시스템을 검사하고 진입점을 식별하려는 시도로 감지됩니다. | |
| Initial Access | V7, V9 | 초기 액세스는 공격자가 공격을 받는 리소스에 대한 기반을 구축하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등의 컴퓨팅 호스트 및 리소스와 관련이 있습니다. 이 단계 이후에는 위협 행위자가 리소스를 제어할 수 있는 경우가 많습니다. |
| 지속성 | V7, V9 | 지속성은 위협 행위자에게 해당 시스템에 지속적인 현존을 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 종종 액세스 권한을 다시 얻기 위해 대체 백도어를 다시 시작하거나 제공하도록 시스템 재시작, 자격 증명 손실 또는 원격 액세스 도구가 필요한 기타 장애 등의 중단을 통해 시스템에 대한 액세스를 유지해야 합니다. |
| 권한 상승 | V7, V9 | 권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다. |
| 방어 회피 | V7, V9 | 방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 때때로 이러한 작업은 특정 방어 또는 완화를 파괴하는 추가 이점이 있는 다른 범주의 기술과 동일(또는 변형)합니다. |
| 자격 증명 액세스 | V7, V9 | 자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, do기본 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| 검색 | V7, V9 | 검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자가 새 시스템에 액세스할 수 있게 되면 현재 제어할 수 있는 것과 해당 시스템에서 운영하는 혜택이 침입 중에 현재 목표 또는 전반적인 목표에 주는 이점을 지향해야 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다. |
| 측면 이동 | V7, V9 | 횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다. 악의적 사용자는 측면 이동 기술을 이용해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 원격 도구 실행, 더 많은 시스템에 대한 피벗, 특정 정보 또는 파일에 대한 액세스, 더 많은 자격 증명에 대한 액세스 또는 영향을 주는 등 여러 가지 목적으로 횡적 이동을 사용할 수 있습니다. |
| 실행 | V7, V9 | 실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 전술은 종종 네트워크의 원격 시스템에 대한 액세스를 확장하기 위해 횡적 이동과 함께 사용됩니다. |
| 컬렉션 | V7, V9 | 수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| 명령 및 제어 | V7, V9 | 명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다. |
| 반출 | V7, V9 | 반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| 영향 | V7, V9 | 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다. 이 이벤트는 종종 랜섬웨어, 변조, 데이터 조작 등과 같은 기술을 가리킵니다. |
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
사용되지 않는 서버용 Defender 경고
다음 표에는 개선 프로세스로 인해 2023년 4월에 사용되지 않는 서버용 Defender 보안 경고가 포함됩니다.
사용되지 않는 Linux 경고
| 경고 유형 | 경고 표시 이름 | 심각도 |
|---|---|---|
| VM_AbnormalDaemonTermination | 비정상적인 종료 | 낮음 |
| VM_BinaryGeneratedFromCommandLine | 의심스러운 이진 검색됨 | 중간 |
| 의심스러운 VM_CommandlineSuspectDo기본 | do기본 이름 참조 | 낮음 |
| VM_CommonBot | 일반적인 Linux 봇과 유사한 동작이 감지됨 | 중간 |
| VM_CompCommonBots | 검색된 일반적인 Linux 봇과 유사한 명령 | 중간 |
| VM_CompSuspiciousScript | 셸 스크립트가 검색됨 | 중간 |
| VM_CompTestRule | 복합 분석 테스트 경고 | 낮음 |
| VM_CronJobAccess | 예약된 작업 조작이 감지됨 | Informational |
| VM_CryptoCoinMinerArtifacts | 디지털 통화 마이닝 관련 프로세스가 감지됨 | 중간 |
