Alertas para computadores Linux
Este artigo lista os alertas de segurança que você pode receber para computadores Linux do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas de máquinas Linux
O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Linux são:
Um arquivo de histórico foi limpo
Descrição: a análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastros. A operação foi executada pelo usuário: "%{nome do usuário}".
Gravidade: Média
A violação da política de controle de aplicativo adaptável foi auditada
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrição: os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.
Táticas do MITRE: Execução
Gravidade: Informativo
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Média
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Gravidade: Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Descrição: antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: o arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivos antimalware e execução de código em sua máquina virtual (temporária)
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução do código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: arquivo excluído do scanner antimalware na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: a desabilitação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Gravidade: Média
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: a exclusão incomum de arquivos da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comportamento semelhante ao ransomware detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução de arquivos que se assemelham a ransomware conhecido que pode impedir que os usuários acessem seu sistema ou arquivos pessoais e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Contêiner com uma imagem de mineração detectada
(VM_MinerInContainerImage)
Descrição: os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.
Táticas do MITRE: Execução
Gravidade: Alta
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.
Gravidade: Média
Download de arquivo de uma fonte mal-intencionada conhecida detectado
Descrição: a análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Compromised Host}.
Gravidade: Média
Atividade de rede suspeita detectada
Descrição: a análise do tráfego de rede de %{Compromised Host} detectou atividades de rede suspeitas. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Gravidade: Baixa
Comportamento relacionado à mineração de moeda digital detectado
Descrição: a análise dos dados do host no %{Compromised Host} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Desabilitação do log de auditoria [visto várias vezes]
Descrição: o sistema de auditoria do Linux fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Desabilitar o log de auditoria pode dificultar a descoberta de violações de políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Exploração da vulnerabilidade do Xorg [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detectou o usuário do Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta de SSH com falha
(VM_SshBruteForceFailed)
Descrição: foram detectados ataques de força bruta malsucedidos dos seguintes invasores: %{Attackers}. Os invasores tentaram acessar o host com os seguintes nomes de usuário: %{Accounts used on failed sign in to host attempts}.
Táticas MITRE: Sondagem
Gravidade: Média
Comportamento de ataque sem arquivos detectado
(VM_FilelessAttackBehavior.Linux)
Descrição: a memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas do MITRE: Execução
Gravidade: Baixa
Técnica de ataque de sem arquivos detectada
(VM_FilelessAttackTechnique.Linux)
Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas do MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivos detectado
(VM_FilelessAttackToolkit.Linux)
Descrição: a memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Execução de arquivo oculto detectada
Descrição: a análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. A atividade pode ser legítima ou uma indicação de um host comprometido.
Gravidade: Informativo
Nova chave SSH adicionada [visto várias vezes]
(VM_SshKeyAddition)
Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Táticas do MITRE: Persistência
Gravidade: Baixa
Nova chave SSH adicionada
Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.
Gravidade: Baixa
Possível backdoor detectado [visto várias vezes]
Descrição: a análise dos dados do host detectou um arquivo suspeito sendo baixado e executado em %{Compromised Host} em sua assinatura. A atividade foi associada anteriormente à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Possível exploração do servidor de email detectada
(VM_MailserverExploitation )
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma execução incomum na conta do servidor de e-mail
Táticas do MITRA: Exploração
Gravidade: Média
Possível web shell mal-intencionado detectado
Descrição: a análise dos dados do host em %{Compromised Host} detectou um possível shell da Web. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração.
Gravidade: Média
Possível alteração de senha usando o método de criptografia detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Processo associado à mineração de moeda digital detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto 100 vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Processo associado à mineração de moeda digital detectado
Descrição: a análise de dados do host detectou a execução de um processo normalmente associado à mineração de moeda digital.
Táticas MITRE: Exploração, Execução
Gravidade: Média
Ferramenta de download codificada do Python detectado [visto várias vezes]
Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser uma indicação de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Captura de tela obtida no host [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Shellcode detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou o código shell sendo gerado a partir da linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
Descrição: a análise dos dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Alguns logons foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrada bem-sucedida no host}. Isso significa que o host pode ser comprometido e controlado por um agente mal-intencionado.
Táticas do MITRA: Exploração
Gravidade: Alta
Criação de conta suspeita detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou o uso de uma conta local %{Nome da conta suspeita}: esse nome de conta se assemelha muito a uma conta padrão do Windows ou nome de grupo '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.
Gravidade: Média
Módulo kernel suspeito detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Acesso suspeito à senha [visto várias vezes]
Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Compromised Host}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Informativo
Acesso suspeito à senha
Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Compromised Host}.
Gravidade: Informativo
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Descrição: os registros da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido.
Táticas MITRE: LateralMovement
Gravidade: Média
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.
Táticas do MITRE: Impacto
Gravidade: Baixa
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.