Alertas de segurança – um guia de referência

Este artigo lista os alertas de segurança que você pode receber do Microsoft Defender for Cloud e de qualquer plano do Microsoft Defender habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Na parte inferior desta página, há uma tabela descrevendo a cadeia de eliminação do Microsoft Defender for Cloud alinhada com a versão 9 da matriz MITRE ATT&CK.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas para computadores Windows

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Windows são:

Mais detalhes e observações

Um logon de um IP mal-intencionado foi detectado. [visto várias vezes]

Descrição: ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Provavelmente ocorreu um ataque bem-sucedido. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows.

Táticas MITRE: -

Gravidade: Alta

A violação da política de controle de aplicativo adaptável foi auditada

VM_AdaptiveApplicationControlWindowsViolationAudited

Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos de sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.

Táticas MITRE: Execução

Severidade: Informativo

Adição de conta de convidado ao grupo de administradores locais

Descrição: a análise dos dados do host detectou a adição da conta Convidado interna ao grupo Administradores Locais em %{Host Comprometido}, que está fortemente associada à atividade do invasor.

Táticas MITRE: -

Gravidade: Média

Um log de eventos foi limpo

Descrição: Os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome do usuário}' na máquina: '%{CompromisedEntity}'. O log %{canal de log} foi limpo.

Táticas MITRE: -

Severidade: Informativo

Falha na ação do Antimalware

Descrição: O Microsoft Antimalware encontrou um erro ao executar uma ação sobre malware ou outro software potencialmente indesejado.

Táticas MITRE: -

Gravidade: Média

Ação do Antimalware executada

Descrição: o Microsoft Antimalware para Azure tomou uma ação para proteger esta máquina contra malware ou outro software potencialmente indesejado.

Táticas MITRE: -

Gravidade: Média

Exclusão ampla de arquivos antimalware na sua máquina virtual

(VM_AmBroadFilesExclusion)

Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Média

Desabilitação de antimalware e execução de código na sua máquina virtual

(VM_AmDisablementAndCodeExecution)

Descrição: Antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Alta

Desabilitação de antimalware na sua máquina virtual

(VM_AmDisablement)

Descrição: Antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descrição: Arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmTempFileExclusionAndCodeExecution)

Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware na sua máquina virtual

(VM_AmTempFileExclusion)

Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descrição: a desativação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descrição: a desativação temporária da extensão antimalware da proteção em tempo real foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrição: a desativação temporária da extensão antimalware da proteção em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Alta

Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)

(VM_AmMalwareCampaignRelatedExclusion)

Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Desabilitação temporária de antimalware na sua máquina virtual

(VM_AmTemporarilyDisablement)

Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: -

Gravidade: Média

Exclusão de arquivo antimalware incomum na sua máquina virtual

(VM_UnusualAmFileExclusion)

Descrição: a exclusão de arquivo incomum da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Ações detectadas indicando a desativação e exclusão de arquivos de log do IIS

Descrição: a análise de dados do host detectou ações que mostram os arquivos de log do IIS sendo desabilitados e/ou excluídos.

Táticas MITRE: -

Gravidade: Média

Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.

Táticas MITRE: -

Gravidade: Média

Alteração detectada em uma chave do Registro que pode ser usada por ignorar o UAC

Descrição: a análise dos dados do host em %{Host Comprometido} detectou que uma chave do Registro que pode ser usada abusivamente para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar mover de um acesso não privilegiado (usuário padrão) para privilegiado (por exemplo, administrador) em um host comprometido.

Táticas MITRE: -

Gravidade: Média

Decodificação detectada de um executável usando a ferramenta interna certutil.exe

Descrição: A análise dos dados do host em %{Host comprometido} detectou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente.

Táticas MITRE: -

Gravidade: Alta

Habilitação detectada da chave do Registro UseLogonCredential WDigest

Descrição: A análise dos dados do host detectou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, a chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como a Mimikatz.

Táticas MITRE: -

Gravidade: Média

Executável codificado detectado em dados da linha de comando

Descrição: A análise dos dados do host em %{Host comprometido} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Linha de comando ofuscada detectada

Descrição: os invasores usam técnicas de ofuscação cada vez mais complexas para evitar detecções executadas nos dados subjacentes. A análise de dados do host em %{Host Comprometido} detectou indicadores suspeitos de ofuscação na linha de comando.

Táticas MITRE: -

Severidade: Informativo

Possível execução de executável keygen detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo cujo nome é indicativo de uma ferramenta keygen, tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download geralmente é empacotado com outros softwares mal-intencionados. O grupo de atividades GOLD é conhecido por fazer uso de keygens para obter secretamente acesso de porta dos fundos aos hosts que comprometem.

Táticas MITRE: -

Gravidade: Média

Possível execução de instalação de malware detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou um nome de arquivo que foi anteriormente associado a um dos métodos do grupo de atividades GOLD de instalar malware em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Possível atividade de reconhecimento local detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar a atividade de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas da maneira que ocorreu aqui é raro.

Táticas MITRE: -

Gravidade: Baixa

Uso potencialmente suspeito de ferramenta Telegram detectado

Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para o sistema móvel quanto para o desktop. Os invasores são conhecidos por abuso desse serviço para transferir binários mal-intencionados para qualquer outro computador, telefone ou tablet.

Táticas MITRE: -

Gravidade: Média

Supressão de aviso legal exibido aos usuários no logon detectado

Descrição: a análise dos dados do host em %{Host comprometido} detectou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que essa é uma atividade comum realizada por invasores depois de terem comprometido um host.

Táticas MITRE: -

Gravidade: Baixa

Combinação suspeita de HTA e PowerShell detectada

Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos mal-intencionados do PowerShell. Os invasores costumam recorrer a um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e opta por executá-lo, os comandos do PowerShell e os scripts em que ele é contido são executados. A análise de dados do host em %{Host Comprometido} detectou que o mshta.exe está lançando comandos do PowerShell.

Táticas MITRE: -

Gravidade: Média

Argumentos da linha de comando suspeitos detectados

Descrição: A análise dos dados do host em %{Host comprometido} detectou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividades HYDROGEN.

Táticas MITRE: -

Gravidade: Alta

Linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório

Descrição: A análise dos dados do host detectou um processo suspeito em execução em %{Host comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir em um diretório. Pode ser uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Média

Credenciais suspeitas detectadas na linha de comando

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividades BORON. Este grupo de atividades tem sido conhecido por usar a senha para executar o malware Pirpi em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Credenciais de documento suspeitas detectadas

Descrição: A análise dos dados do host em %{Host comprometido} detectou um hash de senha pré-computado comum e suspeito usado por malware que está sendo usado para executar um arquivo. O grupo de atividades HYDROGEN tem sido conhecido por usar a senha para executar malware em um host vítima.

Táticas MITRE: -

Gravidade: Alta

Execução suspeita do comando VBScript.Encode detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para que os usuários examinem o código. A pesquisa de ameaças da Microsoft mostra que invasores geralmente usam arquivos VBscript codificados como parte do ataque para enganar sistemas de detecção. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Média

Execução suspeita via rundll32.exe detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou rundll32.exe sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividades GOLD ao instalar seu implante de primeiro estágio em um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Comandos de limpeza de arquivo suspeitos detectados

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar a atividade de autolimpeza pós-comprometimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas seguida por um comando de exclusão da maneira que ocorreu aqui é raro.

Táticas MITRE: -

Gravidade: Alta

Criação de arquivo suspeito detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou a criação ou execução de um processo que indicou anteriormente a ação pós-comprometimento executada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades tem sido conhecido por usar esta técnica para baixar mais malware para um host comprometido depois de um anexo em um documento de phishing ter sido aberto.

Táticas MITRE: -

Gravidade: Alta

Comunicações de pipe nomeado suspeitas detectadas

Descrição: a análise dos dados do host em %{Host comprometido} detectou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Pipes nomeados são conhecidos por serem um canal usado por invasores para criar tarefas e se comunicar com um implante mal-intencionado. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Atividade de rede suspeita detectada

Descrição: A análise do tráfego de rede de %{Host comprometido} detectou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.

Táticas MITRE: -

Gravidade: Baixa

Nova regra de firewall suspeita detectada

Descrição: a análise dos dados do host detectou que uma nova regra de firewall foi adicionada por meio de netsh.exe para permitir o tráfego de um executável em um local suspeito.

Táticas MITRE: -

Gravidade: Média

Uso suspeito de CACLS detectado para diminuir o estado de segurança do sistema

Descrição: Os atacantes usam inúmeras maneiras como força bruta, spear phishing etc. para alcançar o compromisso inicial e obter uma posição na rede. Depois que o comprometimento inicial é atingido, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ€"abreviação de alterar lista de controle de acesso é o utilitário de linha de comando nativo do Microsoft Windows frequentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado por invasores para reduzir as configurações de segurança de um sistema. Isso é feito concedendo a todos acesso completo a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, entre outros. A análise de dados do host em %{Host Comprometido} detectou uso suspeito de Cacls para reduzir a segurança de um sistema.

Táticas MITRE: -

Gravidade: Média

Uso suspeito de opção de FTP -s detectado

Descrição: A análise dos dados de criação do processo a partir do %{Host Comprometido} detectou o uso da opção FTP "-s:filename". Esta opção é usada para especificar um arquivo de script de FTP para que o cliente seja executado. Malware ou processos mal-intencionados são conhecidos por usar a opção FTP (-s:nomedoarquivo) para apontar para um arquivo de script, que está configurado para se conectar a um servidor FTP remoto e baixar mais binários mal-intencionados.

Táticas MITRE: -

Gravidade: Média

Uso suspeito detectado de Pcalua.exe para iniciar o código executável

Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é um componente do "Assistente de compatibilidade de programa" do Microsoft Windows, que detecta problemas de compatibilidade durante a instalação ou execução de um programa. Os invasores são conhecidos por abusar da funcionalidade das ferramentas do sistema Windows legítimas para realizar ações mal-intencionadas, por exemplo, usar pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou de compartilhamentos remotos.

Táticas MITRE: -

Gravidade: Média

Desabilitação de serviços críticos detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução do comando "net.exe stop" que está sendo usado para interromper serviços críticos como o SharedAccess ou o aplicativo de Segurança do Windows. A interrupção de qualquer um desses serviços pode ser uma indicação de um comportamento mal-intencionado.

Táticas MITRE: -

Gravidade: Média

Comportamento relacionado à mineração de moeda digital detectado

Descrição: A análise dos dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas MITRE: -

Gravidade: Alta

Criação de script do PS dinâmico

Descrição: a análise dos dados do host em %{Host Comprometido} detectou um script do PowerShell sendo construído dinamicamente. Os invasores algumas vezes usam essa abordagem para compilar progressivamente um script para fugir de sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.

Táticas MITRE: -

Gravidade: Média

Executável encontrado em execução em um local suspeito

Descrição: A análise dos dados do host detectou um arquivo executável em %{Host comprometido} que está sendo executado a partir de um local comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Comportamento de ataque sem arquivos detectado

(VM_FilelessAttackBehavior.Windows)

Descrição: A memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:

1. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
2. Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
3. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
4. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa

Gravidade: Baixa

Técnica de ataque de sem arquivos detectada

(VM_FilelessAttackTechnique.Windows)

Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem:

1. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
2. Imagem executável injetada no processo, como em um ataque de injeção de código.
3. Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
4. Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
5. Esvaziamento de processo, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para atuar como um contêiner para código hostil.
6. Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Kit de ferramentas de ataque sem arquivos detectado

(VM_FilelessAttackToolkit.Windows)

Descrição: A memória do processo especificado contém um kit de ferramentas de ataque sem arquivo: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivos usam técnicas que minimizam ou eliminam rastros de malware no disco e reduzem consideravelmente as chances de detecção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:

1. Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
2. Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
3. Executável malicioso injetado na memória do processo.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Média

Software de alto risco detectado

Descrição: A análise dos dados do host de %{Host comprometido} detectou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software mal-intencionado é empacotá-lo em ferramentas benignas, como aquela vista neste alerta. Quando você usa essas ferramentas, o malware poderá ser instalado silenciosamente em segundo plano.

Táticas MITRE: -

Gravidade: Média

Os membros do grupo de administradores locais foram enumerados

Descrição: os logs da máquina indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio do Grupo Enumerado}%{Nome do Grupo Enumerado}. Especificamente, %{Nome de Domínio de Usuário de Enumeração}%{Nome do Usuário da Enumeração} enumerou remotamente os membros do grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. A atividade pode ser uma atividade legítima ou uma indicação de que um computador em sua organização foi comprometido e usado para o reconhecimento de %{nomedavm}.

Táticas MITRE: -

Severidade: Informativo

Regra de firewall mal-intencionado criada pelo implante do servidor ZINC [visto várias vezes]

Descrição: uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra era possivelmente usada para abrir uma porta no %{Host Comprometido} para permitir comunicações de controle e comando. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Alta

Atividade do SQL mal-intencionada

Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome do usuário}. A atividade é considerada mal-intencionada.

Táticas MITRE: -

Gravidade: Alta

Várias contas de domínio consultadas

Descrição: a análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado em um curto período de tempo de %{Host comprometido}. Esse tipo de atividade pode ser legítimo, mas também pode ser uma indicação de comprometimento.

Táticas MITRE: -

Gravidade: Média

Possível despejo de credencial detectado [visto várias vezes]

Descrição: A análise dos dados do host detectou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de uma forma que permite extrair credenciais da memória. Os invasores geralmente usam essas técnicas para extrair as credenciais que usam posteriormente para movimentação lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Possível tentativa de ignorar o AppLocker detectada

Descrição: a análise dos dados do host em %{Host comprometido} detectou uma tentativa potencial de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita quais executáveis podem ser executados em um sistema Windows. O padrão da linha de comando semelhante àquele identificado neste alerta foi associado anteriormente às tentativas de o invasor contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Grupo de serviço do SVCHOST raro executado

(VM_SvcHostRunInRareServiceGroup)

Descrição: O processo do sistema SVCHOST foi observado executando um grupo de serviços raro. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.

Táticas MITRE: Evasão de Defesa, Execução

Severidade: Informativo

Ataque a teclas de aderência detectado

Descrição: a análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas adesivas, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Host comprometido}.

Táticas MITRE: -

Gravidade: Média

Ataque de força bruta bem-sucedido

(VM_LoginBruteForceSuccess)

Descrição: Várias tentativas de entrada de sinal foram detectadas da mesma fonte. Algumas delas se autenticaram com êxito no host. Isso é semelhante a um ataque de intermitência, no qual um invasor realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.

Táticas MITRE: Exploração

Gravidade: Média/Alta

Indicação de nível de integridade suspeito de sequestro de RDP

Descrição: A análise dos dados do host detectou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente em uma rede.

