Alertas de segurança – um guia de referência

Este artigo lista os alertas de segurança que você pode obter do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender que você tenha habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Na parte inferior desta página há uma tabela que descreve a cadeia de eliminação do Microsoft Defender para Nuvem alinhada com a versão 9 da MITRE ATT&matriz CK.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas para computadores Windows

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Windows são:

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Um logon de um IP mal-intencionado foi detectado. [visto várias vezes] Ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo]. No entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou muito incomum. Provavelmente ocorreu um ataque bem-sucedido. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows. - Alta
Adição de conta de convidado ao grupo de administradores locais A análise de dados do host detectou a adição da conta de convidado interna ao grupo local de administradores local no %{Host Comprometido}, que está fortemente associada à atividade do invasor. - Médio
Um log de eventos foi limpo Os logs do computador indicam uma operação de limpeza de log de eventos suspeito pelo usuário: "%{nome do usuário}" na máquina: "%{CompromisedEntity}". O log %{canal de log} foi limpo. - Informativo
Falha na ação do Antimalware O Microsoft Antimalware encontrou um erro ao executar uma ação em um malware ou outro programa de software potencialmente indesejado. - Médio
Ação do Antimalware executada O Microsoft Antimalware para Azure executou uma ação para proteger este computador contra um malware ou outros programas de software potencialmente indesejados. - Médio
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
A exclusão de arquivos na extensão de antimalware com uma ampla regra de exclusão foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
- Médio
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Desabilitação de antimalware e execução de código simultâneas na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
- Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Desabilitação de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Evasão de defesa Médio
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Exclusão de arquivo na verificação de antimalware e execução de código simultâneas por meio de uma extensão de script personalizado na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Evasão de Defesa, Execução Alta
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de arquivos na extensão de antimalware em paralelo à execução de código por meio de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de Defesa, Execução Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Exclusão de arquivo da verificação de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
A desabilitação da proteção em tempo real da extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A desabilitação temporária da proteção em tempo real da extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A desabilitação temporária da proteção em tempo real da extensão de antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
- Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Uma regra de exclusão foi detectada em sua máquina virtual para evitar que sua extensão antimalware verifique certos arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware. Evasão de defesa Médio
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Desabilitação temporária de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
- Médio
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
A exclusão incomum de arquivo na extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial, Persistência, Execução, Comando e controle, Exploração Médio
Extensão de script personalizado com um comando suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizado com um comando suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar a extensão de script personalizado para executar um código mal-intencionado na sua máquina virtual por meio do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com um ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizado com um ponto de entrada suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. O ponto de entrada refere-se a um repositório GitHub suspeito.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com um conteúdo suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizado com um conteúdo de um repositório GitHub suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Ações detectadas indicando a desativação e exclusão de arquivos de log do IIS A análise de dados do host detectou ações que mostram os arquivos de log do IIS que estão sendo desabilitados e/ou excluídos. - Médio
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando A análise de dados do host em %{Host Comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido. - Médio
Alteração detectada em uma chave do Registro que pode ser usada por ignorar o UAC A análise de dados do host em %{Host Comprometido} detectou que uma chave do registro que pode usada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar mover de um acesso não privilegiado (usuário padrão) para privilegiado (por exemplo, administrador) em um host comprometido. - Médio
Decodificação detectada de um executável usando a ferramenta interna certutil.exe A análise de dados do host em %{Host Comprometido} detectou que certutil.exe, um utilitário interno do administrador, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificado. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente. - Alta
Habilitação detectada da chave do Registro UseLogonCredential WDigest A análise de dados do host detectou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, a chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como a Mimikatz. - Médio
Executável codificado detectado em dados da linha de comando A análise de dados do host em %{Host Comprometido} detectou um executável codificado em base-64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido. - Alta
Linha de comando ofuscada detectada Os invasores usam técnicas de ofuscação cada vez mais complexas para enganar as detecções executadas nos dados subjacentes. A análise de dados do host em %{Host Comprometido} detectou indicadores suspeitos de ofuscação na linha de comando. - Informativo
Indicadores de ransomware Petya detectados A análise de dados do host em %{Host Comprometido} detectou indicadores associados ao ransomware Petya. Consulte https://aka.ms/petya-blog para obter mais informações. Examine a linha de comando associada a este alerta e encaminhe o alerta para a equipe de segurança. - Alta
Possível execução de executável keygen detectada A análise de dados do host em %{Host Comprometido} detectou a execução de um processo cujo nome é um indicativo de uma ferramenta keygen; as ferramentas geralmente são usadas para derrotar mecanismos de licenciamento de software, mas o download geralmente é agrupado com outros softwares mal-intencionados. O grupo de atividades GOLD é conhecido por fazer uso de keygens para obter secretamente acesso de porta dos fundos aos hosts que comprometem. - Médio
Possível execução de instalação de malware detectada A análise de dados do host em %{Host Comprometido} detectou um nome de arquivo que foi associado anteriormente a um dos métodos do grupo de atividade GOLD de instalação de malware em um host vítima. - Alta
Possível atividade de reconhecimento local detectada A análise de dados do host em %{Host Comprometido} detectou uma combinação de comandos systeminfo que foi associada anteriormente com um dos métodos do grupo de atividades GOLD de realização da atividade de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas da maneira que ocorreu aqui é raro. -
Uso potencialmente suspeito de ferramenta Telegram detectado A análise de dados do host mostra a instalação do Telegram, um serviço de mensagens instantâneas baseado em nuvem gratuito que existe para o sistema móvel e desktop. Os invasores são conhecidos por abuso desse serviço para transferir binários mal-intencionados para qualquer outro computador, telefone ou tablet. - Médio
Supressão de aviso legal exibido aos usuários no logon detectado A análise dos dados do host em %{Host Comprometido} detectou alterações na chave do Registro que controla se um aviso legal será exibido para os usuários quando eles fizerem logon. A análise de segurança da Microsoft determinou que essa é uma atividade comum realizada por invasores depois de terem comprometido um host. - Baixo
Combinação suspeita de HTA e PowerShell detectada mshta.exe (Host de Aplicativo HTML da Microsoft), que é um binário assinado da Microsoft, está sendo usado por invasores para lançar comandos mal-intencionados do PowerShell. Os invasores costumam recorrer a um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e opta por executá-lo, os comandos do PowerShell e os scripts em que ele é contido são executados. A análise de dados do host em %{Host Comprometido} detectou que o mshta.exe está lançando comandos do PowerShell. - Médio
Argumentos da linha de comando suspeitos detectados A análise de dados do host em %{Host Comprometido} detectou argumentos de linha de comando suspeitos que têm sido usados em conjunto com um shell inverso usado pelo grupo de atividade HYDROGEN. - Alta
Linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório A análise de dados do host detectou um processo suspeito em execução no %{Host Comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir em um diretório. Pode ser uma indicação de um host comprometido. - Médio
Credenciais suspeitas detectadas na linha de comando A análise de dados do host em %{Host Comprometido} detectou uma senha suspeita que está sendo usada para executar um arquivo por grupo de atividades BORON. Este grupo de atividades tem sido conhecido por usar a senha para executar o malware Pirpi em um host vítima. - Alta
Credenciais de documento suspeitas detectadas A análise de dados do host em %{Host Comprometido} detectou um hash de senha comum e pré-calculado suspeito e usado por malware está sendo usado para executar um arquivo. O grupo de atividades HYDROGEN tem sido conhecido por usar a senha para executar malware em um host vítima. - Alta
Execução suspeita do comando VBScript.Encode detectada A análise de dados do host em %{Host Comprometido} detectou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para que os usuários examinem o código. A pesquisa de ameaças da Microsoft mostra que invasores geralmente usam arquivos VBscript codificados como parte do ataque para enganar sistemas de detecção. Pode ser uma atividade legítima ou uma indicação de um host comprometido. - Médio
Execução suspeita via rundll32.exe detectada A análise de dados do host em %{Host Comprometido} detectou que o rundll32.exe está sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processos visto anteriormente usado pelo grupo de atividades GOLD ao instalar o implante de primeiro estágio em um host comprometido. - Alta
Comandos de limpeza de arquivo suspeitos detectados A análise de dados do host em %{Host Comprometido} detectou uma combinação de comandos systeminfo que foi associada anteriormente com um dos métodos do grupo de atividades GOLD de realização da atividade de autolimpeza pós-comprometimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas seguida por um comando de exclusão da maneira que ocorreu aqui é raro. - Alta
Criação de arquivo suspeito detectada A análise de dados do host em %{Host Comprometido} detectou a criação ou execução de um processo que indicou anteriormente uma ação de pós-comprometimento realizada em um host vítima por grupo de atividades BARIUM. Este grupo de atividades tem sido conhecido por usar esta técnica para baixar mais malware para um host comprometido depois de um anexo em um documento de phishing ter sido aberto. - Alta
Comunicações de pipe nomeado suspeitas detectadas A análise de dados do host em %{Host Comprometido} detectou dados que estão sendo gravados em um pipe nomeado local por um comando do console do Windows. Pipes nomeados são conhecidos por serem um canal usado por invasores para criar tarefas e se comunicar com um implante mal-intencionado. Pode ser uma atividade legítima ou uma indicação de um host comprometido. - Alta
Atividade de rede suspeita detectada A análise do tráfego de rede de %{Host Comprometido} detectou uma atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela. - Baixo
Nova regra de firewall suspeita detectada A análise de dados do host detectou que uma nova regra de firewall foi adicionada por meio de netsh.exe para permitir o tráfego de um executável em uma localização suspeita. - Médio
Uso suspeito de CACLS detectado para diminuir o estado de segurança do sistema Os invasores usam inúmeras maneiras para conseguir o comprometimento inicial e entrar na rede, como força bruta, spear phishing, entre outros. Depois que o comprometimento inicial é atingido, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Cacls – lista de controle de acesso curta para alteração é o utilitário de linha de comando nativo do Microsoft Windows geralmente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado por invasores para reduzir as configurações de segurança de um sistema. Isso é feito concedendo a todos acesso completo a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, entre outros. A análise de dados do host em %{Host Comprometido} detectou uso suspeito de Cacls para reduzir a segurança de um sistema. - Médio
Uso suspeito de opção de FTP -s detectado A análise de dados da criação do processo no %{Host Comprometido} detectou o uso da opção "-s:filename" do FTP. Esta opção é usada para especificar um arquivo de script de FTP para que o cliente seja executado. Malware ou processos mal-intencionados são conhecidos por usar a opção FTP (-s:nomedoarquivo) para apontar para um arquivo de script que está configurado para se conectar a um servidor FTP remoto e baixar mais binários mal-intencionados. - Médio
Uso suspeito detectado de Pcalua.exe para iniciar o código executável A análise de dados do host em %{Host Comprometido} detectou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é um componente do "Assistente de compatibilidade de programa" do Microsoft Windows que detecta problemas de compatibilidade durante a instalação ou execução de um programa. Os invasores são conhecidos por abusar da funcionalidade das ferramentas do sistema Windows legítimas para realizar ações mal-intencionadas, por exemplo, usar pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou de compartilhamentos remotos. - Médio
Desabilitação de serviços críticos detectada A análise de dados do host em %{Host Comprometido} detectou a execução do comando "net.exe stop" que está sendo usado para interromper serviços críticos como SharedAccess ou no aplicativo Segurança do Windows. A interrupção de qualquer um desses serviços pode ser uma indicação de um comportamento mal-intencionado. - Médio
Comportamento relacionado à mineração de moeda digital detectado A análise de dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital. - Alta
Criação de script do PS dinâmico A análise de dados do host em %{Host Comprometido} detectou um script do PowerShell que está sendo construído dinamicamente. Os invasores algumas vezes usam essa abordagem para compilar progressivamente um script para fugir de sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. - Médio
Executável encontrado em execução em um local suspeito A análise de dados do host detectou um arquivo executável em %{Host Comprometido} que está sendo executado de um local em comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido. - Alta
Comportamento de ataque sem arquivos detectado
(VM_FilelessAttackBehavior.Windows)
A memória do processo especificado contém comportamentos geralmente usados por ataques sem arquivos. Os comportamentos específicos incluem:
1) Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
2) Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
