Alertas de segurança preteridos
Este artigo lista alertas de segurança preteridos no Microsoft Defender para Nuvem.
Alertas preteridos do Defender para Contêineres
As listas a seguir incluem os alertas de segurança do Defender para Contêineres que foram preteridos.
Manipulação do firewall do host detectada
(K8S.NODE_FirewallDisabled)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma possível manipulação do firewall no host. Os invasores geralmente desabilitarão isso para exportar dados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uso suspeito de DNS sobre HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou o uso de uma chamada DNS por HTTPS de maneira incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uma possível conexão com um local malicioso foi detectada
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Este é um indicador de que um comprometimento pode ter ocorrido.
Táticas MITRE: InitialAccess
Gravidade: Média
Atividade de mineração de moeda digital
(K8S. NODE_CurrencyMining)
Descrição: a análise de transações de DNS detectou atividade de mineração de moeda digital. Essa atividade, embora seja possivelmente um comportamento de usuário legítimo, é frequentemente executada pelos invasores após o comprometimento dos recursos. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de ferramentas de mineração comuns.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Alertas preteridos do Defender para Servidores Linux
VM_AbnormalDaemonTermination
Nome de exibição do alerta: Encerramento anormal
Gravidade: Baixa
VM_BinaryGeneratedFromCommandLine
Nome de exibição do alerta: binário suspeito detectado
Gravidade: Média
VM_CommandlineSuspectDomain Suspicious
Nome de exibição do alerta: referência de nome de domínio
Gravidade: Baixa
VM_CommonBot
Nome de exibição do alerta: comportamento semelhante aos bots comuns do Linux detectados
Gravidade: Média
VM_CompCommonBots
Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detectados
Gravidade: Média
VM_CompSuspiciousScript
Nome de exibição do alerta: Shell Script detectado
Gravidade: Média
VM_CompTestRule
Nome de exibição do alerta: Alerta de teste analítico composto
Gravidade: Baixa
VM_CronJobAccess
Nome de exibição do alerta: Manipulação de tarefas agendadas detectadas
Gravidade: Informativo
VM_CryptoCoinMinerArtifacts
Nome de exibição do alerta: Processo associado à mineração de moeda digital detectado
Gravidade: Média
VM_CryptoCoinMinerDownload
Nome de exibição do alerta: Possível download do Cryptocoinminer detectado
Gravidade: Média
VM_CryptoCoinMinerExecution
Nome de exibição do alerta: Potencial minerador de criptomoedas iniciado
Gravidade: Média
VM_DataEgressArtifacts
Nome de exibição do alerta: possível exfiltração de dados detectada
Gravidade: Média
VM_DigitalCurrencyMining
Nome de exibição do alerta: Comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_DownloadAndRunCombo
Nome de exibição do alerta: Atividade de download e execução suspeita
Gravidade: Média
VM_EICAR
Nome de exibição do alerta: Microsoft Defender para Nuvem alerta de teste (não é uma ameaça)
Gravidade: Alta
VM_ExecuteHiddenFile
Nome de exibição do alerta: Execução de arquivo oculto
Gravidade: Informativo
VM_ExploitAttempt
Nome de exibição do alerta: possível tentativa de exploração de linha de comando
Gravidade: Média
VM_ExposedDocker
Nome de exibição do alerta: Daemon do Docker exposto no soquete TCP
Gravidade: Média
VM_FairwareMalware
Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detectado
Gravidade: Média
VM_FirewallDisabled
Nome de exibição do alerta: Manipulação do firewall do host detectada
Gravidade: Média
VM_HadoopYarnExploit
Nome de exibição do alerta: Possível exploração do Hadoop Yarn
Gravidade: Média
VM_HistoryFileCleared
Nome de exibição do alerta: um arquivo de histórico foi limpo
Gravidade: Média
VM_KnownLinuxAttackTool
Nome de exibição do alerta: Possível ferramenta de ataque detectada
Gravidade: Média
VM_KnownLinuxCredentialAccessTool
Nome de exibição do alerta: Possível ferramenta de acesso a credenciais detectada
Gravidade: Média
VM_KnownLinuxDDoSToolkit
Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detectados