Táticas MITRE: -

Gravidade: Média

Instalação de serviço suspeito

Descrição: A análise dos dados do host detectou a instalação do tscon.exe como um serviço: esse binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado neste host sequestrando conexões RDP, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente em uma rede.

Táticas MITRE: -

Gravidade: Média

Parâmetros de ataque de Golden Ticket do Kerberos suspeitos observados

Descrição: a análise dos dados do host detectou parâmetros de linha de comando consistentes com um ataque Kerberos Golden Ticket.

Táticas MITRE: -

Gravidade: Média

Criação de conta suspeita detectada

Descrição: a análise dos dados do host em %{Host comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeito} : esse nome de conta se assemelha muito a um nome de conta ou grupo padrão do Windows '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.

Táticas MITRE: -

Gravidade: Média

Atividade suspeita detectada

(VM_SuspiciousActivity)

Descrição: A análise de dados do host detectou uma sequência de um ou mais processos em execução em %{nome da máquina} que historicamente foram associados a atividades mal-intencionadas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: Execução

Gravidade: Média

Atividade de autenticação suspeita

(VM_LoginBruteForceValidUserFailed)

Descrição: Embora nenhum deles tenha sido bem-sucedido, algumas delas usaram contas foram reconhecidas pelo host. É semelhante a um ataque de dicionário, em que um invasor realiza várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para acessar o host. Indica que alguns dos nomes de conta de host podem existir em um dicionário de nome de conta conhecido.

Táticas MITRE: Sondagem

Gravidade: Média

Segmento de código suspeito detectado

Descrição: indica que um segmento de código foi alocado usando métodos não padrão, como injeção reflexiva e esvaziamento de processo. O alerta processa mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.

Táticas MITRE: -

Gravidade: Média

Arquivo de extensão dupla suspeito executado

Descrição: A análise dos dados do host indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode enganar os usuários a pensar que os arquivos são seguros para serem abertos e pode indicar a presença de malware no sistema.

Táticas MITRE: -

Gravidade: Alta

Download suspeito usando o Certutil detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Download suspeito usando o Certutil detectado

Descrição: A análise dos dados do host em %{Host comprometido} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.

Táticas MITRE: -

Gravidade: Média

Atividade suspeita do PowerShell detectada

Descrição: a análise dos dados do host detectou um script do PowerShell em execução em %{Host Comprometido} que tem recursos em comum com scripts suspeitos conhecidos. O script pode ser uma atividade legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Gravidade: Alta

Cmdlets suspeitos do PowerShell executados

Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos.

Táticas MITRE: -

Gravidade: Média

Processo suspeito executado [visto várias vezes]

Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Alta

Processo suspeito executado

Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais.

Táticas MITRE: -

Gravidade: Alta

Nome de processo suspeito executado [visto várias vezes]

Descrição: a análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Nome de processo suspeito detectado

Descrição: a análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.

Táticas MITRE: -

Gravidade: Média

Atividade SQL suspeita

Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome do usuário}. Esta atividade não é comum nesta conta.

Táticas MITRE: -

Gravidade: Média

Processo SVCHOST suspeito executado

Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.

Táticas MITRE: -

Gravidade: Alta

Processo suspeito do sistema executado

(VM_SystemProcessInAbnormalContext)

Descrição: O processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa este nome de processo para mascarar suas atividades mal-intencionadas.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Atividade de cópia de sombra de volume suspeita

Descrição: a análise dos dados do host detectou uma atividade de exclusão de cópia de sombra no recurso. Cópia de sombra de volume (VSC) é um artefato importante que armazena instantâneos de dados. Alguns malwares e especificamente ransomware visam o VSC para sabotar estratégias de backup.

Táticas MITRE: -

Gravidade: Alta

Valor de registro suspeito do WindowPosition detectado

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma tentativa de alteração na configuração do Registro WindowPosition que pode ser indicativa de ocultação de janelas de aplicativos em seções não visíveis da área de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: esse tipo de atividade foi associado anteriormente a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware, como Win32/Creprote. Quando o valor de WindowPosition é definido como 201329664, (hexa: 0x0c00 0c00, correspondente ao eixo X = 0c00 e ao eixo Y = 0c00), isso coloca a janela do aplicativo do console em uma seção não visível da tela do usuário em uma área ocultada da exibição abaixo do menu iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.

Táticas MITRE: -

Gravidade: Baixa

Processo nomeado suspeito detectado

Descrição: A análise dos dados do host em %{Host comprometido} detectou um processo cujo nome é muito semelhante, mas diferente de um processo muito comumente executado (%{Similar ao nome do processo}). Embora esse processo possa ser de invasores benignos, às vezes se ocultam claramente nomeando suas ferramentas mal-intencionadas para se parecer com nomes de processo legítimos.

Táticas MITRE: -

Gravidade: Média

Redefinição de configuração incomum na sua máquina virtual

(VM_VMAccessUnusualConfigReset)

Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Execução de processo incomum detectada

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo por %{Nome de Usuário} que era incomum. Contas como %{Nome de Usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora de caráter e pode ser suspeita.

Táticas MITRE: -

Gravidade: Alta

Redefinição de senha de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Redefinição de chave SSH de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualSSHReset)

Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Alocação de objeto VBScript HTTP detectada

Descrição: A criação de um arquivo VBScript usando o prompt de comando foi detectada. O script a seguir contém o comando de alocação de objeto HTTP. A ação pode ser usada para baixar arquivos mal-intencionados.

Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.

Táticas MITRE: Impacto

Gravidade: Baixa

Alertas para computadores Linux

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Linux são:

Mais detalhes e observações

Um arquivo de histórico foi limpo

Descrição: a análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pelo usuário: "%{nome do usuário}".

Táticas MITRE: -

Gravidade: Média

A violação da política de controle de aplicativo adaptável foi auditada

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos de sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.

Táticas MITRE: Execução

Severidade: Informativo

Exclusão ampla de arquivos antimalware na sua máquina virtual

(VM_AmBroadFilesExclusion)

Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Média

Desabilitação de antimalware e execução de código na sua máquina virtual

(VM_AmDisablementAndCodeExecution)

Descrição: Antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Alta

Desabilitação de antimalware na sua máquina virtual

(VM_AmDisablement)

Descrição: Antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descrição: Arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmTempFileExclusionAndCodeExecution)

Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware na sua máquina virtual

(VM_AmTempFileExclusion)

Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descrição: a desativação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descrição: a desativação temporária da extensão antimalware da proteção em tempo real foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrição: a desativação temporária da extensão antimalware da proteção em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: -

Gravidade: Alta

Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)

(VM_AmMalwareCampaignRelatedExclusion)

Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Desabilitação temporária de antimalware na sua máquina virtual

(VM_AmTemporarilyDisablement)

Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: -

Gravidade: Média

Exclusão de arquivo antimalware incomum na sua máquina virtual

(VM_UnusualAmFileExclusion)

Descrição: a exclusão de arquivo incomum da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Comportamento semelhante ao ransomware detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de arquivos que têm semelhança com ransomware conhecido que pode impedir os usuários de acessar seu sistema ou arquivos pessoais, e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Alta

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Contêiner com uma imagem de mineração detectada

(VM_MinerInContainerImage)

Descrição: os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.

Táticas MITRE: Execução

Gravidade: Alta

Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.

Táticas MITRE: -

Gravidade: Média

Download de arquivo de uma fonte mal-intencionada conhecida detectado

Descrição: A análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Host comprometido}.

Táticas MITRE: -

Gravidade: Média

Atividade de rede suspeita detectada

Descrição: A análise do tráfego de rede de %{Host comprometido} detectou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.

Táticas MITRE: -

Gravidade: Baixa

Comportamento relacionado à mineração de moeda digital detectado

Descrição: A análise dos dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas MITRE: -

Gravidade: Alta

Desabilitação do log de auditoria [visto várias vezes]

Descrição: O sistema Linux Audit fornece uma maneira de rastrear informações relevantes de segurança no sistema. Registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Desabilitar o log de auditoria pode dificultar a descoberta de violações de políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Baixa

Exploração da vulnerabilidade do Xorg [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou o usuário do Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Ataque de força bruta de SSH com falha

(VM_SshBruteForceFailed)

Descrição: Ataques de força bruta com falha foram detectados dos seguintes invasores: %{Atacantes}. Os invasores tentaram acessar o host com os seguintes nomes de usuário: %{Accounts used on failed sign in to host attempts}.

Táticas MITRE: Sondagem

Gravidade: Média

Comportamento de Ataque sem Arquivos Detectado

(VM_FilelessAttackBehavior.Linux)

Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas MITRE: Execução

Gravidade: Baixa

Técnica de Ataque sem Arquivos Detectada

(VM_FilelessAttackTechnique.Linux)

Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas MITRE: Execução

Gravidade: Alta

Kit de Ferramentas de Ataque sem Arquivos Detectado

(VM_FilelessAttackToolkit.Linux)

Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Execução de arquivo oculto detectada

Descrição: A análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. A atividade pode ser legítima ou uma indicação de um host comprometido.

Táticas MITRE: -

Severidade: Informativo

Nova chave SSH adicionada [visto várias vezes]

(VM_SshKeyAddition)

Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: Persistência

Gravidade: Baixa

Nova chave SSH adicionada

Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.

Táticas MITRE: -

Gravidade: Baixa

Possível backdoor detectado [visto várias vezes]

Descrição: a análise dos dados do host detectou um arquivo suspeito sendo baixado e executado em %{Host comprometido} em sua assinatura. A atividade foi associada anteriormente à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Possível exploração do servidor de email detectada

(VM_MailserverExploitation )

Descrição: A análise dos dados do host em %{Host comprometido} detectou uma execução incomum na conta do servidor de email

Táticas MITRE: Exploração

Gravidade: Média

Possível web shell mal-intencionado detectado

Descrição: A análise dos dados do host em %{Host comprometido} detectou um possível shell da Web. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração.

Táticas MITRE: -

Gravidade: Média

Possível alteração de senha usando o método de criptografia detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Processo associado à mineração de moeda digital detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto 100 vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Processo associado à mineração de moeda digital detectado

Descrição: A análise de dados do host detectou a execução de um processo que normalmente está associado à mineração de moeda digital.

Táticas MITRE: Exploração, Execução

Gravidade: Média

Ferramenta de download codificada do Python detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser um indício de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Baixa

Captura de tela obtida no host [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Baixa

Shellcode detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou shellcode sendo gerado a partir da linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Ataque de força bruta SSH bem-sucedido

(VM_SshBruteForceSuccess)

Descrição: A análise dos dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Alguns logons foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrada bem-sucedida no host}. Isso significa que o host pode ser comprometido e controlado por um ator mal-intencionado.

Táticas MITRE: Exploração

Gravidade: Alta

Criação de conta suspeita detectada

Descrição: a análise dos dados do host em %{Host comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeito} : esse nome de conta se assemelha muito a um nome de conta ou grupo padrão do Windows '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.

Táticas MITRE: -

Gravidade: Média

Módulo kernel suspeito detectado [visto várias vezes]

Descrição: A análise dos dados do host em %{Host comprometido} detectou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Gravidade: Média

Acesso suspeito à senha [visto várias vezes]

Descrição: A análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas MITRE: -

Severidade: Informativo

Acesso suspeito à senha

Descrição: A análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}.

Táticas MITRE: -

Severidade: Informativo

Solicitação suspeita para o Painel do Kubernetes

(VM_KubernetesDashboard)

Descrição: os logs da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido.

Táticas MITRE: LateralMovement

Gravidade: Média

Redefinição de configuração incomum na sua máquina virtual

(VM_VMAccessUnusualConfigReset)

Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Redefinição de senha de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Redefinição de chave SSH de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualSSHReset)

Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.

Táticas MITRE: Impacto

Gravidade: Baixa

Alertas do DNS

Importante

A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender for DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender for Servers P2.

Mais detalhes e observações

Uso de protocolo de rede anormal

(AzureDNS_ProtocolAnomaly)

Descrição: A análise de transações DNS de %{CompromisedEntity} detectou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.

Táticas MITRE: Exfiltração

Gravidade: -

Atividade de rede de anonimato

(AzureDNS_DarkWeb)

Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Atividade de rede de anonimato usando o proxy Web

(AzureDNS_DarkWebProxy)

Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de rede anônima. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Tentativa de comunicação com um domínio de sinkhole suspeito

(AzureDNS_SinkholedDomain)

Descrição: Análise de transações DNS de %{CompromisedEntity} detectou solicitação para domínio sinkholed. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Média

Comunicação com um possível domínio de phishing

(AzureDNS_PhishingDomain)

Descrição: a análise de transações DNS de %{CompromisedEntity} detectou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para coletar credenciais de serviços remotos. A atividade típica relacionada ao invasor provavelmente incluirá a exploração das credenciais no serviço legítimo.

Táticas MITRE: Exfiltração

Severidade: Informativo

Comunicação com um domínio suspeito gerado de maneira algorítmica

(AzureDNS_DomainGenerationAlgorithm)

Descrição: A análise de transações DNS de %{CompromisedEntity} detectou o possível uso de um algoritmo de geração de domínio. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Severidade: Informativo

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Comunicação com um nome de domínio aleatório suspeito

(AzureDNS_RandomizedDomain)

Descrição: a análise de transações DNS de %{CompromisedEntity} detectou o uso de um nome de domínio suspeito gerado aleatoriamente. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Severidade: Informativo

Atividade de mineração de moeda digital

(AzureDNS_CurrencyMining)

Descrição: A análise de transações DNS de %{CompromisedEntity} detectou atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Ativação de assinatura de detecção de intrusão de rede

(AzureDNS_SuspiciousDomain)

Descrição: a análise de transações DNS de %{CompromisedEntity} detectou uma assinatura de rede maliciosa conhecida. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Média

Possível download de dados por meio de túnel DNS

(AzureDNS_DataInfiltration)

Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Possível infiltração de dados por meio de túnel DNS

(AzureDNS_DataExfiltration)

Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Possível transferência de dados por meio de túnel DNS

(AzureDNS_DataObfuscation)

Descrição: A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Alertas para extensões de VM do Azure

Esses alertas se concentram na detecção de atividades suspeitas de extensões de máquina virtual do Azure e fornecem insights sobre as tentativas de invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.

As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:

• Coleta e monitoramento de dados

• Execução de código e implantação de configuração com privilégios elevados

• Redefinição de credenciais e criação de usuários administrativos

• Criptografia de discos

Saiba mais sobre as proteções mais recentes do Defender for Cloud contra o abuso de extensões de VM do Azure.

Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia)

(VM_GPUExtensionSuspiciousFailure)

Descrição: Intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia.

Táticas MITRE: Impacto

Gravidade: Média

Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais.

Táticas MITRE: Impacto

Gravidade: Baixa

Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia)

(VM_RunCommandSuspiciousScript)

Descrição: um Comando Executar com um script suspeito foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.

Táticas MITRE: Execução

Gravidade: Alta

Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)

(VM_RunCommandSuspiciousFailure)

Descrição: o uso não autorizado suspeito do Run Command falhou e foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.

Táticas MITRE: Execução

Gravidade: Média

Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)

(VM_RunCommandSuspiciousUsage)

Descrição: o uso suspeito do Run Command foi detectado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.

Táticas MITRE: Execução

Gravidade: Baixa

O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia)

(VM_SuspiciousMultiExtensionUsage)

Descrição: o uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente.

Táticas MITRE: Reconhecimento

Gravidade: Média

A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia)

(VM_DiskEncryptionSuspiciousUsage)

Descrição: a instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completas em suas máquinas virtuais por meio do Azure Resource Manager em uma tentativa de executar atividades de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões.

Táticas MITRE: Impacto

Gravidade: Média

Um uso suspeito da extensão VMAccess foi detectado em suas máquinas virtuais (versão prévia)

(VM_VMAccessSuspiciousUsage)

Descrição: O uso suspeito da extensão VMAccess foi detectado em suas máquinas virtuais. Os invasores podem abusar da extensão VMAccess para obter acesso e comprometer suas máquinas virtuais com altos privilégios, redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.

Táticas MITRE: Persistência

Gravidade: Média

A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual (versão prévia)

(VM_DSCExtensionSuspiciousScript)

Descrição: a extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.

Táticas MITRE: Execução

Gravidade: Alta

O uso suspeito de uma extensão de DSC (Desired State Configuration) foi detectado em suas máquinas virtuais (versão prévia)

(VM_DSCExtensionSuspiciousUsage)

Descrição: o uso suspeito de uma extensão DSC (Configuração de Estado Desejado) foi detectado em suas máquinas virtuais analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.

Táticas MITRE: Execução

Gravidade: Baixa

Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia)

(VM_CustomScriptExtensionSuspiciousCmd)

Descrição: a extensão de script personalizada com um script suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.

Táticas MITRE: Execução

Gravidade: Alta

Falha na execução suspeita da extensão de script personalizado na sua máquina virtual

(VM_CustomScriptExtensionSuspiciousFailure)

Descrição: uma falha suspeita de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Tais falhas podem estar associadas a scripts mal-intencionados executados por essa extensão.

Táticas MITRE: Execução

Gravidade: Média

Exclusão incomum da extensão de script personalizado na sua máquina virtual

(VM_CustomScriptExtensionUnusualDeletion)

Descrição: a exclusão incomum de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Execução incomum da extensão de script personalizado na sua máquina virtual

(VM_CustomScriptExtensionUnusualExecution)

Descrição: a execução incomum de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Extensão de script personalizado com um ponto de entrada suspeito na sua máquina virtual

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Descrição: a extensão de script personalizada com um ponto de entrada suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. O ponto de entrada refere-se a um repositório GitHub suspeito. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Extensão de script personalizado com um conteúdo suspeito na sua máquina virtual

(VM_CustomScriptExtensionSuspiciousPayload)

Descrição: a extensão de script personalizada com uma carga de um repositório GitHub suspeito foi detectada em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Alertas do Serviço de Aplicativo do Azure

Mais detalhes e observações

Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows

(AppServices_LinuxCommandOnWindows)

Descrição: a análise de processos do Serviço de Aplicativo detectou uma tentativa de executar um comando do Linux em um Serviço de Aplicativo do Windows. A ação estava sendo executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: -

Gravidade: Média

Um IP que se conectou à interface FTP do Serviço de Aplicativo do Azure foi encontrado na ferramenta Inteligência Contra Ameaças

(AppServices_IncomingTiClientIpFtp)

Descrição: o log FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem encontrado no feed de inteligência de ameaças. Durante a conexão, um usuário acessou as páginas listadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Acesso Inicial

Gravidade: Média

Tentativa de executar o comando de alto privilégio detectado

(AppServices_HighPrivilegeCommand)

Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando que requer privilégios altos. O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos Web esse comportamento também é observado em atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: -

Gravidade: Média

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com domínio suspeito foi detectada analisando transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Conexão com a página da Web de endereço IP anormal detectada

(AppServices_AnomalousPageAccess)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial do endereço IP de origem listado. Pode indicar que alguém está tentando um ataque de força bruta em suas páginas de administração do aplicativo Web. Também pode ser resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança o alerta para esse recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Registro DNS pendente para um recurso do Serviço de Aplicativo detectado

(AppServices_DanglingDomain)

Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendurado"). Isso deixa você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: -

Gravidade: Alta

Executável codificado detectado em dados da linha de comando

(AppServices_Base64EncodedExecutableInCommandLineParams)

Descrição: A análise dos dados do host em {Host comprometido} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Download de arquivo de uma fonte mal-intencionada conhecida detectado

(AppServices_SuspectDownload)

Descrição: A análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em seu host. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Escalonamento de privilégios, Execução, Exfiltração, Comando e Controle

Gravidade: Média

Download de arquivo suspeito detectado

(AppServices_SuspectDownloadArtifacts)

Descrição: A análise dos dados do host detectou o download suspeito do arquivo remoto. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Persistência

Gravidade: Média

Comportamento relacionado à mineração de moeda digital detectado

(AppServices_DigitalCurrencyMining)

Descrição: A análise dos dados do host no Inn-Flow-WebJobs detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Alta

Executável decodificado usando certutil

(AppServices_ExecutableDecodedUsingCertutil)

Descrição: a análise dos dados do host em [Entidade comprometida] detectou que certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Comportamento de Ataque sem Arquivos Detectado

(AppServices_FilelessAttackBehaviorDetection)

Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Média

Técnica de Ataque sem Arquivos Detectada

(AppServices_FilelessAttackTechniqueDetection)

Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Alta

Kit de Ferramentas de Ataque sem Arquivos Detectado

(AppServices_FilelessAttackToolkitDetection)

Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Alerta de teste do Microsoft Defender para Nuvem para o Serviço de Aplicativo (não é uma ameaça)

(AppServices_EICAR)

Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Nenhuma outra ação é necessária. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: -

Gravidade: Alta

Verificação de NMap detectada

(AppServices_Nmap)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada ao NMAP. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: PreAttack

Severidade: Informativo

Conteúdo de phishing hospedado no Azure WebApps

(AppServices_PhishingContent)

Descrição: URL usada para ataque de phishing encontrada no site do Azure AppServices. Essa URL fazia parte de um ataque de phishing enviado para clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes para inserir as credenciais corporativas ou informações financeiras em um site de aparência legítima. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Coleção

Gravidade: Alta

Arquivo PHP na pasta de carregamento

(AppServices_PhpInUploadFolder)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página PHP suspeita localizada na pasta de carregamento. Esse tipo de pasta geralmente não contém arquivos PHP. A existência desse tipo de arquivo pode indicar uma exploração aproveitando vulnerabilidades de carregamento de arquivo arbitrárias. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Média

Possível download de Cryptocoinminer detectado

(AppServices_CryptoCoinMinerDownload)

Descrição: A análise dos dados do host detectou o download de um arquivo normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração

Gravidade: Média

Possível exfiltração dos dados detectada

(AppServices_DataEgressArtifacts)

Descrição: A análise dos dados do host/dispositivo detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Coleta, Exfiltração

Gravidade: Média

Potencial registro DNS pendente para um recurso do Serviço de Aplicativo detectado

(AppServices_PotentialDanglingDomain)

Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendurado"). Isso pode deixar você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. Nesse caso, foi encontrado um registro de texto com a ID de verificação de domínio. Esses registros de texto impedem a invasão do domínio, mas ainda recomendamos remover o domínio pendente. Se deixar o registro de DNS apontando para o subdomínio, você estará correndo um risco se alguém na sua organização excluir o arquivo ou registro TXT no futuro. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: -

Gravidade: Baixa

Possível shell reverso detectado

(AppServices_ReverseShell)

Descrição: A análise dos dados do host detectou um potencial shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Exfiltração, Exploração

Gravidade: Média

Download de dados brutos detectado

(AppServices_DownloadCodeFromWebsite)

Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de baixar código de sites de dados brutos, como o Pastebin. A ação foi executada por um processo PHP. O comportamento é associado a tentativas de download de web shells ou outros componentes mal-intencionados para o Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Execução

Gravidade: Média

Salvamento de saída de ondulação para disco detectado

(AppServices_CurlToDisk)

Descrição: a análise dos processos do Serviço de Aplicativo detectou a execução de um comando curl no qual a saída foi salva no disco. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também é observado em atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: -

Gravidade: Baixa

Referenciador de pasta de spam detectado

(AppServices_SpamReferrer)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica a atividade da Web que foi identificada como originária de um site associado à atividade de spam. Isso poderá ocorrer se o seu site for comprometido e usado para atividades de spam. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: -

Gravidade: Baixa

Acesso suspeito detectado a uma página da Web possivelmente vulnerável

(AppServices_ScanSensitivePage)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Essa atividade suspeita é originada de um endereço IP cujo padrão de acesso é semelhante ao de uma verificação da Web. Essa atividade geralmente está associada a uma tentativa de um invasor verificar sua rede para tentar obter acesso a páginas da Web sigilosas ou vulneráveis. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: -

Gravidade: Baixa

Referência de nome de domínio suspeito

(AppServices_CommandlineSuspectDomain)

Descrição: A análise dos dados do host detectou referência a nome de domínio suspeito. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota. (Aplica-se a: Serviço de Aplicativo no Linux)

Táticas MITRE: Exfiltração

Gravidade: Baixa

Download suspeito usando o Certutil detectado

(AppServices_DownloadUsingCertutil)

Descrição: A análise dos dados do host em {NAME} detectou o uso do certutil.exe, um utilitário de administrador interno, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Execução

Gravidade: Média

Execução de PHP suspeito detectada

(AppServices_SuspectPhp)

Descrição: Logs de máquina indicam que um processo PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP na linha de comando usando o processo PHP. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também pode indicar atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Média

Cmdlets suspeitos do PowerShell executados

(AppServices_PowerShellPowerSploitScriptExecution)

Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Execução

Gravidade: Média

Processo suspeito executado

(AppServices_KnownCredential AccessTools)

Descrição: os logs da máquina indicam que o processo suspeito: '%{caminho do processo}' estava em execução na máquina, geralmente associado a tentativas do invasor de acessar credenciais. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Acesso a Credenciais

Gravidade: Alta

Nome de processo suspeito detectado

(AppServices_ProcessWithKnownSuspiciousExtension)

Descrição: a análise dos dados do host em {NAME} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Persistência, Evasão de Defesa

Gravidade: Média

Processo SVCHOST suspeito executado

(AppServices_SVCHostFromInvalidPath)

Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar sua atividade maliciosa. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Agente de usuário suspeito detectado

(AppServices_UserAgentInjection)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica solicitações com agente de usuário suspeito. Esse comportamento pode indicar tentativas de exploração de uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Acesso Inicial

Severidade: Informativo

Invocação de tema do WordPress suspeita detectada

(AppServices_WpThemeInjection)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à manipulação de tema do WordPress para dar suporte à execução de código no lado do servidor, seguida por uma solicitação direta da Web para invocar o arquivo de tema manipulado. Esse tipo de atividade foi visto no passado como parte de uma campanha de ataque no WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Execução

Gravidade: Alta

Verificação de vulnerabilidades detectada

(AppServices_DrupalScanner)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada assemelha-se à de ferramentas direcionadas a um CMS (sistema de gerenciamento de conteúdo). Se não estiver hospedando um site do Drupal, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows)

Táticas MITRE: PreAttack

Gravidade: Baixa

Verificação de vulnerabilidades detectada

(AppServices_JoomlaScanner)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos Joomla. Se não estiver hospedando um site do Joomla, o recurso do Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: PreAttack

Gravidade: Baixa

Verificação de vulnerabilidades detectada

(AppServices_WpScanner)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível mecanismo de varredura de vulnerabilidade foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: PreAttack

Gravidade: Baixa

Impressão digital da web detectada

(AppServices_WebFingerprinting)

Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada a uma ferramenta chamada Blind Elephant. A ferramenta deixa as impressões digitais em servidores Web e tenta detectar os aplicativos instalados e as versões deles. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: PreAttack

Gravidade: Média

O site é marcado como mal-intencionado no feed de inteligência contra ameaças

(AppServices_SmartScreen)

Descrição: Seu site, conforme descrito abaixo, é marcado como um site mal-intencionado pelo Windows SmartScreen. Se você considerar que este é um falso positivo, entre em contato com o Windows SmartScreen por meio do link de comentários do relatório fornecido. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)

Táticas MITRE: Coleção

Gravidade: Média

Alertas para contêineres – clusters do Kubernetes

O Microsoft Defender para Contêineres fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêineres. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo de K8S_ do tipo de alerta. Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Todos os alertas têm suporte apenas no Linux, a menos que indicado de outra forma.

Mais detalhes e observações

Serviço Postgres exposto com configuração de autenticação de confiança no Kubernetes detectada (versão prévia)

(K8S_ExposedPostgresTrustAuth)

Descrição: A análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga. O serviço está configurado com o método de autenticação de confiança, que não requer credenciais.

Táticas MITRE: InitialAccess

Gravidade: Média

Serviço Postgres exposto com configuração arriscada no Kubernetes detectada (versão prévia)

(K8S_ExposedPostgresBroadIPRange)

Descrição: A análise de configuração de cluster do Kubernetes detectou a exposição de um serviço Postgres por um balanceador de carga com uma configuração arriscada. A exposição do serviço a uma ampla variedade de endereços IP representa um risco à segurança.

Táticas MITRE: InitialAccess

Gravidade: Média

Tentativa de criar um novo namespace do Linux em um contêiner detectado

(K8S.NODE_NamespaceCreation) ¹

Descrição: A análise de processos em execução dentro de um contêiner no cluster Kubernetes detectou uma tentativa de criar um novo namespace Linux. Embora esse comportamento possa ser legítimo, pode indicar que um invasor está tentando escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica.

Táticas MITRE: PrivilegeEscalation

Severidade: Informativo

Um arquivo de histórico foi limpo

(K8S.NODE_HistoryFileCleared) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada.

Táticas MITRE: DefenseEvasion

Gravidade: Média

Atividade anormal da identidade gerenciada associada ao Kubernetes (versão prévia)

(K8S_AbnormalMiActivity)

Descrição: a análise das operações do Azure Resource Manager detectou um comportamento anormal de uma identidade gerenciada usada por um addon AKS. A atividade detectada não é consistente com o comportamento do complemento associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes.

Táticas MITRE: Movimento Lateral

Gravidade: Média

Operação anormal detectada da conta de serviço do Kubernetes

(K8S_ServiceAccountRareOperation)

Descrição: a análise do log de auditoria do Kubernetes detectou um comportamento anormal por uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação, o que não é comum para esta conta de serviço. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados.

Táticas MITRE: Movimentação Lateral, Acesso a Credenciais

Gravidade: Média

Uma tentativa de conexão incomum foi detectada

(K8S.NODE_SuspectConnection) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar detecções de camada de rede.

Táticas MITRE: Execução, Exfiltração, Exploração

Gravidade: Média

Tentativa de interromper o serviço apt-daily-upgrade.timer detectada

(K8S.NODE_TimerServiceDisabled) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de parar o serviço apt-daily-upgrade.timer. Observamos que os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para os ataques. Essa atividade também poderá ocorrer se o serviço for atualizado por meio de ações administrativas normais.

Táticas MITRE: DefenseEvasion

Severidade: Informativo

Comportamento semelhante a bots Linux comuns detectado (Versão prévia)

(K8S.NODE_CommonBot)

Descrição: Análise de processos em execução dentro de um container ou diretamente em um nó Kubernetes, detectou a execução de um processo normalmente associado a botnets Linux comuns.

Táticas MITRE: Execução, Coleta, Comando e Controle

Gravidade: Média

Comando em um contêiner em execução com privilégios altos

(K8S.NODE_PrivilegedExecutionInContainer) ¹

Descrição: os logs do computador indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos no computador host.

Táticas MITRE: PrivilegeEscalation

Severidade: Informativo

Contêiner em execução no modo privilegiado

(K8S.NODE_PrivilegedContainerArtifacts) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou ao recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod ou host de hospedagem.

Táticas MITRE: PrivilegeEscalation, Execução

Severidade: Informativo

Contêiner com uma montagem de volume confidencial detectada

(K8S_SensitiveMount)

Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner com uma montagem de volume confidencial. O volume detectado é um tipo de hostPath que monta um arquivo ou uma pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó.

Táticas MITRE: Escalonamento de privilégios

Severidade: Informativo

Modificação de CoreDNS no Kubernetes detectada

(K8S_CoreDnsModification) ²³

Descrição: a análise do log de auditoria do Kubernetes detectou uma modificação da configuração CoreDNS. A configuração do CoreDNS pode ser modificada substituindo o configmap. Embora essa atividade possa ser legítima, se tiverem permissões para modificar o configmap os invasores poderão alterar o comportamento do servidor de DNS do cluster e envenená-lo.

Táticas MITRE: Movimento Lateral

Gravidade: Baixa

Criação da configuração do webhook de admissão detectada

(K8S_AdmissionController) ³

Descrição: A análise do log de auditoria do Kubernetes detectou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos internos: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook).

Táticas MITRE: Acesso a Credenciais, Persistência

Severidade: Informativo

Download de arquivo de uma fonte mal-intencionada conhecida detectado

(K8S.NODE_SuspectDownload) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um download de um arquivo de uma fonte frequentemente usada para distribuir malware.

Táticas MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Gravidade: Média

Download de arquivo suspeito detectado

(K8S.NODE_SuspectDownloadArtifacts) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um download suspeito de um arquivo remoto.

Táticas MITRE: Persistência

Severidade: Informativo

Uso suspeito do comando nohup detectado

(K8S.NODE_SuspectNohup) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um uso suspeito do comando nohup. Os invasores foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. Não é normal ver esse comando executado em arquivos ocultos localizados em um diretório temporário.

Táticas MITRE: Persistência, DefesaEvasão

Gravidade: Média

Uso suspeito do comando useradd detectado

(K8S.NODE_SuspectUserAddition) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um uso suspeito do comando useradd.

Táticas MITRE: Persistência

Gravidade: Média

Contêiner de mineração de moeda digital detectado

(K8S_MaliciousContainerImage) ³

Descrição: a análise de log de auditoria do Kubernetes detectou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moeda digital.

Táticas MITRE: Execução

Gravidade: Alta

Comportamento relacionado à mineração de moeda digital detectado

(K8S.NODE_DigitalCurrencyMining) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas MITRE: Execução

Gravidade: Alta

Operação de build do Docker detectada em um nó do Kubernetes

(K8S.NODE_ImageBuildOnNode) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma operação de compilação de uma imagem de contêiner em um nó Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção.

Táticas MITRE: DefenseEvasion

Severidade: Informativo

Painel do Kubeflow exposto detectado

(K8S_ExposedKubeflow)

Descrição: A análise do log de auditoria do Kubernetes detectou a exposição do Istio Ingress por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel for exposto à Internet, os invasores poderão acessá-lo e executarem contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://aka.ms/exposedkubeflow-blog

Táticas MITRE: Acesso Inicial

Gravidade: Média

Painel de Kubernetes exposto detectado

(K8S_ExposedDashboard)

Descrição: a análise do log de auditoria do Kubernetes detectou a exposição do Painel do Kubernetes por um serviço LoadBalancer. Os painéis expostos permitem acesso não autenticado ao gerenciamento de cluster e representam uma ameaça à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Serviço de Kubernetes exposto detectado

(K8S_ExposedService)

Descrição: A análise do log de auditoria do Kubernetes detectou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de contêineres. Em alguns casos, esse serviço não exige autenticação. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Serviço Redis exposto no AKS detectado

(K8S_ExposedRedis)

Descrição: A análise do log de auditoria do Kubernetes detectou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança.

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Indicadores associados ao kit de ferramentas DDOS detectados

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir controle total sobre o sistema infectado. Também pode ser uma atividade legítima.

Táticas MITRE: Persistência, LateralMovimento, Execução, Exploração

Gravidade: Média

Solicitações de API do K8S do endereço IP de proxy detectadas

(K8S_TI_Proxy) ³

Descrição: a análise de log de auditoria do Kubernetes detectou solicitações de API para seu cluster a partir de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os invasores tentam ocultar o IP de origem.

Táticas MITRE: Execução

Gravidade: Baixa

Eventos do Kubernetes excluídos

(K8S_DeleteEvents) ²³

Descrição: O Defender for Cloud detectou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar as operações no cluster.

Táticas MITRE: Evasão de Defesa

Gravidade: Baixa

Ferramenta de teste de penetração do Kubernetes detectada

(K8S_PenTestToolsKubeHunter)

Descrição: A análise do log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

Táticas MITRE: Execução

Gravidade: Baixa

Alerta de teste do Microsoft Defender para Nuvem (não uma ameaça).

(K8S.NODE_EICAR) ¹

Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Nenhuma outra ação é necessária.

Táticas MITRE: Execução

Gravidade: Alta

Novo contêiner no namespace kube-system detectado

(K8S_KubeSystemContainer) ³

Descrição: a análise de log de auditoria do Kubernetes detectou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar o namespace para ocultar componentes mal-intencionados.

Táticas MITRE: Persistência

Severidade: Informativo

Nova função de privilégios altos detectada

(K8S_HighPrivilegesRole) ³

Descrição: a análise do log de auditoria do Kubernetes detectou uma nova função com altos privilégios. Uma associação a uma função com privilégios elevados concede ao usuário/grupo privilégios elevados no cluster. Privilégios desnecessários podem causar a elevação de privilégio no cluster.

Táticas MITRE: Persistência

Severidade: Informativo

Possível ferramenta de ataque detectada

(K8S.NODE_KnownLinuxAttackTool) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma chamada de ferramenta suspeita. A ferramenta costuma estar associada a usuários mal-intencionados que atacam outros.

Táticas MITRE: Execução, Coleta, Comando e Controle, Sondagem

Gravidade: Média

Possível backdoor detectado

(K8S.NODE_LinuxBackdoorArtifact) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um arquivo suspeito sendo baixado e executado. A atividade foi associada anteriormente à instalação de um backdoor.

Táticas MITRE: Persistência, DefesaEvasão, Execução, Exploração

Gravidade: Média

Possível tentativa de exploração de linha de comando

(K8S.NODE_ExploitAttempt) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma possível tentativa de exploração contra uma vulnerabilidade conhecida.

Táticas MITRE: Exploração

Gravidade: Média

Possível ferramenta de acesso à credencial detectada

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detectou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico da linha de comando. Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais.

Táticas MITRE: CredentialAccess

Gravidade: Média

Possível download de Cryptocoinminer detectado

(K8S.NODE_CryptoCoinMinerDownload) ¹

Descrição: Análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou download de um arquivo normalmente associado à mineração de moeda digital.

Táticas MITRE: DefesaEvasão, Comando e Controle, Exploração

Gravidade: Média

Possível atividade de adulteração de log detectada

(K8S.NODE_SystemLogRemoval) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma possível remoção de arquivos que rastreia a atividade do usuário durante o curso de sua operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log.

Táticas MITRE: DefenseEvasion

Gravidade: Média

Possível alteração de senha usando o método de criptografia detectado

(K8S.NODE_SuspectPasswordChange) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento.

Táticas MITRE: CredentialAccess

Gravidade: Média

Possível encaminhamento de porta para endereço IP externo

(K8S.NODE_SuspectPortForwarding) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um início de encaminhamento de porta para um endereço IP externo.

Táticas MITRE: Exfiltração, Comando e Controle

Gravidade: Média

Possível shell reverso detectado

(K8S.NODE_ReverseShell) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um potencial shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui.

Táticas MITRE: Exfiltração, Exploração

Gravidade: Média

Contêiner privilegiado detectado

(K8S_PrivilegedContainer)

Descrição: a análise do log de auditoria do Kubernetes detectou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e interrompe o isolamento entre contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó.

Táticas MITRE: Escalonamento de privilégios

Severidade: Informativo

Processo associado à mineração de moeda digital detectado

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

Descrição: A análise de processos em execução dentro de um container detectou a execução de um processo normalmente associado à mineração de moeda digital.

Táticas MITRE: Execução, Exploração

Gravidade: Média

Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum

(K8S.NODE_SshKeyAccess) ¹

Descrição: Um arquivo de authorized_keys SSH foi acessado em um método semelhante a campanhas de malware conhecidas. O acesso poderia indicar que um ator está tentando obter acesso persistente a um computador.

Táticas MITRE: Desconhecido

Severidade: Informativo

Associação da função à função de administrador do cluster detectada

(K8S_ClusterAdminBinding)

Descrição: a análise do log de auditoria do Kubernetes detectou uma nova associação à função de administrador de cluster que concede privilégios de administrador. Privilégios de administrador desnecessários podem causar a elevação de privilégio no cluster.

Táticas MITRE: Persistência

Severidade: Informativo

Encerramento do processo relacionado à segurança detectado

(K8S.NODE_SuspectProcessTermination) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos após o comprometimento.

Táticas MITRE: Persistência

Gravidade: Baixa

O servidor SSH está em execução dentro de um contêiner

(K8S.NODE_ContainerSSH) ¹

Descrição: A análise dos processos em execução dentro de um contêiner detectou um servidor SSH em execução dentro do contêiner.

Táticas MITRE: Execução

Severidade: Informativo

Modificação de carimbo de data/hora de arquivo suspeita

(K8S.NODE_TimestampTampering) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma modificação suspeita de carimbo de data/hora. Os invasores geralmente copiarão os carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a detecção dos arquivos recentemente descartados.

Táticas MITRE: Persistência, DefesaEvasão

Gravidade: Baixa

Solicitação suspeita para API do Kubernetes

(K8S.NODE_KubernetesAPI) ¹

Descrição: A análise dos processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita para a API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.

Táticas MITRE: LateralMovement

Gravidade: Média

Solicitação suspeita para o Painel do Kubernetes

(K8S.NODE_KubernetesDashboard) ¹

Descrição: a análise de processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster.

Táticas MITRE: LateralMovement

Gravidade: Média

Possível mineração de criptomoeda iniciada

(K8S.NODE_CryptoCoinMinerExecution) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um processo sendo iniciado de uma forma normalmente associada à mineração de moeda digital.

Táticas MITRE: Execução

Gravidade: Média

Acesso suspeito à senha

(K8S.NODE_SuspectPasswordFileAccess) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou tentativa suspeita de acessar senhas de usuário criptografadas.

Táticas MITRE: Persistência

Severidade: Informativo

Possível web shell mal-intencionado detectado.

(K8S.NODE_Webshell) ¹

Descrição: A análise dos processos em execução dentro de um contêiner detectou um possível shell da web. Os invasores geralmente carregam um web shell em um recurso de computador comprometido para obter persistência ou maior exploração.

Táticas MITRE: Persistência, Exploração

Gravidade: Média

A intermitência de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

Descrição: A análise de dados do host/dispositivo detectou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou do host realizados por invasores após o comprometimento inicial.

Táticas MITRE: Discovery, Collection

Gravidade: Baixa

Download Suspeito e Execução de Atividade

(K8S.NODE_DownloadAndRunCombo) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou um arquivo sendo baixado e executado no mesmo comando. Embora isso nem sempre seja mal-intencionado, essa é uma técnica muito comum usada pelos invasores para colocar arquivos mal-intencionados nos computadores da vítima.

Táticas MITRE: Execução, CommandAndControl, Exploração

Gravidade: Média

Acesso ao arquivo kubeconfig do kubelet detectado

(K8S.NODE_KubeConfigAccess) ¹

Descrição: A análise de processos em execução em um nó de cluster Kubernetes detectou acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo do Kubelet, contém as credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo geralmente está associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que analisam se o arquivo está acessível.

Táticas MITRE: CredentialAccess

Gravidade: Média

Acesso ao serviço de metadados de nuvem detectado

(K8S.NODE_ImdsCall) ¹

Descrição: a análise dos processos em execução dentro de um contêiner detectou o acesso ao serviço de metadados em nuvem para aquisição de token de identidade. Normalmente, o contêiner não executa essa operação. Embora esse comportamento possa ser legítimo, invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução.

Táticas MITRE: CredentialAccess

Gravidade: Média

Agente MITRE Caldera detectado

(K8S.NODE_MitreCalderaTools) ¹

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou um processo suspeito. Isso é frequentemente associado ao agente MITRE 54ndc47, que pode ser usado maliciosamente para atacar outras máquinas.

Táticas MITRE: Persistência, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execução, Coleta, Exfiltração, Comando e Controle, Sondagem, Exploração

Gravidade: Média

¹: Pré-visualização para clusters não-AKS: este alerta está geralmente disponível para clusters AKS, mas está em pré-visualização para outros ambientes, como Azure Arc, EKS e GKE.

²: limitações nos clusters do GKE: o GKE usa uma política de auditoria do Kubernetes que não dá suporte a todos os tipos de alertas. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é compatível com clusters do GKE.

³: há suporte para esse alerta em nós/contêineres do Windows.

Alertas para o Banco de Dados SQL e o Azure Synapse Analytics

Mais detalhes e observações

Uma possível vulnerabilidade à injeção de SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Descrição: um aplicativo gerou uma instrução SQL defeituosa no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há dois motivos possíveis para instrução com falha. Um defeito no código do aplicativo que pode ter construído a instrução SQL com falha. Ou, o código do aplicativo ou procedimentos armazenados não limpam a entrada do usuário ao construir a instrução SQL com erro, o que pode ser explorado para injeção de SQL.

Táticas MITRE: PreAttack

Gravidade: Média

Tentativa de logon por um aplicativo potencialmente prejudicial

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

Logon de um Data Center do Azure incomum

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Descrição: houve uma alteração no padrão de acesso a um SQL Server, em que alguém entrou no servidor de um Data Center incomum do Azure. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta detecta uma ação mal-intencionada (o invasor está operando pelo recurso violado no Azure).

Táticas MITRE: Sondagem

Gravidade: Baixa

Fazer logon de um local incomum

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor de um local geográfico incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor). Em outros casos, o alerta detecta uma ação mal-intencionada (um funcionário antigo ou invasor externo).

Táticas MITRE: Exploração

Gravidade: Média

Logon de um usuário principal não visto em 60 dias

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Descrição: um usuário principal não visto nos últimos 60 dias fez logon em seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.

Táticas MITRE: Exploração

Gravidade: Média

Logon de um domínio não visto em 60 dias

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Descrição: um usuário fez logon em seu recurso a partir de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.

Táticas MITRE: Exploração

Gravidade: Média

Logon de um IP suspeito

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Descrição: seu recurso foi acessado com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.

Táticas MITRE: PreAttack

Gravidade: Média

Possível injeção de SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Descrição: Ocorreu uma exploração ativa em um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando inserir instruções SQL maliciosas usando o código de aplicativo ou procedimentos armazenados vulneráveis.

Táticas MITRE: PreAttack

Gravidade: Alta

Ataque de força bruta suspeito usando um usuário válido

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrição: um potencial ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon.

Táticas MITRE: PreAttack

Gravidade: Alta

Suspeita de ataque de força bruta

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrição: um potencial ataque de força bruta foi detectado em seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

Suspeita de ataque de força bruta bem-sucedido

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado pelos invasores para baixar conteúdo mal-intencionado e, em seguida, executá-lo no computador e comprometê-lo. Isso permite que um invasor execute tarefas mal-intencionadas na direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados em um destino externo.

Táticas MITRE: Execução

Gravidade: Alta

O conteúdo incomum com partes ofuscadas foi iniciado pelo SQL Server

(SQL.VM_PotentialSqlInjection)

Descrição: alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional enquanto oculta o comando na consulta SQL. Os invasores normalmente ocultam comandos impactantes que são popularmente monitorados como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos, como concatenação de cadeia de caracteres, conversão, alteração de base e outros, para evitar a detecção de regex e prejudicar a legibilidade dos logs.

Táticas MITRE: Execução

Gravidade: Alta

Alertas para bancos de dados relacionais open-source

Mais detalhes e observações

Ataque de força bruta suspeito usando um usuário válido

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Descrição: um potencial ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon.

Táticas MITRE: PreAttack

Gravidade: Alta

Suspeita de ataque de força bruta bem-sucedido

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

Suspeita de ataque de força bruta

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descrição: um potencial ataque de força bruta foi detectado em seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

Tentativa de logon por um aplicativo potencialmente prejudicial

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.

Táticas MITRE: PreAttack

Gravidade: Alta

Logon de um usuário principal não visto em 60 dias

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Descrição: um usuário principal não visto nos últimos 60 dias fez logon em seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.

Táticas MITRE: Exploração

Gravidade: Média

Logon de um domínio não visto em 60 dias

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Descrição: um usuário fez logon em seu recurso a partir de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.

Táticas MITRE: Exploração

Gravidade: Média

Logon de um Data Center do Azure incomum

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Descrição: alguém fez logon em seu recurso de um Data Center incomum do Azure.

Táticas MITRE: Sondagem

Gravidade: Baixa

Logon incomum de um provedor de nuvem

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Descrição: alguém fez logon em seu recurso de um provedor de nuvem não visto nos últimos 60 dias. É rápido e fácil para os atores de ameaças obterem poder de computação descartável para usar em suas campanhas. Se esse for o comportamento esperado causado pela adoção recente de um novo provedor de nuvem, o Defender para Nuvem aprenderá ao longo do tempo e tentará evitar futuros falsos positivos.

Táticas MITRE: Exploração

Gravidade: Média

Fazer logon de um local incomum

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Descrição: alguém fez logon em seu recurso de um Data Center incomum do Azure.

Táticas MITRE: Exploração

Gravidade: Média

Logon de um IP suspeito

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Descrição: seu recurso foi acessado com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.

Táticas MITRE: PreAttack

Gravidade: Média

Alertas do Resource Manager

Observação

Os alertas com uma indicação de acesso delegado são disparados devido à atividade de provedores de serviços de terceiros. saiba mais sobre as indicações de atividade dos provedores de serviços.

Mais detalhes e observações

Operação do Azure Resource Manager partindo de um endereço IP suspeito

(ARM_OperationFromSuspiciousIP)

Descrição: o Microsoft Defender for Resource Manager detectou uma operação de um endereço IP marcado como suspeito em feeds de inteligência de ameaças.

Táticas MITRE: Execução

Gravidade: Média

Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito

(ARM_OperationFromSuspiciousProxyIP)

Descrição: o Microsoft Defender for Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP associado a serviços proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas

(ARM_MicroBurst.AzDomainInfo)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: -

Gravidade: Baixa

Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas

(ARM_MicroBurst.AzureDomainInfo)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: -

Gravidade: Baixa

Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual

(ARM_MicroBurst.AzVMBulkCMD)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de código em uma VM ou em uma lista de VMs. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um script em uma VM para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: Execução

Gravidade: Alta

Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual

(RM_MicroBurst.AzureRmVMBulkCMD)

Descrição: o kit de ferramentas de exploração do MicroBurst foi usado para executar código em suas máquinas virtuais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do MicroBurst usado para extrair chaves dos seus cofres de chaves do Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves de um Cofre de Chaves do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do MicroBurst usado para extrair chaves das suas contas de armazenamento

(ARM_MicroBurst.AZStorageKeysREST)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves para a(s) Conta(s) de Armazenamento. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais na(s) sua(s) Conta(s) de Armazenamento. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: Coleção

Gravidade: Alta

Kit de ferramentas de exploração do MicroBurst usado para extrair segredos dos seus cofres de chaves do Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de segredos de um Cofre de Chaves do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar segredos e usá-los para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure Active Directory para o Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Descrição: o kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do AzureAD para o Azure. Isso foi detectado pela análise das operações do Azure Resource Manager no seu locatário.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do PowerZure usado para enumerar recursos

(ARM_PowerZure.GetAzureTargets)

Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima em sua organização. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: Coleção

Gravidade: Alta

Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas

(ARM_PowerZure.ShowStorageContent)

Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do PowerZure usado para executar um Runbook na sua assinatura

(ARM_PowerZure.StartRunbook)

Descrição: O kit de ferramentas de exploração PowerZure foi usado para executar um Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks

(ARM_PowerZure.AzureRunbookContent)

Descrição: O kit de ferramentas de exploração PowerZure foi usado para extrair o conteúdo do Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: Coleção

Gravidade: Alta

Versão prévia – execução do kit de ferramentas do Azurite detectada

(ARM_Azurite)

Descrição: uma execução conhecida do kit de ferramentas de reconhecimento do ambiente de nuvem foi detectada em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos das assinaturas e identificar configurações inseguras.

Táticas MITRE: Coleção

Gravidade: Alta

VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada

(ARM_SuspiciousComputeCreation)

Descrição: o Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Escala do Azure. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada.

Táticas MITRE: Impacto

Gravidade: Média

VERSÃO PRÉVIA – Recuperação suspeita do cofre de chaves detectada

(Arm_Suspicious_Vault_Recovering)

Descrição: o Microsoft Defender for Resource Manager detectou uma operação de recuperação suspeita para um recurso do cofre de chaves excluído automaticamente. O usuário que está recuperando o recurso é diferente do usuário que o excluiu. Isso é altamente suspeito porque o usuário raramente invoca tal operação. Além disso, o usuário fez logon sem autenticação multifator (MFA). Isso pode indicar que o usuário está comprometido e está tentando descobrir segredos e chaves para obter acesso a recursos confidenciais ou para executar a movimentação lateral em sua rede.

Táticas MITRE: Movimento lateral

Gravidade: Média/alta

VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada

(ARM_UnusedAccountPersistence)

Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.

Táticas MITRE: Persistência

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso à Credencial" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.CredentialAccess)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Coleta de dados" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.Collection)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Coleção

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Evasão de defensa" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.DefenseEvasion)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete os recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Execução" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.Execution)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Execução de Defesa

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.Impact)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Impacto

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso inicial" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.InitialAccess)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Acesso inicial

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso de movimento lateral" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.LateralMovement)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar um movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Movimento lateral

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "persistência" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.Persistence)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Persistência

Gravidade: Média

VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco por uma entidade de serviço detectada

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios e, ao mesmo tempo, comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: escalonamento de privilégios

Gravidade: Média

VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada

(ARM_UnusedAccountPersistence)

Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.

Táticas MITRE: Persistência

Gravidade: Média

VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando o PowerShell detectada

(ARM_UnusedAppPowershellPersistence)

Descrição: a análise de logs de atividade da assinatura detectou um comportamento suspeito. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor.

Táticas MITRE: Persistência

Gravidade: Média

PREVIEW â€" Sessão de gerenciamento suspeita usando o portal do Azure detectada

(ARM_UnusedAppIbizaPersistence)

Descrição: a análise dos registros de atividades da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente), agora está usando o portal do Azure e executando ações que podem proteger a persistência de um invasor.

Táticas MITRE: Persistência

Gravidade: Média

Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)

(ARM_PrivilegedRoleDefinitionCreation)

Descrição: o Microsoft Defender for Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção.

Táticas MITRE: Escalada de Privilégios, Evasão de Defesa

Severidade: Informativo

Atribuição de função suspeita do Azure detectada (versão prévia)

(ARM_AnomalousRBACRoleAssignment)

Descrição: o Microsoft Defender for Resource Manager identificou uma atribuição/execução de função suspeita do Azure usando PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para permitir que os administradores permitam às entidades de segurança acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar a atribuição de função para escalar suas permissões, permitindo que eles avancem seu ataque.

Táticas MITRE: Movimentação Lateral, Evasão de Defesa

Gravidade: Baixa (PIM) / Alta

Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.CredentialAccess)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.Collection)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Coleção

Gravidade: Média

Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.DefenseEvasion)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.Execution)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Execução

Gravidade: Média

Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.Impact)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Impacto

Gravidade: Média

Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.InitialAccess)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.LateralMovement)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar um movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Movimento Lateral

Gravidade: Média

Operação Elevar Acesso suspeita (Versão prévia)(ARM_AnomalousElevateAccess)

Descrição: O Microsoft Defender for Resource Manager identificou uma operação suspeita "Elevar acesso". A atividade é considerada suspeita, pois essa entidade de segurança raramente invoca essas operações. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar uma operação "Elevar acesso" para executar o escalonamento de privilégios para um usuário comprometido.

Táticas MITRE: Escalonamento de privilégios

Gravidade: Média

Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.Persistence)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Persistência

Gravidade: Média

Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)

(ARM_AnomalousOperation.PrivilegeEscalation)

Descrição: o Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios e, ao mesmo tempo, comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.

Táticas MITRE: Escalonamento de privilégios

Gravidade: Média

Uso do kit de ferramentas de exploração do MicroBurst para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure

(ARM_MicroBurst.RunCodeOnBehalf)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de executar um código arbitrário ou exfiltrar credenciais de conta de Automação do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um código arbitrário para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.

Táticas MITRE: Persistência, Acesso a Credenciais

Gravidade: Alta

Uso de técnicas NetSPI para manter a persistência no seu ambiente do Azure

(ARM_NetSPI.MaintainPersistence)

Descrição: Uso da técnica de persistência NetSPI para criar um backdoor webhook e manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure

(ARM_PowerZure.RunCodeOnBehalf)

Descrição: o kit de ferramentas de exploração do PowerZure foi detectado tentando executar código ou exfiltrar credenciais de conta de Automação do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Uso da função do PowerZure para manter a persistência no seu ambiente do Azure

(ARM_PowerZure.MaintainPersistence)

Descrição: o kit de ferramentas de exploração do PowerZure detectou a criação de um backdoor de webhook para manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.

Táticas MITRE: -

Gravidade: Alta

Atribuição de função clássica suspeita detectada (versão prévia)

(ARM_AnomalousClassicRoleAssignment)

Descrição: o Microsoft Defender for Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para fornecer compatibilidade com versões anteriores de funções clássicas que não são mais usadas com frequência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essa atribuição para conceder permissões a outra conta de usuário sob seu controle.

Táticas MITRE: Movimentação Lateral, Evasão de Defesa

Gravidade: Alta

Alertas para Armazenamento do Azure

Mais detalhes e observações

Acesso em um endereço IP suspeito

(Storage.Blob_SuspiciousApp)

Descrição: indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização. Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso de um endereço IP suspeito

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Descrição: indica que essa conta de armazenamento foi acessada com êxito a partir de um endereço IP considerado suspeito. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Pré Ataque

Gravidade: Alta/Média/Baixa

Conteúdo de phishing hospedado em uma conta de armazenamento

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Descrição: uma URL usada em um ataque de phishing aponta para sua conta de Armazenamento do Azure. Essa URL fazia parte de um ataque de phishing que afetou os usuários do Microsoft 365. Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir as credenciais corporativas ou informações financeiras em um formulário da Web que parece legítimo. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Coleção

Gravidade: Alta

Conta de armazenamento identificada como fonte para distribuição de malware

(Storage.Files_WidespreadeAm)

Descrição: alertas antimalware indicam que um arquivo infectado está armazenado em um compartilhamento de arquivos do Azure montado em várias VMs. Se os invasores conseguirem acessar uma VM com um compartilhamento de arquivo montado do Azure, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento. Aplica-se a: Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Média

O nível de acesso de um contêiner de blob possivelmente confidencial foi alterado para permitir o acesso público não autenticado

(Storage.Blob_OpenACL)

Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que pode conter dados confidenciais, para o nível 'Contêiner', para permitir acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. Com base em análises estatísticas, o contêiner do blobs foi sinalizado como possivelmente contendo dados confidenciais. Essa análise sugere que os contêineres de blob ou contas de armazenamento com nomes semelhantes normalmente não estão expostos ao acesso público. Aplica-se às: contas de armazenamento de Blobs do Azure (Uso geral v2 Standard, Azure Data Lake Storage Gen2 ou blobs de bloco premium).