3) Chamadas de função para interfaces do sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
4) Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Evasão de defesa Baixo
Técnica de ataque de sem arquivos detectada
(VM_FilelessAttackTechnique.Windows)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivos. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem:
1) Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
2) Imagem executável injetada no processo, como em um ataque de injeção de código.
3) Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
4) Chamadas de função para interfaces do sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
5) O esvaziamento do processo, que é uma técnica usada pelo malware no qual um processo legítimo é carregado no sistema para atuar como um contêiner para o código hostil.
6) Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Evasão de Defesa, Execução Alta
Kit de ferramentas de ataque sem arquivos detectado
(VM_FilelessAttackToolkit.Windows)
A memória do processo especificado contém um kit de ferramentas de ataque sem arquivos: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivos usam técnicas que minimizam ou eliminam rastros de malware no disco e reduzem consideravelmente as chances de detecção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:
1) Kits de ferramentas conhecidos e programas de software de mineração de criptografia.
2) Shellcode, que é uma pequena parte do código geralmente usada como o conteúdo na exploração de uma vulnerabilidade de software.
3) Executável mal-intencionado injetado na memória do processo.
Evasão de Defesa, Execução Médio
Software de alto risco detectado A análise de dados do host de %{Host Comprometido} detectou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software mal-intencionado é empacotá-lo em ferramentas benignas, como aquela vista neste alerta. Ao usar as ferramentas, o malware poderá ser instalado silenciosamente em segundo plano. - Médio
Os membros do grupo de administradores locais foram enumerados Os logs do computador indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. Especificamente, %{Nome de Domínio de Usuário de Enumeração}%{Nome do Usuário da Enumeração} enumerou remotamente os membros do grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. A atividade pode ser uma atividade legítima ou uma indicação de que um computador em sua organização foi comprometido e usado para o reconhecimento de %{nomedavm}. - Informativo
Regra de firewall mal-intencionado criada pelo implante do servidor ZINC [visto várias vezes] Uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra era possivelmente usada para abrir uma porta no %{Host Comprometido} para permitir comunicações de Comando & Controle. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Alta
Atividade do SQL mal-intencionada Os logs do computador indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. A atividade é considerada mal-intencionada. - Alta
Várias contas de domínio consultadas A análise de dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado em um curto período pelo %{Host Comprometido}. Esse tipo de atividade pode ser legítimo, mas também pode ser uma indicação de comprometimento. - Médio
Possível despejo de credencial detectado [visto várias vezes] A análise de dados do host detectou o uso de uma ferramenta nativa do Windows (por exemplo, sqldumper.exe) em um modo que permite extrair credenciais da memória. Os invasores geralmente usam essas técnicas para extrair as credenciais que usam posteriormente para movimentação lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível tentativa de ignorar o AppLocker detectada A análise de dados do host em %{Host Comprometido} detectou uma possível tentativa de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita quais executáveis podem ser executados em um sistema Windows. O padrão da linha de comando semelhante àquele identificado neste alerta foi associado anteriormente às tentativas de o invasor contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Pode ser uma atividade legítima ou uma indicação de um host comprometido. - Alta
Execução do PsExec detectada
(VM_RunByPsExec)
A análise de dados do host indica que o processo %{Nome do Processo} foi executado pelo utilitário PsExec. O PsExec pode ser usado para executar processos remotamente. A técnica pode ser usada para fins mal-intencionados. Movimento Lateral, Execução Informativo
Indicadores de ransomware detectados [visto várias vezes] A análise de dados do host indica atividades suspeitas tradicionalmente associadas a ransomware de tela de bloqueio e de criptografia. O ransomware de tela de bloqueio exibe uma mensagem de tela inteira que impede o uso interativo do host e o acesso aos seus arquivos. O ransomware de criptografia impede o acesso criptografando arquivos de dados. Em ambos os casos, uma mensagem de resgate é normalmente exibida solicitando pagamento para restaurar o acesso ao arquivo. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Alta
Indicadores de ransomware detectados A análise de dados do host indica atividades suspeitas tradicionalmente associadas a ransomware de tela de bloqueio e de criptografia. O ransomware de tela de bloqueio exibe uma mensagem de tela inteira que impede o uso interativo do host e o acesso aos seus arquivos. O ransomware de criptografia impede o acesso criptografando arquivos de dados. Em ambos os casos, uma mensagem de resgate é normalmente exibida solicitando pagamento para restaurar o acesso ao arquivo. - Alta
Grupo de serviço do SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
O processo do sistema SVCHOST foi executado em um grupo de serviço raro. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas. Evasão de Defesa, Execução Informativo
Ataque a teclas de aderência detectado A análise de dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo teclas de aderência, teclado na tela, narrador) para fornecer acesso à backdoor do host %{Host Comprometido}. - Médio
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Várias tentativas de entrada foram detectadas na mesma origem. Algumas delas se autenticaram com êxito no host.
Isso é semelhante a um ataque de intermitência, no qual um invasor realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.
Exploração Médio/Alto
Indicação de nível de integridade suspeito de sequestro de RDP A análise de dados do host detectou o tscon.exe em execução com privilégios SYSTEM – pode indicar que um invasor está abusando desse binário para alternar o contexto para qualquer outro usuário conectado no host; trata-se de uma técnica conhecida do invasor para comprometer mais contas de usuário e movê-las lateralmente em uma rede. - Médio
Instalação de serviço suspeito A análise de dados do host detectou a instalação de tscon.exe como um serviço: esse binário sendo iniciado como um serviço potencialmente permite que um invasor alterne de forma trivial para qualquer outro usuário conectado no host, sequestrando conexões RDP; essa é uma técnica conhecida de invasor para comprometer mais contas de usuário e movê-las lateralmente em uma rede. - Médio
Parâmetros de ataque de Golden Ticket do Kerberos suspeitos observados A análise de dados do host detectou parâmetros da linha de comando consistentes com um ataque de Golden Ticket do Kerberos. - Médio
Criação de conta suspeita detectada A análise de dados do host em %{Host Comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeita}: esse nome de conta é semelhante à uma conta padrão do Windows ou um nome de grupo "%{Semelhante a Nome da Conta}". Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano. - Médio
Atividade suspeita detectada
(VM_SuspiciousActivity)
A análise de dados do host detectou uma sequência de um ou mais processos em execução em %{nome do computador} que historicamente estão associados a atividades mal-intencionadas. Embora comandos individuais possam parecer benignos, o alerta é classificado com base em uma agregação desses comandos. Pode ser uma atividade legítima ou uma indicação de um host comprometido. Execução Médio
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Embora nenhuma delas tenha sido bem-sucedida, algumas contas usadas foram reconhecidas pelo host. É semelhante a um ataque de dicionário, em que um invasor realiza várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para acessar o host. Indica que alguns dos nomes de conta de host podem existir em um dicionário de nome de conta conhecido. Investigação Médio
Segmento de código suspeito detectado Indica que um segmento de código foi alocado usando métodos não padrão, como aqueles da injeção refletiva e do esvaziamento de processo. O alerta processa mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado. - Médio
Execução de comando suspeito
(VM_SuspiciousCommandLineExecution)
Os logs do computador indicam uma execução de linha de comando suspeita pelo usuário %{nome do usuário}. Execução Alta
Arquivo de extensão dupla suspeito executado A análise de dados do host indica uma execução de um processo com uma extensão dupla suspeita. A extensão pode induzir os usuários a pensar que os arquivos são seguros para serem abertos e podem indicar a presença de malware no sistema. - Alta
Download suspeito usando o Certutil detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou o uso de certutil.exe, um utilitário interno do administrador, para baixar um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificado. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Download suspeito usando o Certutil detectado A análise de dados do host em %{Host Comprometido} detectou o uso de certutil.exe, um utilitário interno do administrador, para baixar um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificado. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. - Médio
Falha na execução suspeita da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Uma falha suspeita de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Essas falhas podem ser associadas a scripts mal-intencionados executados por essa extensão.
Execução Médio
Atividade suspeita do PowerShell detectada A análise de dados do host detectou um script do PowerShell em execução no %{Host Comprometido} que tem recursos em comum com scripts suspeitos conhecidos. O script pode ser uma atividade legítima ou uma indicação de um host comprometido. - Alta
Cmdlets suspeitos do PowerShell executados A análise de dados do host indica a execução de cmdlets mal-intencionados do PowerShell PowerSploit. - Médio
Processo suspeito executado [visto várias vezes] Os logs do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução no computador, geralmente associado com as tentativas de o invasor acessar as credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Alta
Processo suspeito executado Os logs do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução no computador, geralmente associado com as tentativas de o invasor acessar as credenciais. - Alta
Nome de processo suspeito executado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondente a uma ferramenta de invasor conhecida ou nomeada de uma forma que sugere ferramentas do invasor que tentam ocultar à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Nome de processo suspeito detectado A análise de dados do host em %{Host Comprometido} detectou um processo cujo nome é suspeito, por exemplo, correspondente a uma ferramenta de invasor conhecida ou nomeada de uma forma que sugere ferramentas do invasor que tentam ocultar à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. - Médio
Intermitência de encerramento do processo suspeita
(VM_TaskkillBurst)
A análise de dados do host indica uma intermitência de encerramento do processo suspeita em %{Nomes do Computador}. Especificamente, os processos %{NumberOfCommands} foram interrompidos entre %{Begin} e %{Ending}. Evasão de defesa Baixo
Processo de proteção de tela suspeito executado
(VM_SuspiciousScreenSaverExecution)
O processo "%{nome do processo}" foi executado em um local incomum. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows. Evasão de Defesa, Execução Médio
Atividade SQL suspeita Os logs do computador indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. Esta atividade não é comum nesta conta. - Médio
Processo SVCHOST suspeito executado O processo do sistema SVCHOST foi executado em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas. - Alta
Processo suspeito do sistema executado
(VM_SystemProcessInAbnormalContext)
O processo do sistema %{nome do processo} foi executado em um contexto anormal. O malware geralmente usa este nome de processo para mascarar suas atividades mal-intencionadas. Evasão de Defesa, Execução Alta
Atividade de cópia de sombra de volume suspeita A análise de dados do host detectou uma atividade de exclusão de cópia de sombra no recurso. Cópia de sombra de volume (VSC) é um artefato importante que armazena instantâneos de dados. Alguns malwares e especificamente ransomware visam o VSC para sabotar estratégias de backup. - Alta
Valor de registro suspeito do WindowPosition detectado A análise de dados do host em %{Host Comprometido} detectou uma tentativa de alteração da configuração do registro do WindowPosition, o que pode ser um indicativo de ocultação de janelas de aplicativo em seções não visíveis da área de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: esse tipo de atividade foi associado anteriormente a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware, como Win32/Creprote. Quando o valor de WindowPosition é definido como 201329664, (hexa: 0x0c00 0c00, correspondente ao eixo X = 0c00 e ao eixo Y = 0c00), isso coloca a janela do aplicativo do console em uma seção não visível da tela do usuário em uma área ocultada da exibição abaixo do menu iniciar/barra de tarefas visível. O valor hexadecimal suspeito conhecido inclui c000c000, sem limitações - Baixo
Processo nomeado suspeito detectado A análise de dados do host em %{Host Comprometido} detectou um processo cujo nome é muito semelhante, porém diferente, de um processo de execução muito comum (%{Semelhante ao Nome do Processo}). Embora esse processo possa ser de invasores benignos, às vezes se ocultam claramente nomeando suas ferramentas mal-intencionadas para se parecer com nomes de processo legítimos. - Médio
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Uma redefinição de configuração incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir a configuração na sua máquina virtual e comprometê-la.
Acesso com credencial Médio
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
A exclusão incomum de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Execução incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
A execução incomum de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Execução de processo incomum detectada A análise de dados do host em %{Host Comprometido} detectou a execução de um processo incomum do %{Nome do Usuário}. Contas como %{Nome do Usuário} tendem a realizar um conjunto limitado de operações. A execução foi determinada como fora do comum e pode ser suspeita. - Alta
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Uma redefinição de senha de usuário incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir as credenciais de um usuário local na sua máquina virtual e comprometê-la.
Acesso com credencial Médio
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Uma redefinição de chave SSH de usuário incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir a chave SSH de uma conta de usuário na sua máquina virtual e comprometê-la.
Acesso com credencial Médio
Alocação de objeto VBScript HTTP detectada Foi detectada a criação de um arquivo VBScript usando o prompt de comando. O script a seguir contém o comando de alocação de objeto HTTP. A ação pode ser usada para baixar arquivos mal-intencionados. - Alta
Método de persistência do registro do Windows detectado
(VM_RegistryPersistencyKey)
A análise de dados do host detectou uma tentativa de manter um executável no registro do Windows. Um malware geralmente usa essa técnica para sobreviver a uma inicialização. Persistência Baixo

Alertas para computadores Linux

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Linux são:

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Um arquivo de histórico foi limpo A análise de dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastreamentos. A operação foi executada pelo usuário: "%{nome do usuário}". - Médio
Acesso ao arquivo htaccess detectado
(VM_SuspectHtaccessFileAccess)
A análise de dados do host em %{Host Comprometido} detectou uma possível manipulação de um arquivo htaccess. O htaccess é um arquivo de configuração poderoso que permite que você faça várias alterações em um servidor Web que executa o software Apache Web, incluindo a funcionalidade básica de redirecionamento, ou para funções mais avançadas, como a proteção de senha básica. Os invasores geralmente modificam arquivos htaccess em máquinas que estão comprometidas para obter persistência. Persistência, Evasão de Defesa, Execução Médio
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
A exclusão de arquivos na extensão de antimalware com uma ampla regra de exclusão foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
- Médio
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Desabilitação de antimalware e execução de código simultâneas na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
- Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Desabilitação de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Evasão de defesa Médio
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Exclusão de arquivo na verificação de antimalware e execução de código simultâneas por meio de uma extensão de script personalizado na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Evasão de Defesa, Execução Alta
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de arquivos na extensão de antimalware em paralelo à execução de código por meio de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de Defesa, Execução Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Exclusão de arquivo da verificação de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
A desabilitação da proteção em tempo real da extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A desabilitação temporária da proteção em tempo real da extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A desabilitação temporária da proteção em tempo real da extensão de antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
- Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Uma regra de exclusão foi detectada em sua máquina virtual para evitar que sua extensão antimalware verifique certos arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware. Evasão de defesa Médio
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Desabilitação temporária de antimalware na sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
- Médio
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
A exclusão incomum de arquivo na extensão de antimalware foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Evasão de defesa Médio
Tentativa de interromper o serviço apt-daily-upgrade.timer detectada [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou uma tentativa de interromper o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para o ataque. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Baixo
Tentativa de interromper o serviço apt-daily-upgrade.timer detectada
(VM_TimerServiceDisabled)
A análise de dados do host em %{Host Comprometido} detectou uma tentativa de interromper o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para o ataque. Evasão de defesa Baixo
Comportamento semelhante a bots Linux comuns detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução de um processo normalmente associado a botnets comuns do Linux. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Comportamento semelhante a bots Linux comuns detectado
(VM_CommonBot)
A análise de dados do host em %{Host Comprometido} detectou a execução de um processo normalmente associado a botnets comuns do Linux. Execução, Coleção, Comando e Controle Médio
Comportamento semelhante ao ransomware do Fairware detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução de comandos rm -rf aplicados a locais suspeitos. Como o rm -rf excluirá arquivos recursivamente, ele é normalmente usado em pastas discretas. Nesse caso, ele está sendo usado em um local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Comportamento semelhante ao ransomware do Fairware detectado
(VM_FairwareMalware)
A análise de dados do host em %{Host Comprometido} detectou a execução de comandos rm -rf aplicados a locais suspeitos. Como o rm -rf excluirá arquivos recursivamente, ele é normalmente usado em pastas discretas. Nesse caso, ele está sendo usado em um local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. Execução Médio
Comportamento semelhante ao ransomware detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução de arquivos que têm a aparência do ransomware conhecido que podem impedir que os usuários acessem o sistema ou os arquivos pessoais e exige o pagamento de resgate para obter acesso novamente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Alta
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial, Persistência, Execução, Comando e controle, Exploração Médio
Contêiner com uma imagem de mineração detectada
(VM_MinerInContainerImage)
Os logs de computador indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moedas digitais. Execução Alta
Execução de minerador de criptomoeda
(VM_CryptoCoinMinerExecution)
A análise de dados de host/dispositivo detectou um processo que está sendo iniciado de maneira muito semelhante a um processo de mineração de moeda. Execução Médio
Extensão de script personalizado com um comando suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizado com um comando suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar a extensão de script personalizado para executar um código mal-intencionado na sua máquina virtual por meio do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com um ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizado com um ponto de entrada suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura. O ponto de entrada refere-se a um repositório GitHub suspeito.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com um conteúdo suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizado com um conteúdo de um repositório GitHub suspeito foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando A análise de dados do host em %{Host Comprometido} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido. - Médio
Download de arquivo de uma fonte mal-intencionada conhecida detectado [visto várias vezes]
(VM_SuspectDownload)
A análise de dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Host Comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] Elevação de Privilégios, Execução, Exfiltração, Comando e Controle Médio
Download de arquivo de uma fonte mal-intencionada conhecida detectado A análise de dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Host Comprometido}. - Médio
Tentativa de persistência detectada [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a instalação de um script de inicialização para o modo de usuário único. É extremamente raro um processo legítimo precisar ser executado dessa forma. Portanto, isso pode indicar que um invasor adicionou um processo mal-intencionado a cada nível de execução para garantir a persistência. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Tentativa de persistência detectada
(VM_NewSingleUserModeStartupScript)
A análise de dados do host detectou que um script de inicialização para o modo de usuário único foi instalado.
Como é raro que qualquer processo legítimo seja necessário para ser executado nesse modo, pode indicar que um invasor adicionou um processo mal-intencionado a cada nível de execução para garantir a persistência.
Persistência Médio
Download de arquivo suspeito detectado [visto várias vezes] A análise de dados do host detectou um download suspeito do arquivo remoto em %{Host Comprometido}. Esse comportamento foi visto 10 vezes hoje nos seguintes computadores: [Nomes dos computadores] - Baixo
Download de arquivo suspeito detectado
(VM_SuspectDownloadArtifacts)
A análise de dados do host detectou um download suspeito do arquivo remoto em %{Host Comprometido}. Persistência Baixo
Atividade de rede suspeita detectada A análise do tráfego de rede de %{Host Comprometido} detectou uma atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela. - Baixo
Uso suspeito do comando useradd detectado [visto várias vezes] A análise de dados do host detectou o uso suspeito do comando useradd em %{Host Comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Uso suspeito do comando useradd detectado
(VM_SuspectUserAddition)
A análise de dados do host detectou o uso suspeito do comando useradd em %{Host Comprometido}. Persistência Médio
Comportamento relacionado à mineração de moeda digital detectado A análise de dados do host em %{Host Comprometido} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital. - Alta
Desabilitação do log de auditoria [visto várias vezes] O sistema de auditoria do Linux fornece uma maneira de controlar informações relevantes para a segurança no sistema. Registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Desabilitar o log de auditoria pode dificultar a descoberta de violações de políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Baixo
Executável encontrado em execução em um local suspeito
(VM_SuspectExecutablePath)
A análise de dados do host detectou um arquivo executável em %{Host Comprometido} que está sendo executado de um local em comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido. Execução Alta
Exploração da vulnerabilidade do Xorg [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou o usuário de Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de elevação de privilégio. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Daemon do Docker exposto por soquete TCP
(VM_ExposedDocker)
Os logs de computador indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. Isso permite acesso completo ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. Execution, Exploitation Médio
Ataque de força bruta de SSH com falha
(VM_SshBruteForceFailed)
Ataques de força bruta com falha foram detectados dos seguintes invasores :%{Attackers}. Os invasores tentaram acessar o host com os seguintes nomes de usuário: %{Accounts used on failed sign in to host attempts}. Investigação Médio
Comportamento de Ataque sem Arquivos Detectado
(VM_FilelessAttackBehavior.Linux)
A memória do processo especificado abaixo contém comportamentos geralmente usados por ataques sem arquivos.
Os comportamentos específicos incluem: {lista de comportamentos observados}
Execução Baixo
Técnica de Ataque sem Arquivos Detectada
(VM_FilelessAttackTechnique.Linux)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivos. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança.
Os comportamentos específicos incluem: {lista de comportamentos observados}
Execução Alta
Kit de Ferramentas de Ataque sem Arquivos Detectado
(VM_FilelessAttackToolkit.Linux)
A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivos: {nome do kit de ferramentas}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional.
Os comportamentos específicos incluem: {lista de comportamentos observados}
Evasão de Defesa, Execução Alta
Execução de arquivo oculto detectada A análise de dados do host indica que um arquivo oculto foi executado por %{nome do usuário}. A atividade pode ser legítima ou uma indicação de um host comprometido. - Informativo
Indicadores associados ao kit de ferramentas DDOS detectados [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de iniciar ataques de DDoS, abrir portas e serviços e assumir controle total sobre o sistema infectado. Também pode ser uma atividade legítima. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Indicadores associados ao kit de ferramentas DDOS detectados
(VM_KnownLinuxDDoSToolkit)
A análise de dados do host em %{Host Comprometido} detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de iniciar ataques de DDoS, abrir portas e serviços e assumir controle total sobre o sistema infectado. Também pode ser uma atividade legítima. Persistência, Movimento Lateral, Execução, Exploração Médio
Reconhecimento de host local detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução de um comando normalmente associado ao reconhecimento de bots comuns do Linux. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Reconhecimento de host local detectado
(VM_LinuxReconnaissance)
A análise de dados do host em %{Host Comprometido} detectou a execução de um comando normalmente associado ao reconhecimento de bots comuns do Linux. Descoberta Médio
Manipulação do firewall do host detectada [visto várias vezes]
(VM_FirewallDisabled)
A análise de dados do host em %{Host Comprometido} detectou uma possível manipulação de um firewall no host. Os invasores geralmente desabilitarão isso para exportar dados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] Evasão de Defesa, Exfiltração Médio
Manipulação do firewall do host detectada A análise de dados do host em %{Host Comprometido} detectou uma possível manipulação de um firewall no host. Os invasores geralmente desabilitarão isso para exportar dados. - Médio
Agente MITRE Caldera detectado
(VM_MitreCalderaTools)
Os logs do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava sendo executado em %{Host Comprometido}. Isso geralmente está associado ao agente MITRE 54ndc47, que pode ser usado de forma mal-intencionada para atacar outros computadores de alguma forma. Tudo Médio
Nova chave SSH adicionada [visto várias vezes]
(VM_SshKeyAddition)
Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] Persistência Baixo
Nova chave SSH adicionada Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas - Baixo
Possível ferramenta de ataque detectada [visto várias vezes] Os logs do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava sendo executado em %{Host Comprometido}. A ferramenta geralmente está associada a usuários mal-intencionados que atacam outros computadores de alguma forma. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível ferramenta de ataque detectada
(VM_KnownLinuxAttackTool)
Os logs do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava sendo executado em %{Host Comprometido}. A ferramenta geralmente está associada a usuários mal-intencionados que atacam outros computadores de alguma forma. Execução, Coleção, Comando e Controle, Sondagem Médio
Possível backdoor detectado [visto várias vezes] A análise de dados do host detectou um arquivo suspeito sendo baixado e executado em %{Host Comprometido} em sua assinatura. A atividade foi associada anteriormente à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível ferramenta de acesso à credencial detectada [visto várias vezes] Os logs do computador indicam que uma possível ferramenta de acesso à credencial conhecida estava em execução em %{Host Comprometido} iniciado pelo processo: "%{Processo Suspeito}". Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível ferramenta de acesso à credencial detectada
(VM_KnownLinuxCredentialAccessTool)
Os logs do computador indicam que uma possível ferramenta de acesso à credencial conhecida estava em execução em %{Host Comprometido} iniciado pelo processo: "%{Processo Suspeito}". Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais. Acesso com credencial Médio
Possível exfiltração dos dados [visto muitas vezes] A análise de dados do host em %{Host Comprometido} detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível exfiltração dos dados
(VM_DataEgressArtifacts)
A análise de dados do host em %{Host Comprometido} detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. Coleção, exfiltração Médio
Possível exploração do Hadoop Yarn
(VM_HadoopYarnExploit)
A análise de dados do host em %{Host Comprometido} detectou a possível exploração do serviço Hadoop Yarn. Exploração Médio
Possível exploração do servidor de email detectada
(VM_MailserverExploitation )
A análise dos dados do host em %{Host Comprometido} detectou uma execução incomum na conta do servidor de email Exploração Médio
Possível atividade de adulteração de log detectada [visto várias vezes] A análise de dados do host no %{Host Comprometido} detectou uma possível remoção de arquivos que rastreiam a atividade do usuário durante a operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível atividade de adulteração de log detectada
(VM_SystemLogRemoval)
A análise de dados do host no %{Host Comprometido} detectou uma possível remoção de arquivos que rastreiam a atividade do usuário durante a operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log. Evasão de defesa Médio
Possível web shell mal-intencionado detectado [visto várias vezes]
(VM_Webshell)
A análise de dados do host em %{Host Comprometido} detectou um possível web shell. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] Persistência, Exploração Médio
Possível web shell mal-intencionado detectado A análise de dados do host em %{Host Comprometido} detectou um possível web shell. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração. - Médio
Possível alteração de senha usando o método de criptografia detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou alteração de senha usando o método de criptografia. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível substituição de arquivos comuns [visto várias vezes] A análise de dados do host detectou executáveis comuns sendo substituídos em %{Host Comprometido}. Os invasores substituirão arquivos comuns como uma maneira de ofuscar suas ações ou para persistência. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível substituição de arquivos comuns
(VM_OverridingCommonFiles)
A análise de dados do host detectou executáveis comuns sendo substituídos em %{Host Comprometido}. Os invasores substituirão arquivos comuns como uma maneira de ofuscar suas ações ou para persistência. Persistência Médio
Possível encaminhamento de porta para endereço IP externo [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a inicialização do encaminhamento de porta para um endereço IP externo. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível encaminhamento de porta para endereço IP externo
(VM_SuspectPortForwarding)
A análise de dados do host em detectou a inicialização do encaminhamento de porta para um endereço IP externo. Exfiltração, Comando e Controle Médio
Possível shell reverso detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou um possível shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Possível shell reverso detectado
(VM_ReverseShell)
A análise de dados do host em %{Host Comprometido} detectou um possível shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. Exfiltração, Exploração Médio
Execução de comando privilegiado no contêiner
(VM_PrivilegedExecutionInContainer)
Os logs do computador indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos no computador host. Escalonamento de Privilégios Baixo
Contêiner privilegiado detectado
(VM_PrivilegedContainerArtifacts)
Os logs do computador indicam que um contêiner do Docker privilegiado está em execução. Um contêiner privilegiado tem acesso completo aos recursos do host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao computador host. Elevação de Privilégio, Execução Baixo
Processo associado à mineração de moeda digital detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto 100 vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Processo associado à mineração de moeda digital detectado A análise de dados do host detectou a execução de um processo que é normalmente associado à mineração de moeda digital. Exploração, Execução Médio
Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
(VM_SshKeyAccess)
Um arquivo de chaves autorizadas SSH foi acessado em um método semelhante a campanhas de malware conhecidas. O acesso pode indicar que um invasor está tentando obter acesso persistente a um computador. - Baixo
Ferramenta de download codificada do Python detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou a execução do Python codificado que baixa e executa código de um local remoto. Pode ser uma indicação de atividade mal-intencionada. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Baixo
Captura de tela obtida no host [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar as ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Baixo
Incompatibilidade de extensão de script detectada [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou uma incompatibilidade entre o intérprete do script e a extensão do arquivo de script fornecido como entrada. Com frequência é associada às execuções de script do invasor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Incompatibilidade de extensão de script detectada
(VM_MismatchedScriptFeatures)
A análise de dados do host em %{Host Comprometido} detectou uma incompatibilidade entre o intérprete do script e a extensão do arquivo de script fornecido como entrada. Com frequência é associada às execuções de script do invasor. Evasão de defesa Médio
Shellcode detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou shellcode sendo gerado pela linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
A análise de dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Alguns logons foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrada bem-sucedida no host}. Significa que o host pode estar comprometido e controlado por um ator mal-intencionado. Exploração Alta
Acesso ao arquivo de senha suspeito
(VM_SuspectPasswordFileAccess)
A análise de dados do host detectou um acesso suspeito a senhas de usuário criptografadas. Persistência Informativo
Criação de conta suspeita detectada A análise de dados do host em %{Host Comprometido} detectou a criação ou o uso de uma conta local %{Nome de conta suspeita}: esse nome de conta é semelhante à uma conta padrão do Windows ou um nome de grupo "%{Semelhante a Nome da Conta}". Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano. - Médio
Compilação suspeita detectada [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou uma compilação suspeita. Os invasores geralmente compilam explorações em um computador comprometido para elevar privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Compilação suspeita detectada
(VM_SuspectCompilation)
A análise de dados do host em %{Host Comprometido} detectou uma compilação suspeita. Os invasores geralmente compilam explorações em um computador comprometido para elevar privilégios. Elevação de Privilégios, Exploração Médio
DNS suspeito por HTTPS
(VM_SuspiciousDNSOverHttps)
A análise de dados do host indica o uso de uma chamada DNS por HTTPS de maneira incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados. Evasão de Defesa, Exfiltração Médio
Falha na execução suspeita da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Uma falha suspeita de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Essas falhas podem ser associadas a scripts mal-intencionados executados por essa extensão.
Execução Médio
Módulo kernel suspeito detectado [visto várias vezes] A análise de dados do host em %{Host Comprometido} detectou um arquivo de objeto compartilhado sendo carregado como um módulo kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Médio
Acesso suspeito à senha [visto várias vezes] A análise de dados do host detectou um acesso suspeito a senhas de usuário criptografadas em %{Host Comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores] - Informativo
Acesso suspeito à senha A análise de dados do host detectou um acesso suspeito a senhas de usuário criptografadas em %{Host Comprometido}. - Informativo
Execução de PHP suspeito detectada
(VM_SuspectPhp)
Os logs do computador indicam que um processo de PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP na linha de comando usando o processo PHP. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também é observado em atividades mal-intencionadas, como tentativas de infectar sites com web shells. Execução Médio
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Os logs do computador indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido. LateralMovement Médio
Ameaça de domínio suspeito da linha de comando da Intel
(VM_ThreatIntelCommandLineSuspectDomain)
O processo 'PROCESSNAME' no 'HOST' conectou-se a um local que foi relatado como mal-intencionado ou incomum. Esse é um indicador de que um comprometimento pode ter ocorrido. Acesso inicial Médio
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Uma redefinição de configuração incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir a configuração na sua máquina virtual e comprometê-la.
Acesso com credencial Médio
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
A exclusão incomum de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Execução incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
A execução incomum de uma extensão de script personalizado foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Os invasores podem usar extensões de script personalizado para executar um código mal-intencionado nas suas máquinas virtuais por meio do Azure Resource Manager.
Execução Médio
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Uma redefinição de senha de usuário incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir as credenciais de um usuário local na sua máquina virtual e comprometê-la.
Acesso com credencial Médio
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Uma redefinição de chave SSH de usuário incomum foi detectada na sua máquina virtual pela análise das operações do Azure Resource Manager na sua assinatura.
Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão Acesso à VM para redefinir a chave SSH de uma conta de usuário na sua máquina virtual e comprometê-la.
Acesso com credencial Médio

