Alertas para computadores Windows
Este artigo lista os alertas de segurança que você pode receber para computadores Windows no Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Saiba como responder a esses alertas.
Alertas de máquinas Windows
O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Windows são:
Um logon de um IP mal-intencionado foi detectado. [visto várias vezes]
Descrição: ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Provavelmente ocorreu um ataque bem-sucedido. Arquivos com as extensões .scr são arquivos de proteção de tela e, normalmente, residem e são executados pelo diretório do sistema Windows.
Gravidade: Alta
A violação da política de controle de aplicativo adaptável foi auditada
VM_AdaptiveApplicationControlWindowsViolationAudited
Descrição: os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.
Táticas do MITRE: Execução
Gravidade: Informativo
Adição de conta de convidado ao grupo de administradores locais
Descrição: a análise dos dados do host detectou a adição da conta Convidado interna ao grupo Administradores Locais em %{Compromised Host}, que está fortemente associada à atividade do invasor.
Gravidade: Média
Um log de eventos foi limpo
Descrição: os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome do usuário}' em Máquina: '%{CompromisedEntity}'. O log %{canal de log} foi limpo.
Gravidade: Informativo
Falha na ação do Antimalware
Descrição: o Microsoft Antimalware encontrou um erro ao executar uma ação em malware ou outro software potencialmente indesejado.
Gravidade: Média
Ação do Antimalware executada
Descrição: o Microsoft Antimalware para Azure executou uma ação para proteger este computador contra malware ou outro software potencialmente indesejado.
Gravidade: Média
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Média
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Gravidade: Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Descrição: antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: o arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivos antimalware e execução de código em sua máquina virtual (temporária)
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução do código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: arquivo excluído do scanner antimalware na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: a desabilitação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Gravidade: Média
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: a exclusão incomum de arquivos da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ações detectadas indicando a desativação e exclusão de arquivos de log do IIS
Descrição: a análise dos dados do host detectou ações que mostram arquivos de log do IIS sendo desabilitados e/ou excluídos.
Gravidade: Média
Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.
Gravidade: Média
Alteração detectada em uma chave do Registro que pode ser usada por ignorar o UAC
Descrição: a análise dos dados do host no %{Compromised Host} detectou que uma chave do Registro que pode ser abusada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar mover de um acesso não privilegiado (usuário padrão) para privilegiado (por exemplo, administrador) em um host comprometido.
Gravidade: Média
Decodificação detectada de um executável usando a ferramenta interna certutil.exe
Descrição: a análise dos dados do host no %{Compromised Host} detectou que o certutil.exe, um utilitário de administrador integrado, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Alta
Habilitação detectada da chave do Registro UseLogonCredential WDigest
Descrição: a análise dos dados do host detectou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, a chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como a Mimikatz.
Gravidade: Média
Executável codificado detectado em dados da linha de comando
Descrição: a análise dos dados do host em %{Compromised Host} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Linha de comando ofuscada detectada
Descrição: os invasores usam técnicas de ofuscação cada vez mais complexas para evitar detecções executadas nos dados subjacentes. A análise de dados do host em %{Host Comprometido} detectou indicadores suspeitos de ofuscação na linha de comando.
Gravidade: Informativo
Possível execução de executável keygen detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de um processo cujo nome é indicativo de uma ferramenta de keygen; essas ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download geralmente é empacotado com outro software malicioso. O grupo de atividades GOLD é conhecido por fazer uso de keygens para obter secretamente acesso de porta dos fundos aos hosts que comprometem.
Gravidade: Média
Possível execução de instalação de malware detectada
Descrição: a análise dos dados do host em %{Compromised Host} detectou um nome de arquivo que foi associado anteriormente a um dos métodos do grupo de atividades GOLD para instalar malware em um host vítima.
Gravidade: Alta
Possível atividade de reconhecimento local detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou uma combinação de comandos systeminfo que foi associada anteriormente a um dos métodos do grupo de atividades GOLD para executar atividades de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas da maneira que ocorreu aqui é raro.
Gravidade: Baixa
Uso potencialmente suspeito de ferramenta Telegram detectado
Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para sistemas móveis quanto para desktop. Os invasores são conhecidos por abuso desse serviço para transferir binários mal-intencionados para qualquer outro computador, telefone ou tablet.
Gravidade: Média
Supressão de aviso legal exibido aos usuários no logon detectado
Descrição: a análise dos dados do host em %{Compromised Host} detectou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que essa é uma atividade comum realizada por invasores depois de terem comprometido um host.
Gravidade: Baixa
Combinação suspeita de HTA e PowerShell detectada
Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos maliciosos do PowerShell. Os invasores costumam recorrer a um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e opta por executá-lo, os comandos do PowerShell e os scripts em que ele é contido são executados. A análise de dados do host em %{Host Comprometido} detectou que o mshta.exe está lançando comandos do PowerShell.
Gravidade: Média
Argumentos da linha de comando suspeitos detectados
Descrição: a análise de dados do host em %{Compromised Host} detectou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividades HYDROGEN.
Gravidade: Alta
Linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório
Descrição: a análise dos dados do host detectou um processo suspeito em execução no %{Compromised Host}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir em um diretório. Pode ser uma indicação de um host comprometido.
Gravidade: Média
Credenciais suspeitas detectadas na linha de comando
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividades BORON. Este grupo de atividades tem sido conhecido por usar a senha para executar o malware Pirpi em um host vítima.
Gravidade: Alta
Credenciais de documento suspeitas detectadas
Descrição: a análise dos dados do host em %{Compromised Host} detectou um hash de senha pré-computado comum suspeito usado por malware usado para executar um arquivo. O grupo de atividades HYDROGEN tem sido conhecido por usar a senha para executar malware em um host vítima.
Gravidade: Alta
Execução suspeita do comando VBScript.Encode detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para que os usuários examinem o código. A pesquisa de ameaças da Microsoft mostra que invasores geralmente usam arquivos VBscript codificados como parte do ataque para enganar sistemas de detecção. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Média
Execução suspeita via rundll32.exe detectada
Descrição: a análise dos dados do host em %{Compromised Host} detectou rundll32.exe sendo usados para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividades GOLD ao instalar seu implante de primeiro estágio em um host comprometido.
Gravidade: Alta
Comandos de limpeza de arquivo suspeitos detectados
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma combinação de comandos systeminfo que foi associada anteriormente a um dos métodos do grupo de atividades GOLD para executar a atividade de autolimpeza pós-comprometimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes consecutivas seguida por um comando de exclusão da maneira que ocorreu aqui é raro.
Gravidade: Alta
Criação de arquivo suspeito detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou execução de um processo que indicou anteriormente uma ação pós-comprometimento executada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades tem sido conhecido por usar esta técnica para baixar mais malware para um host comprometido depois de um anexo em um documento de phishing ter sido aberto.
Gravidade: Alta
Comunicações de pipe nomeado suspeitas detectadas
Descrição: a análise dos dados do host em %{Compromised Host} detectou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Pipes nomeados são conhecidos por serem um canal usado por invasores para criar tarefas e se comunicar com um implante mal-intencionado. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Atividade de rede suspeita detectada
Descrição: a análise do tráfego de rede de %{Compromised Host} detectou atividades de rede suspeitas. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Gravidade: Baixa
Nova regra de firewall suspeita detectada
Descrição: a análise dos dados do host detectou que uma nova regra de firewall foi adicionada por meio do netsh.exe para permitir o tráfego de um executável em um local suspeito.
Gravidade: Média
Uso suspeito de CACLS detectado para diminuir o estado de segurança do sistema
Descrição: os invasores usam inúmeras maneiras, como força bruta, spear phishing, etc., para obter um comprometimento inicial e se firmar na rede. Depois que o comprometimento inicial é atingido, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ € "abreviação de lista de controle de acesso de mudança é utilitário de linha de comando nativo do Microsoft Windows freqüentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado por invasores para reduzir as configurações de segurança de um sistema. Isso é feito concedendo a todos acesso completo a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, entre outros. A análise de dados do host em %{Host Comprometido} detectou uso suspeito de Cacls para reduzir a segurança de um sistema.