Táticas MITRE: Coleção

Gravidade: Média

Acesso autenticado de um nó de saída do Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Descrição: Um ou mais contêiner(es) de armazenamento/compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial / Pré-Ataque

Gravidade: Alta/Média

Acesso de um local incomum a uma conta de armazenamento

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Descrição: indica que houve uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acessou a conta de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum. Um exemplo do último é a manutenção remota de um novo aplicativo ou desenvolvedor. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média/Baixa

Acesso não autenticado incomum a um contêiner de armazenamento

(Storage.Blob_AnonymousAccessAnomaly)

Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Baixa

Possível malware carregado em uma conta de armazenamento

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Descrição: indica que um blob contendo malware potencial foi carregado em um contêiner de blob ou em um compartilhamento de arquivos em uma conta de armazenamento. Esse alerta é baseado na análise de reputação de hash aproveitando o poder da inteligência contra ameaças da Microsoft, que inclui hashes de vírus, cavalos de Troia, spyware e ransomware. As causas potenciais podem incluir um carregamento intencional de malware por um invasor ou um carregamento não intencional de um blob potencialmente mal-intencionado por um usuário legítimo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (Somente para transações na API REST) Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

Contêineres de armazenamento acessíveis publicamente descobertos com êxito

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Descrição: uma descoberta bem-sucedida de contêiner(es) de armazenamento aberto publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de varredura.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O agente da ameaça pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Média

Falha no exame de contêineres de armazenamento acessíveis publicamente

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Descrição: uma série de tentativas fracassadas de procurar contêineres de armazenamento abertos publicamente foram executadas na última hora.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O agente da ameaça pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2

Táticas MITRE: Coleção

Gravidade: Alta/Baixa

Inspeção de acesso incomum em uma conta de armazenamento

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Descrição: indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de maneira incomum, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Descoberta

Gravidade: Alta/Média

Quantidade incomum de dados extraídos de uma conta de armazenamento

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Descrição: indica que uma quantidade excepcionalmente grande de dados foi extraída em comparação com a atividade recente neste contêiner de armazenamento. Uma possível causa é que um invasor extraiu uma grande quantidade de dados de um contêiner que mantém o armazenamento de BLOBs. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Exfiltração

Gravidade: Alta/Baixa

Aplicativo incomum acessou uma conta de armazenamento

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Descrição: indica que um aplicativo incomum acessou essa conta de armazenamento. Uma possível causa é que um invasor acessou sua conta de armazenamento usando um novo aplicativo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Alta/Média

Exploração de dados incomum em uma conta de armazenamento

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Descrição: indica que blobs ou contêineres em uma conta de armazenamento foram enumerados de maneira anormal, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure

Táticas MITRE: Execução

Gravidade: Alta/Média

Exclusão incomum em uma conta de armazenamento

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Descrição: indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente nessa conta. Uma possível causa é que um invasor excluiu dados de sua conta de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2

Táticas MITRE: Exfiltração

Gravidade: Alta/Média

Acesso público incomum não autenticado a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento sem autenticação, usando um endereço IP externo (público). Trata-se de um acesso suspeito, já que o contêiner de blob está aberto ao acesso público e só costuma ser acessado com autenticação a partir de redes internas (endereços IP privados). Esse acesso pode indicar que o nível de acesso do contêiner de blob está configurado incorretamente e um ator mal-intencionado pode ter explorado o acesso público. O alerta de segurança inclui o contexto descoberto de informações confidenciais (hora da verificação, rótulo de classificação, tipos de informação e tipos de arquivo). Saiba mais sobre a detecção de ameaças contra dados confidenciais. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Quantidade incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descrição: o alerta indica que alguém extraiu uma quantidade excepcionalmente grande de dados de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Exfiltração

Gravidade: Média

Número incomum de dados extraídos de um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Descrição: o alerta indica que alguém extraiu um número excepcionalmente grande de blobs de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.

Táticas MITRE: Exfiltração

Acesso de um aplicativo sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_SuspiciousApp.Sensitive

Descrição: o alerta indica que alguém com um aplicativo suspeito conhecido acessou um contêiner de blob com dados confidenciais na conta de armazenamento e executou operações autenticadas.
O acesso pode indicar que um agente de ameaça obteve credenciais para acessar a conta de armazenamento usando um aplicativo suspeito conhecido. No entanto, o acesso também pode indicar um teste de penetração realizado na organização. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso de detecção de ameaças contra a confidencialidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Alta

Acesso de um endereço IP sabidamente suspeito a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_SuspiciousIp.Sensitive

Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento a partir de um endereço IP suspeito conhecido associado à informação sobre ameaças pelo Microsoft Threat Intelligence. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Pré-Ataque

Gravidade: Alta

Acesso de um nó de saída do Tor a um contêiner de blob confidencial (Versão Prévia)

Storage.Blob_TorAnomaly.Sensitive

Descrição: o alerta indica que alguém com um endereço IP conhecido por ser um nó de saída do Tor acessou um contêiner de blob com dados confidenciais na conta de armazenamento com acesso autenticado. O acesso autenticado de um nó de saída do Tor indica fortemente que o agente está tentando permanecer anônimo para uma possível intenção maliciosa. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Pré-Ataque

Gravidade: Alta

Acesso a um contêiner de blob confidencial a partir de um local incomum (Versão Prévia)

Storage.Blob_GeoAnomaly.Sensitive

Descrição: o alerta indica que alguém acessou o contêiner de blob com dados confidenciais na conta de armazenamento com autenticação de um local incomum. Como o acesso foi autenticado, é possível que as credenciais que permitem acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Acesso Inicial

Gravidade: Média

O nível de acesso a um contêiner de blob confidencial foi alterado para permitir o acesso público não autenticado (Versão Prévia)

Storage.Blob_OpenACL.Sensitive

Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que contém dados confidenciais, para o nível 'Contêiner', que permite acesso público não autenticado (anônimo). A alteração foi feita por meio do portal do Azure. A alteração no nível de acesso pode comprometer a segurança dos dados. Recomendamos que você tome providências imediatas para proteger os dados e impedir o acesso não autorizado caso esse alerta seja disparado. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de detecção de ameaças de sensibilidade de dados habilitado.

Táticas MITRE: Coleção

Gravidade: Alta

Acesso externo suspeito a uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)

Storage.Blob_AccountSas.InternalSasUsedExternally

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. Esse tipo de acesso é considerado suspeito porque o token SAS costuma ser usado apenas em redes internas (a partir de endereços IP privados). A atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Operação externa suspeita para uma conta de armazenamento do Azure com um token SAS permissivo demais (Versão Prévia)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. O acesso é considerado suspeito porque operações invocadas fora da sua rede (não a partir de endereços IP privados) com esse token SAS costumam ser usadas para um conjunto específico de operações de Leitura/Gravação/Exclusão, mas outras operações ocorreram, o que torna esse acesso suspeito. Essa atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, o uso de um token SAS com permissões muito amplas e data de validade distante contraria as boas práticas de segurança e representa um possível risco para a segurança. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Média

Um token SAS incomum foi usado para acessar uma conta de armazenamento do Azure a partir de um endereço IP público (Versão Prévia)

Storage.Blob_AccountSas.UnusualExternalAccess

Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS de conta. O acesso é altamente incomum e considerado suspeito, já que o acesso à conta de armazenamento usando tokens SAS costuma ser proveniente apenas de endereços IP internos (privados). É possível que um token SAS tenha sido vazado ou gerado por um agente mal-intencionado, de dentro da sua organização ou externamente, para obter acesso a essa conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage.

Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto

Gravidade: Baixa

Arquivo mal-intencionado carregado em uma conta de armazenamento

Storage.Blob_AM.MalwareFound

Descrição: o alerta indica que um blob mal-intencionado foi carregado em uma conta de armazenamento. Esse alerta de segurança é gerado pelo recurso Verificação de Malware do Defender para Armazenamento. As causas potenciais podem incluir um carregamento intencional de malware por um agente de ameaça ou um carregamento não intencional de um arquivo mal-intencionado por um usuário legítimo. Aplica-se a: contas de armazenamento de Blob do Azure (v2 de uso geral padrão, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso Verificação de Malware habilitado.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

O blob mal-intencionado foi baixado de uma conta de armazenamento (versão prévia)

Storage.Blob_MalwareDownload

Descrição: o alerta indica que um blob mal-intencionado foi baixado de uma conta de armazenamento. As causas potenciais podem incluir malware que foi carregado na conta de armazenamento e não removido ou colocado em quarentena, permitindo assim que um agente de ameaça o baixe, ou um download não intencional do malware por usuários ou aplicativos legítimos. Aplica-se a: contas de armazenamento do Blob do Azure (v2 padrão de uso geral, Azure Data Lake Storage Gen2 ou blobs de blocos premium) com o novo plano Defender para Armazenamento e o recurso Verificação de Malware habilitado.

Táticas MITRE: Movimento Lateral

Severidade: Alta, se Eicar - baixa

Alertas do Azure Cosmos DB

Mais detalhes e observações

Acesso de um nó de saída do Tor

(CosmosDB_TorAnomaly)

Descrição: essa conta do Azure Cosmos DB foi acessada com êxito de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anônimo. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade.

Táticas MITRE: Acesso Inicial

Gravidade: Alta/Média

Acesso de um IP suspeito

(CosmosDB_SuspiciousIp)

Descrição: essa conta do Azure Cosmos DB foi acessada com êxito a partir de um endereço IP identificado como uma ameaça pelo Microsoft Threat Intelligence.

Táticas MITRE: Acesso Inicial

Gravidade: Média

Acesso de um local incomum

(CosmosDB_GeoAnomaly)

Descrição: essa conta do Azure Cosmos DB foi acessada de um local considerado desconhecido, com base no padrão de acesso usual.

Um ator de ameaça obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum

Táticas MITRE: Acesso Inicial

Gravidade: Baixa

Volume incomum de dados extraídos

(CosmosDB_DataExfiltrationAnomaly)

Descrição: um volume excepcionalmente grande de dados foi extraído dessa conta do Azure Cosmos DB. Isso pode indicar que um ator de ameaça exfiltrou dados.

Táticas MITRE: Exfiltração

Gravidade: Média

Extração de chaves de contas do Azure Cosmos DB por meio de um script possivelmente mal-intencionado

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB em sua assinatura. Os atores da ameaça usam scripts automatizados, como o Microburst, para listar chaves e localizar as contas do Azure Cosmos DB que eles podem acessar.

Essa operação pode indicar que uma identidade na organização foi violada e que o ator da ameaça está tentando comprometer as contas do Azure Cosmos DB no seu ambiente com objetivos mal-intencionados.

Como alternativa, um insider mal-intencionado pode tentar acessar dados confidenciais e executar a movimentação lateral.

Táticas MITRE: Coleção

Gravidade: Média

Extração suspeita de chaves de conta do Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Descrição: uma fonte suspeita extraiu chaves de acesso à conta do Azure Cosmos DB de sua assinatura. Se essa fonte não for uma fonte legítima, isso pode ser um problema de alto impacto. A chave de acesso extraída fornece controle total sobre os bancos de dados associados e os dados armazenados neste banco de dados. Consulte os detalhes de cada alerta específico para reconhecer por que a fonte foi sinalizada como suspeita.

Táticas MITRE: Acesso a Credenciais

Gravidade: alta

Injeção de SQL: possível exfiltração dos dados

(CosmosDB_SqlInjection.DataExfiltration)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

A instrução injetada pode ter sido bem-sucedida na exfiltração de dados que o agente de ameaça não está autorizado a acessar.

Devido à estrutura e às funcionalidades das consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos em contas do Azure Cosmos DB não funcionam. No entanto, a variação usada nesse ataque pode funcionar e os agentes de ameaças podem exfiltrar dados.

Táticas MITRE: Exfiltração

Gravidade: Média

Injeção de SQL: tentativa de fuzzing

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

Assim como outros ataques de injeção de SQL bem conhecidos, esse ataque não conseguirá comprometer a conta do Azure Cosmos DB.

No entanto, é uma indicação de que um agente de ameaça está tentando atacar os recursos dessa conta e seu aplicativo pode estar comprometido.

Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar executando tentativas de injeção de SQL, ele poderá comprometer sua conta do Azure Cosmos DB e exfiltrar dados.

Você pode evitar essa ameaça usando consultas parametrizadas.

Táticas MITRE: Pré-ataque

Gravidade: Baixa

Alertas da camada de rede do Azure

Mais detalhes e observações

Comunicação de rede com um computador mal-intencionado detectada

(Network_CommunicationWithC2)

Descrição: A análise de tráfego de rede indica que sua máquina (IP %{IP da vítima}) se comunicou com o que possivelmente é um centro de comando e controle. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) se comunicou com o que possivelmente é um centro de comando e controle.

Táticas MITRE: Comando e Controle

Gravidade: Média

Computador possivelmente comprometido detectado

(Network_ResourceIpIndicatedAsMalicious)

Descrição: a inteligência de ameaças indica que sua máquina (no IP %{IP da máquina}) pode ter sido comprometida por um malware do tipo Conficker. O Conficker foi um worm de computador que tem como alvo o sistema operacional Microsoft Windows e foi detectado pela primeira vez em novembro de 2008. O Conficker infectou milhões de computadores, incluindo governo, computadores comerciais e domésticos em mais de 200 países/regiões, o que o torna a maior infecção de worms de computador conhecida desde 2003 com o worm Welchia.

Táticas MITRE: Comando e Controle

Gravidade: Média

Possíveis tentativas de força bruta de entrada %{Nome do Serviço} detectadas

(Generic_Incoming_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou a comunicação %{Nome do Serviço} de entrada para %{IP da vítima}, associada ao recurso %{Host comprometido} de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Victim Port}. Esta atividade é consistente com as tentativas de força bruta contra servidores %{Nome do Serviço}.

Táticas MITRE: PreAttack

Severidade: Informativo

Possíveis tentativas de força bruta SQL de entrada detectadas

(SQL_Incoming_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou comunicação SQL de entrada para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL.

Táticas MITRE: PreAttack

Gravidade: Média

Possível ataque de negação de serviço de saída detectado

(DDOS)

Descrição: a análise de tráfego de rede detectou atividade de saída anômala originada de %{Host Comprometido}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) foi comprometido. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os destinos do ataque de DOS: %{Possible Victims}. Observe que é possível que a comunicação com alguns desses IPs seja legítima.

Táticas MITRE: Impacto

Gravidade: Média

Atividade de rede RDP de entrada suspeita de várias fontes

(RDP_Incoming_BF_ManyToOne)

Descrição: a análise de tráfego de rede detectou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima}, associada ao recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta do ponto de extremidade RDP de vários hosts (Botnet).