Alertas do Serviço de Aplicativo do Azure

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows
(AppServices_LinuxCommandOnWindows)
A análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando do Linux em um Serviço de Aplicativo do Windows. A ação estava sendo executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum.
(Aplica-se a: Serviço de Aplicativo no Windows)
- Médio
Um IP que se conectou à interface FTP do Serviço de Aplicativo do Azure foi encontrado na ferramenta Inteligência Contra Ameaças
(AppServices_IncomingTiClientIpFtp)
O log de FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem que foi encontrado no feed de inteligência contra ameaças. Durante a conexão, um usuário acessou as páginas listadas.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Acesso inicial Médio
Tentativa de executar o comando de alto privilégio detectado
(AppServices_HighPrivilegeCommand)
A análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando que requer privilégios altos.
O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos Web esse comportamento também é observado em atividades mal-intencionadas.
(Aplica-se a: Serviço de Aplicativo no Windows)
- Médio
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial, Persistência, Execução, Comando e controle, Exploração Médio
Conexão com a página da Web de endereço IP anormal detectada
(AppServices_AnomalousPageAccess)
O log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial pelo endereço IP de origem listado. Pode indicar que alguém está tentando um ataque de força bruta em suas páginas de administração do aplicativo Web. Também pode ser resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança o alerta para esse recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Acesso inicial Baixo
Registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_DanglingDomain)
Foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendente"). Isso deixa você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
- Alta
Executável codificado detectado em dados da linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
A análise de dados do host em {Host comprometido} detectou um executável codificado em base-64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
(Aplica-se a: Serviço de Aplicativo no Windows)
Evasão de Defesa, Execução Alta
Download de arquivo de uma fonte mal-intencionada conhecida detectado
(AppServices_SuspectDownload)
A análise de dados do host detectou o download de um arquivo de uma fonte de malware conhecida no seu host.
(Aplica-se a: Serviço de Aplicativo no Linux)
Elevação de Privilégios, Execução, Exfiltração, Comando e Controle Médio
Download de arquivo suspeito detectado
(AppServices_SuspectDownloadArtifacts)
A análise de dados do host detectou um download suspeito do arquivo remoto.
(Aplica-se a: Serviço de Aplicativo no Linux)
Persistência Médio
Comportamento relacionado à mineração de moeda digital detectado
(AppServices_DigitalCurrencyMining)
A análise dos dados do host em Inn-Flow-WebJobs detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Alta
Executável decodificado usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
A análise de dados do host em [Entidade comprometida] detectou que certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável, e não para sua finalidade principal relacionada à manipulação de certificados e dados de certificado. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente.
(Aplica-se a: Serviço de Aplicativo no Windows)
Evasão de Defesa, Execução Alta
Comportamento de Ataque sem Arquivos Detectado
(AppServices_FilelessAttackBehaviorDetection)
A memória do processo especificado abaixo contém comportamentos geralmente usados por ataques sem arquivos.
Os comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Médio
Técnica de Ataque sem Arquivos Detectada
(AppServices_FilelessAttackTechniqueDetection)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivos. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança.
Os comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Alta
Kit de Ferramentas de Ataque sem Arquivos Detectado
(AppServices_FilelessAttackToolkitDetection)
A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivos: {nome do kit de ferramentas}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional.
Os comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Evasão de Defesa, Execução Alta
Alerta de teste do Microsoft Defender para Nuvem para o Serviço de Aplicativo (não é uma ameaça)
(AppServices_EICAR)
Este é um alerta de teste gerado pelo Microsoft Defender para Nuvem. Nenhuma outra ação é necessária.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
- Alta
Verificação de NMap detectada
(AppServices_Nmap)
O log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web no recurso do Serviço de Aplicativo.
A atividade suspeita detectada está associada ao NMAP. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
PreAttack Médio
Conteúdo de phishing hospedado no Azure WebApps
(AppServices_PhishingContent)
URL usada para o ataque de phishing encontrada no site do Azure AppServices. Essa URL fazia parte de um ataque de phishing enviado para clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes para inserir as credenciais corporativas ou informações financeiras em um site de aparência legítima.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Coleção Alta
Arquivo PHP na pasta de carregamento
(AppServices_PhpInUploadFolder)
O log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página do PHP suspeita localizada na pasta de upload.
Esse tipo de pasta geralmente não contém arquivos PHP. A existência desse tipo de arquivo pode indicar uma exploração aproveitando vulnerabilidades de carregamento de arquivo arbitrárias.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Médio
Possível download de Cryptocoinminer detectado
(AppServices_CryptoCoinMinerDownload)
A análise de dados do host detectou o download de um arquivo que normalmente é associado à mineração de moeda digital.
(Aplica-se a: Serviço de Aplicativo no Linux)
Evasão de Defesa, Comando e Controle, Exploração Médio
Possível exfiltração dos dados detectada
(AppServices_DataEgressArtifacts)
A análise de dados do host/dispositivo detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos.
(Aplica-se a: Serviço de Aplicativo no Linux)
Coleção, exfiltração Médio
Potencial registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_PotentialDanglingDomain)
Foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendente"). Isso pode deixar você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. Nesse caso, foi encontrado um registro de texto com a ID de verificação de domínio. Esses registros de texto impedem a invasão do domínio, mas ainda recomendamos remover o domínio pendente. Se você deixar o registro DNS apontando para o subdomínio, você estará em risco caso alguém em sua organização exclua o registro ou arquivo TXT no futuro.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
- Baixo
Possível shell reverso detectado
(AppServices_ReverseShell)
A análise de dados do host detectou um possível shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui.
(Aplica-se a: Serviço de Aplicativo no Linux)
Exfiltração, Exploração Médio
Download de dados brutos detectado
(AppServices_DownloadCodeFromWebsite)
A análise dos processos do Serviço de Aplicativo detectou uma tentativa de baixar código de sites de dados brutos, como Pastebin. A ação foi executada por um processo PHP. O comportamento é associado a tentativas de download de web shells ou outros componentes mal-intencionados para o Serviço de Aplicativo.
(Aplica-se a: Serviço de Aplicativo no Windows)
Execução Médio
Salvamento de saída de ondulação para disco detectado
(AppServices_CurlToDisk)
A análise dos processos do Serviço de Aplicativo detectou a execução de um comando de ondulação no qual a saída foi salva no disco. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também é observado em atividades mal-intencionadas, como tentativas de infectar sites com web shells.
(Aplica-se a: Serviço de Aplicativo no Windows)
- Baixo
Referenciador de pasta de spam detectado
(AppServices_SpamReferrer)
O log de atividades do Serviço de Aplicativo do Azure indica uma atividade da Web identificada como proveniente de um site associado a atividade de spam. Isso poderá ocorrer se o seu site for comprometido e usado para atividades de spam.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
- Baixo
Acesso suspeito detectado a uma página da Web possivelmente vulnerável
(AppServices_ScanSensitivePage)
O log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Essa atividade suspeita é originada de um endereço IP cujo padrão de acesso é semelhante ao de uma verificação da Web.
Essa atividade geralmente está associada a uma tentativa de um invasor verificar sua rede para tentar obter acesso a páginas da Web sigilosas ou vulneráveis.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
- Baixo
Referência de nome de domínio suspeito
(AppServices_CommandlineSuspectDomain)
A análise dos dados do host detectou referência ao nome de domínio suspeito. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota.
(Aplica-se a: Serviço de Aplicativo no Linux)
Exfiltração Baixo
Download suspeito usando o Certutil detectado
(AppServices_DownloadUsingCertutil)
A análise de dados do host em {NOME} detectou o uso de certutil.exe, um utilitário de administrador interno, para baixar um binário, e não para finalidade principal relacionada à manipulação de certificados e dados de certificado. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.
(Aplica-se a: Serviço de Aplicativo no Windows)
Execução Médio
Execução de PHP suspeito detectada
(AppServices_SuspectPhp)
Os logs do computador indicam que um processo de PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP na linha de comando usando o processo PHP. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também pode indicar atividades mal-intencionadas, como tentativas de infectar sites com web shells.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Médio
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
A análise de dados do host indica a execução de cmdlets mal-intencionados do PowerShell PowerSploit.
(Aplica-se a: Serviço de Aplicativo no Windows)
Execução Médio
Processo suspeito executado
(AppServices_KnownCredential AccessTools)
Os logs do computador indicam que o processo suspeito: "%{caminho do processo}" estava em execução no computador, geralmente associado a tentativas de acesso a credenciais por parte de um invasor.
(Aplica-se a: Serviço de Aplicativo no Windows)
Acesso com credencial Alta
Nome de processo suspeito detectado
(AppServices_ProcessWithKnownSuspiciousExtension)
A análise de dados do host em {NOME} detectou um processo cujo nome é suspeito, por exemplo, correspondente a uma ferramenta de invasor conhecida ou denominado de uma forma que sugere a presença de ferramentas de invasor que tentam passar despercebidas. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.
(Aplica-se a: Serviço de Aplicativo no Windows)
Persistência, Evasão de Defesa Médio
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
O processo do sistema SVCHOST foi executado em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar sua atividade maliciosa.
(Aplica-se a: Serviço de Aplicativo no Windows)
Evasão de Defesa, Execução Alta
Agente de usuário suspeito detectado
(AppServices_UserAgentInjection)
O log de atividades do Serviço de Aplicativo do Azure indica solicitações com um agente de usuário suspeito. Esse comportamento pode indicar tentativas de exploração de uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Acesso inicial Médio
Invocação de tema do WordPress suspeita detectada
(AppServices_WpThemeInjection)
O log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código no recurso do Serviço de Aplicativo.
A atividade suspeita detectada se assemelha à manipulação de tema do WordPress para dar suporte à execução de código no lado do servidor, seguida por uma solicitação direta da Web para invocar o arquivo de tema manipulado.
Esse tipo de atividade foi visto no passado como parte de uma campanha de ataque no WordPress.
Se o recurso do Serviço de Aplicativo não estiver hospedando um site do WordPress, ele não estará vulnerável a essa exploração de injeção de código específica, e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Execução Alta
Verificação de vulnerabilidades detectada
(AppServices_DrupalScanner)
O log de atividades do Serviço de Aplicativo do Azure indica que uma possível verificação de vulnerabilidades foi usada no recurso do Serviço de Aplicativo.
A atividade suspeita detectada assemelha-se à de ferramentas direcionadas a um CMS (sistema de gerenciamento de conteúdo).
Se o recurso do Serviço de Aplicativo não estiver hospedando um site do Drupal, ele não estará vulnerável a essa exploração de injeção de código específica, e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem.
(Aplica-se a: Serviço de Aplicativo no Windows)
PreAttack Médio
Verificação de vulnerabilidades detectada
(AppServices_JoomlaScanner)
O log de atividades do Serviço de Aplicativo do Azure indica que uma possível verificação de vulnerabilidades foi usada no recurso do Serviço de Aplicativo.
A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos Joomla.
Se o recurso do Serviço de Aplicativo não estiver hospedando um site do Joomla, ele não estará vulnerável a essa exploração de injeção de código específica, e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
PreAttack Médio
Verificação de vulnerabilidades detectada
(AppServices_WpScanner)
O log de atividades do Serviço de Aplicativo do Azure indica que uma possível verificação de vulnerabilidades foi usada no recurso do Serviço de Aplicativo.
A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos WordPress.
Se o recurso do Serviço de Aplicativo não estiver hospedando um site do WordPress, ele não estará vulnerável a essa exploração de injeção de código específica, e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
PreAttack Médio
Impressão digital da web detectada
(AppServices_WebFingerprinting)
O log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web no recurso do Serviço de Aplicativo.
A atividade suspeita detectada está associada a uma ferramenta chamada Blind Elephant. A ferramenta deixa as impressões digitais em servidores Web e tenta detectar os aplicativos instalados e as versões deles.
Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
PreAttack Médio
O site é marcado como mal-intencionado no feed de inteligência contra ameaças
(AppServices_SmartScreen)
Seu site, conforme descrito abaixo, está marcado como um site mal-intencionado pelo Windows SmartScreen. Se você considerar que este é um falso positivo, entre em contato com o Windows SmartScreen por meio do link de comentários do relatório fornecido.
(Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Coleção Médio

Alertas para contêineres – clusters do Kubernetes

O Microsoft Defender para Contêineres fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêineres. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo de K8S_ do tipo de alerta. Alertas de segurança para carga de trabalho de runtime nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_ do tipo de alerta. Todos os alertas têm suporte apenas no Linux, a menos que indicado de outra forma.