Gravidade: Média
Uso suspeito de opção de FTP -s detectado
Descrição: a análise dos dados de criação de processos do %{Compromised Host} detectou o uso da opção FTP "-s:filename". Esta opção é usada para especificar um arquivo de script de FTP para que o cliente seja executado. Malware ou processos mal-intencionados são conhecidos por usar a opção FTP (-s:nomedoarquivo) para apontar para um arquivo de script, que está configurado para se conectar a um servidor FTP remoto e baixar mais binários mal-intencionados.
Gravidade: Média
Uso suspeito detectado de Pcalua.exe para iniciar o código executável
Descrição: a análise de dados do host em %{Compromised Host} detectou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é um componente do "Assistente de compatibilidade de programa" do Microsoft Windows, que detecta problemas de compatibilidade durante a instalação ou execução de um programa. Os invasores são conhecidos por abusar da funcionalidade das ferramentas do sistema Windows legítimas para realizar ações mal-intencionadas, por exemplo, usar pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou de compartilhamentos remotos.
Gravidade: Média
Desabilitação de serviços críticos detectada
Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução do comando "net.exe stop" que está sendo usado para interromper serviços críticos, como SharedAccess ou o aplicativo Segurança do Windows. A interrupção de qualquer um desses serviços pode ser uma indicação de um comportamento mal-intencionado.
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detectado
Descrição: a análise dos dados do host no %{Compromised Host} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Criação de script do PS dinâmico
Descrição: a análise de dados do host em %{Compromised Host} detectou um script do PowerShell sendo construído dinamicamente. Os invasores algumas vezes usam essa abordagem para compilar progressivamente um script para fugir de sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.
Gravidade: Média
Executável encontrado em execução em um local suspeito
Descrição: a análise dos dados do host detectou um arquivo executável em %{Compromised Host} que está sendo executado em um local comum com arquivos suspeitos conhecidos. O executável pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Comportamento de ataque sem arquivos detectado
(VM_FilelessAttackBehavior.Windows)
Descrição: a memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Técnica de ataque de sem arquivos detectada
(VM_FilelessAttackTechnique.Windows)
Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem:
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Imagem executável injetada no processo, como em um ataque de injeção de código.
- Conexões de rede ativas. Confira NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Confira Recursos abaixo para obter recursos do sistema operacional referenciados.
- Esvaziamento de processo, que é uma técnica usada por malware na qual um processo legítimo é carregado no sistema para atuar como um contêiner para código hostil.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. É um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivos detectado
(VM_FilelessAttackToolkit.Windows)
Descrição: a memória do processo especificado contém um kit de ferramentas de ataque sem arquivo: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivos usam técnicas que minimizam ou eliminam rastros de malware no disco e reduzem consideravelmente as chances de detecção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:
- Kits de ferramentas conhecidos e software de mineração de criptografia.
- Shellcode, que é uma pequena parte do código geralmente usada como conteúdo na exploração de uma vulnerabilidade de software.
- Executável malicioso injetado na memória do processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Média
Software de alto risco detectado
Descrição: a análise dos dados do host de %{Compromised Host} detectou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software mal-intencionado é empacotá-lo em ferramentas benignas, como aquela vista neste alerta. Quando você usa essas ferramentas, o malware poderá ser instalado silenciosamente em segundo plano.
Gravidade: Média
Os membros do grupo de administradores locais foram enumerados
Descrição: os logs do computador indicam uma enumeração bem-sucedida no grupo %{Nome de domínio do grupo enumerado}%{Nome do grupo enumerado}. Especificamente, %{Nome de Domínio de Usuário de Enumeração}%{Nome do Usuário da Enumeração} enumerou remotamente os membros do grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. A atividade pode ser uma atividade legítima ou uma indicação de que um computador em sua organização foi comprometido e usado para o reconhecimento de %{nomedavm}.
Gravidade: Informativo
Regra de firewall mal-intencionado criada pelo implante do servidor ZINC [visto várias vezes]
Descrição: uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, o ZINC. A regra era possivelmente usada para abrir uma porta no %{Host Comprometido} para permitir comunicações de controle e comando. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Atividade do SQL mal-intencionada
Descrição: os logs da máquina indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. A atividade é considerada mal-intencionada.
Gravidade: Alta
Várias contas de domínio consultadas
Descrição: a análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado em um curto período de tempo de %{Compromised Host}. Esse tipo de atividade pode ser legítimo, mas também pode ser uma indicação de comprometimento.
Gravidade: Média
Possível despejo de credencial detectado [visto várias vezes]
Descrição: a análise dos dados do host detectou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de forma a permitir a extração de credenciais da memória. Os invasores geralmente usam essas técnicas para extrair as credenciais que usam posteriormente para movimentação lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Possível tentativa de ignorar o AppLocker detectada
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma possível tentativa de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita quais executáveis podem ser executados em um sistema Windows. O padrão da linha de comando semelhante àquele identificado neste alerta foi associado anteriormente às tentativas de o invasor contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Grupo de serviço do SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
Descrição: o processo do sistema SVCHOST foi observado executando um grupo de serviços raro. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Informativo
Ataque a teclas de aderência detectado
Descrição: a análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas de aderência, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Compromised Host}.
Gravidade: Média
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Descrição: várias tentativas de início de sessão foram detetadas a partir da mesma fonte. Algumas delas se autenticaram com êxito no host. Isso é semelhante a um ataque de intermitência, no qual um invasor realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.
Táticas do MITRA: Exploração
Gravidade: Média/Alta
Indicação de nível de integridade suspeito de sequestro de RDP
Descrição: a análise dos dados do host detectou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host; é uma técnica de invasor conhecida para comprometer mais contas de usuário e se mover lateralmente em uma rede.
Gravidade: Média
Instalação de serviço suspeito
Descrição: a análise dos dados do host detectou a instalação do tscon.exe como um serviço: esse binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado a esse host sequestrando conexões RDP; é uma técnica de invasor conhecida para comprometer mais contas de usuário e mover-se lateralmente em uma rede.
Gravidade: Média
Parâmetros de ataque de Golden Ticket do Kerberos suspeitos observados
Descrição: a análise dos dados do host detectou parâmetros de linha de comando consistentes com um ataque do Golden Ticket Kerberos.
Gravidade: Média
Criação de conta suspeita detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou o uso de uma conta local %{Nome da conta suspeita}: esse nome de conta se assemelha muito a uma conta padrão do Windows ou nome de grupo '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.
Gravidade: Média
Atividade suspeita detectada
(VM_SuspiciousActivity)
Descrição: a análise dos dados do host detectou uma sequência de um ou mais processos em execução no %{nome da máquina} que historicamente foram associados a atividades mal-intencionadas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Pode ser uma atividade legítima ou uma indicação de um host comprometido.
Táticas do MITRE: Execução
Gravidade: Média
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Descrição: Embora nenhum deles tenha sido bem-sucedido, alguns deles usaram contas que foram reconhecidas pelo anfitrião. É semelhante a um ataque de dicionário, em que um invasor realiza várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para acessar o host. Indica que alguns dos nomes de conta de host podem existir em um dicionário de nome de conta conhecido.
Táticas MITRE: Sondagem
Gravidade: Média
Segmento de código suspeito detectado
Descrição: indica que um segmento de código foi alocado usando métodos não padrão, como injeção reflexiva e esvaziamento de processo. O alerta processa mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.
Gravidade: Média
Arquivo de extensão dupla suspeito executado
Descrição: a análise dos dados do host indica a execução de um processo com uma extensão dupla suspeita. Essa extensão pode induzir os usuários a pensar que os arquivos são seguros para serem abertos e pode indicar a presença de malware no sistema.
Gravidade: Alta
Download suspeito usando o Certutil detectado [visto várias vezes]
Descrição: a análise dos dados do host no %{Compromised Host} detectou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Download suspeito usando o Certutil detectado
Descrição: a análise dos dados do host no %{Compromised Host} detectou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Média
Atividade suspeita do PowerShell detectada
Descrição: a análise dos dados do host detectou um script do PowerShell em execução em %{Compromised Host} que tem recursos em comum com scripts suspeitos conhecidos. O script pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Cmdlets suspeitos do PowerShell executados
Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit mal-intencionados conhecidos.
Gravidade: Média
Processo suspeito executado [visto várias vezes]
Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo Suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Processo suspeito executado
Descrição: os logs da máquina indicam que o processo suspeito: '%{Processo Suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais.
Gravidade: Alta
Nome de processo suspeito executado [visto várias vezes]
Descrição: a análise dos dados do host em %{Compromised Host} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Nome de processo suspeito detectado
Descrição: a análise dos dados do host em %{Compromised Host} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas de invasor que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido.
Gravidade: Média
Atividade SQL suspeita
Descrição: os logs da máquina indicam que "%{nome do processo}" foi executado pela conta: %{nome do usuário}. Esta atividade não é comum nesta conta.
Gravidade: Média
Processo SVCHOST suspeito executado
Descrição: o processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar suas atividades mal-intencionadas.
Gravidade: Alta
Processo suspeito do sistema executado
(VM_SystemProcessInAbnormalContext)
Descrição: o processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa este nome de processo para mascarar suas atividades mal-intencionadas.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Atividade de cópia de sombra de volume suspeita
Descrição: a análise dos dados do host detectou uma atividade de exclusão de cópia de sombra no recurso. Cópia de sombra de volume (VSC) é um artefato importante que armazena instantâneos de dados. Alguns malwares e especificamente ransomware visam o VSC para sabotar estratégias de backup.
Gravidade: Alta
Valor de registro suspeito do WindowPosition detectado
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma tentativa de alteração na configuração do Registro WindowPosition que pode ser indicativa de ocultar janelas de aplicativos em seções não visíveis da área de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: esse tipo de atividade foi associado anteriormente a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware, como Win32/Creprote. Quando o valor de WindowPosition é definido como 201329664, (hexa: 0x0c00 0c00, correspondente ao eixo X = 0c00 e ao eixo Y = 0c00), isso coloca a janela do aplicativo do console em uma seção não visível da tela do usuário em uma área ocultada da exibição abaixo do menu iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.
Gravidade: Baixa
Processo nomeado suspeito detectado
Descrição: a análise de dados do host em %{Compromised Host} detectou um processo cujo nome é muito semelhante, mas diferente de um processo executado com muita frequência (%{Similar To Process Name}). Embora esse processo possa ser de invasores benignos, às vezes se ocultam claramente nomeando suas ferramentas mal-intencionadas para se parecer com nomes de processo legítimos.
Gravidade: Média
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Execução de processo incomum detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de um processo por %{Nome de usuário} que era incomum. Contas como %{Nome de usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora do personagem e pode ser suspeita.
Gravidade: Alta
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alocação de objeto VBScript HTTP detectada
Descrição: foi detectada a criação de um arquivo VBScript usando o prompt de comando. O script a seguir contém o comando de alocação de objeto HTTP. A ação pode ser usada para baixar arquivos mal-intencionados.
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.
Táticas do MITRE: Impacto
Gravidade: Baixa
Invocação da ferramenta AzureHound detectada
(ARM_AzureHound)
Descrição: o AzureHound foi executado em sua assinatura e executou operações de coleta de informações para enumerar recursos. Os agentes de ameaças usam ferramentas automatizadas, como o AzureHound, para enumerar recursos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente da ameaça está tentando comprometer seu ambiente.
Táticas do MITRE: Descoberta
Gravidade: Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.