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede RDP de entrada suspeita

(RDP_Incoming_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima}, associada ao recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto final do RDP

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede SSH de entrada suspeita de várias origens

(SSH_Incoming_BF_ManyToOne)

Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade SSH de vários hosts (Botnet)

Táticas MITRE: PreAttack

Gravidade: Média

Atividade de rede SSH de entrada suspeita

(SSH_Incoming_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao recurso %{Host comprometido}, de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto final do SSH

Táticas MITRE: PreAttack

Gravidade: Média

Tráfego %{Attacked Protocol} de saída suspeito detectado

(PortScanning)

Descrição: a análise de tráfego de rede detectou tráfego de saída suspeito de %{Host comprometido} para a porta de destino %{Porta mais comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando de tentativas de força bruta %{Attack Protocol} ou ataques de varredura de porta.

Táticas MITRE: Descoberta

Gravidade: Média

Atividade de rede RDP de saída suspeita para vários destinos

(RDP_Outgoing_BF_OneToMany)

Descrição: a análise de tráfego de rede detectou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para vários destinos originados de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu computador conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade RDP externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.

Táticas MITRE: Descoberta

Gravidade: Alta

Atividade de rede RDP de saída suspeita

(RDP_Outgoing_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que sua máquina foi comprometida e agora é usada para pontos de extremidade RDP externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.

Táticas MITRE: Movimento Lateral

Gravidade: Alta

Atividade de rede SSH de saída para vários destinos suspeita

(SSH_Outgoing_BF_OneToMany)

Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para vários destinos originados de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu recurso conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade SSH externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.

Táticas MITRE: Descoberta

Gravidade: Média

Atividade de rede SSH de saída suspeita

(SSH_Outgoing_BF_OneToOne)

Descrição: a análise de tráfego de rede detectou comunicação SSH de saída anômala para %{IP da vítima} originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos de extremidade SSH externos de força bruta. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas.

Táticas MITRE: Movimento Lateral

Gravidade: Média

Tráfego detectado de endereços IP recomendados para bloqueio

(Network_TrafficFromUnrecommendedIP)

Descrição: o Microsoft Defender for Cloud detectou tráfego de entrada de endereços IP recomendados para serem bloqueados. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem.

Táticas MITRE: Sondagem

Severidade: Informativo

Alertas para o Azure Key Vault

Mais detalhes e observações

Acesso de um endereço IP suspeito para um cofre de chaves

(KV_SuspiciousIPAccess)

Descrição: um cofre de chaves foi acessado com êxito por um IP que foi identificado pelo Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Acesso de um nó de saída do TOR a um cofre de chaves

(KV_TORAccess)

Descrição: um cofre de chaves foi acessado a partir de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um ator de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Alto volume de operações em um cofre de chaves

(KV_OperationVolumeAnomaly)

Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômala pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Alteração de política suspeita e consulta de segredo em um cofre de chaves

(KV_PutGetAnomaly)

Descrição: um usuário ou entidade de serviço executou uma operação anômala de alteração de política do Vault Put seguida por uma ou mais operações de Secret Get. Esse padrão normalmente não é executado pelo usuário ou pela entidade de serviço especificada. Essa pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Listagem e consulta secreta suspeitas em um cofre de chaves

(KV_ListGetAnomaly)

Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obtenção Secreta. Esse padrão normalmente não é executado pelo usuário nem pela entidade de serviço especificada e normalmente está associado ao despejo de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela sua rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado

(KV_AccountVolumeAccessDeniedAnomaly)

Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Descoberta

Gravidade: Baixa

Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado

(KV_UserAccessDeniedAnomaly)

Descrição: Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.

Táticas MITRE: Acesso Inicial, Descoberta

Gravidade: Baixa

Aplicativo incomum acessou um cofre de chaves

(KV_AppAnomaly)

Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Padrão de operação incomum em um cofre de chaves

(KV_OperationPatternAnomaly)

Descrição: Um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômala pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Um usuário incomum acessou um cofre de chaves

(KV_UserAnomaly)

Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Um par incomum de usuário-aplicativo acessou um cofre de chaves

(KV_UserAppAnomaly)

Descrição: um cofre de chaves foi acessado por um par de entidades de serviço do usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

O usuário acessou um alto volume de cofres de chaves

(KV_AccountVolumeAnomaly)

Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Acesso negado de um IP suspeito a um cofre de chaves

(KV_SuspiciousIPAccessDenied)

Descrição: um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pelo Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Baixa

Acesso incomum ao cofre de chaves de um IP suspeito (não Microsoft ou externo)

(KV_UnusualAccessSuspiciousIP)

Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não é da Microsoft nas últimas 24 horas. Esse padrão de acesso anômalo pode ser uma atividade legítima. Isso pode ser um indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.

Táticas MITRE: Acesso a Credenciais

Gravidade: Média

Alertas da Proteção contra DDoS do Azure

Mais detalhes e observações

Ataque de DDoS detectado para IP público

(NETWORK_DDOS_DETECTED)

Descrição: Ataque DDoS detectado para IP Público (endereço IP) e sendo mitigado.

Táticas MITRE: Sondagem

Gravidade: Alta

Ataque de DDoS migrado para IP público

(NETWORK_DDOS_MITIGATED)

Descrição: Ataque DDoS mitigado para IP Público (endereço IP).

Táticas MITRE: Sondagem

Gravidade: Baixa

Alertas do Defender para APIs

Pico suspeito no tráfego de API em o nível populacional para um ponto de extremidade de API

(API_PopulationSpikeInAPITraffic)

Descrição: um pico suspeito no tráfego da API foi detectado em um dos pontos de extremidade da API. O sistema de detecção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego da API de rotina entre todos os IPs e o ponto de extremidade, sendo a linha de base específica para o tráfego de API para cada código de status (como 200 Sucesso). O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.

Táticas MITRE: Impacto

Gravidade: Média

Pico suspeito no tráfego de API de um único endereço IP para um ponto de extremidade de API

(API_SpikeInAPITraffic)

Descrição: um pico suspeito no tráfego da API foi detectado de um IP do cliente para o ponto de extremidade da API. O sistema de detecção usou padrões de tráfego históricos para estabelecer uma linha de base do volume de tráfego da API de rotina para o ponto de extremidade proveniente de um IP específico para o ponto de extremidade. O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.

Táticas MITRE: Impacto

Gravidade: Média

Conteúdo de resposta extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: um pico suspeito no tamanho da carga útil de resposta da API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do conteúdo de resposta da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de um conteúdo de resposta da API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

Corpo de solicitação extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: um pico suspeito no tamanho do corpo da solicitação de API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do corpo da solicitação da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de uma solicitação da API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

(Versão prévia) Pico suspeito de latência do tráfego entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInLatency)

Descrição: um pico suspeito de latência foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa a latência de tráfego da API de rotina entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque a latência de uma chamada à API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

As solicitações de API se espalham de um único endereço IP para um número extraordinariamente grande de pontos de extremidade de API distintos

(API_SprayInRequests)

Descrição: Um único IP foi observado fazendo chamadas de API para um número excepcionalmente grande de pontos de extremidade distintos. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o número típico de pontos de extremidade distintos chamados por um único IP em janelas de 20 minutos. O alerta foi disparado porque o comportamento de um único IP desviou significativamente da linha de base histórica.

Táticas MITRE: Descoberta

Gravidade: Média

Enumeração de parâmetro em um ponto de extremidade de API

(API_ParameterEnumeration)

Descrição: Um único IP foi observado enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados por um único IP ao acessar esse ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque um IP de cliente único acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Enumeração de parâmetro distribuídos em um ponto de extremidade de API

(API_DistributedParameterEnumeration)

Descrição: A população de usuários agregados (todos os IPs) foi observada enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados pela população de usuários (todos os IPs) ao acessar um ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque a população do usuário acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Valores de parâmetro com tipos de dados anômalos em uma chamada à API

(API_UnseenParamType)

Descrição: Um único IP foi observado acessando um de seus pontos de extremidade da API e usando valores de parâmetro de um tipo de dados de baixa probabilidade (por exemplo, cadeia de caracteres, inteiro, etc.). Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende os tipos de dados esperados para cada parâmetro de API. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um tipo de dados de probabilidade anteriormente baixo como uma entrada de parâmetro.

Táticas MITRE: Impacto

Gravidade: Média

Parâmetro nunca visto anteriormente usado em uma chamada à API

(API_UnseenParam)

Descrição: Um único IP foi observado acessando um dos pontos de extremidade da API usando um parâmetro inédito ou fora dos limites na solicitação. Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende um conjunto de parâmetros esperados associados a chamadas para um ponto de extremidade. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um parâmetro nunca visto anteriormente.

Táticas MITRE: Impacto

Gravidade: Média

Acesso de um nó de saída do Tor para um ponto de extremidade da API

(API_AccessFromTorExitNode)

Descrição: um endereço IP da rede Tor acessou um dos pontos de extremidade da API. O Tor é uma rede que permite que as pessoas acessem a Internet mantendo seu IP real oculto. Embora haja usos legítimos, ele é frequentemente usado por invasores para ocultar sua identidade quando eles têm como alvo os sistemas das pessoas online.

Táticas MITRE: Pré-ataque

Gravidade: Média

Acesso do ponto de extremidade da API de IP suspeito

(API_AccessFromSuspiciousIP)

Descrição: um endereço IP acessando um dos pontos de extremidade da API foi identificado pelo Microsoft Threat Intelligence como tendo uma alta probabilidade de ser uma ameaça. Ao observar o tráfego mal-intencionado da Internet, esse IP estava envolvido no ataque a outros alvos online.

Táticas MITRE: Pré-ataque

Gravidade: Alta

Agente de usuário suspeito detectado

(API_AccessFromSuspiciousUserAgent)

Descrição: O agente do usuário de uma solicitação acessando um dos pontos de extremidade da API continha valores anômalos indicativos de uma tentativa de execução remota de código. Isso não significa que nenhum dos pontos de extremidade da API tenha sido violado, mas sugere que uma tentativa de ataque está em andamento.

Táticas MITRE: Execução

Gravidade: Média

Alertas preteridos do Defender para Contêineres

As listas a seguir incluem os alertas de segurança do Defender for Containers que foram preteridos.

Manipulação do firewall do host detectada

(K8S.NODE_FirewallDisabled)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou uma possível manipulação do firewall no host. Os invasores geralmente desabilitarão isso para exportar dados.

Táticas MITRE: DefesaEvasão, Exfiltração

Gravidade: Média

Uso suspeito de DNS sobre HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detectou o uso de uma chamada DNS sobre HTTPS de forma incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados.

Táticas MITRE: DefesaEvasão, Exfiltração

Gravidade: Média

Uma conexão possível com um local mal-intencionado foi detectada.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detectou uma conexão com um local que foi relatado como malicioso ou incomum. Este é um indicador de que pode ter ocorrido um compromisso.

Táticas MITRE: InitialAccess

Gravidade: Média

Atividade de mineração de moeda digital

(K8S. NODE_CurrencyMining)

Descrição: A análise de transações DNS detectou atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Alertas preteridos do Defender for Servers Linux

VM_AbnormalDaemonTermination

Nome de exibição do alerta: Terminação anormal

Gravidade: Baixa

VM_BinaryGeneratedFromCommandLine

Nome de exibição do alerta: binário suspeito detectado

Gravidade: Média

VM_CommandlineSuspectDomain Suspicious

Nome de exibição do alerta: referência de nome de domínio

Gravidade: Baixa

VM_CommonBot

Nome de exibição do alerta: Comportamento semelhante aos bots comuns do Linux detectados

Gravidade: Média

VM_CompCommonBots

Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detectados

Gravidade: Média

VM_CompSuspiciousScript

Nome de exibição do alerta: Shell Script detectado

Gravidade: Média

VM_CompTestRule

Nome de exibição do alerta: Alerta de teste analítico composto

Gravidade: Baixa

VM_CronJobAccess

Nome de exibição do alerta: manipulação de tarefas agendadas detectada

Severidade: Informativo

VM_CryptoCoinMinerArtifacts

Nome de exibição do alerta: Processo associado à mineração de moeda digital detectado

Gravidade: Média

VM_CryptoCoinMinerDownload

Nome de exibição do alerta: Possível download do Cryptocoinminer detectado

Gravidade: Média

VM_CryptoCoinMinerExecution

Nome de exibição do alerta: Potencial minerador de moedas criptográficas iniciado

Gravidade: Média

VM_DataEgressArtifacts

Nome de exibição do alerta: possível exfiltração de dados detectada

Gravidade: Média

VM_DigitalCurrencyMining

Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detectado

Gravidade: Alta

VM_DownloadAndRunCombo

Nome de exibição do alerta: download suspeito e executar atividade

Gravidade: Média

VM_EICAR

Nome de exibição do alerta: alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)

Gravidade: Alta

VM_ExecuteHiddenFile

Nome de exibição do alerta: Execução de arquivo oculto

Severidade: Informativo

VM_ExploitAttempt

Nome de exibição do alerta: possível tentativa de exploração da linha de comando

Gravidade: Média

VM_ExposedDocker

Nome de exibição do alerta: daemon do Docker exposto no soquete TCP

Gravidade: Média

VM_FairwareMalware

Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detectado

Gravidade: Média

VM_FirewallDisabled

Nome de exibição do alerta: Manipulação do firewall do host detectada

Gravidade: Média

VM_HadoopYarnExploit

Nome de exibição do alerta: Possível exploração do Hadoop Yarn

Gravidade: Média

VM_HistoryFileCleared

Nome de exibição do alerta: um arquivo de histórico foi limpo

Gravidade: Média

VM_KnownLinuxAttackTool

Nome de exibição do alerta: possível ferramenta de ataque detectada

Gravidade: Média

VM_KnownLinuxCredentialAccessTool

Nome de exibição do alerta: possível ferramenta de acesso a credenciais detectada

Gravidade: Média

VM_KnownLinuxDDoSToolkit

Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detectados

Gravidade: Média

VM_KnownLinuxScreenshotTool

Nome de exibição do alerta: captura de tela feita no host

Gravidade: Baixa

VM_LinuxBackdoorArtifact

Nome de exibição do alerta: possível backdoor detectado

Gravidade: Média

VM_LinuxReconnaissance

Nome de exibição do alerta: reconhecimento de host local detectado

Gravidade: Média

VM_MismatchedScriptFeatures

Nome de exibição do alerta: incompatibilidade de extensão de script detectada

Gravidade: Média

VM_MitreCalderaTools

Nome de exibição do alerta: MITRE Caldera agent detected

Gravidade: Média

VM_NewSingleUserModeStartupScript

Nome de exibição do alerta: Tentativa de persistência detectada

Gravidade: Média

VM_NewSudoerAccount

Nome de exibição do alerta: Conta adicionada ao grupo sudo

Gravidade: Baixa

VM_OverridingCommonFiles

Nome de exibição do alerta: substituição potencial de arquivos comuns

Gravidade: Média

VM_PrivilegedContainerArtifacts

Nome de exibição do alerta: contêiner em execução no modo privilegiado

Gravidade: Baixa

VM_PrivilegedExecutionInContainer

Nome de exibição do alerta: comando dentro de um contêiner em execução com privilégios altos

Gravidade: Baixa

VM_ReadingHistoryFile

Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash

Severidade: Informativo

VM_ReverseShell

Nome de exibição do alerta: Potencial shell reverso detectado

Gravidade: Média

VM_SshKeyAccess

Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum

Gravidade: Baixa

VM_SshKeyAddition

Nome de exibição do alerta: Nova chave SSH adicionada

Gravidade: Baixa

VM_SuspectCompilation

Nome de exibição do alerta: compilação suspeita detectada

Gravidade: Média

VM_SuspectConnection

Nome de exibição do alerta: uma tentativa de conexão incomum detectada

Gravidade: Média

VM_SuspectDownload

Nome de exibição do alerta: download de arquivo detectado de uma fonte maliciosa conhecida

Gravidade: Média

VM_SuspectDownloadArtifacts

Nome de exibição do alerta: Detectado download de arquivo suspeito

Gravidade: Baixa

VM_SuspectExecutablePath

Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito

Gravidade: Média

VM_SuspectHtaccessFileAccess

Nome de exibição do alerta: Acesso do arquivo htaccess detectado

Gravidade: Média

VM_SuspectInitialShellCommand

Nome de exibição do alerta: primeiro comando suspeito no shell

Gravidade: Baixa

VM_SuspectMixedCaseText

Nome de exibição do alerta: Detectada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando

Gravidade: Média

VM_SuspectNetworkConnection

Nome de exibição do alerta: conexão de rede suspeita

Severidade: Informativo

VM_SuspectNohup

Nome de exibição do alerta: Detectado uso suspeito do comando nohup

Gravidade: Média

VM_SuspectPasswordChange

Nome de exibição do alerta: possível alteração de senha usando o método crypt detectado

Gravidade: Média

VM_SuspectPasswordFileAccess

Nome de exibição do alerta: acesso de senha suspeito

Severidade: Informativo

VM_SuspectPhp

Nome de exibição do alerta: Execução suspeita do PHP detectada

Gravidade: Média

VM_SuspectPortForwarding

Nome de exibição do alerta: encaminhamento de porta potencial para endereço IP externo

Gravidade: Média

VM_SuspectProcessAccountPrivilegeCombo

Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se raiz inesperadamente

Gravidade: Média

VM_SuspectProcessTermination

Nome de exibição do alerta: Encerramento do processo relacionado à segurança detectado

Gravidade: Baixa

VM_SuspectUserAddition

Nome de exibição do alerta: Detectado o uso suspeito do comando useradd

Gravidade: Média

VM_SuspiciousCommandLineExecution

Nome de exibição do alerta: execução de comando suspeita

Gravidade: Alta

VM_SuspiciousDNSOverHttps

Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS

Gravidade: Média

VM_SystemLogRemoval

Nome de exibição do alerta: possível atividade de adulteração de log detectada

Gravidade: Média

VM_ThreatIntelCommandLineSuspectDomain

Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detectada

Gravidade: Média

VM_ThreatIntelSuspectLogon

Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado

Gravidade: Alta

VM_TimerServiceDisabled

Nome de exibição do alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detectado

Severidade: Informativo

VM_TimestampTampering

Nome de exibição do alerta: modificação suspeita do carimbo de data/hora do arquivo

Gravidade: Baixa

VM_Webshell

Nome de exibição do alerta: possível shell da Web mal-intencionado detectado

Gravidade: Média

Alertas preteridos do Defender para Servidores do Windows

SCUBA_MULTIPLEACCOUNTCREATE

Nome de exibição do alerta: criação suspeita de contas em vários hosts

Gravidade: Média

SCUBA_PSINSIGHT_CONTEXT

Nome de exibição do alerta: uso suspeito do PowerShell detectado

Severidade: Informativo

SCUBA_RULE_AddGuestToAdministrators

Nome de exibição do alerta: adição da conta Convidado ao grupo Administradores Locais

Gravidade: Média

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands

Gravidade: Média

SCUBA_RULE_KnownBruteForcingTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownCollectionTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownDefenseEvasionTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownExecutionTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownPassTheHashTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownSpammingTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Média

SCUBA_RULE_Lowering_Security_Settings

Nome de exibição do alerta: Detectada a desativação de serviços críticos

Gravidade: Média

SCUBA_RULE_OtherKnownHackerTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

SCUBA_RULE_RDP_session_hijacking_via_tscon

Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP

Gravidade: Média

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Nome de exibição do alerta: instalação de serviço suspeito

Gravidade: Média

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Nome de exibição do alerta: Detectada supressão do aviso legal exibido aos usuários no logon

Gravidade: Baixa

SCUBA_RULE_WDigest_Enabling

Nome de exibição do alerta: Detectada a habilitação da chave do Registro WDigest UseLogonCredential

Gravidade: Média

VM.Windows_ApplockerBypass

Nome de exibição do alerta: Possível tentativa de ignorar o AppLocker detectada

Gravidade: Alta

VM.Windows_BariumKnownSuspiciousProcessExecution

Nome de exibição do alerta: Detectada a criação de arquivos suspeitos

Gravidade: Alta

VM.Windows_Base64EncodedExecutableInCommandLineParams

Nome de exibição do alerta: executável codificado detectado nos dados da linha de comando

Gravidade: Alta

VM.Windows_CalcsCommandLineUse

Nome de exibição do alerta: Detectado o uso suspeito de Cacls para diminuir o estado de segurança do sistema

Gravidade: Média

VM.Windows_CommandLineStartingAllExe

Nome de exibição do alerta: linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório

Gravidade: Média

VM.Windows_DisablingAndDeletingIISLogFiles

Nome de exibição do alerta: ações detectadas indicativas de desabilitar e excluir arquivos de log do IIS

Gravidade: Média

VM.Windows_DownloadUsingCertutil

Nome de exibição do alerta: download suspeito usando o Certutil detectado

Gravidade: Média

VM.Windows_EchoOverPipeOnLocalhost

Nome de exibição do alerta: Detectadas comunicações de pipe nomeado suspeitas

Gravidade: Alta

VM.Windows_EchoToConstructPowerShellScript

Nome de exibição do alerta: construção dinâmica de script do PowerShell

Gravidade: Média

VM.Windows_ExecutableDecodedUsingCertutil

Nome de exibição do alerta: decodificação detectada de um executável usando a ferramenta certutil.exe interna

Gravidade: Média

VM.Windows_FileDeletionIsSospisiousLocation

Nome de exibição do alerta: exclusão de arquivo suspeita detectada

Gravidade: Média

VM.Windows_KerberosGoldenTicketAttack

Nome de exibição do alerta: parâmetros suspeitos de ataque Kerberos Golden Ticket observados

Gravidade: Média

VM.Windows_KeygenToolKnownProcessName

Nome de exibição do alerta: Detectada possível execução do executável keygen Processo suspeito executado

Gravidade: Média

VM.Windows_KnownCredentialAccessTools

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

VM.Windows_KnownSuspiciousPowerShellScript

Nome de exibição do alerta: uso suspeito do PowerShell detectado

Gravidade: Alta

VM.Windows_KnownSuspiciousSoftwareInstallation

Nome de exibição do alerta: Software de alto risco detectado

Gravidade: Média

VM.Windows_MsHtaAndPowerShellCombination

Nome de exibição do alerta: Detectada combinação suspeita de HTA e PowerShell

Gravidade: Média

VM.Windows_MultipleAccountsQuery

Nome de exibição do alerta: várias contas de domínio consultadas

Gravidade: Média

VM.Windows_NewAccountCreation

Nome de exibição do alerta: criação de conta detectada

Severidade: Informativo

VM.Windows_ObfuscatedCommandLine

Nome de exibição do alerta: linha de comando ofuscada detectada.

Gravidade: Alta

VM.Windows_PcaluaUseToLaunchExecutable

Nome de exibição do alerta: Detectado o uso suspeito de Pcalua.exe para iniciar o código executável

Gravidade: Média

VM.Windows_PetyaRansomware

Nome de exibição do alerta: Indicadores de ransomware Petya detectados

Gravidade: Alta

VM.Windows_PowerShellPowerSploitScriptExecution

Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados

Gravidade: Média

VM.Windows_RansomwareIndication

Nome de exibição do alerta: indicadores de ransomware detectados

Gravidade: Alta

VM.Windows_SqlDumperUsedSuspiciously

Nome de exibição do alerta: possível despejo de credenciais detectado [visto várias vezes]

Gravidade: Média

VM.Windows_StopCriticalServices

Nome de exibição do alerta: Detectada a desativação de serviços críticos

Gravidade: Média

VM.Windows_SubvertingAccessibilityBinary

Nome de exibição do alerta: Ataque de chaves adesivas detectado Criação de conta suspeita detectada Médio

VM.Windows_SuspiciousAccountCreation

Nome de exibição do alerta: Criação de conta suspeita detectada

Gravidade: Média

VM.Windows_SuspiciousFirewallRuleAdded

Nome de exibição do alerta: Detectada nova regra de firewall suspeita

Gravidade: Média

VM.Windows_SuspiciousFTPSSwitchUsage

Nome de exibição do alerta: Detectado o uso suspeito da opção FTP -s

Gravidade: Média

VM.Windows_SuspiciousSQLActivity

Nome de exibição do alerta: atividade SQL suspeita

Gravidade: Média

VM.Windows_SVCHostFromInvalidPath

Nome de exibição do alerta: processo suspeito executado

Gravidade: Alta

VM.Windows_SystemEventLogCleared

Nome de exibição do alerta: O log de segurança do Windows foi limpo

Severidade: Informativo

VM.Windows_TelegramInstallation

Nome de exibição do alerta: Detectado uso potencialmente suspeito da ferramenta Telegram

Gravidade: Média

VM.Windows_UndercoverProcess

Nome de exibição do alerta: processo com nome suspeito detectado

Gravidade: Alta

VM.Windows_UserAccountControlBypass

Nome de exibição do alerta: Detectada alteração em uma chave do Registro que pode ser usada abusivamente para ignorar o UAC

Gravidade: Média

VM.Windows_VBScriptEncoding

Nome de exibição do alerta: Detectada execução suspeita do comando VBScript.Encode

Gravidade: Média

VM.Windows_WindowPositionRegisteryChange

Nome de exibição do alerta: valor do Registro WindowPosition suspeito detectado

Gravidade: Baixa

VM.Windows_ZincPortOpenningUsingFirewallRule

Nome de exibição do alerta: regra de firewall maliciosa criada pelo implante do servidor ZINC

Gravidade: Alta

VM_DigitalCurrencyMining

Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detectado

Gravidade: Alta

VM_MaliciousSQLActivity

Nome de exibição do alerta: atividade SQL maliciosa

Gravidade: Alta

VM_ProcessWithDoubleExtensionExecution

Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado

Gravidade: Alta

VM_RegistryPersistencyKey

Nome de exibição do alerta: método de persistência do Registro do Windows detectado

Gravidade: Baixa

VM_ShadowCopyDeletion

Nome de exibição do alerta: Executável suspeito da atividade de cópia de sombra do volume encontrado em execução a partir de um local suspeito

Gravidade: Alta

VM_SuspectExecutablePath

Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito Detectada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando

Severidade: Informativo

Médio

VM_SuspectPhp

Nome de exibição do alerta: Execução suspeita do PHP detectada

Gravidade: Média

VM_SuspiciousCommandLineExecution

Nome de exibição do alerta: execução de comando suspeita

Gravidade: Alta

VM_SuspiciousScreenSaverExecution

Nome de exibição do alerta: Processo de proteção de tela suspeito executado

Gravidade: Média

VM_SvcHostRunInRareServiceGroup

Nome de exibição do alerta: grupo de serviço SVCHOST raro executado

Severidade: Informativo

VM_SystemProcessInAbnormalContext

Nome de exibição do alerta: Processo do sistema suspeito executado

Gravidade: Média

VM_ThreatIntelCommandLineSuspectDomain

Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detectada

Gravidade: Média

VM_ThreatIntelSuspectLogon

Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado

Gravidade: Alta

VM_VbScriptHttpObjectAllocation

Nome de exibição do alerta: alocação de objeto HTTP VBScript detectada

Gravidade: Alta

VM_TaskkillBurst

Nome de exibição do alerta: intermitência de término de processo suspeito

Gravidade: Baixa

VM_RunByPsExec

Nome de exibição do alerta: execução do PsExec detectada

Severidade: Informativo

Táticas MITRE ATT&CK

Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Microsoft Defender para Nuvem incluem as táticas MITRE com muitos alertas.

A série de etapas que descrevem a progressão de um ciberataque de reconhecimento para exfiltração de dados é geralmente conhecida como "kill chain".

As intenções de kill chain suportadas pelo Defender for Cloud são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.

Tática	Versão ATT&CK	Descrição
PreAttack		O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Normalmente, a etapa é detectada como uma tentativa, proveniente de fora da rede, para verificar o sistema de destino e identificar um ponto de entrada.
Acesso inicial	V7, V9	O InitialAccess é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para os hosts de computação e recursos, como contas de usuário, certificados etc. Os atores de ameaça geralmente poderão controlar o recurso após esse estágio.
Persistência	V7, V9	A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema. Os atores de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exijam que uma ferramenta de acesso remoto reinicie ou forneça um backdoor alternativo para que eles recuperem o acesso.
Escalonamento de Privilégios	V7, V9	A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos em uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários atinjam seu objetivo também podem ser consideradas uma escalada de privilégio.
Evasão de defesa	V7, V9	A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas. Às vezes, essas ações são as mesmas que as técnicas (ou variações) em outras categorias que têm o benefício adicional de derrubar uma determinada defesa ou mitigação.
Acesso com credencial	V7, V9	O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas contas de usuários ou de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior no ambiente.
Discovery	V7, V9	A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, eles devem se orientar para o que agora têm controle e quais benefícios o sistema operacional oferece ao seu objetivo atual ou metas gerais durante a invasão. O sistema operacional fornece muitas ferramentas nativas que auxiliam nesta fase de coleta de informações após o comprometimento.
LateralMovement	V7, V9	A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode incluir a execução de ferramentas em sistemas remotos, mas não necessariamente fazê-lo. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, ponto de acesso a mais sistemas, acesso a informações ou arquivos específicos, acesso mais credenciais ou causar algum efeito.
Execução	V7, V9	A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede.
Coleção	V7, V9	A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Comando e controle	V7, V9	A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino.
Exfiltração	V7, V9	A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Impacto	V7, V9	Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outros.

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas

• Alertas de segurança no Microsoft Defender para Nuvem
• Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem
• Exportar continuamente dados do Defender para Nuvem