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severidade
Tentativa de criar um novo namespace do Linux em um contêiner detectado
(K8S.NODE_NamespaceCreation) 1
A análise de processos em execução em um contêiner no cluster do Kubernetes detectou uma tentativa de criar um novo namespace do Linux. Embora esse comportamento possa ser legítimo, pode indicar que um invasor está tentando escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica. PrivilegeEscalation Médio
Um arquivo de histórico foi limpo
(K8S.NODE_HistoryFileCleared) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou que o arquivo de log de histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada. Evasão de defesa Médio
Atividade anormal da identidade gerenciada associada ao Kubernetes (versão prévia)
(K8S_AbnormalMiAcitivty)
A análise das operações do Azure Resource Manager detectou um comportamento anormal de uma identidade gerenciada usada por um complemento do AKS. A atividade detectada não é consistente com o comportamento do complemento associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes. Movimentação lateral Médio
Operação anormal detectada da conta de serviço do Kubernetes
(K8S_ServiceAccountRareOperation)
A análise do log de auditoria do Kubernetes detectou um comportamento anormal de uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação que não é comum para ela. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados. Movimento lateral, acesso de credencial Médio
Uma tentativa de conexão incomum foi detectada
(K8S.NODE_SuspectConnection) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar detecções de camada de rede. Execução, Exfiltração, Exploração Médio
Implantação de pod anormal (versão prévia)
(K8S_AnomalousPodDeployment) 3
A análise de log de auditoria do Kubernetes detectou a implantação de pod que é anormal com base na atividade de implantação de pod anterior. Essa atividade é considerada uma anormalidade ao levar em conta como os diferentes recursos vistos na operação de implantação estão em relações entre si. Os recursos monitorados incluem o registro de imagem de contêiner usado, a conta que executa a implantação, o dia da semana, a frequência com que essa conta executa implantações de pod, o agente de usuário usado na operação, se esse é um namespace no qual a implantação de pod costuma ocorrer e outros recursos. Os principais motivos que contribuem para a criação desse alerta como atividade anormal são detalhados nas propriedades estendidas do alerta. Execução Médio
Acesso a segredos anormais (versão prévia)
(K8S_AnomalousSecretAccess) 2
A análise do log de auditoria do Kubernetes detectou uma solicitação de acesso a segredo e isso é anormal com base na atividade de acesso a segredo anterior. Essa atividade é considerada uma anormalidade ao levar em conta como os diferentes recursos vistos na operação de acesso a segredo estão em relações às outras. Os recursos monitorados por essa análise incluem o nome de usuário usado, o nome do segredo, o nome do namespace, o agente de usuário usado na operação ou outros recursos. Os principais motivos que contribuem para a criação desse alerta como atividade anormal são detalhados nas propriedades estendidas do alerta. CredentialAccess Médio
Tentativa de interromper o serviço apt-daily-upgrade.timer detectada
(K8S.NODE_TimerServiceDisabled) 1
A análise dos processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma tentativa de interromper o serviço apt-daily-upgrade.timer. Observamos que os invasores tentaram interromper esse serviço para baixar arquivos mal-intencionados e conceder privilégios de execução para os ataques. Essa atividade também poderá ocorrer se o serviço for atualizado por meio de ações administrativas normais. Evasão de defesa Informativo
Comportamento semelhante a bots Linux comuns detectado (Versão prévia)
(K8S.NODE_CommonBot)
A análise de processos em execução em um contêiner ou diretamente em um nó Kubernetes, detectou a execução de um processo normalmente associado a botnets comuns do Linux. Execução, Coleta, Comando e Controle Médio
Comportamento semelhante ao ransomware do Fairware detectado
(K8S.NODE_FairwareMalware) 1
A análise de processos em execução em um contêiner detectou a execução de comandos rm -rf aplicados a locais suspeitos. Como o rm -rf excluirá arquivos recursivamente, ele é normalmente usado em pastas discretas. Nesse caso, ele está sendo usado em um local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. Execução Médio
Comando em um contêiner em execução com privilégios altos
(K8S.NODE_PrivilegedExecutionInContainer) 1
Os logs do computador indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos no computador host. PrivilegeEscalation Baixo
Contêiner em execução no modo privilegiado
(K8S.NODE_PrivilegedContainerArtifacts) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou ao recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod ou host de hospedagem. PrivilegeEscalation, Execution Baixo
Contêiner com uma montagem de volume confidencial detectada
(K8S_SensitiveMount)
A análise do log de auditoria do Kubernetes detectou um novo contêiner com uma montagem de volume confidencial. O volume detectado é um tipo de hostPath que monta um arquivo ou uma pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó. Escalonamento de Privilégios Médio
Modificação de CoreDNS no Kubernetes detectada
(K8S_CoreDnsModification) 23
A análise do log de auditoria do Kubernetes detectou uma modificação da configuração do CoreDNS. A configuração do CoreDNS pode ser modificada substituindo o configmap. Embora essa atividade possa ser legítima, se os invasores tiverem permissões para modificar o configmap, eles poderão alterar o comportamento do servidor DNS do cluster e torná-lo suspeito. Movimentação lateral Baixo
Criação da configuração do webhook de admissão detectada
(K8S_AdmissionController) 3
A análise do log de auditoria do Kubernetes detectou uma nova configuração do webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos internos: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook). Acesso com Credencial, Persistência Baixo
Download de arquivo de uma fonte mal-intencionada conhecida detectado
(K8S.NODE_SuspectDownload) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou, um download de um arquivo de uma fonte usada com frequência para distribuir malware. Elevação de Privilégios, Execução, Exfiltração, Comando e Controle Médio
Download de arquivo suspeito detectado
(K8S.NODE_SuspectDownloadArtifacts) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou um download suspeito de um arquivo remoto. Persistência Baixo
Uso suspeito do comando nohup detectado
(K8S.NODE_SuspectNohup) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou um uso suspeito do comando nohup. Os invasores foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. Não é normal ver esse comando executado em arquivos ocultos localizados em um diretório temporário. Persistência, Evasão de defesa Médio
Uso suspeito do comando useradd detectado
(K8S.NODE_SuspectUserAddition) 1
A análise de processos em execução em um contêiner, ou diretamente em um nó do Kubernetes, detectou um uso suspeito do comando useradd. Persistência Médio
Contêiner de mineração de moeda digital detectado
(K8S_MaliciousContainerImage) 3
A análise do log de auditoria do Kubernetes detectou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moedas digital. Execução Alta
Comportamento relacionado à mineração de moeda digital detectado
(K8S.NODE_DigitalCurrencyMining) 1
A análise de processos em execução em um contêiner ou diretamente em um nó Kubernetes, detectou uma execução de um processo ou comando normalmente associado à mineração de moeda digital. Execução Alta
Operação de build do Docker detectada em um nó do Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detectou uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar imagens mal-intencionadas localmente para evitar a detecção. Evasão de defesa Baixo
Permissões de função excessivas atribuídas no cluster do Kubernetes (versão prévia)
(K8S_ServiceAcountPermissionAnomaly) 3
A análise dos logs de auditoria do Kubernetes detectou uma atribuição de função de permissões excessivas ao cluster. As permissões listadas para as funções atribuídas não são comuns à conta de serviço específica. Essa detecção considera as atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, volume por permissão e o impacto da permissão específica. O modelo de detecção de anomalias usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados por pelo Microsoft Defender para Nuvem. Escalonamento de Privilégios Baixo
Executável encontrado em execução em um local suspeito (Versão prévia)
(K8S.NODE_SuspectExecutablePath)
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes. detectou um arquivo executável em execução em um local associado a arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um sistema comprometido. Execução Médio
Painel do Kubeflow exposto detectado
(K8S_ExposedKubeflow)
A análise do log de auditoria do Kubernetes detectou a exposição da entrada do Istio por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel for exposto à Internet, os invasores poderão acessá-lo e executarem contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://aka.ms/exposedkubeflow-blog Acesso inicial Médio
Painel de Kubernetes exposto detectado
(K8S_ExposedDashboard)
A análise do log de auditoria do Kubernetes detectou a exposição do Painel do Kubernetes por um serviço LoadBalancer. Os painéis expostos permitem acesso não autenticado ao gerenciamento de cluster e representam uma ameaça à segurança. Acesso inicial Alta
Serviço de Kubernetes exposto detectado
(K8S_ExposedService)
A análise do log de auditoria do Kubernetes detectou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de contêineres. Em alguns casos, esse serviço não exige autenticação. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança. Acesso inicial Médio
Serviço Redis exposto no AKS detectado
(K8S_ExposedRedis)
A análise do log de auditoria do Kubernetes detectou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não exigir autenticação, a exposição dele à Internet representará um risco à segurança. Acesso inicial Baixo
Indicadores associados ao kit de ferramentas DDOS detectados
(K8S.NODE_KnownLinuxDDoSToolkit) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou nomes de arquivos que fazem parte de um kit de ferramentas associado a um malware que pode iniciar ataques de DDoS, abrir portas e serviços e assumir controle total sobre o sistema infectado. Também pode ser uma atividade legítima. Persistência, Movimento Lateral, Execução, Exploração Médio
Solicitações de API do K8S do endereço IP de proxy detectadas
(K8S_TI_Proxy) 3
A análise do log de auditoria do Kubernetes detectou solicitações de API para o seu cluster por meio de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os invasores tentam ocultar o IP de origem. Execução Baixo
Eventos do Kubernetes excluídos
(K8S_DeleteEvents) 23
O Defender para Nuvem detectou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar as operações no cluster. Evasão de defesa Baixo
Ferramenta de teste de penetração do Kubernetes detectada
(K8S_PenTestToolsKubeHunter)
A análise do log de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados. Execução Baixo
Manipulação do firewall do host detectada
(K8S.NODE_FirewallDisabled) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma possível manipulação do firewall no host. Os invasores geralmente desabilitarão isso para exportar dados. Evasão de Defesa, Exfiltração Médio
Alerta de teste do Microsoft Defender para Nuvem (não uma ameaça).
(K8S.NODE_EICAR) 1
Este é um alerta de teste gerado pelo Microsoft Defender para Nuvem. Nenhuma outra ação é necessária. Execução Alta
Novo contêiner no namespace kube-system detectado
(K8S_KubeSystemContainer) 3
A análise do log de auditoria do Kubernetes detectou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar o namespace para ocultar componentes mal-intencionados. Persistência Baixo
Nova função de privilégios altos detectada
(K8S_HighPrivilegesRole) 3
A análise do log de auditoria do Kubernetes detectou uma nova função com privilégios altos. Uma associação a uma função com privilégios elevados concede ao usuário/grupo privilégios elevados no cluster. Privilégios desnecessários podem causar a elevação de privilégio no cluster. Persistência Baixo
Possível ferramenta de ataque detectada
(K8S.NODE_KnownLinuxAttackTool) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma chamada de ferramenta suspeita. A ferramenta costuma estar associada a usuários mal-intencionados que atacam outros. Execução, Coleta, Comando e Controle, Investigação Médio
Possível backdoor detectado
(K8S.NODE_LinuxBackdoorArtifact) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou um arquivo suspeito sendo baixado e executado. A atividade foi associada anteriormente à instalação de um backdoor. Persistência, Evasão de Defesa, Execução, Exploração Médio
Possível tentativa de exploração de linha de comando
(K8S.NODE_ExploitAttempt) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma possível tentativa de exploração de uma vulnerabilidade conhecida. Exploração Médio
Possível ferramenta de acesso à credencial detectada
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou, que uma possível ferramenta de acesso à credencial conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico de linha de comando. Essa ferramenta geralmente está associada às tentativas de o invasor acessar credenciais. CredentialAccess Médio
Possível download de Cryptocoinminer detectado
(K8S.NODE_CryptoCoinMinerDownload) 1
A análise de processos em execução em um contêiner ou diretamente em um nó Kubernetes, detectou o download de um arquivo normalmente associado à extração de moeda digital. Evasão de Defesa, Comando e Controle, Exploração Médio
Possível exfiltração dos dados detectada
(K8S.NODE_DataEgressArtifacts) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. Coleção, exfiltração Médio
Possível atividade de adulteração de log detectada
(K8S.NODE_SystemLogRemoval) 1
A análise de processos em execução em um contêiner ou diretamente em um node do Kubernetes, detectou uma possível remoção de arquivos que rastreiam a atividade do usuário durante a operação. Os invasores muitas vezes tentam escapar da detecção e não deixam rastros de atividades mal-intencionadas excluindo esses arquivos de log. Evasão de defesa Médio
Possível alteração de senha usando o método de criptografia detectado
(K8S.NODE_SuspectPasswordChange) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. CredentialAccess Médio
Possível encaminhamento de porta para endereço IP externo
(K8S.NODE_SuspectPortForwarding) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma iniciação do encaminhamento de porta para um endereço IP externo. Exfiltração, Comando e Controle Médio
Possível shell reverso detectado
(K8S.NODE_ReverseShell) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, um possível shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. Exfiltração, Exploração Médio
Contêiner privilegiado detectado
(K8S_PrivilegedContainer)
A análise do log de auditoria do Kubernetes detectou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e interrompe o isolamento entre os contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó. Escalonamento de Privilégios Baixo
Processo associado à mineração de moeda digital detectado
(K8S.NODE_CryptoCoinMinerArtifacts) 1
A análise de processos em execução em um contêiner detectou a execução de um processo normalmente associado à mineração de moedas digitais. Execution, Exploitation Médio
Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
(K8S.NODE_SshKeyAccess) 1
Um arquivo de chaves autorizadas SSH foi acessado em um método semelhante a campanhas de malware conhecidas. O acesso poderia indicar que um ator está tentando obter acesso persistente a um computador. Unknown Baixo
Associação da função à função de administrador do cluster detectada
(K8S_ClusterAdminBinding)
A análise do log de auditoria do Kubernetes detectou uma nova associação à função de administrador do cluster, o que resulta em privilégios de administrador. Privilégios de administrador desnecessários podem causar a elevação de privilégio no cluster. Persistência Baixo
Encerramento do processo relacionado à segurança detectado
(K8S.NODE_SuspectProcessTermination) 1
A análise de processos em execução em um contêiner diretamente em um nó do Kubernetes, detectou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos após o comprometimento. Persistência Baixo
O servidor SSH está em execução dentro de um contêiner
(K8S.NODE_ContainerSSH) 1
A análise de processos em execução em um contêiner detectou um servidor SSH em execução dentro do contêiner. Execução Médio
Modificação de carimbo de data/hora de arquivo suspeita
(K8S.NODE_TimestampTampering) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma modificação suspeita de carimbo de data/hora. Os invasores geralmente copiarão os carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a detecção dos arquivos recentemente descartados. Persistência, Evasão de defesa Baixo
Solicitação suspeita para API do Kubernetes
(K8S.NODE_KubernetesAPI) 1
A análise de processos em execução em um contêiner indica que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster. LateralMovement Médio
Solicitação suspeita para o Painel do Kubernetes
(K8S.NODE_KubernetesDashboard) 1
A análise de processos em execução em um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está em execução no cluster. LateralMovement Médio
Possível mineração de criptomoeda iniciada
(K8S.NODE_CryptoCoinMinerExecution) 1
A análise de processos em execução em um contêiner ou diretamente em um nó Kubernetes, detectou um processo sendo iniciado de uma maneira normalmente associado à mineração de moeda digital. Execução Médio
Acesso suspeito à senha
(K8S.NODE_SuspectPasswordFileAccess) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma tentativa suspeita de acessar senhas de usuário criptografadas. Persistência Informativo
Uso suspeito de DNS sobre HTTPS
(K8S.NODE_SuspiciousDNSOverHttps) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou o uso de uma chamada DNS sobre HTTPS de maneira incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados. Evasão de Defesa, Exfiltração Médio
Uma conexão possível com um local mal-intencionado foi detectada.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Esse é um indicador de que um comprometimento pode ter ocorrido. InitialAccess Médio
Possível web shell mal-intencionado detectado.
(K8S.NODE_Webshell) 1
A análise de processos em execução em um contêiner detectou um possível web shell. Os invasores geralmente carregam um web shell em um recurso de computador comprometido para obter persistência ou maior exploração. Persistência, Exploração Médio
A intermitência de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
A análise dos dados do host/dispositivo detectou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou do host, executados pelos invasores após o comprometimento inicial. Descoberta, Coleção Baixo
Download Suspeito e Execução de Atividade
(K8S.NODE_DownloadAndRunCombo) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes, detectou que um arquivo foi baixado e executado no mesmo comando. Embora isso nem sempre seja mal-intencionado, essa é uma técnica muito comum usada pelos invasores para colocar arquivos mal-intencionados nos computadores da vítima. Execução, CommandAndControl, Exploração Médio
Atividade de mineração de moeda digital
(K8S.NODE_CurrencyMining) 1
A análise das transações DNS detectou uma atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns. Exfiltração Baixo
Acesso ao arquivo kubeconfig do kubelet detectado
(K8S.NODE_KubeConfigAccess) 1
A análise dos processos em execução em um nó de cluster do Kubernetes detectou o acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo do Kubelet, contém as credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo geralmente está associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que analisam se o arquivo está acessível. CredentialAccess Médio
Acesso ao serviço de metadados de nuvem detectado
(K8S.NODE_ImdsCall) 1
A análise dos processos em execução em um contêiner detectou o acesso ao serviço de metadados de nuvem para adquirir o token de identidade. Normalmente, o contêiner não executa essa operação. Embora esse comportamento possa ser legítimo, invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução. CredentialAccess Médio
Agente MITRE Caldera detectado
(K8S.NODE_MitreCalderaTools) 1
A análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou um processo suspeito. Isso geralmente está associado ao agente MITRE 54ndc47, que pode ser usado de forma mal-intencionada para atacar outros computadores. Persistência, Elevação de Privilégio, Evasão de Defesa, Acesse a Credenciais, Descoberta, Movimento Lateral, Execução, Coleta, Exfiltração, Comando e Controle, Investigação, Exploração Médio

