Alertas de segurança – um guia de referência

Este artigo lista os alertas de segurança que poderá obter do Microsoft Defender para a Cloud e quaisquer planos de Microsoft Defender que tenha ativado. Os alertas apresentados no seu ambiente dependem dos recursos e serviços que está a proteger e da configuração personalizada.

Na parte inferior desta página, existe uma tabela que descreve o Microsoft Defender para a cadeia de eliminação da cloud alinhada com a versão 9 da matriz MITRE ATT&CK.

Saiba como responder a estes alertas.

Saiba como exportar alertas.

Nota

Os alertas de diferentes origens podem demorar diferentes quantidades de tempo a aparecer. Por exemplo, os alertas que requerem a análise do tráfego de rede podem demorar mais tempo a aparecer do que os alertas relacionados com processos suspeitos em execução em máquinas virtuais.

Alertas para computadores Windows

Microsoft Defender para Servidores Plano 2 fornece alertas e deteções exclusivos, além dos fornecidos pelo Microsoft Defender para Endpoint. Os alertas fornecidos para computadores Windows são:

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Foi detetado um início de sessão de um IP malicioso. [visto várias vezes] Ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo] ocorreu, no entanto, o endereço IP de início de sessão (x.x.x.x) foi reportado anteriormente como malicioso ou altamente invulgar. Um ataque bem sucedido provavelmente ocorreu. Os ficheiros com as extensões .scr são ficheiros de poupança de ecrã e normalmente residem e são executados a partir do diretório do sistema Windows. - Alto
Adição da conta de Convidado ao grupo Administradores Locais A análise dos dados do anfitrião detetou a adição da conta de Convidado incorporada ao grupo Administradores Locais em %{Anfitrião Comprometido}, que está fortemente associada à atividade do atacante. - Médio
Foi desmarcado um registo de eventos Os registos de máquinas indicam uma operação de desmarcação de registos de eventos suspeita pelo utilizador: "%{nome de utilizador}" no Computador: "%{CompromisedEntity}". O registo %{log channel} foi limpo. - Informativo
Falha na Ação Antimalware Microsoft Antimalware detetou um erro ao efetuar uma ação em software maligno ou outro software potencialmente indesejável. - Médio
Ação Antimalware Tomada Microsoft Antimalware para o Azure tomou medidas para proteger esta máquina contra software maligno ou outro software potencialmente indesejável. - Médio
Exclusão de ficheiros amplos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Foi detetada a exclusão de ficheiros da extensão antimalware com uma regra de exclusão abrangente na máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição. Esta exclusão desativa praticamente a proteção antimalware.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
- Médio
Antimalware desativado e execução de código na máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware desativado ao mesmo tempo que a execução de código na máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes desativam os scanners antimalware para impedir a deteção enquanto executam ferramentas não autorizadas ou infetam o computador com software maligno.
- Alto
Antimalware desativado na máquina virtual
(VM_AmDisablement)
Antimalware desativado na máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar o antimalware na máquina virtual para impedir a deteção.
Evasão à Defesa Médio
Exclusão de ficheiros antimalware e execução de código na máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Ficheiro excluído do scanner antimalware ao mesmo tempo que o código foi executado através de uma extensão de script personalizado na sua máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de ferramentas não autorizadas ou infetar a máquina com software maligno.
Evasão de Defesa, Execução Alto
Exclusão de ficheiros antimalware e execução de código na máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de ficheiros da extensão antimalware em paralelo à execução de código através da extensão de script personalizado foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão de Defesa, Execução Alto
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Ficheiro excluído do scanner antimalware na máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de ferramentas não autorizadas ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada na máquina virtual
(VM_AmRealtimeProtectionDisabled)
A desativação da proteção em tempo real da extensão antimalware foi detetada na máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente na máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A desativação temporária da proteção em tempo real da extensão antimalware foi detetada na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A desativação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código através da extensão de script personalizado foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
- Alto
Análises antimalware bloqueadas para ficheiros potencialmente relacionados com campanhas de software maligno na máquina virtual (Pré-visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Foi detetada uma regra de exclusão na máquina virtual para impedir que a extensão antimalware analisasse determinados ficheiros suspeitos de estarem relacionados com uma campanha de software maligno. A regra foi detetada ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem excluir ficheiros de análises antimalware para impedir a deteção durante a execução de código arbitrário ou infetar o computador com software maligno. Evasão à Defesa Médio
