Alerty zabezpieczeń — przewodnik informacyjny
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
W dolnej części tej strony znajduje się tabela opisująca łańcuch Microsoft Defender dla Chmury kill wyrównany do wersji 9 macierzy MITRE ATT&CK.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty dotyczące maszyn z systemem Windows
Usługa Microsoft Defender dla serwerów (plan 2) udostępnia unikatowe wykrycia i alerty oprócz tych udostępnianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Alerty udostępniane dla maszyn z systemem Windows to:
Wykryto logowanie ze złośliwego adresu IP. [widziane wiele razy]
Opis: Wystąpiło pomyślne zdalne uwierzytelnianie dla konta [konto] i proces [proces], jednak wcześniej zgłoszono jako złośliwy lub wysoce nietypowy adres IP logowania (x.x.x.x). Prawdopodobnie doszło do pomyślnego ataku. Pliki z rozszerzeniami scr są plikami wygaszacza ekranu i zwykle znajdują się i są wykonywane z katalogu systemowego systemu Windows.
Taktyka MITRE: -
Ważność: Wysoka
Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji
VM_AdaptiveApplicationControlWindowsViolationAudited
Opis: Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji.
Taktyka MITRE: Wykonywanie
Ważność: informacyjna
Dodawanie konta gościa do grupy Administracja istratorów lokalnych
Opis: Analiza danych hosta wykryła dodanie wbudowanego konta gościa do grupy lokalnego Administracja istratorów w witrynie %{Host naruszony zabezpieczeń}, która jest silnie skojarzona z działaniem osoby atakującej.
Taktyka MITRE: -
Ważność: średni rozmiar
Dziennik zdarzeń został wyczyszczone
Opis: Dzienniki komputera wskazują podejrzane operacje czyszczenia dziennika zdarzeń według użytkownika: "%{nazwa użytkownika}" na maszynie: "%{Naruszoneentity}". Dziennik %{log channel} został wyczyszczone.
Taktyka MITRE: -
Ważność: informacyjna
Akcja ochrony przed złośliwym kodem nie powiodła się
Opis: Program Microsoft Antimalware napotkał błąd podczas wykonywania akcji w poszukiwaniu złośliwego oprogramowania lub innego potencjalnie niechcianego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Podjęto akcję ochrony przed złośliwym kodem
Opis: Program Microsoft Antimalware dla platformy Azure podjął akcję w celu ochrony tej maszyny przed złośliwym oprogramowaniem lub innym potencjalnie niechcianym oprogramowaniem.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykluczenie szerokiego oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej
(VM_AmBroadFilesExclusion)
Opis: Na maszynie wirtualnej wykryto wykluczenie plików z rozszerzenia ochrony przed złośliwym kodem z szeroką regułą wykluczania, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie wykluczenie praktycznie wyłącza ochronę przed złośliwym kodem. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone i wykonywanie kodu na maszynie wirtualnej
(VM_AmDisablementAndCodeExecution)
Opis: Oprogramowanie chroniące przed złośliwym kodem jest wyłączone w tym samym czasie co wykonywanie kodu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące wyłączają skanery ochrony przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone na maszynie wirtualnej
(VM_AmDisablement)
Opis: Ochrona przed złośliwym kodem jest wyłączona na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmFileExclusionAndCodeExecution)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem w tym samym czasie co kod został wykonany za pośrednictwem niestandardowego rozszerzenia skryptu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusionAndCodeExecution)
Opis: Tymczasowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem równolegle do wykonywania kodu za pośrednictwem rozszerzenia niestandardowego skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusion)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została wyłączona na maszynie wirtualnej
(VM_AmRealtimeProtectionDisabled)
Opis: Wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona na maszynie wirtualnej
(VM_AmTempRealtimeProtectionDisablement)
Opis: Tymczasowe wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona podczas wykonywania kodu na maszynie wirtualnej
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Opis: Tymczasowe wyłączenie rozszerzenia ochrony przed złośliwym kodem w czasie rzeczywistym równolegle do wykonywania kodu za pomocą niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Skanowanie chroniące przed złośliwym kodem zablokowane dla plików potencjalnie związanych z kampaniami złośliwego oprogramowania na maszynie wirtualnej (wersja zapoznawcza)
(VM_AmMalwareCampaignRelatedExclusion)
Opis: Na maszynie wirtualnej wykryto regułę wykluczania, aby zapobiec skanowaniu niektórych plików, które są podejrzane o związek z kampanią złośliwego oprogramowania. Reguła została wykryta przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej
(VM_AmTemporarilyDisablement)
Opis: Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_UnusualAmFileExclusion)
Opis: Wykryto nietypowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie
Ważność: średni rozmiar
Wykryte akcje wskazujące na wyłączenie i usunięcie plików dziennika usług IIS
Opis: Analiza wykrytych akcji dotyczących danych hosta, które pokazują, że pliki dziennika usług IIS są wyłączone i/lub usunięte.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto nietypową kombinację znaków wyższej i małej litery w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wiersz polecenia z nietypową kombinacją wyższej i małej litery. Ten rodzaj wzorca, choć prawdopodobnie łagodny, jest również typowy dla osób atakujących próbujących ukryć się przed dopasowaniem reguł opartych na wielkości liter lub skrótu podczas wykonywania zadań administracyjnych na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zmianę klucza rejestru, który może być nadużywany w celu obejścia kontroli dostępu użytkownika
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że zmieniono klucz rejestru, który może być nadużywany w celu obejścia kontroli konta użytkownika. Taka konfiguracja, choć prawdopodobnie łagodna, jest również typowa dla działania osoby atakującej podczas próby przejścia z nieuprzywilejowanego (użytkownika standardowego) na uprzywilejowany (na przykład administrator) na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto dekodowanie pliku wykonywalnego przy użyciu wbudowanego narzędzia certutil.exe
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, że certutil.exe, wbudowane narzędzie administratora, było używane do dekodowania pliku wykonywalnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące nadużywają funkcjonalności wiarygodnych narzędzi administratora w celu wykonania złośliwych akcji. Mogą na przykład użyć narzędzia, takiego jak certutil.exe, do dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto włączenie klucza rejestru WDigest UseLogonCredential
Opis: Analiza danych hosta wykryła zmianę klucza rejestru HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". W szczególności ten klucz został zaktualizowany, aby umożliwić przechowywanie poświadczeń logowania w postaci zwykłego tekstu w pamięci LSA. Po włączeniu osoba atakująca może zrzucić hasła w postaci zwykłego tekstu z pamięci LSA przy użyciu narzędzi do zbierania poświadczeń, takich jak Mimikatz.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zakodowany plik wykonywalny w danych wiersza polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła plik wykonywalny zakodowany w formacie base-64. Wcześniej była ona skojarzona z osobami atakującymi próbującymi skonstruować pliki wykonywalne na bieżąco przez sekwencję poleceń i próbując uniknąć włamań systemów wykrywania, upewniając się, że żadne pojedyncze polecenie nie wyzwoli alertu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto zaciemniony wiersz polecenia
Opis: Osoby atakujące używają coraz bardziej złożonych technik zaciemniania w celu uniknięcia wykryć, które są uruchamiane względem danych bazowych. Analiza danych hosta w elemencie %{Host z naruszeniem zabezpieczeń} wykryła podejrzane wskaźniki zaciemnienia w wierszu polecenia.
Taktyka MITRE: -
Ważność: informacyjna
Wykryto możliwe wykonanie pliku wykonywalnego keygen
Opis: Analiza danych hosta na serwerze %{Host naruszony} wykryła wykonanie procesu, którego nazwa wskazuje na narzędzie keygen. Takie narzędzia są zwykle używane do pokonania mechanizmów licencjonowania oprogramowania, ale ich pobieranie jest często powiązane z innym złośliwym oprogramowaniem. Grupa działań GOLD była znana, aby wykorzystać takie keygens do potajemnie uzyskać dostęp do tylnych drzwi do hostów, których złamają.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe wykonanie porzuconego złośliwego oprogramowania
Opis: Analiza danych hosta na hoście %{Naruszone bezpieczeństwo} wykryła nazwę pliku, która została wcześniej skojarzona z jedną z metod grupy działań GOLD instalowania złośliwego oprogramowania na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto możliwe lokalne działanie rekonesansu
Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD wykonywania działań rozpoznawczych. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu w sposób, w jaki wystąpił tutaj, jest rzadkie.
Taktyka MITRE: -
Ważność: Niska
Wykryto potencjalnie podejrzane użycie narzędzia Telegram
Opis: Analiza danych hosta pokazuje instalację usługi Telegram, bezpłatnej usługi obsługi wiadomości błyskawicznych opartych na chmurze, która istnieje zarówno dla systemu mobilnego, jak i klasycznego. Osoby atakujące są znane nadużyciom tej usługi w celu przeniesienia złośliwych plików binarnych na dowolny inny komputer, telefon lub tablet.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto pomijanie powiadomienia prawnego wyświetlanego użytkownikom podczas logowania
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła zmiany klucza rejestru, które określają, czy powiadomienie prawne jest wyświetlane użytkownikom podczas logowania. Analiza zabezpieczeń firmy Microsoft ustaliła, że jest to typowe działanie podejmowane przez osoby atakujące po naruszeniu zabezpieczeń hosta.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzaną kombinację funkcji HTA i programu PowerShell
Opis: mshta.exe (host aplikacji HTML firmy Microsoft), który jest podpisanym plikiem binarnym firmy Microsoft, jest używany przez osoby atakujące do uruchamiania złośliwych poleceń programu PowerShell. Osoby atakujące często uciekają się do posiadania pliku HTA z wbudowanym skryptem VBScript. Gdy ofiara przechodzi do pliku HTA i zdecyduje się go uruchomić, są wykonywane polecenia programu PowerShell i skrypty, które zawiera. Analiza danych hosta na hoście %{Naruszone bezpieczeństwo hosta} wykryła mshta.exe uruchamiania poleceń programu PowerShell.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane argumenty wiersza polecenia
Opis: Analiza danych hosta w elemencie %{Host naruszony} wykryła podejrzane argumenty wiersza polecenia, które zostały użyte w połączeniu z odwrotną powłoką używaną przez grupę działań WODOR.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzany wiersz polecenia używany do uruchamiania wszystkich plików wykonywalnych w katalogu
Opis: Analiza danych hosta wykryła podejrzany proces uruchomiony na serwerze %{Host z naruszonym naruszeniem}. Wiersz polecenia wskazuje próbę uruchomienia wszystkich plików wykonywalnych (*.exe), które mogą znajdować się w katalogu. Może to wskazywać na naruszonego hosta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane poświadczenia w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane hasło używane do wykonywania pliku przez borON grupy działań. Ta grupa działań była znana z używania tego hasła do wykonywania złośliwego oprogramowania Pirpi na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane poświadczenia dokumentu
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane, typowe wstępnie skompilowane skróty haseł używane przez złośliwe oprogramowanie używane do wykonywania pliku. Grupa działań WODOR jest znana z używania tego hasła do wykonywania złośliwego oprogramowania na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane wykonanie polecenia VBScript.Encode
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia VBScript.Encode. Spowoduje to zakodowanie skryptów w nieprzeczytany tekst, co utrudnia użytkownikom badanie kodu. Badania zagrożeń firmy Microsoft pokazują, że osoby atakujące często używają zakodowanych plików VBscript w ramach ataku w celu uniknięcia systemów wykrywania. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane wykonywanie za pośrednictwem rundll32.exe
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, rundll32.exe używane do wykonywania procesu o nietypowej nazwie, zgodnej ze schematem nazewnictwa procesów, który był wcześniej używany przez grupę działań GOLD podczas instalowania implantu pierwszego etapu na naruszonym hoście.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane polecenia oczyszczania plików
Opis: Analiza danych hosta na serwerze %{Naruszony host} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD podczas samodzielnego oczyszczania po naruszeniu zabezpieczeń. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu, a następnie polecenie usuwania w sposób, który wystąpił tutaj, jest rzadki.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane tworzenie pliku
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła utworzenie lub wykonanie procesu, który wcześniej wskazywał działanie po naruszeniu zabezpieczeń podjęte na hoście ofiary przez grupę działań BARIUM. Ta grupa działań była znana z używania tej techniki w celu pobrania większej liczby złośliwego oprogramowania na hosta, który został naruszony po otwarciu załącznika w dokumentie wyłudzania informacji.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną komunikację nazwanego potoku
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że dane są zapisywane w lokalnym nazwanym potoku za pomocą polecenia konsoli systemu Windows. Nazwane potoki są znane jako kanał używany przez osoby atakujące do zadania i komunikowania się ze złośliwym implantem. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane działanie sieci
Opis: Analiza ruchu sieciowego z hosta %{Naruszone zabezpieczenia} wykryła podejrzane działanie sieci. Taki ruch, choć prawdopodobnie łagodny, jest zwykle używany przez osobę atakującą do komunikowania się ze złośliwymi serwerami do pobierania narzędzi, kontroli i kontroli i eksfiltracji danych. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzaną nową regułę zapory
Opis: Analiza danych hosta wykryła dodanie nowej reguły zapory za pośrednictwem netsh.exe w celu zezwolenia na ruch z pliku wykonywalnego w podejrzanej lokalizacji.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie cacls w celu obniżenia stanu zabezpieczeń systemu
Opis: Osoby atakujące używają niezliczonych sposobów, takich jak atak siłowy, wyłudzanie informacji itp., aby osiągnąć początkowe naruszenie i uzyskać przyczółek w sieci. Po osiągnięciu początkowego naruszenia często podejmują kroki w celu obniżenia ustawień zabezpieczeń systemu. Caclsâ € "skrót dla listy kontroli dostępu zmian to natywne narzędzie wiersza polecenia systemu Microsoft Windows często używane do modyfikowania uprawnień zabezpieczeń folderów i plików. Wiele czasu dane binarne są używane przez osoby atakujące w celu obniżenia ustawień zabezpieczeń systemu. W tym celu można zapewnić wszystkim pełny dostęp do niektórych plików binarnych systemu, takich jak ftp.exe, net.exe, wscript.exe itp. Analiza danych hosta na serwerze %{Naruszony host} wykryła podejrzane użycie platformy Cacls w celu obniżenia bezpieczeństwa systemu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie przełącznika FTP -s
Opis: Analiza danych tworzenia procesów z hosta %{Naruszone zabezpieczenia} wykryła użycie przełącznika FTP "-s:nazwa_pliku". Ten przełącznik służy do określania pliku skryptu FTP, który ma zostać uruchomiony przez klienta. Złośliwe oprogramowanie lub złośliwe procesy są znane, aby używać tego przełącznika FTP (-s:nazwa_pliku) do wskazywania pliku skryptu, który jest skonfigurowany do łączenia się ze zdalnym serwerem FTP i pobierania bardziej złośliwych plików binarnych.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie Pcalua.exe do uruchomienia kodu wykonywalnego
Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła użycie pcalua.exe do uruchomienia kodu wykonywalnego. Pcalua.exe jest składnikiem "Asystenta zgodności programów" systemu Microsoft Windows, który wykrywa problemy ze zgodnością podczas instalacji lub wykonywania programu. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi systemu Windows do wykonywania złośliwych akcji, na przykład przy użyciu pcalua.exe z przełącznikiem umożliwiającym uruchamianie złośliwych plików wykonywalnych lokalnie lub z udziałów zdalnych.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto wyłączenie usług krytycznych
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia "net.exe stop" używanego do zatrzymywania krytycznych usług, takich jak SharedAccess lub Zabezpieczenia Windows aplikacji. Zatrzymanie jednej z tych usług może wskazywać na złośliwe zachowanie.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: -
Ważność: Wysoka
Dynamiczna konstrukcja skryptu PS
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła dynamicznie konstruowany skrypt programu PowerShell. Osoby atakujące czasami używają tego podejścia do progresywnego tworzenia skryptu w celu uniknięcia systemów IDS. Może to być uzasadnione działanie lub wskazanie, że jeden z Twoich maszyn został naruszony.
Taktyka MITRE: -
Ważność: średni rozmiar
Znaleziono plik wykonywalny uruchomiony z podejrzanej lokalizacji
Opis: Analiza danych hosta wykryła plik wykonywalny na serwerze %{Host naruszony}, który jest uruchomiony z lokalizacji wspólnej ze znanymi podejrzanymi plikami. Ten plik wykonywalny może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto zachowanie ataków bez plików
(VM_FilelessAttackBehavior.Windows)
Opis: Pamięć określonego procesu zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują:
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz Sieci Połączenie ions poniżej.
- Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
- Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: Niska
Wykryto technikę ataku bez plików
(VM_FilelessAttackTechnique.Windows)
Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują:
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Obraz wykonywalny wstrzyknięty do procesu, taki jak atak polegający na wstrzyknięciu kodu.
- Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz Sieci Połączenie ions poniżej.
- Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
- Wydrążenie procesów, które jest techniką używaną przez złośliwe oprogramowanie, w którym w systemie jest ładowany legalny proces do działania jako kontener dla wrogiego kodu.
- Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto zestaw narzędzi do ataków bez plików
(VM_FilelessAttackToolkit.Windows)
Opis: Pamięć określonego procesu zawiera zestaw narzędzi do ataków bez plików: [nazwa zestawu narzędzi]. Zestawy narzędzi do ataków bez plików używają technik, które minimalizują lub eliminują ślady złośliwego oprogramowania na dysku i znacznie zmniejszają prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach. Konkretne zachowania obejmują:
- Dobrze znane zestawy narzędzi i oprogramowanie do wyszukiwania kryptograficznego.
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Wstrzyknięto złośliwy plik wykonywalny w pamięci procesu.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: średni rozmiar
Wykryto oprogramowanie o wysokim ryzyku
Opis: Analiza danych hosta z hosta %{Naruszone bezpieczeństwo hosta} wykryła użycie oprogramowania skojarzonego z instalacją złośliwego oprogramowania w przeszłości. Typową techniką używaną w dystrybucji złośliwego oprogramowania jest spakowanie go w innych łagodnych narzędziach, takich jak ta widoczna w tym alercie. W przypadku korzystania z tych narzędzi złośliwe oprogramowanie może być instalowane w tle w trybie dyskretnym.
Taktyka MITRE: -
Ważność: średni rozmiar
Lokalne Administracja istratory grupy zostały wyliczone
Opis: Dzienniki maszyn wskazują pomyślne wyliczenie w grupie %{Wyliczona nazwa domeny grupy}%{Wyliczona nazwa grupy}. W szczególności %{Wyliczanie nazwy domeny użytkownika}%{Wyliczanie nazwy użytkownika} zdalnie wyliczało członków grupy %{Wyliczonej nazwy domeny grupy}%{Nazwa grupy wyliczanej}}. To działanie może być uzasadnione lub wskazywać, że bezpieczeństwo maszyny w organizacji zostało naruszone i użyte do rekonesansu %{vmname}.
Taktyka MITRE: -
Ważność: informacyjna
Złośliwa reguła zapory utworzona przez implant serwera CYNK [widziana wiele razy]
Opis: Reguła zapory została utworzona przy użyciu technik, które pasują do znanego aktora, CYNK. Reguła była prawdopodobnie używana do otwierania portu na hoście %{Naruszone bezpieczeństwo}, aby umożliwić komunikację poleceń i kontroli. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Złośliwe działanie SQL
Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest uznawane za złośliwe.
Taktyka MITRE: -
Ważność: Wysoka
Zapytania o wiele kont domeny
Opis: Analiza danych hosta ustaliła, że nietypowa liczba unikatowych kont domeny jest badana w krótkim czasie od użytkownika %{Host z naruszonym dostępem}. Tego rodzaju działalność może być uzasadniona, ale może być również wskazaniem kompromisu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe dumping poświadczeń [widziany wiele razy]
Opis: Analiza danych hosta wykryła użycie natywnego narzędzia systemu Windows (na przykład sqldumper.exe) używanego w sposób umożliwiający wyodrębnianie poświadczeń z pamięci. Osoby atakujące często używają tych technik do wyodrębniania poświadczeń, których następnie używają do przenoszenia bocznego i eskalacji uprawnień. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto potencjalną próbę obejścia funkcji AppLocker
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła potencjalną próbę obejścia ograniczeń funkcji AppLocker. Funkcję AppLocker można skonfigurować do implementowania zasad, które ograniczają, jakie pliki wykonywalne mogą być uruchamiane w systemie Windows. Wzorzec wiersza polecenia podobny do tego, który został zidentyfikowany w tym alercie, został wcześniej skojarzony z osobami atakującymi próbującymi obejść zasady funkcji AppLocker przy użyciu zaufanych plików wykonywalnych (dozwolonych przez zasady funkcji AppLocker) w celu wykonania niezaufanego kodu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Uruchomiona rzadka grupa usług SVCHOST
(VM_SvcHostRunInRareServiceGroup)
Opis: Zaobserwowano uruchomienie rzadkiej grupy usług w procesie systemowym SVCHOST. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: informacyjna
Wykryto atak na klucze sticky
Opis: Analiza danych hosta wskazuje, że osoba atakująca może odwrócić plik binarny ułatwień dostępu (na przykład przyklejone klawisze, klawiatura ekranowa, narrator) w celu zapewnienia dostępu zaplecza do hosta %{Host naruszony bezpieczeństwo}.