| VM_CryptoCoinMinerDownload | 가능한 Cryptocoinminer 다운로드가 검색됨 | 중간 |
| VM_CryptoCoinMinerExecution | 잠재적인 암호화 코인 마이너가 시작됨 | 중간 |
| VM_DataEgressArtifacts | 가능한 데이터 반출이 감지됨 | 중간 |
| VM_DigitalCurrencyMining | 디지털 통화 마이닝 관련 동작이 검색됨 | 높음 |
| VM_DownloadAndRunCombo | 의심스러운 다운로드 후 작업 실행 | 중간 |
| VM_EICAR | 클라우드용 Microsoft Defender 테스트 경고(위협이 아님) | 높음 |
| VM_ExecuteHiddenFile | 숨겨진 파일 실행 | Informational |
| VM_ExploitAttempt | 가능한 명령줄 악용 시도 | 중간 |
| VM_ExposedDocker | TCP 소켓에 노출된 Docker 디먼 | 중간 |
| VM_FairwareMalware | Fairware 랜섬웨어와 유사한 동작이 감지됨 | 중간 |
| VM_FirewallDisabled | 호스트 방화벽 조작이 감지됨 | 중간 |
| VM_HadoopYarnExploit | Hadoop Yarn의 악용 가능성 | 중간 |
| VM_HistoryFileCleared | 기록 파일이 지워짐 | 중간 |
| VM_KnownLinuxAttackTool | 가능한 공격 도구가 검색됨 | 중간 |
| VM_KnownLinuxCredentialAccessTool | 가능한 자격 증명 액세스 도구가 검색됨 | 중간 |
| VM_KnownLinuxDDoSToolkit | DDOS 도구 키트와 관련된 지표가 감지됨 | 중간 |
| VM_KnownLinuxScreenshotTool | 호스트에서 찍은 스크린샷 | 낮음 |
| VM_LinuxBackdoorArtifact | 잠재적인 백도어 검색됨 | 중간 |
| VM_LinuxReconnaissance | 로컬 호스트 정찰이 감지됨 | 중간 |
| VM_MismatchedScriptFeatures | 스크립트 확장 불일치가 검색됨 | 중간 |
| VM_MitreCalderaTools | MITRE Caldera 에이전트가 검색됨 | 중간 |
| VM_NewSingleUserModeStartupScript | 지속성 시도 감지됨 | 중간 |
| VM_NewSudoerAccount | sudo 그룹에 추가된 계정 | 낮음 |
| VM_OverridingCommonFiles | 일반 파일의 잠재적 재정의 | 중간 |
| VM_PrivilegedContainerArtifacts | 권한 있는 모드에서 실행되는 컨테이너 | 낮음 |
| VM_PrivilegedExecutionInContainer | 높은 권한으로 실행되는 컨테이너 내의 명령 | 낮음 |
| VM_ReadingHistoryFile | bash 기록 파일에 대한 비정상적인 액세스 | Informational |
| VM_ReverseShell | 잠재적인 역방향 셸이 검색됨 | 중간 |
| VM_SshKeyAccess | 비정상적인 방법으로 SSH 권한 있는 키 파일에 액세스하는 프로세스 | 낮음 |
| VM_SshKeyAddition | 새 SSH 키가 추가됨 | 낮음 |
| VM_SuspectCompilation | 의심스러운 컴파일이 감지됨 | 중간 |
| VM_Suspect커넥트ion | 일반적이지 않은 연결 시도가 감지됨 | 중간 |
| VM_SuspectDownload | 알려진 악성 원본에서 검색된 파일 다운로드 | 중간 |
| VM_SuspectDownloadArtifacts | 의심스러운 파일 다운로드가 검색됨 | 낮음 |
| VM_SuspectExecutablePath | 의심스러운 위치에서 실행 중인 실행 파일 | 중간 |
| VM_SuspectHtaccessFileAccess | htaccess 파일 액세스가 검색됨 | 중간 |
| VM_SuspectInitialShellCommand | 셸의 의심스러운 첫 번째 명령 | 낮음 |
| VM_SuspectMixedCaseText | 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 | 중간 |
| VM_SuspectNetwork커넥트ion | 의심스러운 네트워크 연결 | Informational |
| VM_SuspectNohup | Nohup 명령에 대한 의심스러운 사용이 감지됨 | 중간 |
| VM_SuspectPasswordChange | 암호화 방법을 사용한 가능한 암호 변경이 감지됨 | 중간 |
| VM_SuspectPasswordFileAccess | 의심스러운 암호 액세스 | Informational |
| VM_SuspectPhp | 의심스러운 PHP 실행이 감지됨 | 중간 |
| VM_SuspectPortForwarding | 외부 IP 주소로 잠재적 포트 전달 | 중간 |