1: Versão prévia de clusters que não são do AKS: este alerta geralmente está disponível para clusters do AKS, mas está em versão prévia para outros ambientes, como Azure Arc, EKS e GKE.

2: limitações nos clusters do GKE: o GKE usa uma política de auditoria de Kubernetes que não dá suporte a todos os tipos de alertas. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é compatível com clusters do GKE.

3: há suporte para esse alerta em nós/contêineres do Windows.

Alertas para o Banco de Dados SQL e o Azure Synapse Analytics

Mais detalhes e observações

Alerta Descrição Táticas MITRE
(Saiba mais)
Severity
Uma possível vulnerabilidade à injeção de SQL
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
Um aplicativo gerou uma instrução SQL com falha no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há dois motivos possíveis para instrução com falha. Um defeito no código do aplicativo que pode ter construído a instrução SQL com falha. Ou, o código do aplicativo ou procedimentos armazenados não limpam a entrada do usuário ao construir a instrução SQL com erro, o que pode ser explorado para injeção de SQL. PreAttack Médio
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
Um aplicativo potencialmente prejudicial tentou acessar o SQL Server '{name}'. PreAttack Alto
Logon de um Data Center do Azure incomum
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Houve uma alteração no padrão de acesso para um SQL Server, em que alguém entrou no servidor de um Data Center do Azure incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta detecta uma ação mal-intencionada (o invasor está operando pelo recurso violado no Azure). Investigação Baixo
Fazer logon de um local incomum
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Houve uma alteração no padrão de acesso para um SQL Server, em que alguém entrou no servidor de um local geográfico incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor). Em outros casos, o alerta detecta uma ação mal-intencionada (um funcionário antigo ou invasor externo). Exploração Médio
Logon de um usuário principal não visto em 60 dias
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Um usuário principal que não foi visto nos últimos 60 dias fez logon no seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Logon de um IP suspeito
(SQL.VM_SuspiciousIpAnomaly)
Seu recurso foi acessado com êxito de um endereço IP que a Inteligência contra Ameaças da Microsoft associou a atividades suspeitas. PreAttack Médio
Possível tentativa de força bruta do SQL Ocorreu um número anormalmente alto de falhas nas tentativas de entrada com credenciais diferentes. Em alguns casos, o alerta detecta um teste de segurança que está sendo executado. Em outros casos, o alerta detecta um ataque de força bruta. Investigação Alta
Possível injeção de SQL
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Uma exploração ativa ocorreu em um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando inserir instruções SQL maliciosas usando o código de aplicativo ou procedimentos armazenados vulneráveis. PreAttack Alta
Ação potencialmente insegura
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
Foi realizada uma tentativa de ação potencialmente insegura no seu banco de dados '{name}' no servidor '{name}'. - Alta
Ataque de força bruta suspeito usando um usuário válido Um possível ataque de força bruta foi detectado em seu recurso. O invasor está usando o SA de usuário válido, que tem permissões para fazer logon. PreAttack Alta
Suspeita de ataque de força bruta Um possível ataque de força bruta foi detectado em seu servidor SQL '{name}'. PreAttack Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
Um logon bem-sucedido ocorreu após um ataque de força bruta aparente em seu recurso PreAttack Alta
Local de exportação incomum Alguém extraiu uma grande quantidade de dados do seu SQL Server '{name}' para uma localização incomum. Exfiltração Alta

Alertas para bancos de dados relacionais open-source

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Ataque de força bruta suspeito usando um usuário válido
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
Um possível ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon. PreAttack Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
Um logon bem-sucedido ocorreu após um aparente ataque de força bruta em seu recurso. PreAttack Alta
Suspeita de ataque de força bruta
("SQL.MySQL_BruteForce")
Um possível ataque de força bruta foi detectado em seu servidor SQL '{name}'. PreAttack Alto
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
Um aplicativo potencialmente prejudicial tentou acessar seu recurso. PreAttack Alto
Logon de um usuário principal não visto em 60 dias
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
Um usuário principal que não foi visto nos últimos 60 dias fez logon no seu banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Logon de um domínio não visto em 60 dias
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
Um usuário fez logon em seu recurso a partir de um domínio em que nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Logon de um Data Center do Azure incomum
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
Alguém fez logo login em seu recurso a partir de um Data Center incomum do Azure. Investigação Baixo
Logon incomum de um provedor de nuvem
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
Alguém fez logon em seu recurso a partir de um provedor de nuvem não visto nos últimos 60 dias. É rápido e fácil para os atores de ameaças obterem poder de computação descartável para usar em suas campanhas. Se esse for o comportamento esperado causado pela adoção recente de um novo provedor de nuvem, o Defender para Nuvem aprenderá ao longo do tempo e tentará evitar futuros falsos positivos. Exploração Médio
Fazer logon de um local incomum
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
Alguém fez logo login em seu recurso a partir de um Data Center incomum do Azure. Exploração Médio
Logon de um IP suspeito
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Seu recurso foi acessado com êxito de um endereço IP que a Inteligência contra Ameaças da Microsoft associou a atividades suspeitas. PreAttack Médio