Gravidade: Média
VM_KnownLinuxScreenshotTool
Nome de exibição do alerta: captura de tela feita no host
Gravidade: Baixa
VM_LinuxBackdoorArtifact
Nome de exibição do alerta: Possível backdoor detectado
Gravidade: Média
VM_LinuxReconnaissance
Nome de exibição do alerta: reconhecimento de host local detectado
Gravidade: Média
VM_MismatchedScriptFeatures
Nome de exibição do alerta: Incompatibilidade de extensão de script detectada
Gravidade: Média
VM_MitreCalderaTools
Nome de exibição do alerta: Agente MITRE Caldera detectado
Gravidade: Média
VM_NewSingleUserModeStartupScript
Nome de exibição do alerta: Tentativa de persistência detectada
Gravidade: Média
VM_NewSudoerAccount
Nome de exibição do alerta: Conta adicionada ao grupo sudo
Gravidade: Baixa
VM_OverridingCommonFiles
Nome de Exibição do Alerta: Substituição potencial de arquivos comuns
Gravidade: Média
VM_PrivilegedContainerArtifacts
Nome de exibição do alerta: contêiner em execução no modo privilegiado
Gravidade: Baixa
VM_PrivilegedExecutionInContainer
Nome de exibição do alerta: Comando em um contêiner em execução com privilégios altos
Gravidade: Baixa
VM_ReadingHistoryFile
Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash
Gravidade: Informativo
VM_ReverseShell
Nome de exibição do alerta: Potencial shell reverso detectado
Gravidade: Média
VM_SshKeyAccess
Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
Gravidade: Baixa
VM_SshKeyAddition
Nome de exibição do alerta: Nova chave SSH adicionada
Gravidade: Baixa
VM_SuspectCompilation
Nome de exibição do alerta: compilação suspeita detectada
Gravidade: Média
VM_SuspectConnection
Nome de exibição do alerta: uma tentativa de conexão incomum detectada
Gravidade: Média
VM_SuspectDownload
Nome de exibição do alerta: download de arquivo detectado de uma fonte maliciosa conhecida
Gravidade: Média
VM_SuspectDownloadArtifacts
Nome de exibição do alerta: Download de arquivo suspeito detectado
Gravidade: Baixa
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução em um local suspeito
Gravidade: Média
VM_SuspectHtaccessFileAccess
Nome de exibição do alerta: Acesso ao arquivo htaccess detectado
Gravidade: Média
VM_SuspectInitialShellCommand
Nome de exibição do alerta: Primeiro comando suspeito no shell
Gravidade: Baixa
VM_SuspectMixedCaseText
Nome de exibição do alerta: Detectada combinação anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Média
VM_SuspectNetworkConnection
Nome de exibição do alerta: conexão de rede suspeita
Gravidade: Informativo
VM_SuspectNohup
Nome de exibição do alerta: Uso suspeito detectado do comando nohup
Gravidade: Média
VM_SuspectPasswordChange
Nome de exibição do alerta: Possível alteração de senha usando o método crypt detectado
Gravidade: Média
VM_SuspectPasswordFileAccess
Nome de exibição do alerta: acesso de senha suspeita
Gravidade: Informativo
VM_SuspectPhp
Nome de exibição do alerta: Execução suspeita de PHP detectada
Gravidade: Média
VM_SuspectPortForwarding
Nome de exibição do alerta: Encaminhamento de porta potencial para endereço IP externo
Gravidade: Média
VM_SuspectProcessAccountPrivilegeCombo
Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se raiz inesperadamente
Gravidade: Média
VM_SuspectProcessTermination
Nome de exibição do alerta: Encerramento do processo relacionado à segurança detectado
Gravidade: Baixa
VM_SuspectUserAddition
Nome de exibição do alerta: Detectado uso suspeito do comando useradd
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: Execução de comando suspeito
Gravidade: Alta
VM_SuspiciousDNSOverHttps
Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS
Gravidade: Média
VM_SystemLogRemoval
Nome de exibição do alerta: Possível atividade de violação de log detectada
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: Uma possível conexão com um local malicioso foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_TimerServiceDisabled
Nome de Exibição do Alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detectado
Gravidade: Informativo
VM_TimestampTampering
Nome de exibição do alerta: modificação de carimbo de data/hora de arquivo suspeito
Gravidade: Baixa
VM_Webshell
Nome de exibição do alerta: Possível shell da Web mal-intencionado detectado