| VM_SuspectProcessAccountPrivilegeCombo | 서비스 계정에서 실행되는 프로세스가 예기치 않게 루트가 되었습니다. | 중간 |
| VM_SuspectProcessTermination | 보안 관련 프로세스 종료가 감지됨 | 낮음 |
| VM_SuspectUserAddition | Useradd 명령에 대한 의심스러운 사용이 감지됨 | 중간 |
| VM_SuspiciousCommandLineExecution | 의심스러운 명령 실행 | 높음 |
| VM_SuspiciousDNSOverHttps | HTTPS를 통한 DNS의 의심스러운 사용 | 중간 |
| VM_SystemLogRemoval | 로그 변조 활동이 감지되었을 수 있음 | 중간 |
| VM_ThreatIntelCommandLineSuspectDo기본 | 악의적인 위치에 대한 가능한 연결이 검색되었습니다. | 중간 |
| VM_ThreatIntelSuspectLogon | 악의적인 IP의 로그온이 검색되었습니다. | 높음 |
| VM_TimerServiceDisabled | apt-daily-upgrade.timer 서비스 중지 시도가 감지됨 | Informational |
| VM_TimestampTampering | 의심스러운 파일 타임스탬프 수정 | 낮음 |
| VM_Webshell | 악성 웹 셸이 검색되었을 수 있음 | 중간 |
사용되지 않는 Windows 경고
| 경고 유형 | 경고 표시 이름 | 심각도 |
|---|---|---|
| SCUBA_MULTIPLEACCOUNTCREATE | 여러 호스트에서 의심스러운 계정 만들기 | 중간 |
| SCUBA_PSINSIGHT_CONTEXT | 의심스러운 PowerShell 사용이 감지됨 | Informational |
| SCUBA_RULE_AddGuestTo관리자 | 로컬 관리자 그룹에 게스트 계정 추가 | 중간 |
| SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | 중간 |
| SCUBA_RULE_KnownBruteForcingTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_KnownCollectionTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_KnownDefenseEvasionTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_KnownExecutionTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_KnownPassTheHashTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_KnownSpammingTools | 의심스러운 프로세스 실행 | 중간 |
| SCUBA_RULE_Lowering_Security_설정 | 중요한 서비스의 사용 안 됨이 검색됨 | 중간 |
| SCUBA_RULE_OtherKnownHackerTools | 의심스러운 프로세스 실행 | 높음 |
| SCUBA_RULE_RDP_session_hijacking_via_tscon | RDP 하이재킹을 암시하는 의심스러운 무결성 수준 | 중간 |
| SCUBA_RULE_RDP_session_hijacking_via_tscon_service | 의심 서비스 설치 | 중간 |
| SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | 로그온 시 사용자에게 표시되는 법적 고지 표시 안 함이 감지됨 | 낮음 |
| SCUBA_RULE_WDigest_Enabling | WDigest UseLogonCredential 레지스트리 키 사용이 검색됨 | 중간 |
| VM.Windows_ApplockerBypass | AppLocker를 바이패스하려는 잠재적 시도가 감지됨 | 높음 |
| VM.Windows_BariumKnownSuspiciousProcessExecution | 의심스러운 파일 생성이 감지됨 | 높음 |
| VM.Windows_Base64EncodedExecutableInCommandLineParams | 명령줄 데이터에서 인코딩된 실행 파일이 검색됨 | 높음 |
| VM.Windows_CalcsCommandLineUse | 시스템의 보안 상태를 낮추기 위해 Cacls의 의심스러운 사용이 감지됨 | 중간 |
| VM.Windows_CommandLineStartingAllExe | 디렉터리에서 모든 실행 파일을 시작하는 데 사용되는 의심스러운 명령줄이 검색됨 | 중간 |
| VM.Windows_DisablingAndDeletingIISLogFiles | IIS 로그 파일 비활성화 및 삭제를 나타내는 검색된 작업 | 중간 |
| VM.Windows_DownloadUsingCertutil | Certutil을 사용한 의심스러운 다운로드가 감지됨 | 중간 |
