Referentiegids met beveiligingswaarschuwingen

Artikel
03/17/2024

In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u kunt krijgen van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Onder aan deze pagina ziet u een tabel met een beschrijving van de Microsoft Defender voor Cloud kill chain die is afgestemd op versie 9 van de MITRE ATT&CK-matrix.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor Windows-computers

Microsoft Defender voor Servers Plan 2 biedt unieke detecties en waarschuwingen, naast de detecties en waarschuwingen van Microsoft Defender voor Eindpunt. De waarschuwingen voor Windows-computers zijn:

Extra informatie en opmerkingen

Er is een aanmelding van een schadelijk IP-adres gedetecteerd. [meerdere keren gezien]

Beschrijving: Er is een geslaagde externe verificatie voor het account [account] en het proces [proces] opgetreden, maar het IP-adres van de aanmelding (x.x.x.x) is eerder gerapporteerd als schadelijk of zeer ongebruikelijk. Er is waarschijnlijk sprake van een geslaagde aanval. Bestanden met de extensie .scr zijn schermbeveiligingsbestanden en deze bevinden zich normaal gesproken in de systeemmap van Windows en worden van daaruit uitgevoerd.

MITRE-tactieken: -

Ernst: Hoog

Schending van beleid voor adaptief toepassingsbeheer is gecontroleerd

VM_AdaptiveApplicationControlWindowsViolationAudited

(VM_AmMalwareCampaignRelatedExclusion)

Beschrijving: Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalwareextensie bepaalde bestanden scant die vermoedelijk te maken hebben met een malwarecampagne. De regel is gedetecteerd door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de machine met malware.

MITRE-tactieken: Verdedigingsontduiking

Ernst: gemiddeld

Antimalware tijdelijk uitgeschakeld op uw virtuele machine

(VM_AmTemporarilyDisablement)

Beschrijving: Antimalware is tijdelijk uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.

MITRE-tactieken: -

Ernst: gemiddeld

Ongebruikelijke bestandsuitsluiting van antimalware op uw virtuele machine

(VM_UnusualAmFileExclusion)

Beschrijving: Ongebruikelijke bestandsuitsluiting van de antimalwareextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.

MITRE-tactieken: Verdedigingsontduiking

Ernst: gemiddeld

Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie

Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten)

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van pcalua.exe gedetecteerd om uitvoerbare code te starten. Pcalua.exe is onderdeel van de Microsoft Windows -programmacompatibiliteitsassistent, die compatibiliteitsproblemen detecteert tijdens de installatie of uitvoering van een programma. Het is bekend dat aanvallers functionaliteit van legitieme Windows-systeemprogramma's misbruiken om schadelijke acties uit te voeren. Een voorbeeld hiervan is dat met behulp van pcalua.exe en de schakeloptie -a schadelijke uitvoerbare bestanden lokaal of vanaf externe shares worden gestart.

MITRE-tactieken: -

Ernst: gemiddeld

Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd)

Beschrijving: De analyse van hostgegevens op %{Compromised Host} heeft gedetecteerd dat de uitvoering van de opdracht 'net.exe stop' wordt gebruikt om kritieke services zoals SharedAccess of de Windows-beveiliging-app te stoppen. Het stoppen van een van deze services kan een indicatie van kwaadwillend gedrag zijn.

MITRE-tactieken: -

Ernst: gemiddeld

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE-tactieken: -

Ernst: Hoog

Dynamic PS script construction (Dynamische constructie van PS-script)

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een PowerShell-script dynamisch wordt samengesteld. Aanvallers gebruiken deze techniek van het geleidelijk samenstellen van een script soms om IDS-systemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd.

MITRE-tactieken: -

Ernst: gemiddeld

Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie)

Beschrijving: Bij analyse van hostgegevens is een uitvoerbaar bestand op %{Compromised Host} gedetecteerd dat wordt uitgevoerd vanaf een locatie die gemeenschappelijk is met bekende verdachte bestanden. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.

MITRE-tactieken: -

Ernst: Hoog

Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)

(VM_FilelessAttackBehavior.Windows)

Beschrijving: Het geheugen van het opgegeven proces bevat gedrag dat vaak wordt gebruikt door bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag in deze scenario's:

Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
Functie-aanroepen naar beveiligingsgevoelige besturingssysteeminterfaces. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.

MITRE-tactieken: Verdedigingsontduiking

Ernst: Laag

Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd)

(VM_FilelessAttackTechnique.Windows)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat bewijs van een bestandsloze aanvalstechniek. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag in deze scenario's:

Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
Uitvoerbare installatiekopie die is geïnjecteerd in het proces, zoals in een code-injectieaanval.
Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
Functie-aanroepen naar beveiligingsgevoelige besturingssysteeminterfaces. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
Procesuitholling, een techniek die wordt gebruikt door malware waarin een legitiem proces op het systeem wordt geladen om te fungeren als een container voor vijandige code.
Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd)

(VM_FilelessAttackToolkit.Windows)

Beschrijving: Het geheugen van het opgegeven proces bevat een toolkit voor bestandsloze aanvallen: [naam toolkit]. Toolkits voor bestandsloze aanvallen gebruiken technieken die traceringen van malware op schijf minimaliseren of elimineren, en die de kans op detectie door op schijf opgeslagen malware-scanners aanzienlijk verminderen. Enkele voorbeelden van specifiek gedrag in deze scenario's:

Bekende toolkits en cryptoanalysesoftware.
Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
Schadelijk uitvoerbaar bestand in het procesgeheugen geïnjecteerd.

Beschrijving: Het systeemproces SVCHOST is waargenomen bij het uitvoeren van een zeldzame servicegroep. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren.

MITRE tactiek: Defense Evasion, Execution

Ernst: informatie

Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd)

Beschrijving: Bij analyse van hostgegevens wordt aangegeven dat een aanvaller een binair bestand voor toegankelijkheid (bijvoorbeeld plaktoetsen, schermtoetsenbord, Verteller) kan afkeren om achterdeurtoegang te bieden tot de host %{Compromised Host}.

MITRE-tactieken: -

Ernst: gemiddeld

Successful brute force attack (Geslaagde Brute Force-aanval)

(VM_LoginBruteForceSuccess)

Beschrijving: Er zijn verschillende aanmeldingspogingen gedetecteerd vanuit dezelfde bron. Sommige pogingen zijn geverifieerd door de host. Dit lijkt op een burst-aanval, waarbij een aanvaller talloze verificatiepogingen doet om geldige accountreferenties te vinden.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld/hoog

Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname)

Beschrijving: Bij analyse van hostgegevens is gedetecteerd dat de tscon.exe wordt uitgevoerd met SYSTEEMbevoegdheden. Dit kan duiden op een aanvaller die dit binaire bestand misbruikt om de context over te schakelen naar een andere aangemelde gebruiker op deze host. Het is een bekende aanvalstechniek om meer gebruikersaccounts in gevaar te brengen en lateraal over een netwerk te bewegen.

MITRE-tactieken: -

Ernst: gemiddeld

Suspect service installation (Verdachte service-installatie)

Beschrijving: Bij analyse van hostgegevens is vastgesteld dat tscon.exe als een service is geïnstalleerd: dit binaire bestand dat wordt gestart als een service, kan een aanvaller eenvoudig overschakelen naar een andere aangemelde gebruiker op deze host door RDP-verbindingen te kapen. Het is een bekende aanvallertechniek om meer gebruikersaccounts in gevaar te brengen en zich lateraal over een netwerk te verplaatsen.

