Waarschuwingen voor Resource Manager
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u voor Resource Manager kunt krijgen van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Resource Manager-waarschuwingen
Notitie
Waarschuwingen met een indicatie voor gedelegeerde toegang worden geactiveerd vanwege activiteiten van externe serviceproviders. meer informatie over activiteitsindicaties van serviceproviders.
Extra informatie en opmerkingen
Azure Resource Manager-bewerking vanaf verdacht IP-adres
(ARM_OperationFromSuspiciousIP)
Beschrijving: Microsoft Defender voor Resource Manager heeft een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Azure Resource Manager-bewerking vanaf verdacht IP-adres van proxy
(ARM_OperationFromSuspiciousProxyIP)
Beschrijving: Microsoft Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
MicroBurst-exploitatietoolkit gebruikt om resources in uw abonnementen op te sommen
(ARM_MicroBurst.AzDomainInfo)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het uitvoeren van een bewerking voor het verzamelen van gegevens om resources, machtigingen en netwerkstructuren te detecteren. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om informatie te verzamelen voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
Ernst: Laag
MicroBurst-exploitatietoolkit gebruikt om resources in uw abonnementen op te sommen
(ARM_MicroBurst.AzureDomainInfo)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het uitvoeren van een bewerking voor het verzamelen van gegevens om resources, machtigingen en netwerkstructuren te detecteren. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om informatie te verzamelen voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
Ernst: Laag
MicroBurst-exploitatietoolkit gebruikt om code uit te voeren op uw virtuele machine
(ARM_MicroBurst.AzVMBulkCMD)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het uitvoeren van code op een VIRTUELE machine of een lijst met VM's. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om een script uit te voeren op een VIRTUELE machine voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
MITRE-tactiek: uitvoering
Ernst: Hoog
MicroBurst-exploitatietoolkit gebruikt om code uit te voeren op uw virtuele machine
(RM_MicroBurst.AzureRmVMBulkCMD)
Beschrijving: MicroBurst's exploitatietoolkit is gebruikt om code uit te voeren op uw virtuele machines. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
MicroBurst-exploitatietoolkit gebruikt om sleutels uit uw Azure-sleutelkluizen te extraheren
(ARM_MicroBurst.AzKeyVaultKeysREST)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het extraheren van sleutels uit een Azure Key Vault(s). Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om sleutels weer te geven en te gebruiken om toegang te krijgen tot gevoelige gegevens of zijdelingse verplaatsingen uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
Ernst: Hoog
MicroBurst-exploitatietoolkit gebruikt voor het extraheren van sleutels naar uw opslagaccounts
(ARM_MicroBurst.AZStorageKeysREST)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd van het extraheren van sleutels naar opslagaccounts. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om sleutels weer te geven en te gebruiken voor toegang tot gevoelige gegevens in uw opslagaccount(s). Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
MITRE-tactieken: Verzameling
Ernst: Hoog
MicroBurst-exploitatietoolkit gebruikt voor het extraheren van geheimen uit uw Azure-sleutelkluizen
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het extraheren van geheimen uit een Azure Key Vault(s). Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om geheimen weer te geven en te gebruiken om toegang te krijgen tot gevoelige gegevens of laterale verplaatsingen uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
Ernst: Hoog
PowerZure-exploitatietoolkit die wordt gebruikt om de toegang van Azure AD naar Azure te verhogen
(ARM_PowerZure.AzureElevatedPrivileges)
Beschrijving: PowerZure-exploitatietoolkit is gebruikt om de toegang van AzureAD naar Azure te verhogen. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw tenant.
Ernst: Hoog
PowerZure-exploitatietoolkit gebruikt om resources op te sommen
(ARM_PowerZure.GetAzureTargets)
Beschrijving: PowerZure-exploitatietoolkit is gebruikt om resources op te sommen namens een legitiem gebruikersaccount in uw organisatie. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
MITRE-tactieken: Verzameling
Ernst: Hoog
PowerZure-exploitatietoolkit die wordt gebruikt om opslagcontainers, shares en tabellen op te sommen
(ARM_PowerZure.ShowStorageContent)
Beschrijving: PowerZure-exploitatietoolkit is gebruikt om opslagshares, tabellen en containers op te sommen. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
PowerZure-exploitatietoolkit gebruikt om een Runbook uit te voeren in uw abonnement
(ARM_PowerZure.StartRunbook)
Beschrijving: PowerZure-exploitatietoolkit is gebruikt om een Runbook uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
PowerZure-exploitatietoolkit gebruikt om runbooks-inhoud te extraheren
(ARM_PowerZure.AzureRunbookContent)
Beschrijving: PowerZure-exploitatietoolkit is gebruikt om Runbook-inhoud te extraheren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
MITRE-tactieken: Verzameling
Ernst: Hoog
PREVIEW - Azurite toolkit run detected (PREVIEW: uitvoering van Azurite-toolkit gedetecteerd)
(ARM_Azurite)
Beschrijving: Er is een bekende verkenningstoolkit voor de cloudomgeving gedetecteerd in uw omgeving. De toolkit Azurite kan door een aanvaller (of penetratietester) worden gebruikt om de resources van uw abonnementen toe te wijzen en onveilige configuraties te identificeren.
MITRE-tactieken: Verzameling
Ernst: Hoog
PREVIEW: verdachte creatie van rekenresources gedetecteerd
(ARM_SuspiciousComputeCreation)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte creatie van rekenresources in uw abonnement geïdentificeerd met behulp van virtuele machines/Azure-schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om cryptoanalyse uit te voeren. De activiteit wordt verdacht geacht omdat de schaal van rekenresources hoger is dan eerder in het abonnement is waargenomen. Dit kan erop wijzen dat de principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Impact
Ernst: gemiddeld
PREVIEW - Verdachte herstel van key vault gedetecteerd
(Arm_Suspicious_Vault_Recovering)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte herstelbewerking gedetecteerd voor een voorlopig verwijderde sleutelkluisresource. De gebruiker die de resource herstelt, verschilt van de gebruiker die deze heeft verwijderd. Dit is zeer verdacht omdat de gebruiker zelden een dergelijke bewerking aanroept. Bovendien heeft de gebruiker zich aangemeld zonder meervoudige verificatie (MFA). Dit kan erop wijzen dat de gebruiker is gecompromitteerd en probeert geheimen en sleutels te detecteren om toegang te krijgen tot gevoelige resources of om laterale verplaatsingen uit te voeren in uw netwerk.
MITRE-tactiek: Laterale beweging
Ernst: gemiddeld/hoog
PREVIEW - Suspicious management session using an inactive account detected (PREVIEW: verdachte beheersessie met een inactieve account gedetecteerd)
(ARM_UnusedAccountPersistence)
Beschrijving: Analyse van abonnementsactiviteitenlogboeken heeft verdacht gedrag gedetecteerd. Een principal die gedurende een lange periode niet wordt gebruikt, voert nu acties uit waarmee persistentie kan worden verkregen voor een aanvaller.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een bewerking met een hoog risico 'Referentietoegang' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.CredentialAccess)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: toegang tot referenties
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een bewerking met een hoog risico 'Gegevensverzameling' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.Collection)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Verzameling
Ernst: gemiddeld
PREVIEW - Verdachte aanroep van een 'Defense Evasion'-bewerking met een hoog risico door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.DefenseEvasion)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om verdediging te omzeilen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders de beveiligingspostuur van hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat deze worden gedetecteerd terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een bewerking met een hoog risico 'Uitvoering' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.Execution)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico geïdentificeerd op een computer in uw abonnement. Dit kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Defensieuitvoering
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een 'impact'-bewerking met een hoog risico door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.Impact)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Impact
Ernst: gemiddeld
PREVIEW : verdachte aanroep van een bewerking met een hoog risico 'Initiële toegang' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.InitialAccess)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om in eerste instantie toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een high-risk 'Lateral Movement Access'-bewerking door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.LateralMovement)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om laterale verplaatsingen uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om meer resources in uw omgeving te compromitteren. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactiek: Laterale beweging
Ernst: gemiddeld
PREVIEW : verdachte aanroep van een bewerking met een hoog risico 'persistentie' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.Persistentie)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om persistentie tot stand te brengen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
PREVIEW: verdachte aanroep van een bewerking met een hoog risico 'Escalatie van bevoegdheden' door een service-principal gedetecteerd
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat de service-principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactiek: Escalatie van bevoegdheden
Ernst: gemiddeld
PREVIEW - Suspicious management session using an inactive account detected (PREVIEW: verdachte beheersessie met een inactieve account gedetecteerd)
(ARM_UnusedAccountPersistence)
Beschrijving: Analyse van abonnementsactiviteitenlogboeken heeft verdacht gedrag gedetecteerd. Een principal die gedurende een lange periode niet wordt gebruikt, voert nu acties uit waarmee persistentie kan worden verkregen voor een aanvaller.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
PREVIEW - Suspicious management session using PowerShell detected (PREVIEW: verdachte beheersessie met PowerShell gedetecteerd)
(ARM_UnusedAppPowershellPersistence)
Beschrijving: Analyse van abonnementsactiviteitenlogboeken heeft verdacht gedrag gedetecteerd. Een principal die niet regelmatig gebruikmaakt van PowerShell voor het beheren van de abonnementsomgeving maakt nu wel gebruik van PowerShell en voert acties uit waarmee persistentie kan worden verkregen voor een aanvaller.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
PREVIEW-sessie voor verdacht beheer met behulp van Azure Portal gedetecteerd
(ARM_UnusedAppIbizaPersistence)
Beschrijving: Analyse van de activiteitenlogboeken van uw abonnement heeft een verdacht gedrag gedetecteerd. Een principal die de Azure-portal (Ibiza) niet regelmatig gebruikt voor het beheren van de abonnementsomgeving (heeft de Azure-portal de afgelopen 45 dagen niet gebruikt voor beheertaken voor het beheren of heeft geen abonnement dat actief wordt beheerd), gebruikt nu de Azure-portal en voert acties uit waarmee persistentie voor een aanvaller kan worden verkregen.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
Bevoorrechte aangepaste rol gemaakt voor uw abonnement op een verdachte manier (preview)
(ARM_PrivilegedRoleDefinitionCreation)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte definitie van aangepaste rollen gedetecteerd in uw abonnement. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur probeert een bevoorrechte rol te maken die in de toekomst moet worden gebruikt om detectie te omzeilen.
MITRE-tactieken: Escalatie van bevoegdheden, defensieontduiking
Ernst: informatie
Verdachte Azure-roltoewijzing gedetecteerd (preview)
(ARM_AnomalousRBACRoleAssignment)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte Azure-roltoewijzing /uitgevoerd met PIM (Privileged Identity Management) in uw tenant geïdentificeerd. Dit kan erop wijzen dat een account in uw organisatie is aangetast. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders principals toegang kunnen verlenen tot Azure-resources. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur roltoewijzing gebruiken om hun machtigingen te escaleren, zodat ze hun aanval kunnen bevorderen.
MITRE-tactieken: laterale beweging, verdedigingsontduiking
Ernst: Laag (PIM) / Hoog
Suspicious invocation of a high-risk 'Credential Access' operation detected (preview)
(ARM_AnomalousOperation.CredentialAccess)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Data Collection' operation detected (preview)
(ARM_AnomalousOperation.Collection)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Verzameling
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (preview)
(ARM_AnomalousOperation.DefenseEvasion)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om verdediging te omzeilen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders de beveiligingspostuur van hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat deze worden gedetecteerd terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Execution' operation detected (preview)
(ARM_AnomalousOperation.Execution)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico geïdentificeerd op een computer in uw abonnement. Dit kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactiek: uitvoering
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Impact' operation detected (preview)
(ARM_AnomalousOperation.Impact)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Impact
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Initial Access' operation detected (preview)
(ARM_AnomalousOperation.InitialAccess)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om in eerste instantie toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Initiële toegang
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (preview)
(ARM_AnomalousOperation.LateralMovement)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om laterale verplaatsingen uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om meer resources in uw omgeving te compromitteren. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Laterale beweging
Ernst: gemiddeld
Verdachte toegangsbewerking verhogen (preview)(ARM_AnomalousElevateAccess)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte bewerking 'Toegang verhogen' geïdentificeerd. De activiteit wordt verdacht geacht, omdat deze principal dergelijke bewerkingen zelden aanroept. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur een bewerking 'Toegang verhogen' gebruiken om escalatie van bevoegdheden uit te voeren voor een aangetaste gebruiker.
MITRE-tactieken: Escalatie van bevoegdheden
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Persistence' operation detected (preview)
(ARM_AnomalousOperation.Persistentie)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om persistentie tot stand te brengen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Persistentie
Ernst: gemiddeld
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (preview)
(ARM_AnomalousOperation.PrivilegeEscalation)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen.
MITRE-tactieken: Escalatie van bevoegdheden
Ernst: gemiddeld
Gebruik van MicroBurst-exploitatietoolkit voor het uitvoeren van een willekeurige code of het exfiltreren van azure Automation-accountreferenties
(ARM_MicroBurst.RunCodeOnBehalf)
Beschrijving: Er is een PowerShell-script uitgevoerd in uw abonnement en een verdacht patroon uitgevoerd voor het uitvoeren van een willekeurige code of het exfiltreren van azure Automation-accountreferenties. Bedreigingsactoren gebruiken geautomatiseerde scripts, zoals MicroBurst, om willekeurige code uit te voeren voor schadelijke activiteiten. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Deze bewerking kan erop wijzen dat een identiteit in uw organisatie is geschonden en dat de bedreigingsacteur uw omgeving probeert te becompromitteren voor kwaadwillende bedoelingen.
MITRE-tactieken: Persistentie, Referentietoegang
Ernst: Hoog
Gebruik van NetSPI-technieken om persistentie in uw Azure-omgeving te behouden
(ARM_NetSPI.MaintainPersistence)
Beschrijving: Gebruik van netSPI-persistentietechniek voor het maken van een webhook-backdoor en het onderhouden van persistentie in uw Azure-omgeving. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
Gebruik van PowerZure-exploitatietoolkit voor het uitvoeren van willekeurige code of het exfiltreren van azure Automation-accountreferenties
(ARM_PowerZure.RunCodeOnBehalf)
Beschrijving: PowerZure-exploitatietoolkit heeft gedetecteerd dat er code wordt uitgevoerd of referenties van het Azure Automation-account exfiltreren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
Gebruik van de PowerZure-functie om persistentie in uw Azure-omgeving te behouden
(ARM_PowerZure. MaintainPersistence)
Beschrijving: PowerZure-exploitatietoolkit heeft gedetecteerd dat er een webhook-backdoor wordt gemaakt om persistentie in uw Azure-omgeving te behouden. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Ernst: Hoog
Verdachte klassieke roltoewijzing gedetecteerd (preview)
(ARM_AnomalousClassicRoleAssignment)
Beschrijving: Microsoft Defender voor Resource Manager heeft een verdachte klassieke roltoewijzing in uw tenant geïdentificeerd. Dit kan erop duiden dat een account in uw organisatie is aangetast. De geïdentificeerde bewerkingen zijn ontworpen om achterwaartse compatibiliteit te bieden met klassieke rollen die niet meer worden gebruikt. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur een dergelijke toewijzing gebruiken om machtigingen te verlenen aan een ander gebruikersaccount onder hun beheer.
MITRE-tactieken: laterale beweging, verdedigingsontduiking
Ernst: Hoog
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.