| VM.Windows_EchoOverPipeOnLocalhost | 의심스러운 명명된 파이프 통신이 검색됨 | 높음 |
| VM.Windows_EchoToConstructPowerShellScript | 동적 PowerShell 스크립트 생성 | 중간 |
| VM.Windows_ExecutableDecodedUsingCertutil | 기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨 | 중간 |
| VM.Windows_FileDeletionIsSospisiousLocation | 의심스러운 파일 삭제가 검색됨 | 중간 |
| VM.Windows_KerberosGoldenTicketAttack | 의심되는 Kerberos 골든 티켓 공격 매개 변수 관찰됨 | 중간 |
| VM.Windows_KeygenToolKnownProcessName | keygen 실행 파일 의심스러운 프로세스가 실행될 수 있는 실행이 감지됨 | 중간 |
| VM.Windows_KnownCredentialAccessTools | 의심스러운 프로세스 실행 | 높음 |
| VM.Windows_KnownSuspiciousPowerShellScript | 의심스러운 PowerShell 사용이 감지됨 | 높음 |
| VM.Windows_KnownSuspiciousSoftwareInstallation | 위험 수준이 높은 소프트웨어가 검색됨 | 중간 |
| VM.Windows_MsHtaAndPowerShellCombination | HTA 및 PowerShell의 의심스러운 조합이 검색됨 | 중간 |
| VM.Windows_MultipleAccountsQuery | 여러 도메인 계정을 쿼리함 | 중간 |
| VM.Windows_NewAccountCreation | 계정 생성이 검색됨 | Informational |
| VM.Windows_ObfuscatedCommandLine | 난독 제거된 명령줄이 검색되었습니다. | 높음 |
| VM.Windows_PcaluaUseToLaunchExecutable | 실행 코드를 시작하는 데 Pcalua.exe의 의심스러운 사용이 감지됨 | 중간 |
| VM.Windows_PetyaRansomware | 검색된 Petya 랜섬웨어 표시기 | 높음 |
| VM.Windows_PowerShellPowerSploitScriptExecution | 의심스러운 PowerShell cmdlet이 실행됨 | 중간 |
| VM.Windows_RansomwareIndication | 랜섬웨어 표시기가 감지됨 | 높음 |
| VM.Windows_SqlDumperUsedSuspiciously | 가능한 자격 증명 덤프가 검색됨[여러 번 확인됨] | 중간 |
| VM.Windows_StopCriticalServices | 중요한 서비스의 사용 안 됨이 검색됨 | 중간 |
| VM.Windows_SubvertingAccessibilityBinary | 고정 키 공격 감지됨 의심스러운 계정 생성이 중간으로 검색됨 |
|
| VM.Windows_SuspiciousAccountCreation | 의심스러운 계정 생성이 감지됨 | 중간 |
| VM.Windows_SuspiciousFirewallRuleAdded | 의심스러운 새 방화벽 규칙이 검색됨 | 중간 |
| VM.Windows_SuspiciousFTPSSwitchUsage | FTP 스위치의 의심스러운 사용이 감지됨 | 중간 |
| VM.Windows_SuspiciousSQLActivity | 의심스러운 SQL 활동 | 중간 |
| VM.Windows_SVCHostFromInvalidPath | 의심스러운 프로세스 실행 | 높음 |
| VM.Windows_SystemEventLogCleared | Windows 보안 로그가 지워졌습니다. | Informational |
| VM.Windows_TelegramInstallation | 잠재적으로 의심스러운 Telegram 도구 사용이 감지됨 | 중간 |
| VM.Windows_UndercoverProcess | 의심스러운 명명된 프로세스가 검색됨 | 높음 |
| VM.Windows_UserAccountControlBypass | UAC를 우회하기 위해 악용될 수 있는 레지스트리 키에 대한 변경 내용이 감지됨 | 중간 |
| VM.Windows_VBScriptEncoding | VBScript.Encode 명령의 의심스러운 실행이 감지됨 | 중간 |
| VM.Windows_WindowPositionRegisteryChange | 의심스러운 WindowPosition 레지스트리 값이 감지됨 | 낮음 |
| VM.Windows_ZincPortOpenningUsingFirewallRule | ZINC 서버 임플란트에서 만든 악성 방화벽 규칙 | 높음 |
