Alertas de segurança – um guia de referência
Este artigo lista os alertas de segurança que você pode receber do Microsoft Defender for Cloud e de qualquer plano do Microsoft Defender habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Na parte inferior desta página, há uma tabela descrevendo a cadeia de eliminação do Microsoft Defender for Cloud alinhada com a versão 9 da matriz MITRE ATT&CK.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas para computadores Windows
O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Windows são:
Um logon de um IP mal-intencionado foi detectado. [visto várias vezes]
Descrição: ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Provavelmente ocorreu um ataque bem-sucedido. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows.
Gravidade: Alta
A violação da política de controle de aplicativo adaptável foi auditada
VM_AdaptiveApplicationControlWindowsViolationAudited
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos de sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.
Táticas MITRE: Execução
Severidade: Informativo
Adição de conta de convidado ao grupo de administradores locais
Descrição: a análise dos dados do host detectou a adição da conta Convidado interna ao grupo Administradores Locais em %{Host Comprometido}, que está fortemente associada à atividade do invasor.
Gravidade: Média
Um log de eventos foi limpo
Descrição: Os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome do usuário}' na máquina: '%{CompromisedEntity}'. O log %{canal de log} foi limpo.
Severidade: Informativo
Falha na ação do Antimalware
Descrição: O Microsoft Antimalware encontrou um erro ao executar uma ação sobre malware ou outro software potencialmente indesejado.
Gravidade: Média
Ação do Antimalware executada
Descrição: o Microsoft Antimalware para Azure tomou uma ação para proteger esta máquina contra malware ou outro software potencialmente indesejado.
Gravidade: Média
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Média
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Gravidade: Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: a desativação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: a desativação temporária da extensão antimalware da proteção em tempo real foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: a desativação temporária da extensão antimalware da proteção em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Gravidade: Média
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: a exclusão de arquivo incomum da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ações detectadas indicando a desativação e exclusão de arquivos de log do IIS
Descrição: a análise de dados do host detectou ações que mostram os arquivos de log do IIS sendo desabilitados e/ou excluídos.
Gravidade: Média
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.
Gravidade: Média
Alteração detectada em uma chave do Registro que pode ser usada por ignorar o UAC
Descrição: a análise dos dados do host em %{Host Comprometido} detectou que uma chave do Registro que pode ser usada abusivamente para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar mover de um acesso não privilegiado (usuário padrão) para privilegiado (por exemplo, administrador) em um host comprometido.
Gravidade: Média
Decodificação detectada de um executável usando a ferramenta interna certutil.exe
Descrição: A análise dos dados do host em %{Host comprometido} detectou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Alta
Habilitação detectada da chave do Registro UseLogonCredential WDigest
Descrição: A análise dos dados do host detectou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, a chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como a Mimikatz.
Gravidade: Média
Executável codificado detectado em dados da linha de comando
Descrição: A análise dos dados do host em %{Host comprometido} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Linha de comando ofuscada detectada
Descrição: os invasores usam técnicas de ofuscação cada vez mais complexas para evitar detecções executadas nos dados subjacentes. A análise de dados do host em %{Host Comprometido} detectou indicadores suspeitos de ofuscação na linha de comando.
Severidade: Informativo
Possível execução de executável keygen detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo cujo nome é indicativo de uma ferramenta keygen, tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download geralmente é empacotado com outros softwares mal-intencionados. O grupo de atividades GOLD é conhecido por fazer uso de keygens para obter secretamente acesso de porta dos fundos aos hosts que comprometem.
Gravidade: Média
Possível execução de instalação de malware detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou um nome de arquivo que foi anteriormente associado a um dos métodos do grupo de atividades GOLD de instalar malware em um host vítima.
Gravidade: Alta
Possível atividade de reconhecimento local detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar a atividade de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas da maneira que ocorreu aqui é raro.
Gravidade: Baixa
Uso potencialmente suspeito de ferramenta Telegram detectado
Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para o sistema móvel quanto para o desktop. Os invasores são conhecidos por abuso desse serviço para transferir binários mal-intencionados para qualquer outro computador, telefone ou tablet.
Gravidade: Média
Supressão de aviso legal exibido aos usuários no logon detectado
Descrição: a análise dos dados do host em %{Host comprometido} detectou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que essa é uma atividade comum realizada por invasores depois de terem comprometido um host.
Gravidade: Baixa
Combinação suspeita de HTA e PowerShell detectada
Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos mal-intencionados do PowerShell. Os invasores costumam recorrer a um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e opta por executá-lo, os comandos do PowerShell e os scripts em que ele é contido são executados. A análise de dados do host em %{Host Comprometido} detectou que o mshta.exe está lançando comandos do PowerShell.
Gravidade: Média
Argumentos da linha de comando suspeitos detectados
Descrição: A análise dos dados do host em %{Host comprometido} detectou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividades HYDROGEN.
Gravidade: Alta
Linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório
Descrição: A análise dos dados do host detectou um processo suspeito em execução em %{Host comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir em um diretório. Pode ser uma indicação de um host comprometido.
Gravidade: Média
Credenciais suspeitas detectadas na linha de comando
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividades BORON. Este grupo de atividades tem sido conhecido por usar a senha para executar o malware Pirpi em um host vítima.
Gravidade: Alta
Credenciais de documento suspeitas detectadas
Descrição: A análise dos dados do host em %{Host comprometido} detectou um hash de senha pré-computado comum e suspeito usado por malware que está sendo usado para executar um arquivo. O grupo de atividades HYDROGEN tem sido conhecido por usar a senha para executar malware em um host vítima.
Gravidade: Alta
Execução suspeita do comando VBScript.Encode detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para que os usuários examinem o código. A pesquisa de ameaças da Microsoft mostra que invasores geralmente usam arquivos VBscript codificados como parte do ataque para enganar sistemas de detecção. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Média
Execução suspeita via rundll32.exe detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou rundll32.exe sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividades GOLD ao instalar seu implante de primeiro estágio em um host comprometido.
Gravidade: Alta
Comandos de limpeza de arquivo suspeitos detectados
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar a atividade de autolimpeza pós-comprometimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas seguida por um comando de exclusão da maneira que ocorreu aqui é raro.
Gravidade: Alta
Criação de arquivo suspeito detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou a criação ou execução de um processo que indicou anteriormente a ação pós-comprometimento executada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades tem sido conhecido por usar esta técnica para baixar mais malware para um host comprometido depois de um anexo em um documento de phishing ter sido aberto.
Gravidade: Alta
Comunicações de pipe nomeado suspeitas detectadas
Descrição: a análise dos dados do host em %{Host comprometido} detectou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Pipes nomeados são conhecidos por serem um canal usado por invasores para criar tarefas e se comunicar com um implante mal-intencionado. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Atividade de rede suspeita detectada
Descrição: A análise do tráfego de rede de %{Host comprometido} detectou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Gravidade: Baixa
Nova regra de firewall suspeita detectada
Descrição: a análise dos dados do host detectou que uma nova regra de firewall foi adicionada por meio de netsh.exe para permitir o tráfego de um executável em um local suspeito.
Gravidade: Média
Uso suspeito de CACLS detectado para diminuir o estado de segurança do sistema
Descrição: Os atacantes usam inúmeras maneiras como força bruta, spear phishing etc. para alcançar o compromisso inicial e obter uma posição na rede. Depois que o comprometimento inicial é atingido, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ€"abreviação de alterar lista de controle de acesso é o utilitário de linha de comando nativo do Microsoft Windows frequentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado por invasores para reduzir as configurações de segurança de um sistema. Isso é feito concedendo a todos acesso completo a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, entre outros. A análise de dados do host em %{Host Comprometido} detectou uso suspeito de Cacls para reduzir a segurança de um sistema.
Gravidade: Média
Uso suspeito de opção de FTP -s detectado
Descrição: A análise dos dados de criação do processo a partir do %{Host Comprometido} detectou o uso da opção FTP "-s:filename". Esta opção é usada para especificar um arquivo de script de FTP para que o cliente seja executado. Malware ou processos mal-intencionados são conhecidos por usar a opção FTP (-s:nomedoarquivo) para apontar para um arquivo de script, que está configurado para se conectar a um servidor FTP remoto e baixar mais binários mal-intencionados.
Gravidade: Média
Uso suspeito detectado de Pcalua.exe para iniciar o código executável
Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é um componente do "Assistente de compatibilidade de programa" do Microsoft Windows, que detecta problemas de compatibilidade durante a instalação ou execução de um programa. Os invasores são conhecidos por abusar da funcionalidade das ferramentas do sistema Windows legítimas para realizar ações mal-intencionadas, por exemplo, usar pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou de compartilhamentos remotos.
Gravidade: Média
Desabilitação de serviços críticos detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução do comando "net.exe stop" que está sendo usado para interromper serviços críticos como o SharedAccess ou o aplicativo de Segurança do Windows. A interrupção de qualquer um desses serviços pode ser uma indicação de um comportamento mal-intencionado.
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detectado
Descrição: A análise dos dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Criação de script do PS dinâmico
Descrição: a análise dos dados do host em %{Host Comprometido} detectou um script do PowerShell sendo construído dinamicamente. Os invasores algumas vezes usam essa abordagem para compilar progressivamente um script para fugir de sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.
Gravidade: Média
Executável encontrado em execução em um local suspeito
Descrição: A análise dos dados do host detectou um arquivo executável em %{Host comprometido} que está sendo executado a partir de um local comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Comportamento de ataque sem arquivos detectado
(VM_FilelessAttackBehavior.Windows)
Descrição: A memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Técnica de ataque de sem arquivos detectada
(VM_FilelessAttackTechnique.Windows)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem:
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Imagem executável injetada no processo, como em um ataque de injeção de código.
- Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
- Esvaziamento de processo, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para atuar como um contêiner para código hostil.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivos detectado
(VM_FilelessAttackToolkit.Windows)
Descrição: A memória do processo especificado contém um kit de ferramentas de ataque sem arquivo: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivos usam técnicas que minimizam ou eliminam rastros de malware no disco e reduzem consideravelmente as chances de detecção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:
- Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Executável malicioso injetado na memória do processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Média
Software de alto risco detectado
Descrição: A análise dos dados do host de %{Host comprometido} detectou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software mal-intencionado é empacotá-lo em ferramentas benignas, como aquela vista neste alerta. Quando você usa essas ferramentas, o malware poderá ser instalado silenciosamente em segundo plano.
Gravidade: Média
Os membros do grupo de administradores locais foram enumerados
Descrição: os logs da máquina indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio do Grupo Enumerado}%{Nome do Grupo Enumerado}. Especificamente, %{Nome de Domínio de Usuário de Enumeração}%{Nome do Usuário da Enumeração} enumerou remotamente os membros do grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. A atividade pode ser uma atividade legítima ou uma indicação de que um computador em sua organização foi comprometido e usado para o reconhecimento de %{nomedavm}.
Severidade: Informativo
Regra de firewall mal-intencionado criada pelo implante do servidor ZINC [visto várias vezes]
Descrição: uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra era possivelmente usada para abrir uma porta no %{Host Comprometido} para permitir comunicações de controle e comando. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Atividade do SQL mal-intencionada
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome do usuário}. A atividade é considerada mal-intencionada.
Gravidade: Alta
Várias contas de domínio consultadas
Descrição: a análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado em um curto período de tempo de %{Host comprometido}. Esse tipo de atividade pode ser legítimo, mas também pode ser uma indicação de comprometimento.
Gravidade: Média
Possível despejo de credencial detectado [visto várias vezes]
Descrição: A análise dos dados do host detectou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de uma forma que permite extrair credenciais da memória. Os invasores geralmente usam essas técnicas para extrair as credenciais que usam posteriormente para movimentação lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Possível tentativa de ignorar o AppLocker detectada
Descrição: a análise dos dados do host em %{Host comprometido} detectou uma tentativa potencial de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita quais executáveis podem ser executados em um sistema Windows. O padrão da linha de comando semelhante àquele identificado neste alerta foi associado anteriormente às tentativas de o invasor contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Grupo de serviço do SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
Descrição: O processo do sistema SVCHOST foi observado executando um grupo de serviços raro. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.
Táticas MITRE: Evasão de Defesa, Execução
Severidade: Informativo
Ataque a teclas de aderência detectado
Descrição: a análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas adesivas, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Host comprometido}.
Gravidade: Média
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Descrição: Várias tentativas de entrada de sinal foram detectadas da mesma fonte. Algumas delas se autenticaram com êxito no host. Isso é semelhante a um ataque de intermitência, no qual um invasor realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.