Antimalware temporariamente desativado na máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware temporariamente desativado na sua máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar o antimalware na máquina virtual para impedir a deteção.
- Médio
Exclusão invulgar de ficheiros antimalware na sua máquina virtual
(VM_UnusualAmFileExclusion)
Foi detetada uma exclusão de ficheiro invulgar da extensão antimalware na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com o domínio suspeito foi detetada através da análise de transações DNS do recurso e da comparação com domínios maliciosos conhecidos identificados por feeds de informações sobre ameaças. A comunicação com domínios maliciosos é frequentemente efetuada por atacantes e pode implicar que o recurso está comprometido. Acesso Inicial, Persistência, Execução, Comando e Controlo, Exploração Médio
Extensão de script personalizado com comando suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizado com comando suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar a extensão de script personalizado para executar um código malicioso na sua máquina virtual através do Resource Manager do Azure.
Execução Médio
Extensão de script personalizado com um ponto de entrada suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizado com um ponto de entrada suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição. O ponto de entrada refere-se a um repositório do GitHub suspeito.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Extensão de script personalizado com payload suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizado com um payload de um repositório do GitHub suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Ações detetadas indicativas de desativação e eliminação de ficheiros de registo do IIS A análise dos dados do anfitrião detetou ações que mostram os ficheiros de registo do IIS a serem desativados e/ou eliminados. - Médio
Foi detetada uma mistura anómalo de carateres maiúsculas e minúsculas na linha de comandos A análise dos dados do anfitrião em %{Host Comprometido} detetou uma linha de comandos com uma mistura anómalo de carateres maiúsculas e minúsculas. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido. - Médio
Detetada alteração a uma chave de registo que pode ser abusada para ignorar o UAC A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou que uma chave de registo que pode ser abusada para ignorar o UAC (Controlo de Conta de Utilizador) foi alterada. Este tipo de configuração, embora possivelmente benigna, também é típico da atividade do atacante ao tentar passar de um acesso sem privilégios (utilizador padrão) para acesso privilegiado (por exemplo, administrador) num anfitrião comprometido. - Médio
Detetada a descodificação de um executável com a ferramenta de certutil.exe incorporada A análise dos dados do anfitrião no %{Compromised Host} detetou que certutil.exe, um utilitário de administrador incorporado, estava a ser utilizado para descodificar um executável em vez do seu objetivo principal relacionado com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente. - Alto
Detetada a ativação da chave de registo Do WDigest UseLogonCredential A análise dos dados do anfitrião detetou uma alteração na chave de registo HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, esta chave foi atualizada para permitir que as credenciais de início de sessão sejam armazenadas em texto limpo na memória LSA. Depois de ativado, um atacante pode remover palavras-passe de texto limpas da memória LSA com ferramentas de recolha de credenciais, como o Mimikatz. - Médio
Executável codificado detetado nos dados da linha de comandos A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um executável codificado de base 64. Isto já foi associado a atacantes que tentam construir executáveis no local através de uma sequência de comandos e a tentar evitar sistemas de deteção de intrusões, garantindo que nenhum comando individual acionaria um alerta. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Alto
Linha de comandos obfuscated detetada Os atacantes utilizam técnicas de obfuscação cada vez mais complexas para evitar deteções executadas nos dados subjacentes. A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou indicadores suspeitos de obfuscação na linha de comandos. - Informativo
Indicadores de ransomware Petya detetados A análise dos dados do anfitrião em %{Host Comprometido} detetou indicadores associados ao ransomware Petya. Consulte https://aka.ms/petya-blog para obter mais informações. Reveja a linha de comandos associada neste alerta e aumente este alerta para a sua equipa de segurança. - Alto
Detetada uma possível execução do keygen executável A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo cujo nome é indicativo de uma ferramenta de keygen; Essas ferramentas são normalmente utilizadas para derrotar os mecanismos de licenciamento de software, mas a transferência é frequentemente agrupada com outro software malicioso. O grupo de atividades GOLD é conhecido por utilizar esses keygens para obter secretamente acesso às portas dos fundos aos anfitriões que comprometem. - Médio