Alertas do Resource Manager

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severidade
Operação do Azure Resource Manager partindo de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
O Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. Execução Médio
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
O Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. Evasão de defesa Médio
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzDomainInfo)
O módulo Coleta de Informações do MicroBurst foi executado na sua assinatura. Essa ferramenta pode ser usada para descobrir recursos, permissões e estruturas de rede. Isso foi detectado pela análise dos logs de atividades do Azure e das operações de gerenciamento de recursos na sua assinatura - Alta
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzureDomainInfo)
O módulo Coleta de Informações do MicroBurst foi executado na sua assinatura. Essa ferramenta pode ser usada para descobrir recursos, permissões e estruturas de rede. Isso foi detectado pela análise dos logs de atividades do Azure e das operações de gerenciamento de recursos na sua assinatura - Alta
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
O kit de ferramentas de exploração do MicroBurst foi usado para executar um código nas suas máquinas virtuais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Execução Alta
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
O kit de ferramentas de exploração do MicroBurst foi usado para executar um código nas suas máquinas virtuais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
O kit de ferramentas de exploração do MicroBurst foi usado para extrair chaves dos seus cofres de chaves do Azure. Isso foi detectado pela análise dos logs de atividades do Azure e das operações de gerenciamento de recursos na sua assinatura. - Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves das suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
O kit de ferramentas de exploração do MicroBurst foi usado para extrair chaves das suas contas de armazenamento. Isso foi detectado pela análise dos logs de atividades do Azure e das operações de gerenciamento de recursos na sua assinatura. Coleção Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair segredos dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
O kit de ferramentas de exploração do MicroBurst foi usado para extrair segredos dos seus cofres de chaves do Azure. Isso foi detectado pela análise dos logs de atividades do Azure e das operações de gerenciamento de recursos na sua assinatura. - Alta
Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure Active Directory para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
O kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do Azure AD para o Azure. Isso foi detectado pela análise das operações do Azure Resource Manager no seu locatário. - Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
O kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima na sua organização. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Coleção Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas
(ARM_PowerZure.ShowStorageContent)
O kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Kit de ferramentas de exploração do PowerZure usado para executar um Runbook na sua assinatura
(ARM_PowerZure.StartRunbook)
O kit de ferramentas de exploração do PowerZure foi usado para executar um runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
O kit de ferramentas de exploração do PowerZure foi usado para extrair o conteúdo de um runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Coleção Alta
VERSÃO PRÉVIA – Atividade de um endereço IP suspeito
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
A atividade de usuários de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detectada.
Esses proxies são usados por usuários que desejam ocultar o endereço IP do dispositivo e podem ser usados com objetivos mal-intencionados. Essa detecção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.
Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem.
- Médio
VERSÃO PRÉVIA: atividade de país não frequente
(ARM.MCAS_ActivityFromInfrequentCountry)
Ocorreu uma atividade de um local que não foi visitado nem mesmo recentemente por qualquer usuário na organização.
Essa detecção considera os locais de atividades anteriores para determinar os locais novos e pouco frequentes. O mecanismo de detecção de anomalias armazena informações sobre locais anteriores usados por usuários na organização.
Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem.
- Médio
Versão prévia – execução do kit de ferramentas do Azurite detectada
(ARM_Azurite)
Foi detectada uma execução do kit de ferramentas de reconhecimento de ambiente de nuvem em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos das assinaturas e identificar configurações inseguras. Coleção Alta
VERSÃO PRÉVIA: atividade de viagem impossível
(ARM.MCAS_ImpossibleTravelActivity)
Ocorreram duas atividades do usuário (em uma única ou várias sessões) provenientes de locais geograficamente distantes. Isso ocorre dentro de um período de tempo menor do que o tempo que levaria para o usuário se deslocar do primeiro local para o segundo. Isso indica que um usuário diferente está usando as mesmas credenciais.
Essa detecção usa um algoritmo de aprendizado de máquina que ignora falsos positivos óbvios que contribuem para a condição de viagem impossível, como VPNs e locais geralmente usados por outros usuários na organização. A detecção tem um período inicial de aprendizado de sete dias, durante o qual aprende o padrão de atividade de um novo usuário.
Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem.
- Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso à Credencial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.CredentialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Credencial de acesso Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Coleta de dados" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Collection)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para coletar dados confidenciais de recursos de seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Coleção Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Evasão de defensa" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.DefenseEvasion)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de evadir-se de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Evasão de defesa Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Execução" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Execution)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador em sua assinatura que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Execução de defesa Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Impact)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa alterar configurações. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Impacto Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso inicial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.InitialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Acesso inicial Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso de movimento lateral" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.LateralMovement)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de realizar uma movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Movimento lateral Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "persistência" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Persistence)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Persistência Médio
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de elevar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para elevar privilégios e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. Elevação de privilégios Médio
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada
(ARM_UnusedAccountPersistence)
A análise de logs de atividade de assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor. Persistência Médio
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando o PowerShell detectada
(ARM_UnusedAppPowershellPersistence)
A análise de logs de atividade de assinatura detectou um comportamento suspeito. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor. Persistência Médio
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando o portal do Azure detectada
(ARM_UnusedAppIbizaPersistence)
A análise dos logs de atividade de assinatura detectou um comportamento suspeito. Uma entidade de segurança que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente), agora está usando o portal do Azure e executando ações que podem proteger a persistência de um invasor. Persistência Médio
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)
(ARM_PrivilegedRoleDefinitionCreation)
O Microsoft Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção. Elevação de Privilégios, Evasão de Defesa Baixo
Atribuição de função suspeita do Azure detectada (versão prévia)
(ARM_AnomalousRBACRoleAssignment)
O Microsoft Defender para Resource Manager identificou uma atribuição de função suspeita do Azure/executada usando PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para permitir que os administradores permitam às entidades de segurança acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar a atribuição de função para escalonar as próprias permissões, permitindo que o ataque dele avance. Movimento lateral, Evasão de defesa Baixo (PIM) / Alto
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.CredentialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso com credencial Médio
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Collection)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para coletar dados confidenciais de recursos de seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Coleção Médio
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.DefenseEvasion)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de evadir-se de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Evasão de defesa Médio
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Execution)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador em sua assinatura que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Execução Médio
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Impact)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa alterar configurações. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Impacto Médio
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.InitialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso inicial Médio
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.LateralMovement)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de realizar uma movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Movimentação lateral Médio
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Persistence)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Persistência Médio
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.PrivilegeEscalation)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura que pode indicar uma tentativa de elevar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para elevar privilégios e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Escalonamento de Privilégios Médio
Uso do kit de ferramentas de exploração do MicroBurst para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Uso do kit de ferramentas de exploração do MicroBurst para executar um código arbitrário ou exfiltrar as credenciais de conta da Automação do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Persistência, Acesso com Credencial Alta
Uso de técnicas NetSPI para manter a persistência no seu ambiente do Azure
(ARM_NetSPI.MaintainPersistence)
Uso da técnica de persistência NetSPI para criar um backdoor de webhook e manter a persistência no seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_PowerZure.RunCodeOnBehalf)
O kit de ferramentas de exploração do PowerZure detectou a tentativa de executar um código ou exfiltrar as credenciais de conta da Automação do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Uso da função do PowerZure para manter a persistência no seu ambiente do Azure
(ARM_PowerZure.MaintainPersistence)
O kit de ferramentas de exploração do PowerZure detectou a criação de um backdoor de webhook para manter a persistência no seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. - Alta
Atribuição de função clássica suspeita detectada (versão prévia)
(ARM_AnomalousClassicRoleAssignment)
O Microsoft Defender para Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para fornecer compatibilidade com versões anteriores de funções clássicas que não são mais usadas com frequência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essa atribuição para conceder permissões a mais uma conta de usuário sob controle dele.  Movimento lateral, Evasão de defesa Alta

Alertas do DNS

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Uso de protocolo de rede anormal
(AzureDNS_ProtocolAnomaly)
A análise de transações DNS de %{CompromisedEntity} detectou um uso de protocolo anormal. Esse tráfego, embora possivelmente benigno, pode indicar o uso indevido desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela. Exfiltração -
Atividade de rede de anonimato
(AzureDNS_DarkWeb)
A análise de transações DNS de %{CompromisedEntity} detectou uma atividade de rede de anonimato. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Atividade de rede de anonimato usando o proxy Web
(AzureDNS_DarkWebProxy)
A análise de transações DNS de %{CompromisedEntity} detectou uma atividade de rede de anonimato. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente empregada pelos invasores para evitar o acompanhamento e a análise de impressão digital das comunicações de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Tentativa de comunicação com um domínio de sinkhole suspeito
(AzureDNS_SinkholedDomain)
A análise de transações DNS de %{CompromisedEntity} detectou uma solicitação para um domínio de sinkhole. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota. Exfiltração -
Comunicação com um possível domínio de phishing
(AzureDNS_PhishingDomain)
A análise de transações DNS de %{CompromisedEntity} detectou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para coletar credenciais de serviços remotos. A atividade típica relacionada ao invasor provavelmente incluirá a exploração das credenciais no serviço legítimo. Exfiltração -
Comunicação com um domínio suspeito gerado de maneira algorítmica
(AzureDNS_DomainGenerationAlgorithm)
A análise de transações DNS de %{CompromisedEntity} detectou um possível uso de um algoritmo de geração de domínio. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial Médio
Comunicação com um nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
A análise de transações DNS de %{CompromisedEntity} detectou o uso de um nome de domínio suspeito gerado aleatoriamente. Essa atividade, embora possivelmente benigna, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
A análise de transações DNS de %{CompromisedEntity} detectou uma atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns. Exfiltração -
Ativação de assinatura de detecção de intrusão de rede
(AzureDNS_SuspiciousDomain)
A análise das transações DNS de %{CompromisedEntity} detectou uma assinatura de rede mal-intencionada conhecida. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota. Exfiltração -
Possível download de dados por meio de túnel DNS
(AzureDNS_DataInfiltration)
A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Possível infiltração de dados por meio de túnel DNS
(AzureDNS_DataExfiltration)
A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -
Possível transferência de dados por meio de túnel DNS
(AzureDNS_DataObfuscation)
A análise das transações DNS de %{CompromisedEntity} detectou um possível túnel DNS. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores para evitar o monitoramento e a filtragem de rede. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado ou de ferramentas de administração remota. Exfiltração -

Alertas para Armazenamento do Azure

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
VERSÃO PRÉVIA: acesso em um endereço IP suspeito
(Storage.Blob_SuspiciousApp)
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação.
Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Acesso inicial Médio
Acesso de um endereço IP suspeito
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Indica que essa conta de armazenamento foi acessada com êxito em um endereço IP que é considerado suspeito. Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft.
Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Acesso inicial Médio
VERSÃO PRÉVIA: conteúdo de phishing hospedado em uma conta de armazenamento
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Uma URL usada em um ataque de phishing aponta para a sua conta do Armazenamento do Azure. Essa URL fazia parte de um ataque de phishing que afetou os usuários do Microsoft 365.
Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir as credenciais corporativas ou informações financeiras em um formulário da Web que parece legítimo.
Esse alerta é fornecido pela Inteligência contra Ameaças da Microsoft.
Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Coleção Alta
VERSÃO PRÉVIA – conta de armazenamento identificada como fonte para distribuição de malware
(Storage.Files_WidespreadeAm)
Os alertas Antimalware indicam que um ou mais arquivos infectados estão armazenados em um compartilhamento de arquivo do Azure montado em várias VMs. Se os invasores conseguirem acessar uma VM com um compartilhamento de arquivo montado do Azure, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento.
Aplica-se a: Arquivos do Azure
Movimento Lateral, Execução Alto
VERSÃO PRÉVIA – a conta de armazenamento com alguns dados potencialmente confidenciais foi detectada com um contêiner exposto publicamente
(Storage.Blob_OpenACL)
A política de acesso de um contêiner em sua conta de armazenamento foi modificada para permitir acesso anônimo. Isso pode levar a uma violação de dados se houver dados confidenciais no contêiner. Esse alerta é baseado na análise do log de atividades do Azure.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Escalonamento de Privilégios Médio
Acesso autenticado de um nó de saída do Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Um ou mais contêineres de armazenamento/compartilhamentos de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido como nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Acesso inicial Alto/médio
Acesso de um local incomum a uma conta de armazenamento
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Indica que houve uma alteração no padrão de acesso para uma conta de Armazenamento do Azure. Alguém acessou a conta de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum. Um exemplo do último é a manutenção remota de um novo aplicativo ou desenvolvedor.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Exploração Baixo
Acesso não autenticado incomum a um contêiner de armazenamento
(Storage.Blob_AnonymousAccessAnomaly)
Essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento.
Aplica-se a: Armazenamento do Blobs do Azure
Coleção Baixo
Possível malware carregado em uma conta de armazenamento
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Indica que um blob contendo um possível malware foi carregado em um contêiner de blob ou um compartilhamento de arquivo em uma conta de armazenamento. Esse alerta é baseado na análise de reputação de hash aproveitando o poder da inteligência contra ameaças da Microsoft, que inclui hashes de vírus, cavalos de Troia, spyware e ransomware. As possíveis causas podem incluir um upload de malware intencional por um invasor ou um upload não intencional de um blob possivelmente mal-intencionado por um usuário legítimo.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (somente para transações na API REST)
Saiba mais sobre a análise de reputação de hash do Azure para malware.
Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft.
Movimentação lateral Alta
Contêineres de armazenamento acessíveis publicamente descobertos com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de exame.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Médio
Falha no exame de contêineres de armazenamento acessíveis publicamente
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Uma série de tentativas com falha para examinar contêineres de armazenamento abertos publicamente foi executada na última hora.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Baixo
Inspeção de acesso incomum em uma conta de armazenamento
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de forma incomum, em comparação com a atividade recente da conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Coleção Médio
Quantidade incomum de dados extraídos de uma conta de armazenamento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Indica que uma grande quantidade incomum de dados foi extraída, em comparação com a atividade recente neste contêiner de armazenamento. Uma possível causa é que um invasor extraiu uma grande quantidade de dados de um contêiner que mantém o armazenamento de BLOBs.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Exfiltração Médio
Aplicativo incomum acessou uma conta de armazenamento
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Indica que um aplicativo incomum acessou esta conta de armazenamento. Uma possível causa é que um invasor acessou sua conta de armazenamento usando um novo aplicativo.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Exploração Médio
Alteração incomum de permissões de acesso em uma conta de armazenamento
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Indica que as permissões de acesso deste contêiner de armazenamento foram alteradas de maneira incomum. Uma possível causa é que um invasor alterou as permissões de contêiner para enfraquecer sua postura de segurança ou para obter persistência.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Persistência Médio
Exploração de dados incomum em uma conta de armazenamento
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Indica que BLOBs ou contêineres em uma conta de armazenamento foram enumeradas de forma anormal, em comparação com a atividade recente da conta. Uma possível causa é que um invasor executou o reconhecimento para um ataque futuro.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Coleção Médio
Exclusão incomum em uma conta de armazenamento
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente da conta. Uma possível causa é que um invasor excluiu dados de sua conta de armazenamento.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Exfiltração Médio
Carregamento incomum do .cspkg em uma conta de armazenamento
(Storage.Blob_CspkgUploadAnomaly)
Indica que um pacote de Serviços de Nuvem do Azure (arquivo .cspkg) foi carregado em uma conta de armazenamento de maneira incomum, em comparação com a atividade recente da conta. Uma possível causa é que um invasor está se preparando para implantar código mal-intencionado de sua conta de armazenamento em um Serviço de Nuvem do Azure.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Movimento Lateral, Execução Médio
Carregamento incomum do .exe em uma conta de armazenamento
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Indica que um arquivo .exe foi carregado em uma conta de armazenamento de forma incomum, em comparação com a atividade recente da conta. Uma possível causa é que um invasor carregou um arquivo executável mal-intencionado em sua conta de armazenamento ou que um usuário legítimo carregou um arquivo executável.
Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
Movimento Lateral, Execução Médio

Alertas do Azure Cosmos DB

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Acesso de um nó de saída do Tor
(CosmosDB_TorAnomaly)
Esta conta do Azure Cosmos DB foi acessada com êxito em um endereço IP conhecido como um nó de saída ativo do Tor, um proxy de anonimato. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Acesso inicial Alto/médio
Acesso de um IP suspeito
(CosmosDB_SuspiciousIp)
Esta conta do Azure Cosmos DB foi acessada com êxito em um endereço IP identificado como uma ameaça pela Inteligência contra Ameaças da Microsoft. Acesso inicial Médio
Acesso de um local incomum
(CosmosDB_GeoAnomaly)
Esta conta do Azure Cosmos DB foi acessada em uma localização considerada desconhecida, com base no padrão de acesso normal.

Um ator de ameaça obteve acesso à conta ou um usuário legítimo se conectou de um local geográfico novo ou incomum
Acesso inicial Baixo
Volume incomum de dados extraídos
(CosmosDB_DataExfiltrationAnomaly)
Um volume excepcionalmente grande de dados foi extraído desta conta do Azure Cosmos DB. Isso pode indicar que um ator de ameaça exfiltrou dados. Exfiltração Médio
Extração de chaves de contas do Azure Cosmos DB por meio de um script possivelmente mal-intencionado
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Um script do PowerShell foi executado na assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves de contas do Azure Cosmos DB na assinatura. Os atores da ameaça usam scripts automatizados, como o Microburst, para listar chaves e localizar as contas do Azure Cosmos DB que eles podem acessar.

Essa operação pode indicar que uma identidade na organização foi violada e que o ator da ameaça está tentando comprometer as contas do Azure Cosmos DB no seu ambiente com objetivos mal-intencionados.