Táticas MITRE: Exploração
Gravidade: Média/Alta
Indicação de nível de integridade suspeito de sequestro de RDP
Descrição: A análise dos dados do host detectou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente em uma rede.
Gravidade: Média
Instalação de serviço suspeito
Descrição: A análise dos dados do host detectou a instalação do tscon.exe como um serviço: esse binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado neste host sequestrando conexões RDP, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente em uma rede.
Gravidade: Média
Parâmetros de ataque de Golden Ticket do Kerberos suspeitos observados
Descrição: a análise dos dados do host detectou parâmetros de linha de comando consistentes com um ataque Kerberos Golden Ticket.
Gravidade: Média
Criação de conta suspeita detectada
Descrição: a análise dos dados do host em %{Host comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeito} : esse nome de conta se assemelha muito a um nome de conta ou grupo padrão do Windows '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.
Gravidade: Média
Atividade suspeita detectada
(VM_SuspiciousActivity)
Descrição: A análise de dados do host detectou uma sequência de um ou mais processos em execução em %{nome da máquina} que historicamente foram associados a atividades mal-intencionadas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Táticas MITRE: Execução
Gravidade: Média
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Descrição: Embora nenhum deles tenha sido bem-sucedido, algumas delas usaram contas foram reconhecidas pelo host. É semelhante a um ataque de dicionário, em que um invasor realiza várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para acessar o host. Indica que alguns dos nomes de conta de host podem existir em um dicionário de nome de conta conhecido.
Táticas MITRE: Sondagem
Gravidade: Média
Segmento de código suspeito detectado
Descrição: indica que um segmento de código foi alocado usando métodos não padrão, como injeção reflexiva e esvaziamento de processo. O alerta processa mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.
Gravidade: Média
Arquivo de extensão dupla suspeito executado
Descrição: A análise dos dados do host indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode enganar os usuários a pensar que os arquivos são seguros para serem abertos e pode indicar a presença de malware no sistema.
Gravidade: Alta
Download suspeito usando o Certutil detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Download suspeito usando o Certutil detectado
Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Média
Atividade suspeita do PowerShell detectada
Descrição: a análise dos dados do host detectou um script do PowerShell em execução em %{Host Comprometido} que tem recursos em comum com scripts suspeitos conhecidos. O script pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Cmdlets suspeitos do PowerShell executados
Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos.
Gravidade: Média
Processo suspeito executado [visto várias vezes]
Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Processo suspeito executado
Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais.
Gravidade: Alta
Nome de processo suspeito executado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Nome de processo suspeito detectado
Descrição: a análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.
Gravidade: Média
Atividade SQL suspeita
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome do usuário}. Esta atividade não é comum nesta conta.
Gravidade: Média
Processo SVCHOST suspeito executado
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.
Gravidade: Alta
Processo suspeito do sistema executado
(VM_SystemProcessInAbnormalContext)
Descrição: O processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa este nome de processo para mascarar suas atividades mal-intencionadas.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Atividade de cópia de sombra de volume suspeita
Descrição: a análise dos dados do host detectou uma atividade de exclusão de cópia de sombra no recurso. Cópia de sombra de volume (VSC) é um artefato importante que armazena instantâneos de dados. Alguns malwares e especificamente ransomware visam o VSC para sabotar estratégias de backup.
Gravidade: Alta
Valor de registro suspeito do WindowPosition detectado
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma tentativa de alteração na configuração do Registro WindowPosition que pode ser indicativa de ocultação de janelas de aplicativos em seções não visíveis da área de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: esse tipo de atividade foi associado anteriormente a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware, como Win32/Creprote. Quando o valor de WindowPosition é definido como 201329664, (hexa: 0x0c00 0c00, correspondente ao eixo X = 0c00 e ao eixo Y = 0c00), isso coloca a janela do aplicativo do console em uma seção não visível da tela do usuário em uma área ocultada da exibição abaixo do menu iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.
Gravidade: Baixa
Processo nomeado suspeito detectado
Descrição: A análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é muito semelhante, mas diferente de um processo muito comumente executado (%{Similar ao nome do processo}). Embora esse processo possa ser de invasores benignos, às vezes se ocultam claramente nomeando suas ferramentas mal-intencionadas para se parecer com nomes de processo legítimos.
Gravidade: Média
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Execução de processo incomum detectada
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo por %{Nome de Usuário} que era incomum. Contas como %{Nome de Usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora de caráter e pode ser suspeita.
Gravidade: Alta
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Alocação de objeto VBScript HTTP detectada
Descrição: A criação de um arquivo VBScript usando o prompt de comando foi detectada. O script a seguir contém o comando de alocação de objeto HTTP. A ação pode ser usada para baixar arquivos mal-intencionados.
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Alertas para computadores Linux
O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Linux são:
Um arquivo de histórico foi limpo
Descrição: a análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pelo usuário: "%{nome do usuário}".
Gravidade: Média
A violação da política de controle de aplicativo adaptável foi auditada
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos de sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.
Táticas MITRE: Execução
Severidade: Informativo
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Média
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Gravidade: Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: a desativação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: a desativação temporária da extensão antimalware da proteção em tempo real foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: a desativação temporária da extensão antimalware da proteção em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Gravidade: Média
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: a exclusão de arquivo incomum da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comportamento semelhante ao ransomware detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de arquivos que têm semelhança com ransomware conhecido que pode impedir os usuários de acessar seu sistema ou arquivos pessoais, e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Contêiner com uma imagem de mineração detectada
(VM_MinerInContainerImage)
Descrição: os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.
Gravidade: Média
Download de arquivo de uma fonte mal-intencionada conhecida detectado
Descrição: A análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Host comprometido}.
Gravidade: Média
Atividade de rede suspeita detectada
Descrição: A análise do tráfego de rede de %{Host comprometido} detectou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Gravidade: Baixa
Comportamento relacionado à mineração de moeda digital detectado
Descrição: A análise dos dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Desabilitação do log de auditoria [visto várias vezes]
Descrição: O sistema Linux Audit fornece uma maneira de rastrear informações relevantes de segurança no sistema. Registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Desabilitar o log de auditoria pode dificultar a descoberta de violações de políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Exploração da vulnerabilidade do Xorg [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou o usuário do Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta de SSH com falha
(VM_SshBruteForceFailed)
Descrição: Ataques de força bruta com falha foram detectados dos seguintes invasores: %{Atacantes}. Os invasores tentaram acessar o host com os seguintes nomes de usuário: %{Accounts used on failed sign in to host attempts}.
Táticas MITRE: Sondagem
Gravidade: Média
Comportamento de Ataque sem Arquivos Detectado
(VM_FilelessAttackBehavior.Linux)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Baixa
Técnica de Ataque sem Arquivos Detectada
(VM_FilelessAttackTechnique.Linux)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Alta
Kit de Ferramentas de Ataque sem Arquivos Detectado
(VM_FilelessAttackToolkit.Linux)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Execução de arquivo oculto detectada
Descrição: A análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. A atividade pode ser legítima ou uma indicação de um host comprometido.
Severidade: Informativo
Nova chave SSH adicionada [visto várias vezes]
(VM_SshKeyAddition)
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Táticas MITRE: Persistência
Gravidade: Baixa
Nova chave SSH adicionada
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.
Gravidade: Baixa
Possível backdoor detectado [visto várias vezes]
Descrição: a análise dos dados do host detectou um arquivo suspeito sendo baixado e executado em %{Host comprometido} em sua assinatura. A atividade foi associada anteriormente à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Possível exploração do servidor de email detectada
(VM_MailserverExploitation )
Descrição: A análise dos dados do host em %{Host comprometido} detectou uma execução incomum na conta do servidor de email
Táticas MITRE: Exploração
Gravidade: Média
Possível web shell mal-intencionado detectado
Descrição: A análise dos dados do host em %{Host comprometido} detectou um possível shell da Web. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração.
Gravidade: Média
Possível alteração de senha usando o método de criptografia detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Processo associado à mineração de moeda digital detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto 100 vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Processo associado à mineração de moeda digital detectado
Descrição: A análise de dados do host detectou a execução de um processo que normalmente está associado à mineração de moeda digital.
Táticas MITRE: Exploração, Execução
Gravidade: Média
Ferramenta de download codificada do Python detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser um indício de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Captura de tela obtida no host [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Shellcode detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou shellcode sendo gerado a partir da linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
Descrição: A análise dos dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Alguns logons foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrada bem-sucedida no host}. Isso significa que o host pode ser comprometido e controlado por um ator mal-intencionado.
Táticas MITRE: Exploração
Gravidade: Alta
Criação de conta suspeita detectada
Descrição: a análise dos dados do host em %{Host comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeito} : esse nome de conta se assemelha muito a um nome de conta ou grupo padrão do Windows '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.
Gravidade: Média
Módulo kernel suspeito detectado [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detectou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Acesso suspeito à senha [visto várias vezes]
Descrição: A análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Severidade: Informativo
Acesso suspeito à senha
Descrição: A análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}.
Severidade: Informativo
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Descrição: os logs da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido.
Táticas MITRE: LateralMovement
Gravidade: Média
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Alertas do DNS
Importante
A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender for DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender for Servers P2.
Uso de protocolo de rede anormal
(AzureDNS_ProtocolAnomaly)
Descrição: A análise de transações DNS de %{CompromisedEntity} detectou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Táticas MITRE: Exfiltração
Gravidade: -
Atividade de rede de anonimato
(AzureDNS_DarkWeb)
Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Atividade de rede de anonimato usando o proxy Web
(AzureDNS_DarkWebProxy)
Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Tentativa de comunicação com um domínio de sinkhole suspeito
(AzureDNS_SinkholedDomain)
Descrição: Análise de transações DNS de %{CompromisedEntity} detectou solicitação para domínio sinkholed. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Comunicação com um possível domínio de phishing
(AzureDNS_PhishingDomain)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para coletar credenciais de serviços remotos. A atividade típica relacionada ao invasor provavelmente incluirá a exploração das credenciais no serviço legítimo.
Táticas MITRE: Exfiltração
Severidade: Informativo
Comunicação com um domínio suspeito gerado de maneira algorítmica
(AzureDNS_DomainGenerationAlgorithm)
Descrição: A análise de transações DNS de %{CompromisedEntity} detectou o possível uso de um algoritmo de geração de domínio. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Severidade: Informativo
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Comunicação com um nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou o uso de um nome de domínio suspeito gerado aleatoriamente. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Severidade: Informativo
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Ativação de assinatura de detecção de intrusão de rede
(AzureDNS_SuspiciousDomain)
Descrição: a análise de transações DNS de %{CompromisedEntity} detectou uma assinatura de rede maliciosa conhecida. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Possível download de dados por meio de túnel DNS
(AzureDNS_DataInfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível infiltração de dados por meio de túnel DNS
(AzureDNS_DataExfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível transferência de dados por meio de túnel DNS
(AzureDNS_DataObfuscation)
Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Alertas para extensões de VM do Azure
Esses alertas se concentram na detecção de atividades suspeitas de extensões de máquina virtual do Azure e fornecem insights sobre as tentativas de invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:
Coleta e monitoramento de dados
Execução de código e implantação de configuração com privilégios elevados
Redefinição de credenciais e criação de usuários administrativos
Criptografia de discos
Saiba mais sobre as proteções mais recentes do Defender for Cloud contra o abuso de extensões de VM do Azure.
Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia)
(VM_GPUExtensionSuspiciousFailure)
Descrição: Intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia.
Táticas MITRE: Impacto
Gravidade: Média
Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais.
Táticas MITRE: Impacto
Gravidade: Baixa
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousScript)
Descrição: um Comando Executar com um script suspeito foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas MITRE: Execução
Gravidade: Alta
Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousFailure)
Descrição: o uso não autorizado suspeito do Run Command falhou e foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.
Táticas MITRE: Execução
Gravidade: Média
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousUsage)
Descrição: o uso suspeito do Run Command foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.
Táticas MITRE: Execução
Gravidade: Baixa
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia)
(VM_SuspiciousMultiExtensionUsage)
Descrição: o uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente.
Táticas MITRE: Reconhecimento
Gravidade: Média
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia)
(VM_DiskEncryptionSuspiciousUsage)
Descrição: a instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completas em suas máquinas virtuais por meio do Azure Resource Manager em uma tentativa de executar atividades de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões.
Táticas MITRE: Impacto
Gravidade: Média
Um uso suspeito da extensão VMAccess foi detectado em suas máquinas virtuais (versão prévia)
(VM_VMAccessSuspiciousUsage)
Descrição: O uso suspeito da extensão VMAccess foi detectado em suas máquinas virtuais. Os invasores podem abusar da extensão VMAccess para obter acesso e comprometer suas máquinas virtuais com altos privilégios, redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.