Detetada uma possível execução do dropper de software maligno A análise dos dados do anfitrião no %{Compromised Host} detetou um nome de ficheiro que foi anteriormente associado a um dos métodos gold do grupo de atividades de instalação de software maligno num anfitrião de vítimas. - Alto
Detetada uma possível atividade de reconhecimento local A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma combinação de comandos systeminfo que foram anteriormente associados a um dos métodos gold do grupo de atividade de realização de atividade de reconhecimento. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes seguidas da forma que ocorreu aqui é rara. -
Detetada utilização potencialmente suspeita da ferramenta Telegram A análise dos dados do anfitrião mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado na cloud que existe tanto para o sistema móvel como para o ambiente de trabalho. Os atacantes são conhecidos por abusar deste serviço para transferir binários maliciosos para qualquer outro computador, telemóvel ou tablet. - Médio
Foi detetada a supressão do aviso legal apresentado aos utilizadores no início de sessão A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou alterações à chave de registo que controlam se um aviso legal é apresentado aos utilizadores quando iniciam sessão. Microsoft análise de segurança determinou que esta é uma atividade comum realizada pelos atacantes depois de ter comprometido um anfitrião. - Baixo
Foi detetada uma combinação suspeita do HTA e do PowerShell mshta.exe (Microsoft Anfitrião de Aplicações HTML), que é um binário de Microsoft assinado, está a ser utilizado pelos atacantes para iniciar comandos maliciosos do PowerShell. Os atacantes recorrem frequentemente a ter um ficheiro HTA com VBScript inline. Quando uma vítima navega para o ficheiro HTA e opta por executá-lo, os comandos e scripts do PowerShell que contém são executados. A análise dos dados do anfitrião em %{Host Comprometido} detetou mshta.exe a iniciar comandos do PowerShell. - Médio
Foram detetados argumentos de linha de comandos suspeitos A análise dos dados do anfitrião em %{Host Compromised} detetou argumentos de linha de comandos suspeitos que foram utilizados em conjunto com uma shell inversa utilizada pelo grupo de atividades HYDROGEN. - Alto
Linha de comandos suspeita detetada utilizada para iniciar todos os executáveis num diretório A análise dos dados do anfitrião detetou um processo suspeito em execução em %{Anfitrião Comprometido}. A linha de comandos indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir num diretório. Isto pode ser uma indicação de um anfitrião comprometido. - Médio
Foram detetadas credenciais suspeitas na linha de comandos A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma palavra-passe suspeita a ser utilizada para executar um ficheiro pelo grupo de atividades BORON. Sabe-se que este grupo de atividades utiliza esta palavra-passe para executar software maligno Pirpi num anfitrião de vítimas. - Alto
Foram detetadas credenciais de documentos suspeitos A análise dos dados do anfitrião no %{Anfitrião Comprometido} detetou um hash de palavra-passe calculado previamente comum suspeito, utilizado por malware que está a ser utilizado para executar um ficheiro. Sabe-se que o grupo de atividade HYDROGEN utiliza esta palavra-passe para executar software maligno num anfitrião de vítimas. - Alto
Foi detetada uma execução suspeita do comando VBScript.Encode A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução do comando VBScript.Encode. Esta ação codifica os scripts em texto ilegível, o que dificulta a análise do código por parte dos utilizadores. Microsoft investigação sobre ameaças mostra que os atacantes utilizam frequentemente ficheiros VBscript codificados como parte do ataque para fugir aos sistemas de deteção. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Médio
Detetada execução suspeita através de rundll32.exe A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou rundll32.exe a ser utilizado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processos anteriormente visto utilizado pelo grupo de atividade GOLD ao instalar o implante de primeira fase num anfitrião comprometido. - Alto
Foram detetados comandos de limpeza de ficheiros suspeitos A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma combinação de comandos systeminfo que foram anteriormente associados a um dos métodos do grupo de atividade GOLD de realizar atividade de auto-limpeza pós-compromisso. Embora "systeminfo.exe" seja uma ferramenta legítima do Windows, executá-la duas vezes seguidas, seguida de um comando de eliminação da forma como ocorreu aqui é raro. - Alto
Detetada criação de ficheiros suspeitos A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a criação ou execução de um processo que indicou anteriormente ações pós-compromisso tomadas num anfitrião da vítima pelo grupo de atividade BARIUM. Sabe-se que este grupo de atividades utiliza esta técnica para transferir mais software maligno para um anfitrião comprometido depois de um anexo num documento de phishing ter sido aberto. - Alto
Detetada comunicações de pipe com nome suspeito A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou que os dados estão a ser escritos num pipe com nome local a partir de um comando da consola do Windows. Os pipes nomeados são conhecidos por serem um canal utilizado pelos atacantes para efetuar tarefas e comunicar com um implante malicioso. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Alto