| VM_DigitalCurrencyMining | 디지털 통화 마이닝 관련 동작이 검색됨 | 높음 |
| VM_MaliciousSQLActivity | 악의적인 SQL 활동 | 높음 |
| VM_ProcessWithDoubleExtensionExecution | 의심스러운 이중 확장 파일이 실행됨 | 높음 |
| VM_RegistryPersistencyKey | Windows 레지스트리 지속성 메서드가 검색됨 | 낮음 |
| VM_ShadowCopyDeletion | 의심스러운 볼륨 섀도 복사 작업 의심스러운 위치에서 실행 중인 실행 파일 |
높음 |
| VM_SuspectExecutablePath | 의심스러운 위치에서 실행 중인 실행 파일 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 |
정보 중간 |
| VM_SuspectPhp | 의심스러운 PHP 실행이 감지됨 | 중간 |
| VM_SuspiciousCommandLineExecution | 의심스러운 명령 실행 | 높음 |
| VM_SuspiciousScreenSaverExecution | 의심스러운 화면 보호기 프로세스가 실행됨 | 중간 |
| VM_SvcHostRunInRareServiceGroup | 실행된 희귀 SVCHOST 서비스 그룹 | Informational |
| VM_SystemProcessInAbnormalContext | 의심스러운 시스템 프로세스가 실행됨 | 중간 |
| VM_ThreatIntelCommandLineSuspectDo기본 | 악의적인 위치에 대한 가능한 연결이 검색되었습니다. | 중간 |
| VM_ThreatIntelSuspectLogon | 악의적인 IP의 로그온이 검색되었습니다. | 높음 |
| VM_VbScriptHttpObjectAllocation | VBScript HTTP 개체 할당이 검색됨 | 높음 |
Defender for API에 대한 경고
| 경고(경고 유형) | 설명 | MITRE 전술 | 심각도 |
|---|---|---|---|
| API 엔드포인트에 대한 API 트래픽의 의심스러운 인구 수준 급증 (API_PopulationSpikeInAPITraffic) |
API 엔드포인트 중 하나에서 의심스러운 API 트래픽 급증이 감지되었습니다. 검색 시스템은 기록 트래픽 패턴을 사용하여 모든 IP와 엔드포인트 간의 일상적인 API 트래픽 볼륨에 대한 기준을 설정했으며, 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. 검색 시스템은 이 기준에서 비정상적인 편차로 플래그를 지정하여 의심스러운 활동을 검색했습니다. | 영향 | 중간 |
| 단일 IP 주소에서 API 엔드포인트로의 API 트래픽 급증 (API_SpikeInAPITraffic) |
API 트래픽의 의심스러운 급증이 클라이언트 IP에서 API 엔드포인트로 검색되었습니다. 검색 시스템은 기록 트래픽 패턴을 사용하여 특정 IP에서 엔드포인트로 들어오는 엔드포인트에 대한 일상적인 API 트래픽 볼륨에 대한 기준을 설정했습니다. 검색 시스템은 이 기준에서 비정상적인 편차로 플래그를 지정하여 의심스러운 활동을 검색했습니다. | 영향 | 중간 |
| 단일 IP 주소와 API 엔드포인트 간에 전송되는 비정상적으로 큰 응답 페이로드 (API_SpikeInPayload) |
단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 API 응답 페이로드 크기의 의심스러운 급증이 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일반적인 API 응답 페이로드 크기를 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 응답 페이로드 크기가 기록 기준에서 크게 떨어져 경고가 트리거되었습니다. | 초기 액세스 | 중간 |
| 단일 IP 주소와 API 엔드포인트 간에 전송되는 비정상적으로 큰 요청 본문 (API_SpikeInPayload) |
단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 API 요청 본문 크기의 의심스러운 스파이크가 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일반적인 API 요청 본문 크기를 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 요청 크기가 기록 기준에서 크게 달라졌기 때문에 경고가 트리거되었습니다. | 초기 액세스 | 중간 |
| (미리 보기) 단일 IP 주소와 API 엔드포인트 간의 트래픽 대기 시간 급증 (API_SpikeInLatency) |
단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 의심스러운 대기 시간 급증이 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일상적인 API 트래픽 대기 시간을 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 호출 대기 시간이 기록 기준에서 크게 벗어나서 경고가 트리거되었습니다. | 초기 액세스 | 중간 |
| API 요청은 단일 IP 주소에서 비정상적으로 많은 수의 고유 API 엔드포인트로 스프레이합니다. (API_SprayInRequests) |
비정상적으로 많은 수의 고유 엔드포인트에 대한 API 호출을 만드는 단일 IP가 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 API용 Defender는 20분 동안 단일 IP에서 호출하는 일반적인 고유 엔드포인트 수를 나타내는 기준을 알아봅니다. 단일 IP의 동작이 기록 기준에서 크게 벗어나서 경고가 트리거되었습니다. | 검색 | 중간 |
| API 엔드포인트의 매개 변수 열거형 (API_ParameterEnumeration) |
API 엔드포인트 중 하나에 액세스할 때 단일 IP가 매개 변수를 열거하는 것으로 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 20분 동안 이 엔드포인트에 액세스할 때 단일 IP에서 사용하는 일반적인 고유 매개 변수 값 수를 나타내는 기준을 알아봅니다. 단일 클라이언트 IP가 비정상적으로 많은 수의 고유 매개 변수 값을 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다. | 초기 액세스 | 중간 |
| API 엔드포인트의 분산 매개 변수 열거형 (API_DistributedParameterEnumeration) |
API 엔드포인트 중 하나에 액세스할 때 집계 사용자 채우기(모든 IP)가 매개 변수를 열거하는 것으로 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 Defender for API는 20분 동안 엔드포인트에 액세스할 때 사용자 모집단(모든 IP)이 사용하는 일반적인 고유 매개 변수 값 수를 나타내는 기준을 알아봅니다. 사용자 채우기가 비정상적으로 많은 수의 고유 매개 변수 값을 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다. | 초기 액세스 | 중간 |
| API 호출에서 비정상적인 데이터 형식을 사용하는 매개 변수 값 (API_UnseenParamType) |
단일 IP가 API 엔드포인트 중 하나에 액세스하고 낮은 확률 데이터 형식(예: 문자열, 정수 등)의 매개 변수 값을 사용하는 것으로 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 Defender for API는 각 API 매개 변수에 대해 예상되는 데이터 형식을 알아봅니다. IP가 이전에 낮은 확률 데이터 형식을 매개 변수 입력으로 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다. | 영향 | 중간 |
| 이전에 API 호출에 사용된 보이지 않는 매개 변수 (API_UnseenParam) |
요청에서 이전에 보이지 않거나 범위를 벗어난 매개 변수를 사용하여 API 엔드포인트 중 하나에 액세스하는 단일 IP가 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 엔드포인트 호출과 관련된 예상 매개 변수 집합을 알아봅니다. IP가 이전에 보이지 않는 매개 변수를 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다. | 영향 | 중간 |
| Tor 종료 노드에서 API 엔드포인트로 액세스 (API_AccessFromTorExitNode) |
Tor 네트워크의 IP 주소가 API 엔드포인트 중 하나에 액세스했습니다. Tor는 사람들이 실제 IP를 숨기면서 인터넷에 액세스할 수 있는 네트워크입니다. 합법적인 용도는 있지만 공격자가 온라인에서 사용자의 시스템을 대상으로 할 때 ID를 숨기는 데 자주 사용됩니다. | 사전 공격 | 중간 |
| 의심스러운 IP에서 API 엔드포인트 액세스 (API_AccessFromSuspiciousIP) |
API 엔드포인트 중 하나에 액세스하는 IP 주소는 Microsoft Threat Intelligence에서 위협이 될 확률이 높은 것으로 확인되었습니다. 악의적인 인터넷 트래픽을 관찰하는 동안 이 IP는 다른 온라인 대상을 공격하는 데 관여했습니다. | 사전 공격 | 높음 |
| 의심스러운 사용자 에이전트가 검색됨 (API_AccessFromSuspiciousUserAgent) |
API 엔드포인트 중 하나에 액세스하는 요청의 사용자 에이전트에 원격 코드 실행 시도를 나타내는 비정상적인 값이 포함되어 있습니다. 이는 API 엔드포인트가 위반되었음을 의미하지는 않지만 시도된 공격이 진행 중임을 시사합니다. | 실행 | 중간 |