Partilhar via


Alertas para extensões de VM do Azure

Este artigo lista os alertas de segurança que você pode receber para extensões de VM do Azure do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas de extensões de VM do Azure

Esses alertas se concentram na deteção de atividades suspeitas de extensões de máquina virtual do Azure e fornecem informações sobre as tentativas dos invasores de comprometer e executar atividades maliciosas em suas máquinas virtuais.

As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por agentes de ameaças para várias intenções maliciosas, por exemplo:

  • Recolha e monitorização de dados

  • Execução de código e implantação de configuração com altos privilégios

  • Redefinindo credenciais e criando usuários administrativos

  • Encriptação de discos

Saiba mais sobre as proteções mais recentes do Defender for Cloud contra o abuso das extensões de VM do Azure.

Falha suspeita ao instalar a extensão GPU na sua subscrição (Pré-visualização)

(VM_GPUExtensionSuspiciousFailure)

Descrição: intenção suspeita de instalar uma extensão de GPU em VMs não suportadas. Esta extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, neste caso, as máquinas virtuais não estão equipadas com tal. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações de tal extensão para fins de mineração de criptomoedas.

Táticas MITRE: Impacto

Gravidade: Média

Foi detetada uma instalação suspeita de uma extensão GPU na sua máquina virtual (Pré-visualização)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. Esta atividade é considerada suspeita, uma vez que o comportamento do responsável se afasta dos seus padrões habituais.

Táticas MITRE: Impacto

Gravidade: Baixa

Executar comando com um script suspeito foi detetado em sua máquina virtual (visualização)

(VM_RunCommandSuspiciousScript)

Descrição: Um Comando Executar com um script suspeito foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.

Táticas MITRE: Execução

Gravidade: Alta

Foi detetada uma utilização suspeita não autorizada do Comando de Execução na sua máquina virtual (Pré-visualização)

(VM_RunCommandSuspiciousFailure)

Descrição: O uso não autorizado suspeito do Comando Executar falhou e foi detetado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem tentar usar o Comando Executar para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes.

Táticas MITRE: Execução

Gravidade: Média

O uso suspeito do Comando de Execução foi detetado em sua máquina virtual (Visualização)

(VM_RunCommandSuspiciousUsage)

Descrição: O uso suspeito do Run Command foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes.

Táticas MITRE: Execução

Gravidade: Baixa

Foi detetada uma utilização suspeita de várias extensões de monitorização ou recolha de dados nas suas máquinas virtuais (Pré-visualização)

(VM_SuspiciousMultiExtensionUsage)

Descrição: o uso suspeito de várias extensões de monitoramento ou coleta de dados foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Este uso é considerado suspeito, pois não foi comumente visto antes.

Táticas MITRE: Reconhecimento

Gravidade: Média

Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais (Pré-visualização)

(VM_DiskEncryptionSuspiciousUsage)

Descrição: A instalação suspeita de extensões de criptografia de disco foi detetada em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem abusar da extensão de encriptação de disco para implementar encriptações de disco completas nas suas máquinas virtuais através do Azure Resource Manager numa tentativa de executar atividade de ransomware. Esta atividade é considerada suspeita, pois não foi comumente vista antes e devido ao alto número de instalações de extensão.

Táticas MITRE: Impacto

Gravidade: Média

Foi detetada uma utilização suspeita da extensão VMAccess nas suas máquinas virtuais (Pré-visualização)

(VM_VMAccessSuspiciousUsage)

Descrição: Foi detetada uma utilização suspeita da extensão VMAccess nas suas máquinas virtuais. Os invasores podem abusar da extensão VMAccess para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão.

Táticas MITRE: Persistência

Gravidade: Média

A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada na máquina virtual (Pré-visualização)

(VM_DSCExtensionSuspiciousScript)

Descrição: A extensão de Configuração de Estado Desejado (DSC) com um script suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.

Táticas MITRE: Execução

Gravidade: Alta

Foi detetada uma utilização suspeita de uma extensão de Configuração de Estado Desejado (DSC) nas suas máquinas virtuais (Pré-visualização)

(VM_DSCExtensionSuspiciousUsage)

Descrição: o uso suspeito de uma extensão de Configuração de Estado Desejado (DSC) foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão.

Táticas MITRE: Execução

Gravidade: Baixa

Foi detetada uma extensão de script personalizada com um script suspeito na sua máquina virtual (Pré-visualização)

(VM_CustomScriptExtensionSuspiciousCmd)

Descrição: A extensão de script personalizada com um script suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.

Táticas MITRE: Execução

Gravidade: Alta

Falha suspeita na execução da extensão de script personalizada em sua máquina virtual

(VM_CustomScriptExtensionSuspiciousFailure)

Descrição: Falha suspeita de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tais falhas podem estar associadas a scripts mal-intencionados executados por essa extensão.

Táticas MITRE: Execução

Gravidade: Média

Exclusão incomum da extensão de script personalizado em sua máquina virtual

(VM_CustomScriptExtensionUnusualDeletion)

Descrição: A exclusão incomum de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Execução incomum de extensão de script personalizado em sua máquina virtual

(VM_CustomScriptExtensionUnusualExecution)

Descrição: A execução incomum de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Extensão de script personalizada com ponto de entrada suspeito em sua máquina virtual

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Descrição: uma extensão de script personalizada com um ponto de entrada suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. O ponto de entrada refere-se a um repositório GitHub suspeito. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Extensão de script personalizada com carga suspeita em sua máquina virtual

(VM_CustomScriptExtensionSuspiciousPayload)

Descrição: A extensão de script personalizada com uma carga de um repositório GitHub suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.

Táticas MITRE: Execução

Gravidade: Média

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos