Alerty dotyczące maszyn z systemem Windows

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla maszyn z systemem Windows w Microsoft Defender dla Chmury i wszystkich planach usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Alerty dotyczące maszyn z systemem Windows

Usługa Microsoft Defender dla serwerów (plan 2) udostępnia unikatowe wykrycia i alerty oprócz tych udostępnianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Alerty udostępniane dla maszyn z systemem Windows to:

Dalsze szczegóły i uwagi

Wykryto logowanie ze złośliwego adresu IP. [widziane wiele razy]

Opis: Wystąpiło pomyślne zdalne uwierzytelnianie dla konta [konto] i proces [proces], jednak wcześniej zgłoszono jako złośliwy lub wysoce nietypowy adres IP logowania (x.x.x.x). Prawdopodobnie doszło do pomyślnego ataku. Pliki z rozszerzeniami scr są plikami wygaszacza ekranu i zwykle znajdują się i są wykonywane z katalogu systemowego systemu Windows.

Taktyka MITRE: -

Ważność: Wysoka

Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji

VM_AdaptiveApplicationControlWindowsViolationAudited

Opis: Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji.

Taktyka MITRE: Wykonywanie

Ważność: informacyjna

Dodawanie konta gościa do grupy Administratorzy lokalni

Opis: Analiza danych hosta wykryła dodanie wbudowanego konta gościa do grupy Administratorzy lokalni na serwerze %{Host z naruszonym naruszeniem}, co jest silnie skojarzone z działaniem osoby atakującej.

Taktyka MITRE: -

Ważność: średni rozmiar

Dziennik zdarzeń został wyczyszczone

Opis: Dzienniki komputera wskazują podejrzane operacje czyszczenia dziennika zdarzeń według użytkownika: "%{nazwa użytkownika}" na maszynie: "%{Naruszoneentity}". Dziennik %{log channel} został wyczyszczone.

Taktyka MITRE: -

Ważność: informacyjna

Akcja ochrony przed złośliwym kodem nie powiodła się

Opis: Program Microsoft Antimalware napotkał błąd podczas wykonywania akcji w poszukiwaniu złośliwego oprogramowania lub innego potencjalnie niechcianego oprogramowania.

Taktyka MITRE: -

Ważność: średni rozmiar

Podjęto akcję ochrony przed złośliwym kodem

Opis: Program Microsoft Antimalware dla platformy Azure podjął akcję w celu ochrony tej maszyny przed złośliwym oprogramowaniem lub innym potencjalnie niechcianym oprogramowaniem.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykluczenie szerokiego oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej

(VM_AmBroadFilesExclusion)

Opis: Na maszynie wirtualnej wykryto wykluczenie plików z rozszerzenia ochrony przed złośliwym kodem z szeroką regułą wykluczania, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie wykluczenie praktycznie wyłącza ochronę przed złośliwym kodem. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: -

Ważność: średni rozmiar

Oprogramowanie chroniące przed złośliwym kodem jest wyłączone i wykonywanie kodu na maszynie wirtualnej

(VM_AmDisablementAndCodeExecution)

Opis: Oprogramowanie chroniące przed złośliwym kodem jest wyłączone w tym samym czasie co wykonywanie kodu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące wyłączają skanery ochrony przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: -

Ważność: Wysoka

Oprogramowanie chroniące przed złośliwym kodem jest wyłączone na maszynie wirtualnej

(VM_AmDisablement)

Opis: Ochrona przed złośliwym kodem jest wyłączona na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej

(VM_AmFileExclusionAndCodeExecution)

Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem w tym samym czasie co kod został wykonany za pośrednictwem niestandardowego rozszerzenia skryptu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: Wysoka

Wykluczanie i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej (tymczasowe)

(VM_AmTempFileExclusionAndCodeExecution)

Opis: Tymczasowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem równolegle do wykonywania kodu za pośrednictwem rozszerzenia niestandardowego skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: Wysoka

Wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej

(VM_AmTempFileExclusion)

Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Ochrona przed złośliwym kodem w czasie rzeczywistym została wyłączona na maszynie wirtualnej

(VM_AmRealtimeProtectionDisabled)

Opis: Wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona na maszynie wirtualnej

(VM_AmTempRealtimeProtectionDisablement)

Opis: Tymczasowe wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona podczas wykonywania kodu na maszynie wirtualnej

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Opis: Tymczasowe wyłączenie rozszerzenia ochrony przed złośliwym kodem w czasie rzeczywistym równolegle do wykonywania kodu za pomocą niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: -

Ważność: Wysoka

Skanowanie chroniące przed złośliwym kodem zablokowane dla plików potencjalnie związanych z kampaniami złośliwego oprogramowania na maszynie wirtualnej (wersja zapoznawcza)

(VM_AmMalwareCampaignRelatedExclusion)

Opis: Na maszynie wirtualnej wykryto regułę wykluczania, aby zapobiec skanowaniu niektórych plików, które są podejrzane o związek z kampanią złośliwego oprogramowania. Reguła została wykryta przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej

(VM_AmTemporarilyDisablement)

Opis: Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.

Taktyka MITRE: -

Ważność: średni rozmiar

Nietypowe wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej

(VM_UnusualAmFileExclusion)

Opis: Wykryto nietypowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń

(AzureDNS_ThreatIntelSuspectDomain)

Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.

Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie

Ważność: średni rozmiar

Wykryte akcje wskazujące na wyłączenie i usunięcie plików dziennika usług IIS

Opis: Analiza wykrytych akcji dotyczących danych hosta, które pokazują, że pliki dziennika usług IIS są wyłączone i/lub usunięte.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto nietypową kombinację znaków wyższej i małej litery w wierszu polecenia

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wiersz polecenia z nietypową kombinacją wyższej i małej litery. Ten rodzaj wzorca, choć prawdopodobnie łagodny, jest również typowy dla osób atakujących próbujących ukryć się przed dopasowaniem reguł opartych na wielkości liter lub skrótu podczas wykonywania zadań administracyjnych na naruszonym hoście.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto zmianę klucza rejestru, który może być nadużywany w celu obejścia kontroli dostępu użytkownika

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że zmieniono klucz rejestru, który może być nadużywany w celu obejścia kontroli konta użytkownika. Taka konfiguracja, choć prawdopodobnie łagodna, jest również typowa dla działania osoby atakującej podczas próby przejścia z nieuprzywilejowanego (użytkownika standardowego) na uprzywilejowany (na przykład administrator) na naruszonym hoście.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto dekodowanie pliku wykonywalnego przy użyciu wbudowanego narzędzia certutil.exe

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, że certutil.exe, wbudowane narzędzie administratora, było używane do dekodowania pliku wykonywalnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące nadużywają funkcjonalności wiarygodnych narzędzi administratora w celu wykonania złośliwych akcji. Mogą na przykład użyć narzędzia, takiego jak certutil.exe, do dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto włączenie klucza rejestru WDigest UseLogonCredential

Opis: Analiza danych hosta wykryła zmianę klucza rejestru HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". W szczególności ten klucz został zaktualizowany, aby umożliwić przechowywanie poświadczeń logowania w postaci zwykłego tekstu w pamięci LSA. Po włączeniu osoba atakująca może zrzucić hasła w postaci zwykłego tekstu z pamięci LSA przy użyciu narzędzi do zbierania poświadczeń, takich jak Mimikatz.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto zakodowany plik wykonywalny w danych wiersza polecenia

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła plik wykonywalny zakodowany w formacie base-64. Wcześniej była ona skojarzona z osobami atakującymi próbującymi skonstruować pliki wykonywalne na bieżąco przez sekwencję poleceń i próbując uniknąć włamań systemów wykrywania, upewniając się, że żadne pojedyncze polecenie nie wyzwoli alertu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto zaciemniony wiersz polecenia

Opis: Osoby atakujące używają coraz bardziej złożonych technik zaciemniania w celu uniknięcia wykryć, które są uruchamiane względem danych bazowych. Analiza danych hosta w elemencie %{Host z naruszeniem zabezpieczeń} wykryła podejrzane wskaźniki zaciemnienia w wierszu polecenia.

Taktyka MITRE: -

Ważność: informacyjna

Wykryto możliwe wykonanie pliku wykonywalnego keygen

Opis: Analiza danych hosta na serwerze %{Host naruszony} wykryła wykonanie procesu, którego nazwa wskazuje na narzędzie keygen. Takie narzędzia są zwykle używane do pokonania mechanizmów licencjonowania oprogramowania, ale ich pobieranie jest często powiązane z innym złośliwym oprogramowaniem. Grupa działań GOLD była znana, aby wykorzystać takie keygens do potajemnie uzyskać dostęp do tylnych drzwi do hostów, których złamają.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto możliwe wykonanie porzuconego złośliwego oprogramowania

Opis: Analiza danych hosta na hoście %{Naruszone bezpieczeństwo} wykryła nazwę pliku, która została wcześniej skojarzona z jedną z metod grupy działań GOLD instalowania złośliwego oprogramowania na hoście ofiary.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto możliwe lokalne działanie rekonesansu

Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD wykonywania działań rozpoznawczych. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu w sposób, w jaki wystąpił tutaj, jest rzadkie.

Taktyka MITRE: -

Ważność: Niska

Wykryto potencjalnie podejrzane użycie narzędzia Telegram

Opis: Analiza danych hosta pokazuje instalację usługi Telegram, bezpłatnej usługi obsługi wiadomości błyskawicznych opartych na chmurze, która istnieje zarówno dla systemu mobilnego, jak i klasycznego. Osoby atakujące są znane nadużyciom tej usługi w celu przeniesienia złośliwych plików binarnych na dowolny inny komputer, telefon lub tablet.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto pomijanie powiadomienia prawnego wyświetlanego użytkownikom podczas logowania

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła zmiany klucza rejestru, które określają, czy powiadomienie prawne jest wyświetlane użytkownikom podczas logowania. Analiza zabezpieczeń firmy Microsoft ustaliła, że jest to typowe działanie podejmowane przez osoby atakujące po naruszeniu zabezpieczeń hosta.

Taktyka MITRE: -

Ważność: Niska

Wykryto podejrzaną kombinację funkcji HTA i programu PowerShell

Opis: mshta.exe (host aplikacji HTML firmy Microsoft), który jest podpisanym plikiem binarnym firmy Microsoft, jest używany przez osoby atakujące do uruchamiania złośliwych poleceń programu PowerShell. Osoby atakujące często uciekają się do posiadania pliku HTA z wbudowanym skryptem VBScript. Gdy ofiara przechodzi do pliku HTA i zdecyduje się go uruchomić, są wykonywane polecenia programu PowerShell i skrypty, które zawiera. Analiza danych hosta na hoście %{Naruszone bezpieczeństwo hosta} wykryła mshta.exe uruchamiania poleceń programu PowerShell.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane argumenty wiersza polecenia

Opis: Analiza danych hosta w elemencie %{Host naruszony} wykryła podejrzane argumenty wiersza polecenia, które zostały użyte w połączeniu z odwrotną powłoką używaną przez grupę działań WODOR.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzany wiersz polecenia używany do uruchamiania wszystkich plików wykonywalnych w katalogu

Opis: Analiza danych hosta wykryła podejrzany proces uruchomiony na serwerze %{Host z naruszonym naruszeniem}. Wiersz polecenia wskazuje próbę uruchomienia wszystkich plików wykonywalnych (*.exe), które mogą znajdować się w katalogu. Może to wskazywać na naruszonego hosta.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane poświadczenia w wierszu polecenia

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane hasło używane do wykonywania pliku przez borON grupy działań. Ta grupa działań była znana z używania tego hasła do wykonywania złośliwego oprogramowania Pirpi na hoście ofiary.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane poświadczenia dokumentu

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane, typowe wstępnie skompilowane skróty haseł używane przez złośliwe oprogramowanie używane do wykonywania pliku. Grupa działań WODOR jest znana z używania tego hasła do wykonywania złośliwego oprogramowania na hoście ofiary.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane wykonanie polecenia VBScript.Encode

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia VBScript.Encode. Spowoduje to zakodowanie skryptów w nieprzeczytany tekst, co utrudnia użytkownikom badanie kodu. Badania zagrożeń firmy Microsoft pokazują, że osoby atakujące często używają zakodowanych plików VBscript w ramach ataku w celu uniknięcia systemów wykrywania. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane wykonywanie za pośrednictwem rundll32.exe

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, rundll32.exe używane do wykonywania procesu o nietypowej nazwie, zgodnej ze schematem nazewnictwa procesów, który był wcześniej używany przez grupę działań GOLD podczas instalowania implantu pierwszego etapu na naruszonym hoście.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane polecenia oczyszczania plików

Opis: Analiza danych hosta na serwerze %{Naruszony host} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD podczas samodzielnego oczyszczania po naruszeniu zabezpieczeń. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu, a następnie polecenie usuwania w sposób, który wystąpił tutaj, jest rzadki.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane tworzenie pliku

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła utworzenie lub wykonanie procesu, który wcześniej wskazywał działanie po naruszeniu zabezpieczeń podjęte na hoście ofiary przez grupę działań BARIUM. Ta grupa działań była znana z używania tej techniki w celu pobrania większej liczby złośliwego oprogramowania na hosta, który został naruszony po otwarciu załącznika w dokumentie wyłudzania informacji.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzaną komunikację nazwanego potoku

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że dane są zapisywane w lokalnym nazwanym potoku za pomocą polecenia konsoli systemu Windows. Nazwane potoki są znane jako kanał używany przez osoby atakujące do zadania i komunikowania się ze złośliwym implantem. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane działanie sieci

Opis: Analiza ruchu sieciowego z hosta %{Naruszone zabezpieczenia} wykryła podejrzane działanie sieci. Taki ruch, choć prawdopodobnie łagodny, jest zwykle używany przez osobę atakującą do komunikowania się ze złośliwymi serwerami do pobierania narzędzi, kontroli i kontroli i eksfiltracji danych. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.

Taktyka MITRE: -

Ważność: Niska

Wykryto podejrzaną nową regułę zapory

Opis: Analiza danych hosta wykryła dodanie nowej reguły zapory za pośrednictwem netsh.exe w celu zezwolenia na ruch z pliku wykonywalnego w podejrzanej lokalizacji.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane użycie cacls w celu obniżenia stanu zabezpieczeń systemu

Opis: Osoby atakujące używają niezliczonych sposobów, takich jak atak siłowy, wyłudzanie informacji itp., aby osiągnąć początkowe naruszenie i uzyskać przyczółek w sieci. Po osiągnięciu początkowego naruszenia często podejmują kroki w celu obniżenia ustawień zabezpieczeń systemu. Caclsâ € "skrót dla listy kontroli dostępu zmian to natywne narzędzie wiersza polecenia systemu Microsoft Windows często używane do modyfikowania uprawnień zabezpieczeń folderów i plików. Wiele czasu dane binarne są używane przez osoby atakujące w celu obniżenia ustawień zabezpieczeń systemu. W tym celu można zapewnić wszystkim pełny dostęp do niektórych plików binarnych systemu, takich jak ftp.exe, net.exe, wscript.exe itp. Analiza danych hosta na serwerze %{Naruszony host} wykryła podejrzane użycie platformy Cacls w celu obniżenia bezpieczeństwa systemu.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane użycie przełącznika FTP -s

Opis: Analiza danych tworzenia procesów z hosta %{Naruszone zabezpieczenia} wykryła użycie przełącznika FTP "-s:nazwa_pliku". Ten przełącznik służy do określania pliku skryptu FTP, który ma zostać uruchomiony przez klienta. Złośliwe oprogramowanie lub złośliwe procesy są znane, aby używać tego przełącznika FTP (-s:nazwa_pliku) do wskazywania pliku skryptu, który jest skonfigurowany do łączenia się ze zdalnym serwerem FTP i pobierania bardziej złośliwych plików binarnych.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane użycie Pcalua.exe do uruchomienia kodu wykonywalnego

Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła użycie pcalua.exe do uruchomienia kodu wykonywalnego. Pcalua.exe jest składnikiem "Asystenta zgodności programów" systemu Microsoft Windows, który wykrywa problemy ze zgodnością podczas instalacji lub wykonywania programu. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi systemu Windows do wykonywania złośliwych akcji, na przykład przy użyciu pcalua.exe z przełącznikiem umożliwiającym uruchamianie złośliwych plików wykonywalnych lokalnie lub z udziałów zdalnych.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto wyłączenie usług krytycznych

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia "net.exe stop" używanego do zatrzymywania krytycznych usług, takich jak SharedAccess lub Zabezpieczenia Windows aplikacji. Zatrzymanie jednej z tych usług może wskazywać na złośliwe zachowanie.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych.

Taktyka MITRE: -

Ważność: Wysoka

Dynamiczna konstrukcja skryptu PS

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła dynamicznie konstruowany skrypt programu PowerShell. Osoby atakujące czasami używają tego podejścia do progresywnego tworzenia skryptu w celu uniknięcia systemów IDS. Może to być uzasadnione działanie lub wskazanie, że jeden z Twoich maszyn został naruszony.

Taktyka MITRE: -

Ważność: średni rozmiar

Znaleziono plik wykonywalny uruchomiony z podejrzanej lokalizacji

Opis: Analiza danych hosta wykryła plik wykonywalny na serwerze %{Host naruszony}, który jest uruchomiony z lokalizacji wspólnej ze znanymi podejrzanymi plikami. Ten plik wykonywalny może być legalnym działaniem lub wskazaniem naruszonego hosta.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto zachowanie ataków bez plików

(VM_FilelessAttackBehavior.Windows)

Opis: Pamięć określonego procesu zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują:

1. Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
2. Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz NetworkConnections poniżej.
3. Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
4. Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.

Taktyka MITRE: Uchylanie się od obrony

Ważność: Niska

Wykryto technikę ataku bez plików

(VM_FilelessAttackTechnique.Windows)

Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują:

1. Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
2. Obraz wykonywalny wstrzyknięty do procesu, taki jak atak polegający na wstrzyknięciu kodu.
3. Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz NetworkConnections poniżej.
4. Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
5. Wydrążenie procesów, które jest techniką używaną przez złośliwe oprogramowanie, w którym w systemie jest ładowany legalny proces do działania jako kontener dla wrogiego kodu.
6. Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: Wysoka

Wykryto zestaw narzędzi do ataków bez plików

(VM_FilelessAttackToolkit.Windows)

Opis: Pamięć określonego procesu zawiera zestaw narzędzi do ataków bez plików: [nazwa zestawu narzędzi]. Zestawy narzędzi do ataków bez plików używają technik, które minimalizują lub eliminują ślady złośliwego oprogramowania na dysku i znacznie zmniejszają prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach. Konkretne zachowania obejmują:

1. Dobrze znane zestawy narzędzi i oprogramowanie do wyszukiwania kryptograficznego.
2. Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
3. Wstrzyknięto złośliwy plik wykonywalny w pamięci procesu.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: średni rozmiar

Wykryto oprogramowanie o wysokim ryzyku

Opis: Analiza danych hosta z hosta %{Naruszone bezpieczeństwo hosta} wykryła użycie oprogramowania skojarzonego z instalacją złośliwego oprogramowania w przeszłości. Typową techniką używaną w dystrybucji złośliwego oprogramowania jest spakowanie go w innych łagodnych narzędziach, takich jak ta widoczna w tym alercie. W przypadku korzystania z tych narzędzi złośliwe oprogramowanie może być instalowane w tle w trybie dyskretnym.

Taktyka MITRE: -

Ważność: średni rozmiar

Członkowie grupy Administratorzy lokalni zostali wyliczeni

Opis: Dzienniki maszyn wskazują pomyślne wyliczenie w grupie %{Wyliczona nazwa domeny grupy}%{Wyliczona nazwa grupy}. W szczególności %{Wyliczanie nazwy domeny użytkownika}%{Wyliczanie nazwy użytkownika} zdalnie wyliczało członków grupy %{Wyliczonej nazwy domeny grupy}%{Nazwa grupy wyliczanej}}. To działanie może być uzasadnione lub wskazywać, że bezpieczeństwo maszyny w organizacji zostało naruszone i użyte do rekonesansu %{vmname}.

Taktyka MITRE: -

Ważność: informacyjna

Złośliwa reguła zapory utworzona przez implant serwera [widziana wiele razy]

Opis: Reguła zapory została utworzona przy użyciu technik, które pasują do znanego aktora,. Reguła była prawdopodobnie używana do otwierania portu na hoście %{Naruszone bezpieczeństwo}, aby umożliwić komunikację poleceń i kontroli. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]

Taktyka MITRE: -

Ważność: Wysoka

Złośliwe działanie SQL

Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest uznawane za złośliwe.

Taktyka MITRE: -

Ważność: Wysoka

Zapytania o wiele kont domeny

Opis: Analiza danych hosta ustaliła, że nietypowa liczba unikatowych kont domeny jest badana w krótkim czasie od użytkownika %{Host z naruszonym dostępem}. Tego rodzaju działalność może być uzasadniona, ale może być również wskazaniem kompromisu.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto możliwe dumping poświadczeń [widziany wiele razy]

Opis: Analiza danych hosta wykryła użycie natywnego narzędzia systemu Windows (na przykład sqldumper.exe) używanego w sposób umożliwiający wyodrębnianie poświadczeń z pamięci. Osoby atakujące często używają tych technik do wyodrębniania poświadczeń, których następnie używają do przenoszenia bocznego i eskalacji uprawnień. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto potencjalną próbę obejścia funkcji AppLocker

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła potencjalną próbę obejścia ograniczeń funkcji AppLocker. Funkcję AppLocker można skonfigurować do implementowania zasad, które ograniczają, jakie pliki wykonywalne mogą być uruchamiane w systemie Windows. Wzorzec wiersza polecenia podobny do tego, który został zidentyfikowany w tym alercie, został wcześniej skojarzony z osobami atakującymi próbującymi obejść zasady funkcji AppLocker przy użyciu zaufanych plików wykonywalnych (dozwolonych przez zasady funkcji AppLocker) w celu wykonania niezaufanego kodu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.

Taktyka MITRE: -

Ważność: Wysoka

Uruchomiona rzadka grupa usług SVCHOST

(VM_SvcHostRunInRareServiceGroup)

Opis: Zaobserwowano uruchomienie rzadkiej grupy usług w procesie systemowym SVCHOST. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: informacyjna

Wykryto atak na klucze sticky

Opis: Analiza danych hosta wskazuje, że osoba atakująca może odwrócić plik binarny ułatwień dostępu (na przykład przyklejone, klawiatura ekranowa, narrator) w celu zapewnienia dostępu zaplecza do hosta %{Host naruszony bezpieczeństwo}.

Taktyka MITRE: -

Ważność: średni rozmiar

Udany atak siłowy

(VM_LoginBruteForceSuccess)

Opis: Wykryto kilka prób logowania z tego samego źródła. Niektóre pomyślnie uwierzytelnione na hoście. Przypomina to atak z serii, w którym osoba atakująca wykonuje wiele prób uwierzytelnienia w celu znalezienia prawidłowych poświadczeń konta.

Taktyka MITRE: Wyzysk

Ważność: średni/wysoki

Podejrzany poziom integralności wskazuje na porwanie RDP

Opis: Analiza danych hosta wykryła tscon.exe uruchomioną z uprawnieniami SYSTEM — może to wskazywać na to, że osoba atakująca nadużywa tego pliku binarnego w celu przełączenia kontekstu na dowolnego innego zalogowanego użytkownika na tym hoście. Jest to znana technika atakująca umożliwiająca naruszenie większej liczby kont użytkowników i przechodzenie poprzecznie przez sieć.

Taktyka MITRE: -

Ważność: średni rozmiar

Podejrzana instalacja usługi

Opis: Analiza danych hosta wykryła instalację tscon.exe jako usługi: ten plik binarny jest uruchamiany jako usługa, co potencjalnie umożliwia osobie atakującej trivially przełączenie się na dowolnego innego zalogowanego użytkownika na tym hoście przez przejęcie połączeń RDP; jest to znana technika atakująca, aby naruszyć bezpieczeństwo większej liczby kont użytkowników i przenieść się później przez sieć.

Taktyka MITRE: -

Ważność: średni rozmiar

Zaobserwowano podejrzane parametry ataku przy użyciu protokołu Kerberos Golden Ticket

Opis: Analiza danych hosta wykrytych parametrów wiersza polecenia spójnych z atakiem protokołu Kerberos Golden Ticket.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane tworzenie konta

Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła utworzenie lub użycie konta lokalnego %{Nazwa podejrzanego konta}: ta nazwa konta jest ściśle podobna do standardowej nazwy konta systemu Windows lub grupy %{Podobne do nazwy konta}. Jest to potencjalnie nieautoryzowane konto utworzone przez osobę atakującą, tak nazwane w celu uniknięcia zauważenia przez administratora ludzkiego.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane działanie

(VM_SuspiciousActivity)

Opis: Analiza danych hosta wykryła sekwencję co najmniej jednego procesu uruchomionego w lokalizacji %{nazwa komputera}, które zostały historycznie skojarzone ze złośliwym działaniem. Chociaż poszczególne polecenia mogą wydawać się łagodne, alert jest oceniany na podstawie agregacji tych poleceń. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.

Taktyka MITRE: Wykonywanie

Ważność: średni rozmiar

Podejrzane działanie uwierzytelniania

(VM_LoginBruteForceValidUserFailed)

Opis: Chociaż żaden z nich nie zakończył się pomyślnie, niektóre z nich zostały rozpoznane przez hosta. Przypomina to atak słownikowy, w którym osoba atakująca wykonuje wiele prób uwierzytelniania przy użyciu słownika wstępnie zdefiniowanych nazw kont i haseł w celu znalezienia prawidłowych poświadczeń dostępu do hosta. Oznacza to, że niektóre nazwy kont hosta mogą istnieć w dobrze znanym słowniku nazw kont.

Taktyka MITRE: Sondowanie

Ważność: średni rozmiar

Wykryto podejrzany segment kodu

Opis: wskazuje, że segment kodu został przydzielony przy użyciu niestandardowych metod, takich jak iniekcja refleksyjna i wydrążenie procesów. Alert zawiera więcej cech segmentu kodu, który został przetworzony w celu zapewnienia kontekstu dla możliwości i zachowań zgłaszanego segmentu kodu.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykonany podejrzany plik podwójnego rozszerzenia

Opis: Analiza danych hosta wskazuje wykonanie procesu z podejrzanym podwójnym rozszerzeniem. To rozszerzenie może skłonić użytkowników do myślenia, że pliki są bezpieczne do otwarcia i mogą wskazywać na obecność złośliwego oprogramowania w systemie.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil [widziane wiele razy]

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil

Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzane działanie programu PowerShell

Opis: Analiza danych hosta wykryła skrypt programu PowerShell uruchomiony na hoście %{Naruszone bezpieczeństwo}, który ma funkcje wspólne ze znanymi podejrzanymi skryptami. Ten skrypt może być legalnym działaniem lub wskazaniem naruszonego hosta.

Taktyka MITRE: -

Ważność: Wysoka

Wykonane podejrzane polecenia cmdlet programu PowerShell

Opis: Analiza danych hosta wskazuje wykonywanie znanych złośliwych poleceń cmdlet programu PowerShell PowerSploit.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykonany podejrzany proces [widziany wiele razy]

Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]

Taktyka MITRE: -

Ważność: Wysoka

Wykonany podejrzany proces

Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzaną nazwę procesu [widzianą wielokrotnie]

Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]

Taktyka MITRE: -

Ważność: średni rozmiar

Wykryto podejrzaną nazwę procesu

Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony.

Taktyka MITRE: -

Ważność: średni rozmiar

Podejrzane działanie SQL

Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest nietypowe w przypadku tego konta.

Taktyka MITRE: -

Ważność: średni rozmiar

Wykonany podejrzany proces SVCHOST

Opis: Proces systemowy SVCHOST zaobserwowano działanie w nietypowym kontekście. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.

Taktyka MITRE: -

Ważność: Wysoka

Wykonany podejrzany proces systemowy

(VM_SystemProcessInAbnormalContext)

Opis: Proces systemowy %{nazwa procesu} zaobserwowano uruchomienie w nietypowym kontekście. Złośliwe oprogramowanie często używa tej nazwy procesu do maskowania złośliwego działania.

Taktyka MITRE: Uchylanie się od obrony, egzekucja

Ważność: Wysoka

Podejrzane działanie kopiowania woluminów w tle

Opis: Analiza danych hosta wykryła działanie usuwania kopii w tle w zasobie. Kopiowanie woluminów w tle (VSC, Volume Shadow Copy) to ważny artefakt, który przechowuje migawki danych. Niektóre złośliwe oprogramowanie, a w szczególności oprogramowanie Wymuszanie oprogramowania wymuszającego okup, są przeznaczone dla programu VSC w celu sabotowania strategii tworzenia kopii zapasowych.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzaną wartość rejestru WindowPosition

Opis: Analiza danych hosta na serwerze %{Host z naruszonymi zabezpieczeniami} wykryła próbę zmiany konfiguracji rejestru WindowPosition, która może wskazywać na ukrywanie okien aplikacji w nienadzorowanych sekcjach pulpitu. Może to być uzasadnione działanie lub wskazanie naruszonej maszyny: ten typ działania został wcześniej skojarzony ze znanym oprogramowaniem adware (lub niechcianym oprogramowaniem), takim jak Win32/OneSystemCare i Win32/SystemHealer i złośliwe oprogramowanie, takie jak Win32/Creprote. Po ustawieniu wartości WindowPosition na wartość 201329664 (Szesnastkowy: 0x0c00 0c00, co odpowiada wartościom X-axis=0c00 i Y-axis=0c00), umieszcza okno aplikacji konsolowej w niewidocznej sekcji ekranu użytkownika w obszarze ukrytym przed widocznym menu start/paskiem zadań. Znana wartość szesnastkowy obejmuje, ale nie tylko c000c000.

Taktyka MITRE: -

Ważność: Niska

Wykryto podejrzany proces o nazwie

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła proces, którego nazwa jest bardzo podobna, ale różni się od bardzo często uruchamianego procesu (%{Podobne do nazwy procesu}). Chociaż ten proces może być łagodny dla atakujących, czasami ukrywa się w zasięgu wzroku, nazywając ich złośliwe narzędzia podobnymi do legalnych nazw procesów.

Taktyka MITRE: -

Ważność: średni rozmiar

Nietypowe resetowanie konfiguracji na maszynie wirtualnej

(VM_VMAccessUnusualConfigReset)

Opis: Wykryto nietypowe resetowanie konfiguracji na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować konfigurację na maszynie wirtualnej i naruszyć jej bezpieczeństwo.

Taktyka MITRE: dostęp do poświadczeń

Ważność: średni rozmiar

Wykryto nietypowe wykonanie procesu

Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie procesu przez użytkownika %{Nazwa użytkownika}, która była nietypowa. Konta, takie jak %{Nazwa użytkownika} mają tendencję do wykonywania ograniczonego zestawu operacji, to wykonanie zostało uznane za poza znakiem i może być podejrzane.

Taktyka MITRE: -

Ważność: Wysoka

Nietypowe resetowanie hasła użytkownika na maszynie wirtualnej

(VM_VMAccessUnusualPasswordReset)

Opis: Wykryto nietypowe resetowanie hasła użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować użyć rozszerzenia dostępu do maszyny wirtualnej, aby zresetować poświadczenia użytkownika lokalnego na maszynie wirtualnej i naruszyć jego bezpieczeństwo.

Taktyka MITRE: dostęp do poświadczeń

Ważność: średni rozmiar

Nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej

(VM_VMAccessUnusualSSHReset)

Opis: Wykryto nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować klucz SSH konta użytkownika na maszynie wirtualnej i naruszyć jego bezpieczeństwo.

Taktyka MITRE: dostęp do poświadczeń

Ważność: średni rozmiar

Wykryto alokację obiektu HTTP w języku VBScript

Opis: wykryto tworzenie pliku VBScript przy użyciu wiersza polecenia. Poniższy skrypt zawiera polecenie alokacji obiektów HTTP. Ta akcja może służyć do pobierania złośliwych plików.

Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)

(VM_GPUDriverExtensionUnusualExecution)

Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego.

Taktyka MITRE: wpływ

Ważność: Niska

Wykryto wywołanie narzędzia AzureHound

(ARM_AzureHound)

Opis: Element AzureHound został uruchomiony w ramach subskrypcji i wykonał operacje zbierania informacji w celu wyliczenia zasobów. Aktorzy zagrożeń używają zautomatyzowanych narzędzi, takich jak AzureHound, do wyliczania zasobów i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska.

Taktyka MITRE: Odnajdywanie

Ważność: średni rozmiar

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki

• Alerty zabezpieczeń w Microsoft Defender dla Chmury
• Reagowanie na alerty zabezpieczeń i zarządzanie nimi w usłudze Microsoft Defender dla Chmury
• Ciągłe eksportowanie danych Defender dla Chmury