Gravidade: Média
Alertas do Windows do Defender para Servidores preteridos
SCUBA_MULTIPLEACCOUNTCREATE
Nome de exibição do alerta: criação suspeita de contas em vários hosts
Gravidade: Média
SCUBA_PSINSIGHT_CONTEXT
Nome de exibição do alerta: Uso suspeito do PowerShell detectado
Gravidade: Informativo
SCUBA_RULE_AddGuestToAdministrators
Nome de exibição do alerta: Adição da conta Convidado ao grupo Administradores Locais
Gravidade: Média
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands
Gravidade: Média
SCUBA_RULE_KnownBruteForcingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownCollectionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownExecutionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownPassTheHashTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownSpammingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Média
SCUBA_RULE_Lowering_Security_Settings
Nome de Exibição do Alerta: Detectado o desabilitamento de serviços críticos
Gravidade: Média
SCUBA_RULE_OtherKnownHackerTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP
Gravidade: Média
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome de exibição do alerta: Instalação de serviço suspeita
Gravidade: Média
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome de exibição do alerta: Supressão detectada de aviso legal exibido aos usuários no logon
Gravidade: Baixa
SCUBA_RULE_WDigest_Enabling
Nome de exibição do alerta: Habilitado detectado da chave do Registro WDigest UseLogonCredential
Gravidade: Média
VM.Windows_ApplockerBypass
Nome de exibição do alerta: possível tentativa de ignorar o AppLocker detectada
Gravidade: Alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome de exibição do alerta: Criação de arquivo suspeito detectada
Gravidade: Alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome de exibição do alerta: executável codificado detectado nos dados da linha de comando
Gravidade: Alta
VM.Windows_CalcsCommandLineUse
Nome de exibição do alerta: Detectado uso suspeito de Cacls para diminuir o estado de segurança do sistema
Gravidade: Média
VM.Windows_CommandLineStartingAllExe
Nome de exibição do alerta: linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório
Gravidade: Média
VM.Windows_DisablingAndDeletingIISLogFiles
Nome de exibição do alerta: ações detectadas indicativas de desabilitar e excluir arquivos de log do IIS
Gravidade: Média
VM.Windows_DownloadUsingCertutil
Nome de exibição do alerta: download suspeito usando o Certutil detectado
Gravidade: Média
VM.Windows_EchoOverPipeOnLocalhost
Nome de exibição do alerta: Detectadas comunicações de pipe nomeadas suspeitas
Gravidade: Alta
VM.Windows_EchoToConstructPowerShellScript
Nome de exibição do alerta: Construção de script dinâmico do PowerShell
Gravidade: Média
VM.Windows_ExecutableDecodedUsingCertutil
Nome de exibição do alerta: decodificação detectada de um executável usando a ferramenta certutil.exe integrada
Gravidade: Média
VM.Windows_FileDeletionIsSospisiousLocation
Nome de exibição do alerta: Exclusão de arquivo suspeito detectada
Gravidade: Média
VM.Windows_KerberosGoldenTicketAttack
Nome de exibição do alerta: Parâmetros de ataque suspeitos do Golden Ticket Kerberos observados
Gravidade: Média
VM.Windows_KeygenToolKnownProcessName
Nome de exibição do alerta: Detectada possível execução do executável keygen Processo suspeito executado
Gravidade: Média
VM.Windows_KnownCredentialAccessTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome de exibição do alerta: Uso suspeito do PowerShell detectado
Gravidade: Alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome de exibição do alerta: Software de alto risco detectado
Gravidade: Média
VM.Windows_MsHtaAndPowerShellCombination
Nome de exibição do alerta: Combinação suspeita detectada de HTA e PowerShell
Gravidade: Média
VM.Windows_MultipleAccountsQuery
Nome de exibição do alerta: Várias contas de domínio consultadas
Gravidade: Média
VM.Windows_NewAccountCreation
Nome de exibição do alerta: criação de conta detectada
Gravidade: Informativo
VM.Windows_ObfuscatedCommandLine
Nome de exibição do alerta: linha de comando ofuscada detectada.
Gravidade: Alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome de exibição do alerta: Detectado uso suspeito de Pcalua.exe para iniciar o código executável
Gravidade: Média
VM.Windows_PetyaRansomware
Nome de exibição do alerta: Indicadores detectados do ransomware Petya
Gravidade: Alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados
Gravidade: Média
VM.Windows_RansomwareIndication
Nome de exibição do alerta: Indicadores de ransomware detectados
Gravidade: Alta
VM.Windows_SqlDumperUsedSuspiciously
Nome de exibição do alerta: Possível despejo de credenciais detectado [visto várias vezes]
Gravidade: Média
VM.Windows_StopCriticalServices
Nome de Exibição do Alerta: Detectado o desabilitamento de serviços críticos
Gravidade: Média
VM.Windows_SubvertingAccessibilityBinary
Nome de exibição do alerta: Ataque de teclas de aderência detectado Criação de conta suspeita detectada Médio
VM.Windows_SuspiciousAccountCreation
Nome de exibição do alerta: Criação de conta suspeita detectada
Gravidade: Média
VM.Windows_SuspiciousFirewallRuleAdded
Nome de exibição do alerta: Nova regra de firewall suspeita detectada
Gravidade: Média
VM.Windows_SuspiciousFTPSSwitchUsage
Nome de exibição do alerta: Detectado uso suspeito da opção FTP -s
Gravidade: Média
VM.Windows_SuspiciousSQLActivity
Nome de exibição do alerta: atividade SQL suspeita
Gravidade: Média
VM.Windows_SVCHostFromInvalidPath
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_SystemEventLogCleared
Nome de exibição do alerta: o log de segurança do Windows foi limpo
Gravidade: Informativo
VM.Windows_TelegramInstallation
Nome de exibição do alerta: Detectado uso potencialmente suspeito da ferramenta Telegram
Gravidade: Média
VM.Windows_UndercoverProcess
Nome de exibição do alerta: Processo com nome suspeito detectado
Gravidade: Alta
VM.Windows_UserAccountControlBypass
Nome de exibição do alerta: alteração detectada em uma chave do Registro que pode ser abusada para ignorar o UAC
Gravidade: Média
VM.Windows_VBScriptEncoding
Nome de exibição do alerta: Execução suspeita detectada do comando VBScript.Encode
Gravidade: Média
VM.Windows_WindowPositionRegisteryChange
Nome de exibição do alerta: Valor do Registro WindowPosition suspeito detectado
Gravidade: Baixa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome de exibição do alerta: Regra de firewall maliciosa criada pelo implante do servidor ZINC
Gravidade: Alta
VM_DigitalCurrencyMining
Nome de exibição do alerta: Comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_MaliciousSQLActivity
Nome de exibição do alerta: atividade SQL maliciosa
Gravidade: Alta
VM_ProcessWithDoubleExtensionExecution
Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado
Gravidade: Alta
VM_RegistryPersistencyKey
Nome de exibição do alerta: método de persistência do registro do Windows detectado
Gravidade: Baixa
VM_ShadowCopyDeletion
Nome de exibição do alerta: Atividade de cópia de sombra de volume suspeito Executável encontrado em execução em um local suspeito
Gravidade: Alta
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução em um local suspeito Detectada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Informativo
Médio
VM_SuspectPhp
Nome de exibição do alerta: Execução suspeita de PHP detectada
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: Execução de comando suspeito
Gravidade: Alta
VM_SuspiciousScreenSaverExecution
Nome de exibição do alerta: Processo de proteção de tela suspeito executado
Gravidade: Média
VM_SvcHostRunInRareServiceGroup
Nome de exibição do alerta: Grupo de serviços SVCHOST raro executado
Gravidade: Informativo
VM_SystemProcessInAbnormalContext
Nome de exibição do alerta: Processo de sistema suspeito executado
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: Uma possível conexão com um local malicioso foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_VbScriptHttpObjectAllocation
Nome de exibição do alerta: Alocação de objeto HTTP VBScript detectada
Gravidade: Alta
VM_TaskkillBurst
Nome de exibição do alerta: Intermitência de encerramento de processo suspeito
Gravidade: Baixa
VM_RunByPsExec
Nome de exibição do alerta: Execução do PsExec detectada
Gravidade: Informativo
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.