Taktyka MITRE: -
Ważność: średni rozmiar
Udany atak siłowy
(VM_LoginBruteForceSuccess)
Opis: Wykryto kilka prób logowania z tego samego źródła. Niektóre pomyślnie uwierzytelnione na hoście. Przypomina to atak z serii, w którym osoba atakująca wykonuje wiele prób uwierzytelnienia w celu znalezienia prawidłowych poświadczeń konta.
Taktyka MITRE: Wyzysk
Ważność: średni/wysoki
Podejrzany poziom integralności wskazuje na porwanie RDP
Opis: Analiza danych hosta wykryła tscon.exe uruchomioną z uprawnieniami SYSTEM — może to wskazywać na to, że osoba atakująca nadużywa tego pliku binarnego w celu przełączenia kontekstu na dowolnego innego zalogowanego użytkownika na tym hoście. Jest to znana technika atakująca umożliwiająca naruszenie większej liczby kont użytkowników i przechodzenie poprzecznie przez sieć.
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzana instalacja usługi
Opis: Analiza danych hosta wykryła instalację tscon.exe jako usługi: ten plik binarny jest uruchamiany jako usługa, co potencjalnie umożliwia osobie atakującej trivially przełączenie się na dowolnego innego zalogowanego użytkownika na tym hoście przez przejęcie połączeń RDP; jest to znana technika atakująca, aby naruszyć bezpieczeństwo większej liczby kont użytkowników i przenieść się później przez sieć.
Taktyka MITRE: -
Ważność: średni rozmiar
Zaobserwowano podejrzane parametry ataku przy użyciu protokołu Kerberos Golden Ticket
Opis: Analiza danych hosta wykrytych parametrów wiersza polecenia spójnych z atakiem protokołu Kerberos Golden Ticket.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane tworzenie konta
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła utworzenie lub użycie konta lokalnego %{Nazwa podejrzanego konta}: ta nazwa konta jest ściśle podobna do standardowej nazwy konta systemu Windows lub grupy %{Podobne do nazwy konta}. Jest to potencjalnie nieautoryzowane konto utworzone przez osobę atakującą, tak nazwane w celu uniknięcia zauważenia przez administratora ludzkiego.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie
(VM_SuspiciousActivity)
Opis: Analiza danych hosta wykryła sekwencję co najmniej jednego procesu uruchomionego w lokalizacji %{nazwa komputera}, które zostały historycznie skojarzone ze złośliwym działaniem. Chociaż poszczególne polecenia mogą wydawać się łagodne, alert jest oceniany na podstawie agregacji tych poleceń. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Podejrzane działanie uwierzytelniania
(VM_LoginBruteForceValidUserFailed)
Opis: Chociaż żaden z nich nie zakończył się pomyślnie, niektóre z nich zostały rozpoznane przez hosta. Przypomina to atak słownikowy, w którym osoba atakująca wykonuje wiele prób uwierzytelniania przy użyciu słownika wstępnie zdefiniowanych nazw kont i haseł w celu znalezienia prawidłowych poświadczeń dostępu do hosta. Oznacza to, że niektóre nazwy kont hosta mogą istnieć w dobrze znanym słowniku nazw kont.
Taktyka MITRE: Sondowanie
Ważność: średni rozmiar
Wykryto podejrzany segment kodu
Opis: wskazuje, że segment kodu został przydzielony przy użyciu niestandardowych metod, takich jak iniekcja refleksyjna i wydrążenie procesów. Alert zawiera więcej cech segmentu kodu, który został przetworzony w celu zapewnienia kontekstu dla możliwości i zachowań zgłaszanego segmentu kodu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany plik podwójnego rozszerzenia
Opis: Analiza danych hosta wskazuje wykonanie procesu z podejrzanym podwójnym rozszerzeniem. To rozszerzenie może skłonić użytkowników do myślenia, że pliki są bezpieczne do otwarcia i mogą wskazywać na obecność złośliwego oprogramowania w systemie.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil [widziane wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie programu PowerShell
Opis: Analiza danych hosta wykryła skrypt programu PowerShell uruchomiony na hoście %{Naruszone bezpieczeństwo}, który ma funkcje wspólne ze znanymi podejrzanymi skryptami. Ten skrypt może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykonane podejrzane polecenia cmdlet programu PowerShell
Opis: Analiza danych hosta wskazuje wykonywanie znanych złośliwych poleceń cmdlet programu PowerShell PowerSploit.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany proces [widziany wiele razy]
Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Wykonany podejrzany proces
Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną nazwę procesu [widzianą wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzaną nazwę procesu
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony.
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzane działanie SQL
Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest nietypowe w przypadku tego konta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany proces SVCHOST
Opis: Proces systemowy SVCHOST zaobserwowano działanie w nietypowym kontekście. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.
Taktyka MITRE: -
Ważność: Wysoka
Wykonany podejrzany proces systemowy
(VM_SystemProcessInAbnormalContext)
Opis: Proces systemowy %{nazwa procesu} zaobserwowano uruchomienie w nietypowym kontekście. Złośliwe oprogramowanie często używa tej nazwy procesu do maskowania złośliwego działania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Podejrzane działanie kopiowania woluminów w tle
Opis: Analiza danych hosta wykryła działanie usuwania kopii w tle w zasobie. Kopiowanie woluminów w tle (VSC, Volume Shadow Copy) to ważny artefakt, który przechowuje migawki danych. Niektóre złośliwe oprogramowanie, a w szczególności oprogramowanie Wymuszanie oprogramowania wymuszającego okup, są przeznaczone dla programu VSC w celu sabotowania strategii tworzenia kopii zapasowych.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną wartość rejestru WindowPosition
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi zabezpieczeniami} wykryła próbę zmiany konfiguracji rejestru WindowPosition, która może wskazywać na ukrywanie okien aplikacji w nienadzorowanych sekcjach pulpitu. Może to być uzasadnione działanie lub wskazanie naruszonej maszyny: ten typ działania został wcześniej skojarzony ze znanym oprogramowaniem adware (lub niechcianym oprogramowaniem), takim jak Win32/OneSystemCare i Win32/SystemHealer i złośliwe oprogramowanie, takie jak Win32/Creprote. Po ustawieniu wartości WindowPosition na wartość 201329664 (Szesnastkowy: 0x0c00 0c00, co odpowiada wartościom X-axis=0c00 i Y-axis=0c00), umieszcza okno aplikacji konsolowej w niewidocznej sekcji ekranu użytkownika w obszarze ukrytym przed widocznym menu start/paskiem zadań. Znana wartość szesnastkowy obejmuje, ale nie tylko c000c000.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzany proces o nazwie
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła proces, którego nazwa jest bardzo podobna, ale różni się od bardzo często uruchamianego procesu (%{Podobne do nazwy procesu}). Chociaż ten proces może być łagodny dla atakujących, czasami ukrywa się w zasięgu wzroku, nazywając ich złośliwe narzędzia podobnymi do legalnych nazw procesów.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe resetowanie konfiguracji na maszynie wirtualnej
(VM_VMAccessUnusualConfigReset)
Opis: Wykryto nietypowe resetowanie konfiguracji na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować konfigurację na maszynie wirtualnej i naruszyć jej bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Wykryto nietypowe wykonanie procesu
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie procesu przez użytkownika %{Nazwa użytkownika}, która była nietypowa. Konta, takie jak %{Nazwa użytkownika} mają tendencję do wykonywania ograniczonego zestawu operacji, to wykonanie zostało uznane za poza znakiem i może być podejrzane.
Taktyka MITRE: -
Ważność: Wysoka
Nietypowe resetowanie hasła użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualPasswordReset)
Opis: Wykryto nietypowe resetowanie hasła użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować użyć rozszerzenia dostępu do maszyny wirtualnej, aby zresetować poświadczenia użytkownika lokalnego na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualSSHReset)
Opis: Wykryto nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować klucz SSH konta użytkownika na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Wykryto alokację obiektu HTTP w języku VBScript
Opis: wykryto tworzenie pliku VBScript przy użyciu wiersza polecenia. Poniższy skrypt zawiera polecenie alokacji obiektów HTTP. Ta akcja może służyć do pobierania złośliwych plików.
Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego.
Taktyka MITRE: wpływ
Ważność: Niska
Alerty dotyczące maszyn z systemem Linux
Usługa Microsoft Defender dla serwerów (plan 2) udostępnia unikatowe wykrycia i alerty oprócz tych udostępnianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Alerty udostępniane dla maszyn z systemem Linux to:
plik historii został wyczyszczone
Opis: Analiza danych hosta wskazuje, że plik dziennika historii poleceń został wyczyszczone. Osoby atakujące mogą to zrobić, aby zakryć ślady. Operacja została wykonana przez użytkownika: "%{nazwa użytkownika}".
Taktyka MITRE: -
Ważność: średni rozmiar
Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Opis: Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji.
Taktyka MITRE: Wykonywanie
Ważność: informacyjna
Wykluczenie szerokiego oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej
(VM_AmBroadFilesExclusion)
Opis: Na maszynie wirtualnej wykryto wykluczenie plików z rozszerzenia ochrony przed złośliwym kodem z szeroką regułą wykluczania, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie wykluczenie praktycznie wyłącza ochronę przed złośliwym kodem. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone i wykonywanie kodu na maszynie wirtualnej
(VM_AmDisablementAndCodeExecution)
Opis: Oprogramowanie chroniące przed złośliwym kodem jest wyłączone w tym samym czasie co wykonywanie kodu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące wyłączają skanery ochrony przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone na maszynie wirtualnej
(VM_AmDisablement)
Opis: Ochrona przed złośliwym kodem jest wyłączona na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmFileExclusionAndCodeExecution)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem w tym samym czasie co kod został wykonany za pośrednictwem niestandardowego rozszerzenia skryptu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusionAndCodeExecution)
Opis: Tymczasowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem równolegle do wykonywania kodu za pośrednictwem rozszerzenia niestandardowego skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusion)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została wyłączona na maszynie wirtualnej
(VM_AmRealtimeProtectionDisabled)
Opis: Wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona na maszynie wirtualnej
(VM_AmTempRealtimeProtectionDisablement)
Opis: Tymczasowe wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona podczas wykonywania kodu na maszynie wirtualnej
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Opis: Tymczasowe wyłączenie rozszerzenia ochrony przed złośliwym kodem w czasie rzeczywistym równolegle do wykonywania kodu za pomocą niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Skanowanie chroniące przed złośliwym kodem zablokowane dla plików potencjalnie związanych z kampaniami złośliwego oprogramowania na maszynie wirtualnej (wersja zapoznawcza)
(VM_AmMalwareCampaignRelatedExclusion)
Opis: Na maszynie wirtualnej wykryto regułę wykluczania, aby zapobiec skanowaniu niektórych plików, które są podejrzane o związek z kampanią złośliwego oprogramowania. Reguła została wykryta przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej
(VM_AmTemporarilyDisablement)
Opis: Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_UnusualAmFileExclusion)
Opis: Wykryto nietypowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Zachowanie podobne do wykrytego przez oprogramowanie wymuszające okup [postrzegane wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi zabezpieczeniami} wykryła wykonywanie plików, które mają podobieństwo do znanego oprogramowania wymuszającego okup, które może uniemożliwić użytkownikom uzyskiwanie dostępu do swoich plików systemowych lub osobistych oraz żąda płatności okupu w celu odzyskania dostępu. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie
Ważność: średni rozmiar
Kontener z wykrytym obrazem górnika
(VM_MinerInContainerImage)
Opis: Dzienniki maszyn wskazują wykonywanie kontenera platformy Docker, który uruchamia obraz skojarzony z funkcją wyszukiwania waluty cyfrowej.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto nietypową kombinację znaków wyższej i małej litery w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wiersz polecenia z nietypową kombinacją wyższej i małej litery. Ten rodzaj wzorca, choć prawdopodobnie łagodny, jest również typowy dla osób atakujących próbujących ukryć się przed dopasowaniem reguł opartych na wielkości liter lub skrótu podczas wykonywania zadań administracyjnych na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto pobieranie pliku ze znanego złośliwego źródła
Opis: Analiza danych hosta wykryła pobieranie pliku ze znanego źródła złośliwego oprogramowania na hoście %{Naruszone bezpieczeństwo}.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie sieci
Opis: Analiza ruchu sieciowego z hosta %{Naruszone zabezpieczenia} wykryła podejrzane działanie sieci. Taki ruch, choć prawdopodobnie łagodny, jest zwykle używany przez osobę atakującą do komunikowania się ze złośliwymi serwerami do pobierania narzędzi, kontroli i kontroli i eksfiltracji danych. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: -
Ważność: Niska
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: -
Ważność: Wysoka
Wyłączanie rejestrowania poddanego inspekcji [widziane wiele razy]
Opis: System inspekcji systemu Linux umożliwia śledzenie informacji dotyczących zabezpieczeń w systemie. Rejestruje jak najwięcej informacji o zdarzeniach występujących w systemie. Wyłączenie rejestrowania poddanego inspekcji może utrudnić wykrywanie naruszeń zasad zabezpieczeń używanych w systemie. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Wykorzystanie luki w zabezpieczeniach Xorg [widocznej wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła użytkownika Xorg z podejrzanymi argumentami. Osoby atakujące mogą używać tej techniki w próbach eskalacji uprawnień. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Niepowodzenie ataku siłowego protokołu SSH
(VM_SshBruteForceFailed)
Opis: Wykryto nieudane ataki siłowe z następujących osób atakujących: %{Osoby atakujące}. Osoby atakujące próbowały uzyskać dostęp do hosta przy użyciu następujących nazw użytkowników: %{Konta używane podczas nieudanego logowania do hostowania prób}.
Taktyka MITRE: Sondowanie
Ważność: średni rozmiar
Wykryto zachowanie ataków bez plików
(VM_FilelessAttackBehavior.Linux)
Opis: pamięć procesu określonego poniżej zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Wykonywanie
Ważność: Niska
Wykryto technikę ataków bez plików
(VM_FilelessAttackTechnique.Linux)
Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto zestaw narzędzi do ataków bez plików
(VM_FilelessAttackToolkit.Linux)
Opis: Pamięć procesu określonego poniżej zawiera zestaw narzędzi do ataków bez plików: {ToolKitName}. Zestawy narzędzi do ataków bez plików zwykle nie mają obecności w systemie plików, co utrudnia wykrywanie tradycyjnego oprogramowania antywirusowego. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto wykonywanie ukrytego pliku
Opis: Analiza danych hosta wskazuje, że ukryty plik został wykonany przez użytkownika %{nazwa użytkownika}. To działanie może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: informacyjna
Dodano nowy klucz SSH [widziany wiele razy]
(VM_SshKeyAddition)
Opis: Nowy klucz SSH został dodany do pliku autoryzowanych kluczy. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: Trwałość
Ważność: Niska
Dodano nowy klucz SSH
Opis: Nowy klucz SSH został dodany do pliku autoryzowanych kluczy.
Taktyka MITRE: -
Ważność: Niska
Wykryto możliwe backdoor [widziane wiele razy]
Opis: Analiza danych hosta wykryła, że pobierany jest podejrzany plik, a następnie uruchamiany na serwerze %{Host z naruszeniem zabezpieczeń} w ramach subskrypcji. To działanie zostało wcześniej skojarzone z instalacją backdoor. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe wykorzystanie serwera poczty
(VM_MailserverExploitation )
Opis: Analiza danych hosta na serwerze %{Naruszone bezpieczeństwo hosta} wykryła nietypowe wykonanie na koncie serwera poczty
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Wykryto możliwą złośliwą powłokę sieci Web
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła możliwą powłokę sieci Web. Osoby atakujące często przekazują powłokę internetową na maszynę, której bezpieczeństwo zostało naruszone w celu uzyskania trwałości lub dalszego wykorzystania.
Taktyka MITRE: -
Ważność: średni rozmiar
Możliwa zmiana hasła przy użyciu metody crypt wykryta [widziana wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła zmianę hasła przy użyciu metody crypt. Osoby atakujące mogą wprowadzić tę zmianę, aby kontynuować dostęp i uzyskać trwałość po naruszeniu zabezpieczeń. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto proces związany z wyszukiwaniem walut cyfrowych [widziany wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host naruszony} wykryła wykonanie procesu, który jest zwykle skojarzony z wyszukiwaniem walut cyfrowych. To zachowanie było widoczne ponad 100 razy dzisiaj na następujących maszynach: [Nazwa maszyny]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto proces związany z wyszukiwaniem walut cyfrowych
Opis: Analiza danych hosta wykryła wykonanie procesu, który jest zwykle skojarzony z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: wykorzystywanie, wykonywanie
Ważność: średni rozmiar
Wykryto program pobierania zakodowany w języku Python [widziany wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła wykonanie zakodowanego języka Python, który pobiera i uruchamia kod z lokalizacji zdalnej. Może to wskazywać na złośliwe działanie. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Zrzut ekranu wykonany na hoście [widoczny wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użytkownika narzędzia przechwytywania ekranu. Osoby atakujące mogą używać tych narzędzi do uzyskiwania dostępu do danych prywatnych. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Wykryto kod powłoki [widziany wiele razy]
Opis: Analiza danych hosta w elemencie %{Host naruszony} wykryła generowanie kodu powłoki z wiersza polecenia. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Udany atak siłowy SSH
(VM_SshBruteForceSuccess)
Opis: Analiza danych hosta wykryła udany atak siłowy. Adres IP %{Źródłowy adres IP osoby atakującej} był widoczny podczas podejmowania wielu prób logowania. Pomyślnie zalogowano się z tego adresu IP z następującymi użytkownikami: %{Konta użyte do pomyślnego zalogowania się na hoście}. Oznacza to, że host może zostać naruszony i kontrolowany przez złośliwego aktora.
Taktyka MITRE: Wyzysk
Ważność: Wysoka
Wykryto podejrzane tworzenie konta
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła utworzenie lub użycie konta lokalnego %{Nazwa podejrzanego konta}: ta nazwa konta jest ściśle podobna do standardowej nazwy konta systemu Windows lub grupy %{Podobne do nazwy konta}. Jest to potencjalnie nieautoryzowane konto utworzone przez osobę atakującą, tak nazwane w celu uniknięcia zauważenia przez administratora ludzkiego.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzany moduł jądra [widziany wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że plik obiektu udostępnionego jest ładowany jako moduł jądra. Może to być uzasadnione działanie lub wskazanie, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzany dostęp do hasła [widoczny wiele razy]
Opis: Analiza danych hosta wykryła podejrzany dostęp do zaszyfrowanych haseł użytkowników na serwerze %{Host naruszony}. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: informacyjna
Podejrzany dostęp do hasła
Opis: Analiza danych hosta wykryła podejrzany dostęp do zaszyfrowanych haseł użytkowników na serwerze %{Host naruszony}.
Taktyka MITRE: -
Ważność: informacyjna
Podejrzane żądanie do pulpitu nawigacyjnego platformy Kubernetes
(VM_KubernetesDashboard)
Opis: Dzienniki maszyn wskazują, że na pulpicie nawigacyjnym Kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z węzła Kubernetes, prawdopodobnie z jednego z kontenerów uruchomionych w węźle. Mimo że takie zachowanie może być zamierzone, może to oznaczać, że węzeł uruchamia kontener, którego bezpieczeństwo zostało naruszone.
Taktyka MITRE: LateralMovement
Ważność: średni rozmiar
Nietypowe resetowanie konfiguracji na maszynie wirtualnej
(VM_VMAccessUnusualConfigReset)
Opis: Wykryto nietypowe resetowanie konfiguracji na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować konfigurację na maszynie wirtualnej i naruszyć jej bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie hasła użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualPasswordReset)
Opis: Wykryto nietypowe resetowanie hasła użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować użyć rozszerzenia dostępu do maszyny wirtualnej, aby zresetować poświadczenia użytkownika lokalnego na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualSSHReset)
Opis: Wykryto nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować klucz SSH konta użytkownika na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego.
Taktyka MITRE: wpływ
Ważność: Niska
Alerty dotyczące systemu DNS
Ważne
Od 1 sierpnia 2023 r. klienci z istniejącą subskrypcją usługi Defender for DNS mogą nadal korzystać z usługi, ale nowi subskrybenci otrzymają alerty dotyczące podejrzanych działań DNS w ramach usługi Defender for Servers P2.
Nietypowe użycie protokołu sieciowego
(AzureDNS_ProtocolAnomaly)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła nietypowe użycie protokołu. Taki ruch, choć prawdopodobnie łagodny, może wskazywać na nadużycie tego wspólnego protokołu w celu obejścia filtrowania ruchu sieciowego. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: Eksfiltracja
Ważność: -
Działanie sieci anonimowości
(AzureDNS_DarkWeb)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła aktywność sieci anonimowości. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często stosowane przez osoby atakujące w celu uniknięcia śledzenia i odcisków palców komunikacji sieciowej. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Działanie sieci anonimowości przy użyciu internetowego serwera proxy
(AzureDNS_DarkWebProxy)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła aktywność sieci anonimowości. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często stosowane przez osoby atakujące w celu uniknięcia śledzenia i odcisków palców komunikacji sieciowej. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Podjęto próbę komunikacji z podejrzaną domeną sinkholed
(AzureDNS_SinkholedDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła żądanie dotyczące domeny sinkholed. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkownika, jest często wskazaniem pobierania lub wykonywania złośliwego oprogramowania. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie dalszych złośliwych programów lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Komunikacja z możliwą domeną wyłudzania informacji
(AzureDNS_PhishingDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła żądanie dotyczące możliwej domeny wyłudzania informacji. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu zbierania poświadczeń do usług zdalnych. Typowe działanie osoby atakującej może obejmować wykorzystanie wszelkich poświadczeń w uzasadnionej usłudze.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Komunikacja z podejrzaną domeną wygenerowaną algorytmowo
(AzureDNS_DomainGenerationAlgorithm)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwe użycie algorytmu generowania domeny. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Komunikacja z podejrzaną losową nazwą domeny
(AzureDNS_RandomizedDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła użycie podejrzanej losowo wygenerowanej nazwy domeny. Takie działanie, choć prawdopodobnie łagodne, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: informacyjna
Działalność wydobywczy waluty cyfrowej
(AzureDNS_CurrencyMining)
Opis: Analiza transakcji DNS z %{CompromisedEntity} wykryła aktywność wyszukiwania walut cyfrowych. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące po naruszeniu bezpieczeństwa zasobów. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie typowych narzędzi do wyszukiwania.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Aktywacja podpisu wykrywania nieautoryzowanego dostępu do sieci
(AzureDNS_SuspiciousDomain)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła znany złośliwy podpis sieciowy. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkownika, jest często wskazaniem pobierania lub wykonywania złośliwego oprogramowania. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie dalszych złośliwych programów lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Możliwe pobieranie danych za pośrednictwem tunelu DNS
(AzureDNS_DataInfiltration)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Możliwe eksfiltrowanie danych za pośrednictwem tunelu DNS
(AzureDNS_DataExfiltration)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Możliwe przesyłanie danych za pośrednictwem tunelu DNS
(AzureDNS_DataObfuscation)
Opis: Analiza transakcji DNS z witryny %{CompromisedEntity} wykryła możliwy tunel DNS. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące w celu uniknięcia monitorowania i filtrowania sieci. Typowe powiązane działania atakujące mogą obejmować pobieranie i wykonywanie złośliwego oprogramowania lub narzędzi administracji zdalnej.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Alerty dotyczące rozszerzeń maszyn wirtualnych platformy Azure
Te alerty koncentrują się na wykrywaniu podejrzanych działań rozszerzeń maszyn wirtualnych platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń i wykonywania złośliwych działań na maszynach wirtualnych.
Rozszerzenia maszyn wirtualnych platformy Azure to małe aplikacje, które są uruchamiane po wdrożeniu na maszynach wirtualnych i zapewniają możliwości, takie jak konfiguracja, automatyzacja, monitorowanie, zabezpieczenia i inne. Rozszerzenia są zaawansowanym narzędziem, ale mogą być używane przez podmioty zagrożeń dla różnych złośliwych intencji, na przykład:
Zbieranie i monitorowanie danych
Wykonywanie kodu i wdrażanie konfiguracji z wysokimi uprawnieniami
Resetowanie poświadczeń i tworzenie użytkowników administracyjnych
Szyfrowanie dysków
Dowiedz się więcej na temat Defender dla Chmury najnowszych zabezpieczeń przed nadużyciami rozszerzeń maszyn wirtualnych platformy Azure.
Podejrzany błąd podczas instalowania rozszerzenia procesora GPU w ramach subskrypcji (wersja zapoznawcza)
(VM_GPUExtensionSuspiciousFailure)
Opis: Podejrzana intencja instalowania rozszerzenia procesora GPU na nieobsługiwanych maszynach wirtualnych. To rozszerzenie powinno być zainstalowane na maszynach wirtualnych wyposażonych w procesor graficzny, a w tym przypadku maszyny wirtualne nie są wyposażone w takie. Te błędy można zobaczyć, gdy złośliwi przeciwnicy wykonują wiele instalacji takiego rozszerzenia w celach kryptograficznych.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców.
Taktyka MITRE: wpływ
Ważność: Niska
Uruchom polecenie z podejrzanym skryptem wykryto na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousScript)
Opis: Na maszynie wirtualnej wykryto polecenie Uruchom z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto podejrzane nieautoryzowane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousFailure)
Opis: Podejrzane nieautoryzowane użycie polecenia uruchamiania nie powiodło się i zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą próbować użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto podejrzane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousUsage)
Opis: Wykryto podejrzane użycie polecenia Uruchom na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych (wersja zapoznawcza)
(VM_SuspiciousMultiExtensionUsage)
Opis: wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać takich rozszerzeń na potrzeby zbierania danych, monitorowania ruchu sieciowego i nie tylko w ramach subskrypcji. To użycie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
TAKTYKA MITRE: Rekonesans
Ważność: średni rozmiar
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych (wersja zapoznawcza)
(VM_DiskEncryptionSuspiciousUsage)
Opis: Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać rozszerzenia szyfrowania dysku, aby wdrożyć pełne szyfrowanie dysków na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager w celu wykonania działania wymuszającego okup. To działanie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane przed i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wykryto podejrzane użycie rozszerzenia VMAccess na maszynach wirtualnych (wersja zapoznawcza)
(VM_VMAccessSuspiciousUsage)
Opis: Wykryto podejrzane użycie rozszerzenia VMAccess na maszynach wirtualnych. Osoby atakujące mogą nadużywać rozszerzenia VMAccess w celu uzyskania dostępu i naruszenia zabezpieczeń maszyn wirtualnych z wysokimi uprawnieniami przez zresetowanie dostępu lub zarządzanie użytkownikami administracyjnymi. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Wykryto rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem na maszynie wirtualnej (wersja zapoznawcza)
(VM_DSCExtensionSuspiciousScript)
Opis: Rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych (wersja zapoznawcza)
(VM_DSCExtensionSuspiciousUsage)
Opis: Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem (wersja zapoznawcza)
(VM_CustomScriptExtensionSuspiciousCmd)
Opis: Niestandardowe rozszerzenie skryptu z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia niestandardowego skryptu do wykonywania złośliwego kodu z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Podejrzane nieudane wykonywanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousFailure)
Opis: Wykryto podejrzane niepowodzenie rozszerzenia niestandardowego skryptu na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie błędy mogą być skojarzone ze złośliwymi skryptami uruchamianymi przez to rozszerzenie.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Nietypowe usuwanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionUnusualDeletion)
Opis: Wykryto nietypowe usunięcie niestandardowego rozszerzenia skryptu na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Nietypowe wykonywanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionUnusualExecution)
Opis: Nietypowe wykonanie niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Rozszerzenie niestandardowego skryptu z podejrzanym punktem wejścia na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Opis: Niestandardowe rozszerzenie skryptu z podejrzanym punktem wejścia zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Punkt wejścia odnosi się do podejrzanego repozytorium GitHub. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Rozszerzenie niestandardowego skryptu z podejrzanym ładunkiem na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousPayload)
Opis: Niestandardowe rozszerzenie skryptu z ładunkiem z podejrzanego repozytorium GitHub zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Alerty dotyczące usługi aplikacja systemu Azure
Próba uruchomienia poleceń systemu Linux w usłudze App Service systemu Windows
(AppServices_LinuxCommandOnWindows)
Opis: Analiza procesów usługi App Service wykryła próbę uruchomienia polecenia systemu Linux w usłudze Windows App Service. Ta akcja została uruchomiona przez aplikację internetową. To zachowanie jest często spotykane podczas kampanii, które wykorzystują lukę w zabezpieczeniach typowej aplikacji internetowej. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: -
Ważność: średni rozmiar
W usłudze Threat Intelligence znaleziono adres IP połączony z interfejsem FTP usługi aplikacja systemu Azure Service
(AppServices_IncomingTiClientIpFtp)
Opis: aplikacja systemu Azure dziennik FTP usługi wskazuje połączenie z adresu źródłowego znalezionego w kanale analizy zagrożeń. Podczas tego połączenia użytkownik uzyskiwał dostęp do wymienionych stron. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Podjęto próbę uruchomienia polecenia o wysokim poziomie uprawnień
(AppServices_HighPrivilegeCommand)
Opis: Analiza procesów usługi App Service wykryła próbę uruchomienia polecenia wymagającego wysokich uprawnień. Polecenie uruchomione w kontekście aplikacji internetowej. Chociaż takie zachowanie może być uzasadnione, w aplikacjach internetowych takie zachowanie jest również obserwowane w złośliwych działaniach. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: -
Ważność: średni rozmiar
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie
Ważność: średni rozmiar
Połączenie na stronę internetową z wykrytego nietypowego adresu IP
(AppServices_AnomalousPageAccess)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje nietypowe połączenie z wrażliwą stroną internetową z wymienionego źródłowego adresu IP. Może to oznaczać, że ktoś próbuje atak siłowy na strony administracyjne aplikacji internetowej. Może to być również wynik nowego adresu IP używanego przez uprawnionego użytkownika. Jeśli źródłowy adres IP jest zaufany, możesz bezpiecznie pominąć ten alert dla tego zasobu. Aby dowiedzieć się, jak pomijać alerty zabezpieczeń, zobacz Pomijanie alertów z Microsoft Defender dla Chmury. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: dostęp początkowy
Ważność: Niska
Wykryto zwisanie rekordu DNS dla zasobu usługi App Service
(AppServices_DanglingDomain)
Opis: Wykryto rekord DNS wskazujący ostatnio usunięty zasób usługi App Service (znany również jako wpis "zwisająca dns". Pozostawia to podatny na przejęcie poddomeny. Przejęcia domen podrzędnych umożliwiają złośliwym podmiotom przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: -
Ważność: Wysoka
Wykryto zakodowany plik wykonywalny w danych wiersza polecenia
(AppServices_Base64EncodedExecutableInCommandLineParams)
Opis: Analiza danych hosta na hoście {Naruszone bezpieczeństwo} wykryła plik wykonywalny zakodowany w formacie base-64. Wcześniej była ona skojarzona z osobami atakującymi próbującymi skonstruować pliki wykonywalne na bieżąco przez sekwencję poleceń i próbując uniknąć włamań systemów wykrywania, upewniając się, że żadne pojedyncze polecenie nie wyzwoli alertu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto pobieranie pliku ze znanego złośliwego źródła
(AppServices_SuspectDownload)
Opis: Analiza danych hosta wykryła pobieranie pliku ze znanego źródła złośliwego oprogramowania na hoście. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Eskalacja uprawnień, Wykonywanie, Eksfiltracja, Command and Control
Ważność: średni rozmiar
Wykryto pobieranie podejrzanych plików
(AppServices_SuspectDownloadArtifacts)
Opis: Analiza danych hosta wykryła podejrzane pobieranie pliku zdalnego. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
(AppServices_DigitalCurrencyMining)
Opis: Analiza danych hosta w zadaniach Inn-Flow-WebJob wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Dekodowany plik wykonywalny przy użyciu narzędzia certutil
(AppServices_ExecutableDecodedUsingCertutil)
Opis: Analiza danych hosta w [jednostce naruszonej] wykryła, że certutil.exe, wbudowane narzędzie administratora, było używane do dekodowania pliku wykonywalnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące nadużywają funkcjonalności wiarygodnych narzędzi administratora w celu wykonania złośliwych akcji. Mogą na przykład użyć narzędzia, takiego jak certutil.exe, do dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto zachowanie ataków bez plików
(AppServices_FilelessAttackBehaviorDetection)
Opis: pamięć procesu określonego poniżej zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują: {lista obserwowanych zachowań} (dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto technikę ataków bez plików
(AppServices_FilelessAttackTechniqueDetection)
Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują: {lista obserwowanych zachowań} (dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto zestaw narzędzi do ataków bez plików
(AppServices_FilelessAttackToolkitDetection)
Opis: Pamięć procesu określonego poniżej zawiera zestaw narzędzi do ataków bez plików: {ToolKitName}. Zestawy narzędzi do ataków bez plików zwykle nie mają obecności w systemie plików, co utrudnia wykrywanie tradycyjnego oprogramowania antywirusowego. Konkretne zachowania obejmują: {lista obserwowanych zachowań} (dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Microsoft Defender dla Chmury alert testowy dla usługi App Service (nie zagrożenie)
(AppServices_EICAR)
Opis: Jest to alert testowy wygenerowany przez Microsoft Defender dla Chmury. Nie trzeba wykonywać dalszych akcji. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: -
Ważność: Wysoka
Wykryto skanowanie NMap
(AppServices_Nmap)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje możliwe działanie tworzenia odcisków palców w Internecie w zasobie usługi App Service. Wykryte podejrzane działanie jest skojarzone z NMAP. Osoby atakujące często używają tego narzędzia do sondowania aplikacji internetowej w celu znalezienia luk w zabezpieczeniach. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: PreAttack
Ważność: informacyjna
Wyłudzanie informacji hostowanej w aplikacjach internetowych platformy Azure
(AppServices_PhishingContent)
Opis: adres URL używany do ataku wyłudzania informacji w witrynie internetowej usługi aplikacja systemu Azure Services. Ten adres URL był częścią ataku wyłudzania informacji wysyłanego do klientów platformy Microsoft 365. Zawartość zwykle przyciąga odwiedzających do wprowadzania poświadczeń firmowych lub informacji finansowych w legalnej witrynie internetowej. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Kolekcja
Ważność: Wysoka
Plik PHP w folderze przekazywania
(AppServices_PhpInUploadFolder)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje dostęp do podejrzanej strony PHP znajdującej się w folderze przekazywania. Ten typ folderu zwykle nie zawiera plików PHP. Istnienie tego typu pliku może wskazywać na wykorzystanie wykorzystania dowolnych luk w zabezpieczeniach przekazywania plików. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto możliwe pobranie crypto bitcoinminer
(AppServices_CryptoCoinMinerDownload)
Opis: Analiza danych hosta wykryła pobieranie pliku zwykle skojarzonego z funkcją wyszukiwania walut cyfrowych. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Uchylanie się od obrony, dowodzenie i kontrola, wyzysk
Ważność: średni rozmiar
Wykryto możliwe eksfiltrację danych
(AppServices_DataEgressArtifacts)
Opis: Analiza danych hosta/urządzenia wykryła możliwy warunek ruchu wychodzącego danych. Osoby atakujące często wychodzą dane z maszyn, których bezpieczeństwo zostało naruszone. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Kolekcja, Eksfiltracja
Ważność: średni rozmiar
Wykryto potencjalny zwisając rekord DNS dla zasobu usługi App Service
(AppServices_PotentialDanglingDomain)
Opis: Wykryto rekord DNS wskazujący ostatnio usunięty zasób usługi App Service (znany również jako wpis "zwisająca dns". Może to spowodować podatność na przejęcie poddomeny. Przejęcia domen podrzędnych umożliwiają złośliwym podmiotom przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania. W tym przypadku znaleziono rekord tekstowy z identyfikatorem weryfikacji domeny. Takie rekordy tekstowe uniemożliwiają przejęcie poddomeny, ale nadal zalecamy usunięcie domeny zwisającej. Jeśli pozostawisz rekord DNS wskazujący poddomenę, jesteś zagrożony, jeśli ktoś w organizacji usunie plik TXT lub rekord w przyszłości. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: -
Ważność: Niska
Wykryto potencjalną powłokę odwrotną
(AppServices_ReverseShell)
Opis: Analiza danych hosta wykryła potencjalną powłokę odwrotną. Są one używane do uzyskania naruszonej maszyny w celu wywołania z powrotem do maszyny, która jest właścicielem osoby atakującej. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Eksfiltracja, wyzysk
Ważność: średni rozmiar
Wykryto pobieranie nieprzetworzonych danych
(AppServices_DownloadCodeFromWebsite)
Opis: Analiza procesów usługi App Service wykryła próbę pobrania kodu z witryn internetowych nieprzetworzonych danych, takich jak Pastebin. Ta akcja została uruchomiona przez proces PHP. To zachowanie jest skojarzone z próbami pobrania powłok internetowych lub innych złośliwych składników do usługi App Service. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Zapisanie danych wyjściowych curl na dysku wykryto
(AppServices_CurlToDisk)
Opis: Analiza procesów usługi App Service wykryła uruchomienie polecenia curl, w którym dane wyjściowe zostały zapisane na dysku. Chociaż takie zachowanie może być uzasadnione, w aplikacjach internetowych takie zachowanie jest również obserwowane w złośliwych działaniach, takich jak próby zainfekowania witryn internetowych za pomocą powłok internetowych. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: -
Ważność: Niska
Wykryto odwołanie do folderu spamu
(AppServices_SpamReferrer)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje działanie internetowe, które zostało zidentyfikowane jako pochodzące z witryny internetowej skojarzonej z działaniami niepożądanymi. Może się to zdarzyć, jeśli twoja witryna internetowa zostanie naruszona i użyta do działań niepożądanych. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzany dostęp do potencjalnie narażonej strony internetowej
(AppServices_ScanSensitivePage)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje na stronę internetową, która wydaje się być wrażliwa. To podejrzane działanie pochodzi ze źródłowego adresu IP, którego wzorzec dostępu przypomina ten skaner internetowy. To działanie jest często kojarzone z próbą przeskanowania sieci przez osobę atakującą w celu uzyskania dostępu do poufnych lub narażonych stron internetowych. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: -
Ważność: Niska
Dokumentacja podejrzanych nazw domen
(AppServices_CommandlineSuspectDomain)
Opis: Analiza danych hosta wykrytych odwołań do podejrzanej nazwy domeny. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkownika, jest często wskazaniem pobierania lub wykonywania złośliwego oprogramowania. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie dalszych złośliwych programów lub narzędzi administracji zdalnej. (Dotyczy: App Service dla systemu Linux)
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil
(AppServices_DownloadUsingCertutil)
Opis: Analiza danych hosta w usłudze {NAME} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego nurtu, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto podejrzane wykonywanie języka PHP
(AppServices_SuspectPhp)
Opis: Dzienniki maszyn wskazują, że jest uruchomiony podejrzany proces PHP. Akcja obejmowała próbę uruchomienia poleceń systemu operacyjnego lub kodu PHP z wiersza polecenia przy użyciu procesu PHP. Chociaż takie zachowanie może być uzasadnione, w aplikacjach internetowych takie zachowanie może wskazywać na złośliwe działania, takie jak próby zainfekowania witryn internetowych za pomocą powłok internetowych. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykonane podejrzane polecenia cmdlet programu PowerShell
(AppServices_PowerShellPowerSploitScriptExecution)
Opis: Analiza danych hosta wskazuje wykonywanie znanych złośliwych poleceń cmdlet programu PowerShell PowerSploit. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykonany podejrzany proces
(AppServices_KnownCredential AccessTools)
Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{ścieżka procesu}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: dostęp do poświadczeń
Ważność: Wysoka
Wykryto podejrzaną nazwę procesu
(AppServices_ProcessWithKnownSuspiciousExtension)
Opis: Analiza danych hosta w usłudze {NAME} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwanej w sposób sugerujący narzędzia atakujące, które próbują ukryć się w zwykły widok. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Trwałość, uchylanie się od obrony
Ważność: średni rozmiar
Wykonany podejrzany proces SVCHOST
(AppServices_SVCHostFromInvalidPath)
Opis: Proces systemowy SVCHOST zaobserwowano działanie w nietypowym kontekście. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwych działań. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto podejrzanego agenta użytkownika
(AppServices_UserAgentInjection)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje żądania z podejrzanym agentem użytkownika. To zachowanie może wskazywać na próby wykorzystania luki w zabezpieczeniach w aplikacji usługi App Service. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: dostęp początkowy
Ważność: informacyjna
Wykryto podejrzane wywołanie motywu WordPress
(AppServices_WpThemeInjection)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje możliwe działanie iniekcji kodu w zasobie usługi App Service. Wykryte podejrzane działanie przypomina manipulację motywem WordPress w celu obsługi wykonywania kodu po stronie serwera, a następnie bezpośredniego żądania internetowego w celu wywołania manipulowanego pliku motywu. Ten rodzaj aktywności był postrzegany w przeszłości w ramach kampanii ataku nad WordPress. Jeśli zasób usługi App Service nie hostuje witryny WordPress, nie jest narażony na wykorzystanie tego konkretnego kodu i można bezpiecznie pominąć ten alert dla zasobu. Aby dowiedzieć się, jak pomijać alerty zabezpieczeń, zobacz Pomijanie alertów z Microsoft Defender dla Chmury. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto skaner luk w zabezpieczeniach
(AppServices_DrupalScanner)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje, że w zasobie usługi App Service użyto możliwego skanera luk w zabezpieczeniach. Wykryte podejrzane działanie przypomina narzędzia przeznaczone dla systemu zarządzania zawartością (CMS). Jeśli zasób usługi App Service nie hostuje witryny Drupal, nie jest narażony na wykorzystanie tego konkretnego kodu wykorzystującego wstrzyknięcie kodu i można bezpiecznie pominąć ten alert dla zasobu. Aby dowiedzieć się, jak pomijać alerty zabezpieczeń, zobacz Pomijanie alertów z Microsoft Defender dla Chmury. (Dotyczy: App Service w systemie Windows)
Taktyka MITRE: PreAttack
Ważność: Niska
Wykryto skaner luk w zabezpieczeniach
(AppServices_JoomlaScanner)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje, że w zasobie usługi App Service użyto możliwego skanera luk w zabezpieczeniach. Wykryte podejrzane działanie przypomina narzędzia przeznaczone dla aplikacji Firmy. Jeśli zasób usługi App Service nie jest hostem witryny Firmy Niżej, nie jest narażony na wykorzystanie tego konkretnego kodu wykorzystującego iniekcję kodu i można bezpiecznie pominąć ten alert dla zasobu. Aby dowiedzieć się, jak pomijać alerty zabezpieczeń, zobacz Pomijanie alertów z Microsoft Defender dla Chmury. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: PreAttack
Ważność: Niska
Wykryto skaner luk w zabezpieczeniach
(AppServices_WpScanner)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje, że w zasobie usługi App Service użyto możliwego skanera luk w zabezpieczeniach. Wykryte podejrzane działanie przypomina narzędzia przeznaczone dla aplikacji WordPress. Jeśli zasób usługi App Service nie hostuje witryny WordPress, nie jest narażony na wykorzystanie tego konkretnego kodu i można bezpiecznie pominąć ten alert dla zasobu. Aby dowiedzieć się, jak pomijać alerty zabezpieczeń, zobacz Pomijanie alertów z Microsoft Defender dla Chmury. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: PreAttack
Ważność: Niska
Wykryto odciski palców sieci Web
(AppServices_WebFingerprinting)
Opis: aplikacja systemu Azure Dziennik aktywności usługi wskazuje możliwe działanie tworzenia odcisków palców w Internecie w zasobie usługi App Service. Wykryte podejrzane działanie jest skojarzone z narzędziem o nazwie Blind Elephant. Narzędzie odcisk palca serwerów internetowych i próbuje wykryć zainstalowane aplikacje i wersję. Osoby atakujące często używają tego narzędzia do sondowania aplikacji internetowej w celu znalezienia luk w zabezpieczeniach. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Witryna internetowa jest oznaczona jako złośliwa w kanale analizy zagrożeń
(AppServices_SmartScreen)
Opis: Witryna internetowa, jak opisano poniżej, jest oznaczona jako złośliwa witryna przez filtr Windows SmartScreen. Jeśli uważasz, że jest to wynik fałszywie dodatni, skontaktuj się z filtrem Windows SmartScreen za pośrednictwem podanego linku opinii o raporcie. (Dotyczy: App Service w systemie Windows i App Service dla systemu Linux)
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
Alerty dotyczące kontenerów — klastry Kubernetes
Usługa Microsoft Defender for Containers udostępnia alerty zabezpieczeń na poziomie klastra i w źródłowych węzłach klastra przez monitorowanie zarówno płaszczyzny sterowania (serwera interfejsu API), jak i samego obciążenia konteneryzowanego. Alerty zabezpieczeń płaszczyzny sterowania można rozpoznać za pomocą prefiksu typu alertu K8S_ . Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mogą być rozpoznawane przez K8S.NODE_ prefiks typu alertu. Wszystkie alerty są obsługiwane tylko w systemie Linux, chyba że określono inaczej.
Wykryto uwidocznioną usługę Postgres z konfiguracją uwierzytelniania zaufania na platformie Kubernetes (wersja zapoznawcza)
(K8S_ExposedPostgresTrustAuth)
Opis: Analiza konfiguracji klastra Kubernetes wykryła narażenie usługi Postgres przez moduł równoważenia obciążenia. Usługa jest skonfigurowana przy użyciu metody uwierzytelniania zaufania, która nie wymaga poświadczeń.
Taktyka MITRE: InitialAccess
Ważność: średni rozmiar
Uwidoczniona usługa Postgres z ryzykowną konfiguracją na platformie Kubernetes wykryto (wersja zapoznawcza)
(K8S_ExposedPostgresBroadIPRange)
Opis: Analiza konfiguracji klastra Kubernetes wykryła narażenie usługi Postgres przez moduł równoważenia obciążenia z ryzykowną konfiguracją. Uwidacznianie usługi dla szerokiego zakresu adresów IP stanowi zagrożenie bezpieczeństwa.
Taktyka MITRE: InitialAccess
Ważność: średni rozmiar
Próba utworzenia nowej przestrzeni nazw systemu Linux na podstawie wykrytego kontenera
(K8S. NODE_NamespaceCreation) 1
Opis: Analiza procesów uruchomionych w kontenerze w klastrze Kubernetes wykryła próbę utworzenia nowej przestrzeni nazw systemu Linux. Chociaż takie zachowanie może być uzasadnione, może to oznaczać, że osoba atakująca próbuje uciec z kontenera do węzła. Niektóre luki CVE-2022-0185 wykorzystują tę technikę.
Taktyka MITRE: PrivilegeEscalation
Ważność: informacyjna
Plik historii został wyczyszczone
(K8S. NODE_HistoryFileCleared) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że plik dziennika historii poleceń został wyczyszczone. Osoby atakujące mogą to zrobić, aby zakryć swoje ślady. Operacja została wykonana przez określone konto użytkownika.
Taktyka MITRE: DefenseEvasion
Ważność: średni rozmiar
Nietypowe działanie tożsamości zarządzanej skojarzonej z platformą Kubernetes (wersja zapoznawcza)
(K8S_AbnormalMiActivity)
Opis: Analiza operacji usługi Azure Resource Manager wykryła nietypowe zachowanie tożsamości zarządzanej używanej przez dodatek usługi AKS. Wykryte działanie nie jest zgodne z zachowaniem skojarzonego dodatku. Chociaż to działanie może być uzasadnione, takie zachowanie może wskazywać, że tożsamość została uzyskana przez osobę atakującą, prawdopodobnie z naruszonego kontenera w klastrze Kubernetes.
Taktyka MITRE: Ruch boczny
Ważność: średni rozmiar
Wykryto nietypową operację konta usługi Kubernetes
(K8S_ServiceAccountRareOperation)
Opis: Analiza dziennika inspekcji kubernetes wykryła nietypowe zachowanie przez konto usługi w klastrze Kubernetes. Konto usługi zostało użyte na potrzeby operacji, która nie jest powszechna dla tego konta usługi. Chociaż to działanie może być uzasadnione, takie zachowanie może wskazywać, że konto usługi jest używane do złośliwych celów.
Taktyka MITRE: ruch boczny, dostęp poświadczeń
Ważność: średni rozmiar
Wykryto nietypową próbę połączenia
(K8S. NODE_Suspect Połączenie ion) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła nietypową próbę połączenia przy użyciu protokołu skarpetek. Jest to bardzo rzadkie w normalnych operacjach, ale znana technika dla osób atakujących próbujących pominąć wykrywanie warstwy sieciowej.
Taktyka MITRE: wykonywanie, eksfiltracja, wykorzystywanie
Ważność: średni rozmiar
Podjęto próbę zatrzymania wykrytej usługi apt-daily-upgrade.timer
(K8S. NODE_TimerServiceDisabled) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła próbę zatrzymania usługi apt-daily-upgrade.timer. Osoby atakujące zaobserwowały zatrzymanie tej usługi w celu pobrania złośliwych plików i przyznania uprawnień do wykonywania ataków. To działanie może również wystąpić, jeśli usługa jest aktualizowana za pomocą normalnych akcji administracyjnych.
Taktyka MITRE: DefenseEvasion
Ważność: informacyjna
Zachowanie podobne do typowych wykrytych botów systemu Linux (wersja zapoznawcza)
(K8S. NODE_CommonBot)
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonywanie procesu zwykle skojarzonego z typowymi botnetami systemu Linux.
Taktyka MITRE: wykonywanie, zbieranie, sterowanie i sterowanie
Ważność: średni rozmiar
Polecenie w kontenerze z wysokimi uprawnieniami
(K8S. NODE_PrivilegedExecutionInContainer) 1
Opis: Dzienniki maszyn wskazują, że uprzywilejowane polecenie zostało uruchomione w kontenerze platformy Docker. Polecenie uprzywilejowane ma rozszerzone uprawnienia na maszynie hosta.
Taktyka MITRE: PrivilegeEscalation
Ważność: informacyjna
Kontener uruchomiony w trybie uprzywilejowanym
(K8S. NODE_PrivilegedContainerArtifacts) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonanie polecenia platformy Docker, które uruchamia uprzywilejowany kontener. Kontener uprzywilejowany ma pełny dostęp do zasobnika hostingu lub zasobu hosta. W przypadku naruszenia zabezpieczeń osoba atakująca może użyć uprzywilejowanego kontenera, aby uzyskać dostęp do zasobnika lub hosta hostingu.
Taktyka MITRE: PrivilegeEscalation, Execution
Ważność: informacyjna
Wykryto kontener z wykrytym poufnym woluminem
(K8S_SensitiveMount)
Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener z wrażliwym instalowaniem woluminu. Wykryto wolumin jest typem hostPath, który instaluje poufny plik lub folder z węzła do kontenera. W przypadku naruszenia zabezpieczeń kontenera osoba atakująca może użyć tej instalacji w celu uzyskania dostępu do węzła.
Taktyka MITRE: Eskalacja uprawnień
Ważność: informacyjna
Wykryto modyfikację coreDNS na platformie Kubernetes
Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła modyfikację konfiguracji coreDNS. Konfigurację coreDNS można zmodyfikować, przesłaniając jej mapę konfiguracji. Chociaż to działanie może być uzasadnione, jeśli osoby atakujące mają uprawnienia do modyfikowania mapy konfiguracji, mogą zmienić zachowanie serwera DNS klastra i go zatruć.
Taktyka MITRE: Ruch boczny
Ważność: Niska
Wykryto tworzenie konfiguracji elementu webhook przyjęcia
(K8S_AdmissionController) 3
Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła nową konfigurację elementu webhook przyjęcia. Platforma Kubernetes ma dwa wbudowane ogólne kontrolery przyjęć: MutatingAdmissionWebhook i ValidatingAdmissionWebhook. Zachowanie tych kontrolerów przyjęć jest określane przez element webhook przyjęcia, który użytkownik wdraża w klastrze. Użycie takich kontrolerów dostępu może być uzasadnione, jednak osoby atakujące mogą używać takich elementów webhook do modyfikowania żądań (w przypadku MutatingAdmissionWebhook) lub sprawdzania żądań i uzyskiwania poufnych informacji (w przypadku walidacjiAdmissionWebhook).
Taktyka MITRE: Dostęp poświadczeń, Trwałość
Ważność: informacyjna
Wykryto pobieranie pliku ze znanego złośliwego źródła
(K8S. NODE_SuspectDownload) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie pliku ze źródła często używanego do dystrybucji złośliwego oprogramowania.
Taktyka MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Ważność: średni rozmiar
Wykryto pobieranie podejrzanych plików
(K8S. NODE_SuspectDownloadArtifacts) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane pobieranie pliku zdalnego.
Taktyka MITRE: Trwałość
Ważność: informacyjna
Wykryto podejrzane użycie polecenia nohup
(K8S. NODE_SuspectNohup) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane użycie polecenia nohup. Osoby atakujące były postrzegane za pomocą polecenia nohup do uruchamiania ukrytych plików z katalogu tymczasowego w celu umożliwienia uruchamiania plików wykonywalnych w tle. Rzadko zdarza się, aby to polecenie było uruchamiane w ukrytych plikach znajdujących się w katalogu tymczasowym.
Taktyka MITRE: Trwałość, DefenseEvasion
Ważność: średni rozmiar
Wykryto podejrzane użycie polecenia useradd
(K8S. NODE_SuspectUserAddition) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane użycie polecenia useradd.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Wykryto kontener wyszukiwania walut cyfrowych
(K8S_MaliciousContainerImage) 3
Opis: Analiza dziennika inspekcji kubernetes wykryła kontener, który ma obraz skojarzony z narzędziem do wyszukiwania walut cyfrowych.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
(K8S. NODE_DigitalCurrencyMining) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem waluty cyfrowej.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto operację kompilacji platformy Docker w węźle Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła operację kompilacji obrazu kontenera w węźle Kubernetes. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą lokalnie tworzyć złośliwe obrazy, aby uniknąć wykrywania.
Taktyka MITRE: DefenseEvasion
Ważność: informacyjna
Wykryto ujawniony pulpit nawigacyjny kubeflow
(K8S_ExposedKubeflow)
Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie ruchu przychodzącego Istio przez moduł równoważenia obciążenia w klastrze z uruchomionym rozwiązaniem Kubeflow. Ta akcja może uwidocznić pulpit nawigacyjny platformy Kubeflow w Internecie. Jeśli pulpit nawigacyjny jest uwidoczniony w Internecie, osoby atakujące mogą uzyskać do niego dostęp i uruchomić złośliwe kontenery lub kod w klastrze. Więcej szczegółów można znaleźć w następującym artykule: https://aka.ms/exposedkubeflow-blog
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Wykryto ujawniony pulpit nawigacyjny platformy Kubernetes
(K8S_ExposedDashboard)
Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła narażenie pulpitu nawigacyjnego Kubernetes przez usługę LoadBalancer. Uwidoczniony pulpit nawigacyjny umożliwia nieuwierzytelniony dostęp do zarządzania klastrem i stanowi zagrożenie bezpieczeństwa.
Taktyka MITRE: dostęp początkowy
Ważność: Wysoka
Wykryto ujawnioną usługę Kubernetes
(K8S_ExposedService)
Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie usługi przez moduł równoważenia obciążenia. Ta usługa jest powiązana z wrażliwą aplikacją, która umożliwia wykonywanie operacji o dużym wpływie w klastrze, takich jak uruchamianie procesów w węźle lub tworzenie nowych kontenerów. W niektórych przypadkach ta usługa nie wymaga uwierzytelniania. Jeśli usługa nie wymaga uwierzytelniania, uwidacznianie jej w Internecie stanowi zagrożenie bezpieczeństwa.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Wykryto ujawnioną usługę Redis w usłudze AKS
(K8S_ExposedRedis)
Opis: Analiza dziennika inspekcji kubernetes wykryła narażenie usługi Redis przez moduł równoważenia obciążenia. Jeśli usługa nie wymaga uwierzytelniania, uwidacznianie jej w Internecie stanowi zagrożenie bezpieczeństwa.
Taktyka MITRE: dostęp początkowy
Ważność: Niska
Wykryto wskaźniki skojarzone z zestawem narzędzi DDOS
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła nazwy plików, które są częścią zestawu narzędzi skojarzonego ze złośliwym oprogramowaniem, które umożliwia uruchamianie ataków DDoS, otwieranie portów i usług oraz przejęcie pełnej kontroli nad zainfekowanym systemem. Może to być również uzasadnione działanie.
Taktyka MITRE: Trwałość, LateralMovement, Wykonywanie, Wykorzystywanie
Ważność: średni rozmiar
Wykryto żądania interfejsu API K8S z adresu IP serwera proxy
(K8S_TI_Proxy) 3
Opis: Analiza dziennika inspekcji platformy Kubernetes wykryła żądania interfejsu API do klastra z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy osoby atakujące próbują ukryć źródłowy adres IP.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Usunięto zdarzenia kubernetes
Opis: Defender dla Chmury wykrył, że niektóre zdarzenia kubernetes zostały usunięte. Zdarzenia kubernetes to obiekty na platformie Kubernetes zawierające informacje o zmianach w klastrze. Osoby atakujące mogą usunąć te zdarzenia w celu ukrycia operacji w klastrze.
Taktyka MITRE: Uchylanie się od obrony
Ważność: Niska
Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes
(K8S_PenTestToolsKubeHunter)
Opis: Analiza dziennika inspekcji kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze usługi AKS. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Microsoft Defender dla Chmury alert testowy (nie zagrożenie).
(K8S. NODE_EICAR) 1
Opis: Jest to alert testowy wygenerowany przez Microsoft Defender dla Chmury. Nie trzeba wykonywać dalszych akcji.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto nowy kontener w przestrzeni nazw kube-system
(K8S_KubeSystemContainer) 3
Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener w przestrzeni nazw kube-system, która nie znajduje się wśród kontenerów, które normalnie działają w tej przestrzeni nazw. Przestrzenie nazw kube-system nie powinny zawierać zasobów użytkownika. Osoby atakujące mogą używać tej przestrzeni nazw do ukrywania złośliwych składników.
Taktyka MITRE: Trwałość
Ważność: informacyjna
Wykryto nową rolę o wysokich uprawnieniach
(K8S_HighPrivilegesRole) 3
Opis: Analiza dziennika inspekcji kubernetes wykryła nową rolę z wysokimi uprawnieniami. Powiązanie z rolą z wysokimi uprawnieniami daje użytkownikowi\grupie wysokie uprawnienia w klastrze. Niepotrzebne uprawnienia mogą powodować eskalację uprawnień w klastrze.
Taktyka MITRE: Trwałość
Ważność: informacyjna
Wykryto możliwe narzędzie do ataku
(K8S. NODE_KnownLinuxAttackTool) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzane wywołanie narzędzia. To narzędzie jest często kojarzone ze złośliwymi użytkownikami atakującymi innych użytkowników.
Taktyka MITRE: wykonywanie, zbieranie, sterowanie i kontrola, sondowanie
Ważność: średni rozmiar
Wykryto możliwe backdoor
(K8S. NODE_LinuxBackdoorArtifact) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie i uruchamianie podejrzanego pliku. To działanie zostało wcześniej skojarzone z instalacją backdoor.
Taktyka MITRE: Trwałość, ObronaEvasion, Wykonywanie, Wyzysk
Ważność: średni rozmiar
Możliwa próba wykorzystania wiersza polecenia
(K8S. NODE_ExploitAttempt) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła możliwą próbę wykorzystania znanej luki w zabezpieczeniach.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Wykryto możliwe narzędzie dostępu do poświadczeń
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że w kontenerze uruchomiono możliwe znane narzędzie dostępu do poświadczeń, zidentyfikowane przez określony proces i element historii wiersza polecenia. To narzędzie jest często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń.
Taktyka MITRE: CredentialAccess
Ważność: średni rozmiar
Wykryto możliwe pobranie crypto bitcoinminer
(K8S. NODE_CryptoCoinMinerDownload) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła pobieranie pliku zwykle skojarzonego z funkcją wyszukiwania walut cyfrowych.
Taktyka MITRE: DefenseEvasion, Command And Control, Wyzysk
Ważność: średni rozmiar
Wykryto możliwe działanie manipulowania dziennikami
(K8S. NODE_SystemLogRemoval) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła możliwe usunięcie plików śledzących aktywność użytkownika w trakcie jego działania. Osoby atakujące często próbują uniknąć wykrywania i nie pozostawiają śladu złośliwych działań, usuwając takie pliki dziennika.
Taktyka MITRE: DefenseEvasion
Ważność: średni rozmiar
Możliwa zmiana hasła przy użyciu wykrytej metody crypt
(K8S. NODE_SuspectPasswordChange) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła zmianę hasła przy użyciu metody crypt. Osoby atakujące mogą wprowadzić tę zmianę, aby kontynuować dostęp i uzyskać trwałość po naruszeniu zabezpieczeń.
Taktyka MITRE: CredentialAccess
Ważność: średni rozmiar
Potencjalne przekazywanie portów do zewnętrznego adresu IP
(K8S. NODE_SuspectPortForwarding) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła zainicjowanie przekazywania portów do zewnętrznego adresu IP.
Taktyka MITRE: eksfiltracja, sterowanie i kontrola
Ważność: średni rozmiar
Wykryto potencjalną powłokę odwrotną
(K8S. NODE_ReverseShell) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła potencjalną powłokę odwrotną. Są one używane do uzyskania naruszonej maszyny w celu wywołania z powrotem do maszyny, która jest właścicielem osoby atakującej.
Taktyka MITRE: Eksfiltracja, wyzysk
Ważność: średni rozmiar
Wykryto kontener uprzywilejowany
(K8S_PrivilegedContainer)
Opis: Analiza dziennika inspekcji kubernetes wykryła nowy kontener uprzywilejowany. Uprzywilejowany kontener ma dostęp do zasobów węzła i przerywa izolację między kontenerami. W przypadku naruszenia zabezpieczeń osoba atakująca może użyć uprzywilejowanego kontenera, aby uzyskać dostęp do węzła.
Taktyka MITRE: Eskalacja uprawnień
Ważność: informacyjna
Wykryto proces związany z wyszukiwaniem walut cyfrowych
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Opis: Analiza procesów uruchomionych w kontenerze wykryła wykonywanie procesu zwykle skojarzonego z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: Wykonywanie, wykorzystywanie
Ważność: średni rozmiar
Proces uzyskiwania dostępu do pliku kluczy autoryzowanych przez protokół SSH w nietypowy sposób
(K8S. NODE_SshKeyAccess) 1
Opis: dostęp do pliku authorized_keys SSH był uzyskiwany w metodzie podobnej do znanych kampanii złośliwego oprogramowania. Ten dostęp może oznaczać, że aktor próbuje uzyskać trwały dostęp do maszyny.
Taktyka MITRE: Nieznany
Ważność: informacyjna
Wykryto powiązanie roli z rolą administratora klastra
(K8S_Cluster Administracja Binding)
Opis: Analiza dziennika inspekcji kubernetes wykryła nowe powiązanie z rolą administratora klastra, która daje uprawnienia administratora. Niepotrzebne uprawnienia administratora mogą spowodować eskalację uprawnień w klastrze.
Taktyka MITRE: Trwałość
Ważność: informacyjna
Wykryto zakończenie procesu związane z zabezpieczeniami
(K8S. NODE_SuspectProcessTermination) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła próbę zakończenia procesów związanych z monitorowaniem zabezpieczeń w kontenerze. Osoby atakujące często próbują zakończyć takie procesy przy użyciu wstępnie zdefiniowanych skryptów po naruszeniu zabezpieczeń.
Taktyka MITRE: Trwałość
Ważność: Niska
Serwer SSH działa wewnątrz kontenera
(K8S. NODE_ContainerSSH) 1
Opis: Analiza procesów uruchomionych w kontenerze wykryła serwer SSH działający wewnątrz kontenera.
