Referentiegids met beveiligingswaarschuwingen
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk ontvangt van Microsoft Defender voor Cloud en eventuele Microsoft Defender plannen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Onderaan deze pagina ziet u een tabel met een beschrijving van de Microsoft Defender voor cloud kill chain die is uitgelijnd met versie 9 van de MITRE ATT&CK-matrix.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Waarschuwingen voor Windows-computers
Microsoft Defender voor servers abonnement 2 biedt unieke detecties en waarschuwingen, naast de detecties en waarschuwingen van Microsoft Defender voor Eindpunt. De waarschuwingen voor Windows-computers zijn:
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Er is een aanmelding vanaf een schadelijk IP-adres gedetecteerd. [Meerdere keren gezien] | Er is een geslaagde externe authenticatie voor het account [account] en het proces [proces] opgetreden, maar het aanmeldings-IP-adres (x.x.x.x) is eerder gerapporteerd als schadelijk of zeer ongebruikelijk. Er is waarschijnlijk sprake van een geslaagde aanval. Bestanden met de extensie .scr zijn schermbeveiligingsbestanden en deze bevinden zich normaal gesproken in de systeemmap van Windows en worden van daaruit uitgevoerd. | - | Hoog |
| Addition of Guest account to Local Administrators group (Toevoeging van gastaccount aan lokale beheerdersgroep) | Bij analyse van de hostgegevens is vastgesteld dat het ingebouwde gastaccount is toegevoegd aan de lokale beheerdersgroep op %{Compromised Host}, een gebeurtenis die sterk is gerelateerd aan een aanvalsactiviteit. | - | Normaal |
| An event log was cleared (Een traceerlogboek is gewist) | Computerlogboeken geven een verdachte bewerking van het wissen van een gebeurtenislogboek aan door de gebruiker % {gebruikersnaam} op computer % {getroffen entiteit}. Het logboek % {logboekkanaal} is gewist. | - | Informatief |
| Antimalware Action Failed (Antimalware-actie mislukt) | Er is een fout opgetreden in Microsoft Antimalware bij het uitvoeren van een actie op malware of andere mogelijk ongewenste software. | - | Normaal |
| Antimalware Action Taken (Antimalware-actie uitgevoerd) | Microsoft Antimalware for Azure heeft een actie ondernomen om deze computer te beveiligen tegen malware of andere mogelijk ongewenste software. | - | Normaal |
| Uitsluiting van antimalware-brede bestanden op uw virtuele machine (VM_AmBroadFilesExclusion) |
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
- | Normaal |
| Antimalware uitgeschakeld en code-uitvoering op uw virtuele machine (VM_AmDisablementAndCodeExecution) |
Antimalware wordt uitgeschakeld op het zelfde moment dat code op de virtuele machine wordt uitgevoerd. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
- | Hoog |
| Antimalware uitgeschakeld in uw virtuele machine (VM_AmDisablement) |
Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen. |
Defensieontduiking | Normaal |
| Uitsluiting van antimalwarebestanden en uitvoering van code op uw virtuele machine (VM_AmFileExclusionAndCodeExecution) |
Bestand wordt uitgesloten van uw antimalwarescanner op hetzelfde moment dat code wordt uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
Ontduiking van verdediging, uitvoering | Hoog |
| Uitsluiting van antimalwarebestanden en uitvoering van code op uw virtuele machine (VM_AmTempFileExclusionAndCodeExecution) |
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Ontduiking van verdediging, uitvoering | Hoog |
| Uitsluiting van antimalwarebestanden op uw virtuele machine (VM_AmTempFileExclusion) |
Bestand uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is uitgeschakeld op uw virtuele machine (VM_AmRealtimeProtectionDisabled) |
Uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is tijdelijk uitgeschakeld op uw virtuele machine (VM_AmTempRealtimeProtectionDisablement) |
Tijdelijke uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is tijdelijk uitgeschakeld terwijl code is uitgevoerd op uw virtuele machine (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Tijdelijke uitschakeling van bescherming in realtime door de antimalware-extensie terwijl een aangepaste scriptextensie werd uitgevoerd, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
- | Hoog |
| Antimalwarescans geblokkeerd voor bestanden die mogelijk gerelateerd zijn aan malwarecampagnes op uw virtuele machine (preview) (VM_AmMalwareCampaignRelatedExclusion) |
Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalware-extensie bepaalde bestanden scant die vermoedelijk gerelateerd zijn aan een malwarecampagne. De regel is gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de computer met malware. | Defensieontduiking | Normaal |
| Antimalware tijdelijk uitgeschakeld op uw virtuele machine (VM_AmTemporarilyDisablement) |
Antimalware tijdelijk uitgeschakeld op de virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen. |
- | Normaal |
| Ongebruikelijke bestandsuitsluiting van antimalware op uw virtuele machine (VM_UnusualAmFileExclusion) |
Er is een ongebruikelijke uitsluiting van bestanden in de antimalware-extensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Communicatie met verdacht domein dat is geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die zijn geïdentificeerd door feeds met bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource is gecompromitteerd. | Initiële toegang, persistentie, uitvoering, opdracht en beheer, exploitatie | Normaal |
| Aangepaste scriptextensie met verdachte opdracht in uw virtuele machine (VM_CustomScriptExtensionSuspiciousCmd) |
Er is een aangepaste scriptextensie met verdachte opdracht op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van de aangepaste scriptextensie schadelijke code op uw virtuele machine uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Aangepaste scriptextensie met verdacht toegangspunt op uw virtuele machine (VM_CustomScriptExtensionSuspiciousEntryPoint) |
Er is een aangepaste scriptextensie met verdacht invoerpunt op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Het invoerpunt verwijst naar een verdachte GitHub-opslagplaats. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Aangepaste scriptextensie met verdachte nettolading in uw virtuele machine (VM_CustomScriptExtensionSuspiciousPayload) |
Er is een aangepaste scriptextensie met een payload van een verdachte GitHub-opslagplaats op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Detected actions indicative of disabling and deleting IIS log files (Acties gedetecteerd die wijzen op uitschakelen en verwijderen van IIS-logboekbestanden) | Bij analyse van hostgegevens op %{Compromised Host} zijn acties gedetecteerd waarmee IIS-logboekbestanden zijn uitgeschakeld en/of verwijderd. | - | Normaal |
| Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel) | Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met een afwijkende mix van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes. | - | Normaal |
| Detected change to a registry key that can be abused to bypass UAC (Er is een wijziging gedetecteerd van een registersleutel die kan worden misbruikt om UAC over te slaan) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een registersleutel is gewijzigd die kan worden misbruikt om UAC (Gebruikersaccountbeheer) over te slaan. Dit soort configuratie is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die proberen onbevoegde toegang (standaardgebruiker) om te zetten in bevoegde toegang (beheerder) op een geïnfecteerd host. | - | Normaal |
| Detected decoding of an executable using built-in certutil.exe tool (Decodering gedetecteerd van een uitvoerbaar bestand met de tool certutil.exe) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het decoderen van een uitvoerbaar bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd. | - | Hoog |
| Detected enabling of the WDigest UseLogonCredential registry key (Inschakelen van registersleutel WDigest UseLogonCredential gedetecteerd) | Bij analyse van hostgegevens is een wijziging gedetecteerd in de registersleutel HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Meer specifiek is deze sleutel bijgewerkt zodat aanmeldingsreferenties als leesbare tekst kunnen worden opgeslagen in LSA-geheugen. Zodra dit is ingeschakeld, kan een aanvaller wachtwoorden voor tekst zonder tekst dumpen vanuit het LSA-geheugen met hulpprogramma's voor het verzamelen van referenties, zoals Mimikatz. | - | Normaal |
| Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel) | Bij analyse van hostgegevens op %{Compromised Host} is een met base-64 gecodeerd uitvoerbaar bestand gedetecteerd. Dit is eerder geassocieerd met aanvallers die proberen on-the-fly uitvoerbare bestanden te maken via een reeks opdrachten, en die hierbij proberen inbraakdetectiesystemen te omzeilen door ervoor te zorgen dat geen enkele afzonderlijke opdracht een waarschuwing genereert. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Hoog |
| Detected obfuscated command line (Onleesbaar gemaakt opdrachtregel gedetecteerd) | Aanvallers gebruiken steeds complexere technieken om zich verborgen te houden voor detecties die worden uitgevoerd op de onderliggende gegevens. Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte indicatoren voor het onleesbaar maken van gegevens gedetecteerd op de opdrachtregel. | - | Informatief |
| Er zijn indicatoren van Petya-ransomware gedetecteerd | Bij analyse van hostgegevens op %{Compromised Host} zijn indicatoren gedetecteerd die wijzen op Petya-ransomware. Zie https://aka.ms/petya-blog voor meer informatie. Controleer de opdrachtregel die aan deze waarschuwing is gekoppeld en escaleer deze waarschuwing naar uw beveiligingsteam. | - | Hoog |
| Detected possible execution of keygen executable (Mogelijke uitvoering van uitvoerbare bestand keygen gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is uitvoering gedetecteerd van een proces waarvan de naam wijst op gebruik van de tool keygen. Dergelijke tools worden doorgaans gebruikt om mechanismen voor softwarelicenties te omzeilen, maar bij het downloaden van dergelijke tools wordt vaak ook andere schadelijke software gedownload. Het is bekend dat de cybercrimegroep GOLD dergelijke keygens gebruikt om onopgemerkt toegang te krijgen tot hosts die ze hebben geïnfecteerd. | - | Normaal |
| Detected possible execution of malware dropper (Mogelijke uitvoering van malware-dropper gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een bestandsnaam gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om malware te installeren op een geïnfecteerd host. | - | Hoog |
| Detected possible local reconnaissance activity (Mogelijke lokale verkenningsactiviteit gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om verkenningsactiviteiten uit te voeren. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd. | - | |
| Detected potentially suspicious use of Telegram tool (Mogelijk verdacht gebruik van Telegram-tool gedetecteerd) | Bij analyse van hostgegevens is aangetoond dat Telegram is geïnstalleerd, een gratis cloudservice voor instant messaging met een versie voor zowel mobiele apparaten als desktopsystemen. Het is bekend dat aanvallers deze service misbruiken om schadelijke binaire bestanden over te brengen naar andere computers, telefoons of tablets. | - | Normaal |
| Detected suppression of legal notice displayed to users at logon (Er is gedetecteerd dat de weergave van een juridische kennisgeving aan gebruikers is onderdrukt tijdens aanmelding) | Bij analyse van hostgegevens op %{Compromised Host} zijn wijzigingen van de registersleutel gedetecteerd die bepaalt of een juridische kennisgeving al dan niet wordt weergegeven aan gebruikers wanneer deze zich aanmelden. Beveiligingsanalyse door Microsoft heeft aangetoond dat dit een veelgebruikte activiteit van aanvallers is nadat een host is geïnfecteerd. | - | Beperkt |
| Detected suspicious combination of HTA and PowerShell (Verdachte combinatie van HTA en PowerShell gedetecteerd) | mshta.exe (Microsoft HTML Application Host) is een ondertekend binair bestand van Microsoft dat door aanvallers wordt gebruikt om schadelijke PowerShell-opdrachten te starten. Aanvallers gebruiken vaak een HTA-bestand met inline VBScript. Wanneer een slachtoffer naar het HTA-bestand bladert en dit uitvoert, worden de PowerShell-opdrachten en -scripts in het bestand uitgevoerd. Bij analyse van hostgegevens op %{Compromised Host} is aangetoond dat Mshta.exe is gebruikt om PowerShell-opdrachten te starten. | - | Normaal |
| Detected suspicious commandline arguments (Verdachte opdrachtregelargumenten gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte opdrachtregelargumenten gedetecteerd die zijn gebruikt in combinatie met een reverse shell die door de cybercrimegroep HYDROGEN wordt gebruikt. | - | Hoog |
| Detected suspicious commandline used to start all executables in a directory (Verdachte opdrachtregel gedetecteerd waarmee alle uitvoerbare bestanden in een map zijn gestart) | Bij analyse van hostgegevens is een verdacht proces gedetecteerd dat wordt uitgevoerd op %{Compromised Host}. De opdrachtregel geeft aan dat er een poging is gedaan om alle uitvoerbare bestanden (*.exe) te starten die zich in een directory kunnen bevinden. Dit kan een indicatie zijn van een geïnfecteerde host. | - | Normaal |
| Detected suspicious credentials in commandline (Verdachte referenties gevonden op opdrachtregel) | Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat er door de cybercrimegroep BORON een verdacht wachtwoord is gebruikt voor het uitvoeren van een bestand. Van deze groep is het bekend dat ze dit wachtwoord gebruiken om Pirpi-malware uit te voeren op een geïnfecteerde host. | - | Hoog |
| Detected suspicious document credentials (Verdachte documentreferenties gevonden) | Bij analyse van hostgegevens op %{Compromised Host} is een verdachte, vooraf berekende algemene wachtwoordhash gedetecteerd die wordt gebruikt door malware om een bestand uit te voeren. Het is bekend dat de cybercrimegroep HYDROGEN dit wachtwoord heeft gebruikt om malware uit te voeren op een geïnfecteerde host. | - | Hoog |
| Detected suspicious execution of VBScript.Encode command (Verdachte uitvoering gedetecteerd van VBScript.Encode-opdracht) | Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat de opdracht VBScript.Encode is uitgevoerd. Met deze opdracht worden de scripts gecodeerd in onleesbare tekst, waardoor het moeilijker is voor gebruikers om de code te onderzoeken. Bedreigingsonderzoek door Microsoft toont aan dat aanvallers vaak gecodeerde VBscript-bestanden gebruiken als onderdeel van hun aanval om detectiesystemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Normaal |
| Detected suspicious execution via rundll32.exe (Verdachte uitvoering via rundll32.exe gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat rundll32.exe is gebruikt om een proces met een ongebruikelijke naam uit te voeren, een naam die voldoet aan het naamgevingsschema voor processen dat eerder is gebruikt door de cybercrimegroep GOLD bij het installeren van hun first-stage implantaat op een geïnfecteerde host. | - | Hoog |
| Detected suspicious file cleanup commands (Verdachte opdrachten voor opschonen van bestanden gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om na een geslaagde infectie zelfuitvoerende opschoningsactiviteiten te starten. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd door een verwijderopdracht, zoals in dit geval is gedaan. | - | Hoog |
| Detected suspicious file creation (Maken van verdacht bestand gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is het maken of uitvoeren van een proces gedetecteerd dat eerder heeft aangegeven dat er actie is ondernomen na een inbreuk op een slachtofferhost door activiteitengroep BARIUM. Het is bekend dat deze activiteitsgroep deze techniek gebruikt om meer malware te downloaden naar een geïnfecteerde host nadat een bijlage in een phishing-document is geopend. | - | Hoog |
| Detected suspicious named pipe communications (Verdachte communicatie met named pipe gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er met een opdracht van de Windows-console gegevens zijn geschreven naar een lokale named pipe. Named pipes is een kanaal dat vaak wordt gebruikt door aanvallers om te communiceren met een kwaadaardig implantaat en hieraan opdrachten te geven. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Hoog |
| Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd) | Bij analyse van netwerkverkeer vanaf %{Compromised Host} is verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. | - | Beperkt |
| Detected suspicious new firewall rule (Verdachte nieuwe firewallregel gedetecteerd) | Bij analyse van hostgegevens is gedetecteerd dat er een nieuwe firewallregel is toegevoegd via netsh.exe om verkeer van een uitvoerbaar bestand op een verdachte locatie toe te staan. | - | Normaal |
| Detected suspicious use of Cacls to lower the security state of the system (Verdacht gebruik van Cacls gedetecteerd om de beveiligingsstatus van het systeem te verlagen) | Aanvallers gebruiken allerlei manieren zoals Brute Force en spear phishing om toegang te verkrijgen en een aanvaller te laten binnendringen in het netwerk. Zodra er toegang is verkregen, nemen ze vaak stappen om de beveiligings beveiligingsinstellingen van een systeem te verlagen. Cacls (wat staat voor 'change access control list' of toegangsbeheerlijst wijzigen) is het ingebouwde opdrachtregelprogramma van Microsoft dat vaak wordt gebruikt voor het wijzigen van de beveiligingsmachtiging voor mappen en bestanden. Vaak wordt het binaire bestand gebruikt door aanvallers om de beveiligingsinstellingen van een systeem te verlagen. Dit wordt gedaan door iedereen volledige toegang te geven tot een aantal van de binaire bestanden van het systeem, zoals ftp.exe, net.exe, wscript.exe, enzovoort. Bij analyse van hostgegevens op %{Compromised Host} is verdacht gebruik van Cacls gedetecteerd om de beveiliging van een systeem te verlagen. | - | Normaal |
| Detected suspicious use of FTP -s Switch (Verdacht gebruik van FTP-schakeloptie -s gedetecteerd) | Bij analyse van procesgegevens van %{Compromised Host} is het gebruik van de FTP-schakeloptie -s:bestandsnaam gedetecteerd. Deze schakeloptie wordt gebruikt om een FTP-scriptbestand op te geven dat door de client moet worden uitgevoerd. Het is bekend dat malware of schadelijke processen deze FTP-switch (-s:bestandsnaam) gebruiken om te verwijzen naar een scriptbestand, dat is geconfigureerd om verbinding te maken met een externe FTP-server en meer schadelijke binaire bestanden te downloaden. | - | Normaal |
| Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten) | Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van pcalua.exe gedetecteerd voor het starten van uitvoerbare code. Pcalua.exe is onderdeel van de Microsoft Windows -assistent voor programmacompatibiliteit, die compatibiliteitsproblemen detecteert tijdens de installatie of uitvoering van een programma. Het is bekend dat aanvallers functionaliteit van legitieme Windows-systeemprogramma's misbruiken om schadelijke acties uit te voeren. Een voorbeeld hiervan is dat met behulp van pcalua.exe en de schakeloptie -a schadelijke uitvoerbare bestanden lokaal of vanaf externe shares worden gestart. | - | Normaal |
| Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd) | Bij de analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat de opdracht 'net.exe stoppen' is uitgevoerd om kritieke services zoals SharedAccess of de Windows-beveiliging-app te stoppen. Het stoppen van een van deze services kan een indicatie van kwaadwillend gedrag zijn. | - | Normaal |
| Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) | Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta. | - | Hoog |
| Dynamic PS script construction (Dynamische constructie van PS-script) | Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat een PowerShell-script dynamisch wordt samengesteld. Aanvallers gebruiken deze techniek van het geleidelijk samenstellen van een script soms om IDS-systemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. | - | Normaal |
| Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie) | Bij analyse van hostgegevens is een uitvoerbaar bestand op %{Compromised Host} gedetecteerd dat wordt uitgevoerd vanaf een locatie die vaker wordt gebruikt voor verdachte bestanden. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Hoog |
| Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen) (VM_FilelessAttackBehavior.Windows) |
Het geheugen van het opgegeven proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag in deze scenario's: 1) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software. 2) Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie. 3) Functieaanroepen naar interfaces van het besturingssysteem die gevoelig zijn voor beveiligingsaanvallen. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen. 4) Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie. |
Defensieontduiking | Beperkt |
| Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd) (VM_FilelessAttackTechnique.Windows) |
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag in deze scenario's: 1) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software. 2) Uitvoerbare installatiekopie die wordt geïnjecteerd in het proces, zoals bij een aanval met code-injectie. 3) Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie. 4) Functieaanroepen naar interfaces van het besturingssysteem die gevoelig zijn voor beveiligingsaanvallen. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen. 5) Procesuitholling, een techniek die wordt gebruikt door malware waarbij een legitiem proces wordt geladen in het systeem om te fungeren als een container voor kwaadaardige code. 6) Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie. |
Defensieontduiking, uitvoering | Hoog |
| Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd) (VM_FilelessAttackToolkit.Windows) |
Het geheugen van het opgegeven proces bevat een toolkit voor bestandsloze aanvallen: [naam van toolkit]. Toolkits voor bestandsloze aanvallen gebruiken technieken die traceringen van malware op schijf minimaliseren of elimineren, en die de kans op detectie door op schijf opgeslagen malware-scanners aanzienlijk verminderen. Enkele voorbeelden van specifiek gedrag in deze scenario's: 1) Bekende toolkits en software voor crypto-mining. 2) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software. 3) Schadelijk uitvoerbaar bestand dat wordt geïnjecteerd in het procesgeheugen. |
Defensieontduiking, uitvoering | Normaal |
| High risk software detected (Software met hoog risico gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van software gedetecteerd die in het verleden is gebruikt bij de installatie van malware. Een veelgebruikte techniek voor de distributie van schadelijke software is het pakket te verpakken in onschadelijke tools, zoals de tool die in deze waarschuwing wordt vermeld. Wanneer u deze hulpprogramma's gebruikt, kan de malware op de achtergrond worden geïnstalleerd. | - | Normaal |
| Leden van de groep Lokale beheerders zijn geïnventariseerd | Computerlogboeken geven een geslaagde inventarisatie aan voor groep %{Geïnventareerde groepsdomeinnaam}%{Geïnventareerde groepsnaam}. Met name %{Opsomming van gebruikersdomeinnaam}%{Gebruikersnaam inventariseren} heeft op afstand de leden van de groep %{Enumerated Group Domain Name}%{Enumerated Group Name} op afstand opgesomd. Deze activiteit kan een legitieme activiteit zijn of een indicatie dat een computer in uw organisatie is geïnfecteerd en is gebruikt om verkenning van %{vmname} uit te voeren. | - | Informatief |
| Malicious firewall rule created by ZINC server implant [seen multiple times] (Schadelijke firewallregel gemaakt door implantaat op ZINC-server [meerdere malen gezien]) | Er is een firewallregel gemaakt met technieken die overeenkomen met een bekende actor, ZINC. De regel is mogelijk gebruikt om een poort te openen op %{Compromised Host} om communicatie met opdrachtbeheer & toe te staan. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Hoog |
| Malicious SQL activity (Schadelijke SQL-activiteit) | Computerlogboeken geven aan dat %{process name} is uitgevoerd door account: %{user name}. Deze activiteit wordt als schadelijk beschouwd. | - | Hoog |
| Multiple Domain Accounts Queried (Query's op meerdere domeinaccounts uitgevoerd) | Bij analyse van hostgegevens is vastgesteld dat er in een korte periode een ongebruikelijk groot aantal query's is uitgevoerd op verschillende domeinaccounts vanaf %{Compromised Host}. Dit soort activiteit kan legitiem zijn, maar kan ook een indicatie zijn van infectie. | - | Normaal |
| Possible credential dumping detected [seen multiple times] (Mogelijke dumping van referenties gedetecteerd [meerdere malen gezien]) | Bij analyse van hostgegevens is gedetecteerd dat het systeemeigen Windows-hulpprogramma (bijvoorbeeld sqldumper.exe) wordt gebruikt op een manier waarmee referenties uit het geheugen kunnen worden geëxtraheerd. Aanvallers gebruiken deze technieken vaak om referenties te extraheren die ze vervolgens gebruiken voor zijdelingse verplaatsing en het verhogen van bevoegdheden. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Potential attempt to bypass AppLocker detected (Potentiële poging gedetecteerd om AppLocker te negeren) | Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke poging gedetecteerd om beperkingen van AppLocker te omzeilen. AppLocker kan worden geconfigureerd voor het implementeren van een beleid dat beperkt welke uitvoerbare bestanden mogen worden uitgevoerd op een Windows-systeem. Het opdrachtregelpatroon dat lijkt op het patroon dat in deze waarschuwing wordt aangegeven, is eerder gerelateerd aan pogingen van een aanvaller om het AppLocker-beleid te omzeilen door gebruik te maken van vertrouwde uitvoerbare bestanden (toegestaan door het AppLocker-beleid) om niet-vertrouwde code uit te voeren. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Hoog |
| PsExec execution detected (Uitvoering van PsExec gedetecteerd) (VM_RunByPsExec) |
Analyse van hostgegevens geeft aan dat het proces %{Process Name} is uitgevoerd door het hulpprogramma PsExec. PsExec kan worden gebruikt om processen op afstand uit te voeren. Deze techniek kan worden gebruikt voor schadelijke doeleinden. | Laterale verplaatsing, uitvoering | Informatief |
| Ransomware indicators detected [seen multiple times] (Indicatoren van ransomware gedetecteerd [meerdere keren gezien]) | Analyse van hostgegevens wijst op verdachte activiteit die doorgaans is gekoppeld aan ransomware met schermvergrendeling en versleuteling van bestanden. Bij ransomware met schermvergrendeling wordt een schermvullend bericht weergegeven waardoor het interactieve gebruik van de host wordt voorkomen en de bestanden op de host niet toegankelijk zijn. Bij ransomware met versleuteling van bestanden wordt de toegang voorkomen door gegevensbestanden te versleutelen. In beide gevallen wordt er meestal een bericht weergegeven dat de toegang tot de bestanden wordt hersteld zodra een bepaald bedrag is betaald. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Hoog |
| Ransomware indicators detected (Indicatoren van ransomware gedetecteerd) | Analyse van hostgegevens wijst op verdachte activiteit die doorgaans is gekoppeld aan ransomware met schermvergrendeling en versleuteling van bestanden. Bij ransomware met schermvergrendeling wordt een schermvullend bericht weergegeven waardoor het interactieve gebruik van de host wordt voorkomen en de bestanden op de host niet toegankelijk zijn. Bij ransomware met versleuteling van bestanden wordt de toegang voorkomen door gegevensbestanden te versleutelen. In beide gevallen wordt er meestal een bericht weergegeven dat de toegang tot de bestanden wordt hersteld zodra een bepaald bedrag is betaald. | - | Hoog |
| Rare SVCHOST service group executed (Zeldzame SVCHOST-servicegroep uitgevoerd) (VM_SvcHostRunInRareServiceGroup) |
Er is vastgesteld dat het systeemproces SVCHOST is uitgevoerd in een zeldzame servicegroep. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. | Defensieontduiking, uitvoering | Informatief |
| Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd) | Analyse van hostgegevens geeft aan dat een aanvaller mogelijk een binair bestand voor een toegankelijkheidsfunctie (zoals plaktoetsen, een schermtoetsenbord of Verteller) misbruikt om via een achterdeur toegang te krijgen tot de host %{Compromised Host}. | - | Normaal |
| Successful brute force attack (Geslaagde Brute Force-aanval) (VM_LoginBruteForceSuccess) |
Er zijn verschillende aanmeldingspogingen uit dezelfde bron gedetecteerd. Sommige pogingen zijn geverifieerd door de host. Dit lijkt op een burst-aanval, waarbij een aanvaller talloze verificatiepogingen doet om geldige accountreferenties te vinden. |
Misbruik | Normaal/hoog. |
| Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname) | Bij analyse van hostgegevens is vastgesteld dat de tscon.exe wordt uitgevoerd met SYSTEEMbevoegdheden. Dit kan erop wijzen dat een aanvaller dit binaire bestand misbruikt om de context over te schakelen naar een andere aangemelde gebruiker op deze host; het is een bekende aanvalstechniek om meer gebruikersaccounts in gevaar te brengen en lateraal over een netwerk te verplaatsen. | - | Normaal |
| Suspect service installation (Verdachte service-installatie) | Bij analyse van hostgegevens is de installatie van tscon.exe as a service gedetecteerd: dit binaire bestand dat als een service wordt gestart, stelt een aanvaller in staat om triviaal over te schakelen naar een andere aangemelde gebruiker op deze host door RDP-verbindingen te kapen; het is een bekende aanvalstechniek om meer gebruikersaccounts in gevaar te brengen en lateraal over een netwerk te verplaatsen. | - | Normaal |
| Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen) | Bij analyse van hostgegevens zijn opdrachtregelparameters gevonden die consistent zijn met een Golden Ticket Kerberos-aanval. | - | Normaal |
| Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account%{Suspicious account name} gedetecteerd. Deze accountnaam lijkt sterk op de naam van een standaard Windows-account of groepsnaam %{Similar To Account Name}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt. | - | Normaal |
| Suspicious Activity Detected (Verdachte activiteit gedetecteerd) (VM_SuspiciousActivity) |
Bij analyse van hostgegevens is een reeks gedetecteerd van een of meer processen die worden uitgevoerd op %{machine name} waarvan bekend is dat ze zijn gekoppeld aan schadelijke activiteiten. Terwijl afzonderlijke opdrachten goedaardig lijken te zijn, wordt de waarschuwing weergegeven op basis van de aggregatie van deze opdrachten. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | Uitvoering | Normaal |
| Suspicious authentication activity (Verdachte verificatieactiviteit) (VM_LoginBruteForceValidUserFailed) |
Hoewel geen enkele verificatie is gelukt, werden sommige gebruikte accounts herkend door de host. Dit lijkt op een woordenlijstaanval, waarbij een aanvaller talloze verificatiepogingen uitvoert met behulp van een woordenlijst met vooraf gedefinieerde accountnamen en wachtwoorden om geldige referenties te vinden voor toegang tot de host. Dit geeft aan dat sommige namen van accounts op de host zijn opgenomen in woordenlijst met bekende accountnamen. | Scannen | Normaal |
| Suspicious code segment detected (Verdacht codesegment gedetecteerd) | Geeft aan dat er een codesegment is toegewezen met behulp van afwijkende methoden, zoals reflectieve injectie en procesuitholling. De waarschuwing biedt meer kenmerken van het codesegment die zijn verwerkt om context te bieden voor de mogelijkheden en het gedrag van het gerapporteerde codesegment. | - | Normaal |
| Er is een verdacht bestand met dubbele extensie uitgevoerd | Analyse van hostgegevens wijst op een uitvoering van een proces met een verdachte dubbele extensie. Hierdoor kunnen gebruikers denken dat de bestanden veilig kunnen worden geopend en dit kan een indicatie zijn van de aanwezigheid van malware op het systeem. | - | Hoog |
| Suspicious download using Certutil detected [seen multiple times] (Verdachte download met Certutil gedetecteerd [meerdere malen gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. | - | Normaal |
| Verdachte mislukte uitvoering van aangepaste scriptextensie op uw virtuele machine (VM_CustomScriptExtensionSuspiciousFailure) |
Er is een verdachte fout van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Dergelijke fouten kunnen in verband staan met schadelijke scripts die door deze extensie worden uitgevoerd. |
Uitvoering | Normaal |
| Suspicious PowerShell Activity Detected (Verdachte PowerShell-activiteit gedetecteerd) | Bij analyse van hostgegevens is een PowerShell-script gedetecteerd dat wordt uitgevoerd op %{Compromised Host} met functies die gangbaar zijn in bekend verdachte scripts. Dit script kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Hoog |
| Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd) | Analyse van hostgegevens duidt op de uitvoering van bekend schadelijke PowerSploit-cmdlets van PowerShell. | - | Normaal |
| Suspicious process executed [seen multiple times] (Verdacht proces uitgevoerd [meerdere keren gezien]) | Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Hoog |
| Verdachte processen uitgevoerd | Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties. | - | Hoog |
| Suspicious process name detected [seen multiple times] (Verdachte procesnaam gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Suspicious process name detected (Verdachte procesnaam gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. | - | Normaal |
| Suspicious process termination burst (Er is een verdachte burst voor het beëindigen van processen gedetecteerd) (VM_TaskkillBurst) |
Analyse van hostgegevens duidt op een verdachte burst voor het beëindigen van processen op %{Machine Name}. Er zijn specifiek %{NumberOfCommands} processen beëindigd tussen %{Begin} en %{Ending}. | Defensieontduiking | Beperkt |
| Suspicious SQL activity (Verdachte SQL-activiteit) | Computerlogboeken geven aan dat %{process name} is uitgevoerd door account: %{user name}. Deze activiteit is ongebruikelijk met dit account. | - | Normaal |
| Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd) | Het systeemproces SVCHOST is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. | - | Hoog |
| Suspicious system process executed (Verdachte systeemprocessen uitgevoerd) (VM_SystemProcessInAbnormalContext) |
Het systeemproces %{process name} is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van deze procesnaam om schadelijke activiteiten te maskeren. | Ontduiking van verdediging, uitvoering | Hoog |
| Verdachte activiteit voor Volume Shadow Copy | Bij analyse van hostgegevens is een activiteit voor het verwijderen van een schaduwkopie op de resource gedetecteerd. Volume Shadow Copy (VSC) is een belangrijk artefact waarin momentopnamen van de gegevens worden opgeslagen. Sommige malware en met name ransomware richt zich op een VSC om back-upstrategieën te saboteren. | - | Hoog |
| Suspicious WindowPosition registry value detected (Verdachte WindowPosition-registerwaarde gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een poging tot wijziging van de registerconfiguratie van WindowPosition gedetecteerd die erop kan wijzen dat toepassingsvensters in niet-zichtbare secties van het bureaublad worden verborgen. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde computer. Dit type activiteit is eerder gekoppeld aan bekende adware (of ongewenste software) zoals Win32/OneSystemCare en Win32/SystemHealer en aan malware zoals Win32/Creprote. Wanneer WindowPosition is ingesteld op 201329664, (Hex: 0x0c00 0c00, corresponderend met X-as = 0c00 en Y-as = 0c00), wordt het venster van de console-app in een niet-zichtbaar gedeelte van het scherm van de gebruiker geplaatst, in een gebied dat verborgen is onder het zichtbare menu Start of de taakbalk. Voorbeelden van bekende verdachte hexadecimale waarden zijn c000c000 | - | Beperkt |
| Suspiciously named process detected (Proces met verdachte naam gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam erg lijkt op die van een zeer vaak uitgevoerd proces (%{Similar To Process Name}). Hoewel dit proces onschadelijk kan zijn, is het bekend dat aanvallers zich soms op opzichtige wijze proberen te verstoppen door hun tools een naam te geven die lijkt op die van een legitiem proces. | - | Normaal |
| Ongebruikelijke configuratieherstel op uw virtuele machine (VM_VMAccessUnusualConfigReset) |
Er is een ongebruikelijke nieuwe instelling van de configuratie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de configuratie op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
| Ongebruikelijke verwijdering van aangepaste scriptextensie in uw virtuele machine (VM_CustomScriptExtensionUnusualDeletion) |
Er is een ongebruikelijke verwijdering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Ongebruikelijke uitvoering van aangepaste scriptextensie op uw virtuele machine (VM_CustomScriptExtensionUnusualExecution) |
Er is een ongebruikelijke uitvoering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Unusual process execution detected (Ongebruikelijke procesuitvoering gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat %{User Name} een proces heeft uitgevoerd dat ongebruikelijk was. Accounts zoals %{User Name} kunnen vaak een beperkt aantal bewerkingen uitvoeren, maar deze uitvoering wordt gezien als afwijkend en kan verdacht zijn. | - | Hoog |
| Ongebruikelijk opnieuw instellen van gebruikerswachtwoorden op uw virtuele machine (VM_VMAccessUnusualPasswordReset) |
Er is een ongebruikelijke nieuwe instelling van het gebruikerswachtwoord op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
| Ongebruikelijke SSH-sleutel opnieuw instellen van gebruiker op uw virtuele machine (VM_VMAccessUnusualSSHReset) |
Er is een ongebruikelijke nieuwe instelling van de SSH-sleutel van een gebruiker op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
| VBScript HTTP object allocation detected (Toewijzing van VBScript HTTP-objecten gedetecteerd) | Er is vastgesteld dat er een VBScript-bestand is gemaakt met behulp van een opdrachtregel. Het volgende script bevat een opdracht voor HTTP-objecttoewijzing. Deze actie kan worden gebruikt om schadelijke bestanden te downloaden. | - | Hoog |
Waarschuwingen voor Linux-computers
Microsoft Defender voor servers abonnement 2 biedt unieke detecties en waarschuwingen, naast de detecties en waarschuwingen van Microsoft Defender voor Eindpunt. De waarschuwingen voor Linux-machines zijn:
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| een geschiedenisbestand is gewist | Analyse van hostgegevens geeft aan dat het logboekbestand met de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te wissen. De bewerking is uitgevoerd door de gebruiker %{User name}. | - | Normaal |
| Uitsluiting van antimalware-brede bestanden op uw virtuele machine (VM_AmBroadFilesExclusion) |
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
- | Normaal |
| Antimalware uitgeschakeld en code-uitvoering op uw virtuele machine (VM_AmDisablementAndCodeExecution) |
Antimalware wordt uitgeschakeld op het zelfde moment dat code op de virtuele machine wordt uitgevoerd. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
- | Hoog |
| Antimalware uitgeschakeld in uw virtuele machine (VM_AmDisablement) |
Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen. |
Defensieontduiking | Normaal |
| Uitsluiting van antimalwarebestanden en uitvoering van code op uw virtuele machine (VM_AmFileExclusionAndCodeExecution) |
Bestand wordt uitgesloten van uw antimalwarescanner op hetzelfde moment dat code wordt uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
Ontduiking van verdediging, uitvoering | Hoog |
| Uitsluiting van antimalwarebestanden en uitvoering van code op uw virtuele machine (VM_AmTempFileExclusionAndCodeExecution) |
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Ontduiking van verdediging, uitvoering | Hoog |
| Uitsluiting van antimalwarebestanden op uw virtuele machine (VM_AmTempFileExclusion) |
Bestand uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is uitgeschakeld op uw virtuele machine (VM_AmRealtimeProtectionDisabled) |
Uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is tijdelijk uitgeschakeld op uw virtuele machine (VM_AmTempRealtimeProtectionDisablement) |
Tijdelijke uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Realtime-beveiliging van antimalware is tijdelijk uitgeschakeld terwijl code is uitgevoerd op uw virtuele machine (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Tijdelijke uitschakeling van bescherming in realtime door de antimalware-extensie terwijl een aangepaste scriptextensie werd uitgevoerd, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
- | Hoog |
| Antimalwarescans geblokkeerd voor bestanden die mogelijk gerelateerd zijn aan malwarecampagnes op uw virtuele machine (preview) (VM_AmMalwareCampaignRelatedExclusion) |
Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalware-extensie bepaalde bestanden scant die vermoedelijk gerelateerd zijn aan een malwarecampagne. De regel is gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de computer met malware. | Defensieontduiking | Normaal |
| Antimalware tijdelijk uitgeschakeld op uw virtuele machine (VM_AmTemporarilyDisablement) |
Antimalware tijdelijk uitgeschakeld op de virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen. |
- | Normaal |
| Antimalware ongebruikelijke bestandsuitsluiting op uw virtuele machine (VM_UnusualAmFileExclusion) |
Er is een ongebruikelijke uitsluiting van bestanden in de antimalware-extensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware. |
Defensieontduiking | Normaal |
| Behavior similar to ransomware detected [seen multiple times] (Gedrag vergelijkbaar met ransomware gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van bestanden gedetecteerd die lijken op bekende ransomware waarmee wordt voorkomen dat gebruikers toegang hebben tot hun systeem of persoonlijke bestanden en losgeld moet worden betaald om weer toegang te krijgen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Hoog |
| Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die zijn geïdentificeerd door bedreigingsinformatiefeeds. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan impliceren dat uw resource is gecompromitteerd. | Initiële toegang, persistentie, uitvoering, opdracht en beheer, exploitatie | Normaal |
| Container with a miner image detected (Container met een miner-installatiekopie gedetecteerd) (VM_MinerInContainerImage) |
Computerlogboeken geven aan dat er een Docker-container is uitgevoerd waarmee een installatiekopie wordt uitgevoerd die is gekoppeld aan mining van digitale valuta. | Uitvoering | Hoog |
| Aangepaste scriptextensie met verdachte opdracht op uw virtuele machine (VM_CustomScriptExtensionSuspiciousCmd) |
Er is een aangepaste scriptextensie met verdachte opdracht op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van de aangepaste scriptextensie schadelijke code op uw virtuele machine uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Aangepaste scriptextensie met verdacht toegangspunt op uw virtuele machine (VM_CustomScriptExtensionSuspiciousEntryPoint) |
Er is een aangepaste scriptextensie met verdacht invoerpunt op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Het invoerpunt verwijst naar een verdachte GitHub-opslagplaats. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Aangepaste scriptextensie met verdachte nettolading op uw virtuele machine (VM_CustomScriptExtensionSuspiciousPayload) |
Er is een aangepaste scriptextensie met een payload van een verdachte GitHub-opslagplaats op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel) | Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met een afwijkende mix van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes. | - | Normaal |
| Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software) | Analyse van hostgegevens heeft aangetoond dat er een bestand is gedownload van een bekende bron van schadelijke software op %{Compromised Host}. | - | Normaal |
| Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd) | Bij analyse van netwerkverkeer vanaf %{Compromised Host} is verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. | - | Beperkt |
| Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) | Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta. | - | Hoog |
| Disabling of auditd logging [seen multiple times] (Registratie van auditlogboek uitschakelen [meerdere keren gezien]) | Het auditsysteem van Linux biedt een manier om relevante informatie over beveiliging bij te houden op het systeem. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die zich op uw systeem voordoen. Het uitschakelen van het auditlogboek kan tot gevolg hebben dat schendingen van het beveiligingsbeleid op het systeem niet worden gedetecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Beperkt |
| Exploitation of Xorg vulnerability [seen multiple times] (Misbruik van Xorg-beveiligingsprobleem [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is voor de gebruiker van Xorg vastgesteld dat deze verdachte argumenten gebruikt. Aanvallers kunnen deze techniek gebruiken bij pogingen om bevoegdheden te verhogen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Failed SSH brute force attack (Mislukte Brute Force-aanval via SSH) (VM_SshBruteForceFailed) |
Er zijn mislukte Brute Force-aanvallen gedetecteerd van de volgende aanvallers: %{Attackers}. Aanvallers hebben geprobeerd om met de volgende gebruikersnamen toegang te krijgen tot de host: %{Accounts used on failed sign in to host attempts}. | Scannen | Normaal |
| Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen) (VM_FilelessAttackBehavior.Linux) |
Het geheugen van het hieronder vermelde proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} |
Uitvoering | Beperkt |
| Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd) (VM_FilelessAttackTechnique.Linux) |
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} |
Uitvoering | Hoog |
| Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd) (VM_FilelessAttackToolkit.Linux) |
Het geheugen van het hieronder vermelde proces bevat een toolkit voor bestandsloze aanvallen: {naam van toolkit}. Toolkits voor bestandsloze aanvallen zijn doorgaans niet aanwezig op het bestandssysteem, waardoor detectie door traditionele antivirussoftware moeilijk wordt. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} |
Ontduiking van verdediging, uitvoering | Hoog |
| Hidden file execution detected (Uitvoering van verborgen bestand gedetecteerd) | Analyse van hostgegevens heeft aangetoond dat een verborgen bestand is uitgevoerd door %{user name}. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. | - | Informatief |
| New SSH key added [seen multiple times] (Nieuwe SSH-sleutel toegevoegd [meerdere keren gezien]) (VM_SshKeyAddition) |
Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | Persistentie | Beperkt |
| New SSH key added (Nieuwe SSH-sleutel toegevoegd) | Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. | - | Beperkt |
| Possible backdoor detected [seen multiple times] (Mogelijke achterdeur gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens is vastgesteld dat een verdacht bestand is gedownload en vervolgens is uitgevoerd op %{Compromised Host} in uw abonnement. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Possible exploitation of the mailserver detected (Mogelijke exploitatie van de mailserver gedetecteerd) (VM_MailserverExploitation ) |
Bij analyse van hostgegevens op %{Compromised Host} is een ongebruikelijke uitvoering namens het mailserveraccount gedetecteerd | Misbruik | Normaal |
| Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is een mogelijk schadelijke webshell vastgesteld. Aanvallers uploaden vaak een webshell naar een computer die ze hebben gecompromitteerd om persistentie te krijgen of voor verdere exploitatie. | - | Normaal |
| Possible password change using crypt-method detected [seen multiple times] (Mogelijke wachtwoordwijziging met behulp van crypt-methode gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een wachtwoord is gewijzigd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om de toegang te behouden en persistent te maken na infectie. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Process associated with digital currency mining detected [seen multiple times] (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan mining van digitale valuta. Dit gedrag is meer dan 100 keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd) | Bij analyse van hostgegevens is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan mining van digitale valuta. | Exploitatie, uitvoering | Normaal |
| Python encoded downloader detected [seen multiple times] (Door Python gecodeerde downloader gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van gecodeerde Python gedetecteerd waarmee code vanaf een externe locatie kan worden gedownload en uitgevoerd. Dit kan duiden op schadelijke activiteiten. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Beperkt |
| Screenshot taken on host [seen multiple times] (Schermopname gemaakt op host meerdere keren gezien) | Bij analyse van hostgegevens op %{Compromised Host} is een gebruiker van een programma voor het maken van schermopnamen gedetecteerd. Aanvallers kunnen deze programma's gebruiken om toegang te krijgen tot persoonlijke gegevens. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Beperkt |
| Shellcode detected [seen multiple times] (Shellcode gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er shellcode wordt gegenereerd vanaf de opdrachtregel. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Successful SSH brute force attack (Geslaagde Brute Force-aanval via SSH) (VM_SshBruteForceSuccess) |
Bij analyse van hostgegevens is een geslaagde Brute Force-aanval gedetecteerd. Er is vastgesteld dat er met het IP-adres %{Attacker source IP} meerdere aanmeldingspogingen zijn gedaan. Er zijn geslaagde aanmeldingen vanaf dat IP-adres gedaan met de volgende gebruiker(s): %{Accounts used to successfully sign in to host}. Dit betekent dat de host mogelijk is geïnfecteerd en wordt beheerd door een schadelijke actor. | Misbruik | Hoog |
| Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd) | Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account%{Suspicious account name} gedetecteerd. Deze accountnaam lijkt sterk op de naam van een standaard Windows-account of groepsnaam %{Similar To Account Name}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt. | - | Normaal |
| Verdachte mislukte uitvoering van aangepaste scriptextensie op uw virtuele machine (VM_CustomScriptExtensionSuspiciousFailure) |
Er is een verdachte fout van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Dergelijke fouten kunnen in verband staan met schadelijke scripts die door deze extensie worden uitgevoerd. |
Uitvoering | Normaal |
| Suspicious kernel module detected [seen multiple times] (Verdachte kernelmodule gedetecteerd [meerdere keren gezien]) | Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een gedeeld objectbestand gedetecteerd is geladen als een kernelmodule. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Normaal |
| Suspicious password access [seen multiple times] (Verdachte wachtwoordtoegang [meerdere malen gezien]) | Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] | - | Informatief |
| Suspicious password access (Verdachte wachtwoordtoegang) | Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}. | - | Informatief |
| Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard) (VM_KubernetesDashboard) |
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar het Kubernetes-dashboard. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. | Lateral Movement | Normaal |
| Ongebruikelijke configuratieherstel op uw virtuele machine (VM_VMAccessUnusualConfigReset) |
Er is een ongebruikelijke nieuwe instelling van de configuratie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de configuratie op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
| Ongebruikelijke verwijdering van aangepaste scriptextensie in uw virtuele machine (VM_CustomScriptExtensionUnusualDeletion) |
Er is een ongebruikelijke verwijdering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Ongebruikelijke uitvoering van aangepaste scriptextensie op uw virtuele machine (VM_CustomScriptExtensionUnusualExecution) |
Er is een ongebruikelijke uitvoering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager. |
Uitvoering | Normaal |
| Ongebruikelijke gebruikerswachtwoord opnieuw instellen op uw virtuele machine (VM_VMAccessUnusualPasswordReset) |
Er is een ongebruikelijke nieuwe instelling van het gebruikerswachtwoord op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
| Ongebruikelijk opnieuw instellen van de SSH-sleutel van de gebruiker op uw virtuele machine (VM_VMAccessUnusualSSHReset) |
Er is een ongebruikelijke nieuwe instelling van de SSH-sleutel van een gebruiker op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en te misbruiken. |
Toegang tot referenties | Normaal |
Waarschuwingen voor Azure App Service
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| An attempt to run Linux commands on a Windows App Service (Een poging om Linux-opdrachten uit te voeren op een Windows App Service) (AppServices_LinuxCommandOnWindows) |
Bij analyse van App Service-processen is een poging tot het uitvoeren van een Linux-opdracht op een Windows App Service gedetecteerd. Deze actie is uitgevoerd door de webtoepassing. Dit gedrag wordt vaak gezien tijdens campagnes die misbruik maken van een beveiligingslek in een gemeenschappelijke webtoepassing. (Van toepassing op: App Service op Windows) |
- | Normaal |
| An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (In bedreigingsinformatie is een IP-adres gevonden dat is verbonden met uw Azure App Service FTP-interface) (AppServices_IncomingTiClientIpFtp) |
Het FTP-logboek van Azure App Service geeft aan dat er een verbinding is gedetecteerd vanaf een bronadres dat is gevonden in de feed met bedreigingsinformatie. Tijdens deze verbinding heeft een gebruiker toegang gehad tot de vermelde pagina's. (Van toepassing op: App Service op Windows en App Service op Linux) |
Initial Access | Normaal |
| Attempt to run high privilege command detected (Poging tot het uitvoeren van een opdracht met hoge bevoegdheden gedetecteerd) (AppServices_HighPrivilegeCommand) |
Bij analyse van App Service-processen is een poging gedetecteerd tot het uitvoeren van een opdracht waarvoor hoge bevoegdheden vereist zijn. De opdracht is uitgevoerd in de context van de webtoepassing. Hoewel dit gedrag legitiem kan zijn, kan het in webtoepassingen duiden op schadelijke activiteiten. (Van toepassing op: App Service op Windows) |
- | Normaal |
| Communicatie met verdacht domein dat is geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die zijn geïdentificeerd door feeds met bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource is gecompromitteerd. | Initiële toegang, persistentie, uitvoering, opdracht en beheer, exploitatie | Normaal |
| Connection to web page from anomalous IP address detected (Verbinding met webpagina vanaf afwijkend IP-adres gedetecteerd) (AppServices_AnomalousPageAccess) |
Azure App Service activiteitenlogboek duidt op een afwijkende verbinding met een gevoelige webpagina vanaf het vermelde bron-IP-adres. Dit kan erop wijzen dat iemand een Brute Force-aanval probeert uit te voeren op de beheerpagina's van uw web-app. Dit kan echter ook het gevolg zijn van een nieuw IP-adres dat wordt gebruikt door een legitieme gebruiker. Als het bron-IP-adres wordt vertrouwd, kunt u deze waarschuwing voor deze resource veilig onderdrukken. Zie Waarschuwingen onderdrukken vanuit Microsoft Defender voor Cloud voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service op Windows en App Service op Linux) |
Initial Access | Beperkt |
| Zwevende DNS-record voor een App Service resource gedetecteerd (AppServices_DanglingDomain) |
Er is een DNS-record gedetecteerd die verwijst naar een onlangs verwijderde App Service resource (ook wel 'zwevende DNS-vermelding' genoemd). Hierdoor bent u vatbaar voor een overname van een subdomein. Met subdomeinovernames kunnen kwaadwillende actoren verkeer dat is bedoeld voor het domein van een organisatie omleiden naar een site waarop schadelijke activiteiten worden uitgevoerd. (Van toepassing op: App Service op Windows en App Service op Linux) |
- | Hoog |
| Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel) (AppServices_Base64EncodedExecutableInCommandLineParams) |
Bij analyse van hostgegevens op {verdachte host} is een met base-64 gecodeerd uitvoerbaar bestand gedetecteerd. Dit is eerder geassocieerd met aanvallers die proberen on-the-fly uitvoerbare bestanden te maken via een reeks opdrachten, en die hierbij proberen inbraakdetectiesystemen te omzeilen door ervoor te zorgen dat geen enkele afzonderlijke opdracht een waarschuwing genereert. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. (Van toepassing op: App Service op Windows) |
Defensieontduiking, uitvoering | Hoog |
| Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software) (AppServices_SuspectDownload) |
Bij analyse van hostgegevens is het downloaden van een bestand van een bekende malwarebron op uw host gedetecteerd. (Van toepassing op: App Service op Linux) |
Escalatie van bevoegdheden, uitvoering, exfiltratie, opdracht en beheer | Normaal |
| Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd) (AppServices_SuspectDownloadArtifacts) |
Bij analyse van hostgegevens is een verdachte download van een extern bestand gedetecteerd. (Van toepassing op: App Service op Linux) |
Persistentie | Normaal |
| Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) (AppServices_DigitalCurrencyMining) |
Bij analyse van hostgegevens in Inn-Flow-WebJobs is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta. (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Hoog |
| Executable decoded using certutil (Bestand gedecodeerd met het hulpprogramma certutil) (AppServices_ExecutableDecodedUsingCertutil) |
Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het decoderen van een uitvoerbaar bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd. (Van toepassing op: App Service op Windows) |
Ontduiking van verdediging, uitvoering | Hoog |
| Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen) (AppServices_FilelessAttackBehaviorDetection) |
Het geheugen van het hieronder vermelde proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Normaal |
| Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd) (AppServices_FilelessAttackTechniqueDetection) |
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Hoog |
| Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd) (AppServices_FilelessAttackToolkitDetection) |
Het geheugen van het hieronder vermelde proces bevat een toolkit voor bestandsloze aanvallen: {naam van toolkit}. Toolkits voor bestandsloze aanvallen zijn meestal niet aanwezig in het bestandssysteem waardoor ze lastig kunnen worden gedetecteerd door traditionele antivirussoftware. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag} (Van toepassing op: App Service op Windows en App Service op Linux) |
Ontduiking van verdediging, uitvoering | Hoog |
| Microsoft Defender for Cloud-testwaarschuwing voor App Service (geen bedreiging) (AppServices_EICAR) |
Dit is een testwaarschuwing die is gegenereerd door Microsoft Defender for Cloud. U hoeft geen verdere actie te ondernemen. (Van toepassing op: App Service op Windows en App Service op Linux) |
- | Hoog |
| NMap-scan gedetecteerd (AppServices_Nmap) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een activiteit voor web-fingerprinting heeft plaatsgevonden in uw App Service-resource. De gedetecteerde verdachte activiteit is gelinkt aan NMAP. Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen. (Van toepassing op: App Service op Windows en App Service op Linux) |
PreAttack (Voorbereiding) | Normaal |
| Phishing content hosted on Azure Webapps (Phishing-inhoud gehost in Azure WebApps) (AppServices_PhishingContent) |
URL gevonden op de website van Azure AppServices die wordt gebruikt voor phishing-aanval. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. De inhoud probeert meestal om bezoekers te verleiden hun bedrijfsreferenties of financiële gegevens te verstrekken op website die eruit ziet als een betrouwbare site. (Van toepassing op: App Service op Windows en App Service op Linux) |
Verzameling | Hoog |
| PHP file in upload folder (PHP-bestand in uploadmap) (AppServices_PhpInUploadFolder) |
Het activiteitenlogboek van Azure App Service geeft toegang aan tot een verdachte PHP-pagina die zich in de uploadmap bevindt. Dit type map bevat meestal geen PHP-bestanden. Het bestaan van dit type bestand kan wijzen op een beveiligingslek dat het mogelijk maakt om willekeurige bestanden te uploaden. (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Normaal |
| Mogelijke Cryptocoinminer-download gedetecteerd (AppServices_CryptoCoinMinerDownload) |
Bij analyse van hostgegevens is het downloaden van een bestand gedetecteerd dat normaal gesproken is gekoppeld aan het analyseren van digitale valuta. (Van toepassing op: App Service op Linux) |
Defense Evasion, Command and Control, Exploitation | Normaal |
| Mogelijke gegevensexfiltratie gedetecteerd (AppServices_DataEgressArtifacts) |
Bij analyse van host-/apparaatgegevens is een mogelijke voorwaarde voor uitgaand verkeer van gegevens gedetecteerd. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd. (Van toepassing op: App Service op Linux) |
Verzameling, Exfiltratie | Normaal |
| Mogelijk zwevende DNS-record voor een App Service-resource gedetecteerd (AppServices_PotentialDanglingDomain) |
Er is een DNS-record gedetecteerd die verwijst naar een onlangs verwijderde App Service resource (ook wel 'zwevende DNS-vermelding' genoemd). Hierdoor bent u mogelijk vatbaar voor een overname van een subdomein. Met subdomeinovernames kunnen kwaadwillende actoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site waarop schadelijke activiteiten worden uitgevoerd. In dit geval is een tekstrecord met de domeinverificatie-id gevonden. Dergelijke tekstrecords voorkomen overname van subdomeinen, maar we raden u nog steeds aan het zwevende domein te verwijderen. Als u de DNS-record naar het subdomein laat wijzen, loopt u risico als iemand in uw organisatie het TXT-bestand of de TXT-record in de toekomst verwijdert. (Van toepassing op: App Service op Windows en App Service op Linux) |
- | Beperkt |
| Potential reverse shell detected (Mogelijke reverse shell gedetecteerd) (AppServices_ReverseShell) |
Bij analyse van hostgegevens is een mogelijke omgekeerde shell gedetecteerd. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller. (Van toepassing op: App Service op Linux) |
Exfiltration, Exploitation | Normaal |
| Raw data download detected (Downloaden van onbewerkte gegevens gedetecteerd) (AppServices_DownloadCodeFromWebsite) |
Bij analyse van App Service-processen is een poging gedetecteerd om code te downloaden van websites met onbewerkte gegevens, zoals Pastebin. Deze actie is uitgevoerd door een PHP-proces. Dit gedrag is gekoppeld aan pogingen om webshells of andere schadelijke onderdelen te downloaden naar App Service. (Van toepassing op: App Service op Windows) |
Uitvoering | Normaal |
| Saving curl output to disk detected (Opslaan van curl-uitvoer naar schijf gedetecteerd) (AppServices_CurlToDisk) |
Bij analyse van App Service-processen is gedetecteerd dat de uitvoer van een curl-opdracht wordt opgeslagen op schijf. Hoewel dit gedrag legitiem kan zijn, wordt dit gedrag in webtoepassingen ook waargenomen in schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells. (Van toepassing op: App Service op Windows) |
- | Beperkt |
| Spam folder referrer detected (Verwijzing naar map met spam gedetecteerd) (AppServices_SpamReferrer) |
Het activiteitenlogboek van Azure App Service geeft aan dat er webactiviteiten zijn geïdentificeerd die afkomstig zijn van een website die is gekoppeld aan spam-activiteit. Dit kan gebeuren als uw website is geïnfecteerd en wordt gebruikt voor spam-activiteit. (Van toepassing op: App Service op Windows en App Service op Linux) |
- | Beperkt |
| Suspicious access to possibly vulnerable web page detected (Verdachte toegang tot mogelijk kwetsbare webpagina gedetecteerd) (AppServices_ScanSensitivePage) |
Het activiteitenlogboek van Azure App Service geeft aan dat er toegang is verkregen tot een webpagina die gevoelige gegevens lijkt te bevatten. Deze verdachte activiteit is afkomstig van een bron-IP-adres waarvan het toegangspatroon lijkt op dat van een webscanner. Deze activiteit is vaak gekoppeld aan een poging van een aanvaller om uw netwerk te scannen om toegang te krijgen tot gevoelige of kwetsbare webpagina's. (Van toepassing op: App Service op Windows en App Service op Linux) |
- | Beperkt |
| Verdachte domeinnaamverwijzing (AppServices_CommandlineSuspectDomain) |
Analyse van hostgegevens detecteert verwijzing naar verdachte domeinnaam. Dergelijke activiteit is, hoewel mogelijk legitiem gebruikersgedrag, vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. (Van toepassing op: App Service op Linux) |
Exfiltration | Beperkt |
| Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd) (AppServices_DownloadUsingCertutil) |
Bij analyse van hostgegevens op {NAME} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. (Van toepassing op: App Service op Windows) |
Uitvoering | Normaal |
| Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd) (AppServices_SuspectPhp) |
Computerlogboeken geven aan dat er een verdacht PHP-proces wordt uitgevoerd. De actie omvat een poging om opdrachten van het besturingssysteem of PHP-code uit te voeren vanaf de opdracht regel met behulp van het PHP-proces. Hoewel dit gedrag legitiem kan zijn, kan dit gedrag in webtoepassingen ook duiden op schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells. (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Normaal |
| Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd) (AppServices_PowerShellPowerSploitScriptExecution) |
Analyse van hostgegevens duidt op de uitvoering van bekend schadelijke PowerSploit-cmdlets van PowerShell. (Van toepassing op: App Service op Windows) |
Uitvoering | Normaal |
| Verdachte processen uitgevoerd (AppServices_KnownCredential Hulpprogramma's) |
Computerlogboeken geven aan dat het verdachte proces %{process path} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties. (Van toepassing op: App Service op Windows) |
Toegang tot referenties | Hoog |
| Suspicious process name detected (Verdachte procesnaam gedetecteerd) (AppServices_ProcessWithKnownSuspiciousExtension) |
Bij analyse van hostgegevens op {NAME} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. (Van toepassing op: App Service op Windows) |
Persistence, Defense Evasion | Normaal |
| Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd) (AppServices_SVCHostFromInvalidPath) |
Het systeemproces SVCHOST is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. (Van toepassing op: App Service op Windows) |
Ontduiking van verdediging, uitvoering | Hoog |
| Suspicious User Agent detected (Verdachte gebruikersagent gedetecteerd) (AppServices_UserAgentInjection) |
Het activiteitenlogboek van Azure App geeft aan dat er aanvragen zijn gedaan met een verdachte gebruikersagent. Dit gedrag kan erop wijzen dat er wordt geprobeerd een beveiligingslek te misbruiken in uw App Service-toepassing. (Van toepassing op: App Service op Windows en App Service op Linux) |
Initial Access | Normaal |
| Suspicious WordPress theme invocation detected (Aanroep van verdacht WordPress-thema gedetecteerd) (AppServices_WpThemeInjection) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk code is geïnjecteerd in uw App Service-resource. De gedetecteerde verdachte activiteit lijkt op een activiteit waarmee een WordPress-thema wordt bewerkt om uitvoering van code op de server mogelijk te maken, gevolgd door een directe webaanvraag om het gemanipuleerde themabestand aan te roepen. Dit type activiteit kan deel uitmaken van een aanvalscampagne via WordPress. Als uw App Service resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke code-injectie exploit en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service op Windows en App Service op Linux) |
Uitvoering | Hoog |
| Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd) (AppServices_DrupalScanner) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op een CMS (Content Management System). Als uw App Service resource geen Drupal-site host, is deze niet kwetsbaar voor deze specifieke code-injectie exploit en kunt u deze waarschuwing veilig onderdrukken voor de resource. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service op Windows) |
PreAttack (Voorbereiding) | Beperkt |
| Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd) (AppServices_JoomlaScanner) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op Joomla-toepassingen. Als uw App Service resource geen Joomla-site host, is deze niet kwetsbaar voor deze specifieke misbruik van code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service op Windows en App Service op Linux) |
PreAttack (Voorbereiding) | Beperkt |
| Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd) (AppServices_WpScanner) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource. De verdachte activiteit lijkt op die van tools die zich richten op WordPress-toepassingen. Als uw App Service resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke code-injectie exploit en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender voor Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen. (Van toepassing op: App Service op Windows en App Service op Linux) |
PreAttack (Voorbereiding) | Beperkt |
| Web fingerprinting detected (Web-fingerprinting gedetecteerd) (AppServices_WebFingerprinting) |
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een activiteit voor web-fingerprinting heeft plaatsgevonden in uw App Service-resource. Deze verdachte gedetecteerde activiteit is gekoppeld aan een tool met de naam Blind Elephant. De tool neemt een vingerafdruk van webservers en probeert zo de geïnstalleerde toepassingen en versies te detecteren. Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen. (Van toepassing op: App Service op Windows en App Service op Linux) |
PreAttack (Voorbereiding) | Normaal |
| Website is gelabeld als kwaadaardig in de feed met bedreigingsinformatie (AppServices_SmartScreen) |
Uw website zoals hieronder wordt beschreven, is door Windows SmartScreen gemarkeerd als een schadelijke site. Als u denkt dat dit fout-positief is, neemt u contact op met Windows SmartScreen via de koppeling Feedback versturen. (Van toepassing op: App Service op Windows en App Service op Linux) |
Verzameling | Normaal |
Waarschuwingen voor containers - Kubernetes-clusters
Microsoft Defender voor containers biedt beveiligingswaarschuwingen op clusterniveau en op de onderliggende clusterknooppunten door zowel het besturingsvlak (API-server) als de containerworkload zelf te bewaken. Beveiligingswaarschuwingen van besturingsvlak kunnen worden herkend aan het voorvoegsel van K8S_ het waarschuwingstype. Beveiligingswaarschuwingen voor runtimeworkloads in de clusters kunnen worden herkend aan het K8S.NODE_ voorvoegsel van het waarschuwingstype. Alle waarschuwingen worden alleen ondersteund in Linux, tenzij anders aangegeven.
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Blootgestelde Postgres-service met configuratie van vertrouwensverificatie in Kubernetes gedetecteerd (preview) (K8S_ExposedPostgresTrustAuth) |
Bij analyse van kubernetes-clusterconfiguratie is de blootstelling van een Postgres-service door een load balancer gedetecteerd. De service is geconfigureerd met de verificatiemethode vertrouwen, waarvoor geen referenties zijn vereist. | Initial Access (Initiële toegang) | Normaal |
| Blootgestelde Postgres-service met riskante configuratie in Kubernetes gedetecteerd (preview) (K8S_ExposedPostgresBroadIPRange) |
Analyse van kubernetes-clusterconfiguratie heeft de blootstelling van een Postgres-service gedetecteerd door een load balancer met een riskante configuratie. Het beschikbaar maken van de service voor een breed scala aan IP-adressen vormt een beveiligingsrisico. | Initial Access (Initiële toegang) | Normaal |
| Poging om een nieuwe Linux-naamruimte te maken op basis van een gedetecteerde container (K8S. NODE_NamespaceCreation) 1 |
Bij analyse van processen die worden uitgevoerd binnen een container in een Kubernetes-cluster is een poging gedetecteerd om een nieuwe Linux-naamruimte te maken. Hoewel dit gedrag legitiem kan zijn, kan dit erop wijzen dat een aanvaller probeert te ontsnappen van de container naar het knooppunt. Sommige CVE-2022-0185-exploitaties gebruiken deze techniek. | Privilege Escalation | Normaal |
| Een geschiedenisbestand is gewist (K8S. NODE_HistoryFileCleared) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is vastgesteld dat het logboekbestand met de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te dekken. De bewerking is uitgevoerd door het opgegeven gebruikersaccount. | Defense Evasion | Normaal |
| Abnormale activiteit van beheerde identiteit die is gekoppeld aan Kubernetes (preview) (K8S_AbnormalMiActivity) |
Bij analyse van Azure Resource Manager-bewerkingen is een abnormaal gedrag gedetecteerd van een beheerde identiteit die wordt gebruikt door een AKS-invoegtoepassing. De gedetecteerde activiteit is niet consistent met het gedrag van de gekoppelde invoegtoepassing. Hoewel deze activiteit legitiem kan zijn, kan dergelijk gedrag erop wijzen dat de identiteit is verkregen door een aanvaller, mogelijk van een gecompromitteerde container in het Kubernetes-cluster. | Lateral movement | Normaal |
| Abnormale bewerking van kubernetes-serviceaccount gedetecteerd (K8S_ServiceAccountRareOperation) |
Kubernetes-auditlogboekanalyse heeft abnormaal gedrag gedetecteerd door een serviceaccount in uw Kubernetes-cluster. Het serviceaccount is gebruikt voor een bewerking, wat niet gebruikelijk is voor dit serviceaccount. Hoewel deze activiteit legitiem kan zijn, kan dergelijk gedrag erop wijzen dat het serviceaccount wordt gebruikt voor schadelijke doeleinden. | Lateral Movement, Credential Access | Normaal |
| Er is een ongebruikelijke verbindingspoging gedetecteerd (K8S. NODE_SuspectConnection) 1 |
Bij analyse van processen die worden uitgevoerd in een container of rechtstreeks op een Kubernetes-knooppunt, is een ongebruikelijke verbindingspoging gedetecteerd met behulp van een socks-protocol. Dit is zeer zeldzaam bij normale bewerkingen, maar een bekende techniek voor aanvallers die netwerklaagdetecties proberen te omzeilen. | Uitvoering, Exfiltratie, Exploitatie | Normaal |
| Implementatie van afwijkende pods (preview) (K8S_AnomalousPodDeployment) 3 |
Kubernetes-auditlogboekanalyse heeft een pod-implementatie gedetecteerd die afwijkend is op basis van eerdere podimplementatieactiviteit. Deze activiteit wordt beschouwd als een anomalie wanneer rekening wordt gehouden met de relatie tussen de verschillende functies die in de implementatiebewerking worden gezien. De bewaakte functies omvatten het gebruikte containerinstallatiekopieënregister, het account dat de implementatie uitvoert, de dag van de week, hoe vaak dit account podimplementaties uitvoert, de gebruikersagent die in de bewerking wordt gebruikt, of dit een naamruimte is waarvoor podimplementaties vaak worden uitgevoerd en andere functies. De belangrijkste redenen voor het instellen van deze waarschuwing als afwijkende activiteit worden beschreven in de uitgebreide eigenschappen van de waarschuwing. | Uitvoering | Normaal |
| Afwijkende geheime toegang (preview) (K8S_AnomalousSecretAccess) 2 |
Kubernetes-auditlogboekanalyse heeft een aanvraag voor geheime toegang gedetecteerd die afwijkend is op basis van eerdere geheime toegangsactiviteiten. Deze activiteit wordt beschouwd als een anomalie wanneer rekening wordt gehouden met de relatie tussen de verschillende functies die in de geheime toegangsbewerking worden gezien. De functies die door deze analyse worden bewaakt, zijn de gebruikersnaam die wordt gebruikt, de naam van het geheim, de naam van de naamruimte, de gebruikersagent die in de bewerking wordt gebruikt of andere functies. De belangrijkste bijdragende redenen voor het instellen van deze waarschuwing als afwijkende activiteit worden beschreven in de uitgebreide eigenschappen van de waarschuwing. | Credential Access | Normaal |
| Attempt to stop apt-daily-upgrade.timer service detected (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd) (K8S. NODE_TimerServiceDisabled) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een poging gedetecteerd om de service apt-daily-upgrade.timer te stoppen. Er is vastgesteld dat aanvallers deze service stoppen om schadelijke bestanden te downloaden en uitvoeringsbevoegdheden toe te kennen voor hun aanvallen. Deze activiteit kan ook plaatsvinden als de service wordt bijgewerkt via normale beheeracties. | Defense Evasion | Informatief |
| Gedrag vergelijkbaar met veelvoorkomende Linux-bots gedetecteerd (preview) (K8S. NODE_CommonBot) |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is de uitvoering gedetecteerd van een proces dat normaal gesproken is gekoppeld aan algemene Linux-botnets. | Uitvoering, verzameling, opdracht en beheer | Normaal |
| Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) (K8S. NODE_FairwareMalware) 1 |
Bij analyse van processen die binnen een container worden uitgevoerd, is gedetecteerd dat rm -rf-opdrachten zijn uitgevoerd die zijn toegepast op verdachte locaties. Aangezien bestanden recursief worden verwijderd met rm -rf, wordt de opdracht normaal gesproken gebruikt met discrete mappen. In dit geval is de opdracht gebruikt op een locatie waar veel gegevens kunnen worden verwijderd. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. | Uitvoering | Normaal |
| Opdracht in een container die wordt uitgevoerd met hoge bevoegdheden (K8S. NODE_PrivilegedExecutionInContainer) 1 |
Computerlogboeken geven aan dat er een geprivilegieerde opdracht is uitgevoerd in een Docker-container. Een geprivilegieerde opdracht heeft uitgebreide bevoegdheden op de hostcomputer. | Privilege Escalation | Beperkt |
| Container die wordt uitgevoerd in bevoegde modus (K8S. NODE_PrivilegedContainerArtifacts) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is de uitvoering gedetecteerd van een Docker-opdracht waarop een container met bevoegdheden wordt uitgevoerd. De bevoegde container heeft volledige toegang tot de hostpod of hostresource. Bij inbreuk kan een aanvaller de bevoegde container gebruiken om toegang te krijgen tot de hostingpod of host. | PrivilegeEscalation, Execution | Beperkt |
| Container with a sensitive volume mount detected (Container met koppeling van gevoelig volume gedetecteerd) (K8S_SensitiveMount) |
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe container is gemaakt met koppeling van een gevoelig volume. Het gedetecteerde volume is een hostPath-type waarmee een gevoelig bestand of een gevoelige map van het knooppunt aan de container wordt gekoppeld. Als de container wordt aangetast, kan de aanvaller deze koppeling gebruiken om toegang te krijgen tot het knooppunt. | Escalatie van bevoegdheden | Normaal |
| CoreDNS-wijziging in Kubernetes gedetecteerd (K8S_CoreDnsModification) 23 |
Kubernetes-auditlogboekanalyse heeft een wijziging van de CoreDNS-configuratie gedetecteerd. De configuratie van CoreDNS kan worden gewijzigd door de bijbehorende configuratiekaart te overschrijven. Hoewel deze activiteit legitiem kan zijn, kunnen aanvallers, als ze machtigingen hebben om de configmap te wijzigen, het gedrag van de DNS-server van het cluster wijzigen en deze vergiftigen. | Lateral movement | Beperkt |
| Maken van webhookconfiguratie voor toegang gedetecteerd (K8S_AdmissionController) 3 |
Kubernetes-auditlogboekanalyse heeft een nieuwe webhookconfiguratie voor toegang gedetecteerd. Kubernetes heeft twee ingebouwde algemene toegangscontrollers: MutatingAdmissionWebhook en ValidatingAdmissionWebhook. Het gedrag van deze toegangscontrollers wordt bepaald door een toegangswebhook die de gebruiker in het cluster implementeert. Het gebruik van dergelijke toegangscontrollers kan legitiem zijn, maar aanvallers kunnen dergelijke webhooks gebruiken voor het wijzigen van de aanvragen (in het geval van MutatingAdmissionWebhook) of het inspecteren van de aanvragen en het verkrijgen van gevoelige informatie (in het geval van ValidatingAdmissionWebhook). | Referentietoegang, persistentie | Beperkt |
| Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software) (K8S. NODE_SuspectDownload) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een download gedetecteerd van een bestand van een bron die vaak wordt gebruikt om malware te distribueren. | PrivilegeEscalation, Execution, Exfiltratie, Command and Control | Normaal |
| Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd) (K8S. NODE_SuspectDownloadArtifacts) 1 |
Bij analyse van processen die worden uitgevoerd in een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte download van een extern bestand gedetecteerd. | Persistentie | Beperkt |
| Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) (K8S. NODE_SuspectNohup) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verdacht gebruik van de opdracht nohup gedetecteerd. Aanvallers hebben de opdracht nohup gebruikt om verborgen bestanden uit een tijdelijke map uit te voeren, zodat hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Het komt zelden voor dat deze opdracht wordt uitgevoerd op verborgen bestanden die zich in een tijdelijke map bevinden. | Persistence, Defense Evasion | Normaal |
| Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) (K8S. NODE_SuspectUserAddition) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verdacht gebruik van de opdracht useradd gedetecteerd. | Persistentie | Normaal |
| Digital currency mining container detected (Container voor mining van digitale valuta gedetecteerd) (K8S_MaliciousContainerImage) 3 |
Analyse van het auditlogboek van Kubernetes toont aan dat er een container is gedetecteerd met een installatiekopie die is gekoppeld aan een tool voor mining van digitale valuta. | Uitvoering | Hoog |
| Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) (K8S. NODE_DigitalCurrencyMining) 1 |
Bij analyse van processen die worden uitgevoerd in een container of rechtstreeks op een Kubernetes-knooppunt, is een uitvoering gedetecteerd van een proces of opdracht die normaal gesproken is gekoppeld aan digitale valutaanalyse. | Uitvoering | Hoog |
| Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt (K8S. NODE_ImageBuildOnNode) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een buildbewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen. | Defense Evasion | Beperkt |
| Overmatige rolmachtigingen die zijn toegewezen in kubernetes-cluster (preview) (K8S_ServiceAcountPermissionAnomaly) 3 |
Bij analyse van de Kubernetes-auditlogboeken is een overmatige machtigingsroltoewijzing aan uw cluster gedetecteerd. De vermelde machtigingen voor de toegewezen rollen zijn ongebruikelijk voor het specifieke serviceaccount. Deze detectie houdt rekening met eerdere roltoewijzingen aan hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. Het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, houdt rekening met de wijze waarop deze machtiging wordt gebruikt in alle clusters die worden bewaakt door Microsoft Defender for Cloud. | Escalatie van bevoegdheden | Beperkt |
| Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie (preview) (K8S. NODE_SuspectExecutablePath) |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een uitvoerbaar bestand gedetecteerd dat wordt uitgevoerd vanaf een locatie die is gekoppeld aan bekende verdachte bestanden. Dit uitvoerbare bestand kan een legitieme activiteit zijn of een indicatie van een aangetast systeem. | Uitvoering | Normaal |
| Exposed Kubeflow dashboard detected (Weergegeven Kubeflow-dashboard gedetecteerd) (K8S_ExposedKubeflow) |
Analyse van het auditlogboek van Kubernetes toont aan dat de Istio Ingress is weergegeven door een load balancer in een cluster waarop Kubeflow wordt uitgevoerd. Door deze actie kan het Kubeflow-dashboard worden weergegeven op internet. Als het dashboard wordt blootgesteld aan internet, kunnen aanvallers er toegang toe krijgen en schadelijke containers of code op het cluster uitvoeren. Meer informatie vindt u in het volgende artikel: https://aka.ms/exposedkubeflow-blog | Initial Access | Normaal |
| Exposed Kubernetes dashboard detected (Weergegeven Kubernetes-dashboard gedetecteerd) (K8S_ExposedDashboard) |
Analyse van het auditlogboek van Kubernetes toont aan dat het Kubernetes-dashboard is weergegeven door een LoadBalancer-service. Beschikbaar gemaakt dashboard biedt niet-geverifieerde toegang tot het clusterbeheer en vormt een beveiligingsrisico. | Initial Access | Hoog |
| Exposed Kubernetes service detected (Weergegeven Kubernetes-service gedetecteerd) (K8S_ExposedService) |
Analyse van het auditlogboek van Kubernetes toont aan dat een service is weergegeven door een load balancer. Deze service is gerelateerd aan een gevoelige toepassing die bewerkingen met grote gevolgen in het cluster toestaat, zoals het uitvoeren van processen op het knooppunt of het maken van nieuwe containers. In sommige gevallen is voor deze service geen verificatie vereist. Als de service geen verificatie vereist, vormt het blootstellen van de service aan internet een beveiligingsrisico. | Initial Access | Normaal |
| Exposed Redis service in AKS detected (Weergegeven Redis-service in AKS gedetecteerd) (K8S_ExposedRedis) |
Analyse van het auditlogboek van Kubernetes toont aan dat een Redis-service is weergegeven door een load balancer. Als de service geen verificatie vereist, vormt het blootstellen van de service aan internet een beveiligingsrisico. | Initial Access | Beperkt |
| Indicators associated with DDOS toolkit detected (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd) (K8S. NODE_KnownLinuxDDoSToolkit) 1 |
Analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, heeft bestandsnamen gedetecteerd die deel uitmaken van een toolkit die is gekoppeld aan malware die DDoS-aanvallen kan starten, poorten en services kan openen en volledige controle over het geïnfecteerde systeem kan overnemen. Dit kan overigens ook een legitieme activiteit zijn. | Persistentie, LateralMovement, Execution, Exploitation | Normaal |
| K8S API-aanvragen van proxy-IP-adres gedetecteerd (K8S_TI_Proxy) 3 |
Kubernetes-auditlogboekanalyse heeft API-aanvragen naar uw cluster gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt het vaak gezien in schadelijke activiteiten, wanneer aanvallers hun bron-IP-adres proberen te verbergen. | Uitvoering | Beperkt |
| Kubernetes-gebeurtenissen verwijderd (K8S_DeleteEvents) 23 |
Defender for Cloud heeft gedetecteerd dat sommige Kubernetes-gebeurtenissen zijn verwijderd. Kubernetes-gebeurtenissen zijn objecten in Kubernetes die informatie bevatten over wijzigingen in het cluster. Aanvallers kunnen deze gebeurtenissen verwijderen om hun bewerkingen in het cluster te verbergen. | Defensieontduiking | Beperkt |
| Kubernetes-hulpprogramma voor penetratietests gedetecteerd (K8S_PenTestToolsKubeHunter) |
Kubernetes-auditlogboekanalyse heeft het gebruik van het hulpprogramma voor penetratietests van Kubernetes in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. | Uitvoering | Beperkt |
| Manipulation of host firewall detected (Manipulatie van hostfirewall gedetecteerd) (K8S. NODE_FirewallDisabled) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een mogelijke manipulatie van de firewall op de host gedetecteerd. Aanvallers schakelen deze vaak uit om gegevens te exfiltreren. | DefenseEvasion, Exfiltratie | Normaal |
| Microsoft Defender for Cloud-testwaarschuwing (geen bedreiging). (K8S. NODE_EICAR) 1 |
Dit is een testwaarschuwing die is gegenereerd door Microsoft Defender for Cloud. U hoeft geen verdere actie te ondernemen. | Uitvoering | Hoog |
| New container in the kube-system namespace detected (Nieuwe container in naamruimte kube-system gedetecteerd) (K8S_KubeSystemContainer) 3 |
Analyse van het auditlogboek van Kubernetes toont aan dat er zich een nieuwe container bevindt in de naamruimte kube-system die niet overeenkomt met een van de containers die normaal gesproken in deze naamruimte worden uitgevoerd. De naamruimte kube-system mag geen gebruikersresources bevatten. Aanvallers kunnen deze naamruimte gebruiken voor het verbergen van schadelijke onderdelen. | Persistentie | Beperkt |
| New high privileges role detected (Nieuwe rol met hoge bevoegdheden gedetecteerd) (K8S_HighPrivilegesRole) 3 |
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe rol met hoge bevoegdheden is gemaakt. Een binding voor een rol met hoge bevoegdheden geeft de gebruiker/groep hoge bevoegdheden in het cluster. Onnodige bevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster. | Persistentie | Beperkt |
| Possible attack tool detected (Mogelijk programma voor aanvallen gedetecteerd) (K8S. NODE_KnownLinuxAttackTool) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verdachte aanroep van hulpprogramma's gedetecteerd. Dit hulpprogramma wordt vaak geassocieerd met kwaadwillende gebruikers die anderen aanvallen. | Uitvoering, verzameling, opdracht en controle, testen | Normaal |
| Mogelijke achterdeur gedetecteerd (K8S. NODE_LinuxBackdoorArtifact) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is gedetecteerd dat een verdacht bestand wordt gedownload en uitgevoerd. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur. | Persistentie, DefenseEvasion, Execution, Exploitation | Normaal |
| Mogelijke opdrachtregelexploitatiepoging (K8S. NODE_ExploitAttempt) 1 |
Bij analyse van processen die worden uitgevoerd in een container of rechtstreeks op een Kubernetes-knooppunt, is een mogelijke poging tot misbruik van een bekend beveiligingsprobleem gedetecteerd. | Misbruik | Normaal |
| Possible credential access tool detected (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd) (K8S. NODE_KnownLinuxCredentialAccessTool) 1 |
Analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, heeft gedetecteerd dat er een mogelijk bekend hulpprogramma voor referentietoegang op de container wordt uitgevoerd, zoals aangegeven door het opgegeven proces- en opdrachtregelgeschiedenisitem. Dit programma is vaak gekoppeld aan een aanvaller die toegang probeert te krijgen tot referenties. | Credential Access | Normaal |
| Mogelijke Cryptocoinminer-download gedetecteerd (K8S. NODE_CryptoCoinMinerDownload) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is het downloaden van een bestand gedetecteerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse. | DefenseEvasion, Command And Control, Exploitation | Normaal |
| Mogelijke gegevensexfiltratie gedetecteerd (K8S. NODE_DataEgressArtifacts) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een mogelijke voorwaarde voor uitgaand verkeer van gegevens gedetecteerd. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd. | Verzameling, Exfiltratie | Normaal |
| Possible Log Tampering Activity Detected (Mogelijke manipulatie van logboek gedetecteerd) (K8S. NODE_SystemLogRemoval) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een mogelijke verwijdering gedetecteerd van bestanden die de activiteiten van de gebruiker volgen tijdens de uitvoering ervan. Aanvallers proberen vaak detectie te omzeilen en laten geen sporen achter van schadelijke activiteiten door dergelijke logboekbestanden te verwijderen. | Defense Evasion | Normaal |
| Mogelijke wachtwoordwijziging met behulp van crypt-methode gedetecteerd (K8S. NODE_SuspectPasswordChange) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een wachtwoordwijziging gedetecteerd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om toegang te blijven krijgen en persistentie te krijgen na inbreuk. | Credential Access | Normaal |
| Potential port forwarding to external IP address (Mogelijke poortomleiding naar extern IP-adres) (K8S. NODE_SuspectPortForwarding) 1 |
Bij analyse van processen die worden uitgevoerd binnen een container of rechtstreeks op een Kubernetes-knooppunt, is een start van port forwarding naar een extern IP-adres gedetecteerd. | Exfiltratie, opdracht en beheer | Normaal |
| Potential reverse shell detected (Mogelijke reverse shell gedetecteerd) (K8S. NODE_ReverseShell) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een mogelijke omgekeerde shell gedetecteerd. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller. | Exfiltration, Exploitation | Normaal |
| Privileged container detected (Geprivilegieerde container gedetecteerd) (K8S_PrivilegedContainer) |
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe geprivilegieerde container is gemaakt. Een geprivilegieerde container heeft toegang tot de resources van het knooppunt en verbreekt de isolatie tussen containers. Als er sprake is van een aanval, kan een aanvaller de geprivilegieerde container gebruiken om toegang te krijgen tot het knooppunt. | Escalatie van bevoegdheden | Beperkt |
| Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd) (K8S. NODE_CryptoCoinMinerArtifacts) 1 |
Bij analyse van processen die binnen een container worden uitgevoerd, is de uitvoering gedetecteerd van een proces dat normaal gesproken is gekoppeld aan digitale valutaanalyse. | Uitvoering, exploitatie | Normaal |
| Process seen accessing the SSH authorized keys file in an unusual way (Proces heeft op een ongebruikelijke manier toegang tot bestand met SSH-geautoriseerde sleutels) (K8S. NODE_SshKeyAccess) 1 |
Een SSH-authorized_keys-bestand is geopend in een methode die vergelijkbaar is met bekende malwarecampagnes. Deze toegang kan erop duiden dat een actor probeert permanente toegang te krijgen tot een computer. | Onbekend | Beperkt |
| Role binding to the cluster-admin role detected (Rolbinding met de rol van clusterbeheerder gedetecteerd) (K8S_ClusterAdminBinding) |
Kubernetes-auditlogboekanalyse heeft een nieuwe binding met de rol clusterbeheerder gedetecteerd die beheerdersbevoegdheden verleent. Onnodige beheerdersbevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster. | Persistentie | Beperkt |
| Security-related process termination detected (Beëindiging van proces gerelateerd aan beveiliging gedetecteerd) (K8S. NODE_SuspectProcessTermination) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een poging gedetecteerd om processen te beëindigen die betrekking hebben op beveiligingsbewaking op de container. Aanvallers proberen dergelijke processen vaak na geslaagde infectie te beëindigen met behulp van vooraf gedefinieerde scripts. | Persistentie | Beperkt |
| SSH server is running inside a container (SSH-server wordt uitgevoerd in een container) (K8S. NODE_ContainerSSH) 1 |
Bij analyse van processen die binnen een container worden uitgevoerd, is een SSH-server gedetecteerd die in de container wordt uitgevoerd. | Uitvoering | Normaal |
| Suspicious file timestamp modification (Verdachte wijziging van tijdstempel van bestand) (K8S. NODE_TimestampTampering) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verdachte tijdstempelwijziging gedetecteerd. Aanvallers kopiëren vaak tijdstempels van bestaande legitieme bestanden naar nieuwe hulpprogramma's om detectie van deze zojuist verwijderde bestanden te voorkomen. | Persistence, Defense Evasion | Beperkt |
| Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API) (K8S. NODE_KubernetesAPI) 1 |
Analyse van processen die binnen een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij de Kubernetes-API. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat er een gecompromitteerde container wordt uitgevoerd in het cluster. | Lateral Movement | Normaal |
| Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard) (K8S. NODE_KubernetesDashboard) 1 |
Analyse van processen die binnen een container worden uitgevoerd, geeft aan dat er een verdachte aanvraag is ingediend bij het Kubernetes-dashboard. De aanvraag is verzonden vanuit een container in het cluster. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat er een gecompromitteerde container wordt uitgevoerd in het cluster. | Lateral Movement | Normaal |
| Potentiële crypto munt miner gestart (K8S. NODE_CryptoCoinMinerExecution) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is vastgesteld dat een proces wordt gestart op een manier die normaal gesproken is gekoppeld aan digitale valutaanalyse. | Uitvoering | Normaal |
| Suspicious password access (Verdachte wachtwoordtoegang) (K8S. NODE_SuspectPasswordFileAccess) 1 |
Bij analyse van processen die worden uitgevoerd in een container of rechtstreeks op een Kubernetes-knooppunt, is een verdachte poging tot toegang tot versleutelde gebruikerswachtwoorden gedetecteerd. | Persistentie | Informatief |
| Verdacht gebruik van DNS via HTTPS (K8S. NODE_SuspiciousDNSOverHttps) 1 |
Bij analyse van processen die in een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is het gebruik van een DNS-aanroep via HTTPS op een ongebruikelijke manier gedetecteerd. Deze techniek wordt door aanvallers gebruikt om oproepen naar verdachte of schadelijke sites te verbergen. | DefenseEvasion, Exfiltratie | Normaal |
| Er is een mogelijke verbinding met een schadelijke locatie gedetecteerd. (K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verbinding met een locatie gedetecteerd die als schadelijk of ongebruikelijk is gerapporteerd. Dit is een indicatie dat er mogelijk een inbreuk is opgetreden. | Initial Access (Initiële toegang) | Normaal |
| Mogelijk schadelijke webshell gedetecteerd. (K8S. NODE_Webshell) 1 |
Bij analyse van processen die in een container worden uitgevoerd, is een mogelijke webshell gedetecteerd. Aanvallers uploaden vaak een webshell naar een rekenresource die ze hebben gecompromitteerd om persistentie te verkrijgen of voor verdere exploitatie. | Persistentie, Exploitatie | Normaal |
| Burst van meerdere reconnaissance-opdrachten kan duiden op initiële activiteit na een inbreuk (K8S. NODE_ReconnaissanceArtifactsBurst) 1 |
Bij analyse van host-/apparaatgegevens is gedetecteerd dat meerdere reconnaissance-opdrachten zijn uitgevoerd met betrekking tot het verzamelen van systeem- of hostgegevens die door aanvallers zijn uitgevoerd na de eerste inbreuk. | Detectie, verzameling | Beperkt |
| Verdachte activiteit downloaden en vervolgens uitvoeren (K8S. NODE_DownloadAndRunCombo) 1 |
Bij analyse van processen die in een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is gedetecteerd dat een bestand wordt gedownload en vervolgens wordt uitgevoerd met dezelfde opdracht. Hoewel dit niet altijd schadelijk is, is dit een veelgebruikte techniek die aanvallers gebruiken om schadelijke bestanden op slachtoffermachines te krijgen. | Execution, CommandAndControl, Exploitation | Normaal |
| Activiteit voor het analyseren van digitale valuta (K8S. NODE_CurrencyMining) 1 |
Bij analyse van DNS-transacties is de miningactiviteit van digitale valuta gedetecteerd. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers na inbreuk op resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's. | Exfiltration | Beperkt |
| Toegang tot kubelet kubelet-bestand gedetecteerd (K8S. NODE_KubeConfigAccess) 1 |
Bij analyse van processen die worden uitgevoerd op een Kubernetes-clusterknooppunt is toegang tot het kubeconfig-bestand op de host gedetecteerd. Het kubeconfig-bestand, dat normaal gesproken wordt gebruikt door het Kubelet-proces, bevat referenties voor de Kubernetes-cluster-API-server. Toegang tot dit bestand wordt vaak geassocieerd met aanvallers die toegang proberen te krijgen tot deze referenties of met hulpprogramma's voor beveiligingsscans die controleren of het bestand toegankelijk is. | Credential Access | Normaal |
| Toegang tot cloudmetagegevensservice gedetecteerd (K8S. NODE_ImdsCall) 1 |
Bij analyse van processen die binnen een container worden uitgevoerd, is toegang tot de cloudmetagegevensservice gedetecteerd voor het verkrijgen van een identiteitstoken. De container voert normaal gesproken een dergelijke bewerking niet uit. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers deze techniek gebruiken om toegang te krijgen tot cloudresources nadat ze in eerste instantie toegang hebben tot een actieve container. | Credential Access | Normaal |
| MITRE Caldera agent detected (MITRE Caldera-agent gedetecteerd) (K8S. NODE_MitreCalderaTools) 1 |
Bij analyse van processen die binnen een container of rechtstreeks op een Kubernetes-knooppunt worden uitgevoerd, is een verdacht proces gedetecteerd. Dit wordt vaak geassocieerd met de MITRE 54ndc47-agent die kwaadwillig kan worden gebruikt om andere machines aan te vallen. | Persistentie, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltratie, Command And Control, Probing, Exploitation | Normaal |
1: Preview voor niet-AKS-clusters: deze waarschuwing is algemeen beschikbaar voor AKS-clusters, maar is in preview voor andere omgevingen, zoals Azure Arc, EKS en GKE.
2: Beperkingen voor GKE-clusters: GKE maakt gebruik van een Kubernetes-controlebeleid dat niet alle waarschuwingstypen ondersteunt. Als gevolg hiervan wordt deze beveiligingswaarschuwing, die is gebaseerd op Kubernetes-controlegebeurtenissen, niet ondersteund voor GKE-clusters.
3: Deze waarschuwing wordt ondersteund op Windows-knooppunten/-containers.
Waarschuwingen voor SQL Database en Azure Synapse Analytics
Extra informatie en opmerkingen
| Waarschuwing | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| A possible vulnerability to SQL Injection (Mogelijk beveiligingslek dat mogelijkheden biedt voor SQL-injectie) (SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
Een toepassing heeft een onjuiste SQL-instructie gegenereerd in de database. Dit kan duiden op een mogelijke kwetsbaarheid voor SQL-injectieaanvallen. Er zijn twee mogelijke redenen voor een onjuiste instructie. Een fout in de toepassingscode waardoor de onjuiste SQL-instructie is gemaakt. Toepassingscode of opgeslagen procedures schonen gebruikersinvoer niet op tijdens het construeren van de onjuiste SQL-instructie, wat kan worden misbruikt voor SQL-injectie | PreAttack (Voorbereiding) | Normaal |
| Poging tot aanmelden door een mogelijk schadelijke toepassing (SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource. | PreAttack (Voorbereiding) | Hoog |
| Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter) (SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
Er is een wijziging opgetreden in het toegangspatroon voor SQL Server, waarbij iemand zich heeft aangemeld bij de server vanuit een ongebruikelijk Azure-datacenter. In sommige gevallen wijst de waarschuwing op een legitieme actie (een nieuwe toepassing of Azure-service). In andere gevallen wijst de waarschuwing op een schadelijke actie (aanvaller die werkt vanuit een geïnfecteerde resource in Azure). | Scannen | Beperkt |
| Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie) (SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
Er is een wijziging opgetreden in het toegangspatroon voor SQL Server, waarbij iemand zich heeft aangemeld bij de server vanaf een ongebruikelijke geografische locatie. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of onderhoud door ontwikkelaars). In andere gevallen wijst de waarschuwing op een schadelijke actie (een voormalig werknemer of externe aanvaller). | Misbruik | Normaal |
| Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld (SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
Een principalgebruiker die de afgelopen zestig dagen niet is gezien, heeft zich aangemeld bij uw database. Als deze database nieuw is of als dit gedrag wordt verwacht als gevolg van recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert het toekomstige fout-positieven te voorkomen. | Misbruik | Normaal |
| Aanmelden vanaf een domein dat niet binnen 60 dagen is gezien (SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly) |
Een gebruiker heeft zich de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein waaruit geen andere gebruikers verbinding hebben gemaakt. Als deze resource nieuw is of als dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en wordt geprobeerd toekomstige fout-positieven te voorkomen. | Misbruik | Normaal |
| Aanmelding vanaf een verdacht IP-adres (SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
Er is toegang tot uw resource verkregen vanaf een IP-adres dat in Microsoft Threat Intelligence in verband is gebracht met verdachte activiteiten. | PreAttack (Voorbereiding) | Normaal |
| Potential SQL injection (Mogelijke SQL-injectie) (SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
Er is een actieve aanval uitgevoerd op een toepassing waarvan bekend is dat die kwetsbaar is voor SQL-injectie. Dit betekent dat een aanvaller schadelijke SQL-instructies probeert te injecteren met de kwetsbare toepassingscode of opgeslagen procedures. | PreAttack (Voorbereiding) | Hoog |
| Verdachte beveiligingsaanval met behulp van een geldige gebruiker (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden. | PreAttack (Voorbereiding) | Hoog |
| Vermoedelijke beveiligingsaanval (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. | PreAttack (Voorbereiding) | Hoog |
| Geslaagde vermoedelijke beveiligingsaanval (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
Er is een geslaagde aanmelding opgetreden na een schijnbare beveiligingsaanval op uw resource. | PreAttack (Voorbereiding) | Hoog |
| SQL Server mogelijk een Windows-opdrachtshell heeft voortgebracht en toegang heeft tot een abnormale externe bron (SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
Een verdachte SQL-instructie heeft mogelijk een Windows-opdrachtshell voortgebracht met een externe bron die nog niet eerder is gezien. Het uitvoeren van een shell die toegang heeft tot een externe bron is een methode die door aanvallers wordt gebruikt om een schadelijke nettolading te downloaden en deze vervolgens uit te voeren op de computer en deze te compromitteren. Hierdoor kan een aanvaller schadelijke taken op afstand uitvoeren. U kunt ook toegang krijgen tot een externe bron om gegevens te exfiltreren naar een externe bestemming. | Uitvoering | Hoog |
| Ongebruikelijke nettolading met verborgen onderdelen is geïnitieerd door SQL Server (SQL. VM_PotentialSqlInjection) |
Iemand heeft een nieuwe nettolading geïnitieerd die gebruikmaakt van de laag in SQL Server die communiceert met het besturingssysteem terwijl de opdracht in de SQL-query wordt verborgen. Aanvallers verbergen meestal impactvolle opdrachten die in de volksmond worden bewaakt, zoals xp_cmdshell, sp_add_job en andere. Verdoezelingstechnieken maken misbruik van legitieme opdrachten, zoals tekenreekssamenvoeging, casten, basis wijzigen en andere, om regexdetectie te voorkomen en de leesbaarheid van de logboeken te schaden. | Uitvoering | Hoog |
Waarschuwingen voor relationele opensource-databases
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Verdachte beveiligingsaanval met behulp van een geldige gebruiker (SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce) |
Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden. | PreAttack (Voorbereiding) | Hoog |
| Geslaagde vermoedelijke beveiligingsaanval (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
Er is een geslaagde aanmelding opgetreden na een schijnbare beveiligingsaanval op uw resource. | PreAttack (Voorbereiding) | Hoog |
| Vermoedelijke beveiligingsaanval (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. | PreAttack (Voorbereiding) | Hoog |
| Poging tot aanmelden door een mogelijk schadelijke toepassing (SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication) |
Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource. | PreAttack (Voorbereiding) | Hoog |
| Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld (SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly) |
Een principalgebruiker die de afgelopen zestig dagen niet is gezien, heeft zich aangemeld bij uw database. Als deze database nieuw is of als dit gedrag wordt verwacht als gevolg van recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert het toekomstige fout-positieven te voorkomen. | Misbruik | Normaal |
| Aanmelden vanaf een domein dat niet binnen 60 dagen is gezien (SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly) |
Een gebruiker heeft zich de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein waaruit geen andere gebruikers verbinding hebben gemaakt. Als deze resource nieuw is of als dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en wordt geprobeerd toekomstige fout-positieven te voorkomen. | Misbruik | Normaal |
| Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter) (SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly) |
Iemand heeft zich aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacenter. | Scannen | Beperkt |
| Aanmelden bij een ongebruikelijke cloudprovider (SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly) |
Iemand die zich de afgelopen 60 dagen bij uw resource heeft aangemeld bij een cloudprovider die niet is gezien. Het is snel en eenvoudig voor bedreigingsactoren om beschikbare rekenkracht te verkrijgen voor gebruik in hun campagnes. Als dit gedrag wordt verwacht dat wordt veroorzaakt door de recente acceptatie van een nieuwe cloudprovider, leert Defender voor Cloud na verloop van tijd en probeert het toekomstige fout-positieven te voorkomen. | Misbruik | Normaal |
| Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie) (SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly) |
Iemand heeft zich aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacenter. | Misbruik | Normaal |
| Aanmelding vanaf een verdacht IP-adres (SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly) |
Er is toegang tot uw resource verkregen vanaf een IP-adres dat in Microsoft Threat Intelligence in verband is gebracht met verdachte activiteiten. | PreAttack (Voorbereiding) | Normaal |
Waarschuwingen voor Resource Manager
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Azure Resource Manager bewerking vanaf verdacht IP-adres (ARM_OperationFromSuspiciousIP) |
Microsoft Defender voor Resource Manager een bewerking gedetecteerd vanaf een IP-adres dat als verdacht is gemarkeerd in bedreigingsinformatiefeeds. | Uitvoering | Normaal |
| Bewerking van Azure Resource Manager vanaf verdacht IP-adres van proxy (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender voor Resource Manager een resourcebeheerbewerking gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt het vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren hun bron-IP-adres proberen te verbergen. | Defensieontduiking | Normaal |
| MicroBurst-exploitatietoolkit die wordt gebruikt om resources in uw abonnementen op te sommen (ARM_MicroBurst.AzDomainInfo) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het uitvoeren van gegevensverzamelingsbewerkingen om resources, machtigingen en netwerkstructuren te detecteren. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om informatie te verzamelen voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | - | Beperkt |
| MicroBurst-exploitatietoolkit die wordt gebruikt om resources in uw abonnementen op te sommen (ARM_MicroBurst.AzureDomainInfo) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het uitvoeren van gegevensverzamelingsbewerkingen om resources, machtigingen en netwerkstructuren te detecteren. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om informatie te verzamelen voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | - | Beperkt |
| MicroBurst-exploitatietoolkit die wordt gebruikt om code uit te voeren op uw virtuele machine (ARM_MicroBurst.AzVMBulkCMD) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het uitvoeren van code op een VM of een lijst met VM's. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om een script uit te voeren op een VIRTUELE machine voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | Uitvoering | Hoog |
| MicroBurst-exploitatietoolkit die wordt gebruikt om code uit te voeren op uw virtuele machine (RM_MicroBurst.AzureRmVMBulkCMD) |
MicroBurst-exploitatietoolkit is gebruikt om code op uw virtuele machines uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| MicroBurst-exploitatietoolkit die wordt gebruikt voor het extraheren van sleutels uit uw Azure-sleutelkluizen (ARM_MicroBurst.AzKeyVaultKeysREST) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het extraheren van sleutels uit een Of meer Azure-Key Vault(s). Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om sleutels weer te geven en ze te gebruiken om toegang te krijgen tot gevoelige gegevens of om laterale verplaatsingen uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | - | Hoog |
| MicroBurst-exploitatietoolkit die wordt gebruikt voor het extraheren van sleutels naar uw opslagaccounts (ARM_MicroBurst.AZStorageKeysREST) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het extraheren van sleutels naar opslagaccounts. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om sleutels weer te geven en deze te gebruiken voor toegang tot gevoelige gegevens in uw opslagaccount(s). Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | Verzameling | Hoog |
| MicroBurst-exploitatietoolkit die wordt gebruikt voor het extraheren van geheimen uit uw Azure-sleutelkluizen (ARM_MicroBurst.AzKeyVaultSecretsREST) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het extraheren van geheimen uit een Azure-Key Vault(s). Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om geheimen weer te geven en ze te gebruiken om toegang te krijgen tot gevoelige gegevens of laterale verplaatsingen uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | - | Hoog |
| PowerZure-exploitatietoolkit die wordt gebruikt om de toegang van Azure AD naar Azure te verhogen (ARM_PowerZure.AzureElevatedPrivileges) |
PowerZure-exploitatietoolkit is gebruikt om de toegang van Azure AD naar Azure te verhogen. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw tenant. | - | Hoog |
| PowerZure-exploitatietoolkit die wordt gebruikt om resources op te sommen (ARM_PowerZure.GetAzureTargets) |
PowerZure-exploitatietoolkit is gebruikt voor het inventariseren van resources namens een rechtmatig gebruikersaccount in uw organisatie. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | Verzameling | Hoog |
| PowerZure-exploitatietoolkit die wordt gebruikt om opslagcontainers, shares en tabellen op te sommen (ARM_PowerZure.ShowStorageContent) |
PowerZure-exploitatietoolkit is gebruikt voor het inventariseren van opslagshares, -tabellen en -containers. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| PowerZure-exploitatietoolkit die wordt gebruikt voor het uitvoeren van een runbook in uw abonnement (ARM_PowerZure.StartRunbook) |
PowerZure-exploitatietoolkit is gebruikt om een runbook uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| PowerZure-exploitatietoolkit die wordt gebruikt om runbooks-inhoud te extraheren (ARM_PowerZure.AzureRunbookContent) |
PowerZure-exploitatietoolkit die is gebruikt voor het extraheren van inhoud in runbooks. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | Verzameling | Hoog |
| PREVIEW - Azurite toolkit run detected (PREVIEW: uitvoering van Azurite-toolkit gedetecteerd) (ARM_Azurite) |
Er is een bekende toolkit voor het verkennen van cloudomgevingen gedetecteerd in uw omgeving. De toolkit Azurite kan door een aanvaller (of penetratietester) worden gebruikt om de resources van uw abonnementen toe te wijzen en onveilige configuraties te identificeren. | Verzameling | Hoog |
| PREVIEW- Verdachte creatie van rekenresources gedetecteerd (ARM_SuspiciousComputeCreation) |
Microsoft Defender voor Resource Manager een verdachte creatie van rekenresources in uw abonnement geïdentificeerd met behulp van Virtual Machines/Azure-schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om crypto-mining uit te voeren. De activiteit wordt als verdacht beschouwd omdat de schaal van de rekenresources hoger is dan eerder is waargenomen in het abonnement. Dit kan erop wijzen dat de principal is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. |
Impact | Normaal |
| PREVIEW - Verdacht herstel van sleutelkluis gedetecteerd (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender voor Resource Manager een verdachte herstelbewerking gedetecteerd voor een voorlopig verwijderde sleutelkluisresource. De gebruiker die de resource herstelt, verschilt van de gebruiker die deze heeft verwijderd. Dit is zeer verdacht omdat de gebruiker zelden een dergelijke bewerking aanroept. Bovendien is de gebruiker aangemeld zonder meervoudige verificatie (MFA). Dit kan erop wijzen dat de gebruiker is gecompromitteerd en probeert geheimen en sleutels te detecteren om toegang te krijgen tot gevoelige resources of om laterale verplaatsingen in uw netwerk uit te voeren. |
Zijwaartse beweging | Gemiddeld/hoog |
| PREVIEW - Suspicious management session using an inactive account detected (PREVIEW: verdachte beheersessie met een inactieve account gedetecteerd) (ARM_UnusedAccountPersistence) |
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die gedurende een lange periode niet wordt gebruikt, voert nu acties uit waarmee persistentie kan worden verkregen voor een aanvaller. | Persistentie | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking met een hoog risico 'Referentietoegang' door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.CredentialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Toegang tot referenties | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking voor het verzamelen van gegevens met een hoog risico door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.Collection) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Verzameling | Normaal |
| PREVIEW - Verdachte aanroep van een 'Defense Evasion'-bewerking met een hoog risico door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.DefenseEvasion) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om verdediging te omzeilen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen de beveiligingspostuur van hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat ze worden gedetecteerd tijdens het in gevaar brengen van resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Defensieontduiking | Normaal |
| PREVIEW - Verdachte aanroep van een uitvoeringsbewerking met een hoog risico door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.Execution) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico geïdentificeerd op een computer in uw abonnement, wat kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Uitvoering van verdediging | Normaal |
| PREVIEW - Verdachte aanroep van een 'Impact'-bewerking met een hoog risico door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.Impact) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Impact | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking met een hoog risico 'Initiële toegang' door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.InitialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen efficiënt toegang te krijgen tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om initiële toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Initial Access | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking met een hoog risico voor toegang tot zijdelingse verplaatsing door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.LateralMovement) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om laterale verplaatsing uit te voeren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om meer resources in uw omgeving in gevaar te brengen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Zijwaartse beweging | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking met een hoog risico van persistentie door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.Persistentie) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om persistentie vast te stellen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Persistentie | Normaal |
| PREVIEW - Verdachte aanroep van een bewerking met een hoog risico voor escalatie van bevoegdheden door een service-principal gedetecteerd (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar worden gebracht. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen. | Uitbreiding van bevoegdheden | Normaal |
| PREVIEW - Suspicious management session using an inactive account detected (PREVIEW: verdachte beheersessie met een inactieve account gedetecteerd) (ARM_UnusedAccountPersistence) |
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die gedurende een lange periode niet wordt gebruikt, voert nu acties uit waarmee persistentie kan worden verkregen voor een aanvaller. | Persistentie | Normaal |
| PREVIEW - Suspicious management session using PowerShell detected (PREVIEW: verdachte beheersessie met PowerShell gedetecteerd) (ARM_UnusedAppPowershellPersistence) |
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die niet regelmatig gebruikmaakt van PowerShell voor het beheren van de abonnementsomgeving maakt nu wel gebruik van PowerShell en voert acties uit waarmee persistentie kan worden verkregen voor een aanvaller. | Persistentie | Normaal |
| PREVIEW - Suspicious management session using Azure portal detected (PREVIEW: verdachte beheersessie met Azure-portal gedetecteerd) (ARM_UnusedAppIbizaPersistence) |
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die de Azure-portal (Ibiza) niet regelmatig gebruikt voor het beheren van de abonnementsomgeving (heeft de Azure-portal de afgelopen 45 dagen niet gebruikt voor beheertaken voor het beheren of heeft geen abonnement dat actief wordt beheerd), gebruikt nu de Azure-portal en voert acties uit waarmee persistentie voor een aanvaller kan worden verkregen. | Persistentie | Normaal |
| Bevoorrechte aangepaste rol die op een verdachte manier voor uw abonnement is gemaakt (preview) (ARM_PrivilegedRoleDefinitionCreation) |
Microsoft Defender voor Resource Manager een verdachte creatie van een definitie van aangepaste bevoorrechte rollen in uw abonnement gedetecteerd. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur een bevoorrechte rol probeert te maken die in de toekomst kan worden gebruikt om detectie te omzeilen. | Escalatie van bevoegdheden, beschermingsontduiking | Beperkt |
| Verdachte Azure-roltoewijzing gedetecteerd (preview) (ARM_AnomalousRBACRoleAssignment) |
Microsoft Defender voor Resource Manager een verdachte Azure-roltoewijzing geïdentificeerd/uitgevoerd met behulp van PIM (Privileged Identity Management) in uw tenant. Dit kan erop wijzen dat een account in uw organisatie is gecompromitteerd. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders principals toegang kunnen verlenen tot Azure-resources. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur roltoewijzing gebruiken om zijn machtigingen te escaleren, zodat ze hun aanval kunnen doorsturen. | Lateral Movement, Defense Evasion | Laag (PIM) / hoog |
| Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen efficiënt toegang te krijgen tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Toegang tot referenties | Normaal |
| Verdachte aanroep van een bewerking voor het verzamelen van gegevens met een hoog risico gedetecteerd (preview) (ARM_AnomalousOperation.Collection) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Verzameling | Normaal |
| Verdachte aanroep van een 'Defense Evasion'-bewerking met een hoog risico gedetecteerd (preview) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om verdediging te omzeilen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen de beveiligingspostuur van hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat ze worden gedetecteerd tijdens het in gevaar brengen van resources in uw omgeving. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Defensieontduiking | Normaal |
| Verdachte aanroep van een uitvoeringsbewerking met een hoog risico gedetecteerd (preview) (ARM_AnomalousOperation.Uitvoering) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico geïdentificeerd op een computer in uw abonnement, wat kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Uitvoering | Normaal |
| Verdachte aanroep van een 'Impact'-bewerking met een hoog risico gedetecteerd (preview) (ARM_AnomalousOperation.Impact) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Impact | Normaal |
| Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen efficiënt toegang te krijgen tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om initiële toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Initial Access | Normaal |
| Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om laterale verplaatsing uit te voeren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om meer resources in uw omgeving in gevaar te brengen. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Lateral movement | Normaal |
| Verdachte aanroep van een bewerking met een hoog risico voor persistentie gedetecteerd (preview) (ARM_AnomalousOperation.Persistentie) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om persistentie vast te stellen. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Persistentie | Normaal |
| Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (preview) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender voor Resource Manager een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd, wat kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar worden gebracht. Dit kan erop wijzen dat het account is gecompromitteerd en wordt gebruikt met schadelijke bedoelingen. | Escalatie van bevoegdheden | Normaal |
| Gebruik van MicroBurst-exploitatietoolkit om willekeurige code uit te voeren of Azure Automation accountreferenties te exfiltreren (ARM_MicroBurst.RunCodeOnBehalf) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon uitgevoerd voor het uitvoeren van willekeurige code of het exfiltreren van Azure Automation accountreferenties. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om willekeurige code uit te voeren voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te compromitteren vanwege schadelijke bedoelingen. | Persistentie, referentietoegang | Hoog |
| Gebruik van NetSPI-technieken om persistentie in uw Azure-omgeving te behouden (ARM_NetSPI.MaintainPersistence) |
Gebruik van NetSPI-persistentietechniek voor het maken van een webhook-achterdeur en het handhaven van persistentie in uw Azure-omgeving. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| Gebruik van PowerZure-exploitatietoolkit om willekeurige code uit te voeren of Azure Automation accountreferenties te exfiltreren (ARM_PowerZure.RunCodeOnBehalf) |
Gebruik van PowerZure-exploitatietoolkit voor een poging tot het uitvoeren van code of het exfiltreren van Azure Automation-accountreferenties. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| Gebruik van de Functie PowerZure om persistentie in uw Azure-omgeving te behouden (ARM_PowerZure. MaintainPersistence) |
Er is een PowerZure-exploitatietoolkit gedetecteerd die een webhook-achterdeur aan het maken was om persistentie in de Azure-omgeving te handhaven. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. | - | Hoog |
| Verdachte klassieke roltoewijzing gedetecteerd (preview) (ARM_AnomalousClassicRoleAssignment) |
Microsoft Defender voor Resource Manager een verdachte klassieke roltoewijzing in uw tenant geïdentificeerd, wat erop kan wijzen dat een account in uw organisatie is gecompromitteerd. De geïdentificeerde bewerkingen zijn ontworpen om achterwaartse compatibiliteit te bieden met klassieke rollen die niet meer vaak worden gebruikt. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur een dergelijke toewijzing gebruiken om machtigingen te verlenen aan een ander gebruikersaccount dat onder zijn beheer valt. | Lateral Movement, Defense Evasion | Hoog |
Waarschuwingen voor DNS
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Afwijkend netwerkprotocolgebruik (AzureDNS_ProtocolAnomaly) |
Er is afwijkend protocolgebruik gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijk verkeer kan weliswaar onschadelijk zijn, maar kan wijzen op misbruik van dit veelgebruikte protocol om het filteren van netwerkverkeer te omzeilen. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. | Exfiltration | - |
| Netwerkactiviteit anonimiteit (AzureDNS_DarkWeb) |
Er is anonieme netwerkactiviteit gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit, hoewel mogelijk legitiem gebruikersgedrag, wordt vaak gebruikt door aanvallers om het volgen en vingerafdruk van netwerkcommunicatie te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Anonieme netwerkactiviteit met behulp van webproxy (AzureDNS_DarkWebProxy) |
Er is anonieme netwerkactiviteit gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit, hoewel mogelijk legitiem gebruikersgedrag, wordt vaak gebruikt door aanvallers om het volgen en vingerafdruk van netwerkcommunicatie te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Communicatiepoging met verdacht sinkholed domein (AzureDNS_SinkholedDomain) |
Er is een aanvraag voor een sinkholed domein gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is, hoewel mogelijk legitiem gebruikersgedrag, vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Communicatie met mogelijk phishingdomein (AzureDNS_PhishingDomain) |
Er is een aanvraag voor een potentieel phishingdomein gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om referenties voor externe services te verzamelen. Een typische, bijkomende aanvalsactiviteit betreft de exploitatie van referenties voor de legitieme service. | Exfiltration | - |
| Communicatie met verdacht algoritmisch gegenereerd domein (AzureDNS_DomainGenerationAlgorithm) |
Er is een mogelijk gebruik van een domein-genererend algoritme gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie (AzureDNS_ThreatIntelSuspectDomain) |
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die zijn geïdentificeerd door bedreigingsinformatiefeeds. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan impliceren dat uw resource is gecompromitteerd. | Initial Access | Normaal |
| Communicatie met verdachte willekeurige domeinnaam (AzureDNS_RandomizedDomain) |
Er is gebruik van een verdachte, willekeurig gegenereerde domeinnaam gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Activiteit voor het analyseren van digitale valuta (AzureDNS_CurrencyMining) |
Er is mining-activiteit van digitale valuta gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers na inbreuk op resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's. | Exfiltration | - |
| Handtekeningactivering voor netwerkinbraakdetectie (AzureDNS_SuspiciousDomain) |
Er is bekende, kwaadaardige netwerksignatuur gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is, hoewel mogelijk legitiem gebruikersgedrag, vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Mogelijke gegevens downloaden via DNS-tunnel (AzureDNS_DataInfiltration) |
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit, hoewel mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Mogelijke gegevensexfiltratie via DNS-tunnel (AzureDNS_DataExfiltration) |
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit, hoewel mogelijk legitiem gebruikersgedrag, wordt vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
| Mogelijke gegevensoverdracht via DNS-tunnel (AzureDNS_DataObfuscation) |
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. | Exfiltration | - |
Waarschuwingen voor Azure Storage
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Toegang vanuit een verdachte toepassing (Storage.Blob_SuspiciousApp) |
Geeft aan dat een verdachte toepassing met verificatie toegang heeft tot een container van een opslagaccount. Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en er misbruik van maakt. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd. Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | Hoog/gemiddeld |
| Toegang vanaf een verdacht IP-adres (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
Geeft aan dat dit opslagaccount is geopend vanaf een IP-adres dat als verdacht wordt beschouwd. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Vóór aanval | Hoog/gemiddeld/laag |
| Phishing-inhoud die wordt gehost op een opslagaccount (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
Een URL die is gebruikt in een phishing-aanval verwijst naar uw Azure Storage-account. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. Inhoud die op dergelijke pagina's wordt gehost, is meestal zo ontworpen dat bezoekers worden verleid om hun bedrijfsreferenties of financiële gegevens in te vullen in een webformulier dat legitiem lijkt. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob Storage, Azure Files |
Verzameling | Hoog |
| Opslagaccount geïdentificeerd als bron voor de distributie van malware (Storage.Files_WidespreadeAm) |
Antimalwarewaarschuwingen geven aan dat een of meer geïnfecteerde bestanden zijn opgeslagen in een Azure-bestandsshare die is gekoppeld aan meerdere VM's. Als aanvallers toegang krijgen tot een VIRTUELE machine met een gekoppelde Azure-bestandsshare, kunnen ze deze gebruiken om malware te verspreiden naar andere VM's die dezelfde share koppelen. Van toepassing op: Azure Files |
Uitvoering | Normaal |
| Het toegangsniveau van een mogelijk gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan (Storage.Blob_OpenACL) |
De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat mogelijk gevoelige gegevens bevat, heeft gewijzigd in het niveau 'Container' om niet-geverifieerde (anonieme) openbare toegang toe te staan. De wijziging is aangebracht via de Azure Portal. Op basis van statistische analyse wordt de blobcontainer gemarkeerd als mogelijk gevoelige gegevens bevat. Deze analyse suggereert dat blobcontainers of opslagaccounts met vergelijkbare namen doorgaans niet beschikbaar zijn voor openbare toegang. Van toepassing op: Opslagaccounts voor Azure Blob (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of Premium-blok-blobs). |
Verzameling | Normaal |
| Geverifieerde toegang vanaf een Tor-afsluitknooppunt (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is een waarschijnlijke indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Initiële toegang/pre-aanval | Hoog/gemiddeld |
| Access from an unusual location to a storage account (Toegang tot een opslagaccount vanaf een ongebruikelijke locatie) (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Geeft aan dat er een wijziging is in het toegangspatroon voor een Azure Storage-account. Iemand heeft toegang verkregen tot dit account vanaf een IP-adres dat als niet-vertrouwd wordt beschouwd in vergelijking met recente activiteiten. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Initial Access | Hoog/gemiddeld/laag |
| Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer (Storage.Blob_AnonymousAccessAnomaly) |
Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigingsacteur de openbare leestoegang tot opslagcontainers in dit opslagaccount(s) kon misbruiken. Van toepassing op: Azure Blob Storage |
Initial Access | Hoog/laag |
| Potential malware uploaded to a storage account (Mogelijke malware die is geüpload naar een opslagaccount) (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
Geeft aan dat een blob met mogelijk schadelijke software is geüpload naar een blobcontainer of een bestandsshare in een opslagaccount. Deze waarschuwing is gebaseerd op reputatieanalyse van hashes en maakt gebruik van Microsoft-bedreigingsinformatie, waaronder hashes voor virussen, Trojaanse paarden, spyware en ransomware. Mogelijke oorzaken zijn een bewuste upload van malware door een aanvaller of een onbedoelde upload van een mogelijk schadelijke blob door een legitieme gebruiker. Van toepassing op: Azure Blob Storage, Azure Files (alleen voor transacties via REST-API) Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. |
Lateral movement | Hoog |
| Openbaar toegankelijke opslagcontainers gedetecteerd (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is het afgelopen uur uitgevoerd door een scanscript of hulpprogramma. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat onjuist geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan een eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Verzameling | Hoog/gemiddeld |
| Openbaar toegankelijke opslagcontainers zijn niet gescand (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers. Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat onjuist geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden. De bedreigingsacteur kan een eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Verzameling | Hoog/laag |
| Unusual access inspection in a storage account (Ongebruikelijke toegangsinspectie in een opslagaccount) (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
Geeft aan dat de toegangsmachtigingen van een opslagaccount op een ongebruikelijke manier zijn geïnspecteerd, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files |
Detectie | Hoog/gemiddeld |
| Unusual amount of data extracted from a storage account (Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een opslagaccount) (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
Geeft aan dat er een ongebruikelijk grote hoeveelheid gegevens is geëxtraheerd vergeleken met recente activiteiten voor deze opslagcontainer. Een mogelijke oorzaak is dat een aanvaller een grote hoeveelheid gegevens heeft geëxtraheerd uit een container met blobopslag. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltration | Hoog/laag |
| Unusual application accessed a storage account (Ongebruikelijke toepassing heeft toegang gehad tot een opslagaccount) (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
Geeft aan dat een ongebruikelijke toepassing toegang heeft gehad tot dit opslagaccount. Een mogelijke oorzaak is dat een aanvaller met een nieuwe toepassing toegang heeft gehad tot uw opslagaccount. Van toepassing op: Azure Blob Storage, Azure Files |
Uitvoering | Hoog/gemiddeld |
| Unusual data exploration in a storage account (Ongebruikelijke gegevensverkenning in een opslagaccount) (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
Geeft aan dat blobs of containers in een opslagaccount op een ongebruikelijke manier zijn geïnventariseerd, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval. Van toepassing op: Azure Blob Storage, Azure Files |
Uitvoering | Hoog/gemiddeld |
| Unusual deletion in a storage account (Ongebruikelijke verwijdering in een opslagaccount) (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
Geeft aan dat er een of meer onverwachte verwijderingen zijn uitgevoerd in een opslagaccount, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller gegevens uit uw opslagaccount heeft verwijderd. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltration | Hoog/gemiddeld |
| Ongebruikelijke niet-geverifieerde openbare toegang tot een gevoelige blobcontainer (preview) Storage.Blob_AnonymousAccessAnomaly.Sensitive |
De waarschuwing geeft aan dat iemand zonder verificatie toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount, met behulp van een extern (openbaar) IP-adres. Deze toegang is verdacht omdat de blobcontainer is geopend voor openbare toegang en doorgaans alleen toegankelijk is met verificatie vanuit interne netwerken (privé-IP-adressen). Deze toegang kan erop wijzen dat het toegangsniveau van de blobcontainer onjuist is geconfigureerd en dat een kwaadwillende actor de openbare toegang heeft misbruikt. De beveiligingswaarschuwing bevat de gedetecteerde gevoelige informatiecontext (scantijd, classificatielabel, informatietypen en bestandstypen). Meer informatie over detectie van bedreigingen voor gevoelige gegevens. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Initial Access | Hoog |
| Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een gevoelige blobcontainer (preview) Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive |
De waarschuwing geeft aan dat iemand een ongebruikelijk groot aantal blobs heeft geëxtraheerd uit een blobcontainer met gevoelige gegevens in het opslagaccount. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Exfiltration | Normaal |
| Ongebruikelijk aantal blobs dat is geëxtraheerd uit een gevoelige blobcontainer (preview) Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive |
De waarschuwing geeft aan dat iemand een ongebruikelijk grote hoeveelheid gegevens heeft geëxtraheerd uit een blobcontainer met gevoelige gegevens in het opslagaccount. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Exfiltration | |
| Toegang vanuit een bekende verdachte toepassing naar een gevoelige blobcontainer (preview) Storage.Blob_SuspiciousApp.Sensitive |
De waarschuwing geeft aan dat iemand met een bekende verdachte toepassing toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount en geverifieerde bewerkingen heeft uitgevoerd. De toegang kan erop wijzen dat een bedreigingsacteur referenties heeft verkregen voor toegang tot het opslagaccount met behulp van een bekende verdachte toepassing. De toegang kan echter ook duiden op een in de organisatie uitgevoerde penetratietest. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Initial Access | Hoog |
| Toegang vanaf een bekend verdacht IP-adres naar een gevoelige blobcontainer (preview) Storage.Blob_SuspiciousIp.Sensitive |
De waarschuwing geeft aan dat iemand toegang heeft gekregen tot een blobcontainer met gevoelige gegevens in het opslagaccount vanaf een bekend verdacht IP-adres dat is gekoppeld aan bedreigingsinformatie van Microsoft Threat Intelligence. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties die toegang tot dit opslagaccount toestaan, zijn gecompromitteerd. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Vóór aanval | Hoog |
| Toegang vanaf een Tor-afsluitknooppunt naar een gevoelige blobcontainer (preview) Storage.Blob_TorAnomaly.Sensitive |
De waarschuwing geeft aan dat iemand met een IP-adres dat bekend staat als een Tor-afsluitknooppunt, toegang heeft tot een blobcontainer met gevoelige gegevens in het opslagaccount met geverifieerde toegang. Geverifieerde toegang vanaf een Tor-afsluitknooppunt geeft sterk aan dat de actor anoniem probeert te blijven vanwege mogelijke schadelijke bedoelingen. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties die toegang tot dit opslagaccount toestaan, zijn gecompromitteerd. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie voor detectie van gegevensgevoeligheidsbedreigingen ingeschakeld. |
Vóór aanval | Hoog |
| Toegang vanaf een ongebruikelijke locatie tot een gevoelige blobcontainer (preview) Storage.Blob_GeoAnomaly.Sensitive |
De waarschuwing geeft aan dat iemand toegang heeft verkregen tot de blobcontainer met gevoelige gegevens in het opslagaccount met verificatie vanaf een ongebruikelijke locatie. Omdat de toegang is geverifieerd, is het mogelijk dat de referenties die toegang tot dit opslagaccount toestaan, zijn aangetast. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie detectie van bedreigingen voor gegevensgevoeligheid ingeschakeld. |
Initial Access | Normaal |
| Het toegangsniveau van een gevoelige opslagblobcontainer is gewijzigd om niet-geverifieerde openbare toegang toe te staan (preview) Storage.Blob_OpenACL.Sensitive |
De waarschuwing geeft aan dat iemand het toegangsniveau van een blobcontainer in het opslagaccount, dat gevoelige gegevens bevat, heeft gewijzigd in het niveau Container, waardoor niet-geverifieerde (anonieme) openbare toegang is toegestaan. De wijziging is aangebracht via de Azure Portal. De wijziging van het toegangsniveau kan de beveiliging van de gegevens in gevaar brengen. We raden u aan onmiddellijk actie te ondernemen om de gegevens te beveiligen en onbevoegde toegang te voorkomen voor het geval deze waarschuwing wordt geactiveerd. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie detectie van bedreigingen voor gegevensgevoeligheid ingeschakeld. |
Verzameling | Hoog |
| Verdachte externe toegang tot een Azure-opslagaccount met te veel toegestane SAS-token (preview) Storage.Blob_AccountSas.InternalSasUsedExternally |
De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te tolerant SAS-token met een lange vervaldatum. Dit type toegang wordt als verdacht beschouwd omdat het SAS-token doorgaans alleen wordt gebruikt in interne netwerken (van privé-IP-adressen). De activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt van een legitieme bron. Zelfs als de toegang legitiem is, is het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in strijd met de aanbevolen procedures voor beveiliging en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement. |
Exfiltratie/resourceontwikkeling/impact | Normaal |
| Verdachte externe bewerking voor een Azure-opslagaccount met te veel toegestane SAS-token (preview) Storage.Blob_AccountSas.UnusualOperationFromExternalIp |
De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een te tolerant SAS-token met een lange vervaldatum. De toegang wordt als verdacht beschouwd omdat bewerkingen die buiten uw netwerk worden aangeroepen (niet vanaf privé-IP-adressen) met dit SAS-token doorgaans worden gebruikt voor een specifieke set lees-/schrijf-/verwijderbewerkingen, maar andere bewerkingen zijn opgetreden, waardoor deze toegang verdacht wordt. Deze activiteit kan erop wijzen dat een SAS-token is gelekt door een kwaadwillende actor of onbedoeld is gelekt van een legitieme bron. Zelfs als de toegang legitiem is, is het gebruik van een SAS-token met hoge machtigingen met een lange vervaldatum in strijd met de aanbevolen procedures voor beveiliging en vormt dit een potentieel beveiligingsrisico. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement. |
Exfiltratie/resourceontwikkeling/impact | Normaal |
| Er is een ongebruikelijk SAS-token gebruikt voor toegang tot een Azure-opslagaccount vanaf een openbaar IP-adres (preview) Storage.Blob_AccountSas.UnusualExternalAccess |
De waarschuwing geeft aan dat iemand met een extern (openbaar) IP-adres toegang heeft tot het opslagaccount met behulp van een ACCOUNT-SAS-token. De toegang is zeer ongebruikelijk en wordt als verdacht beschouwd, omdat toegang tot het opslagaccount via SAS-tokens doorgaans alleen afkomstig is van interne (privé) IP-adressen. Het is mogelijk dat een SAS-token is gelekt of gegenereerd door een kwaadwillende actor vanuit uw organisatie of extern om toegang te krijgen tot dit opslagaccount. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of premium blok-blobs) met het nieuwe Defender for Storage-abonnement. |
Exfiltratie/resourceontwikkeling/impact | Beperkt |
| Schadelijk bestand geüpload naar opslagaccount (preview) Storage.Blob_AM. MalwareFound |
De waarschuwing geeft aan dat een schadelijke blob is geüpload naar een opslagaccount. Deze beveiligingswaarschuwing wordt gegenereerd door de functie Malware scannen in Defender for Storage. Mogelijke oorzaken zijn een opzettelijke upload van malware door een bedreigingsacteur of een onbedoelde upload van een schadelijk bestand door een legitieme gebruiker. Van toepassing op: Azure Blob-opslagaccounts (Standard algemeen gebruik v2, Azure Data Lake Storage Gen2 of Premium blok-blobs) met het nieuwe Defender for Storage-abonnement met de functie Malware Scanning ingeschakeld. |
Lateral Movement | Hoog |
Waarschuwingen voor Azure Cosmos DB
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Toegang vanaf een Tor-afsluitknooppunt (CosmosDB_TorAnomaly) |
Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor, een anonieme proxy. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is een waarschijnlijke indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. | Initial Access | Hoog/gemiddeld |
| Toegang vanaf een verdacht IP-adres (CosmosDB_SuspiciousIp) |
Dit Azure Cosmos DB-account is geopend vanaf een IP-adres dat is geïdentificeerd als een bedreiging door Microsoft Threat Intelligence. | Initial Access | Normaal |
| Toegang vanaf een ongebruikelijke locatie (CosmosDB_GeoAnomaly) |
Dit Azure Cosmos DB-account is geopend vanaf een locatie die als onbekend wordt beschouwd, op basis van het gebruikelijke toegangspatroon. Een bedreigingsacteur heeft toegang verkregen tot het account of een legitieme gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie |
Initial Access | Beperkt |
| Ongebruikelijke hoeveelheid geëxtraheerde gegevens (CosmosDB_DataExfiltrationAnomaly) |
Er is een ongebruikelijk grote hoeveelheid gegevens geëxtraheerd uit dit Azure Cosmos DB-account. Dit kan erop wijzen dat een bedreigingsacteur gegevens heeft geëxfiltreerd. | Exfiltration | Normaal |
| Extractie van Azure Cosmos DB-accountsleutels via een mogelijk schadelijk script (CosmosDB_SuspiciousListKeys.MaliciousScript) |
Er is een PowerShell-script uitgevoerd in uw abonnement en er is een verdacht patroon van sleutelvermeldingsbewerkingen uitgevoerd om de sleutels van Azure Cosmos DB-accounts in uw abonnement op te halen. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals Microburst, om sleutels weer te geven en Azure Cosmos DB-accounts te vinden die ze kunnen openen. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur probeert Azure Cosmos DB-accounts in uw omgeving te misbruiken voor schadelijke bedoelingen. Een kwaadwillende insider kan ook proberen toegang te krijgen tot gevoelige gegevens en laterale verplaatsingen uitvoeren. |
Verzameling | Hoog |
| Verdachte extractie van Azure Cosmos DB-accountsleutels (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | Een verdachte bron heeft toegangssleutels voor het Azure Cosmos DB-account uit uw abonnement geëxtraheerd. Als deze bron geen legitieme bron is, kan dit een probleem met een hoge impact hebben. De toegangssleutel die is geëxtraheerd, biedt volledige controle over de gekoppelde databases en de gegevens die erin zijn opgeslagen. Bekijk de details van elke specifieke waarschuwing om te begrijpen waarom de bron als verdacht is gemarkeerd. | Toegang tot referenties | hoog |
| SQL-injectie: mogelijke gegevensexfiltratie (CosmosDB_SqlInjection.DataExfiltration) |
Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account. De geïnjecteerde instructie is er mogelijk in geslaagd om gegevens te exfiltreren waartoe de bedreigingsacteur geen toegang heeft. Vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's kunnen veel bekende SQL-injectieaanvallen op Azure Cosmos DB-accounts niet werken. De variatie die bij deze aanval wordt gebruikt, kan echter werken en bedreigingsactoren kunnen gegevens exfiltreren. |
Exfiltration | Normaal |
| SQL-injectie: fuzzingpoging (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
Er is een verdachte SQL-instructie gebruikt om een query uit te voeren op een container in dit Azure Cosmos DB-account. Net als andere bekende SQL-injectieaanvallen slaagt deze aanval er niet in om het Azure Cosmos DB-account in gevaar te brengen. Het is echter een indicatie dat een bedreigingsacteur de resources in dit account probeert aan te vallen en dat uw toepassing mogelijk is gecompromitteerd. Sommige SQL-injectieaanvallen kunnen slagen en worden gebruikt om gegevens te exfiltreren. Dit betekent dat als de aanvaller doorgaat met het uitvoeren van SQL-injectiepogingen, deze mogelijk inbreuk kan maken op uw Azure Cosmos DB-account en gegevens kan exfiltreren. U kunt deze bedreiging voorkomen met behulp van geparameteriseerde query's. |
Pre-aanval | Beperkt |
Waarschuwingen voor Azure-netwerklaag
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Network communication with a malicious machine detected (Netwerkcommunicatie met een kwaadwillende computer gedetecteerd) (Network_CommunicationWithC2) |
Analyse van netwerkverkeer geeft aan dat uw computer (IP %{Victim IP}) heeft gecommuniceerd met wat mogelijk een Command-and-Control-center is. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) hebben gecommuniceerd met wat mogelijk een Command-and-Control-center is. | Opdracht en controle | Normaal |
| Possible compromised machine detected (Mogelijk geïnfecteerde computer gedetecteerd) (Network_ResourceIpIndicatedAsMalicious) |
Bedreigingsinformatie geeft aan dat uw computer (op IP %{Machine IP}) mogelijk is geïnfecteerd door malware van het type Conficker. Conficker was een computerworm die was gericht op het Microsoft Windows-besturingssysteem en die voor het eerst is gedetecteerd in november 2008. Conficker heeft miljoenen computers geïnfecteerd, waaronder computers van overheidsinstellingen, bedrijven en privégebruikers in meer dan 200 landen/regio's, waardoor dit de grootste bekende infectie met een computerworm is sinds de Welchia-worm van 2003. | Opdracht en controle | Normaal |
| Possible incoming %{Service Name} brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen op %{Service Name} gedetecteerd) (Generic_Incoming_BF_OneToOne) |
Analyse van netwerkverkeer heeft binnenkomende communicatie van %{Service Name} naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Victim Port}. Deze activiteit komt overeen met Brute Force-aanvallen op servers van %{Service Name}. | PreAttack (Voorbereiding) | Normaal |
| Possible incoming SQL brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen via SQL gedetecteerd) (SQL_Incoming_BF_OneToOne) |
Analyse van netwerkverkeer heeft binnenkomende SQL-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Port Number} (%{SQL Service Type}). Deze activiteit komt overeen met aanhoudende aanvalspogingen tegen SQL-servers. | PreAttack (Voorbereiding) | Normaal |
| Mogelijke uitgaande Denial of Service-aanval gedetecteerd (DDOS) |
Analyse van netwerkverkeer heeft afwijkende uitgaande activiteit gedetecteerd die afkomstig is van %{CompromisedHost}, een resource in uw implementatie. Deze activiteit kan erop wijzen dat uw resource is geïnfecteerd en betrokken is bij Denial of Service-aanvallen op externe eindpunten. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) zijn geïnfecteerd. Op basis van het aantal verbindingen denken we dat de volgende IP-adressen mogelijk doelwit zijn van de DOS-aanval: %{Possible Victims}. Het is mogelijk dat de communicatie met sommige van deze IP-adressen legitiem is. | Impact | Normaal |
| Suspicious incoming RDP network activity from multiple sources (Verdachte binnenkomende RDP-netwerkactiviteit van meerdere bronnen) (RDP_Incoming_BF_ManyToOne) |
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanuit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw RDP-eindpunt vanaf meerdere hosts (Botnet) aan te vallen. | PreAttack (Voorbereiding) | Normaal |
| Suspicious incoming RDP network activity (Verdachte binnenkomende RDP-netwerkactiviteit) (RDP_Incoming_BF_OneToOne) |
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw RDP-eindpunt aan te vallen. | PreAttack (Voorbereiding) | Normaal |
| Suspicious incoming SSH network activity from multiple sources (Verdachte binnenkomende SSH-netwerkactiviteit van meerdere bronnen) (SSH_Incoming_BF_ManyToOne) |
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende SSH-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanuit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw SSH-eindpunt vanaf meerdere hosts (Botnet) aan te vallen. | PreAttack (Voorbereiding) | Normaal |
| Suspicious incoming SSH network activity (Verdachte binnenkomende SSH-netwerkactiviteit) (SSH_Incoming_BF_OneToOne) |
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende SSH-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een Brute Force-aanval op uw SSH-eindpunt. | PreAttack (Voorbereiding) | Normaal |
| Suspicious outgoing %{Attacked Protocol} traffic detected (Verdacht uitgaand %{Attacked Protocol}-verkeer gedetecteerd) (PortScanning) |
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host} naar doelpoort %{Most Common Port}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Dit gedrag kan erop wijzen dat uw resource wordt gebruikt in Brute Force-aanvallen of port sweeping-aanvallen via %{Attacked Protocol}. | Detectie | Normaal |
| Suspicious outgoing RDP network activity to multiple destinations (Verdachte uitgaande RDP-netwerkactiviteit naar meerdere bestemmingen) (RDP_Outgoing_BF_OneToMany) |
Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) naar meerdere bestemmingen gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw computer verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe RDP-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. | Detectie | Hoog |
| Suspicious outgoing RDP network activity (Verdachte uitgaande RDP-netwerkactiviteit) (RDP_Outgoing_BF_OneToOne) |
Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw computer is geïnfecteerd en wordt gebruikt om externe RDP-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. | Lateral movement | Hoog |
| Suspicious outgoing SSH network activity to multiple destinations (Verdachte uitgaande SSH-netwerkactiviteit naar meerdere bestemmingen) (SSH_Outgoing_BF_OneToMany) |
Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar meerdere bestemmingen gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw resource verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe SSH-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. | Detectie | Normaal |
| Suspicious outgoing SSH network activity (Verdachte uitgaande SSH-netwerkactiviteit) (SSH_Outgoing_BF_OneToOne) |
Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar %{Victim IP} gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe SSH-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. | Lateral movement | Normaal |
| Traffic detected from IP addresses recommended for blocking (Verkeer gedetecteerd van IP-adressen die worden aanbevolen voor blokkering) | Microsoft Defender for Cloud heeft binnenkomend verkeer gedetecteerd van IP-adressen die worden aanbevolen om te worden geblokkeerd. Dit gebeurt meestal wanneer dit IP-adres niet regelmatig communiceert met deze resource. Het IP-adres is ook gemarkeerd als schadelijk door de bedreigingsinformatiebronnen van Defender for Cloud. | Scannen | Beperkt |
Waarschuwingen voor Azure Key Vault
Extra informatie en opmerkingen
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| Toegang vanaf een verdacht IP-adres tot een sleutelkluis (KV_SuspiciousIPAccess) |
Een sleutelkluis is geopend door een IP-adres dat door Microsoft Threat Intelligence is geïdentificeerd als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden u aan verder onderzoek te doen. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. | Toegang tot referenties | Normaal |
| Access from a TOR exit node to a key vault (Toegang tot een sleutelkluis vanaf een Tor-afsluitknooppunt) (KV_TORAccess) |
Een sleutelkluis is geopend vanaf een bekend TOR-afsluitknooppunt. Dit kan een indicatie zijn dat een aanvaller de sleutelkluis heeft geopend en het TOR-netwerk gebruikt om zijn of haar locatie te verbergen. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| High volume of operations in a key vault (Grote hoeveelheid bewerkingen in een sleutelkluis) (KV_OperationVolumeAnomaly) |
Er is een ongebruikelijk aantal sleutelkluisbewerkingen uitgevoerd door een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitenpatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Suspicious policy change and secret query in a key vault (Verdachte beleidswijziging en geheime query in een sleutelkluis) (KV_PutGetAnomaly) |
Een gebruiker of service-principal heeft een ongebruikelijke Vault Put-bewerking uitgevoerd voor een kluis om het toegewezen beleid te wijzigen, gevolgd door een of meer Get Secret-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal. Dit kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur het sleutelkluisbeleid heeft bijgewerkt voor toegang tot eerder ontoegankelijke geheimen. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Suspicious secret listing and query in a key vault (Verdachte weergave van geheimen en query in een sleutelkluis) (KV_ListGetAnomaly) |
Een gebruiker of service-principal heeft een ongebruikelijke List Secret-bewerking uitgevoerd voor een kluis om het toegewezen beleid te wijzigen, gevolgd door een of meer Get Secret-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal en is meestal gekoppeld aan het dumpen van geheimen. Dit kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft gekregen tot de sleutelkluis en geheimen probeert te detecteren die kunnen worden gebruikt om lateraal door uw netwerk te gaan en/of toegang te krijgen tot gevoelige resources. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Ongebruikelijke toegang geweigerd: gebruiker die toegang heeft tot een groot aantal sleutelkluizen geweigerd (KV_AccountVolumeAccessDeniedAnomaly) |
Een gebruiker of service-principal heeft de afgelopen 24 uur geprobeerd toegang te krijgen tot een afwijkend groot aantal sleutelkluizen. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn. Hoewel deze poging is mislukt, kan dit een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen die erin zijn opgenomen. We raden verder onderzoek aan. | Detectie | Beperkt |
| Ongebruikelijke toegang geweigerd: ongebruikelijke gebruikerstoegang tot sleutelkluis geweigerd (KV_UserAccessDeniedAnomaly) |
Toegang tot een sleutelkluis is geprobeerd door een gebruiker die er normaal gesproken geen toegang toe heeft. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn. Hoewel deze poging is mislukt, kan dit een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen die erin zijn opgenomen. | Initiële toegang, detectie | Beperkt |
| Unusual application accessed a key vault (Ongebruikelijke toepassing heeft toegang gehad tot een sleutelkluis) (KV_AppAnomaly) |
Een sleutelkluis is geopend door een service-principal die er normaal gesproken geen toegang toe heeft. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen in de sleutelkluis. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Unusual operation pattern in a key vault (Ongebruikelijk bewerkingspatroon in een sleutelkluis) (KV_OperationPatternAnomaly) |
Er is een ongebruikelijk patroon van sleutelkluisbewerkingen vastgesteld voor een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitenpatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Unusual user accessed a key vault (Ongebruikelijke gebruiker heeft toegang gekregen tot een sleutelkluis) (KV_UserAnomaly) |
Een sleutelkluis is geopend door een gebruiker die normaal gesproken de kluis niet opent. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen in de sleutelkluis. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Unusual user-application pair accessed a key vault (Ongebruikelijke combinatie van gebruiker-toepassing heeft toegang gekregen tot een sleutelkluis) (KV_UserAppAnomaly) |
Een sleutelkluis is geopend door een paar gebruikers-service-principals dat normaal gesproken geen toegang heeft tot de sleutelkluis. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot de sleutelkluis in een poging om toegang te krijgen tot de geheimen in de sleutelkluis. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| User accessed high volume of key vaults (Gebruiker heeft groot aantal sleutelkluizen geopend) (KV_AccountVolumeAnomaly) |
Een gebruiker of service-principal heeft toegang gekregen tot een ongebruikelijk groot aantal sleutelkluizen. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn, maar het kan een indicatie zijn dat een bedreigingsacteur toegang heeft verkregen tot meerdere sleutelkluizen in een poging om toegang te krijgen tot de geheimen in de kluizen. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
| Toegang geweigerd vanaf een verdacht IP-adres tot een sleutelkluis (KV_SuspiciousIPAccessDenied) |
Een mislukte toegang tot de sleutelkluis is geprobeerd door een IP-adres dat door Microsoft Threat Intelligence is geïdentificeerd als een verdacht IP-adres. Hoewel deze poging is mislukt, geeft dit aan dat uw infrastructuur mogelijk is gecompromitteerd. We raden verder onderzoek aan. | Toegang tot referenties | Beperkt |
| Ongebruikelijke toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern) (KV_UnusualAccessSuspiciousIP) |
Een gebruiker of service-principal heeft de afgelopen 24 uur geprobeerd om afwijkende toegang te krijgen tot sleutelkluizen vanaf een niet-Microsoft-IP-adres. Dit afwijkende toegangspatroon kan een legitieme activiteit zijn. Het kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen in de kluis. We raden verder onderzoek aan. | Toegang tot referenties | Normaal |
Waarschuwingen voor Azure DDoS Protection
Extra informatie en opmerkingen
| Waarschuwing | Beschrijving | MITRE-tactieken (Meer informatie) |
Ernst |
|---|---|---|---|
| DDoS Attack detected for Public IP (DDoS-aanval gedetecteerd voor openbaar IP-adres) (NETWORK_DDOS_DETECTED) |
Er is een DDoS-aanval op een openbaar IP-adres gedetecteerd en beperkt. | Scannen | Hoog |
| DDoS Attack mitigated for Public IP (DDoS-aanval beperkt voor openbaar IP-adres) (NETWORK_DDOS_MITIGATED) |
Er is een DDoS-aanval beperkt voor een openbaar IP-adres. | Scannen | Beperkt |
MITRE ATT&CK-tactieken
Inzicht in de intentie of de bedoeling van een aanval kan helpen om het onderzoeken en rapporteren van de gebeurtenis te vereenvoudigen. Om u hierbij te helpen, bevatten Microsoft Defender voor cloudwaarschuwingen de MITRE-tactieken met veel waarschuwingen.
De reeks stappen die de voortgang beschrijft van een cyberaanval van verkenning tot gegevensexfiltratie wordt vaak een 'killchain' genoemd.
De ondersteunde kill chain-intenties van Defender for Cloud zijn gebaseerd op versie 9 van de MITRE ATT&CK-matrix en worden beschreven in de onderstaande tabel.
| Tactiek | ATT&CK-versie | Beschrijving |
|---|---|---|
| PreAttack (Voorbereiding) | PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende intentie, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voordat deze wordt misbruikt. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een ingangspunt te identificeren. | |
| Initiële toegang | V7, V9 | Initiële toegang is de fase waarin een aanvaller voet aan de grond krijgt op de aangevallen resource. Deze fase is relevant voor compute-hosts en resources zoals gebruikersaccounts, certificaten, enzovoort. Bedreigingsactoren hebben na deze fase vaak controle over de resource. |
| Persistentie | V7, V9 | Persistentie (Persistence in de matrix) is elke wijziging van toegang, actie of configuratie van een systeem waarmee een bedreigingsactor een permanente of persistente aanwezigheid kan verkrijgen in dat systeem. Het is belangrijk voor bedreigingsactoren dat ze ook na onderbrekingen toegang houden tot het aangevallen systeem. Voorbeelden van dergelijke onderbrekingen zijn het opnieuw opstarten van het systeem, verlies van referenties of andere fouten waardoor een tool voor externe toegang opnieuw moet worden gestart of een alternatieve achterdeur moet worden gevonden om de toegang te herstellen. |
| Escalatie van bevoegdheden | V7, V9 | Het verhogen of escaleren van bevoegdheden is het resultaat van acties waarmee een indringer de beschikking krijgt over een hoger machtigingsniveau op een systeem of in een netwerk. Bepaalde tools of acties vereisen een hoger bevoegdheidsniveau en zijn waarschijnlijk op verschillende punten tijdens een bewerking noodzakelijk. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of voor het uitvoeren van specifieke functies die nodig zijn voor indringers om hun doelstelling te verwezenlijken, kunnen ook worden beschouwd als een escalatie van bevoegdheden. |
| Defensieontduiking | V7, V9 | Hier gaat het om technieken die een indringer kan gebruiken om detectie te voorkomen of andere verdedigingsmechanismen te vermijden. Soms zijn deze acties hetzelfde als (of variaties van) technieken in andere categorieën met het toegevoegde voordeel van het ondermijnen van een bepaalde verdediging of beperking. |
| Toegang tot referenties | V7, V9 | Toegang tot referenties bestaat uit technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt binnen een bedrijfsomgeving. Indringers zullen waarschijnlijk proberen om geldige referenties te verkrijgen van gebruikers of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik binnen het netwerk. Als een indringer voldoende toegang heeft binnen een netwerk, kan hij of zij accounts maken voor later gebruik binnen de omgeving. |
| Discovery (Detectie) | V7, V9 | Detectie bestaat uit technieken waarmee de indringer kennis kan verkrijgen over het systeem en het interne netwerk. Wanneer indringers toegang hebben tot een nieuw systeem, moeten ze vaststellen waarover ze nu controle hebben en wat ze kunnen inzetten van dat systeem om hun huidige doelstelling of algemene doelstellingen van de aanval te realiseren. Het besturingssysteem biedt verschillende ingebouwde programma's die kunnen helpen bij deze fase van het verzamelen van gegevens na de overname van het systeem. |
| Lateral Movement (Zijdelingse verplaatsing) | V7, V9 | Zijdelingse verplaatsing bestaat uit technieken die een indringer in staat stellen om externe systemen in een netwerk over te nemen en te beheren, maar dit hoeft niet noodzakelijkerwijs het uitvoeren van tools op externe systemen te omvatten. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen om informatie van een systeem te verzamelen zonder dat er meer hulpprogramma's nodig zijn, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan voor veel doeleinden laterale verplaatsing gebruiken, waaronder externe uitvoering van hulpprogramma's, draaien naar meer systemen, toegang tot specifieke informatie of bestanden, toegang tot meer referenties of om een effect te veroorzaken. |
| Uitvoering | V7, V9 | De uitvoeringstactiek bestaat uit technieken die leiden tot het uitvoeren van door de indringer beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse verplaatsing om toegang uit te breiden tot externe systemen in een netwerk. |
| Verzameling | V7, V9 | Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, op een doelnetwerk voorafgaand aan exfiltratie. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren. |
| Opdracht en beheer | V7, V9 | De Command and Control-tactiek laat zien hoe indringers communiceren met systemen in hun beheer in een doelnetwerk. |
| Exfiltration (Exfiltratie) | V7, V9 | Exfiltratie verwijst naar technieken en kenmerken die leiden tot of helpen bij het verwijderen door de indringer van bestanden en informatie vanuit een doelnetwerk. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren. |
| Impact | V7, V9 | Gebeurtenissen uit deze categorie proberen hoofdzakelijk de beschikbaarheid of integriteit van een systeem, service of netwerk te verminderen, waaronder de manipulatie van gegevens om een bedrijfs- of operationeel proces te beïnvloeden. Dit gebeurt vaak met technieken zoals ransomware, beschadiging en gegevensmanipulatie. |
Notitie
Voor waarschuwingen in preview: de aanvullende voorwaarden voor Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Waarschuwingen van Defender voor Servers afgeschaft
De volgende tabellen bevatten de beveiligingswaarschuwingen van Defender voor Servers die in april 2023 zijn afgeschaft vanwege een verbeteringsproces.
Afgeschafte Linux-waarschuwingen
| Waarschuwingstype | Weergavenaam van waarschuwing | Ernst |
|---|---|---|
| VM_AbnormalDaemonTermination | Abnormal Termination (Abnormale beëindiging) | Beperkt |
| VM_BinaryGeneratedFromCommandLine | Verdacht binair bestand gedetecteerd | Normaal |
| VM_CommandlineSuspectDomain verdacht | domeinnaamreferentie | Beperkt |
| VM_CommonBot | Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd) | Normaal |
| VM_CompCommonBots | Opdrachten die vergelijkbaar zijn met veelvoorkomende Linux-bots gedetecteerd | Normaal |
| VM_CompSuspiciousScript | Shell-script gedetecteerd | Normaal |
| VM_CompTestRule | Waarschuwing voor samengestelde analysetest | Beperkt |
| VM_CronJobAccess | Manipulatie van geplande taken gedetecteerd | Informatief |
| VM_CryptoCoinMinerArtifacts | Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd) | Normaal |
| VM_CryptoCoinMinerDownload | Mogelijke Cryptocoinminer-download gedetecteerd | Normaal |
| VM_CryptoCoinMinerExecution | Potentiële crypto munt miner gestart | Normaal |
| VM_DataEgressArtifacts | Mogelijke gegevensexfiltratie gedetecteerd | Normaal |
| VM_DigitalCurrencyMining | Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) | Hoog |
| VM_DownloadAndRunCombo | Verdachte activiteit downloaden en vervolgens uitvoeren | Normaal |
| VM_EICAR | Microsoft Defender for Cloud-testwaarschuwing (geen bedreiging) | Hoog |
| VM_ExecuteHiddenFile | Uitvoering van verborgen bestand | Informatief |
| VM_ExploitAttempt | Mogelijke poging tot misbruik van de opdrachtregel | Normaal |
| VM_ExposedDocker | Beschikbaar gemaakte Docker-daemon op TCP-socket | Normaal |
| VM_FairwareMalware | Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) | Normaal |
| VM_FirewallDisabled | Manipulation of host firewall detected (Manipulatie van hostfirewall gedetecteerd) | Normaal |
| VM_HadoopYarnExploit | Possible exploitation of Hadoop Yarn (Mogelijke exploitatie van Hadoop Yarn) | Normaal |
| VM_HistoryFileCleared | Een geschiedenisbestand is gewist | Normaal |
| VM_KnownLinuxAttackTool | Possible attack tool detected (Mogelijk programma voor aanvallen gedetecteerd) | Normaal |
| VM_KnownLinuxCredentialAccessTool | Possible credential access tool detected (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd) | Normaal |
| VM_KnownLinuxDDoSToolkit | Indicators associated with DDOS toolkit detected (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd) | Normaal |
| VM_KnownLinuxScreenshotTool | Schermopname gemaakt op host | Beperkt |
| VM_LinuxBackdoorArtifact | Mogelijke achterdeur gedetecteerd | Normaal |
| VM_LinuxReconnaissance | Local host reconnaissance detected (Verkenning van lokale host gedetecteerd) | Normaal |
| VM_MismatchedScriptFeatures | Script extension mismatch detected (Niet-overeenkomende scriptextensies gedetecteerd) | Normaal |
| VM_MitreCalderaTools | MITRE Caldera agent detected (MITRE Caldera-agent gedetecteerd) | Normaal |
| VM_NewSingleUserModeStartupScript | Persistentiepoging gedetecteerd | Normaal |
| VM_NewSudoerAccount | Account toegevoegd aan sudo-groep | Beperkt |
| VM_OverridingCommonFiles | Potential overriding of common files (Mogelijke overschrijving van veelvoorkomende bestanden) | Normaal |
| VM_PrivilegedContainerArtifacts | Container die wordt uitgevoerd in bevoegde modus | Beperkt |
| VM_PrivilegedExecutionInContainer | Opdracht in een container die wordt uitgevoerd met hoge bevoegdheden | Beperkt |
| VM_ReadingHistoryFile | Ongebruikelijke toegang tot bash-geschiedenisbestand | Informatief |
| VM_ReverseShell | Potential reverse shell detected (Mogelijke reverse shell gedetecteerd) | Normaal |
| VM_SshKeyAccess | Process seen accessing the SSH authorized keys file in an unusual way (Proces heeft op een ongebruikelijke manier toegang tot bestand met SSH-geautoriseerde sleutels) | Beperkt |
| VM_SshKeyAddition | New SSH key added (Nieuwe SSH-sleutel toegevoegd) | Beperkt |
| VM_SuspectCompilation | Suspicious compilation detected (Verdachte compilatie gedetecteerd) | Normaal |
| VM_SuspectConnection | Er is een ongebruikelijke verbindingspoging gedetecteerd | Normaal |
| VM_SuspectDownload | Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software) | Normaal |
| VM_SuspectDownloadArtifacts | Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd) | Beperkt |
| VM_SuspectExecutablePath | Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie) | Normaal |
| VM_SuspectHtaccessFileAccess | Access of htaccess file detected (Toegang tot htaccess-bestand gedetecteerd) | Normaal |
| VM_SuspectInitialShellCommand | Suspicious first command in shell (Verdachte eerste opdracht in shell) | Beperkt |
| VM_SuspectMixedCaseText | Er is een afwijkende combinatie van hoofdletters en kleine letters op de opdrachtregel gedetecteerd | Normaal |
| VM_SuspectNetworkConnection | Verdachte netwerkverbinding | Informatief |
| VM_SuspectNohup | Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) | Normaal |
| VM_SuspectPasswordChange | Mogelijke wachtwoordwijziging met behulp van crypt-methode gedetecteerd | Normaal |
| VM_SuspectPasswordFileAccess | Suspicious password access (Verdachte wachtwoordtoegang) | Informatief |
| VM_SuspectPhp | Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd) | Normaal |
| VM_SuspectPortForwarding | Potential port forwarding to external IP address (Mogelijke poortomleiding naar extern IP-adres) | Normaal |
| VM_SuspectProcessAccountPrivilegeCombo | Het proces dat wordt uitgevoerd in een serviceaccount is onverwacht hoofdmap geworden | Normaal |
| VM_SuspectProcessTermination | Security-related process termination detected (Beëindiging van proces gerelateerd aan beveiliging gedetecteerd) | Beperkt |
| VM_SuspectUserAddition | Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) | Normaal |
| VM_SuspiciousCommandLineExecution | Suspicious command execution (Uitvoering van verdachte opdracht) | Hoog |
| VM_SuspiciousDNSOverHttps | Verdacht gebruik van DNS via HTTPS | Normaal |
| VM_SystemLogRemoval | Possible Log Tampering Activity Detected (Mogelijke manipulatie van logboek gedetecteerd) | Normaal |
| VM_ThreatIntelCommandLineSuspectDomain | Er is een mogelijke verbinding met schadelijke locatie gedetecteerd | Normaal |
| VM_ThreatIntelSuspectLogon | A logon from a malicious IP has been detected (Er is een aanmelding met een schadelijk IP-adres gedetecteerd) | Hoog |
| VM_TimerServiceDisabled | Attempt to stop apt-daily-upgrade.timer service detected (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd) | Informatief |
| VM_TimestampTampering | Suspicious file timestamp modification (Verdachte wijziging van tijdstempel van bestand) | Beperkt |
| VM_Webshell | Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd) | Normaal |
Afgeschafte Windows-waarschuwingen
| Waarschuwingstype | Weergavenaam van waarschuwing | Ernst |
|---|---|---|
| SCUBA_MULTIPLEACCOUNTCREATE | Verdacht maken van accounts op meerdere hosts | Normaal |
| SCUBA_PSINSIGHT_CONTEXT | Verdacht gebruik van PowerShell gedetecteerd | Informatief |
| SCUBA_RULE_AddGuestToAdministrators | Addition of Guest account to Local Administrators group (Toevoeging van gastaccount aan lokale beheerdersgroep) | Normaal |
| SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | Normaal |
| SCUBA_RULE_KnownBruteForcingTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_KnownCollectionTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_KnownDefenseEvasionTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_KnownExecutionTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_KnownPassTheHashTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_KnownSpammingTools | Verdachte processen uitgevoerd | Normaal |
| SCUBA_RULE_Lowering_Security_Settings | Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd) | Normaal |
| SCUBA_RULE_OtherKnownHackerTools | Verdachte processen uitgevoerd | Hoog |
| SCUBA_RULE_RDP_session_hijacking_via_tscon | Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname) | Normaal |
| SCUBA_RULE_RDP_session_hijacking_via_tscon_service | Suspect service installation (Verdachte service-installatie) | Normaal |
| SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | Detected suppression of legal notice displayed to users at logon (Er is gedetecteerd dat de weergave van een juridische kennisgeving aan gebruikers is onderdrukt tijdens aanmelding) | Beperkt |
| SCUBA_RULE_WDigest_Enabling | Detected enabling of the WDigest UseLogonCredential registry key (Inschakelen van registersleutel WDigest UseLogonCredential gedetecteerd) | Normaal |
| VM.Windows_ApplockerBypass | Potential attempt to bypass AppLocker detected (Potentiële poging gedetecteerd om AppLocker te negeren) | Hoog |
| VM.Windows_BariumKnownSuspiciousProcessExecution | Detected suspicious file creation (Maken van verdacht bestand gedetecteerd) | Hoog |
| VM.Windows_Base64EncodedExecutableInCommandLineParams | Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel) | Hoog |
| VM.Windows_CalcsCommandLineUse | Detected suspicious use of Cacls to lower the security state of the system (Verdacht gebruik van Cacls gedetecteerd om de beveiligingsstatus van het systeem te verlagen) | Normaal |
| VM.Windows_CommandLineStartingAllExe | Verdachte opdrachtregel gedetecteerd die wordt gebruikt om alle uitvoerbare bestanden in een map te starten | Normaal |
| VM.Windows_DisablingAndDeletingIISLogFiles | Detected actions indicative of disabling and deleting IIS log files (Acties gedetecteerd die wijzen op uitschakelen en verwijderen van IIS-logboekbestanden) | Normaal |
| VM.Windows_DownloadUsingCertutil | Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd) | Normaal |
| VM.Windows_EchoOverPipeOnLocalhost | Detected suspicious named pipe communications (Verdachte communicatie met named pipe gedetecteerd) | Hoog |
| VM.Windows_EchoToConstructPowerShellScript | Dynamische PowerShell-scriptconstructie | Normaal |
| VM.Windows_ExecutableDecodedUsingCertutil | Detected decoding of an executable using built-in certutil.exe tool (Decodering gedetecteerd van een uitvoerbaar bestand met de tool certutil.exe) | Normaal |
| VM.Windows_FileDeletionIsSospisiousLocation | Verdachte bestandsverwijdering gedetecteerd | Normaal |
| VM.Windows_KerberosGoldenTicketAttack | Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen) | Normaal |
| VM.Windows_KeygenToolKnownProcessName | Mogelijke uitvoering van uitvoerbare keygen gedetecteerd Verdacht proces uitgevoerd | Normaal |
| VM.Windows_KnownCredentialAccessTools | Verdachte processen uitgevoerd | Hoog |
| VM.Windows_KnownSuspiciousPowerShellScript | Verdacht gebruik van PowerShell gedetecteerd | Hoog |
| VM.Windows_KnownSuspiciousSoftwareInstallation | High risk software detected (Software met hoog risico gedetecteerd) | Normaal |
| VM.Windows_MsHtaAndPowerShellCombination | Detected suspicious combination of HTA and PowerShell (Verdachte combinatie van HTA en PowerShell gedetecteerd) | Normaal |
| VM.Windows_MultipleAccountsQuery | Multiple Domain Accounts Queried (Query's op meerdere domeinaccounts uitgevoerd) | Normaal |
| VM.Windows_NewAccountCreation | Account maken gedetecteerd | Informatief |
| VM.Windows_ObfuscatedCommandLine | Verborgen opdrachtregel gedetecteerd. | Hoog |
| VM.Windows_PcaluaUseToLaunchExecutable | Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten) | Normaal |
| VM.Windows_PetyaRansomware | Er zijn indicatoren van Petya-ransomware gedetecteerd | Hoog |
| VM.Windows_PowerShellPowerSploitScriptExecution | Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd) | Normaal |
| VM.Windows_RansomwareIndication | Ransomware indicators detected (Indicatoren van ransomware gedetecteerd) | Hoog |
| VM.Windows_SqlDumperUsedSuspiciously | Possible credential dumping detected [seen multiple times] (Mogelijke dumping van referenties gedetecteerd [meerdere malen gezien]) | Normaal |
| VM.Windows_StopCriticalServices | Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd) | Normaal |
| VM.Windows_SubvertingAccessibilityBinary | Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd) Verdachte account gemaakt, gemiddeld gedetecteerd |
|
| VM.Windows_SuspiciousAccountCreation | Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd) | Normaal |
| VM.Windows_SuspiciousFirewallRuleAdded | Detected suspicious new firewall rule (Verdachte nieuwe firewallregel gedetecteerd) | Normaal |
| VM.Windows_SuspiciousFTPSSwitchUsage | Verdacht gebruik van FTP -s-switch gedetecteerd | Normaal |
| VM.Windows_SuspiciousSQLActivity | Suspicious SQL activity (Verdachte SQL-activiteit) | Normaal |
| VM.Windows_SVCHostFromInvalidPath | Verdachte processen uitgevoerd | Hoog |
| VM.Windows_SystemEventLogCleared | Het Windows-beveiliging logboek is gewist | Informatief |
| VM.Windows_TelegramInstallation | Detected potentially suspicious use of Telegram tool (Mogelijk verdacht gebruik van Telegram-tool gedetecteerd) | Normaal |
| VM.Windows_UndercoverProcess | Suspiciously named process detected (Proces met verdachte naam gedetecteerd) | Hoog |
| VM.Windows_UserAccountControlBypass | Detected change to a registry key that can be abused to bypass UAC (Er is een wijziging gedetecteerd van een registersleutel die kan worden misbruikt om UAC over te slaan) | Normaal |
| VM.Windows_VBScriptEncoding | Detected suspicious execution of VBScript.Encode command (Verdachte uitvoering gedetecteerd van VBScript.Encode-opdracht) | Normaal |
| VM.Windows_WindowPositionRegisteryChange | Suspicious WindowPosition registry value detected (Verdachte WindowPosition-registerwaarde gedetecteerd) | Beperkt |
| VM.Windows_ZincPortOpenningUsingFirewallRule | Schadelijke firewallregel gemaakt door ZINK-serverimplantaat | Hoog |
| VM_DigitalCurrencyMining | Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) | Hoog |
| VM_MaliciousSQLActivity | Malicious SQL activity (Schadelijke SQL-activiteit) | Hoog |
| VM_ProcessWithDoubleExtensionExecution | Er is een verdacht bestand met dubbele extensie uitgevoerd | Hoog |
| VM_RegistryPersistencyKey | Windows registry persistence method detected (Persistentiemethode voor Windows-register gedetecteerd) | Beperkt |
| VM_ShadowCopyDeletion | Verdachte activiteit voor Volume Shadow Copy Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie) |
Hoog |
| VM_SuspectExecutablePath | Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie) Er is een afwijkende combinatie van hoofdletters en kleine letters op de opdrachtregel gedetecteerd |
Informatief Normaal |
| VM_SuspectPhp | Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd) | Normaal |
| VM_SuspiciousCommandLineExecution | Suspicious command execution (Uitvoering van verdachte opdracht) | Hoog |
| VM_SuspiciousScreenSaverExecution | Suspicious Screensaver process executed (Verdacht proces van schermbeveiliging uitgevoerd) | Normaal |
| VM_SvcHostRunInRareServiceGroup | Rare SVCHOST service group executed (Zeldzame SVCHOST-servicegroep uitgevoerd) | Informatief |
| VM_SystemProcessInAbnormalContext | Suspicious system process executed (Verdachte systeemprocessen uitgevoerd) | Normaal |
| VM_ThreatIntelCommandLineSuspectDomain | Er is een mogelijke verbinding met schadelijke locatie gedetecteerd | Normaal |
| VM_ThreatIntelSuspectLogon | A logon from a malicious IP has been detected (Er is een aanmelding met een schadelijk IP-adres gedetecteerd) | Hoog |
| VM_VbScriptHttpObjectAllocation | VBScript HTTP object allocation detected (Toewijzing van VBScript HTTP-objecten gedetecteerd) | Hoog |
Waarschuwingen voor Defender voor API's
| Waarschuwing (waarschuwingstype) | Beschrijving | MITRE-tactieken | Ernst |
|---|---|---|---|
| (Preview) Verdachte piek op populatieniveau in API-verkeer naar een API-eindpunt (API_PopulationSpikeInAPITraffic) |
Er is een verdachte piek in API-verkeer gedetecteerd op een van de API-eindpunten. Het detectiesysteem heeft historische verkeerspatronen gebruikt om een basislijn vast te stellen voor het routinematige API-verkeersvolume tussen alle IP-adressen en het eindpunt, waarbij de basislijn specifiek is voor API-verkeer voor elke statuscode (zoals 200 Geslaagd). Het detectiesysteem heeft een ongebruikelijke afwijking van deze basislijn gemarkeerd die heeft geleid tot de detectie van verdachte activiteiten. | Impact | Normaal |
| (Preview) Verdachte piek in API-verkeer van één IP-adres naar een API-eindpunt (API_SpikeInAPITraffic) |
Er is een verdachte piek in API-verkeer gedetecteerd vanaf een client-IP naar het API-eindpunt. Het detectiesysteem heeft historische verkeerspatronen gebruikt om een basislijn vast te stellen voor routine-API-verkeervolume naar het eindpunt dat afkomstig is van een specifiek IP-adres naar het eindpunt. Het detectiesysteem heeft een ongebruikelijke afwijking van deze basislijn gemarkeerd die heeft geleid tot de detectie van verdachte activiteiten. | Impact | Normaal |
| (Preview) Ongebruikelijk grote nettolading van reacties verzonden tussen één IP-adres en een API-eindpunt (API_SpikeInPayload) |
Er is een verdachte piek in de nettoladinggrootte van API-antwoorden waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de typische nettoladinggrootte van api-antwoorden vertegenwoordigt tussen een specifiek IP-adres en API-eindpunt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat de nettoladinggrootte van een API-antwoord aanzienlijk afwijkt van de historische basislijn. | Initial Access | Normaal |
| (Preview) Ongebruikelijk grote aanvraagbody verzonden tussen één IP-adres en een API-eindpunt (API_SpikeInPayload) |
Er is een verdachte piek in de grootte van de API-aanvraagbody waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de typische grootte van de API-aanvraagbody vertegenwoordigt tussen een specifiek IP-adres en API-eindpunt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat de grootte van een API-aanvraag aanzienlijk afwijkt van de historische basislijn. | Initial Access | Normaal |
| (Preview) Verdachte piek in latentie voor verkeer tussen één IP-adres en een API-eindpunt (API_SpikeInLatency) |
Er is een verdachte piek in de latentie waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de routine-LATENtie van API-verkeer tussen een specifiek IP- en API-eindpunt vertegenwoordigt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat de latentie van een API-aanroep aanzienlijk afwijkt van de historische basislijn. | Initial Access | Normaal |
| (Preview) API-aanvragen spuiten van één IP-adres naar een ongebruikelijk groot aantal afzonderlijke API-eindpunten (API_SprayInRequests) |
Eén IP-adres heeft API-aanroepen naar een ongebruikelijk groot aantal afzonderlijke eindpunten gemaakt. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defenders voor API's een basislijn die het typische aantal afzonderlijke eindpunten vertegenwoordigt dat wordt aangeroepen door één IP-adres in vensters van 20 minuten. De waarschuwing is geactiveerd omdat het gedrag van één IP-adres aanzienlijk afwijkt van de historische basislijn. | Detectie | Normaal |
| (Preview) Opsomming van parameters op een API-eindpunt (API_ParameterEnumeration) |
Er is één IP-adres waargenomen met een opsomming van parameters bij het openen van een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die het typische aantal afzonderlijke parameterwaarden vertegenwoordigt dat door één IP-adres wordt gebruikt bij het openen van dit eindpunt in vensters van 20 minuten. De waarschuwing is geactiveerd omdat één client-IP onlangs toegang heeft tot een eindpunt met behulp van een ongebruikelijk groot aantal afzonderlijke parameterwaarden. | Initial Access | Normaal |
| (Preview) Opsomming van gedistribueerde parameters op een API-eindpunt (API_DistributedParameterEnumeration) |
De geaggregeerde gebruikerspopulatie (alle IP's) is waargenomen bij het opsommen van parameters bij het openen van een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die het typische aantal afzonderlijke parameterwaarden vertegenwoordigt dat door de gebruikerspopulatie (alle IP's) wordt gebruikt bij het openen van een eindpunt in vensters van 20 minuten. De waarschuwing is geactiveerd omdat de gebruikerspopulatie onlangs toegang heeft gehad tot een eindpunt met behulp van een ongebruikelijk groot aantal afzonderlijke parameterwaarden. | Initial Access | Normaal |
| (Preview) Parameterwaarde(s) met afwijkende gegevenstypen in een API-aanroep (API_UnseenParamType) |
Er is één IP-adres waargenomen bij het openen van een van uw API-eindpunten en het gebruik van parameterwaarden van een gegevenstype met een lage waarschijnlijkheid (bijvoorbeeld tekenreeks, geheel getal, enzovoort). Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's de verwachte gegevenstypen voor elke API-parameter. De waarschuwing is geactiveerd omdat een IP onlangs toegang heeft gehad tot een eindpunt met een eerder gegevenstype met een lage waarschijnlijkheid als parameterinvoer. | Impact | Normaal |
| (Preview) Eerder niet-geziene parameter die werd gebruikt in een API-aanroep (API_UnseenParam) |
Er is één IP-adres waargenomen bij het openen van een van de API-eindpunten met behulp van een eerder ongeziene of buiten-grenzen-parameter in de aanvraag. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een set verwachte parameters die zijn gekoppeld aan aanroepen naar een eindpunt. De waarschuwing is geactiveerd omdat een IP-adres onlangs toegang heeft gehad tot een eindpunt met behulp van een eerder ongeziene parameter. | Impact | Normaal |
| (Preview) Toegang vanaf een Tor-afsluitknooppunt naar een API-eindpunt (API_AccessFromTorExitNode) |
Een IP-adres van het Tor-netwerk heeft toegang gekregen tot een van uw API-eindpunten. Tor is een netwerk waarmee mensen toegang hebben tot internet terwijl hun echte IP-adres verborgen blijft. Hoewel er legitieme toepassingen zijn, wordt het vaak gebruikt door aanvallers om hun identiteit te verbergen wanneer ze zich online richten op systemen van personen. | Vóór aanval | Normaal |
| (Preview) API-eindpunttoegang vanaf verdacht IP-adres (API_AccessFromSuspiciousIP) |
Een IP-adres dat toegang heeft tot een van uw API-eindpunten, is door Microsoft Threat Intelligence geïdentificeerd als een hoge waarschijnlijkheid dat het een bedreiging is. Tijdens het observeren van schadelijk internetverkeer, kwam dit IP-adres naar boven als betrokken bij het aanvallen van andere online doelen. | Vóór aanval | Hoog |
| (Preview) Suspicious User Agent detected (Verdachte gebruikersagent gedetecteerd) (API_AccessFromSuspiciousUserAgent) |
De gebruikersagent van een aanvraag voor toegang tot een van uw API-eindpunten bevat afwijkende waarden die duiden op een poging tot het uitvoeren van externe code. Dit betekent niet dat een van uw API-eindpunten is geschonden, maar het suggereert wel dat er een poging tot aanval wordt uitgevoerd. | Uitvoering | Normaal |