Waarschuwingen voor Azure VM-extensies
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u kunt krijgen voor Azure VM-extensies van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Waarschuwingen voor Azure VM-extensies
Deze waarschuwingen richten zich op het detecteren van verdachte activiteiten van extensies van virtuele Azure-machines en bieden inzicht in pogingen van aanvallers om schadelijke activiteiten uit te voeren op uw virtuele machines.
Extensies van virtuele Azure-machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en die mogelijkheden bieden, zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze worden gebruikt door bedreigingsactoren voor verschillende schadelijke intenties, bijvoorbeeld:
Gegevensverzameling en -bewaking
Code-uitvoering en configuratie-implementatie met hoge bevoegdheden
Referenties opnieuw instellen en gebruikers met beheerdersrechten maken
Schijven versleutelen
Meer informatie over Defender voor Cloud nieuwste beveiligingen tegen misbruik van Azure VM-extensies.
Verdachte fout bij het installeren van de GPU-extensie in uw abonnement (preview)
(VM_GPUExtensionSuspiciousFailure)
Beschrijving: Verdachte intentie van het installeren van een GPU-extensie op niet-ondersteunde VM's. Deze extensie moet worden geïnstalleerd op virtuele machines die zijn uitgerust met een grafische processor, en in dit geval zijn de virtuele machines niet uitgerust met een dergelijke. Deze fouten kunnen worden gezien wanneer kwaadwillende kwaadwillende aanvallers meerdere installaties van een dergelijke extensie uitvoeren voor cryptoanalysedoeleinden.
MITRE-tactieken: Impact
Ernst: gemiddeld
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Beschrijving: Er is een verdachte installatie van een GPU-extensie op uw virtuele machine gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen.
MITRE-tactieken: Impact
Ernst: Laag
Opdracht uitvoeren met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousScript)
Beschrijving: Er is een opdracht uitvoeren met een verdacht script gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen Run Command gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk.
MITRE-tactiek: uitvoering
Ernst: Hoog
Verdacht gebruik van niet-geautoriseerde run-opdrachten is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousFailure)
Beschrijving: Verdacht onbevoegd gebruik van Run Command is mislukt en is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen proberen de opdracht Uitvoeren te gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Verdacht gebruik van opdracht uitvoeren is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousUsage)
Beschrijving: Verdacht gebruik van opdracht Uitvoeren is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen De opdracht Uitvoeren gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien.
MITRE-tactiek: uitvoering
Ernst: Laag
Er is verdacht gebruik van meerdere bewakings- of gegevensverzamelingsextensies gedetecteerd op uw virtuele machines (preview)
(VM_SuspiciousMultiExtensionUsage)
Beschrijving: Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen dergelijke extensies misbruiken voor gegevensverzameling, bewaking van netwerkverkeer en meer in uw abonnement. Dit gebruik wordt verdacht geacht omdat dit nog niet eerder is gezien.
MITRE-tactiek: Reconnaissance
Ernst: gemiddeld
Er is een verdachte installatie van schijfversleutelingsextensies gedetecteerd op uw virtuele machines (preview)
(VM_DiskEncryptionSuspiciousUsage)
Beschrijving: Er is een verdachte installatie van schijfversleutelingsextensies op uw virtuele machines gedetecteerd door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen de schijfversleutelingsextensie misbruiken om volledige schijfversleuteling op uw virtuele machines te implementeren via Azure Resource Manager in een poging om ransomware-activiteit uit te voeren. Deze activiteit wordt verdacht geacht omdat deze niet eerder is gezien en vanwege het grote aantal extensie-installaties.
MITRE-tactieken: Impact
Ernst: gemiddeld
Verdacht gebruik van de VMAccess-extensie is gedetecteerd op uw virtuele machines (preview)
(VM_VMAccessSuspiciousUsage)
Beschrijving: Verdacht gebruik van de VMAccess-extensie is gedetecteerd op uw virtuele machines. Aanvallers kunnen misbruik maken van de VMAccess-extensie om toegang te krijgen en inbreuk te maken op uw virtuele machines met hoge bevoegdheden door toegangs- of beheergebruikers opnieuw in te stellen. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
De DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_DSCExtensionSuspiciousScript)
Beschrijving: de DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk.
MITRE-tactiek: uitvoering
Ernst: Hoog
Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines (preview)
(VM_DSCExtensionSuspiciousUsage)
Beschrijving: Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties.
MITRE-tactiek: uitvoering
Ernst: Laag
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_CustomScriptExtensionSuspiciousCmd)
Beschrijving: Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de aangepaste scriptextensie gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk.
MITRE-tactiek: uitvoering
Ernst: Hoog
Suspicious failed execution of custom script extension in your virtual machine (Verdachte mislukte uitvoering van aangepaste scriptextensie op uw virtuele machine)
(VM_CustomScriptExtensionSuspiciousFailure)
Beschrijving: Er is een verdachte fout opgetreden bij een aangepaste scriptextensie op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Dergelijke fouten kunnen worden gekoppeld aan schadelijke scripts die door deze extensie worden uitgevoerd.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Ongebruikelijke verwijdering van aangepaste scriptextensie op uw virtuele machine
(VM_CustomScriptExtensionUnusualDeletion)
Beschrijving: Ongebruikelijke verwijdering van een aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen aangepaste scriptextensies gebruiken om schadelijke code uit te voeren op uw virtuele machines via Azure Resource Manager.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Ongebruikelijke uitvoering van aangepaste scriptextensie op uw virtuele machine
(VM_CustomScriptExtensionUnusualExecution)
Beschrijving: Ongebruikelijke uitvoering van een aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen aangepaste scriptextensies gebruiken om schadelijke code uit te voeren op uw virtuele machines via Azure Resource Manager.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Aangepaste scriptextensie met verdacht toegangspunt op uw virtuele machine
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Beschrijving: Aangepaste scriptextensie met een verdacht toegangspunt is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Het invoerpunt verwijst naar een verdachte GitHub-opslagplaats. Aanvallers kunnen aangepaste scriptextensies gebruiken om schadelijke code uit te voeren op uw virtuele machines via Azure Resource Manager.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Aangepaste scriptextensie met verdachte nettolading in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousPayload)
Beschrijving: Aangepaste scriptextensie met een nettolading uit een verdachte GitHub-opslagplaats is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen aangepaste scriptextensies gebruiken om schadelijke code uit te voeren op uw virtuele machines via Azure Resource Manager.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.