MITRE-tactieken: -

Ernst: gemiddeld

Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen)

Beschrijving: Analyse van hostgegevens gedetecteerde opdrachtregelparameters die consistent zijn met een Kerberos Golden Ticket-aanval.

MITRE-tactieken: -

Ernst: gemiddeld

Beschrijving: Geeft aan dat een codesegment is toegewezen met behulp van niet-standaardmethoden, zoals reflecterende injectie en procesuitholling. De waarschuwing biedt meer kenmerken van het codesegment dat is verwerkt om context te bieden voor de mogelijkheden en het gedrag van het gerapporteerde codesegment.

MITRE-tactieken: -

Ernst: gemiddeld

Suspicious double extension file executed (Verdacht bestand met dubbele

Beschrijving: Analyse van hostgegevens duidt op een uitvoering van een proces met een verdachte dubbele extensie. Deze extensie kan gebruikers misleiden om te denken dat bestanden veilig kunnen worden geopend en kunnen duiden op de aanwezigheid van malware op het systeem.

MITRE-tactieken: -

Ernst: Hoog

Suspicious download using Certutil detected [seen multiple times] (Verdachte download met Certutil gedetecteerd [meerdere malen gezien])

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van certutil.exe, een ingebouwd beheerdershulpprogramma, gedetecteerd voor het downloaden van een binair bestand in plaats van het algemene doel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: -

Ernst: gemiddeld

MITRE-tactieken: -

Ernst: Hoog

Suspicious process name detected [seen multiple times] (Verdachte procesnaam gedetecteerd [meerdere keren gezien])

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld die overeenkomt met een bekend hulpprogramma voor aanvallers of een naam op een manier die suggesties doet voor hulpprogramma's van aanvallers die proberen te verbergen. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: -

Ernst: gemiddeld

(VM_SystemProcessInAbnormalContext)

Beschrijving: Het systeemproces %{process name} is waargenomen in een abnormale context. Malware maakt vaak gebruik van deze procesnaam om schadelijke activiteiten te maskeren.

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Verdachte activiteit voor schaduwkopie van volume

Beschrijving: Bij analyse van hostgegevens is een schaduwkopieverwijderingsactiviteit voor de resource gedetecteerd. Volume Shadow Copy (VSC) is een belangrijk artefact waarin momentopnamen van de gegevens worden opgeslagen. Sommige malware en met name ransomware richt zich op een VSC om back-upstrategieën te saboteren.

MITRE-tactieken: -

Ernst: Hoog

Suspicious WindowPosition registry value detected (Verdachte WindowPosition-registerwaarde gedetecteerd)

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een poging tot configuratiewijziging van het WindowPosition-register gedetecteerd die kan duiden op het verbergen van toepassingsvensters in niet-zichtbare secties van het bureaublad. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde computer. Dit type activiteit is eerder gekoppeld aan bekende adware (of ongewenste software) zoals Win32/OneSystemCare en Win32/SystemHealer en aan malware zoals Win32/Creprote. Wanneer de WindowPosition-waarde is ingesteld op 201329664 (Hex: 0x0c00 0c00, die overeenkomt met X-as=0c00 en de Y-as=0c00) plaatst u het venster van de console-app in een niet-zichtbare sectie van het scherm van de gebruiker in een gebied dat verborgen is onder de zichtbare startmenu/taakbalk. Bekende verdachte Hex-waarde omvat, maar niet beperkt tot c000c000.

MITRE-tactieken: -

Ernst: Laag

Suspiciously named process detected (Proces met verdachte naam gedetecteerd)

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam vergelijkbaar is met maar verschilt van een zeer vaak uitgevoerd proces (%{Vergelijkbaar met procesnaam}). Hoewel dit proces onschadelijk kan zijn, is het bekend dat aanvallers zich soms op opzichtige wijze proberen te verstoppen door hun tools een naam te geven die lijkt op die van een legitiem proces.

MITRE-tactieken: -

Ernst: gemiddeld

Ongebruikelijke configuratieherstel op uw virtuele machine

(VM_VMAccessUnusualConfigReset)

Beschrijving: Er is een ongebruikelijke configuratieherstel gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de configuratie in uw virtuele machine opnieuw in te stellen en deze te misbruiken.

MITRE-tactieken: Referentietoegang

Ernst: gemiddeld

Unusual process execution detected (Ongebruikelijke procesuitvoering gedetecteerd)

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd door %{Gebruikersnaam} dat ongebruikelijk was. Accounts zoals %{Gebruikersnaam} voeren meestal een beperkte set bewerkingen uit, deze uitvoering is vastgesteld dat deze uit karakter is en mogelijk verdacht is.

MITRE-tactieken: -

Ernst: Hoog

Ongebruikelijk opnieuw instellen van gebruikerswachtwoorden op uw virtuele machine

(VM_VMAccessUnusualPasswordReset)

Beschrijving: Er is een ongebruikelijke wachtwoordherstel van gebruikers gedetecteerd op uw virtuele machine door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de EXTENSIE voor VM-toegang te gebruiken om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en deze te misbruiken.

MITRE-tactieken: Referentietoegang

Ernst: gemiddeld

Ongebruikelijke SSH-sleutel van gebruiker opnieuw instellen op uw virtuele machine

(VM_VMAccessUnusualSSHReset)

Beschrijving: Er is een ongebruikelijke SSH-sleutelherstel van gebruikers gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en deze in gevaar te krijgen.

MITRE-tactieken: Referentietoegang

Ernst: gemiddeld

VBScript HTTP object allocation detected (Toewijzing van VBScript HTTP-objecten gedetecteerd)

Beschrijving: Het maken van een VBScript-bestand met behulp van de opdrachtprompt is gedetecteerd. Het volgende script bevat een opdracht voor HTTP-objecttoewijzing. Deze actie kan worden gebruikt om schadelijke bestanden te downloaden.

Verdachte installatie van GPU-extensie op uw virtuele machine (preview)

(VM_GPUDriverExtensionUnusualExecution)

Beschrijving: Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren.

MITRE-tactieken: Impact

Ernst: Laag

(VM_AmTempRealtimeProtectionDisablement)

MITRE-tactieken: Verdedigingsontduiking

Ernst: gemiddeld

Antimalware realtime-beveiliging is tijdelijk uitgeschakeld tijdens het uitvoeren van code op uw virtuele machine

(VM_AmRealtimeProtectionDisablementAndCodeExec)

MITRE-tactieken: -

Ernst: Hoog

MITRE-tactieken: -

Ernst: Laag

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.

MITRE-tactieken: -

Ernst: Hoog

Disabling of auditd logging [seen multiple times] (Registratie van auditlogboek uitschakelen [meerdere keren gezien])

Beschrijving: Het Linux-controlesysteem biedt een manier om beveiligingsgerelateerde informatie op het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die zich op uw systeem voordoen. Het uitschakelen van het auditlogboek kan tot gevolg hebben dat schendingen van het beveiligingsbeleid op het systeem niet worden gedetecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: -

Ernst: Laag

Exploitation of Xorg vulnerability [seen multiple times] (Misbruik van Xorg-beveiligingsprobleem [meerdere keren gezien])

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de gebruiker van Xorg gedetecteerd met verdachte argumenten. Aanvallers kunnen deze techniek gebruiken bij pogingen tot escalatie van bevoegdheden. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: -

Ernst: gemiddeld

Failed SSH brute force attack (Mislukte Brute Force-aanval via SSH)

(VM_SshBruteForceFailed)

Beschrijving: Mislukte beveiligingsaanvallen zijn gedetecteerd door de volgende aanvallers: %{Aanvallers}. Aanvallers hebben geprobeerd om met de volgende gebruikersnamen toegang te krijgen tot de host: %{Accounts used on failed sign in to host attempts}.

MITRE-tactieken: Testen

Ernst: gemiddeld

Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)

(VM_FilelessAttackBehavior.Linux)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat gedrag dat vaak wordt gebruikt door bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}

MITRE-tactiek: uitvoering

Ernst: Laag

Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd)

(VM_FilelessAttackTechnique.Linux)

MITRE-tactiek: uitvoering

Ernst: Hoog

Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd)

(VM_FilelessAttackToolkit.Linux)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat een toolkit voor bestandsloze aanvallen: {ToolKitName}. Toolkits voor bestandsloze aanvallen hebben doorgaans geen aanwezigheid op het bestandssysteem, waardoor detectie door traditionele antivirussoftware moeilijk is. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Hidden file execution detected (Uitvoering van verborgen bestand gedetecteerd)

Beschrijving: Analyse van hostgegevens geeft aan dat een verborgen bestand is uitgevoerd door %{gebruikersnaam}. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.

MITRE-tactieken: -

Ernst: informatie

New SSH key added [seen multiple times] (Nieuwe SSH-sleutel toegevoegd [meerdere keren gezien])

(VM_SshKeyAddition)

Beschrijving: Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: Persistentie

Ernst: Laag

New SSH key added (Nieuwe SSH-sleutel toegevoegd)

Beschrijving: Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels.

MITRE-tactieken: -

Ernst: Laag

Possible backdoor detected [seen multiple times] (Mogelijke achterdeur gedetecteerd [meerdere keren gezien])

Beschrijving: Bij analyse van hostgegevens is vastgesteld dat er een verdacht bestand wordt gedownload en vervolgens wordt uitgevoerd op %{Compromised Host} in uw abonnement. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]

MITRE-tactieken: -

Ernst: gemiddeld

Possible exploitation of the mailserver detected (Mogelijke exploitatie van de mailserver gedetecteerd)

(VM_MailserverExploitation )

Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een ongebruikelijke uitvoering gedetecteerd onder het e-mailserveraccount

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd)

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft afwijkend protocolgebruik gedetecteerd. Dit verkeer kan, hoewel mogelijk goedaardig, duiden op misbruik van dit algemene protocol om het filteren van netwerkverkeer te omzeilen. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host.

MITRE-tactieken: Exfiltratie

Ernst: -

Anonimiteitsnetwerkactiviteit

(AzureDNS_DarkWeb)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft anonieme netwerkactiviteit gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak gebruikt door aanvallers om tracering en vingerafdruk van netwerkcommunicatie te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Anonieme netwerkactiviteit met behulp van webproxy

(AzureDNS_DarkWebProxy)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Poging tot communicatie met verdacht sinkholed domein

(AzureDNS_SinkholedDomain)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} gedetecteerde aanvraag voor sinkholed domein. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Communicatie met mogelijk phishingdomein

(AzureDNS_PhishingDomain)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een aanvraag voor een mogelijk phishingdomein gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om referenties voor externe services te verzamelen. Een typische, bijkomende aanvalsactiviteit betreft de exploitatie van referenties voor de legitieme service.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Communicatie met verdacht algoritme gegenereerd domein

(AzureDNS_DomainGenerationAlgorithm)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft mogelijk gebruik van een algoritme voor het genereren van een domein gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie

(AzureDNS_ThreatIntelSuspectDomain)

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Communicatie met verdachte willekeurige domeinnaam

(AzureDNS_RandomizedDomain)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft het gebruik van een verdachte willekeurig gegenereerde domeinnaam gedetecteerd. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: informatie

Activiteit van digitale valutaanalyse

(AzureDNS_CurrencyMining)

Beschrijving: Analyse van DNS-transacties van %{CompromisedEntity} heeft de activiteit van digitale valutaanalyse gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers na inbreuk op resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Handtekeningactivering voor netwerkinbraakdetectie

(AzureDNS_SuspiciousDomain)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een bekende schadelijke netwerkhandtekening gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Mogelijke gegevens downloaden via DNS-tunnel

(AzureDNS_DataInfiltration)

Beschrijving: Bij analyse van DNS-transacties van %{CompromisedEntity} is een mogelijke DNS-tunnel gedetecteerd. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer.

MITRE-tactieken: Exfiltratie

Ernst: Laag

Mogelijke gegevensexfiltratie via DNS-tunnel

(AzureDNS_DataExfiltration)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Mogelijke gegevensoverdracht via DNS-tunnel

(AzureDNS_DataObfuscation)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Waarschuwingen voor Azure VM-extensies

Deze waarschuwingen richten zich op het detecteren van verdachte activiteiten van extensies van virtuele Azure-machines en bieden inzicht in pogingen van aanvallers om schadelijke activiteiten uit te voeren op uw virtuele machines.

Extensies van virtuele Azure-machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en die mogelijkheden bieden, zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze worden gebruikt door bedreigingsactoren voor verschillende schadelijke intenties, bijvoorbeeld:

Gegevensverzameling en -bewaking
Code-uitvoering en configuratie-implementatie met hoge bevoegdheden
Referenties opnieuw instellen en gebruikers met beheerdersrechten maken
Schijven versleutelen

Ernst: Hoog

Executable decoded using certutil (Bestand gedecodeerd met het hulpprogramma certutil)

(AppServices_ExecutableDecodedUsingCertutil)

Beschrijving: Bij analyse van hostgegevens op [Gecompromitteerde entiteit] is gedetecteerd dat certutil.exe, een ingebouwd hulpprogramma voor beheerders, werd gebruikt om een uitvoerbaar bestand te decoderen in plaats van het basisdoel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd. (Van toepassing op: App Service in Windows)

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)

(AppServices_FilelessAttackBehaviorDetection)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat gedrag dat vaak wordt gebruikt door bestandsloze aanvallen. Specifieke gedragingen zijn: {lijst met waargenomen gedragingen} (van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd)

(AppServices_FilelessAttackTechniqueDetection)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat bewijs van een bestandsloze aanvalstechniek. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Specifieke gedragingen zijn: {lijst met waargenomen gedragingen} (van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactiek: uitvoering

Ernst: Hoog

Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd)

(AppServices_FilelessAttackToolkitDetection)

Beschrijving: Het geheugen van het hieronder opgegeven proces bevat een toolkit voor bestandsloze aanvallen: {ToolKitName}. Toolkits voor bestandsloze aanvallen zijn meestal niet aanwezig in het bestandssysteem waardoor ze lastig kunnen worden gedetecteerd door traditionele antivirussoftware. Specifieke gedragingen zijn: {lijst met waargenomen gedragingen} (van toepassing op: App Service in Windows en App Service op Linux)

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Microsoft Defender voor Cloud testwaarschuwing voor App Service (geen bedreiging)

(AppServices_EICAR)

Beschrijving: Dit is een testwaarschuwing die wordt gegenereerd door Microsoft Defender voor Cloud. U hoeft geen verdere actie te ondernemen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: -

Ernst: Hoog

NMap-scan gedetecteerd

(AppServices_Nmap)

Beschrijving: Azure-app Service-activiteitenlogboek geeft een mogelijke webvingervingeractiviteit op uw App Service-resource aan. De gedetecteerde verdachte activiteit is gelinkt aan NMAP. Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: PreAttack

Ernst: informatie

Phishing content hosted on Azure Webapps (Phishing-inhoud gehost in Azure WebApps)

(AppServices_PhishingContent)

Beschrijving: URL die wordt gebruikt voor phishing-aanvallen die zijn gevonden op de website Azure-app Services. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. De inhoud probeert meestal om bezoekers te verleiden hun bedrijfsreferenties of financiële gegevens te verstrekken op website die eruit ziet als een betrouwbare site. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: Verzameling

Ernst: Hoog

PHP file in upload folder (PHP-bestand in uploadmap)

(AppServices_PhpInUploadFolder)

Beschrijving: Azure-app activiteitenlogboek van de service geeft een toegang aan tot een verdachte PHP-pagina die zich in de uploadmap bevindt. Dit type map bevat meestal geen PHP-bestanden. Het bestaan van dit type bestand kan wijzen op een beveiligingslek dat het mogelijk maakt om willekeurige bestanden te uploaden. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Mogelijke Cryptocoinminer-download gedetecteerd

(AppServices_CryptoCoinMinerDownload)

Beschrijving: Bij analyse van hostgegevens is vastgesteld dat het downloaden van een bestand dat normaal gesproken is gekoppeld aan digitale valutaanalyse. (Van toepassing op: App Service op Linux)

MITRE-tactieken: Ontduiking, commando en controle, exploitatie

Ernst: gemiddeld

Mogelijke gegevensexfiltratie gedetecteerd

(AppServices_DataEgressArtifacts)

Beschrijving: Bij analyse van host-/apparaatgegevens is een mogelijke voorwaarde voor uitgaand gegevens gedetecteerd. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd. (Van toepassing op: App Service op Linux)

MITRE-tactieken: Verzameling, Exfiltratie

Ernst: gemiddeld

Mogelijke zwevende DNS-record voor een Gedetecteerde App Service-resource

(AppServices_PotentialDanglingDomain)

Beschrijving: Er is een DNS-record gedetecteerd die verwijst naar een onlangs verwijderde App Service-resource (ook wel 'dangling DNS'-vermelding genoemd). Dit kan u vatbaar maken voor een overname van subdomeinen. Met subdomeinovernames kunnen kwaadwillenden verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site waarop schadelijke activiteiten worden uitgevoerd. In dit geval is een tekstrecord met de domeinverificatie-id gevonden. Dergelijke tekstrecords verhinderen overname van subdomeinen, maar we raden u nog steeds aan het zwevende domein te verwijderen. Als u de DNS-record naar het subdomein laat wijzen, loopt u het risico als iemand in uw organisatie het TXT-bestand of de TXT-record in de toekomst verwijdert. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: -

Ernst: Laag

Potential reverse shell detected (Mogelijke reverse shell gedetecteerd)

(AppServices_ReverseShell)

Beschrijving: Bij analyse van hostgegevens is een mogelijke omgekeerde shell gedetecteerd. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller. (Van toepassing op: App Service op Linux)

MITRE-tactieken: Exfiltratie, Exploitatie

Ernst: gemiddeld

Raw data download detected (Downloaden van onbewerkte gegevens gedetecteerd)

(AppServices_DownloadCodeFromWebsite)

Beschrijving: Bij analyse van App Service-processen is een poging gedetecteerd om code te downloaden van websites met onbewerkte gegevens, zoals Pastebin. Deze actie is uitgevoerd door een PHP-proces. Dit gedrag is gekoppeld aan pogingen om webshells of andere schadelijke onderdelen te downloaden naar App Service. (Van toepassing op: App Service in Windows)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Saving curl output to disk detected (Opslaan van curl-uitvoer naar schijf gedetecteerd)

(AppServices_CurlToDisk)

Beschrijving: Bij analyse van App Service-processen is gedetecteerd dat een curl-opdracht wordt uitgevoerd waarin de uitvoer is opgeslagen op de schijf. Hoewel dit gedrag legitiem kan zijn, wordt dit gedrag in webtoepassingen ook waargenomen in schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells. (Van toepassing op: App Service in Windows)

MITRE-tactieken: -

Ernst: Laag

Spam folder referrer detected (Verwijzing naar map met spam gedetecteerd)

(AppServices_SpamReferrer)

Beschrijving: Azure-app Service-activiteitenlogboek geeft webactiviteit aan die is geïdentificeerd als afkomstig van een website die is gekoppeld aan spamactiviteit. Dit kan gebeuren als uw website is geïnfecteerd en wordt gebruikt voor spam-activiteit. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: -

Ernst: Laag

Suspicious access to possibly vulnerable web page detected (Verdachte toegang tot mogelijk kwetsbare webpagina gedetecteerd)

(AppServices_ScanSensitivePage)

Beschrijving: Azure-app Service-activiteitenlogboek geeft aan dat er een webpagina wordt geopend die gevoelig lijkt te zijn. Deze verdachte activiteit is afkomstig van een bron-IP-adres waarvan het toegangspatroon lijkt op dat van een webscanner. Deze activiteit wordt vaak geassocieerd met een poging van een aanvaller om uw netwerk te scannen om toegang te krijgen tot gevoelige of kwetsbare webpagina's. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: -

Ernst: Laag

Verdachte domeinnaamverwijzing

(AppServices_CommandlineSuspectDomain)

Beschrijving: Analyse van hostgegevens gedetecteerde verwijzing naar verdachte domeinnaam. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. (Van toepassing op: App Service op Linux)

MITRE-tactieken: Exfiltratie

Ernst: Laag

Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd)

(AppServices_DownloadUsingCertutil)

Beschrijving: Bij analyse van hostgegevens op {NAME} is het gebruik van certutil.exe, een ingebouwd beheerdershulpprogramma, gedetecteerd voor het downloaden van een binair bestand in plaats van het algemene doel dat betrekking heeft op het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. (Van toepassing op: App Service in Windows)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd)

(AppServices_SuspectPhp)

Beschrijving: Computerlogboeken geven aan dat een verdacht PHP-proces wordt uitgevoerd. De actie omvat een poging om opdrachten van het besturingssysteem of PHP-code uit te voeren vanaf de opdracht regel met behulp van het PHP-proces. Hoewel dit gedrag legitiem kan zijn, kan dit gedrag in webtoepassingen ook duiden op schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd)

(AppServices_PowerShellPowerSploitScriptExecution)

Beschrijving: Analyse van hostgegevens geeft de uitvoering aan van bekende schadelijke PowerShell PowerSploit-cmdlets. (Van toepassing op: App Service in Windows)

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Verdacht proces uitgevoerd

(AppServices_KnownCredential AccessTools)

Beschrijving: Computerlogboeken geven aan dat het verdachte proces%{process path} werd uitgevoerd op de computer, vaak gekoppeld aan aanvallers om toegang te krijgen tot referenties. (Van toepassing op: App Service in Windows)

MITRE-tactieken: Referentietoegang

Ernst: Hoog

Suspicious process name detected (Verdachte procesnaam gedetecteerd)

(AppServices_ProcessWithKnownSuspiciousExtension)

Beschrijving: Bij analyse van hostgegevens op {NAME} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld die overeenkomt met een bekend hulpprogramma voor aanvallers of op een manier die suggesties doet voor aanvallerhulpprogramma's die proberen te verbergen in zicht. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. (Van toepassing op: App Service in Windows)

MITRE-tactieken: Persistentie, Verdedigingsontduiking

Ernst: gemiddeld

Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd)

(AppServices_SVCHostFromInvalidPath)

Beschrijving: Het systeemproces SVCHOST werd uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. (Van toepassing op: App Service in Windows)

MITRE tactiek: Defense Evasion, Execution

Ernst: Hoog

Suspicious User Agent detected (Verdachte gebruikersagent gedetecteerd)

(AppServices_UserAgentInjection)

Beschrijving: Azure-app Service-activiteitenlogboek geeft aanvragen aan met verdachte gebruikersagent. Dit gedrag kan erop wijzen dat er wordt geprobeerd een beveiligingslek te misbruiken in uw App Service-toepassing. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: Initiële toegang

Ernst: informatie

Suspicious WordPress theme invocation detected (Aanroep van verdacht WordPress-thema gedetecteerd)

(AppServices_WpThemeInjection)

Beschrijving: Azure-app Service-activiteitenlogboek geeft een mogelijke activiteit voor code-injectie op uw App Service-resource aan. De gedetecteerde verdachte activiteit lijkt op een activiteit waarmee een WordPress-thema wordt bewerkt om uitvoering van code op de server mogelijk te maken, gevolgd door een directe webaanvraag om het gemanipuleerde themabestand aan te roepen. Dit type activiteit kan deel uitmaken van een aanvalscampagne via WordPress. Als uw App Service-resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke aanval op code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactiek: uitvoering

Ernst: Hoog

Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)

(AppServices_DrupalScanner)

Beschrijving: Azure-app Service-activiteitenlogboek geeft aan dat er een mogelijke scanner voor beveiligingsproblemen is gebruikt in uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op een CMS (Content Management System). Als uw App Service-resource geen Hosting-site host, is deze niet kwetsbaar voor deze specifieke misbruik van code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service in Windows)

MITRE-tactieken: PreAttack

Ernst: Laag

Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)

(AppServices_JoomlaScanner)

Beschrijving: Azure-app Service-activiteitenlogboek geeft aan dat er een mogelijke scanner voor beveiligingsproblemen is gebruikt in uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op Joomla-toepassingen. Als uw App Service-resource geen Hosting-site host, is deze niet kwetsbaar voor deze specifieke misbruik van code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: PreAttack

Ernst: Laag

Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)

(AppServices_WpScanner)

Beschrijving: Azure-app Service-activiteitenlogboek geeft aan dat er een mogelijke scanner voor beveiligingsproblemen is gebruikt in uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op WordPress-toepassingen. Als uw App Service-resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke aanval op code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: PreAttack

Ernst: Laag

Web fingerprinting detected (Web-fingerprinting gedetecteerd)

(AppServices_WebFingerprinting)

Beschrijving: Azure-app Service-activiteitenlogboek geeft een mogelijke webvingervingeractiviteit op uw App Service-resource aan. Deze verdachte gedetecteerde activiteit is gekoppeld aan een tool met de naam Blind Elephant. De tool neemt een vingerafdruk van webservers en probeert zo de geïnstalleerde toepassingen en versies te detecteren. Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: PreAttack

Ernst: gemiddeld

Website is gelabeld als kwaadaardig in de feed met bedreigingsinformatie

(AppServices_SmartScreen)

Beschrijving: Uw website zoals hieronder wordt beschreven, is gemarkeerd als een schadelijke site door Windows SmartScreen. Als u denkt dat dit fout-positief is, neemt u contact op met Windows SmartScreen via de koppeling Feedback versturen. (Van toepassing op: App Service in Windows en App Service op Linux)

MITRE-tactieken: Verzameling

(K8S. NODE_SuspectUserAddition) ¹

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verdacht gebruik van de useradd-opdracht gedetecteerd.

MITRE-tactieken: Persistentie

Ernst: gemiddeld

Digital currency mining container detected (Container voor mining van digitale valuta gedetecteerd)

(K8S_MaliciousContainerImage) ³

Beschrijving: Analyse van het auditlogboek van Kubernetes heeft een container gedetecteerd met een installatiekopieën die zijn gekoppeld aan een hulpprogramma voor digitale valutaanalyse.

MITRE-tactiek: uitvoering

Ernst: Hoog

Beschrijving: Analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, heeft een verdacht proces gedetecteerd. Dit is vaak gekoppeld aan de MITRE 54ndc47-agent, die schadelijk kan worden gebruikt om andere machines aan te vallen.

MITRE-tactieken: Persistentie, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltratie, Command and Control, Probing, Exploitation

Ernst: gemiddeld

¹: Preview voor niet-AKS-clusters: deze waarschuwing is algemeen beschikbaar voor AKS-clusters, maar is in preview voor andere omgevingen, zoals Azure Arc, EKS en GKE.

²: Beperkingen voor GKE-clusters: GKE maakt gebruik van een Kubernetes-controlebeleid dat niet alle waarschuwingstypen ondersteunt. Als gevolg hiervan wordt deze beveiligingswaarschuwing, die is gebaseerd op Kubernetes-auditgebeurtenissen, niet ondersteund voor GKE-clusters.

³: Deze waarschuwing wordt ondersteund op Windows-knooppunten/-containers.

Waarschuwingen voor SQL Database en Azure Synapse Analytics

Extra informatie en opmerkingen

A possible vulnerability to SQL Injection (Mogelijk beveiligingslek dat mogelijkheden biedt voor SQL-injectie)

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Beschrijving: Een toepassing heeft een foutieve SQL-instructie in de database gegenereerd. Dit kan duiden op een mogelijke kwetsbaarheid voor SQL-injectieaanvallen. Er zijn twee mogelijke redenen voor een onjuiste instructie. Een fout in de toepassingscode waardoor de onjuiste SQL-instructie is gemaakt. Toepassingscode of opgeslagen procedures schonen gebruikersinvoer niet op tijdens het construeren van de onjuiste SQL-instructie, wat kan worden misbruikt voor SQL-injectie

MITRE-tactieken: PreAttack

Ernst: gemiddeld

Poging tot aanmelden door een mogelijk schadelijke toepassing

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Beschrijving: Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource.

MITRE-tactieken: PreAttack

Ernst: Hoog

Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor een SQL Server, waarbij iemand zich vanuit een ongebruikelijk Azure-datacentrum heeft aangemeld bij de server. In sommige gevallen wijst de waarschuwing op een legitieme actie (een nieuwe toepassing of Azure-service). In andere gevallen wijst de waarschuwing op een schadelijke actie (aanvaller die werkt vanuit een geïnfecteerde resource in Azure).

MITRE-tactieken: Testen

Ernst: Laag

Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie)

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor SQL Server, waarbij iemand zich vanaf een ongebruikelijke geografische locatie heeft aangemeld bij de server. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of onderhoud door ontwikkelaars). In andere gevallen wijst de waarschuwing op een schadelijke actie (een voormalig werknemer of externe aanvaller).

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Beschrijving: Een principal-gebruiker die de afgelopen 60 dagen niet is gezien, is aangemeld bij uw database. Als deze database nieuw is of dit wordt verwacht door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Beschrijving: Een gebruiker heeft zich in de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein dat geen andere gebruikers heeft verbonden. Als deze resource nieuw is of dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

(SQL. VM_PotentialSqlInjection)

Beschrijving: Iemand heeft een nieuwe nettolading geïnitieerd die gebruikmaakt van de laag in SQL Server die communiceert met het besturingssysteem terwijl de opdracht in de SQL-query wordt verborgen. Aanvallers verbergen meestal impactvolle opdrachten die populair worden bewaakt, zoals xp_cmdshell, sp_add_job en anderen. Verdoezelingstechnieken misbruiken legitieme opdrachten zoals tekenreekssamenvoeging, casten, basis wijzigen en andere, om regex-detectie te voorkomen en de leesbaarheid van de logboeken te kwetsen.