Táticas MITRE: Persistência
Gravidade: Média
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_DSCExtensionSuspiciousScript)
Descrição: a extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas MITRE: Execução
Gravidade: Alta
O uso suspeito de uma extensão de DSC (Desired State Configuration) foi detectado em suas máquinas virtuais (versão prévia)
(VM_DSCExtensionSuspiciousUsage)
Descrição: o uso suspeito de uma extensão DSC (Configuração de Estado Desejado) foi detectado em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.
Táticas MITRE: Execução
Gravidade: Baixa
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_CustomScriptExtensionSuspiciousCmd)
Descrição: a extensão de script personalizada com um script suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas MITRE: Execução
Gravidade: Alta
Falha na execução suspeita da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Descrição: uma falha suspeita de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Tais falhas podem estar associadas a scripts mal-intencionados executados por essa extensão.
Táticas MITRE: Execução
Gravidade: Média
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Descrição: a exclusão incomum de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Execução incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Descrição: a execução incomum de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Extensão de script personalizado com um ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descrição: a extensão de script personalizada com um ponto de entrada suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. O ponto de entrada refere-se a um repositório GitHub suspeito. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Extensão de script personalizado com um conteúdo suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Descrição: a extensão de script personalizada com uma carga de um repositório GitHub suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Alertas do Serviço de Aplicativo do Azure
Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows
(AppServices_LinuxCommandOnWindows)
Descrição: a análise de processos do Serviço de Aplicativo detectou uma tentativa de executar um comando do Linux em um Serviço de Aplicativo do Windows. A ação estava sendo executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Um IP que se conectou à interface FTP do Serviço de Aplicativo do Azure foi encontrado na ferramenta Inteligência Contra Ameaças
(AppServices_IncomingTiClientIpFtp)
Descrição: o log FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem encontrado no feed de inteligência de ameaças. Durante a conexão, um usuário acessou as páginas listadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Média
Tentativa de executar o comando de alto privilégio detectado
(AppServices_HighPrivilegeCommand)
Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando que requer privilégios altos. O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos Web esse comportamento também é observado em atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Conexão com a página da Web de endereço IP anormal detectada
(AppServices_AnomalousPageAccess)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial do endereço IP de origem listado. Pode indicar que alguém está tentando um ataque de força bruta em suas páginas de administração do aplicativo Web. Também pode ser resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança o alerta para esse recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_DanglingDomain)
Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendurado"). Isso deixa você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Executável codificado detectado em dados da linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrição: A análise dos dados do host em {Host comprometido} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Download de arquivo de uma fonte mal-intencionada conhecida detectado
(AppServices_SuspectDownload)
Descrição: A análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em seu host. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Escalonamento de privilégios, Execução, Exfiltração, Comando e Controle
Gravidade: Média
Download de arquivo suspeito detectado
(AppServices_SuspectDownloadArtifacts)
Descrição: A análise dos dados do host detectou o download suspeito do arquivo remoto. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Persistência
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detectado
(AppServices_DigitalCurrencyMining)
Descrição: A análise dos dados do host no Inn-Flow-WebJobs detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Executável decodificado usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrição: a análise dos dados do host em [Entidade comprometida] detectou que certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Comportamento de Ataque sem Arquivos Detectado
(AppServices_FilelessAttackBehaviorDetection)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Técnica de Ataque sem Arquivos Detectada
(AppServices_FilelessAttackTechniqueDetection)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Kit de Ferramentas de Ataque sem Arquivos Detectado
(AppServices_FilelessAttackToolkitDetection)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Alerta de teste do Microsoft Defender para Nuvem para o Serviço de Aplicativo (não é uma ameaça)
(AppServices_EICAR)
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Nenhuma outra ação é necessária. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Verificação de NMap detectada
(AppServices_Nmap)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada ao NMAP. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Severidade: Informativo
Conteúdo de phishing hospedado no Azure WebApps
(AppServices_PhishingContent)
Descrição: URL usada para ataque de phishing encontrada no site do Azure AppServices. Essa URL fazia parte de um ataque de phishing enviado para clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes para inserir as credenciais corporativas ou informações financeiras em um site de aparência legítima. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Alta
Arquivo PHP na pasta de carregamento
(AppServices_PhpInUploadFolder)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página PHP suspeita localizada na pasta de carregamento. Esse tipo de pasta geralmente não contém arquivos PHP. A existência desse tipo de arquivo pode indicar uma exploração aproveitando vulnerabilidades de carregamento de arquivo arbitrárias. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Possível download de Cryptocoinminer detectado
(AppServices_CryptoCoinMinerDownload)
Descrição: A análise dos dados do host detectou o download de um arquivo normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível exfiltração dos dados detectada
(AppServices_DataEgressArtifacts)
Descrição: A análise dos dados do host/dispositivo detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Coleta, Exfiltração
Gravidade: Média
Potencial registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_PotentialDanglingDomain)
Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendurado"). Isso pode deixar você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. Nesse caso, foi encontrado um registro de texto com a ID de verificação de domínio. Esses registros de texto impedem a invasão do domínio, mas ainda recomendamos remover o domínio pendente. Se deixar o registro de DNS apontando para o subdomínio, você estará correndo um risco se alguém na sua organização excluir o arquivo ou registro TXT no futuro. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Possível shell reverso detectado
(AppServices_ReverseShell)
Descrição: A análise dos dados do host detectou um potencial shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Download de dados brutos detectado
(AppServices_DownloadCodeFromWebsite)
Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de baixar código de sites de dados brutos, como o Pastebin. A ação foi executada por um processo PHP. O comportamento é associado a tentativas de download de web shells ou outros componentes mal-intencionados para o Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Salvamento de saída de ondulação para disco detectado
(AppServices_CurlToDisk)
Descrição: a análise dos processos do Serviço de Aplicativo detectou a execução de um comando curl no qual a saída foi salva no disco. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também é observado em atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Baixa
Referenciador de pasta de spam detectado
(AppServices_SpamReferrer)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica a atividade da Web que foi identificada como originária de um site associado à atividade de spam. Isso poderá ocorrer se o seu site for comprometido e usado para atividades de spam. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Acesso suspeito detectado a uma página da Web possivelmente vulnerável
(AppServices_ScanSensitivePage)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Essa atividade suspeita é originada de um endereço IP cujo padrão de acesso é semelhante ao de uma verificação da Web. Essa atividade geralmente está associada a uma tentativa de um invasor verificar sua rede para tentar obter acesso a páginas da Web sigilosas ou vulneráveis. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Referência de nome de domínio suspeito
(AppServices_CommandlineSuspectDomain)
Descrição: A análise dos dados do host detectou referência a nome de domínio suspeito. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração
Gravidade: Baixa
Download suspeito usando o Certutil detectado
(AppServices_DownloadUsingCertutil)
Descrição: A análise dos dados do host em {NAME} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Execução de PHP suspeito detectada
(AppServices_SuspectPhp)
Descrição: Logs de máquina indicam que um processo PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP na linha de comando usando o processo PHP. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também pode indicar atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Processo suspeito executado
(AppServices_KnownCredential AccessTools)
Descrição: os logs da máquina indicam que o processo suspeito: '%{caminho do processo}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Acesso a Credenciais
Gravidade: Alta
Nome de processo suspeito detectado
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrição: a análise dos dados do host em {NAME} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Persistência, Evasão de Defesa
Gravidade: Média
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar sua atividade maliciosa. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Agente de usuário suspeito detectado
(AppServices_UserAgentInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica solicitações com agente de usuário suspeito. Esse comportamento pode indicar tentativas de exploração de uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Severidade: Informativo
Invocação de tema do WordPress suspeita detectada
(AppServices_WpThemeInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à manipulação de tema do WordPress para dar suporte à execução de código no lado do servidor, seguida por uma solicitação direta da Web para invocar o arquivo de tema manipulado. Esse tipo de atividade foi visto no passado como parte de uma campanha de ataque no WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Verificação de vulnerabilidades detectada
(AppServices_DrupalScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada assemelha-se à de ferramentas direcionadas a um CMS (sistema de gerenciamento de conteúdo). Se não estiver hospedando um site do Drupal, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificação de vulnerabilidades detectada
(AppServices_JoomlaScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos Joomla. Se não estiver hospedando um site do Joomla, o recurso do Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificação de vulnerabilidades detectada
(AppServices_WpScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Impressão digital da web detectada
(AppServices_WebFingerprinting)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada a uma ferramenta chamada Blind Elephant. A ferramenta deixa as impressões digitais em servidores Web e tenta detectar os aplicativos instalados e as versões deles. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Média
O site é marcado como mal-intencionado no feed de inteligência contra ameaças
(AppServices_SmartScreen)
Descrição: Seu site, conforme descrito abaixo, é marcado como um site mal-intencionado pelo Windows SmartScreen. Se você considerar que este é um falso positivo, entre em contato com o Windows SmartScreen por meio do link de comentários do relatório fornecido. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Média
Alertas para contêineres – clusters do Kubernetes
O Microsoft Defender para Contêineres fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêineres. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo de K8S_
do tipo de alerta. Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_
do tipo de alerta. Todos os alertas têm suporte apenas no Linux, a menos que indicado de outra forma.
Serviço Postgres exposto com configuração de autenticação de confiança no Kubernetes detectada (versão prévia)
(K8S_ExposedPostgresTrustAuth)
Descrição: A análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga. O serviço está configurado com o método de autenticação de confiança, que não requer credenciais.
Táticas MITRE: InitialAccess
Gravidade: Média
Serviço Postgres exposto com configuração arriscada no Kubernetes detectada (versão prévia)
(K8S_ExposedPostgresBroadIPRange)
Descrição: A análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga com uma configuração arriscada. A exposição do serviço a uma ampla variedade de endereços IP representa um risco à segurança.
Táticas MITRE: InitialAccess
Gravidade: Média
Tentativa de criar um novo namespace do Linux em um contêiner detectado
(K8S.NODE_NamespaceCreation) 1
Descrição: A análise de processos em execução dentro de um contêiner no cluster Kubernetes detectou uma tentativa de criar um novo namespace Linux. Embora esse comportamento possa ser legítimo, pode indicar que um invasor está tentando escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica.
Táticas MITRE: PrivilegeEscalation
Severidade: Informativo
Um arquivo de histórico foi limpo
(K8S.NODE_HistoryFileCleared) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada.
Táticas MITRE: DefenseEvasion
Gravidade: Média
Atividade anormal da identidade gerenciada associada ao Kubernetes (versão prévia)
(K8S_AbnormalMiActivity)
Descrição: a análise das operações do Azure Resource Manager detectou um comportamento anormal de uma identidade gerenciada usada por um addon AKS. A atividade detectada não é consistente com o comportamento do complemento associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação anormal detectada da conta de serviço do Kubernetes
(K8S_ServiceAccountRareOperation)
Descrição: a análise do log de auditoria do Kubernetes detectou um comportamento anormal por uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação, o que não é comum para esta conta de serviço. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados.
Táticas MITRE: Movimentação Lateral, Acesso a Credenciais
Gravidade: Média
Uma tentativa de conexão incomum foi detectada
(K8S.NODE_SuspectConnection) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar detecções de camada de rede.
Táticas MITRE: Execução, Exfiltração, Exploração
Gravidade: Média
Tentativa de interromper o serviço apt-daily-upgrade.timer detectada
(K8S.NODE_TimerServiceDisabled) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de parar o serviço apt-daily-upgrade.timer. Observamos que os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para os ataques. Essa atividade também poderá ocorrer se o serviço for atualizado por meio de ações administrativas normais.
Táticas MITRE: DefenseEvasion
Severidade: Informativo
Comportamento semelhante a bots Linux comuns detectado (Versão prévia)
(K8S.NODE_CommonBot)
Descrição: Análise de processos em execução dentro de um container ou diretamente em um nó Kubernetes, detectou a execução de um processo normalmente associado a botnets Linux comuns.
Táticas MITRE: Execução, Coleta, Comando e Controle
Gravidade: Média
Comando em um contêiner em execução com privilégios altos
(K8S.NODE_PrivilegedExecutionInContainer) 1
Descrição: os logs do computador indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos no computador host.
Táticas MITRE: PrivilegeEscalation
Severidade: Informativo
Contêiner em execução no modo privilegiado
(K8S.NODE_PrivilegedContainerArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou ao recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod ou host de hospedagem.
Táticas MITRE: PrivilegeEscalation, Execução
Severidade: Informativo
Contêiner com uma montagem de volume confidencial detectada
(K8S_SensitiveMount)
Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner com uma montagem de volume confidencial. O volume detectado é um tipo de hostPath que monta um arquivo ou uma pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Severidade: Informativo
Modificação de CoreDNS no Kubernetes detectada
Descrição: a análise do log de auditoria do Kubernetes detectou uma modificação da configuração CoreDNS. A configuração do CoreDNS pode ser modificada substituindo o configmap. Embora essa atividade possa ser legítima, se tiverem permissões para modificar o configmap os invasores poderão alterar o comportamento do servidor de DNS do cluster e envenená-lo.
Táticas MITRE: Movimento Lateral
Gravidade: Baixa
Criação da configuração do webhook de admissão detectada
(K8S_AdmissionController) 3
Descrição: A análise do log de auditoria do Kubernetes detectou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos internos: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook).
Táticas MITRE: Acesso a Credenciais, Persistência
Severidade: Informativo
Download de arquivo de uma fonte mal-intencionada conhecida detectado
(K8S.NODE_SuspectDownload) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um download de um arquivo de uma fonte frequentemente usada para distribuir malware.
Táticas MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravidade: Média
Download de arquivo suspeito detectado
(K8S.NODE_SuspectDownloadArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um download suspeito de um arquivo remoto.
Táticas MITRE: Persistência
Severidade: Informativo
Uso suspeito do comando nohup detectado
(K8S.NODE_SuspectNohup) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um uso suspeito do comando nohup. Os invasores foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. Não é normal ver esse comando executado em arquivos ocultos localizados em um diretório temporário.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Média
Uso suspeito do comando useradd detectado
(K8S.NODE_SuspectUserAddition) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um uso suspeito do comando useradd.
Táticas MITRE: Persistência
Gravidade: Média
Contêiner de mineração de moeda digital detectado
(K8S_MaliciousContainerImage) 3
Descrição: a análise de log de auditoria do Kubernetes detectou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Comportamento relacionado à mineração de moeda digital detectado
(K8S.NODE_DigitalCurrencyMining) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma execução de um processo ou comando normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Operação de build do Docker detectada em um nó do Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma operação de compilação de uma imagem de contêiner em um nó Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção.
Táticas MITRE: DefenseEvasion
Severidade: Informativo
Painel do Kubeflow exposto detectado
(K8S_ExposedKubeflow)
Descrição: A análise do log de auditoria do Kubernetes detectou a exposição do Istio Ingress por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel for exposto à Internet, os invasores poderão acessá-lo e executarem contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://aka.ms/exposedkubeflow-blog
Táticas MITRE: Acesso Inicial
Gravidade: Média
Painel de Kubernetes exposto detectado
(K8S_ExposedDashboard)
Descrição: a análise do log de auditoria do Kubernetes detectou a exposição do Painel do Kubernetes por um serviço LoadBalancer. Os painéis expostos permitem acesso não autenticado ao gerenciamento de cluster e representam uma ameaça à segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Serviço de Kubernetes exposto detectado
(K8S_ExposedService)
Descrição: A análise do log de auditoria do Kubernetes detectou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de contêineres. Em alguns casos, esse serviço não exige autenticação. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Serviço Redis exposto no AKS detectado
(K8S_ExposedRedis)
Descrição: A análise do log de auditoria do Kubernetes detectou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Indicadores associados ao kit de ferramentas DDOS detectados
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir controle total sobre o sistema infectado. Também pode ser uma atividade legítima.
Táticas MITRE: Persistência, LateralMovimento, Execução, Exploração
Gravidade: Média
Solicitações de API do K8S do endereço IP de proxy detectadas
(K8S_TI_Proxy) 3
Descrição: a análise de log de auditoria do Kubernetes detectou solicitações de API para seu cluster a partir de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os invasores tentam ocultar o IP de origem.
Táticas MITRE: Execução
Gravidade: Baixa
Eventos do Kubernetes excluídos
Descrição: O Defender for Cloud detectou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar as operações no cluster.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Ferramenta de teste de penetração do Kubernetes detectada
(K8S_PenTestToolsKubeHunter)
Descrição: A análise do log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.
Táticas MITRE: Execução
Gravidade: Baixa
Alerta de teste do Microsoft Defender para Nuvem (não uma ameaça).
(K8S.NODE_EICAR) 1
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Nenhuma outra ação é necessária.
Táticas MITRE: Execução
Gravidade: Alta
Novo contêiner no namespace kube-system detectado
(K8S_KubeSystemContainer) 3
Descrição: a análise de log de auditoria do Kubernetes detectou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar o namespace para ocultar componentes mal-intencionados.
Táticas MITRE: Persistência
Severidade: Informativo
Nova função de privilégios altos detectada
(K8S_HighPrivilegesRole) 3
Descrição: a análise do log de auditoria do Kubernetes detectou uma nova função com altos privilégios. Uma associação a uma função com privilégios elevados concede ao usuário/grupo privilégios elevados no cluster. Privilégios desnecessários podem causar a elevação de privilégio no cluster.
Táticas MITRE: Persistência
Severidade: Informativo
Possível ferramenta de ataque detectada
(K8S.NODE_KnownLinuxAttackTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma chamada de ferramenta suspeita. A ferramenta costuma estar associada a usuários mal-intencionados que atacam outros.
Táticas MITRE: Execução, Coleta, Comando e Controle, Sondagem
Gravidade: Média
Possível backdoor detectado
(K8S.NODE_LinuxBackdoorArtifact) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um arquivo suspeito sendo baixado e executado. A atividade foi associada anteriormente à instalação de um backdoor.
Táticas MITRE: Persistência, DefesaEvasão, Execução, Exploração
Gravidade: Média
Possível tentativa de exploração de linha de comando
(K8S.NODE_ExploitAttempt) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma possível tentativa de exploração contra uma vulnerabilidade conhecida.
Táticas MITRE: Exploração
Gravidade: Média
Possível ferramenta de acesso à credencial detectada
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detectou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico da linha de comando. Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais.
Táticas MITRE: CredentialAccess
Gravidade: Média
Possível download de Cryptocoinminer detectado
(K8S.NODE_CryptoCoinMinerDownload) 1
Descrição: Análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou download de um arquivo normalmente associado à mineração de moeda digital.
Táticas MITRE: DefesaEvasão, Comando e Controle, Exploração
Gravidade: Média
Possível atividade de adulteração de log detectada
(K8S.NODE_SystemLogRemoval) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma possível remoção de arquivos que rastreia a atividade do usuário durante o curso de sua operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log.
Táticas MITRE: DefenseEvasion
Gravidade: Média
Possível alteração de senha usando o método de criptografia detectado
(K8S.NODE_SuspectPasswordChange) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento.
Táticas MITRE: CredentialAccess
Gravidade: Média
Possível encaminhamento de porta para endereço IP externo
(K8S.NODE_SuspectPortForwarding) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um início de encaminhamento de porta para um endereço IP externo.
Táticas MITRE: Exfiltração, Comando e Controle
Gravidade: Média
Possível shell reverso detectado
(K8S.NODE_ReverseShell) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um potencial shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui.
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Contêiner privilegiado detectado
(K8S_PrivilegedContainer)
Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e interrompe o isolamento entre contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Severidade: Informativo
Processo associado à mineração de moeda digital detectado
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Descrição: A análise de processos em execução dentro de um container detectou a execução de um processo normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução, Exploração
Gravidade: Média
Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
(K8S.NODE_SshKeyAccess) 1
Descrição: Um arquivo de authorized_keys SSH foi acessado em um método semelhante a campanhas de malware conhecidas. O acesso poderia indicar que um ator está tentando obter acesso persistente a um computador.
Táticas MITRE: Desconhecido
Severidade: Informativo
Associação da função à função de administrador do cluster detectada
(K8S_ClusterAdminBinding)
Descrição: a análise do log de auditoria do Kubernetes detectou uma nova associação à função de administrador de cluster que concede privilégios de administrador. Privilégios de administrador desnecessários podem causar a elevação de privilégio no cluster.
Táticas MITRE: Persistência
Severidade: Informativo
Encerramento do processo relacionado à segurança detectado
(K8S.NODE_SuspectProcessTermination) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos após o comprometimento.
Táticas MITRE: Persistência
Gravidade: Baixa
O servidor SSH está em execução dentro de um contêiner
(K8S.NODE_ContainerSSH) 1
Descrição: A análise dos processos em execução dentro de um contêiner detectou um servidor SSH em execução dentro do contêiner.
Táticas MITRE: Execução
Severidade: Informativo
Modificação de carimbo de data/hora de arquivo suspeita
(K8S.NODE_TimestampTampering) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma modificação suspeita de carimbo de data/hora. Os invasores geralmente copiarão os carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a detecção dos arquivos recentemente descartados.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Baixa
Solicitação suspeita para API do Kubernetes
(K8S.NODE_KubernetesAPI) 1
Descrição: A análise dos processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita para a API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Solicitação suspeita para o Painel do Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Descrição: a análise de processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Possível mineração de criptomoeda iniciada
(K8S.NODE_CryptoCoinMinerExecution) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um processo sendo iniciado de uma forma normalmente associada à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Média
Acesso suspeito à senha
(K8S.NODE_SuspectPasswordFileAccess) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou tentativa suspeita de acessar senhas de usuário criptografadas.
Táticas MITRE: Persistência
Severidade: Informativo
Possível web shell mal-intencionado detectado.
(K8S.NODE_Webshell) 1
Descrição: A análise dos processos em execução dentro de um contêiner detectou um possível shell da web. Os invasores geralmente carregam um web shell em um recurso de computador comprometido para obter persistência ou maior exploração.
Táticas MITRE: Persistência, Exploração
Gravidade: Média
A intermitência de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Descrição: A análise de dados do host/dispositivo detectou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou do host realizados por invasores após o comprometimento inicial.
Táticas MITRE: Discovery, Collection
Gravidade: Baixa
Download Suspeito e Execução de Atividade
(K8S.NODE_DownloadAndRunCombo) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um arquivo sendo baixado e executado no mesmo comando. Embora isso nem sempre seja mal-intencionado, essa é uma técnica muito comum usada pelos invasores para colocar arquivos mal-intencionados nos computadores da vítima.
Táticas MITRE: Execução, CommandAndControl, Exploração
Gravidade: Média
Acesso ao arquivo kubeconfig do kubelet detectado
(K8S.NODE_KubeConfigAccess) 1
Descrição: A análise de processos em execução em um nó de cluster Kubernetes detectou acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo do Kubelet, contém as credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo geralmente está associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que analisam se o arquivo está acessível.
Táticas MITRE: CredentialAccess
Gravidade: Média
Acesso ao serviço de metadados de nuvem detectado
(K8S.NODE_ImdsCall) 1
Descrição: a análise dos processos em execução dentro de um contêiner detectou o acesso ao serviço de metadados em nuvem para aquisição de token de identidade. Normalmente, o contêiner não executa essa operação. Embora esse comportamento possa ser legítimo, invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução.
Táticas MITRE: CredentialAccess
Gravidade: Média
Agente MITRE Caldera detectado
(K8S.NODE_MitreCalderaTools) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um processo suspeito. Isso é frequentemente associado ao agente MITRE 54ndc47, que pode ser usado maliciosamente para atacar outras máquinas.
Táticas MITRE: Persistência, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execução, Coleta, Exfiltração, Comando e Controle, Sondagem, Exploração
Gravidade: Média
1: Pré-visualização para clusters não-AKS: este alerta está geralmente disponível para clusters AKS, mas está em pré-visualização para outros ambientes, como Azure Arc, EKS e GKE.
2: limitações nos clusters do GKE: o GKE usa uma política de auditoria do Kubernetes que não dá suporte a todos os tipos de alertas. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é compatível com clusters do GKE.
3: há suporte para esse alerta em nós/contêineres do Windows.
Alertas para o Banco de Dados SQL e o Azure Synapse Analytics
Uma possível vulnerabilidade à injeção de SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrição: um aplicativo gerou uma instrução SQL defeituosa no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há dois motivos possíveis para instrução com falha. Um defeito no código do aplicativo que pode ter construído a instrução SQL com falha. Ou, o código do aplicativo ou procedimentos armazenados não limpam a entrada do usuário ao construir a instrução SQL com erro, o que pode ser explorado para injeção de SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Logon de um Data Center do Azure incomum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrição: houve uma alteração no padrão de acesso a um SQL Server, em que alguém entrou no servidor de um Data Center incomum do Azure. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta detecta uma ação mal-intencionada (o invasor está operando pelo recurso violado no Azure).
Táticas MITRE: Sondagem
Gravidade: Baixa
Fazer logon de um local incomum
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor de um local geográfico incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor). Em outros casos, o alerta detecta uma ação mal-intencionada (um funcionário antigo ou invasor externo).