Atividade de rede suspeita detetada A análise do tráfego de rede de %{Anfitrião Comprometido} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente utilizado por um atacante para comunicar com servidores maliciosos para transferir ferramentas, comando e controlo e transferência de dados. A atividade típica de atacante relacionada inclui copiar ferramentas de administração remota para um anfitrião comprometido e exfiltrar dados de utilizador a partir do mesmo. - Baixo
Foi detetada uma nova regra de firewall suspeita A análise dos dados do anfitrião detetou que foi adicionada uma nova regra de firewall através de netsh.exe para permitir o tráfego de um executável numa localização suspeita. - Médio
Foi detetada uma utilização suspeita de Cacls para reduzir o estado de segurança do sistema Os atacantes utilizam várias formas como força bruta, phishing de lança, etc. para alcançar um compromisso inicial e obter uma posição de pé na rede. Quando o compromisso inicial é alcançado, muitas vezes tomam medidas para reduzir as definições de segurança de um sistema. Cacls — abreviatura da lista de controlo de acesso de alterações é Microsoft utilitário de linha de comandos nativo do Windows frequentemente utilizado para modificar a permissão de segurança em pastas e ficheiros. Muitas vezes, o binário é utilizado pelos atacantes para reduzir as definições de segurança de um sistema. Isto é feito ao conceder a Todos acesso total a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe, etc. A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a utilização suspeita de Cacls para reduzir a segurança de um sistema. - Médio
Foi detetada uma utilização suspeita do Comutador FTP -s A análise dos dados de criação de processos do %{Anfitrião Comprometido} detetou a utilização do comutador FTP "-s:filename". Este comutador é utilizado para especificar um ficheiro de script FTP para o cliente ser executado. Sabe-se que o software maligno ou os processos maliciosos utilizam este comutador FTP (-s:filename) para apontar para um ficheiro de script configurado para ligar a um servidor FTP remoto e transferir binários mais maliciosos. - Médio
Detetada utilização suspeita de Pcalua.exe para iniciar código executável A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a utilização de pcalua.exe para iniciar código executável. Pcalua.exe é um componente do Microsoft "Assistente de Compatibilidade de Programas" do Windows que deteta problemas de compatibilidade durante a instalação ou execução de um programa. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas do sistema Windows para efetuar ações maliciosas, por exemplo, através de pcalua.exe com o comutador -a para iniciar executáveis maliciosos localmente ou a partir de partilhas remotas. - Médio
Detetada a desativação de serviços críticos A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução do comando "net.exe stop" a ser utilizado para parar serviços críticos como o SharedAccess ou a aplicação Segurança do Windows. A paragem de qualquer um destes serviços pode indicar um comportamento malicioso. - Médio
Comportamento relacionado com a extração de moeda digital detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo ou comando normalmente associado à extração de moeda digital. - Alto
Construção de script PS dinâmico A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um script do PowerShell a ser construído dinamicamente. Por vezes, os atacantes utilizam esta abordagem para criar progressivamente um script para evitar sistemas IDS. Pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. - Médio
Executável encontrado em execução a partir de uma localização suspeita A análise dos dados do anfitrião detetou um ficheiro executável em %{Anfitrião Comprometido} que está a ser executado a partir de uma localização em comum com ficheiros suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Alto
Comportamento de ataque sem ficheiros detetado
(VM_FilelessAttackBehavior.Windows)
A memória do processo especificado contém comportamentos normalmente utilizados por ataques sem ficheiros. Os comportamentos específicos incluem:
1) Shellcode, que é um pequeno fragmento de código normalmente utilizado como payload na exploração de uma vulnerabilidade de software.
2) Ligações de rede ativas. Veja NetworkConnections abaixo para obter detalhes.
3) A função chama para interfaces de sistema operativo confidenciais de segurança. Veja Capacidades abaixo para obter as capacidades de SO referenciadas.
4) Contém um thread iniciado num segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processos.
Evasão de Defesa Baixo
Técnica de ataque sem ficheiros detetada
(VM_FilelessAttackTechnique.Windows)
A memória do processo especificado abaixo contém provas de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem:
1) Shellcode, que é um pequeno fragmento de código normalmente utilizado como payload na exploração de uma vulnerabilidade de software.
2) Imagem executável injetada no processo, como num ataque de injeção de código.
3) Ligações de rede ativas. Veja NetworkConnections abaixo para obter detalhes.
4) A função chama para interfaces de sistema operativo confidenciais de segurança. Veja Capacidades abaixo para obter as capacidades de SO referenciadas.
5) Processo de oco, que é uma técnica utilizada por software maligno no qual é carregado um processo legítimo no sistema para funcionar como um contentor para código hostil.