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Beschrijving: Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource.

MITRE-tactieken: PreAttack

Ernst: Hoog

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

Beschrijving: Microsoft Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen.

MITRE-tactieken: Verdedigingsontduiking

Ernst: gemiddeld

MicroBurst-exploitatietoolkit gebruikt om resources in uw abonnementen op te sommen

(ARM_MicroBurst.AzDomainInfo)

Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het uitvoeren van een bewerking voor het verzamelen van gegevens om resources, machtigingen en netwerkstructuren te detecteren. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om informatie te verzamelen voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.

MITRE-tactieken: -

Ernst: Laag

(Storage.Blob_SuspiciousApp)

Beschrijving: Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2

MITRE-tactieken: Initiële toegang

Ernst: hoog/gemiddeld

Toegang vanaf een verdacht IP-adres

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Beschrijving: Geeft aan dat dit opslagaccount is geopend vanaf een IP-adres dat als verdacht wordt beschouwd. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Pre Attack

Ernst: hoog/gemiddeld/laag

Phishing-inhoud die wordt gehost in een opslagaccount

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Beschrijving: Een URL die wordt gebruikt in een phishing-aanval verwijst naar uw Azure Storage-account. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. Inhoud die op dergelijke pagina's wordt gehost, is meestal zo ontworpen dat bezoekers worden verleid om hun bedrijfsreferenties of financiële gegevens in te vullen in een webformulier dat legitiem lijkt. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files

MITRE-tactieken: Verzameling

Ernst: Hoog

Opslagaccount geïdentificeerd als bron voor de distributie van malware

(Storage.Files_WidespreadeAm)

Beschrijving: Antimalwarewaarschuwingen geven aan dat een geïnfecteerd bestand(en) is opgeslagen in een Azure-bestandsshare die is gekoppeld aan meerdere VM's. Als aanvallers toegang krijgen tot een virtuele machine met een gekoppelde Azure-bestandsshare, kunnen ze deze gebruiken om malware te verspreiden naar andere VM's die dezelfde share koppelen. Van toepassing op: Azure Files

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Het toegangsniveau van een potentieel gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan

(Storage.Blob_OpenACL)

Beschrijving: De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat mogelijk gevoelige gegevens bevat, heeft gewijzigd in het niveau Container om niet-geverifieerde (anonieme) openbare toegang toe te staan. De wijziging is aangebracht via Azure Portal. Op basis van statistische analyse wordt de blobcontainer gemarkeerd als mogelijk gevoelige gegevens. Deze analyse suggereert dat blobcontainers of opslagaccounts met vergelijkbare namen doorgaans niet zichtbaar zijn voor openbare toegang. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs).

MITRE-tactieken: Verzameling

Ernst: gemiddeld

Geverifieerde toegang vanaf een Tor-afsluitknooppunt

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactiek: Eerste toegang/pre-aanval

Ernst: hoog/gemiddeld

Access from an unusual location to a storage account (Toegang tot een opslagaccount vanaf een ongebruikelijke locatie)

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Beschrijving: Geeft aan dat het toegangspatroon is gewijzigd in een Azure Storage-account. Iemand heeft toegang verkregen tot dit account vanaf een IP-adres dat als niet-vertrouwd wordt beschouwd in vergelijking met recente activiteiten. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-tactieken: Initiële toegang

Ernst: hoog/gemiddeld/laag

Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer

(Storage.Blob_AnonymousAccessAnomaly)

Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage

MITRE-tactieken: Initiële toegang

Ernst: hoog/laag

Potential malware uploaded to a storage account (Mogelijke malware die is geüpload naar een opslagaccount)

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Beschrijving: Geeft aan dat een blob met mogelijke malware is geüpload naar een blobcontainer of een bestandsshare in een opslagaccount. Deze waarschuwing is gebaseerd op reputatieanalyse van hashes en maakt gebruik van Microsoft-bedreigingsinformatie, waaronder hashes voor virussen, Trojaanse paarden, spyware en ransomware. Mogelijke oorzaken kunnen bestaan uit een opzettelijke malware-upload door een aanvaller of een onbedoelde upload van een mogelijk schadelijke blob door een legitieme gebruiker. Van toepassing op: Azure Blob Storage, Azure Files (alleen voor transacties via REST API) Meer informatie over de mogelijkheden voor bedreigingsinformatie van Microsoft.

MITRE-tactieken: Laterale beweging

Ernst: Hoog

Openbaar toegankelijke opslagcontainers gedetecteerd

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Beschrijving: Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma.

Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.

De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-tactieken: Verzameling

Ernst: hoog/gemiddeld

Openbaar toegankelijke opslagcontainers zijn niet gescand

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Beschrijving: Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers.

Beschrijving: De waarschuwing geeft aan dat een schadelijke blob is gedownload uit een opslagaccount. Mogelijke oorzaken zijn malware die is geüpload naar het opslagaccount en niet verwijderd of in quarantaine geplaatst, waardoor een bedreigingsacteur deze kan downloaden of een onbedoelde download van de malware door legitieme gebruikers of toepassingen. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-plan waarvoor de functie Malware scanning is ingeschakeld.

MITRE-tactieken: Laterale beweging

Ernst: Hoog, als Eicar - laag

Waarschuwingen voor Azure Cosmos DB

Extra informatie en opmerkingen

Toegang vanaf een Tor-afsluitknooppunt

(CosmosDB_TorAnomaly)

Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor, een geanonimiseerde proxy. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen.

MITRE-tactieken: Initiële toegang

Ernst: hoog/gemiddeld

Toegang vanaf een verdacht IP-adres

(CosmosDB_SuspiciousIp)

Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat is geïdentificeerd als een bedreiging door Microsoft Threat Intelligence.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Toegang vanaf een ongebruikelijke locatie

(CosmosDB_GeoAnomaly)

Beschrijving: Dit Azure Cosmos DB-account is geopend vanaf een locatie die als onbekend wordt beschouwd, op basis van het gebruikelijke toegangspatroon.

Een bedreigingsacteur heeft toegang gekregen tot het account of een legitieme gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie

MITRE-tactieken: Initiële toegang

Ernst: Laag

Ongebruikelijke hoeveelheid geëxtraheerde gegevens

(CosmosDB_DataExfiltrationAnomaly)

Beschrijving: Er is een ongebruikelijk grote hoeveelheid gegevens geëxtraheerd uit dit Azure Cosmos DB-account. Dit kan erop wijzen dat een bedreigingsacteur gegevens heeft exfiltreerd.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

Extractie van Azure Cosmos DB-accountsleutels via een mogelijk schadelijk script

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd van sleutelvermeldingsbewerkingen om de sleutels van Azure Cosmos DB-accounts in uw abonnement op te halen. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals Microburst, om sleutels weer te geven en Azure Cosmos DB-accounts te vinden die ze kunnen openen.

Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur probeert azure Cosmos DB-accounts in uw omgeving in te breken voor kwaadwillende bedoelingen.

Een kwaadwillende insider kan ook proberen toegang te krijgen tot gevoelige gegevens en laterale verplaatsingen uitvoeren.

MITRE-tactieken: Verzameling

Ernst: gemiddeld

Verdachte extractie van Azure Cosmos DB-accountsleutels (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Beschrijving: Een verdachte bron heeft toegangssleutels van uw Azure Cosmos DB-account uit uw abonnement geëxtraheerd. Als deze bron geen legitieme bron is, kan dit een groot probleem zijn. De toegangssleutel die is geëxtraheerd, biedt volledige controle over de bijbehorende databases en de gegevens die zijn opgeslagen in. Bekijk de details van elke specifieke waarschuwing om te begrijpen waarom de bron als verdacht is gemarkeerd.

MITRE-tactieken: Referentietoegang

Ernst: hoog

SQL-injectie: mogelijke gegevensexfiltratie

(CosmosDB_SqlInjection.DataExfiltratie)

Beschrijving: Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account.

De geïnjecteerde instructie kan zijn geslaagd in het exfiltreren van gegevens die de bedreigingsacteur niet gemachtigd is om toegang te krijgen.

Vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's kunnen veel bekende SQL-injectieaanvallen op Azure Cosmos DB-accounts niet werken. De variatie die in deze aanval wordt gebruikt, kan echter werken en bedreigingsactoren kunnen gegevens exfiltreren.

MITRE-tactieken: Exfiltratie

Ernst: gemiddeld

SQL-injectie: fuzzingpoging

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Beschrijving: Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account.

Net als bij andere bekende SQL-injectieaanvallen lukt deze aanval niet om het Azure Cosmos DB-account in gevaar te brengen.

Het is echter een indicatie dat een bedreigingsacteur de resources in dit account probeert aan te vallen en dat uw toepassing mogelijk is aangetast.

Sommige SQL-injectieaanvallen kunnen slagen en worden gebruikt om gegevens te exfiltreren. Dit betekent dat als de aanvaller doorgaat met het uitvoeren van SQL-injectiepogingen, mogelijk inbreuk kan maken op uw Azure Cosmos DB-account en gegevens kan exfiltreren.

U kunt deze bedreiging voorkomen met behulp van geparameteriseerde query's.

Ernst: gemiddeld

Waarschuwingen voor Azure DDoS Protection

Extra informatie en opmerkingen

DDoS Attack detected for Public IP (DDoS-aanval gedetecteerd voor openbaar IP-adres)

(NETWORK_DDOS_DETECTED)

Beschrijving: DDoS-aanval gedetecteerd voor openbaar IP-adres (IP-adres) en wordt beperkt.

MITRE-tactieken: Testen

Ernst: Hoog

DDoS Attack mitigated for Public IP (DDoS-aanval beperkt voor openbaar IP-adres)

(NETWORK_DDOS_MITIGATED)

De volgende lijsten bevatten de beveiligingswaarschuwingen van Defender for Containers die zijn afgeschaft.

Manipulation of host firewall detected (Manipulatie van hostfirewall gedetecteerd)

(K8S. NODE_FirewallDisabled)

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke manipulatie van de firewall op de host gedetecteerd. Aanvallers schakelen deze vaak uit om gegevens te exfiltreren.

MITRE-tactieken: DefenseEvasion, Exfiltratie

Ernst: gemiddeld

Verdacht gebruik van DNS via HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is het gebruik van een DNS-aanroep via HTTPS op ongebruikelijke wijze gedetecteerd. Deze techniek wordt gebruikt door aanvallers om aanroepen te verbergen voor verdachte of schadelijke sites.

MITRE-tactieken: DefenseEvasion, Exfiltratie

Ernst: gemiddeld

Er is een mogelijke verbinding met schadelijke locatie gedetecteerd.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Beschrijving: Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een verbinding gedetecteerd met een locatie die schadelijk of ongebruikelijk is gerapporteerd. Dit is een indicator dat er mogelijk een inbreuk is opgetreden.

MITRE-tactieken: InitialAccess

Ernst: gemiddeld

Activiteit van digitale valutaanalyse

(K8S. NODE_CurrencyMining)

Beschrijving: Analyse van DNS-transacties gedetecteerde digitale valutaanalyseactiviteit. Dergelijke activiteit, terwijl mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers na inbreuk op resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's.

MITRE-tactieken: Exfiltratie

Weergavenaam van waarschuwing: mogelijke schadelijke webshell gedetecteerd

Weergavenaam van waarschuwing: het uitschakelen van kritieke services gedetecteerd

Ernst: gemiddeld

Defender voor Cloud ondersteunde kill chain-intenties zijn gebaseerd op versie 9 van de MITRE ATT&CK-matrix en worden beschreven in de onderstaande tabel.

Tactiek	ATT&CK-versie	Beschrijving
PreAttack (Voorbereiding)		PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een ingangspunt te identificeren.
Eerste toegang	V7, V9	Initiële toegang is de fase waarin een aanvaller erin slaagt om een voet aan de aanvalsresource te krijgen. Deze fase is relevant voor rekenhosts en resources, zoals gebruikersaccounts, certificaten, enzovoort. Bedreigingsactoren kunnen na deze fase vaak de resource beheren.
Persistentie	V7, V9	Persistentie (Persistence in de matrix) is elke wijziging van toegang, actie of configuratie van een systeem waarmee een bedreigingsactor een permanente of persistente aanwezigheid kan verkrijgen in dat systeem. Het is belangrijk voor bedreigingsactoren dat ze ook na onderbrekingen toegang houden tot het aangevallen systeem. Voorbeelden van dergelijke onderbrekingen zijn het opnieuw opstarten van het systeem, verlies van referenties of andere fouten waardoor een tool voor externe toegang opnieuw moet worden gestart of een alternatieve achterdeur moet worden gevonden om de toegang te herstellen.
Escalatie van bevoegdheden	V7, V9	Het verhogen of escaleren van bevoegdheden is het resultaat van acties waarmee een indringer de beschikking krijgt over een hoger machtigingsniveau op een systeem of in een netwerk. Bepaalde tools of acties vereisen een hoger bevoegdheidsniveau en zijn waarschijnlijk op verschillende punten tijdens een bewerking noodzakelijk. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of het uitvoeren van specifieke functies die nodig zijn voor kwaadwillende personen om hun doelstelling te bereiken, kunnen ook worden beschouwd als een escalatie van bevoegdheden.
Verdedigingsontduiking	V7, V9	Verdedigingsontduiking bestaat uit technieken die een kwaadwillende persoon kan gebruiken om detectie te omzeilen of andere verdediging te voorkomen. Soms zijn deze acties hetzelfde als (of variaties van) technieken in andere categorieën met het toegevoegde voordeel van het ondermijnen van een bepaalde verdediging of beperking.
Referentietoegang	V7, V9	Toegang tot referenties bestaat uit technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt binnen een bedrijfsomgeving. Indringers zullen waarschijnlijk proberen om geldige referenties te verkrijgen van gebruikers of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik binnen het netwerk. Als een indringer voldoende toegang heeft binnen een netwerk, kan hij of zij accounts maken voor later gebruik binnen de omgeving.
Discovery (Detectie)	V7, V9	Detectie bestaat uit technieken waarmee de indringer kennis kan verkrijgen over het systeem en het interne netwerk. Wanneer indringers toegang hebben tot een nieuw systeem, moeten ze vaststellen waarover ze nu controle hebben en wat ze kunnen inzetten van dat systeem om hun huidige doelstelling of algemene doelstellingen van de aanval te realiseren. Het besturingssysteem biedt verschillende ingebouwde programma's die kunnen helpen bij deze fase van het verzamelen van gegevens na de overname van het systeem.
Lateral Movement (Zijdelingse verplaatsing)	V7, V9	Zijdelingse verplaatsing bestaat uit technieken die een indringer in staat stellen om externe systemen in een netwerk over te nemen en te beheren, maar dit hoeft niet noodzakelijkerwijs het uitvoeren van tools op externe systemen te omvatten. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen om informatie van een systeem te verzamelen zonder dat er meer hulpprogramma's nodig zijn, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan zijdelingse verplaatsing gebruiken voor veel doeleinden, waaronder externe uitvoering van hulpprogramma's, draaien naar meer systemen, toegang tot specifieke informatie of bestanden, toegang tot meer referenties of om een effect te veroorzaken.
Uitvoering	V7, V9	De uitvoeringstactiek bestaat uit technieken die leiden tot het uitvoeren van door de indringer beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse verplaatsing om toegang uit te breiden tot externe systemen in een netwerk.
Verzameling	V7, V9	Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, op een doelnetwerk voorafgaand aan exfiltratie. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren.
Opdracht en beheer	V7, V9	De Command and Control-tactiek laat zien hoe indringers communiceren met systemen in hun beheer in een doelnetwerk.
Exfiltration (Exfiltratie)	V7, V9	Exfiltratie verwijst naar technieken en kenmerken die leiden tot of helpen bij het verwijderen door de indringer van bestanden en informatie vanuit een doelnetwerk. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren.
Impact	V7, V9	Gebeurtenissen uit deze categorie proberen hoofdzakelijk de beschikbaarheid of integriteit van een systeem, service of netwerk te verminderen, waaronder de manipulatie van gegevens om een bedrijfs- of operationeel proces te beïnvloeden. Dit gebeurt vaak met technieken zoals ransomware, beschadiging en gegevensmanipulatie.