Táticas MITRE: Exploração
Gravidade: Média
Logon de um usuário principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrição: um usuário principal não visto nos últimos 60 dias fez logon em seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Logon de um domínio não visto em 60 dias
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrição: um usuário fez logon em seu recurso a partir de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Logon de um IP suspeito
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrição: seu recurso foi acessado com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Possível injeção de SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrição: Ocorreu uma exploração ativa em um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando inserir instruções SQL maliciosas usando o código de aplicativo ou procedimentos armazenados vulneráveis.
Táticas MITRE: PreAttack
Gravidade: Alta
Ataque de força bruta suspeito usando um usuário válido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um potencial ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um potencial ataque de força bruta foi detectado em seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado pelos invasores para baixar conteúdo mal-intencionado e, em seguida, executá-lo no computador e comprometê-lo. Isso permite que um invasor execute tarefas mal-intencionadas na direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados em um destino externo.
Táticas MITRE: Execução
Gravidade: Alta
O conteúdo incomum com partes ofuscadas foi iniciado pelo SQL Server
(SQL.VM_PotentialSqlInjection)
Descrição: alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional enquanto oculta o comando na consulta SQL. Os invasores normalmente ocultam comandos impactantes que são popularmente monitorados como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos, como concatenação de cadeia de caracteres, conversão, alteração de base e outros, para evitar a detecção de regex e prejudicar a legibilidade dos logs.
Táticas MITRE: Execução
Gravidade: Alta
Alertas para bancos de dados relacionais open-source
Ataque de força bruta suspeito usando um usuário válido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descrição: um potencial ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: um potencial ataque de força bruta foi detectado em seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Logon de um usuário principal não visto em 60 dias
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descrição: um usuário principal não visto nos últimos 60 dias fez logon em seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Logon de um domínio não visto em 60 dias
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descrição: um usuário fez logon em seu recurso a partir de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Logon de um Data Center do Azure incomum
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descrição: alguém fez logon em seu recurso de um Data Center incomum do Azure.
Táticas MITRE: Sondagem
Gravidade: Baixa
Logon incomum de um provedor de nuvem
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descrição: alguém fez logon em seu recurso de um provedor de nuvem não visto nos últimos 60 dias. É rápido e fácil para os atores de ameaças obterem poder de computação descartável para usar em suas campanhas. Se esse for o comportamento esperado causado pela adoção recente de um novo provedor de nuvem, o Defender para Nuvem aprenderá ao longo do tempo e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Fazer logon de um local incomum
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descrição: alguém fez logon em seu recurso de um Data Center incomum do Azure.
Táticas MITRE: Exploração
Gravidade: Média
Logon de um IP suspeito
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descrição: seu recurso foi acessado com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Alertas do Resource Manager
Observação
Os alertas com uma indicação de acesso delegado são disparados devido à atividade de provedores de serviços de terceiros. saiba mais sobre as indicações de atividade dos provedores de serviços.
Operação do Azure Resource Manager partindo de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
Descrição: o Microsoft Defender for Resource Manager detectou uma operação de um endereço IP marcado como suspeito em feeds de inteligência de ameaças.
Táticas MITRE: Execução
Gravidade: Média
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
Descrição: o Microsoft Defender for Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP associado a serviços proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Baixa
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzureDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Baixa
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de código em uma VM ou em uma lista de VMs. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um script em uma VM para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
Descrição: o kit de ferramentas de exploração do MicroBurst foi usado para executar código em suas máquinas virtuais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves de um Cofre de Chaves do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves das suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves para a(s) Conta(s) de Armazenamento. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais na(s) sua(s) Conta(s) de Armazenamento. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair segredos dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de segredos de um Cofre de Chaves do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar segredos e usá-los para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure Active Directory para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do AzureAD para o Azure. Isso foi detectado pela análise das operações do Azure Resource Manager no seu locatário.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima em sua organização. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas
(ARM_PowerZure.ShowStorageContent)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para executar um Runbook na sua assinatura
(ARM_PowerZure.StartRunbook)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para executar um Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para extrair o conteúdo do Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Versão prévia – execução do kit de ferramentas do Azurite detectada
(ARM_Azurite)
Descrição: uma execução conhecida do kit de ferramentas de reconhecimento do ambiente de nuvem foi detectada em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos das assinaturas e identificar configurações inseguras.
Táticas MITRE: Coleção
Gravidade: Alta
VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada
(ARM_SuspiciousComputeCreation)
Descrição: o Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Escala do Azure. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada.
Táticas MITRE: Impacto
Gravidade: Média
VERSÃO PRÉVIA – Recuperação suspeita do cofre de chaves detectada
(Arm_Suspicious_Vault_Recovering)
Descrição: o Microsoft Defender for Resource Manager detectou uma operação de recuperação suspeita para um recurso do cofre de chaves excluído automaticamente. O usuário que está recuperando o recurso é diferente do usuário que o excluiu. Isso é altamente suspeito porque o usuário raramente invoca tal operação. Além disso, o usuário fez logon sem autenticação multifator (MFA). Isso pode indicar que o usuário está comprometido e está tentando descobrir segredos e chaves para obter acesso a recursos confidenciais ou para executar a movimentação lateral em sua rede.
Táticas MITRE: Movimento lateral
Gravidade: Média/alta
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada
(ARM_UnusedAccountPersistence)
Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso à Credencial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.CredentialAccess)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Coleta de dados" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Collection)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Coleção
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Evasão de defensa" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.DefenseEvasion)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete os recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Execução" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Execution)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Execução de Defesa
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Impact)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Impacto
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso inicial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.InitialAccess)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso inicial
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso de movimento lateral" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.LateralMovement)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar um movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Movimento lateral
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "persistência" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Persistence)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios e, ao mesmo tempo, comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: escalonamento de privilégios
Gravidade: Média
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada
(ARM_UnusedAccountPersistence)
Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando o PowerShell detectada
(ARM_UnusedAppPowershellPersistence)
Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW â€" Sessão de gerenciamento suspeita usando o portal do Azure detectada
(ARM_UnusedAppIbizaPersistence)
Descrição: a análise dos registros de atividades da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente), agora está usando o portal do Azure e executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)
(ARM_PrivilegedRoleDefinitionCreation)
Descrição: o Microsoft Defender for Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção.
Táticas MITRE: Escalada de Privilégios, Evasão de Defesa
Severidade: Informativo
Atribuição de função suspeita do Azure detectada (versão prévia)
(ARM_AnomalousRBACRoleAssignment)
Descrição: o Microsoft Defender for Resource Manager identificou uma atribuição/execução de função suspeita do Azure usando PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para permitir que os administradores permitam às entidades de segurança acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar a atribuição de função para escalar suas permissões, permitindo que eles avancem seu ataque.
Táticas MITRE: Movimentação Lateral, Evasão de Defesa
Gravidade: Baixa (PIM) / Alta
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.CredentialAccess)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Collection)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Coleção
Gravidade: Média
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.DefenseEvasion)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Execution)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Execução
Gravidade: Média
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Impact)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Impacto
Gravidade: Média
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.InitialAccess)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.LateralMovement)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar um movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação Elevar Acesso suspeita (Versão prévia)(ARM_AnomalousElevateAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma operação suspeita "Elevar acesso". A atividade é considerada suspeita, pois essa entidade de segurança raramente invoca essas operações. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar uma operação "Elevar acesso" para executar o escalonamento de privilégios para um usuário comprometido.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Persistence)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Persistência
Gravidade: Média
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios e, ao mesmo tempo, comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Uso do kit de ferramentas de exploração do MicroBurst para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de executar um código arbitrário ou exfiltrar credenciais de conta de Automação do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um código arbitrário para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas MITRE: Persistência, Acesso a Credenciais
Gravidade: Alta
Uso de técnicas NetSPI para manter a persistência no seu ambiente do Azure
(ARM_NetSPI.MaintainPersistence)
Descrição: Uso da técnica de persistência NetSPI para criar um backdoor webhook e manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_PowerZure.RunCodeOnBehalf)
Descrição: o kit de ferramentas de exploração do PowerZure foi detectado tentando executar código ou exfiltrar credenciais de conta de Automação do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Uso da função do PowerZure para manter a persistência no seu ambiente do Azure
(ARM_PowerZure.MaintainPersistence)
Descrição: o kit de ferramentas de exploração do PowerZure detectou a criação de um backdoor de webhook para manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Atribuição de função clássica suspeita detectada (versão prévia)
(ARM_AnomalousClassicRoleAssignment)
Descrição: o Microsoft Defender for Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para fornecer compatibilidade com versões anteriores de funções clássicas que não são mais usadas com frequência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essa atribuição para conceder permissões a outra conta de usuário sob seu controle.
Táticas MITRE: Movimentação Lateral, Evasão de Defesa
Gravidade: Alta
Alertas para Armazenamento do Azure
Acesso em um endereço IP suspeito
(Storage.Blob_SuspiciousApp)
Descrição: indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização. Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média
Acesso de um endereço IP suspeito
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Descrição: indica que essa conta de armazenamento foi acessada com êxito a partir de um endereço IP considerado suspeito. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Pré Ataque
Gravidade: Alta/Média/Baixa
Conteúdo de phishing hospedado em uma conta de armazenamento
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Descrição: uma URL usada em um ataque de phishing aponta para sua conta de Armazenamento do Azure. Essa URL fazia parte de um ataque de phishing que afetou os usuários do Microsoft 365. Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir as credenciais corporativas ou informações financeiras em um formulário da Web que parece legítimo. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Coleção
Gravidade: Alta
Conta de armazenamento identificada como fonte para distribuição de malware
(Storage.Files_WidespreadeAm)
Descrição: alertas antimalware indicam que um arquivo infectado está armazenado em um compartilhamento de arquivos do Azure montado em várias VMs. Se os invasores conseguirem acessar uma VM com um compartilhamento de arquivo montado do Azure, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento. Aplica-se a: Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Média
O nível de acesso de um contêiner de blob possivelmente confidencial foi alterado para permitir o acesso público não autenticado
(Storage.Blob_OpenACL)
Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que pode conter dados confidenciais, para o nível 'Contêiner', para permitir acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. Com base em análises estatísticas, o contêiner do blobs foi sinalizado como possivelmente contendo dados confidenciais. Essa análise sugere que os contêineres de blob ou contas de armazenamento com nomes semelhantes normalmente não estão expostos ao acesso público. Aplica-se às: contas de armazenamento de Blobs do Azure (Uso geral v2 Standard, Azure Data Lake Storage Gen2 ou blobs de bloco premium).
Táticas MITRE: Coleção
Gravidade: Média
Acesso autenticado de um nó de saída do Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Descrição: Um ou mais contêiner(es) de armazenamento/compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial / Pré-Ataque
Gravidade: Alta/Média
Acesso de um local incomum a uma conta de armazenamento
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Descrição: indica que houve uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acessou a conta de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum. Um exemplo do último é a manutenção remota de um novo aplicativo ou desenvolvedor. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média/Baixa
Acesso não autenticado incomum a um contêiner de armazenamento
(Storage.Blob_AnonymousAccessAnomaly)
Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Baixa
Possível malware carregado em uma conta de armazenamento
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Descrição: indica que um blob contendo malware potencial foi carregado em um contêiner de blob ou em um compartilhamento de arquivos em uma conta de armazenamento. Esse alerta é baseado na análise de reputação de hash aproveitando o poder da inteligência contra ameaças da Microsoft, que inclui hashes de vírus, cavalos de Troia, spyware e ransomware. As causas potenciais podem incluir um carregamento intencional de malware por um invasor ou um carregamento não intencional de um blob potencialmente mal-intencionado por um usuário legítimo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (Somente para transações na API REST) Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Contêineres de armazenamento acessíveis publicamente descobertos com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Descrição: uma descoberta bem-sucedida de contêiner(es) de armazenamento aberto publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de varredura.
Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.
O agente da ameaça pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente.
✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2
Táticas MITRE: Coleção
Gravidade: Alta/Média
Falha no exame de contêineres de armazenamento acessíveis publicamente
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Descrição: uma série de tentativas fracassadas de procurar contêineres de armazenamento abertos publicamente foram executadas na última hora.
Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.
O agente da ameaça pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente.
✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2
Táticas MITRE: Coleção
Gravidade: Alta/Baixa
Inspeção de acesso incomum em uma conta de armazenamento
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Descrição: indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de maneira incomum, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Descoberta
Gravidade: Alta/Média
Quantidade incomum de dados extraídos de uma conta de armazenamento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Descrição: indica que uma quantidade excepcionalmente grande de dados foi extraída em comparação com a atividade recente neste contêiner de armazenamento. Uma possível causa é que um invasor extraiu uma grande quantidade de dados de um contêiner que mantém o armazenamento de BLOBs. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Exfiltração
Gravidade: Alta/Baixa
Aplicativo incomum acessou uma conta de armazenamento
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Descrição: indica que um aplicativo incomum acessou essa conta de armazenamento. Uma possível causa é que um invasor acessou sua conta de armazenamento usando um novo aplicativo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Alta/Média
Exploração de dados incomum em uma conta de armazenamento
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Descrição: indica que blobs ou contêineres em uma conta de armazenamento foram enumerados de maneira anormal, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Alta/Média
Exclusão incomum em uma conta de armazenamento
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Descrição: indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor excluiu dados de sua conta de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Táticas MITRE: Exfiltração
Gravidade: Alta/Média
Acesso público incomum não autenticado a um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento sem autenticação, usando um endereço IP externo (público). Trata-se de um acesso suspeito, já que o contêiner de blob está aberto ao acesso público e só costuma ser acessado com autenticação a partir de redes internas (endereços IP privados). Esse acesso pode indicar que o nível de acesso do contêiner de blob está configurado incorretamente e um ator mal-intencionado pode ter explorado o acesso público. O alerta de segurança inclui o contexto descoberto de informações confidenciais (hora da verificação, rótulo de classificação, tipos de informação e tipos de arquivo). Saiba mais sobre a detecção de ameaças contra dados confidenciais. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Quantidade incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Descrição: o alerta indica que alguém extraiu uma quantidade excepcionalmente grande de dados de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Exfiltração
Gravidade: Média
Número incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Descrição: o alerta indica que alguém extraiu um número excepcionalmente grande de blobs de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.
Táticas MITRE: Exfiltração
Acesso de um aplicativo sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_SuspiciousApp.Sensitive
Descrição: o alerta indica que alguém com um aplicativo suspeito conhecido acessou um contêiner de blob com dados confidenciais na conta de armazenamento e executou operações autenticadas.
O acesso pode indicar que um agente de ameaça obteve credenciais para acessar a conta de armazenamento usando um aplicativo suspeito conhecido. No entanto, o acesso também pode indicar um teste de penetração realizado na organização.
Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Acesso de um endereço IP sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_SuspiciousIp.Sensitive
Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento a partir de um endereço IP suspeito conhecido associado à informação sobre ameaças pelo Microsoft Threat Intelligence. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Pré-Ataque
Gravidade: Alta
Acesso de um nó de saída do Tor a um contêiner de blob confidencial (Versão Prévia)
Storage.Blob_TorAnomaly.Sensitive
Descrição: o alerta indica que alguém com um endereço IP conhecido por ser um nó de saída do Tor acessou um contêiner de blob com dados confidenciais na conta de armazenamento com acesso autenticado. O acesso autenticado de um nó de saída do Tor indica fortemente que o agente está tentando permanecer anônimo para uma possível intenção maliciosa. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Pré-Ataque
Gravidade: Alta
Acesso a um contêiner de blob confidencial a partir de um local incomum (Versão Prévia)
Storage.Blob_GeoAnomaly.Sensitive
Descrição: o alerta indica que alguém acessou o contêiner de blob com dados confidenciais na conta de armazenamento com autenticação de um local incomum. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Média
O nível de acesso a um contêiner de blob confidencial foi alterado para permitir o acesso público não autenticado (Versão Prévia)
Storage.Blob_OpenACL.Sensitive
Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que contém dados confidenciais, para o nível 'Contêiner', que permite acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. A alteração no nível de acesso pode comprometer a segurança dos dados. Recomendamos que você tome providências imediatas para proteger os dados e impedir o acesso não autorizado caso esse alerta seja disparado. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Coleção
Gravidade: Alta
Acesso externo suspeito a uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)
Storage.Blob_AccountSas.InternalSasUsedExternally
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. Esse tipo de acesso é considerado suspeito porque o token SAS costuma ser usado apenas em redes internas (a partir de endereços IP privados). A atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Média
Operação externa suspeita para uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. O acesso é considerado suspeito porque operações invocadas fora da sua rede (não a partir de endereços IP privados) com esse token SAS costumam ser usadas para um conjunto específico de operações de Leitura/Gravação/Exclusão, mas outras operações ocorreram, o que torna esse acesso suspeito. Essa atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Média
Um token SAS incomum foi usado para acessar uma conta de armazenamento do Azure a partir de um endereço IP público (Versão Prévia)
Storage.Blob_AccountSas.UnusualExternalAccess
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS de conta. O acesso é altamente incomum e considerado suspeito, já que o acesso à conta de armazenamento usando tokens SAS costuma ser proveniente apenas de endereços IP internos (privados). É possível que um token SAS tenha sido vazado ou gerado por um agente mal-intencionado, de dentro da sua organização ou externamente, para obter acesso a essa conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Baixa
Arquivo mal-intencionado carregado em uma conta de armazenamento
Storage.Blob_AM.MalwareFound
Descrição: o alerta indica que um blob mal-intencionado foi carregado em uma conta de armazenamento. Esse alerta de segurança é gerado pelo recurso Verificação de Malware do Defender para Armazenamento. As causas potenciais podem incluir um carregamento intencional de malware por um agente de ameaça ou um carregamento não intencional de um arquivo mal-intencionado por um usuário legítimo. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso Verificação de Malware habilitado.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
O blob mal-intencionado foi baixado de uma conta de armazenamento (versão prévia)
Storage.Blob_MalwareDownload
Descrição: o alerta indica que um blob mal-intencionado foi baixado de uma conta de armazenamento. As causas potenciais podem incluir malware que foi carregado na conta de armazenamento e não removido ou colocado em quarentena, permitindo assim que um agente de ameaça o baixe, ou um download não intencional do malware por usuários ou aplicativos legítimos. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso Verificação de Malware habilitado.
Táticas MITRE: Movimento Lateral
Severidade: Alta, se Eicar - baixa
Alertas do Azure Cosmos DB
Acesso de um nó de saída do Tor
(CosmosDB_TorAnomaly)
Descrição: essa conta do Azure Cosmos DB foi acessada com êxito de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anônimo. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade.
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média
Acesso de um IP suspeito
(CosmosDB_SuspiciousIp)
Descrição: essa conta do Azure Cosmos DB foi acessada com êxito a partir de um endereço IP identificado como uma ameaça pelo Microsoft Threat Intelligence.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Acesso de um local incomum
(CosmosDB_GeoAnomaly)
Descrição: essa conta do Azure Cosmos DB foi acessada de um local considerado desconhecido, com base no padrão de acesso usual.
Um ator de ameaça obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Volume incomum de dados extraídos
(CosmosDB_DataExfiltrationAnomaly)
Descrição: um volume excepcionalmente grande de dados foi extraído dessa conta do Azure Cosmos DB. Isso pode indicar que um ator de ameaça exfiltrou dados.
Táticas MITRE: Exfiltração
Gravidade: Média
Extração de chaves de contas do Azure Cosmos DB por meio de um script possivelmente mal-intencionado
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB em sua assinatura. Os atores da ameaça usam scripts automatizados, como o Microburst, para listar chaves e localizar as contas do Azure Cosmos DB que eles podem acessar.
Essa operação pode indicar que uma identidade na organização foi violada e que o ator da ameaça está tentando comprometer as contas do Azure Cosmos DB no seu ambiente com objetivos mal-intencionados.
Como alternativa, um insider mal-intencionado pode tentar acessar dados confidenciais e executar a movimentação lateral.
Táticas MITRE: Coleção
Gravidade: Média
Extração suspeita de chaves de conta do Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Descrição: uma fonte suspeita extraiu chaves de acesso à conta do Azure Cosmos DB de sua assinatura. Se essa fonte não for uma fonte legítima, isso pode ser um problema de alto impacto. A chave de acesso extraída fornece controle total sobre os bancos de dados associados e os dados armazenados neste banco de dados. Consulte os detalhes de cada alerta específico para reconhecer por que a fonte foi sinalizada como suspeita.
Táticas MITRE: Acesso a Credenciais
Gravidade: alta
Injeção de SQL: possível exfiltração dos dados
(CosmosDB_SqlInjection.DataExfiltration)
Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.
A instrução injetada pode ter sido bem-sucedida na exfiltração de dados que o agente de ameaça não está autorizado a acessar.
Devido à estrutura e às funcionalidades das consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos em contas do Azure Cosmos DB não funcionam. No entanto, a variação usada nesse ataque pode funcionar e os agentes de ameaças podem exfiltrar dados.
Táticas MITRE: Exfiltração
Gravidade: Média
Injeção de SQL: tentativa de fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.
Assim como outros ataques de injeção de SQL bem conhecidos, esse ataque não conseguirá comprometer a conta do Azure Cosmos DB.
No entanto, é uma indicação de que um agente de ameaça está tentando atacar os recursos dessa conta e seu aplicativo pode estar comprometido.
Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar executando tentativas de injeção de SQL, ele poderá comprometer sua conta do Azure Cosmos DB e exfiltrar dados.
Você pode evitar essa ameaça usando consultas parametrizadas.
Táticas MITRE: Pré-ataque
Gravidade: Baixa
Alertas da camada de rede do Azure
Comunicação de rede com um computador mal-intencionado detectada
(Network_CommunicationWithC2)
Descrição: A análise de tráfego de rede indica que sua máquina (IP %{IP da vítima}) se comunicou com o que possivelmente é um centro de comando e controle. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) se comunicou com o que possivelmente é um centro de comando e controle.
Táticas MITRE: Comando e Controle
Gravidade: Média
Computador possivelmente comprometido detectado
(Network_ResourceIpIndicatedAsMalicious)
Descrição: a inteligência de ameaças indica que sua máquina (no IP %{IP da máquina}) pode ter sido comprometida por um malware do tipo Conficker. O Conficker foi um worm de computador que tem como alvo o sistema operacional Microsoft Windows e foi detectado pela primeira vez em novembro de 2008. O Conficker infectou milhões de computadores, incluindo governo, computadores comerciais e domésticos em mais de 200 países/regiões, o que o torna a maior infecção de worms de computador conhecida desde 2003 com o worm Welchia.
Táticas MITRE: Comando e Controle
Gravidade: Média
Possíveis tentativas de força bruta de entrada %{Nome do Serviço} detectadas
(Generic_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou a comunicação %{Nome do Serviço} de entrada para %{IP da vítima}, associada ao recurso %{Host comprometido} de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Victim Port}. Esta atividade é consistente com as tentativas de força bruta contra servidores %{Nome do Serviço}.
Táticas MITRE: PreAttack
Severidade: Informativo
Possíveis tentativas de força bruta SQL de entrada detectadas
(SQL_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação SQL de entrada para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Possível ataque de negação de serviço de saída detectado
(DDOS)
Descrição: a análise de tráfego de rede detectou atividade de saída anômala originada de %{Host Comprometido}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) foi comprometido. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os destinos do ataque de DOS: %{Possible Victims}. Observe que é possível que a comunicação com alguns desses IPs seja legítima.
Táticas MITRE: Impacto
Gravidade: Média
Atividade de rede RDP de entrada suspeita de várias fontes
(RDP_Incoming_BF_ManyToOne)
Descrição: a análise de tráfego de rede detectou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima}, associada ao recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta do ponto de extremidade RDP de vários hosts (Botnet).
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima}, associada ao recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto final do RDP
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita de várias origens
(SSH_Incoming_BF_ManyToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade SSH de vários hosts (Botnet)
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto final do SSH
Táticas MITRE: PreAttack
Gravidade: Média
Tráfego %{Attacked Protocol} de saída suspeito detectado
(PortScanning)
Descrição: a análise de tráfego de rede detectou tráfego de saída suspeito de %{Host comprometido} para a porta de destino %{Porta mais comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando de tentativas de força bruta %{Attack Protocol} ou ataques de varredura de porta.
Táticas MITRE: Descoberta
Gravidade: Média
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
Descrição: a análise de tráfego de rede detectou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para vários destinos originados de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu computador conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade RDP externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Descoberta
Gravidade: Alta
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que sua máquina foi comprometida e agora é usada para pontos de extremidade RDP externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Atividade de rede SSH de saída para vários destinos suspeita
(SSH_Outgoing_BF_OneToMany)
Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para vários destinos originados de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu recurso conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade SSH externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Descoberta
Gravidade: Média
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade SSH externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Tráfego detectado de endereços IP recomendados para bloqueio
(Network_TrafficFromUnrecommendedIP)
Descrição: o Microsoft Defender for Cloud detectou tráfego de entrada de endereços IP recomendados para serem bloqueados. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem.
Táticas MITRE: Sondagem
Severidade: Informativo
Alertas para o Azure Key Vault
Acesso de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Descrição: um cofre de chaves foi acessado com êxito por um IP que foi identificado pelo Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Acesso de um nó de saída do TOR a um cofre de chaves
(KV_TORAccess)
Descrição: um cofre de chaves foi acessado a partir de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um ator de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Alto volume de operações em um cofre de chaves
(KV_OperationVolumeAnomaly)
Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômala pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Alteração de política suspeita e consulta de segredo em um cofre de chaves
(KV_PutGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de alteração de política do Vault Put seguida por uma ou mais operações de Secret Get. Esse padrão normalmente não é executado pelo usuário ou pela entidade de serviço especificada. Essa pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Listagem e consulta secreta suspeitas em um cofre de chaves
(KV_ListGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obtenção Secreta. Esse padrão normalmente não é executado pelo usuário nem pela entidade de serviço especificada e normalmente está associado ao despejo de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela sua rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Descoberta
Gravidade: Baixa
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Descrição: Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.
Táticas MITRE: Acesso Inicial, Descoberta
Gravidade: Baixa
Aplicativo incomum acessou um cofre de chaves
(KV_AppAnomaly)
Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Padrão de operação incomum em um cofre de chaves
(KV_OperationPatternAnomaly)
Descrição: Um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômala pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Um usuário incomum acessou um cofre de chaves
(KV_UserAnomaly)
Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Um par incomum de usuário-aplicativo acessou um cofre de chaves
(KV_UserAppAnomaly)
Descrição: um cofre de chaves foi acessado por um par de entidades de serviço do usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
O usuário acessou um alto volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Acesso negado de um IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccessDenied)
Descrição: um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pelo Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Baixa
Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo)
(KV_UnusualAccessSuspiciousIP)
Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não é da Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a Credenciais
Gravidade: Média
Alertas da Proteção contra DDoS do Azure
Ataque de DDoS detectado para IP público
(NETWORK_DDOS_DETECTED)
Descrição: Ataque DDoS detectado para IP Público (endereço IP) e sendo mitigado.
Táticas MITRE: Sondagem
Gravidade: Alta
Ataque de DDoS migrado para IP público
(NETWORK_DDOS_MITIGATED)
Descrição: Ataque DDoS mitigado para IP Público (endereço IP).
Táticas MITRE: Sondagem
Gravidade: Baixa
Alertas do Defender para APIs
Pico suspeito no tráfego de API em o nível populacional para um ponto de extremidade de API
(API_PopulationSpikeInAPITraffic)
Descrição: um pico suspeito no tráfego da API foi detectado em um dos pontos de extremidade da API. O sistema de detecção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego da API de rotina entre todos os IPs e o ponto de extremidade, sendo a linha de base específica para o tráfego de API para cada código de status (como 200 Sucesso). O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.
Táticas MITRE: Impacto
Gravidade: Média
Pico suspeito no tráfego de API de um único endereço IP para um ponto de extremidade de API
(API_SpikeInAPITraffic)
Descrição: um pico suspeito no tráfego da API foi detectado de um IP do cliente para o ponto de extremidade da API. O sistema de detecção usou padrões de tráfego históricos para estabelecer uma linha de base do volume de tráfego da API de rotina para o ponto de extremidade proveniente de um IP específico para o ponto de extremidade. O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.
Táticas MITRE: Impacto
Gravidade: Média
Conteúdo de resposta extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInPayload)
Descrição: um pico suspeito no tamanho da carga útil de resposta da API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do conteúdo de resposta da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de um conteúdo de resposta da API desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
Corpo de solicitação extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInPayload)
Descrição: um pico suspeito no tamanho do corpo da solicitação de API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do corpo da solicitação da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de uma solicitação da API desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
(Versão prévia) Pico suspeito de latência do tráfego entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInLatency)
Descrição: um pico suspeito de latência foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa a latência de tráfego da API de rotina entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque a latência de uma chamada à API desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
As solicitações de API se espalham de um único endereço IP para um número extraordinariamente grande de pontos de extremidade de API distintos
(API_SprayInRequests)
Descrição: Um único IP foi observado fazendo chamadas de API para um número excepcionalmente grande de pontos de extremidade distintos. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o número típico de pontos de extremidade distintos chamados por um único IP em janelas de 20 minutos. O alerta foi disparado porque o comportamento de um único IP desviou significativamente da linha de base histórica.
Táticas MITRE: Descoberta
Gravidade: Média
Enumeração de parâmetro em um ponto de extremidade de API
(API_ParameterEnumeration)
Descrição: Um único IP foi observado enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados por um único IP ao acessar esse ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque um IP de cliente único acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.
Táticas MITRE: Acesso inicial
Gravidade: Média
Enumeração de parâmetro distribuídos em um ponto de extremidade de API
(API_DistributedParameterEnumeration)
Descrição: A população de usuários agregados (todos os IPs) foi observada enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados pela população de usuários (todos os IPs) ao acessar um ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque a população do usuário acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.
Táticas MITRE: Acesso inicial
Gravidade: Média
Valores de parâmetro com tipos de dados anômalos em uma chamada à API
(API_UnseenParamType)
Descrição: Um único IP foi observado acessando um de seus pontos de extremidade da API e usando valores de parâmetro de um tipo de dados de baixa probabilidade (por exemplo, cadeia de caracteres, inteiro, etc.). Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende os tipos de dados esperados para cada parâmetro de API. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um tipo de dados de probabilidade anteriormente baixo como uma entrada de parâmetro.
Táticas MITRE: Impacto
Gravidade: Média
Parâmetro nunca visto anteriormente usado em uma chamada à API
(API_UnseenParam)
Descrição: Um único IP foi observado acessando um dos pontos de extremidade da API usando um parâmetro inédito ou fora dos limites na solicitação. Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende um conjunto de parâmetros esperados associados a chamadas para um ponto de extremidade. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um parâmetro nunca visto anteriormente.
Táticas MITRE: Impacto
Gravidade: Média
Acesso de um nó de saída do Tor para um ponto de extremidade da API
(API_AccessFromTorExitNode)
Descrição: um endereço IP da rede Tor acessou um dos pontos de extremidade da API. O Tor é uma rede que permite que as pessoas acessem a Internet mantendo seu IP real oculto. Embora haja usos legítimos, ele é frequentemente usado por invasores para ocultar sua identidade quando eles têm como alvo os sistemas das pessoas online.
Táticas MITRE: Pré-ataque
Gravidade: Média
Acesso do ponto de extremidade da API de IP suspeito
(API_AccessFromSuspiciousIP)
Descrição: um endereço IP acessando um dos pontos de extremidade da API foi identificado pelo Microsoft Threat Intelligence como tendo uma alta probabilidade de ser uma ameaça. Ao observar o tráfego mal-intencionado da Internet, esse IP estava envolvido no ataque a outros alvos online.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Agente de usuário suspeito detectado
(API_AccessFromSuspiciousUserAgent)
Descrição: O agente do usuário de uma solicitação acessando um dos pontos de extremidade da API continha valores anômalos indicativos de uma tentativa de execução remota de código. Isso não significa que nenhum dos pontos de extremidade da API tenha sido violado, mas sugere que uma tentativa de ataque está em andamento.
Táticas MITRE: Execução
Gravidade: Média
Alertas preteridos do Defender para Contêineres
As listas a seguir incluem os alertas de segurança do Defender for Containers que foram preteridos.
Manipulação do firewall do host detectada
(K8S.NODE_FirewallDisabled)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma possível manipulação do firewall no host. Os invasores geralmente desabilitarão isso para exportar dados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uso suspeito de DNS sobre HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou o uso de uma chamada DNS sobre HTTPS de forma incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uma conexão possível com um local mal-intencionado foi detectada.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma conexão com um local que foi relatado como malicioso ou incomum. Este é um indicador de que pode ter ocorrido um compromisso.
Táticas MITRE: InitialAccess
Gravidade: Média
Atividade de mineração de moeda digital
(K8S. NODE_CurrencyMining)
Descrição: A análise de transações DNS detectou atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Alertas preteridos do Defender for Servers Linux
VM_AbnormalDaemonTermination
Nome de exibição do alerta: Terminação anormal
Gravidade: Baixa
VM_BinaryGeneratedFromCommandLine
Nome de exibição do alerta: binário suspeito detectado
Gravidade: Média
VM_CommandlineSuspectDomain Suspicious
Nome de exibição do alerta: referência de nome de domínio
Gravidade: Baixa
VM_CommonBot
Nome de exibição do alerta: Comportamento semelhante aos bots comuns do Linux detectados
Gravidade: Média
VM_CompCommonBots
Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detectados
Gravidade: Média
VM_CompSuspiciousScript
Nome de exibição do alerta: Shell Script detectado
Gravidade: Média
VM_CompTestRule
Nome de exibição do alerta: Alerta de teste analítico composto
Gravidade: Baixa
VM_CronJobAccess
Nome de exibição do alerta: manipulação de tarefas agendadas detectada
Severidade: Informativo
VM_CryptoCoinMinerArtifacts
Nome de exibição do alerta: Processo associado à mineração de moeda digital detectado
Gravidade: Média
VM_CryptoCoinMinerDownload
Nome de exibição do alerta: Possível download do Cryptocoinminer detectado
Gravidade: Média
VM_CryptoCoinMinerExecution
Nome de exibição do alerta: Potencial minerador de moedas criptográficas iniciado
Gravidade: Média
VM_DataEgressArtifacts
Nome de exibição do alerta: possível exfiltração de dados detectada
Gravidade: Média
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_DownloadAndRunCombo
Nome de exibição do alerta: download suspeito e executar atividade
Gravidade: Média
VM_EICAR
Nome de exibição do alerta: alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)
Gravidade: Alta
VM_ExecuteHiddenFile
Nome de exibição do alerta: Execução de arquivo oculto
Severidade: Informativo
VM_ExploitAttempt
Nome de exibição do alerta: possível tentativa de exploração da linha de comando
Gravidade: Média
VM_ExposedDocker
Nome de exibição do alerta: daemon do Docker exposto no soquete TCP
Gravidade: Média
VM_FairwareMalware
Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detectado
Gravidade: Média
VM_FirewallDisabled
Nome de exibição do alerta: Manipulação do firewall do host detectada
Gravidade: Média
VM_HadoopYarnExploit
Nome de exibição do alerta: Possível exploração do Hadoop Yarn
Gravidade: Média
VM_HistoryFileCleared
Nome de exibição do alerta: um arquivo de histórico foi limpo
Gravidade: Média
VM_KnownLinuxAttackTool
Nome de exibição do alerta: possível ferramenta de ataque detectada
Gravidade: Média
VM_KnownLinuxCredentialAccessTool
Nome de exibição do alerta: possível ferramenta de acesso a credenciais detectada
Gravidade: Média
VM_KnownLinuxDDoSToolkit
Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detectados
Gravidade: Média
VM_KnownLinuxScreenshotTool
Nome de exibição do alerta: captura de tela feita no host
Gravidade: Baixa
VM_LinuxBackdoorArtifact
Nome de exibição do alerta: possível backdoor detectado
Gravidade: Média
VM_LinuxReconnaissance
Nome de exibição do alerta: reconhecimento de host local detectado
Gravidade: Média
VM_MismatchedScriptFeatures
Nome de exibição do alerta: incompatibilidade de extensão de script detectada
Gravidade: Média
VM_MitreCalderaTools
Nome de exibição do alerta: MITRE Caldera agent detected
Gravidade: Média
VM_NewSingleUserModeStartupScript
Nome de exibição do alerta: Tentativa de persistência detectada
Gravidade: Média
VM_NewSudoerAccount
Nome de exibição do alerta: Conta adicionada ao grupo sudo
Gravidade: Baixa
VM_OverridingCommonFiles
Nome de exibição do alerta: substituição potencial de arquivos comuns
Gravidade: Média
VM_PrivilegedContainerArtifacts
Nome de exibição do alerta: contêiner em execução no modo privilegiado
Gravidade: Baixa
VM_PrivilegedExecutionInContainer
Nome de exibição do alerta: comando dentro de um contêiner em execução com privilégios altos
Gravidade: Baixa
VM_ReadingHistoryFile
Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash
Severidade: Informativo
VM_ReverseShell
Nome de exibição do alerta: Potencial shell reverso detectado
Gravidade: Média
VM_SshKeyAccess
Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
Gravidade: Baixa
VM_SshKeyAddition
Nome de exibição do alerta: Nova chave SSH adicionada
Gravidade: Baixa
VM_SuspectCompilation
Nome de exibição do alerta: compilação suspeita detectada
Gravidade: Média
VM_SuspectConnection
Nome de exibição do alerta: uma tentativa de conexão incomum detectada
Gravidade: Média
VM_SuspectDownload
Nome de exibição do alerta: download de arquivo detectado de uma fonte maliciosa conhecida
Gravidade: Média
VM_SuspectDownloadArtifacts
Nome de exibição do alerta: Detectado download de arquivo suspeito
Gravidade: Baixa
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito
Gravidade: Média
VM_SuspectHtaccessFileAccess
Nome de exibição do alerta: Acesso do arquivo htaccess detectado
Gravidade: Média
VM_SuspectInitialShellCommand
Nome de exibição do alerta: primeiro comando suspeito no shell
Gravidade: Baixa
VM_SuspectMixedCaseText
Nome de exibição do alerta: Detectada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Média
VM_SuspectNetworkConnection
Nome de exibição do alerta: conexão de rede suspeita
Severidade: Informativo
VM_SuspectNohup
Nome de exibição do alerta: Detectado uso suspeito do comando nohup
Gravidade: Média
VM_SuspectPasswordChange
Nome de exibição do alerta: possível alteração de senha usando o método crypt detectado
Gravidade: Média
VM_SuspectPasswordFileAccess
Nome de exibição do alerta: acesso de senha suspeito
Severidade: Informativo
VM_SuspectPhp
Nome de exibição do alerta: Execução suspeita do PHP detectada
Gravidade: Média
VM_SuspectPortForwarding
Nome de exibição do alerta: encaminhamento de porta potencial para endereço IP externo
Gravidade: Média
VM_SuspectProcessAccountPrivilegeCombo
Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se raiz inesperadamente
Gravidade: Média
VM_SuspectProcessTermination
Nome de exibição do alerta: Encerramento do processo relacionado à segurança detectado
Gravidade: Baixa
VM_SuspectUserAddition
Nome de exibição do alerta: Detectado o uso suspeito do comando useradd
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeita
Gravidade: Alta
VM_SuspiciousDNSOverHttps
Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS
Gravidade: Média
VM_SystemLogRemoval
Nome de exibição do alerta: possível atividade de adulteração de log detectada
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_TimerServiceDisabled
Nome de exibição do alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detectado
Severidade: Informativo
VM_TimestampTampering
Nome de exibição do alerta: modificação suspeita do carimbo de data/hora do arquivo
Gravidade: Baixa
VM_Webshell
Nome de exibição do alerta: possível shell da Web mal-intencionado detectado
Gravidade: Média
Alertas preteridos do Defender para Servidores do Windows
SCUBA_MULTIPLEACCOUNTCREATE
Nome de exibição do alerta: criação suspeita de contas em vários hosts
Gravidade: Média
SCUBA_PSINSIGHT_CONTEXT
Nome de exibição do alerta: uso suspeito do PowerShell detectado
Severidade: Informativo
SCUBA_RULE_AddGuestToAdministrators
Nome de exibição do alerta: adição da conta Convidado ao grupo Administradores Locais
Gravidade: Média
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands
Gravidade: Média
SCUBA_RULE_KnownBruteForcingTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownCollectionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownExecutionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownPassTheHashTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownSpammingTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Média
SCUBA_RULE_Lowering_Security_Settings
Nome de exibição do alerta: Detectada a desativação de serviços críticos
Gravidade: Média
SCUBA_RULE_OtherKnownHackerTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP
Gravidade: Média
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome de exibição do alerta: instalação de serviço suspeito
Gravidade: Média
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome de exibição do alerta: Detectada supressão do aviso legal exibido aos usuários no logon
Gravidade: Baixa
SCUBA_RULE_WDigest_Enabling
Nome de exibição do alerta: Detectada a habilitação da chave do Registro WDigest UseLogonCredential
Gravidade: Média
VM.Windows_ApplockerBypass
Nome de exibição do alerta: Possível tentativa de ignorar o AppLocker detectada
Gravidade: Alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome de exibição do alerta: Detectada a criação de arquivos suspeitos
Gravidade: Alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome de exibição do alerta: executável codificado detectado nos dados da linha de comando
Gravidade: Alta
VM.Windows_CalcsCommandLineUse
Nome de exibição do alerta: Detectado o uso suspeito de Cacls para diminuir o estado de segurança do sistema
Gravidade: Média
VM.Windows_CommandLineStartingAllExe
Nome de exibição do alerta: linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório
Gravidade: Média
VM.Windows_DisablingAndDeletingIISLogFiles
Nome de exibição do alerta: ações detectadas indicativas de desabilitar e excluir arquivos de log do IIS
Gravidade: Média
VM.Windows_DownloadUsingCertutil
Nome de exibição do alerta: download suspeito usando o Certutil detectado
Gravidade: Média
VM.Windows_EchoOverPipeOnLocalhost
Nome de exibição do alerta: Detectadas comunicações de pipe nomeado suspeitas
Gravidade: Alta
VM.Windows_EchoToConstructPowerShellScript
Nome de exibição do alerta: construção dinâmica de script do PowerShell
Gravidade: Média
VM.Windows_ExecutableDecodedUsingCertutil
Nome de exibição do alerta: decodificação detectada de um executável usando a ferramenta certutil.exe interna
Gravidade: Média
VM.Windows_FileDeletionIsSospisiousLocation
Nome de exibição do alerta: exclusão de arquivo suspeita detectada
Gravidade: Média
VM.Windows_KerberosGoldenTicketAttack
Nome de exibição do alerta: parâmetros suspeitos de ataque Kerberos Golden Ticket observados
Gravidade: Média
VM.Windows_KeygenToolKnownProcessName
Nome de exibição do alerta: Detectada possível execução do executável keygen Processo suspeito executado
Gravidade: Média
VM.Windows_KnownCredentialAccessTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome de exibição do alerta: uso suspeito do PowerShell detectado
Gravidade: Alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome de exibição do alerta: Software de alto risco detectado
Gravidade: Média
VM.Windows_MsHtaAndPowerShellCombination
Nome de exibição do alerta: Detectada combinação suspeita de HTA e PowerShell
Gravidade: Média
VM.Windows_MultipleAccountsQuery
Nome de exibição do alerta: várias contas de domínio consultadas
Gravidade: Média
VM.Windows_NewAccountCreation
Nome de exibição do alerta: criação de conta detectada
Severidade: Informativo
VM.Windows_ObfuscatedCommandLine
Nome de exibição do alerta: linha de comando ofuscada detectada.
Gravidade: Alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome de exibição do alerta: Detectado o uso suspeito de Pcalua.exe para iniciar o código executável
Gravidade: Média
VM.Windows_PetyaRansomware
Nome de exibição do alerta: Indicadores de ransomware Petya detectados
Gravidade: Alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados
Gravidade: Média
VM.Windows_RansomwareIndication
Nome de exibição do alerta: indicadores de ransomware detectados
Gravidade: Alta
VM.Windows_SqlDumperUsedSuspiciously
Nome de exibição do alerta: possível despejo de credenciais detectado [visto várias vezes]
Gravidade: Média
VM.Windows_StopCriticalServices
Nome de exibição do alerta: Detectada a desativação de serviços críticos
Gravidade: Média
VM.Windows_SubvertingAccessibilityBinary
Nome de exibição do alerta: Ataque de chaves adesivas detectado Criação de conta suspeita detectada Médio
VM.Windows_SuspiciousAccountCreation
Nome de exibição do alerta: Criação de conta suspeita detectada
Gravidade: Média
VM.Windows_SuspiciousFirewallRuleAdded
Nome de exibição do alerta: Detectada nova regra de firewall suspeita
Gravidade: Média
VM.Windows_SuspiciousFTPSSwitchUsage
Nome de exibição do alerta: Detectado o uso suspeito da opção FTP -s
Gravidade: Média
VM.Windows_SuspiciousSQLActivity
Nome de exibição do alerta: atividade SQL suspeita
Gravidade: Média
VM.Windows_SVCHostFromInvalidPath
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
VM.Windows_SystemEventLogCleared
Nome de exibição do alerta: O log de segurança do Windows foi limpo
Severidade: Informativo
VM.Windows_TelegramInstallation
Nome de exibição do alerta: Detectado uso potencialmente suspeito da ferramenta Telegram
Gravidade: Média
VM.Windows_UndercoverProcess
Nome de exibição do alerta: processo com nome suspeito detectado
Gravidade: Alta
VM.Windows_UserAccountControlBypass
Nome de exibição do alerta: Detectada alteração em uma chave do Registro que pode ser usada abusivamente para ignorar o UAC
Gravidade: Média
VM.Windows_VBScriptEncoding
Nome de exibição do alerta: Detectada execução suspeita do comando VBScript.Encode
Gravidade: Média
VM.Windows_WindowPositionRegisteryChange
Nome de exibição do alerta: valor do Registro WindowPosition suspeito detectado
Gravidade: Baixa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome de exibição do alerta: regra de firewall maliciosa criada pelo implante do servidor ZINC
Gravidade: Alta
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_MaliciousSQLActivity
Nome de exibição do alerta: atividade SQL maliciosa
Gravidade: Alta
VM_ProcessWithDoubleExtensionExecution
Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado
Gravidade: Alta
VM_RegistryPersistencyKey
Nome de exibição do alerta: método de persistência do Registro do Windows detectado
Gravidade: Baixa
VM_ShadowCopyDeletion
Nome de exibição do alerta: Executável suspeito da atividade de cópia de sombra do volume encontrado em execução a partir de um local suspeito
Gravidade: Alta
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito Detectada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Severidade: Informativo
Médio
VM_SuspectPhp
Nome de exibição do alerta: Execução suspeita do PHP detectada
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeita
Gravidade: Alta
VM_SuspiciousScreenSaverExecution
Nome de exibição do alerta: Processo de proteção de tela suspeito executado
Gravidade: Média
VM_SvcHostRunInRareServiceGroup
Nome de exibição do alerta: grupo de serviço SVCHOST raro executado
Severidade: Informativo
VM_SystemProcessInAbnormalContext
Nome de exibição do alerta: Processo do sistema suspeito executado
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_VbScriptHttpObjectAllocation
Nome de exibição do alerta: alocação de objeto HTTP VBScript detectada
Gravidade: Alta
VM_TaskkillBurst
Nome de exibição do alerta: intermitência de término de processo suspeito
Gravidade: Baixa
VM_RunByPsExec
Nome de exibição do alerta: execução do PsExec detectada
Severidade: Informativo
Táticas MITRE ATT&CK
Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Microsoft Defender para Nuvem incluem as táticas MITRE com muitos alertas.
A série de etapas que descrevem a progressão de um ciberataque de reconhecimento para exfiltração de dados é geralmente conhecida como "kill chain".
As intenções de kill chain suportadas pelo Defender for Cloud são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.
Tática | Versão ATT&CK | Descrição |
---|---|---|
PreAttack | O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Normalmente, a etapa é detectada como uma tentativa, proveniente de fora da rede, para verificar o sistema de destino e identificar um ponto de entrada. | |
Acesso inicial | V7, V9 | O InitialAccess é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para os hosts de computação e recursos, como contas de usuário, certificados etc. Os atores de ameaça geralmente poderão controlar o recurso após esse estágio. |
Persistência | V7, V9 | A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema. Os atores de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exijam que uma ferramenta de acesso remoto reinicie ou forneça um backdoor alternativo para que eles recuperem o acesso. |
Escalonamento de Privilégios | V7, V9 | A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos em uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários atinjam seu objetivo também podem ser consideradas uma escalada de privilégio. |
Evasão de defesa | V7, V9 | A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas. Às vezes, essas ações são as mesmas que as técnicas (ou variações) em outras categorias que têm o benefício adicional de derrubar uma determinada defesa ou mitigação. |
Acesso com credencial | V7, V9 | O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas contas de usuários ou de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior no ambiente. |
Discovery | V7, V9 | A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, eles devem se orientar para o que agora têm controle e quais benefícios o sistema operacional oferece ao seu objetivo atual ou metas gerais durante a invasão. O sistema operacional fornece muitas ferramentas nativas que auxiliam nesta fase de coleta de informações após o comprometimento. |
LateralMovement | V7, V9 | A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode incluir a execução de ferramentas em sistemas remotos, mas não necessariamente fazê-lo. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, ponto de acesso a mais sistemas, acesso a informações ou arquivos específicos, acesso mais credenciais ou causar algum efeito. |
Execução | V7, V9 | A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede. |
Coleção | V7, V9 | A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Comando e controle | V7, V9 | A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino. |
Exfiltração | V7, V9 | A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Impacto | V7, V9 | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outros. |
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.