Taktyka MITRE: Wykonywanie
Ważność: informacyjna
Modyfikacja podejrzanego znacznika czasu pliku
(K8S. NODE_TimestampTampering) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzaną modyfikację znacznika czasu. Osoby atakujące często kopiują znaczniki czasu z istniejących legalnych plików do nowych narzędzi, aby uniknąć wykrywania tych nowo porzuconych plików.
Taktyka MITRE: Trwałość, DefenseEvasion
Ważność: Niska
Podejrzane żądanie do interfejsu API platformy Kubernetes
(K8S. NODE_KubernetesAPI) 1
Opis: Analiza procesów uruchomionych w kontenerze wskazuje, że do interfejsu API Kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z kontenera w klastrze. Mimo że to zachowanie może być zamierzone, może to oznaczać, że w klastrze działa naruszony kontener.
Taktyka MITRE: LateralMovement
Ważność: średni rozmiar
Podejrzane żądanie do pulpitu nawigacyjnego platformy Kubernetes
(K8S. NODE_KubernetesDashboard) 1
Opis: Analiza procesów uruchomionych w kontenerze wskazuje, że do pulpitu nawigacyjnego kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z kontenera w klastrze. Mimo że to zachowanie może być zamierzone, może to oznaczać, że w klastrze działa naruszony kontener.
Taktyka MITRE: LateralMovement
Ważność: średni rozmiar
Potencjalny górnik monet kryptograficznych rozpoczął
(K8S. NODE_CryptoCoinMinerExecution) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że proces jest uruchamiany w sposób zwykle skojarzony z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Podejrzany dostęp do hasła
(K8S. NODE_SuspectPasswordFileAccess) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzaną próbę uzyskania dostępu do zaszyfrowanych haseł użytkowników.
Taktyka MITRE: Trwałość
Ważność: informacyjna
Wykryto możliwą złośliwą powłokę sieci Web.
(K8S. NODE_Webshell) 1
Opis: Analiza procesów uruchomionych w kontenerze wykryła możliwą powłokę internetową. Osoby atakujące często przekazują powłokę internetową do zasobu obliczeniowego, którego bezpieczeństwo zostało naruszone w celu uzyskania trwałości lub dalszego wykorzystania.
Taktyka MITRE: trwałość, wykorzystywanie
Ważność: średni rozmiar
Wybuch wielu poleceń rekonesansu może wskazywać na początkową aktywność po naruszeniu zabezpieczeń
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Opis: Analiza danych hosta/urządzenia wykryła wykonanie wielu poleceń rekonesansu związanych z gromadzeniem szczegółów systemu lub hosta wykonywanych przez osoby atakujące po początkowym naruszeniu zabezpieczeń.
Taktyka MITRE: Odnajdywanie, Kolekcja
Ważność: Niska
Podejrzane pobieranie, a następnie działanie uruchamiania
(K8S. NODE_DownloadAndRunCombo) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła, że plik jest pobierany, a następnie uruchamiany w tym samym poleceniu. Chociaż nie zawsze jest to złośliwe, jest to bardzo powszechna technika używana przez osoby atakujące do pobierania złośliwych plików na maszyny ofiar.
Taktyka MITRE: Wykonywanie, CommandAndControl, Wyzysk
Ważność: średni rozmiar
Wykryto dostęp do pliku kubelet kubeconfig
(K8S. NODE_KubeConfigAccess) 1
Opis: Analiza procesów uruchomionych w węźle klastra Kubernetes wykryła dostęp do pliku kubeconfig na hoście. Plik kubeconfig, zwykle używany przez proces Kubelet, zawiera poświadczenia serwera interfejsu API klastra Kubernetes. Dostęp do tego pliku jest często skojarzony z osobami atakującymi próbującymi uzyskać dostęp do tych poświadczeń lub za pomocą narzędzi do skanowania zabezpieczeń, które sprawdzają, czy plik jest dostępny.
Taktyka MITRE: CredentialAccess
Ważność: średni rozmiar
Wykryto dostęp do usługi metadanych w chmurze
(K8S. NODE_ImdsCall) 1
Opis: Analiza procesów uruchomionych w kontenerze wykryła dostęp do usługi metadanych w chmurze w celu uzyskania tokenu tożsamości. Kontener zwykle nie wykonuje takiej operacji. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać tej techniki do uzyskiwania dostępu do zasobów w chmurze po uzyskaniu początkowego dostępu do uruchomionego kontenera.
Taktyka MITRE: CredentialAccess
Ważność: średni rozmiar
Wykryto agenta MITRE Caldera
(K8S. NODE_MitreCalderaTools) 1
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła podejrzany proces. Jest to często związane z agentem MITRE 54ndc47, który może być używany złośliwie do ataku na inne maszyny.
Taktyka MITRE: Trwałość, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Sondowanie, Wykorzystywanie
Ważność: średni rozmiar
1: Wersja zapoznawcza klastrów innych niż AKS: ten alert jest ogólnie dostępny dla klastrów usługi AKS, ale jest w wersji zapoznawczej dla innych środowisk, takich jak Azure Arc, EKS i GKE.
2: Ograniczenia dotyczące klastrów GKE: usługa GKE używa zasad inspekcji platformy Kubernetes, które nie obsługują wszystkich typów alertów. W związku z tym ten alert zabezpieczeń, który jest oparty na zdarzeniach inspekcji platformy Kubernetes, nie jest obsługiwany w przypadku klastrów GKE.
3: Ten alert jest obsługiwany w węzłach/kontenerach systemu Windows.
Alerty dotyczące usług SQL Database i Azure Synapse Analytics
Możliwa luka w zabezpieczeniach dotycząca wstrzyknięcia kodu SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Opis: aplikacja wygenerowała wadliwą instrukcję SQL w bazie danych. Może to wskazywać na możliwą lukę w zabezpieczeniach przed atakami polegającymi na wstrzyknięciu kodu SQL. Istnieją dwa możliwe przyczyny błędnej instrukcji. Usterka w kodzie aplikacji mogła skonstruować wadliwą instrukcję SQL. Lub kod aplikacji lub procedury składowane nie oczyszczały danych wejściowych użytkownika podczas konstruowania błędnej instrukcji SQL, która może być wykorzystywana do wstrzykiwania kodu SQL.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Próba logowania przez potencjalnie szkodliwą aplikację
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Opis: Potencjalnie szkodliwa aplikacja próbowała uzyskać dostęp do zasobu.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Logowanie z nietypowego centrum danych platformy Azure
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowego centrum danych platformy Azure. W niektórych przypadkach alert wykrywa legalną akcję (nową aplikację lub usługę platformy Azure). W innych przypadkach alert wykrywa złośliwą akcję (atakujący działa z naruszonego zasobu na platformie Azure).
Taktyka MITRE: Sondowanie
Ważność: Niska
Logowanie z nietypowej lokalizacji
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowej lokalizacji geograficznej. W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja lub konserwacja przeprowadzana przez deweloperów). W innych przypadkach alert wykrywa złośliwe działanie (byłego pracownika lub zewnętrznego atakującego).
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie od głównego użytkownika, który nie był widoczny w ciągu 60 dni
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Opis: Główny użytkownik, który nie był widoczny w ciągu ostatnich 60 dni, zalogował się do bazy danych. Jeśli ta baza danych jest nowa lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do bazy danych, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z domeny nie jest widoczne w ciągu 60 dni
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Opis: Użytkownik zalogował się do zasobu z domeny, z którego żaden inny użytkownik nie nawiązał połączenia w ciągu ostatnich 60 dni. Jeśli ten zasób jest nowy lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do zasobu, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z podejrzanego adresu IP
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Opis: Zasób został pomyślnie uzyskany z adresu IP skojarzonego z podejrzanymi działaniami przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Potencjalne wstrzyknięcie kodu SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Opis: Wystąpił aktywny atak wykorzystujący zidentyfikowaną aplikację podatną na wstrzyknięcie kodu SQL. Oznacza to, że osoba atakująca próbuje wstrzyknąć złośliwe instrukcje SQL przy użyciu kodu aplikacji podatnej na zagrożenia lub procedur składowanych.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy przy użyciu prawidłowego użytkownika
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób. Osoba atakująca używa prawidłowego użytkownika (nazwy użytkownika), który ma uprawnienia do logowania.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzenie pomyślnego ataku siłowego
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Logowanie powiodło się po pozornym ataku siłowym na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Program SQL Server potencjalnie wywołał powłokę poleceń systemu Windows i uzyskiwał dostęp do nietypowego źródła zewnętrznego
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Opis: podejrzana instrukcja SQL potencjalnie wywołała powłokę poleceń systemu Windows z zewnętrznym źródłem, które nie było wcześniej widoczne. Wykonanie powłoki, która uzyskuje dostęp do zewnętrznego źródła, jest metodą używaną przez osoby atakujące do pobierania złośliwego ładunku, a następnie wykonywania go na maszynie i naruszenia zabezpieczeń. Dzięki temu osoba atakująca może wykonywać złośliwe zadania w kierunku zdalnym. Alternatywnie dostęp do zewnętrznego źródła może służyć do eksfiltracji danych do zewnętrznego miejsca docelowego.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Nietypowy ładunek z zaciemnionymi częściami został zainicjowany przez program SQL Server
(SQL. VM_PotentialSqlInjection)
Opis: Ktoś zainicjował nowy ładunek korzystający z warstwy w programie SQL Server, która komunikuje się z systemem operacyjnym, ukrywając polecenie w zapytaniu SQL. Osoby atakujące często ukrywają mające wpływ polecenia, które są często monitorowane, takie jak xp_cmdshell, sp_add_job i inne. Techniki zaciemniania nadużywają uzasadnionych poleceń, takich jak łączenie ciągów, rzutowanie, zmiana podstawy i inne, aby uniknąć wykrywania wyrażeń regularnych i zaszkodzić czytelności dzienników.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Alerty dotyczące relacyjnych baz danych typu open source
Podejrzany atak siłowy przy użyciu prawidłowego użytkownika
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób. Osoba atakująca używa prawidłowego użytkownika (nazwy użytkownika), który ma uprawnienia do logowania.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzenie pomyślnego ataku siłowego
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Opis: Logowanie powiodło się po pozornym ataku siłowym na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Próba logowania przez potencjalnie szkodliwą aplikację
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Opis: Potencjalnie szkodliwa aplikacja próbowała uzyskać dostęp do zasobu.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Logowanie od głównego użytkownika, który nie był widoczny w ciągu 60 dni
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Opis: Główny użytkownik, który nie był widoczny w ciągu ostatnich 60 dni, zalogował się do bazy danych. Jeśli ta baza danych jest nowa lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do bazy danych, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z domeny nie jest widoczne w ciągu 60 dni
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Opis: Użytkownik zalogował się do zasobu z domeny, z którego żaden inny użytkownik nie nawiązał połączenia w ciągu ostatnich 60 dni. Jeśli ten zasób jest nowy lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do zasobu, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z nietypowego centrum danych platformy Azure
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Opis: Ktoś zalogował się do zasobu z nietypowego centrum danych platformy Azure.
Taktyka MITRE: Sondowanie
Ważność: Niska
Logowanie z nietypowego dostawcy usług w chmurze
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Opis: Ktoś zalogował się do zasobu od dostawcy usług w chmurze, który nie był widoczny w ciągu ostatnich 60 dni. Aktorzy zagrożeń mogą szybko i łatwo uzyskać jednorazową moc obliczeniową do użycia w swoich kampaniach. Jeśli jest to oczekiwane zachowanie spowodowane niedawnym wdrożeniem nowego dostawcy usług w chmurze, Defender dla Chmury nauczy się z upływem czasu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z nietypowej lokalizacji
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Opis: Ktoś zalogował się do zasobu z nietypowego centrum danych platformy Azure.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z podejrzanego adresu IP
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Opis: Zasób został pomyślnie uzyskany z adresu IP skojarzonego z podejrzanymi działaniami przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Alerty dotyczące usługi Resource Manager
Uwaga
Alerty ze wskazaniem dostępu delegowanego są wyzwalane z powodu aktywności dostawców usług innych firm. dowiedz się więcej na temat wskazówek dotyczących aktywności dostawców usług.
Operacja usługi Azure Resource Manager z podejrzanego adresu IP
(ARM_OperationFromSuspiciousIP)
Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy
(ARM_OperationFromSuspiciousProxyIP)
Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Zestaw narzędzi do wykorzystywania mikroburst używany do wyliczania zasobów w subskrypcjach
(ARM_MicroBurst.AzDomainInfo)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania operacji zbierania informacji w celu odnajdywania zasobów, uprawnień i struktur sieciowych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do zbierania informacji o złośliwych działaniach. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: -
Ważność: Niska
Zestaw narzędzi do wykorzystywania mikroburst używany do wyliczania zasobów w subskrypcjach
(ARM_MicroBurst.AzureDomainInfo)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania operacji zbierania informacji w celu odnajdywania zasobów, uprawnień i struktur sieciowych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do zbierania informacji o złośliwych działaniach. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: -
Ważność: Niska
Zestaw narzędzi do wykorzystywania mikroburst używany do wykonywania kodu na maszynie wirtualnej
(ARM_MicroBurst.AzVMBulkCMD)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania kodu na maszynie wirtualnej lub na liście maszyn wirtualnych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do uruchamiania skryptu na maszynie wirtualnej pod kątem złośliwych działań. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania mikroburst używany do wykonywania kodu na maszynie wirtualnej
(RM_MicroBurst.AzureRmVMBulkCMD)
Opis: Zestaw narzędzi do wykorzystywania mikroburstu został użyty do wykonywania kodu na maszynach wirtualnych. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania kluczy z magazynów kluczy platformy Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania kluczy z usługi Azure Key Vault. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy kluczy i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania kluczy do kont magazynu
(ARM_MicroBurst.AZStorageKeysREST)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania kluczy do kont magazynu. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy kluczy i używania ich do uzyskiwania dostępu do poufnych danych na kontach magazynu. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: Kolekcja
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania wpisów tajnych z magazynów kluczy platformy Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania wpisów tajnych z usługi Azure Key Vault. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy wpisów tajnych i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania usługi PowerZure używany do podniesienia poziomu dostępu z usługi Azure AD do platformy Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure został użyty do podniesienia poziomu dostępu z usługi AzureAD do platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w dzierżawie.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania usługi PowerZure używany do wyliczania zasobów
(ARM_PowerZure.GetAzureTargets)
Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure został użyty do wyliczania zasobów w imieniu wiarygodnego konta użytkownika w organizacji. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: Kolekcja
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania usługi PowerZure służący do wyliczania kontenerów magazynu, udziałów i tabel
(ARM_PowerZure.ShowStorageContent)
Opis: Do wyliczania udziałów magazynu, tabel i kontenerów użyto zestawu narzędzi do wykorzystywania pakietu PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania pakietu PowerZure używany do wykonywania elementu Runbook w ramach subskrypcji
(ARM_PowerZure.StartRunbook)
Opis: Do wykonania elementu Runbook użyto zestawu narzędzi do wykorzystywania pakietu PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Zestaw narzędzi do wykorzystywania elementu PowerZure używany do wyodrębniania zawartości elementów Runbook
(ARM_PowerZure.AzureRunbookContent)
Opis: Do wyodrębniania zawartości elementu Runbook użyto zestawu narzędzi do wykorzystywania zestawu narzędzi PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: Kolekcja
Ważność: Wysoka
WERSJA ZAPOZNAWCZA — wykryto uruchomienie zestawu narzędzi Azurite
(ARM_Azurite)
Opis: w twoim środowisku wykryto znany przebieg zestawu narzędzi do rozpoznawania środowiska w chmurze. Narzędzie Azurite może służyć atakującemu (lub testerowi penetracyjnemu) do mapowania zasobów subskrypcji i identyfikowania niezabezpieczonych konfiguracji.
Taktyka MITRE: Kolekcja
Ważność: Wysoka
WERSJA ZAPOZNAWCZA — wykryto podejrzane tworzenie zasobów obliczeniowych
(ARM_SuspiciousComputeCreation)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane tworzenie zasobów obliczeniowych w ramach subskrypcji korzystającej z zestawu skalowania maszyn wirtualnych/platformy Azure. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami przez wdrożenie nowych zasobów w razie potrzeby. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do prowadzenia wyszukiwania kryptograficznego. Działanie jest uznawane za podejrzane, ponieważ skala zasobów obliczeniowych jest wyższa niż wcześniej obserwowana w ramach subskrypcji. Może to oznaczać, że podmiot zabezpieczeń jest naruszony i jest używany ze złośliwymi intencjami.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — wykryto podejrzane odzyskiwanie magazynu kluczy
(Arm_Suspicious_Vault_Recovering)
Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła podejrzaną operację odzyskiwania dla nietrwałego zasobu magazynu kluczy. Użytkownik odzyskujący zasób różni się od użytkownika, który go usunął. Jest to bardzo podejrzane, ponieważ użytkownik rzadko wywołuje taką operację. Ponadto użytkownik zalogował się bez uwierzytelniania wieloskładnikowego (MFA). Może to oznaczać, że bezpieczeństwo użytkownika zostało naruszone i próbuje odnaleźć wpisy tajne i klucze w celu uzyskania dostępu do poufnych zasobów lub przeprowadzić ruch poprzeczny w sieci.
Taktyka MITRE: ruch boczny
Ważność: średni/wysoki
WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu nieaktywnego konta
(ARM_UnusedAccountPersistence)
Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie jest używany przez długi czas, wykonuje teraz akcje, które mogą zabezpieczyć trwałość osoby atakującej.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.CredentialAccess)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.Collection)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Uchylanie się od obrony" wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.DefenseEvasion)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.Execution)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: Wykonywanie obrony
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Impact" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.Impact)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Wstępny dostęp" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.InitialAccess)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Dostęp do ruchu bocznego" wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.LateralMovement)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje, aby naruszyć bezpieczeństwo większej ilości zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: ruch boczny
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "trwałości" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.Persistence)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Eskalacja uprawnień" wysokiego ryzyka wykrytej przez jednostkę usługi
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.
Taktyka MITRE: eskalacja uprawnień
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu nieaktywnego konta
(ARM_UnusedAccountPersistence)
Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie jest używany przez długi czas, wykonuje teraz akcje, które mogą zabezpieczyć trwałość osoby atakującej.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu programu PowerShell
(ARM_UnusedAppPowershellPersistence)
Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie regularnie używa programu PowerShell do zarządzania środowiskiem subskrypcji, korzysta teraz z programu PowerShell i wykonuje akcje, które mogą zabezpieczyć trwałość osoby atakującej.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu witryny Azure Portal
(ARM_UnusedAppIbizaPersistence)
Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie regularnie używa witryny Azure Portal (Ibiza) do zarządzania środowiskiem subskrypcji (nie używał witryny Azure Portal do zarządzania przez ostatnie 45 dni ani subskrypcji, którą aktywnie zarządza), korzysta teraz z witryny Azure Portal i wykonuje akcje, które mogą zabezpieczyć trwałość osoby atakującej.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Rola niestandardowa uprzywilejowana utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza)
(ARM_PrivilegedRoleDefinitionCreation)
Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła podejrzane tworzenie definicji roli niestandardowej uprzywilejowanej w ramach subskrypcji. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia.
TAKTYKA MITRE: Eskalacja uprawnień, Uchylanie się od obrony
Ważność: informacyjna
Wykryto podejrzane przypisanie roli platformy Azure (wersja zapoznawcza)
(ARM_AnomalousRBACRoleAssignment)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane przypisanie roli platformy Azure / wykonane przy użyciu usługi PIM (Privileged Identity Management) w dzierżawie, co może wskazywać, że bezpieczeństwo konta w organizacji zostało naruszone. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom udzielanie podmiotom zabezpieczeń dostępu do zasobów platformy Azure. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać przypisanie roli do eskalacji swoich uprawnień, co pozwoli im na postęp ataku.
Taktyka MITRE: Ruch poprzeczny, uchylanie się od obrony
Ważność: Niska (PIM) / Wysoka
Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.CredentialAccess)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.Collection)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza)
(ARM_AnomalousOperation.DefenseEvasion)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.Execution)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza)
(ARM_AnomalousOperation.Impact)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Dostęp początkowy" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.InitialAccess)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Ruch poprzeczny" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.LateralMovement)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje, aby naruszyć bezpieczeństwo większej ilości zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Ruch boczny
Ważność: średni rozmiar
Podejrzana operacja podniesienia poziomu dostępu (wersja zapoznawcza)(ARM_AnomalousElevateAccess)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzaną operację "Podnieś poziom dostępu". Działanie jest uznawane za podejrzane, ponieważ ten podmiot zabezpieczeń rzadko wywołuje takie operacje. Chociaż to działanie może być uzasadnione, aktor zagrożenia może użyć operacji "Podnieś poziom dostępu", aby przeprowadzić eskalację uprawnień dla naruszonego użytkownika.
Taktyka MITRE: Eskalacja uprawnień
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.Persistence)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Wykryto podejrzane wywołanie operacji wysokiego ryzyka "Eskalacja uprawnień" (wersja zapoznawcza)
(ARM_AnomalousOperation.PrivilegeEscalation)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.
Taktyka MITRE: Eskalacja uprawnień
Ważność: średni rozmiar
Użycie zestawu narzędzi do wykorzystywania mikroburst do uruchamiania dowolnego kodu lub eksfiltrowania poświadczeń konta usługi Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania dowolnego kodu lub eksfiltracji poświadczeń konta usługi Azure Automation. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do uruchamiania dowolnego kodu w poszukiwaniu złośliwych działań. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.
Taktyka MITRE: trwałość, dostęp poświadczeń
Ważność: Wysoka
Użycie technik NetSPI w celu zachowania trwałości w środowisku platformy Azure
(ARM_NetSPI.MaintainPersistence)
Opis: Użycie techniki trwałości interfejsu NetSPI w celu utworzenia zaplecza elementu webhook i utrzymania trwałości w środowisku platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Użycie zestawu narzędzi do wykorzystywania usługi PowerZure do uruchamiania dowolnego kodu lub eksfiltrowania poświadczeń konta usługi Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure wykrył próbę uruchomienia kodu lub eksfiltracji poświadczeń konta usługi Azure Automation. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Użycie funkcji PowerZure w celu zachowania trwałości w środowisku platformy Azure
(ARM_PowerZure.MaintainPersistence)
Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure wykrył utworzenie zaplecza elementu webhook w celu zachowania trwałości w środowisku platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane przypisanie roli klasycznej (wersja zapoznawcza)
(ARM_AnomalousClassicRoleAssignment)
Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane przypisanie roli klasycznej w dzierżawie, co może wskazywać, że bezpieczeństwo konta w organizacji zostało naruszone. Zidentyfikowane operacje zostały zaprojektowane w celu zapewnienia zgodności z poprzednimi wersjami z rolami klasycznymi, które nie są już powszechnie używane. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie przypisanie, aby udzielić uprawnień do innego konta użytkownika pod ich kontrolą.
Taktyka MITRE: Ruch poprzeczny, uchylanie się od obrony
Ważność: Wysoka
Alerty dotyczące usługi Azure Storage
Dostęp z podejrzanej aplikacji
(Storage.Blob_SuspiciousApp)
Opis: wskazuje, że podejrzana aplikacja pomyślnie uzyskała dostęp do kontenera konta magazynu z uwierzytelnianiem. Może to oznaczać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji. Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2
Taktyka MITRE: dostęp początkowy
Ważność: wysoka/średnia
Dostęp z podejrzanego adresu IP
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Opis: wskazuje, że dostęp do tego konta magazynu został pomyślnie uzyskany z adresu IP, który jest uważany za podejrzany. Ten alert jest obsługiwany przez usługę Microsoft Threat Intelligence. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktyka MITRE: Atak przed atakiem
Ważność: Wysoki/Średni/Niski
Wyłudzanie informacji hostowanych na koncie magazynu
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Opis: adres URL używany w ataku wyłudzania informacji wskazuje konto usługi Azure Storage. Ten adres URL był częścią ataku wyłudzającego informacje mającego wpływ na użytkowników platformy Microsoft 365. Zazwyczaj zawartość hostowana na takich stronach jest przeznaczona do wprowadzania poświadczeń firmowych lub informacji finansowych do formularza internetowego, który wygląda legalnie. Ten alert jest obsługiwany przez usługę Microsoft Threat Intelligence. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: Azure Blob Storage, Azure Files
Taktyka MITRE: Kolekcja
Ważność: Wysoka
Konto magazynu zidentyfikowane jako źródło dystrybucji złośliwego oprogramowania
(Storage.Files_WidespreadeAm)
Opis: Alerty ochrony przed złośliwym kodem wskazują, że zainfekowane pliki są przechowywane w udziale plików platformy Azure zainstalowanym na wielu maszynach wirtualnych. Jeśli osoby atakujące uzyskają dostęp do maszyny wirtualnej z zainstalowanym udziałem plików platformy Azure, mogą użyć go do rozpowszechniania złośliwego oprogramowania na innych maszynach wirtualnych, które zainstalują ten sam udział. Dotyczy: Azure Files
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Poziom dostępu potencjalnie poufnego kontenera obiektów blob magazynu został zmieniony, aby umożliwić nieuwierzytelniony dostęp publiczny
(Storage.Blob_OpenACL)
Opis: Alert wskazuje, że ktoś zmienił poziom dostępu kontenera obiektów blob na koncie magazynu, który może zawierać dane poufne, na poziomie "Kontener", aby zezwolić na dostęp publiczny nieuwierzytelniony (anonimowy). Ta zmiana została wprowadzona za pośrednictwem witryny Azure Portal. Na podstawie analizy statystycznej kontener obiektów blob jest oflagowany jako prawdopodobnie zawierający poufne dane. Ta analiza sugeruje, że kontenery obiektów blob lub konta magazynu o podobnych nazwach zwykle nie są widoczne dla dostępu publicznego. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium).
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
Uwierzytelniony dostęp z węzła zakończenia tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Opis: Co najmniej jeden kontener magazynu/ udziały plików na koncie magazynu zostały pomyślnie udostępnione z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają platformy Tor, aby utrudnić śledzenie działania z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktyka MITRE: wstępny dostęp / atak wstępny
Ważność: wysoka/średnia
Dostęp z nietypowej lokalizacji do konta magazynu
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Opis: wskazuje, że nastąpiła zmiana wzorca dostępu do konta usługi Azure Storage. Ktoś uzyskał dostęp do tego konta z adresu IP uważanego za nieznane w porównaniu z ostatnim działaniem. Osoba atakująca uzyskała dostęp do konta lub uprawniony użytkownik nawiązał połączenie z nowej lub nietypowej lokalizacji geograficznej. Przykładem tej drugiej jest zdalna konserwacja z nowej aplikacji lub dewelopera. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktyka MITRE: dostęp początkowy
Ważność: Wysoki/Średni/Niski
Nieuwierzytelniony dostęp do kontenera magazynu
(Storage.Blob_AnonymousAccessAnomaly)
Opis: To konto magazynu było dostępne bez uwierzytelniania, co stanowi zmianę wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożenia mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage
Taktyka MITRE: dostęp początkowy
Ważność: Wysoka/Niska
Potencjalne złośliwe oprogramowanie przekazane na konto magazynu
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Opis: wskazuje, że obiekt blob zawierający potencjalne złośliwe oprogramowanie został przekazany do kontenera obiektów blob lub udziału plików na koncie magazynu. Ten alert jest oparty na analizie reputacji skrótów wykorzystującej możliwości analizy zagrożeń firmy Microsoft, która obejmuje skróty wirusów, trojanów, programów szpiegujących i oprogramowania wymuszającego okup. Potencjalne przyczyny mogą obejmować celowe przekazywanie złośliwego oprogramowania przez osobę atakującą lub niezamierzone przekazanie potencjalnie złośliwego obiektu blob przez uprawnionego użytkownika. Dotyczy: Azure Blob Storage, Azure Files (tylko dla transakcji za pośrednictwem interfejsu API REST) Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft.
Taktyka MITRE: Ruch boczny
Ważność: Wysoka
Pomyślnie odnaleziono publicznie dostępne kontenery magazynu
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Opis: Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie.
Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.
Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Taktyka MITRE: Kolekcja
Ważność: wysoka/średnia
Nie powiodło się skanowanie publicznie dostępnych kontenerów magazynu
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Opis: W ciągu ostatniej godziny wykonano serię nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu.
Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.
Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Taktyka MITRE: Kolekcja
Ważność: Wysoka/Niska
Nietypowa inspekcja dostępu na koncie magazynu
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Opis: wskazuje, że uprawnienia dostępu do konta magazynu zostały sprawdzone w nietypowy sposób w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca przeprowadziła rekonesans na przyszły atak. Dotyczy: Azure Blob Storage, Azure Files
Ważność: wysoka/średnia
Nietypowa ilość danych wyodrębnionych z konta magazynu
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Opis: wskazuje, że wyodrębniono niezwykle dużą ilość danych w porównaniu z ostatnimi działaniami w tym kontenerze magazynu. Potencjalną przyczyną jest to, że osoba atakująca wyodrębniła dużą ilość danych z kontenera, który przechowuje magazyn obiektów blob. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktyka MITRE: Eksfiltracja
Ważność: Wysoka/Niska
Nietypowa aplikacja uzyskiwała dostęp do konta magazynu
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Opis: wskazuje, że nietypowa aplikacja uzyskała dostęp do tego konta magazynu. Potencjalną przyczyną jest to, że osoba atakująca uzyskała dostęp do konta magazynu przy użyciu nowej aplikacji. Dotyczy: Azure Blob Storage, Azure Files
Taktyka MITRE: Wykonywanie
Ważność: wysoka/średnia
Nietypowa eksploracja danych na koncie magazynu
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Opis: wskazuje, że obiekty blob lub kontenery na koncie magazynu zostały wyliczone w sposób nietypowy w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca przeprowadziła rekonesans na przyszły atak. Dotyczy: Azure Blob Storage, Azure Files
Taktyka MITRE: Wykonywanie
Ważność: wysoka/średnia
Nietypowe usuwanie na koncie magazynu
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Opis: wskazuje, że co najmniej jedna nieoczekiwana operacja usuwania wystąpiła na koncie magazynu w porównaniu z ostatnimi działaniami na tym koncie. Potencjalną przyczyną jest to, że osoba atakująca usunęła dane z konta magazynu. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktyka MITRE: Eksfiltracja
Ważność: wysoka/średnia
Nieuwierzytelniony nieuwierzytelniony publiczny dostęp do poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Opis: Alert wskazuje, że ktoś uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu bez uwierzytelniania przy użyciu zewnętrznego (publicznego) adresu IP. Ten dostęp jest podejrzany, ponieważ kontener obiektów blob jest otwarty do dostępu publicznego i jest zwykle uzyskiwany tylko za pomocą uwierzytelniania z sieci wewnętrznych (prywatnych adresów IP). Ten dostęp może wskazywać, że poziom dostępu kontenera obiektów blob jest nieprawidłowo skonfigurowany, a złośliwy aktor mógł wykorzystać dostęp publiczny. Alert zabezpieczeń zawiera odnaleziony kontekst informacji poufnych (czas skanowania, etykieta klasyfikacji, typy informacji i typy plików). Dowiedz się więcej na temat wykrywania zagrożeń poufnych danych. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: dostęp początkowy
Ważność: Wysoka
Nietypowa ilość danych wyodrębnionych z poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Opis: Alert wskazuje, że ktoś wyodrębnił niezwykle dużą ilość danych z kontenera obiektów blob z poufnymi danymi na koncie magazynu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Nietypowa liczba obiektów blob wyodrębnionych z poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Opis: Alert wskazuje, że ktoś wyodrębnił nietypowo dużą liczbę obiektów blob z kontenera obiektów blob z poufnymi danymi na koncie magazynu. Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: Eksfiltracja
Dostęp ze znanej podejrzanej aplikacji do poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_SuspiciousApp.Sensitive
Opis: Alert wskazuje, że ktoś, kto ma znaną podejrzaną aplikację, uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu i wykonywał operacje uwierzytelnione.
Dostęp może wskazywać, że aktor zagrożenia uzyskał poświadczenia dostępu do konta magazynu przy użyciu znanej podejrzanej aplikacji. Jednak dostęp może również wskazywać na test penetracyjne przeprowadzony w organizacji.
Dotyczy: konta magazynu usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: dostęp początkowy
Ważność: Wysoka
Dostęp ze znanego podejrzanego adresu IP do poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_SuspiciousIp.Poufne
Opis: Alert wskazuje, że ktoś uzyskiwał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu ze znanego podejrzanego adresu IP skojarzonego z funkcją intel zagrożeń firmy Microsoft Threat Intelligence. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: Przed atakiem
Ważność: Wysoka
Dostęp z węzła zakończenia tor do poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_TorAnomaly.Poufne
Opis: Alert wskazuje, że ktoś z adresem IP znanym jako węzeł wyjścia Tor uzyskuje dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu z uwierzytelnionym dostępem. Uwierzytelniony dostęp z węzła wyjścia Tor zdecydowanie wskazuje, że aktor próbuje pozostać anonimowy dla możliwej złośliwej intencji. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: Przed atakiem
Ważność: Wysoka
Dostęp z nietypowej lokalizacji do poufnego kontenera obiektów blob (wersja zapoznawcza)
Storage.Blob_GeoAnomaly.Sensitive
Opis: Alert wskazuje, że ktoś uzyskał dostęp do kontenera obiektów blob z poufnymi danymi na koncie magazynu z uwierzytelnianiem z nietypowej lokalizacji. Ponieważ dostęp został uwierzytelniony, możliwe, że poświadczenia zezwalające na dostęp do tego konta magazynu zostały naruszone. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Poziom dostępu poufnego kontenera obiektów blob magazynu został zmieniony, aby zezwolić na nieuwierzytelniony dostęp publiczny (wersja zapoznawcza)
Storage.Blob_OpenACL.Sensitive
Opis: Alert wskazuje, że ktoś zmienił poziom dostępu kontenera obiektów blob na koncie magazynu, który zawiera dane poufne, na poziom "Kontener", który umożliwia nieuwierzytelniony (anonimowy) dostęp publiczny. Ta zmiana została wprowadzona za pośrednictwem witryny Azure Portal. Zmiana poziomu dostępu może naruszyć bezpieczeństwo danych. Zalecamy podjęcie natychmiastowych działań w celu zabezpieczenia danych i uniemożliwienie nieautoryzowanego dostępu w przypadku wyzwolenia tego alertu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją wykrywania zagrożeń poufności danych.
Taktyka MITRE: Kolekcja
Ważność: Wysoka
Podejrzany dostęp zewnętrzny do konta usługi Azure Storage z nadmiernym tokenem SAS (wersja zapoznawcza)
Storage.Blob_AccountSas.InternalSasUsedExternally
Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskiwał dostęp do konta magazynu przy użyciu nadmiernie permissywnego tokenu SAS z datą długiego wygaśnięcia. Ten typ dostępu jest uważany za podejrzany, ponieważ token SAS jest zwykle używany tylko w sieciach wewnętrznych (z prywatnych adresów IP). Działanie może wskazywać, że wyciek tokenu SAS został ujawniony przez złośliwego aktora lub przypadkowo wyciekł z wiarygodnego źródła. Nawet jeśli dostęp jest legalny, użycie tokenu SAS o wysokim poziomie uprawnień z długą datą wygaśnięcia jest sprzeczne z najlepszymi rozwiązaniami w zakresie zabezpieczeń i stanowi potencjalne zagrożenie bezpieczeństwa. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.
Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ
Ważność: średni rozmiar
Podejrzane operacje zewnętrzne na koncie usługi Azure Storage z nadmiernym tokenem SAS (wersja zapoznawcza)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskiwał dostęp do konta magazynu przy użyciu nadmiernie permissywnego tokenu SAS z datą długiego wygaśnięcia. Dostęp jest uważany za podejrzany, ponieważ operacje wywoływane poza siecią (nie z prywatnych adresów IP) z tym tokenem SAS są zwykle używane dla określonego zestawu operacji odczytu/zapisu/usuwania, ale wystąpiły inne operacje, co sprawia, że ten dostęp jest podejrzany. To działanie może wskazywać, że wyciek tokenu SAS został ujawniony przez złośliwego aktora lub przypadkowo wyciekł z wiarygodnego źródła. Nawet jeśli dostęp jest legalny, użycie tokenu SAS o wysokim poziomie uprawnień z długą datą wygaśnięcia jest sprzeczne z najlepszymi rozwiązaniami w zakresie zabezpieczeń i stanowi potencjalne zagrożenie bezpieczeństwa. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.
Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ
Ważność: średni rozmiar
Nietypowy token SAS był używany do uzyskiwania dostępu do konta usługi Azure Storage z publicznego adresu IP (wersja zapoznawcza)
Storage.Blob_AccountSas.UnusualExternalAccess
Opis: Alert wskazuje, że ktoś z zewnętrznym (publicznym) adresem IP uzyskał dostęp do konta magazynu przy użyciu tokenu SAS konta. Dostęp jest bardzo nietypowy i uważany za podejrzany, ponieważ dostęp do konta magazynu przy użyciu tokenów SAS zwykle pochodzi tylko z wewnętrznych (prywatnych) adresów IP. Istnieje możliwość, że wyciek tokenu SAS lub wygenerowany przez złośliwego aktora z organizacji lub zewnętrznie w celu uzyskania dostępu do tego konta magazynu. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage.
Taktyka MITRE: Eksfiltracja / Opracowywanie zasobów / Wpływ
Ważność: Niska
Złośliwy plik przekazany do konta magazynu
Storage.Blob_AM. MalwareFound
Opis: Alert wskazuje, że złośliwy obiekt blob został przekazany na konto magazynu. Ten alert zabezpieczeń jest generowany przez funkcję skanowania złośliwego oprogramowania w usłudze Defender for Storage. Potencjalne przyczyny mogą obejmować celowe przekazywanie złośliwego oprogramowania przez aktora zagrożeń lub niezamierzone przekazanie złośliwego pliku przez uprawnionego użytkownika. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją skanowania złośliwego oprogramowania.
Taktyka MITRE: Ruch boczny
Ważność: Wysoka
Złośliwy obiekt blob został pobrany z konta magazynu (wersja zapoznawcza)
Storage.Blob_MalwareDownload
Opis: Alert wskazuje, że złośliwy obiekt blob został pobrany z konta magazynu. Potencjalne przyczyny mogą obejmować złośliwe oprogramowanie, które zostało przekazane na konto magazynu, a nie zostało usunięte lub poddane kwarantannie, dzięki czemu aktor zagrożenia może go pobrać lub niezamierzone pobranie złośliwego oprogramowania przez uprawnionych użytkowników lub aplikacje. Dotyczy: konta usługi Azure Blob (Standardowa ogólnego przeznaczenia w wersji 2, Azure Data Lake Storage Gen2 lub blokowych obiektów blob w warstwie Premium) z nowym planem usługi Defender for Storage z włączoną funkcją skanowania złośliwego oprogramowania.
Taktyka MITRE: Ruch boczny
Ważność: Wysoka, jeśli Eicar - niska
Alerty dotyczące usługi Azure Cosmos DB
Dostęp z węzła zakończenia tor
(CosmosDB_TorAnomaly)
Opis: To konto usługi Azure Cosmos DB zostało pomyślnie użyte z adresu IP znanego jako aktywny węzeł wyjścia tor, anonimizujący serwer proxy. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość.
Taktyka MITRE: dostęp początkowy
Ważność: wysoka/średnia
Dostęp z podejrzanego adresu IP
(CosmosDB_SuspiciousIp)
Opis: To konto usługi Azure Cosmos DB zostało pomyślnie pobrane z adresu IP, który został zidentyfikowany jako zagrożenie przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: dostęp początkowy
Ważność: średni rozmiar
Dostęp z nietypowej lokalizacji
(CosmosDB_GeoAnomaly)
Opis: Do tego konta usługi Azure Cosmos DB uzyskiwano dostęp z lokalizacji uważanej za nieznane na podstawie zwykłego wzorca dostępu.
Aktor zagrożenia uzyskał dostęp do konta lub uprawniony użytkownik nawiązał połączenie z nowej lub nietypowej lokalizacji geograficznej
Taktyka MITRE: dostęp początkowy
Ważność: Niska
Nietypowa ilość wyodrębnionych danych
(CosmosDB_DataExfiltrationAnomaly)
Opis: Niezwykle duża ilość danych została wyodrębniona z tego konta usługi Azure Cosmos DB. Może to wskazywać, że aktor zagrożeń eksfiltrował dane.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Wyodrębnianie kluczy kont usługi Azure Cosmos DB za pośrednictwem potencjalnie złośliwego skryptu
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec operacji listy kluczy, aby pobrać klucze kont usługi Azure Cosmos DB w ramach subskrypcji. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak Microburst, do wyświetlania listy kluczy i znajdowania kont usługi Azure Cosmos DB, do których mogą uzyskiwać dostęp.
Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć zabezpieczenia kont usługi Azure Cosmos DB w środowisku pod kątem złośliwych intencji.
Alternatywnie złośliwy insider może próbować uzyskać dostęp do poufnych danych i przeprowadzić przenoszenie boczne.
Taktyka MITRE: Kolekcja
Ważność: średni rozmiar
Podejrzane wyodrębnianie kluczy konta usługi Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Opis: podejrzane źródło wyodrębniło klucze dostępu konta usługi Azure Cosmos DB z subskrypcji. Jeśli to źródło nie jest legalnym źródłem, może to być problem o dużym wpływie. Wyodrębniony klucz dostępu zapewnia pełną kontrolę nad skojarzonymi bazami danych i przechowywanymi w nim danymi. Zobacz szczegóły każdego konkretnego alertu, aby dowiedzieć się, dlaczego źródło zostało oznaczone jako podejrzane.
Taktyka MITRE: dostęp do poświadczeń
Ważność: wysoka
Wstrzyknięcie kodu SQL: potencjalna eksfiltracja danych
(CosmosDB_SqlInjection.DataExfiltration)
Opis: do wykonywania zapytań dotyczących kontenera na tym koncie usługi Azure Cosmos DB użyto podejrzanej instrukcji SQL.
Instrukcja wstrzykiwana mogła pomyślnie eksfiltrować dane, do których aktor zagrożenia nie ma autoryzacji dostępu.
Ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL na kontach usługi Azure Cosmos DB nie może działać. Jednak odmiana używana w tym ataku może działać, a podmioty zagrożeń mogą eksfiltrować dane.
Taktyka MITRE: Eksfiltracja
Ważność: średni rozmiar
Wstrzyknięcie kodu SQL: próba rozmycia
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Opis: do wykonywania zapytań dotyczących kontenera na tym koncie usługi Azure Cosmos DB użyto podejrzanej instrukcji SQL.
Podobnie jak w przypadku innych dobrze znanych ataków polegających na wstrzyknięciu kodu SQL, ten atak nie powiedzie się z naruszeniem konta usługi Azure Cosmos DB.
Niemniej jednak oznacza to, że aktor zagrożeń próbuje zaatakować zasoby na tym koncie, a twoja aplikacja może zostać naruszona.
Niektóre ataki polegających na wstrzyknięciu kodu SQL mogą zakończyć się powodzeniem i użyć ich do eksfiltracji danych. Oznacza to, że jeśli osoba atakująca nadal wykonuje próby wstrzyknięcia kodu SQL, może być w stanie naruszyć bezpieczeństwo konta usługi Azure Cosmos DB i eksfiltrować dane.
To zagrożenie można zapobiec przy użyciu sparametryzowanych zapytań.
Taktyka MITRE: Atak przed atakiem
Ważność: Niska
Alerty dla warstwy sieciowej platformy Azure
Wykryto komunikację sieciową ze złośliwym komputerem
(Network_CommunicationWithC2)
Opis: Analiza ruchu sieciowego wskazuje, że maszyna (ADRES IP %{Victim IP}) komunikowała się z prawdopodobnie centrum poleceń i sterowania. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (moduł równoważenia obciążenia lub bramy aplikacji) komunikował się z tym, co może być centrum poleceń i kontroli.
Taktyka MITRE: Command and Control
Ważność: średni rozmiar
Wykryto możliwe naruszenie zabezpieczeń maszyny
(Network_ResourceIpIndicatedAsMalicious)
Opis: Analiza zagrożeń wskazuje, że maszyna (pod adresem IP %{Adres IP maszyny}) mogła zostać naruszona przez złośliwe oprogramowanie typu Conficker. Conficker był robakiem komputerowym, który jest przeznaczony dla systemu operacyjnego Microsoft Windows i został po raz pierwszy wykryty w listopadzie 2008 roku. Conficker zainfekował miliony komputerów, w tym rządowych, biznesowych i domowych komputerów w ponad 200 krajach/regionach, co czyni go największą znaną infekcją robaków komputerowych od 2003 roku robaka Welchia.
Taktyka MITRE: Command and Control
Ważność: średni rozmiar
Wykryto możliwe przychodzące próby siłowe :{Nazwa usługi}
(Generic_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację %{Nazwa usługi} z adresem %{Adres IP ofiary}skojarzony z zasobem %{Host z naruszonym zabezpieczeniami} od użytkownika %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Port ofiary}. To działanie jest zgodne z próbami ataku siłowego na serwery %{Nazwa usługi}.
Taktyka MITRE: PreAttack
Ważność: informacyjna
Wykryto możliwe przychodzące próby siłowe SQL
(SQL_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła przychodzącą komunikację SQL z adresem %{Ip ofiary}skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują podejrzane działania między %{Godzina rozpoczęcia} i %{Godzina zakończenia} na porcie %{Numer portu} (%{Typ usługi SQL}). To działanie jest zgodne z próbami ataków siłowych podejmowanych na serwerach SQL.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Wykryto możliwy wychodzący atak typu "odmowa usługi"
(DDOS)
Opis: Analiza ruchu sieciowego wykryła nietypowe działanie wychodzące pochodzące z hosta %{Host z naruszonymi zabezpieczeniami}, zasób we wdrożeniu. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz zaangażowane w ataki typu "odmowa usługi" na zewnętrzne punkty końcowe. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzane działanie może wskazywać, że co najmniej jeden z zasobów w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji) został naruszony. Na podstawie liczby połączeń uważamy, że następujące adresy IP są prawdopodobnie celami ataku DOS: %{Możliwe ofiary}. Należy pamiętać, że komunikacja z niektórymi z tych adresów IP jest uzasadniona.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci RDP z wielu źródeł
(RDP_Incoming_BF_ManyToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP z wielu hostów (Botnet).
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci protokołu RDP
(RDP_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z adresem %{Victim IP}, skojarzonym z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu IP użytkownika %{Atakujący IP}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba Połączenie ions} z zasobem, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy protokołu RDP
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci SSH z wielu źródeł
(SSH_Incoming_BF_ManyToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z wielu źródeł. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują %{Liczba adresów IP atakujących} unikatowych adresów IP łączących się z zasobem, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH z wielu hostów (Botnet)
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzane przychodzące działanie sieci SSH
(SSH_Incoming_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypowa przychodzącą komunikację SSH z użytkownikiem %{Victim IP}, skojarzoną z zasobem %{Host z naruszonymi zabezpieczeniami}, z adresu %{Adres IP osoby atakującej}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch przychodzący został przekazany do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują następującą liczbę połączeń przychodzących: %{Liczba Połączenie ions} z zasobem, które są uznawane za nietypowe dla tego środowiska. To działanie może wskazywać na próbę wymuszenia ataku na punkt końcowy SSH
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Wykryto podejrzany wychodzący ruch %{Zaatakowany protokół}
(PortScanning)
Opis: Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia} do portu docelowego %{Najczęściej używany port}. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). To zachowanie może wskazywać, że zasób bierze udział w atakach siłowych %{Zaatakowany protokół} lub atakach zamiatania portów.
Ważność: średni rozmiar
Podejrzane wychodzące działanie sieci RDP do wielu miejsc docelowych
(RDP_Outgoing_BF_OneToMany)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z wieloma miejscami docelowymi pochodzącymi z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności próbkowane dane sieciowe pokazują, że maszyna łączy się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Ważność: Wysoka
Podejrzane wychodzące działanie sieci RDP
(RDP_Outgoing_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację protokołu RDP (Remote Desktop Protocol) z %{Victim IP} pochodzącej z elementu %{Naruszony host} (%{Adres IP osoby atakującej}), zasobu we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba Połączenie ions} wychodzących z zasobu, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo maszyny zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu RDP. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Taktyka MITRE: Ruch boczny
Ważność: Wysoka
Podejrzane wychodzące działanie sieci SSH do wielu miejsc docelowych
(SSH_Outgoing_BF_OneToMany)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z wieloma miejscami docelowymi pochodzącymi z hosta %{Naruszone zabezpieczenia} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują zasób łączący się z użytkownikiem %{Liczba zaatakowanych adresów IP} unikatowych adresów IP, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Ważność: średni rozmiar
Podejrzane wychodzące działanie sieci SSH
(SSH_Outgoing_BF_OneToOne)
Opis: Analiza ruchu sieciowego wykryła nietypową wychodzącą komunikację SSH z adresem %{Victim IP} pochodzącym z użytkownika %{Host z naruszonymi zabezpieczeniami} (%{Adres IP osoby atakującej}), zasób we wdrożeniu. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). W szczególności przykładowe dane sieciowe pokazują następującą liczbę połączeń wychodzących: %{Liczba Połączenie ions} wychodzących z zasobu, co jest uznawane za nietypowe dla tego środowiska. To działanie może wskazywać, że bezpieczeństwo zasobu zostało naruszone i jest teraz używane do wymuszania zewnętrznych punktów końcowych protokołu SSH. Należy pamiętać, że ten typ działań może powodować oflagowanie adresu IP jako złośliwego przez jednostki zewnętrzne.
Taktyka MITRE: Ruch boczny
Ważność: średni rozmiar
Wykryto ruch z adresów IP zalecanych do blokowania
(Network_TrafficFromUnrecommendedIP)
Opis: Microsoft Defender dla Chmury wykrył ruch przychodzący z adresów IP, które są zalecane do zablokowania. Zwykle występuje to, gdy ten adres IP nie komunikuje się regularnie z tym zasobem. Alternatywnie adres IP został oznaczony jako złośliwy przez źródła analizy zagrożeń Defender dla Chmury.
Taktyka MITRE: Sondowanie
Ważność: informacyjna
Alerty dla usługi Azure Key Vault
Dostęp z podejrzanego adresu IP do magazynu kluczy
(KV_SuspiciousIPAccess)
Opis: Magazyn kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Dostęp z węzła zakończenia TOR do magazynu kluczy
(KV_TORAccess)
Opis: Dostęp do magazynu kluczy został uzyskany ze znanego węzła zakończenia TOR. Może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i używa sieci TOR do ukrycia lokalizacji źródłowej. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Duża liczba operacji w magazynie kluczy
(KV_OperationVolumeAnomaly)
Opis: nietypowa liczba operacji magazynu kluczy została wykonana przez użytkownika, jednostkę usługi i/lub określony magazyn kluczy. Ten nietypowy wzorzec działania może być uzasadniony, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Podejrzane zmiany zasad i zapytanie tajne w magazynie kluczy
(KV_PutGetAnomaly)
Opis: Użytkownik lub jednostka usługi wykonał nietypową operację zmiany zasad Magazynu, a następnie co najmniej jedną operację Uzyskiwanie wpisu tajnego. Ten wzorzec nie jest zwykle wykonywany przez określonego użytkownika lub jednostkę usługi. Może to być uzasadnione działanie, ale może to wskazywać, że aktor zagrożenia zaktualizował zasady magazynu kluczy, aby uzyskać dostęp do wcześniej niedostępnych wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Lista podejrzanych wpisów tajnych i zapytań w magazynie kluczy
(KV_ListGetAnomaly)
Opis: Użytkownik lub jednostka usługi wykonał nietypową operację listy wpisów tajnych, a następnie co najmniej jedną operację Uzyskiwanie wpisu tajnego. Ten wzorzec nie jest zwykle wykonywany przez określonego użytkownika lub jednostkę usługi i jest zwykle skojarzony z dumpingiem wpisów tajnych. Może to być uzasadnione działanie, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i próbuje odnaleźć wpisy tajne, których można użyć do późniejszego przejścia przez sieć i/lub uzyskania dostępu do poufnych zasobów. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Odmowa nietypowego dostępu — odmowa dostępu użytkownika do dużej liczby magazynów kluczy
(KV_AccountVolumeAccessDeniedAnomaly)
Opis: Użytkownik lub jednostka usługi próbowała uzyskać dostęp do nietypowo dużej liczby magazynów kluczy w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Ważność: Niska
Odmowa nietypowego dostępu — nietypowy użytkownik, który uzyskuje dostęp do magazynu kluczy
(KV_UserAccessDeniedAnomaly)
Opis: Próba dostępu do magazynu kluczy została podjęta przez użytkownika, który zwykle nie uzyskuje do niego dostępu, ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych.
Taktyka MITRE: wstępny dostęp, odnajdywanie
Ważność: Niska
Nietypowa aplikacja uzyskiwała dostęp do magazynu kluczy
(KV_AppAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez jednostkę usługi, która zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowy wzorzec operacji w magazynie kluczy
(KV_OperationPatternAnomaly)
Opis: Nietypowy wzorzec operacji magazynu kluczy został wykonany przez użytkownika, jednostkę usługi i/lub określony magazyn kluczy. Ten nietypowy wzorzec działania może być uzasadniony, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowy użytkownik uzyskiwał dostęp do magazynu kluczy
(KV_UserAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez użytkownika, który zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowa para aplikacji użytkownika uzyskuje dostęp do magazynu kluczy
(KV_UserAppAnomaly)
Opis: Dostęp do magazynu kluczy jest uzyskiwany przez parę jednostki usługi użytkownika, która zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może to wskazywać, że aktor zagrożeń uzyskał dostęp do magazynu kluczy w celu uzyskania dostępu do zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Użytkownik uzyskiwał dostęp do dużej liczby magazynów kluczy
(KV_AccountVolumeAnomaly)
Opis: Użytkownik lub jednostka usługi uzyskał dostęp do nietypowo dużej liczby magazynów kluczy. Ten nietypowy wzorzec dostępu może być legalnym działaniem, ale może wskazywać, że aktor zagrożeń uzyskał dostęp do wielu magazynów kluczy w celu uzyskania dostępu do wpisów tajnych zawartych w nich. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Odmowa dostępu z podejrzanego adresu IP do magazynu kluczy
(KV_SuspiciousIPAccessDenied)
Opis: Próba nieudanego dostępu do magazynu kluczy została podjęta przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Mimo że ta próba nie powiodła się, oznacza to, że bezpieczeństwo infrastruktury mogło zostać naruszone. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: Niska
Nietypowy dostęp do magazynu kluczy z podejrzanego adresu IP (firmy innej niż Microsoft lub zewnętrzna)
(KV_UnusualAccessSuspiciousIP)
Opis: Użytkownik lub jednostka usługi próbował nietypowego dostępu do magazynów kluczy z adresu IP innego niż Microsoft w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Alerty usługi Azure DDoS Protection
Wykryto atak DDoS dla publicznego adresu IP
(NETWORK_DDOS_DETECTED)
Opis: Atak DDoS wykryty dla publicznego adresu IP (adresu IP) i jest ograniczany.
Taktyka MITRE: Sondowanie
Ważność: Wysoka
Atak DDoS ograniczany dla publicznego adresu IP
(NETWORK_DDOS_MITIGATED)
Opis: Atak DDoS ograniczany dla publicznego adresu IP (adresu IP).
Taktyka MITRE: Sondowanie
Ważność: Niska
Alerty dla interfejsów API usługi Defender
Podejrzany wzrost ruchu interfejsu API na poziomie populacji do punktu końcowego interfejsu API
(API_PopulationSpikeInAPITraffic)
Opis: wykryto podejrzany wzrost ruchu interfejsu API w jednym z punktów końcowych interfejsu API. System wykrywania używał historycznych wzorców ruchu w celu ustalenia punktu odniesienia dla rutynowego ruchu interfejsu API między wszystkimi adresami IP i punktem końcowym, a punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). System wykrywania oflagował nietypowe odchylenie od tego punktu odniesienia prowadzące do wykrywania podejrzanych działań.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Podejrzany wzrost ruchu interfejsu API z pojedynczego adresu IP do punktu końcowego interfejsu API
(API_SpikeInAPITraffic)
Opis: wykryto podejrzany wzrost ruchu interfejsu API z adresu IP klienta do punktu końcowego interfejsu API. System wykrywania używał historycznych wzorców ruchu w celu ustanowienia punktu odniesienia dla rutynowego woluminu ruchu interfejsu API do punktu końcowego pochodzącego z określonego adresu IP do punktu końcowego. System wykrywania oflagował nietypowe odchylenie od tego punktu odniesienia prowadzące do wykrywania podejrzanych działań.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Niezwykle duży ładunek odpowiedzi przesyłany między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInPayload)
Opis: zaobserwowano podejrzany wzrost rozmiaru ładunku odpowiedzi interfejsu API dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia reprezentującego typowy rozmiar ładunku odpowiedzi interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ rozmiar ładunku odpowiedzi interfejsu API znacznie odbiegał od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Niezwykle duża treść żądania przesyłana między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInPayload)
Opis: zaobserwowano podejrzany wzrost rozmiaru treści żądania interfejsu API dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia reprezentującego typowy rozmiar treści żądania interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ rozmiar żądania interfejsu API znacznie odbiegał od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
(Wersja zapoznawcza) Podejrzany wzrost opóźnienia ruchu między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInLatency)
Opis: zaobserwowano podejrzany wzrost opóźnienia dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje rutynowe opóźnienie ruchu interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ opóźnienie wywołania interfejsu API znacznie odbiegało od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Żądania interfejsu API rozpylają z jednego adresu IP do niezwykle dużej liczby odrębnych punktów końcowych interfejsu API
(API_SprayInRequests)
Opis: Zaobserwowano wykonywanie wywołań interfejsu API do niezwykle dużej liczby odrębnych punktów końcowych. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defenders for API uczy się punktu odniesienia, który reprezentuje typową liczbę odrębnych punktów końcowych wywoływanych przez pojedynczy adres IP w 20-minutowych oknach. Alert został wyzwolony, ponieważ zachowanie pojedynczego adresu IP znacznie odbiegało od historycznego punktu odniesienia.
Ważność: średni rozmiar
Wyliczenie parametrów w punkcie końcowym interfejsu API
(API_ParameterEnumeration)
Opis: Zaobserwowano jeden adres IP wyliczający parametry podczas uzyskiwania dostępu do jednego z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje typową liczbę unikatowych wartości parametrów używanych przez pojedynczy adres IP podczas uzyskiwania dostępu do tego punktu końcowego w 20-minutowych oknach. Alert został wyzwolony, ponieważ pojedynczy adres IP klienta ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu niezwykle dużej liczby unikatowych wartości parametrów.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Wyliczenie parametrów rozproszonych w punkcie końcowym interfejsu API
(API_DistributedParameterEnumeration)
Opis: Zaobserwowano zagregowaną populację użytkowników (wszystkie adresy IP) podczas uzyskiwania dostępu do jednego z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje typową liczbę unikatowych wartości parametrów używanych przez populację użytkowników (wszystkie adresy IP) podczas uzyskiwania dostępu do punktu końcowego w 20-minutowych oknach. Alert został wyzwolony, ponieważ populacja użytkowników ostatnio uzyskiwała dostęp do punktu końcowego przy użyciu niezwykle dużej liczby unikatowych wartości parametrów.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Wartości parametrów z nietypowymi typami danych w wywołaniu interfejsu API
(API_UnseenParamType)
Opis: Zaobserwowano jeden adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API i używając wartości parametrów typu danych o niskim prawdopodobieństwie (na przykład ciąg, liczba całkowita itp.). Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się oczekiwanych typów danych dla każdego parametru interfejsu API. Alert został wyzwolony, ponieważ adres IP ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu wcześniej niskiego prawdopodobieństwa typu danych jako danych wejściowych parametrów.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wcześniej niezaznawany parametr używany w wywołaniu interfejsu API
(API_UnseenParam)
Opis: Zaobserwowano pojedynczy adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API przy użyciu wcześniej nierozpoznanego lub wychodzącego parametru w żądaniu. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się zestawu oczekiwanych parametrów skojarzonych z wywołaniami do punktu końcowego. Alert został wyzwolony, ponieważ adres IP ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu wcześniej niedostępnego parametru.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Dostęp z węzła zakończenia tor do punktu końcowego interfejsu API
(API_AccessFromTorExitNode)
Opis: Adres IP z sieci Tor uzyskiwał dostęp do jednego z punktów końcowych interfejsu API. Tor to sieć, która umożliwia ludziom dostęp do Internetu przy zachowaniu ich prawdziwego adresu IP ukrytego. Chociaż istnieją uzasadnione zastosowania, często są one używane przez osoby atakujące do ukrywania swojej tożsamości w przypadku ataków na systemy osób w trybie online.
Taktyka MITRE: Atak przed atakiem
Ważność: średni rozmiar
Dostęp do punktu końcowego interfejsu API z podejrzanego adresu IP
(API_AccessFromSuspiciousIP)
Opis: Adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API został zidentyfikowany przez usługę Microsoft Threat Intelligence jako o wysokim prawdopodobieństwie zagrożenia. Obserwując złośliwy ruch internetowy, ten adres IP pojawił się jako zaangażowany w atakowanie innych celów online.
Taktyka MITRE: Atak przed atakiem
Ważność: Wysoka
Wykryto podejrzanego agenta użytkownika
(API_AccessFromSuspiciousUserAgent)
Opis: Agent użytkownika żądania uzyskiwania dostępu do jednego z punktów końcowych interfejsu API zawiera nietypowe wartości wskazujące na próbę zdalnego wykonywania kodu. Nie oznacza to naruszenia któregokolwiek z punktów końcowych interfejsu API, ale sugeruje to, że trwa atak.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Przestarzałe alerty usługi Defender for Containers
Na poniższych listach znajdują się alerty zabezpieczeń usługi Defender for Containers, które zostały uznane za przestarzałe.
Wykryto manipulowanie zaporą hosta
(K8S. NODE_FirewallDisabled)
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła możliwą manipulację zaporą na hoście. Osoby atakujące często wyłączają to w celu eksfiltracji danych.
TAKTYKA MITRE: DefenseEvasion, Eksfiltracja
Ważność: średni rozmiar
Podejrzane użycie systemu DNS za pośrednictwem protokołu HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła użycie wywołania DNS za pośrednictwem protokołu HTTPS w nietypowy sposób. Ta technika jest używana przez osoby atakujące do ukrywania wywołań podejrzanych lub złośliwych witryn.
TAKTYKA MITRE: DefenseEvasion, Eksfiltracja
Ważność: średni rozmiar
Wykryto możliwe połączenie ze złośliwą lokalizacją.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Opis: Analiza procesów uruchomionych w kontenerze lub bezpośrednio w węźle Kubernetes wykryła połączenie z lokalizacją, która została zgłoszona jako złośliwa lub nietypowa. Jest to wskaźnik, że mogło dojść do naruszenia zabezpieczeń.
Taktyka MITRE: InitialAccess
Ważność: średni rozmiar
Działalność wydobywczy waluty cyfrowej
(K8S. NODE_CurrencyMining)
Opis: Analiza transakcji DNS wykryła aktywność wyszukiwania walut cyfrowych. Takie działanie, choć prawdopodobnie uzasadnione zachowanie użytkowników, jest często wykonywane przez osoby atakujące po naruszeniu bezpieczeństwa zasobów. Typowe działania związane z osobami atakującym mogą obejmować pobieranie i wykonywanie typowych narzędzi do wyszukiwania.
Taktyka MITRE: Eksfiltracja
Ważność: Niska
Przestarzałe alerty usługi Defender dla serwerów z systemem Linux
VM_AbnormalDaemonTermination
Nazwa wyświetlana alertu: nieprawidłowe zakończenie
Ważność: Niska
VM_BinaryGeneratedFromCommandLine
Nazwa wyświetlana alertu: wykryto podejrzane dane binarne
Ważność: średni rozmiar
VM_CommandlineSuspectDomain podejrzane
Nazwa wyświetlana alertu: odwołanie do nazwy domeny
Ważność: Niska
VM_CommonBot
Nazwa wyświetlana alertu: zachowanie podobne do typowych wykrytych botów systemu Linux
Ważność: średni rozmiar
VM_CompCommonBots
Nazwa wyświetlana alertu: polecenia podobne do typowych wykrytych botów systemu Linux
Ważność: średni rozmiar
VM_CompSuspiciousScript
Nazwa wyświetlana alertu: wykryto skrypt powłoki
Ważność: średni rozmiar
VM_CompTestRule
Nazwa wyświetlana alertu: alert testu analitycznego złożonego
Ważność: Niska
VM_CronJobAccess
Nazwa wyświetlana alertu: Manipulowanie wykrytymi zaplanowanymi zadaniami
Ważność: informacyjna
VM_CryptoCoinMinerArtifacts
Nazwa wyświetlana alertu: wykryto proces skojarzony z wyszukiwaniem walut cyfrowych
Ważność: średni rozmiar
VM_CryptoCoinMinerDownload
Nazwa wyświetlana alertu: wykryto możliwe pobranie cryptocoinminer
Ważność: średni rozmiar
VM_CryptoCoinMinerExecution
Nazwa wyświetlana alertu: Rozpoczęto potencjalny górnik monet kryptograficznych
Ważność: średni rozmiar
VM_DataEgressArtifacts
Nazwa wyświetlana alertu: wykryto możliwe eksfiltrację danych
Ważność: średni rozmiar
VM_DigitalCurrencyMining
Nazwa wyświetlana alertu: wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Ważność: Wysoka
VM_DownloadAndRunCombo
Nazwa wyświetlana alertu: podejrzane pobieranie, a następnie działanie uruchamiania
Ważność: średni rozmiar
VM_EICAR
Nazwa wyświetlana alertu: Microsoft Defender dla Chmury alert testowy (nie zagrożenie)
Ważność: Wysoka
VM_ExecuteHiddenFile
Nazwa wyświetlana alertu: wykonywanie ukrytego pliku
Ważność: informacyjna
VM_ExploitAttempt
Nazwa wyświetlana alertu: możliwa próba wykorzystania wiersza polecenia
Ważność: średni rozmiar
VM_ExposedDocker
Nazwa wyświetlana alertu: uwidoczniony demon platformy Docker w gniazdie TCP
Ważność: średni rozmiar
VM_FairwareMalware
Nazwa wyświetlana alertu: zachowanie podobne do wykrytego oprogramowania wymuszającego oprogramowanie wymuszające oprogramowanie fairware
Ważność: średni rozmiar
VM_FirewallDisabled
Nazwa wyświetlana alertu: wykryto manipulowanie zaporą hosta
Ważność: średni rozmiar
VM_HadoopYarnExploit
Nazwa wyświetlana alertu: możliwe wykorzystanie usługi Hadoop Yarn
Ważność: średni rozmiar
VM_HistoryFileCleared
Nazwa wyświetlana alertu: plik historii został wyczyszczone
Ważność: średni rozmiar
VM_KnownLinuxAttackTool
Nazwa wyświetlana alertu: wykryto możliwe narzędzie do ataku
Ważność: średni rozmiar
VM_KnownLinuxCredentialAccessTool
Nazwa wyświetlana alertu: wykryto możliwe narzędzie dostępu do poświadczeń
Ważność: średni rozmiar
VM_KnownLinuxDDoSToolkit
Nazwa wyświetlana alertu: wykryto wskaźniki skojarzone z zestawem narzędzi DDOS
Ważność: średni rozmiar
VM_KnownLinuxScreenshotTool
Nazwa wyświetlana alertu: zrzut ekranu wykonany na hoście
Ważność: Niska
VM_LinuxBackdoorArtifact
Nazwa wyświetlana alertu: wykryto możliwe backdoor
Ważność: średni rozmiar
VM_LinuxReconnaissance
Nazwa wyświetlana alertu: wykryto rekonesans hosta lokalnego
Ważność: średni rozmiar
VM_MismatchedScriptFeatures
Nazwa wyświetlana alertu: wykryto niezgodność rozszerzenia skryptu
Ważność: średni rozmiar
VM_MitreCalderaTools
Nazwa wyświetlana alertu: wykryto agenta MITRE Caldera
Ważność: średni rozmiar
VM_NewSingleUserModeStartupScript
Nazwa wyświetlana alertu: wykryta próba trwałości
Ważność: średni rozmiar
VM_NewSudoerAccount
Nazwa wyświetlana alertu: konto dodane do grupy sudo
Ważność: Niska
VM_OverridingCommonFiles
Nazwa wyświetlana alertu: potencjalne zastępowanie typowych plików
Ważność: średni rozmiar
VM_PrivilegedContainerArtifacts
Nazwa wyświetlana alertu: kontener uruchomiony w trybie uprzywilejowanym
Ważność: Niska
VM_PrivilegedExecutionInContainer
Nazwa wyświetlana alertu: polecenie w kontenerze z wysokimi uprawnieniami
Ważność: Niska
VM_ReadingHistoryFile
Nazwa wyświetlana alertu: nietypowy dostęp do pliku historii powłoki bash
Ważność: informacyjna
VM_ReverseShell
Nazwa wyświetlana alertu: wykryto potencjalną powłokę odwrotną
Ważność: średni rozmiar
VM_SshKeyAccess
Nazwa wyświetlana alertu: Proces uzyskiwania dostępu do pliku kluczy autoryzowanych protokołu SSH w nietypowy sposób
Ważność: Niska
VM_SshKeyAddition
Nazwa wyświetlana alertu: dodano nowy klucz SSH
Ważność: Niska
VM_SuspectCompilation
Nazwa wyświetlana alertu: wykryto podejrzaną kompilację
Ważność: średni rozmiar
VM_Suspect Połączenie ion
Nazwa wyświetlana alertu: wykryto nietypową próbę połączenia
Ważność: średni rozmiar
VM_SuspectDownload
Nazwa wyświetlana alertu: wykryto pobieranie pliku ze znanego złośliwego źródła
Ważność: średni rozmiar
VM_SuspectDownloadArtifacts
Nazwa wyświetlana alertu: wykryto podejrzane pobieranie plików
Ważność: Niska
VM_SuspectExecutablePath
Nazwa wyświetlana alertu: plik wykonywalny znaleziony z podejrzanej lokalizacji
Ważność: średni rozmiar
VM_SuspectHtaccessFileAccess
Nazwa wyświetlana alertu: wykryto dostęp do pliku htaccess
Ważność: średni rozmiar
VM_SuspectInitialShellCommand
Nazwa wyświetlana alertu: podejrzane pierwsze polecenie w powłoce
Ważność: Niska
VM_SuspectMixedCaseText
Nazwa wyświetlana alertu: wykryto nietypową kombinację wielkich i małych liter w wierszu polecenia
Ważność: średni rozmiar
VM_SuspectNetwork Połączenie ion
Nazwa wyświetlana alertu: podejrzane połączenie sieciowe
Ważność: informacyjna
VM_SuspectNohup
Nazwa wyświetlana alertu: wykryto podejrzane użycie polecenia nohup
Ważność: średni rozmiar
VM_SuspectPasswordChange
Nazwa wyświetlana alertu: możliwa zmiana hasła przy użyciu wykrytej metody crypt
Ważność: średni rozmiar
VM_SuspectPasswordFileAccess
Nazwa wyświetlana alertu: podejrzany dostęp do hasła
Ważność: informacyjna
VM_SuspectPhp
Nazwa wyświetlana alertu: wykryto podejrzane wykonanie języka PHP
Ważność: średni rozmiar
VM_SuspectPortForwarding
Nazwa wyświetlana alertu: potencjalne przekazywanie portów do zewnętrznego adresu IP
Ważność: średni rozmiar
VM_SuspectProcessAccountPrivilegeCombo
Nazwa wyświetlana alertu: proces uruchomiony na koncie usługi nieoczekiwanie stał się katalogiem głównym
Ważność: średni rozmiar
VM_SuspectProcessTermination
Nazwa wyświetlana alertu: wykryto zakończenie procesu związane z zabezpieczeniami
Ważność: Niska
VM_SuspectUserAddition
Nazwa wyświetlana alertu: wykryto podejrzane użycie polecenia useradd
Ważność: średni rozmiar
VM_SuspiciousCommandLineExecution
Nazwa wyświetlana alertu: podejrzane wykonywanie polecenia
Ważność: Wysoka
VM_SuspiciousDNSOverHttps
Nazwa wyświetlana alertu: podejrzane użycie systemu DNS za pośrednictwem protokołu HTTPS
Ważność: średni rozmiar
VM_SystemLogRemoval
Nazwa wyświetlana alertu: wykryto możliwe działanie manipulowania dziennikami
Ważność: średni rozmiar
VM_ThreatIntelCommandLineSuspectDomain
Nazwa wyświetlana alertu: wykryto możliwe połączenie ze złośliwą lokalizacją
Ważność: średni rozmiar
VM_ThreatIntelSuspectLogon
Nazwa wyświetlana alertu: wykryto logowanie ze złośliwego adresu IP
Ważność: Wysoka
VM_TimerServiceDisabled
Nazwa wyświetlana alertu: próba zatrzymania wykrytej usługi apt-daily-upgrade.timer
Ważność: informacyjna
VM_TimestampTampering
Nazwa wyświetlana alertu: modyfikacja sygnatury czasowej podejrzanego pliku
Ważność: Niska
VM_Webshell
Nazwa wyświetlana alertu: wykryto możliwą złośliwą powłokę sieci Web
Ważność: średni rozmiar
Przestarzałe alerty usługi Defender dla serwerów z systemem Windows
SCUBA_MULTIPLEACCOUNTCREATE
Nazwa wyświetlana alertu: podejrzane tworzenie kont na wielu hostach
Ważność: średni rozmiar
SCUBA_PSINSIGHT_CONTEXT
Nazwa wyświetlana alertu: wykryto podejrzane użycie programu PowerShell
Ważność: informacyjna
SCUBA_RULE_AddGuestTo Administracja istratory
Nazwa wyświetlana alertu: dodawanie konta gościa do grupy lokalnych Administracja istratorów
Ważność: średni rozmiar
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nazwa wyświetlana alertu: Apache_Tomcat_executing_suspicious_commands
Ważność: średni rozmiar
SCUBA_RULE_KnownBruteForcingTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_KnownCollectionTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_KnownDefenseEvasionTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_KnownExecutionTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_KnownPassTheHashTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_KnownSpammingTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: średni rozmiar
SCUBA_RULE_Lowering_Security_Ustawienia
Nazwa wyświetlana alertu: wykryto wyłączenie usług krytycznych
Ważność: średni rozmiar
SCUBA_RULE_OtherKnownHackerTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nazwa wyświetlana alertu: podejrzany poziom integralności wskazuje na przejęcie protokołu RDP
Ważność: średni rozmiar
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nazwa wyświetlana alertu: podejrzana instalacja usługi
Ważność: średni rozmiar
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nazwa wyświetlana alertu: wykryto pomijanie powiadomienia prawnego wyświetlanego użytkownikom podczas logowania
Ważność: Niska
SCUBA_RULE_WDigest_Enabling
Nazwa wyświetlana alertu: wykryto włączenie klucza rejestru UseLogonCredential WDigest
Ważność: średni rozmiar
VM.Windows_ApplockerBypass
Nazwa wyświetlana alertu: potencjalna próba obejścia wykrytej funkcji AppLocker
Ważność: Wysoka
VM.Windows_BariumKnownSuspiciousProcessExecution
Nazwa wyświetlana alertu: wykryto podejrzane tworzenie pliku
Ważność: Wysoka
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nazwa wyświetlana alertu: wykryto zakodowany plik wykonywalny w danych wiersza polecenia
Ważność: Wysoka
VM.Windows_CalcsCommandLineUse
Nazwa wyświetlana alertu: wykryto podejrzane użycie cacls w celu obniżenia stanu zabezpieczeń systemu
Ważność: średni rozmiar
VM.Windows_CommandLineStartingAllExe
Nazwa wyświetlana alertu: wykryto podejrzany wiersz polecenia używany do uruchamiania wszystkich plików wykonywalnych w katalogu
Ważność: średni rozmiar
VM.Windows_DisablingAndDeletingIISLogFiles
Nazwa wyświetlana alertu: wykryte akcje wskazujące na wyłączenie i usunięcie plików dziennika usług IIS
Ważność: średni rozmiar
VM.Windows_DownloadUsingCertutil
Nazwa wyświetlana alertu: podejrzane pobieranie przy użyciu narzędzia Certutil wykryto
Ważność: średni rozmiar
VM.Windows_EchoOverPipeOnLocalhost
Nazwa wyświetlana alertu: Wykryto podejrzaną komunikację potoku o nazwie
Ważność: Wysoka
VM.Windows_EchoToConstructPowerShellScript
Nazwa wyświetlana alertu: dynamiczna konstrukcja skryptu programu PowerShell
Ważność: średni rozmiar
VM.Windows_ExecutableDecodedUsingCertutil
Nazwa wyświetlana alertu: wykryto dekodowanie pliku wykonywalnego przy użyciu wbudowanego narzędzia certutil.exe
Ważność: średni rozmiar
VM.Windows_FileDeletionIsSospisiousLocation
Nazwa wyświetlana alertu: wykryto podejrzane usunięcie pliku
Ważność: średni rozmiar
VM.Windows_KerberosGoldenTicketAttack
Nazwa wyświetlana alertu: zaobserwowano podejrzane parametry ataku typu Golden Ticket protokołu Kerberos
Ważność: średni rozmiar
VM.Windows_KeygenToolKnownProcessName
Nazwa wyświetlana alertu: wykryto możliwe wykonanie pliku wykonywalnego keygen Podejrzanego procesu
Ważność: średni rozmiar
VM.Windows_KnownCredentialAccessTools
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
VM.Windows_KnownSuspiciousPowerShellScript
Nazwa wyświetlana alertu: wykryto podejrzane użycie programu PowerShell
Ważność: Wysoka
VM.Windows_KnownSuspiciousSoftwareInstallation
Nazwa wyświetlana alertu: wykryto oprogramowanie o wysokim ryzyku
Ważność: średni rozmiar
VM.Windows_MsHtaAndPowerShellCombination
Nazwa wyświetlana alertu: wykryto podejrzaną kombinację funkcji HTA i programu PowerShell
Ważność: średni rozmiar
VM.Windows_MultipleAccountsQuery
Nazwa wyświetlana alertu: zapytania dotyczące wielu kont domeny
Ważność: średni rozmiar
VM.Windows_NewAccountCreation
Nazwa wyświetlana alertu: wykryto tworzenie konta
Ważność: informacyjna
VM.Windows_ObfuscatedCommandLine
Nazwa wyświetlana alertu: Wykryto zaciemniony wiersz polecenia.
Ważność: Wysoka
VM.Windows_PcaluaUseToLaunchExecutable
Nazwa wyświetlana alertu: wykryto podejrzane użycie Pcalua.exe do uruchomienia kodu wykonywalnego
Ważność: średni rozmiar
VM.Windows_PetyaRansomware
Nazwa wyświetlana alertu: wykryte wskaźniki oprogramowania wymuszającego okup petya
Ważność: Wysoka
VM.Windows_PowerShellPowerSploitScriptExecution
Nazwa wyświetlana alertu: wykonane podejrzane polecenia cmdlet programu PowerShell
Ważność: średni rozmiar
VM.Windows_RansomwareIndication
Nazwa wyświetlana alertu: wykryto wskaźniki oprogramowania wymuszającego okup
Ważność: Wysoka
VM.Windows_SqlDumperUsedSuspiciously
Nazwa wyświetlana alertu: wykryto możliwe zrzucanie poświadczeń [widziane wielokrotnie]
Ważność: średni rozmiar
VM.Windows_StopCriticalServices
Nazwa wyświetlana alertu: wykryto wyłączenie usług krytycznych
Ważność: średni rozmiar
VM.Windows_SubvertingAccessibilityBinary
Nazwa wyświetlana alertu: Wykryto atak przy użyciu kluczy sticky wykryto podejrzane tworzenie konta
VM.Windows_SuspiciousAccountCreation
Nazwa wyświetlana alertu: Wykryto podejrzane tworzenie konta
Ważność: średni rozmiar
VM.Windows_SuspiciousFirewallRuleAdded
Nazwa wyświetlana alertu: Wykryto podejrzaną nową regułę zapory
Ważność: średni rozmiar
VM.Windows_SuspiciousFTPSSwitchUsage
Nazwa wyświetlana alertu: wykryto podejrzane użycie przełącznika FTP -s
Ważność: średni rozmiar
VM.Windows_SuspiciousSQLActivity
Nazwa wyświetlana alertu: podejrzane działanie SQL
Ważność: średni rozmiar
VM.Windows_SVCHostFromInvalidPath
Nazwa wyświetlana alertu: wykonany podejrzany proces
Ważność: Wysoka
VM.Windows_SystemEventLogCleared
Nazwa wyświetlana alertu: dziennik Zabezpieczenia Windows został wyczyszczone
Ważność: informacyjna
VM.Windows_TelegramInstallation
Nazwa wyświetlana alertu: wykryto potencjalnie podejrzane użycie narzędzia Telegram
Ważność: średni rozmiar
VM.Windows_UndercoverProcess
Nazwa wyświetlana alertu: wykryto podejrzany proces o nazwie
Ważność: Wysoka
VM.Windows_UserAccountControlBypass
Nazwa wyświetlana alertu: wykryto zmianę klucza rejestru, którego można nadużywać w celu obejścia kontroli dostępu użytkownika
Ważność: średni rozmiar
VM.Windows_VBScriptEncoding
Nazwa wyświetlana alertu: wykryto podejrzane wykonanie polecenia VBScript.Encode
Ważność: średni rozmiar
VM.Windows_WindowPositionRegisteryChange
Nazwa wyświetlana alertu: wykryto podejrzaną wartość rejestru WindowPosition
Ważność: Niska
VM.Windows_ZincPortOpenningUsingFirewallRule
Nazwa wyświetlana alertu: złośliwa reguła zapory utworzona przez implant serwera CYNK
Ważność: Wysoka
VM_DigitalCurrencyMining
Nazwa wyświetlana alertu: wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Ważność: Wysoka
VM_MaliciousSQLActivity
Nazwa wyświetlana alertu: złośliwe działanie SQL
Ważność: Wysoka
VM_ProcessWithDoubleExtensionExecution
Nazwa wyświetlana alertu: wykonany podejrzany plik podwójnego rozszerzenia
Ważność: Wysoka
VM_RegistryPersistencyKey
Nazwa wyświetlana alertu: wykryto metodę trwałości rejestru systemu Windows
Ważność: Niska
VM_ShadowCopyDeletion
Nazwa wyświetlana alertu: plik wykonywalny podejrzanego działania kopiowania woluminów w tle znaleziony z podejrzanej lokalizacji
Ważność: Wysoka
VM_SuspectExecutablePath
Nazwa wyświetlana alertu: znaleziono plik wykonywalny uruchomiony z podejrzanej lokalizacji Wykryto nietypową kombinację wielkich i małych liter w wierszu polecenia
Ważność: informacyjna
Śred.
VM_SuspectPhp
Nazwa wyświetlana alertu: wykryto podejrzane wykonanie języka PHP
Ważność: średni rozmiar
VM_SuspiciousCommandLineExecution
Nazwa wyświetlana alertu: podejrzane wykonywanie polecenia
Ważność: Wysoka
VM_SuspiciousScreenSaverExecution
Nazwa wyświetlana alertu: wykonany proces podejrzanego wygaszarza ekranu
Ważność: średni rozmiar
VM_SvcHostRunInRareServiceGroup
Nazwa wyświetlana alertu: uruchomiona rzadka grupa usługi SVCHOST
Ważność: informacyjna
VM_SystemProcessInAbnormalContext
Nazwa wyświetlana alertu: wykonany podejrzany proces systemowy
Ważność: średni rozmiar
VM_ThreatIntelCommandLineSuspectDomain
Nazwa wyświetlana alertu: wykryto możliwe połączenie ze złośliwą lokalizacją
Ważność: średni rozmiar
VM_ThreatIntelSuspectLogon
Nazwa wyświetlana alertu: wykryto logowanie ze złośliwego adresu IP
Ważność: Wysoka
VM_VbScriptHttpObjectAllocation
Nazwa wyświetlana alertu: wykryto alokację obiektu HTTP VBScript
Ważność: Wysoka
VM_TaskkillBurst
Nazwa wyświetlana alertu: podejrzana przerwanie procesu
Ważność: Niska
VM_RunByPsExec
Nazwa wyświetlana alertu: wykryto wykonanie programu PsExec
Ważność: informacyjna
TAKTYKA MITRE ATT&CK
Zrozumienie zamiaru ataku może ułatwić badanie i zgłaszanie zdarzenia. Aby pomóc w tych wysiłkach, Microsoft Defender dla Chmury alerty obejmują taktykę MITRE z wieloma alertami.
Seria kroków opisujących postęp cyberataku z rekonesansu do eksfiltracji danych jest często nazywana "łańcuchem zabić".
Defender dla Chmury obsługiwane intencje łańcucha zabić są oparte na wersji 9 macierzy MITRE ATT&CK i opisane w poniższej tabeli.
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.