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Referentiegids met beveiligingswaarschuwingen

Waarschuwingen voor Windows-computers

Er is een aanmelding van een schadelijk IP-adres gedetecteerd. [meerdere keren gezien]

Schending van beleid voor adaptief toepassingsbeheer is gecontroleerd

Addition of Guest account to Local Administrators group (Toevoeging van gastaccount aan lokale beheerdersgroep)

An event log was cleared (Een traceerlogboek is gewist)

Antimalware Action Failed (Antimalware-actie mislukt)

Antimalware Action Taken (Antimalware-actie uitgevoerd)

Uitsluiting van algemene antimalwarebestanden op uw virtuele machine

Antimalware uitgeschakeld en code-uitvoering op uw virtuele machine

Antimalware uitgeschakeld op uw virtuele machine

Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine

Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine

Uitsluiting van antimalwarebestanden in uw virtuele machine

Antimalware realtime-beveiliging is uitgeschakeld op uw virtuele machine

Antimalware realtime-beveiliging is tijdelijk uitgeschakeld op uw virtuele machine

Antimalware realtime-beveiliging is tijdelijk uitgeschakeld tijdens het uitvoeren van code op uw virtuele machine

Antimalwarescans geblokkeerd voor bestanden die mogelijk te maken hebben met malwarecampagnes op uw virtuele machine (preview)

Antimalware tijdelijk uitgeschakeld op uw virtuele machine

Ongebruikelijke bestandsuitsluiting van antimalware op uw virtuele machine

Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie

Detected actions indicative of disabling and deleting IIS log files (Acties gedetecteerd die wijzen op uitschakelen en verwijderen van IIS-logboekbestanden)

Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel)

Detected change to a registry key that can be abused to bypass UAC (Er is een wijziging gedetecteerd van een registersleutel die kan worden misbruikt om UAC over te slaan)

Detected decoding of an executable using built-in certutil.exe tool (Decodering gedetecteerd van een uitvoerbaar bestand met de tool certutil.exe)

Detected enabling of the WDigest UseLogonCredential registry key (Inschakelen van registersleutel WDigest UseLogonCredential gedetecteerd)

Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel)

Detected obfuscated command line (Onleesbaar gemaakt opdrachtregel gedetecteerd)

Detected possible execution of keygen executable (Mogelijke uitvoering van uitvoerbare bestand keygen gedetecteerd)

Detected possible execution of malware dropper (Mogelijke uitvoering van malware-dropper gedetecteerd)

Detected possible local reconnaissance activity (Mogelijke lokale verkenningsactiviteit gedetecteerd)

Detected potentially suspicious use of Telegram tool (Mogelijk verdacht gebruik van Telegram-tool gedetecteerd)

Detected suppression of legal notice displayed to users at logon (Er is gedetecteerd dat de weergave van een juridische kennisgeving aan gebruikers is onderdrukt tijdens aanmelding)

Detected suspicious combination of HTA and PowerShell (Verdachte combinatie van HTA en PowerShell gedetecteerd)

Detected suspicious commandline arguments (Verdachte opdrachtregelargumenten gedetecteerd)

Detected suspicious commandline used to start all executables in a directory (Verdachte opdrachtregel gedetecteerd waarmee alle uitvoerbare bestanden in een map zijn gestart)

Detected suspicious credentials in commandline (Verdachte referenties gevonden op opdrachtregel)

Detected suspicious document credentials (Verdachte documentreferenties gevonden)

Detected suspicious execution of VBScript.Encode command (Verdachte uitvoering gedetecteerd van VBScript.Encode-opdracht)

Detected suspicious execution via rundll32.exe (Verdachte uitvoering via rundll32.exe gedetecteerd)

Detected suspicious file cleanup commands (Verdachte opdrachten voor opschonen van bestanden gedetecteerd)

Detected suspicious file creation (Maken van verdacht bestand gedetecteerd)

Detected suspicious named pipe communications (Verdachte communicatie met named pipe gedetecteerd)

Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd)

Detected suspicious new firewall rule (Verdachte nieuwe firewallregel gedetecteerd)

Detected suspicious use of Cacls to lower the security state of the system (Verdacht gebruik van Cacls gedetecteerd om de beveiligingsstatus van het systeem te verlagen)

Detected suspicious use of FTP -s Switch (Verdacht gebruik van FTP-schakeloptie -s gedetecteerd)

Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten)

Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd)

Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)

Dynamic PS script construction (Dynamische constructie van PS-script)

Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie)

Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)

Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd)

Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd)

High risk software detected (Software met hoog risico gedetecteerd)

Lokale Beheer istrators groepsleden zijn geïnventariseerd

Malicious firewall rule created by ZINC server implant [seen multiple times] (Schadelijke firewallregel gemaakt door implantaat op ZINC-server [meerdere malen gezien])

Malicious SQL activity (Schadelijke SQL-activiteit)

Multiple Domain Accounts Queried (Query's op meerdere domeinaccounts uitgevoerd)

Possible credential dumping detected [seen multiple times] (Mogelijke dumping van referenties gedetecteerd [meerdere malen gezien])

Potential attempt to bypass AppLocker detected (Potentiële poging gedetecteerd om AppLocker te negeren)

Rare SVCHOST service group executed (Zeldzame SVCHOST-servicegroep uitgevoerd)

Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd)

Successful brute force attack (Geslaagde Brute Force-aanval)

Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname)

Suspect service installation (Verdachte service-installatie)

Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen)

Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd)

Suspicious Activity Detected (Verdachte activiteit gedetecteerd)

Suspicious authentication activity (Verdachte verificatieactiviteit)

Suspicious code segment detected (Verdacht codesegment gedetecteerd)

Suspicious double extension file executed (Verdacht bestand met dubbele

Suspicious download using Certutil detected [seen multiple times] (Verdachte download met Certutil gedetecteerd [meerdere malen gezien])

Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd)

Suspicious PowerShell Activity Detected (Verdachte PowerShell-activiteit gedetecteerd)

Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd)

Suspicious process executed [seen multiple times] (Verdacht proces uitgevoerd [meerdere keren gezien])

Verdacht proces uitgevoerd

Suspicious process name detected [seen multiple times] (Verdachte procesnaam gedetecteerd [meerdere keren gezien])