Como alternativa, um insider mal-intencionado pode tentar acessar dados confidenciais e executar a movimentação lateral.
Coleção Alta
Extração suspeita de chaves de conta do Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Uma fonte suspeita extraiu as chaves de acesso da conta do Azure Cosmos DB da sua assinatura. Se essa fonte não for uma fonte legítima, isso poderá ser um problema de alto impacto. A chave de acesso extraída fornece controle total sobre os bancos de dados associados e os dados armazenados neste banco de dados. Consulte os detalhes de cada alerta específico para reconhecer por que a fonte foi sinalizada como suspeita. Acesso com credencial high
Injeção de SQL: possível exfiltração dos dados
(CosmosDB_SqlInjection.DataExfiltration)
Uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

A instrução injetada pode ter êxito nos dados de invasão que o ator de ameaça não está autorizado a acessar.

Devido à estrutura e às funcionalidades das consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos em contas do Azure Cosmos DB não funcionam. No entanto, a variação usada nesse ataque pode funcionar e os atores de ameaça podem exfiltrar dados.
Exfiltração Médio
Injeção de SQL: tentativa de fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.

Assim como outros ataques de injeção de SQL conhecidos, esse ataque não conseguirá comprometer a conta do Azure Cosmos DB.

No entanto, ele é uma indicação de que um ator de ameaça está tentando atacar os recursos nesta conta, e seu aplicativo pode estar comprometido.

Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar tentando usar a injeção de SQL, ele poderá comprometer sua conta do Azure Cosmos DB e exfiltrar os dados.

Você pode evitar essa ameaça usando consultas parametrizadas.
Pré-ataque Baixo

Alertas da camada de rede do Azure

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Comunicação de rede com um computador mal-intencionado detectada
(Network_CommunicationWithC2)
A análise de tráfego de rede indica que seu computador (IP %{IP da Vítima}) se comunicou com o que possivelmente é um centro de Comando e Controle. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) se comunicou com o que possivelmente é um centro de comando e controle. Comando e controle Médio
Computador possivelmente comprometido detectado
(Network_ResourceIpIndicatedAsMalicious)
A inteligência contra ameaças indica que seu computador (no IP %{IP do Computador}) pode ter sido comprometido por um malware do tipo Conficker. O Conficker foi um worm de computador que tem como alvo o sistema operacional Microsoft Windows e foi detectado pela primeira vez em novembro de 2008. O Conficker infectou milhões de computadores, incluindo governo, computadores comerciais e domésticos em mais de 200 países/regiões, o que o torna a maior infecção de worms de computador conhecida desde 2003 com o worm Welchia. Comando e controle Médio
Possíveis tentativas de força bruta de entrada %{Nome do Serviço} detectadas
(Generic_Incoming_BF_OneToOne)
A análise de tráfego de rede detectou comunicação %{Nome do Serviço} de entrada para %{IP da Vítima}, associada ao recurso %{Host Comprometido} de %{IP do Invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Victim Port}. Esta atividade é consistente com as tentativas de força bruta contra servidores %{Nome do Serviço}. PreAttack Médio
Possíveis tentativas de força bruta SQL de entrada detectadas
(SQL_Incoming_BF_OneToOne)
A análise de tráfego de rede detectou comunicação SQL de entrada para %{IP da Vítima}, associada ao recurso %{Host Comprometido} de %{IP do Invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL. PreAttack Médio
Possível ataque de negação de serviço de saída detectado
(DDOS)
A análise de tráfego de rede detectou uma atividade de saída anormal proveniente de %{Host Comprometido}, um recurso em sua implantação. Essa atividade pode indicar que o recurso foi comprometido e agora está engajado com ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo) foi comprometido. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os destinos do ataque de DOS: %{Possible Victims}. Observe que é possível que a comunicação com alguns desses IPs seja legítima. Impacto Médio
Atividade de rede RDP de entrada suspeita de várias fontes
(RDP_Incoming_BF_ManyToOne)
A análise de tráfego de rede detectou comunicação de protocolo RDP (Remote Desktop Protocol) de entrada anormal para %{IP da Vítima} associada ao recurso %{Host Comprometido} de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade RDP em vários hosts (Botnet) PreAttack Médio
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
A análise de tráfego de rede detectou comunicação de protocolo RDP (Remote Desktop Protocol) de entrada anormal para %{IP da Vítima} associada ao recurso %{Host Comprometido} de %{IP do Invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade RDP PreAttack Médio
Atividade de rede SSH de entrada suspeita de várias origens
(SSH_Incoming_BF_ManyToOne)
A análise de tráfego de rede detectou comunicação SSH de entrada anormal para %{IP da Vítima} associada ao recurso %{Host Comprometido} de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de IPs Invasores} IPs exclusivos conectando-se ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade do SSH em vários hosts (Botnet) PreAttack Médio
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
A análise de tráfego de rede detectou comunicação SSH de entrada anormal para %{IP da Vítima} associada ao recurso %{Host Comprometido} de %{IP do Invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de entrada ao recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de força bruta no ponto de extremidade do SSH PreAttack Médio
Tráfego %{Attacked Protocol} de saída suspeito detectado
(PortScanning)
A análise do tráfego de rede de detectou um tráfego de saída suspeito de %{Host Comprometido} para a porta de destino %{Porta Mais Comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Esse comportamento pode indicar que seu recurso está fazendo parte de tentativas de força bruta %{Attacked Protocol} ou ataques de varredura de porta. Descoberta Médio
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
A análise de tráfego de rede detectou saída anormal de comunicação de protocolo de área de trabalho remota (RDP) para vários destinos originada de %{Host Comprometido} (%{IP do Invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu computador conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora está sendo usado força bruta em pontos de extremidade RDP externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas. Descoberta Alta
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
A análise de tráfego de rede detectou comunicação de protocolo RDP (Remote Desktop Protocol) de saída anormal para %{IP da Vítima} originária de %{Host Comprometido} (%{IP do Invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o computador foi comprometido e agora está sendo usado força bruta em pontos de extremidade RDP externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas. Movimentação lateral Alta
Atividade de rede SSH de saída para vários destinos suspeita
(SSH_Outgoing_BF_OneToMany)
A análise de tráfego de rede detectou comunicação SSH de saída anormal para vários destinos originada de %{Host Comprometido} (%{IP do Invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram seu recurso conectando-se a %{Número de IPs Atacados} IPs exclusivos, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora está sendo usado força bruta em pontos de extremidade SSH externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas. Descoberta Médio
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
A análise de tráfego de rede detectou comunicação SSH de saída anormal para %{IP da Vítima} originada de %{Host Comprometido} (%{IP do Invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Especificamente, dados de amostra de rede mostram %{Número de Conexões} de conexões de saída do recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que o recurso foi comprometido e agora está sendo usado força bruta em pontos de extremidade SSH externos. Observe que esse tipo de atividade poderia possivelmente fazer com que seu IP fosse sinalizado como mal-intencionado por entidades externas. Movimentação lateral Médio
Tráfego detectado de endereços IP recomendados para bloqueio O Microsoft Defender para Nuvem detectou tráfego de entrada de endereços IP com recomendação para serem bloqueados. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem. Investigação Baixo

Alertas para o Azure Key Vault

Mais detalhes e observações

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saiba mais)
Severity
Acesso de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Acesso com credencial Médio
Acesso de um nó de saída do TOR a um cofre de chaves
(KV_TORAccess)
Um cofre de chaves foi acessado de um nó de saída do TOR conhecido. Isso pode ser uma indicação de que um ator de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais. Acesso com credencial Médio
Alto volume de operações em um cofre de chaves
(KV_OperationVolumeAnomaly)
Um número anormal de operações do cofre de chaves foi executado por um usuário, uma entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anormal pode ser legítimo, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio
Alteração de política suspeita e consulta de segredo em um cofre de chaves
(KV_PutGetAnomaly)
Um usuário ou uma entidade de serviço realizou uma operação de alteração de política Vault Put anormal, seguida por uma ou mais operações Secret Get. Esse padrão normalmente não é executado pelo usuário ou pela entidade de serviço especificada. Essa pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça atualizou a política do cofre de chaves para acessar segredos inacessíveis anteriormente. Recomendamos investigações adicionais. Acesso com credencial Médio
Listagem e consulta secreta suspeitas em um cofre de chaves
(KV_ListGetAnomaly)
Um usuário ou uma entidade de serviço realizou uma operação Secret List anormal, seguida por uma ou mais operações Secret Get. Esse padrão normalmente não é executado pelo usuário nem pela entidade de serviço especificada e normalmente está associado ao despejo de segredos. Essa pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais. Acesso com credencial Médio
Acesso incomum negado – Usuário com acesso a alto volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Um usuário ou entidade de serviço tentou acessar um número anormalmente alto de cofres de chaves nas últimas 24 horas. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. Descoberta Baixo
Acesso incomum negado - Acesso incomum do usuário ao cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser indicativo de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Acesso inicial, Descoberta Baixo
Aplicativo incomum acessou um cofre de chaves
(KV_AppAnomaly)
Um cofre de chaves foi acessado por uma entidade de serviço incomum que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio
Padrão de operação incomum em um cofre de chaves
(KV_OperationPatternAnomaly)
Um padrão anormal de operações do cofre de chaves foi executado por um usuário, uma entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anormal pode ser legítimo, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio
Um usuário incomum acessou um cofre de chaves
(KV_UserAnomaly)
Um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio
Um par incomum de usuário-aplicativo acessou um cofre de chaves
(KV_UserAppAnomaly)
Um cofre de chaves foi acessado por um par incomum de usuário-entidade de serviço que normalmente não o acessa. Esse padrão de acesso anormal pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais. Acesso com credencial Médio
O usuário acessou um alto volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Um usuário ou uma entidade de serviço acessou um número anormalmente alto de cofres de chaves. Esse padrão de acesso anormal pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaça obteve acesso a vários cofres de chaves em uma tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais. Acesso com credencial Médio

Alertas da Proteção contra DDoS do Azure

Mais detalhes e observações

Alerta Descrição Táticas MITRE
(Saiba mais)
Severity
Ataque de DDoS detectado para IP público Um Ataque de DDoS foi detectado para IP público (endereço IP) e está sendo mitigado. Investigação Alta
Ataque de DDoS migrado para IP público Ataque de DDoS migrado para IP público (endereço IP). Investigação Baixo

Alertas de incidente de segurança

Mais detalhes e observações

Alerta Descrição Táticas MITRE
(Saiba mais)
Severity
Incidente de segurança com processo compartilhado detectado O incidente iniciado à(s) {Hora de início (UTC)} e recentemente detectado à(s) {Hora de detecção (UTC)} indica que um invasor {Ação realizada} seu recurso {Host} - Alta
Incidente de segurança detectado em vários recursos O incidente iniciado à(s) {Start Time (UTC)} e recentemente detectado à(s) {Detected Time (UTC)} indica que métodos de ataque semelhantes foram executados em seus recursos de nuvem {Host} - Médio
Incidente de segurança detectado da mesma fonte O incidente iniciado à(s) {Hora de início (UTC)} e recentemente detectado à(s) {Hora de detecção (UTC)} indica que um invasor {Ação realizada} seu recurso {Host} - Alta
Incidente de segurança detectado em vários computadores O incidente iniciado à(s) {Hora de início (UTC)} e recentemente detectado à(s) {Hora de detecção (UTC)} indica que um invasor {Ação realizada} seu recurso {Host} - Médio

MITRE ATT&Táticas CK

Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Microsoft Defender para Nuvem incluem as táticas MITRE com muitos alertas.

A série de etapas que descrevem a progressão de um ciberataque de reconhecimento para exfiltração de dados é geralmente conhecida como "kill chain".

As intenções de kill chain com suporte do Defender para Nuvem são baseadas na versão 9 do MITRE ATT&matriz CK e estão descritas na tabela abaixo.

Tática Versão do ATT&CK Descrição
PreAttack O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Normalmente, a etapa é detectada como uma tentativa, proveniente de fora da rede, para verificar o sistema de destino e identificar um ponto de entrada.
Acesso inicial V7, V9 O InitialAccess é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para os hosts de computação e recursos, como contas de usuário, certificados etc. Os atores de ameaça geralmente poderão controlar o recurso após esse estágio.
Persistência V7, V9 A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema. Os atores de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exijam que uma ferramenta de acesso remoto reinicie ou forneça um backdoor alternativo para que eles recuperem o acesso.
Escalonamento de Privilégios V7, V9 A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos em uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários atinjam seu objetivo também podem ser consideradas uma elevação de privilégio.
Evasão de defesa V7, V9 A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da detecção ou evitar outras defesas. Às vezes, essas ações são as mesmas que as técnicas (ou variações) em outras categorias que têm o benefício adicional de derrubar uma determinada defesa ou mitigação.
Acesso com credencial V7, V9 O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas contas de usuários ou de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior no ambiente.
Discovery V7, V9 A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, eles devem se orientar para o que agora têm controle e quais benefícios o sistema operacional oferece ao seu objetivo atual ou metas gerais durante a invasão. O sistema operacional fornece muitas ferramentas nativas que auxiliam nesta fase de coleta de informações após o comprometimento.
LateralMovement V7, V9 A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode incluir a execução de ferramentas em sistemas remotos, mas não necessariamente fazê-lo. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, ponto de acesso a mais sistemas, acesso a informações ou arquivos específicos, acesso mais credenciais ou causar algum efeito.
Execução V7, V9 A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede.
Coleção V7, V9 A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento. Essa categoria também aborda locais em um sistema ou rede em que o adversário pode procurar informações para exportar.
Comando e controle V7, V9 A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino.
Exfiltração V7, V9 A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação. Essa categoria também aborda locais em um sistema ou rede em que o adversário pode procurar informações para exportar.
Impacto V7, V9 Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outros.

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas

Para saber mais sobre os alertas de segurança do Microsoft Defender para Nuvem, confira o seguinte: