Incydenty — przewodnik referencyjny
Uwaga
W przypadku zdarzeń w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
W tym artykule wymieniono zdarzenia, które można uzyskać z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które zostały włączone. Zdarzenia wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Zdarzenie zabezpieczeń to korelacja alertów z historią ataku, która udostępnia jednostkę. Na przykład zasób, adres IP, użytkownik lub współużytkowanie wzorca łańcucha zabić.
Możesz wybrać zdarzenie, aby wyświetlić wszystkie alerty związane ze zdarzeniem i uzyskać więcej informacji.
Dowiedz się, jak zarządzać zdarzeniami zabezpieczeń.
Uwaga
Ten sam alert może istnieć jako część zdarzenia, a także być widoczny jako alert autonomiczny.
Zdarzenie naruszenia zabezpieczeń
| Alerty | opis | Waga błędu |
|---|---|---|
| Zdarzenie zabezpieczeń wykryło podejrzane działania maszyn wirtualnych | To zdarzenie wskazuje podejrzane działania na maszynach wirtualnych. Wyzwolono wiele alertów z różnych planów Defender dla Chmury, które ujawniają podobny wzorzec na maszynach wirtualnych. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie źródłowego adresu IP | To zdarzenie wskazuje, że wykryto podejrzane działanie na tym samym źródłowym adresie IP. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym adresie IP, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie na tym samym adresie IP może wskazywać, że osoba atakująca uzyskała nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Wykryto zdarzenie zabezpieczeń na wielu zasobach | To zdarzenie wskazuje, że wykryto podejrzane działania w zasobach w chmurze. Wyzwolono wiele alertów z różnych Defender dla Chmury planu, co ujawnia, że podobne metody ataku zostały wykonane na zasobach w chmurze. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Zdarzenie zabezpieczeń wykryło podejrzaną aktywność użytkownika (wersja zapoznawcza) | To zdarzenie wskazuje podejrzane operacje użytkownika w danym środowisku. Ten użytkownik wyzwolił wiele alertów z różnych planów Defender dla Chmury, co zwiększa wierność złośliwych działań w danym środowisku. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do naruszenia zabezpieczeń zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie jednostki usługi (wersja zapoznawcza) | To zdarzenie wskazuje podejrzane operacje jednostki usługi w danym środowisku. Wyzwolono wiele alertów z różnych planów Defender dla Chmury przez tę jednostkę usługi, co zwiększa wierność złośliwych działań w danym środowisku. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do naruszenia zabezpieczeń zasobów w środowisku. Może to oznaczać, że jednostka usługi jest naruszona i jest używana ze złośliwymi intencjami. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie wyszukiwania kryptograficznego (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działanie wyszukiwania kryptograficznego po podejrzanym działaniu użytkownika lub jednostki usługi. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska, a pomyślne działanie wyszukiwania kryptograficznego może sugerować, że pomyślnie naruszono twój zasób i używa go do wyszukiwania kryptowalut, co może prowadzić do zwiększenia kosztów dla organizacji. Scenariusz 2. To zdarzenie wskazuje, że wykryto podejrzane działanie wyszukiwania kryptograficznego po ataku siłowym na ten sam zasób maszyny wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Atak siłowy na maszynę wirtualną może wskazywać, że aktor zagrożenia próbuje uzyskać nieautoryzowany dostęp do środowiska, a pomyślne działanie wyszukiwania kryptograficznego może sugerować, że udało im się złamać zasób i używać go do wydobycia kryptowalut, co może prowadzić do zwiększenia kosztów organizacji. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie usługi Key Vault (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że w środowisku wykryto podejrzane działania związane z użyciem usługi Key Vault. Wyzwolono wiele alertów z różnych planów Defender dla Chmury przez tego użytkownika lub jednostkę usługi, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie usługi Key Vault może wskazywać, że aktor zagrożeń próbuje uzyskać dostęp do poufnych danych, takich jak klucze, wpisy tajne i certyfikaty, a konto zostało naruszone i jest używane ze złośliwym zamiarem. Scenariusz 2. To zdarzenie wskazuje, że w środowisku wykryto podejrzane działania związane z użyciem usługi Key Vault. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie usługi Key Vault może wskazywać, że aktor zagrożeń próbuje uzyskać dostęp do poufnych danych, takich jak klucze, wpisy tajne i certyfikaty, a konto zostało naruszone i jest używane ze złośliwym zamiarem. Scenariusz 3. To zdarzenie wskazuje, że w środowisku wykryto podejrzane działania związane z użyciem usługi Key Vault. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie usługi Key Vault może wskazywać, że aktor zagrożeń próbuje uzyskać dostęp do poufnych danych, takich jak klucze, wpisy tajne i certyfikaty, a konto zostało naruszone i jest używane ze złośliwym zamiarem. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie sygnatury dostępu współdzielonego (wersja zapoznawcza) | To zdarzenie wskazuje, że wykryto podejrzane działania po potencjalnym nieprawidłowym użyciu tokenu SAS. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Użycie tokenu SAS może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do konta magazynu i próbuje uzyskać dostęp do poufnych danych lub eksfiltrować je. | Wys. |
| Zdarzenie zabezpieczeń wykryło nietypowe działanie lokalizacji geograficznej (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że w danym środowisku wykryto nietypowe działanie lokalizacji geograficznej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie pochodzące z nietypowych lokalizacji może wskazywać, że aktor zagrożeń uzyskał nieautoryzowany dostęp do środowiska i próbuje go naruszyć. Scenariusz 2: To zdarzenie wskazuje, że w danym środowisku wykryto nietypowe działanie lokalizacji geograficznej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie pochodzące z nietypowych lokalizacji może wskazywać, że aktor zagrożeń uzyskał nieautoryzowany dostęp do środowiska i próbuje go naruszyć. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie adresu IP (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działanie pochodzące z podejrzanego adresu IP. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie pochodzące z podejrzanego adresu IP może wskazywać, że osoba atakująca uzyskała nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. Scenariusz 2: To zdarzenie wskazuje, że wykryto podejrzane działania pochodzące z podejrzanego adresu IP. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym użytkowniku lub jednostce usługi, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie pochodzące z podejrzanego adresu IP może wskazywać, że osoba atakująca uzyskała nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie ataku bez plików (wersja zapoznawcza) | To zdarzenie wskazuje, że na maszynie wirtualnej wykryto zestaw narzędzi do ataków bez plików po potencjalnej próbie wykorzystania tego samego zasobu. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tej samej maszynie wirtualnej, co zwiększa wierność złośliwych działań w środowisku. Obecność zestawu narzędzi do ataków bez plików na maszynie wirtualnej może wskazywać, że aktor zagrożeń uzyskał nieautoryzowany dostęp do środowiska i próbuje uniknąć wykrywania podczas wykonywania dalszych złośliwych działań. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie DDOS (wersja zapoznawcza) | To zdarzenie wskazuje, że w danym środowisku wykryto podejrzane działanie rozproszonej odmowy usługi (DDOS). Ataki DDOS są przeznaczone do przeciążenia sieci lub aplikacji z dużą liczbą ruchu, co powoduje, że stanie się niedostępny dla uprawnionych użytkowników. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym adresie IP, co zwiększa wierność złośliwych działań w środowisku. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działania eksfiltracji danych (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działania eksfiltracji danych po podejrzanym działaniu użytkownika lub jednostki usługi. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska, a pomyślne działanie eksfiltracji danych może sugerować, że próbują ukraść poufne informacje. Scenariusz 2. To zdarzenie wskazuje, że wykryto podejrzane działania eksfiltracji danych po podejrzanym działaniu użytkownika lub jednostki usługi. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska, a pomyślne działanie eksfiltracji danych może sugerować, że próbują ukraść poufne informacje. Scenariusz 3. To zdarzenie wskazuje, że wykryto podejrzane działanie eksfiltracji danych po nietypowym zresetowaniu hasła na maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska, a pomyślne działanie eksfiltracji danych może sugerować, że próbują ukraść poufne informacje. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie interfejsu API (wersja zapoznawcza) | To zdarzenie wskazuje, że wykryto podejrzane działanie interfejsu API. Wiele alertów z Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane użycie interfejsu API może wskazywać, że aktor zagrożenia próbuje uzyskać dostęp do poufnych informacji lub wykonać nieautoryzowane akcje. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie klastra Kubernetes (wersja zapoznawcza) | To zdarzenie wskazuje, że w klastrze Kubernetes wykryto podejrzane działania po podejrzanych działaniach użytkowników. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w tym samym klastrze, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie w klastrze Kubernetes może wskazywać, że aktor zagrożeń uzyskał nieautoryzowany dostęp do środowiska i próbuje go naruszyć. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie magazynu (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działanie magazynu po podejrzanym działaniu użytkownika lub jednostki usługi. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska, a pomyślne podejrzane działanie magazynu może sugerować, że próbują uzyskać dostęp do potencjalnie poufnych danych. Scenariusz 2: To zdarzenie wskazuje, że wykryto podejrzane działanie magazynu po podejrzanym działaniu użytkownika lub jednostki usługi. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie konta może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska, a pomyślne podejrzane działanie magazynu może sugerować, że próbują uzyskać dostęp do potencjalnie poufnych danych. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie zestawu narzędzi platformy Azure (wersja zapoznawcza) | To zdarzenie wskazuje, że wykryto podejrzane działania po potencjalnym użyciu zestawu narzędzi platformy Azure. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym użytkowniku lub jednostce usługi, co zwiększa wierność złośliwych działań w środowisku. Użycie zestawu narzędzi platformy Azure może wskazywać, że osoba atakująca uzyskała nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działania DNS (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działanie DNS. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie DNS może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska i próbuje go naruszyć. Scenariusz 2. To zdarzenie wskazuje, że wykryto podejrzane działanie DNS. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie DNS może wskazywać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska i próbuje go naruszyć. |
Śred. |
| Zdarzenie zabezpieczeń wykryło podejrzane działania SQL (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że wykryto podejrzane działania SQL. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie SQL może wskazywać, że aktor zagrożeń jest ukierunkowany na serwer SQL i próbuje go naruszyć. Scenariusz 2. To zdarzenie wskazuje, że wykryto podejrzane działania SQL. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie SQL może wskazywać, że aktor zagrożeń jest ukierunkowany na serwer SQL i próbuje go naruszyć. |
Wys. |
| Zdarzenie zabezpieczeń wykryło podejrzane działanie usługi app service (wersja zapoznawcza) | Scenariusz 1. To zdarzenie wskazuje, że w środowisku usługi App Service wykryto podejrzane działania. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych na tym samym zasobie, co zwiększa wierność złośliwych działań w środowisku. Podejrzane działanie usługi App Service może wskazywać, że aktor zagrożeń jest ukierunkowany na aplikację i może próbować go naruszyć. Scenariusz 2. To zdarzenie wskazuje, że w środowisku usługi aplikacji wykryto podejrzane działania. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych z tego samego adresu IP, co zwiększa wierność złośliwych działań w danym środowisku. Podejrzane działanie usługi App Service może wskazywać, że aktor zagrożeń jest ukierunkowany na aplikację i może próbować go naruszyć. |
Wys. |
| Wykryto naruszenie zabezpieczeń maszyny | To zdarzenie wskazuje podejrzane działanie na co najmniej jednej maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tego samego zasobu, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska i pomyślnie naruszył ten komputer. | Średni/wysoki |
| Wykryto naruszenie zabezpieczeń maszyny z komunikacją z botnetem | To zdarzenie wskazuje podejrzane działanie botnetu na maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tego samego zasobu, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Wykryto naruszenie zabezpieczeń maszyn z komunikacją z botnetem | To zdarzenie wskazuje na podejrzane działanie botnetu na maszynach wirtualnych. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tego samego zasobu, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Wykryto naruszenie zabezpieczeń maszyny ze złośliwym działaniem wychodzącym | To zdarzenie wskazuje podejrzane działania wychodzące na maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tego samego zasobu, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Wykryto zdarzenia zabezpieczeń naruszone maszyny | To zdarzenie wskazuje podejrzane działanie na co najmniej jednej maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tych samych zasobów, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do środowiska i pomyślnie złamał te maszyny. | Średni/wysoki |
| Wykryto naruszenie zabezpieczeń maszyn ze złośliwym działaniem wychodzącym | To zdarzenie wskazuje podejrzane działania wychodzące z maszyn wirtualnych. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tych samych zasobów, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Zdarzenie zabezpieczeń wykryte na wielu maszynach | To zdarzenie wskazuje podejrzane działanie na co najmniej jednej maszynie wirtualnej. Wiele alertów z różnych planów Defender dla Chmury zostało wyzwolonych w kolejności chronologicznej dla tego samego zasobu, zgodnie ze strukturą MITRE ATT&CK. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. | Średni/wysoki |
| Wykryto zdarzenie zabezpieczeń z udostępnionym procesem | Scenariusz 1. To zdarzenie wskazuje podejrzane działania na maszynie wirtualnej. Wyzwolono wiele alertów z różnych planów Defender dla Chmury współużytkowania tego samego procesu. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. Scenariusz 2. To zdarzenie wskazuje podejrzane działania na maszynach wirtualnych. Wyzwolono wiele alertów z różnych planów Defender dla Chmury współużytkowania tego samego procesu. Może to oznaczać, że aktor zagrożenia uzyskał nieautoryzowany dostęp do twojego środowiska i próbuje go naruszyć. |
Średni/wysoki |
Następne kroki
Zarządzanie zdarzeniami zabezpieczeń w usłudze Microsoft Defender dla Chmury