6) Contém um thread que foi iniciado num segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processos.
Evasão de Defesa, Execução Alto
Toolkit de ataques sem ficheiros detetado
(VM_FilelessAttackToolkit.Windows)
A memória do processo especificado contém um toolkit de ataque sem ficheiros: [nome do toolkit]. Os toolkits de ataques sem ficheiros utilizam técnicas que minimizam ou eliminam rastreios de software maligno no disco e reduzem significativamente as hipóteses de deteção por soluções de análise de software maligno baseada em disco. Os comportamentos específicos incluem:
1) Toolkits conhecidos e software de extração criptográfica.
2) Shellcode, que é um pequeno fragmento de código normalmente utilizado como payload na exploração de uma vulnerabilidade de software.
3) Executável malicioso injetado na memória do processo.
Evasão de Defesa, Execução Médio
Software de alto risco detetado A análise dos dados do anfitrião de %{Anfitrião Comprometido} detetou a utilização de software associado à instalação de software maligno no passado. Uma técnica comum utilizada na distribuição de software malicioso é empacotá-lo dentro de ferramentas benignas, como a que se vê neste alerta. Ao utilizar estas ferramentas, o software maligno pode ser instalado automaticamente em segundo plano. - Médio
Foram enumerados membros do grupo de Administradores Locais Os registos do computador indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio de Grupo Enumerado}%{Nome de Grupo Enumerado}. Especificamente, %{Enumerating User Domain Name}%{Enumerating User Name} enumeraram remotamente os membros do grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Esta atividade pode ser uma atividade legítima ou uma indicação de que um computador na sua organização foi comprometido e utilizado para reconhecimento %{vmname}. - Informativo
Regra de firewall maliciosa criada pelo implante do servidor ZINC [vista várias vezes] Foi criada uma regra de firewall com técnicas que correspondem a um ator conhecido, ZINC. A regra foi possivelmente utilizada para abrir uma porta em %{Anfitrião Comprometido} para permitir comunicações de Controlo de Comandos & . Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Alto
Atividade SQL maliciosa Os registos do computador indicam que "%{process name}" foi executado pela conta: %{nome de utilizador}. Esta atividade é considerada maliciosa. - Alto
Várias Contas de Domínio Consultadas A análise dos dados do anfitrião determinou que um número invulgar de contas de domínio distintas estão a ser consultadas num curto período de tempo de %{Anfitrião Comprometido}. Este tipo de atividade pode ser legítimo, mas também pode ser uma indicação de compromisso. - Médio
Possível captura de credenciais detetada [vista várias vezes] A análise dos dados do anfitrião detetou a utilização da ferramenta windows nativa (por exemplo, sqldumper.exe) a ser utilizada de uma forma que permite extrair credenciais da memória. Os atacantes utilizam frequentemente estas técnicas para extrair credenciais que, em seguida, utilizam para movimento lateral e escalamento de privilégios. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Médio
Possível tentativa de ignorar o AppLocker detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma possível tentativa de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita os executáveis que podem ser executados num sistema Windows. O padrão da linha de comandos semelhante ao identificado neste alerta foi anteriormente associado às tentativas do atacante de contornar a política do AppLocker através de executáveis fidedignos (permitidos pela política appLocker) para executar código não fidedigno. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Alto
Execução PsExec detetada
(VM_RunByPsExec)
A análise dos dados do anfitrião indica que o processo %{Process Name} foi executado pelo utilitário PsExec. O PsExec pode ser utilizado para executar processos remotamente. Esta técnica pode ser utilizada para fins maliciosos. Movimento Lateral, Execução Informativo
Indicadores de ransomware detetados [vistos várias vezes] A análise dos dados do anfitrião indica atividades suspeitas tradicionalmente associadas ao ransomware de ecrã de bloqueio e encriptação. O ransomware de ecrã de bloqueio apresenta uma mensagem em ecrã inteiro que impede a utilização interativa do anfitrião e o acesso aos respetivos ficheiros. O ransomware de encriptação impede o acesso ao encriptar ficheiros de dados. Em ambos os casos, normalmente é apresentada uma mensagem de resgate, solicitando o pagamento para restaurar o acesso ao ficheiro. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Alto
Indicadores de ransomware detetados A análise dos dados do anfitrião indica atividades suspeitas tradicionalmente associadas ao ransomware de ecrã de bloqueio e encriptação. O ransomware de ecrã de bloqueio apresenta uma mensagem em ecrã inteiro que impede a utilização interativa do anfitrião e o acesso aos respetivos ficheiros. O ransomware de encriptação impede o acesso ao encriptar ficheiros de dados. Em ambos os casos, normalmente é apresentada uma mensagem de resgate, solicitando o pagamento para restaurar o acesso ao ficheiro. - Alto
Grupo de serviços SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
O processo de sistema SVCHOST foi observado a executar um grupo de serviço raro. O software maligno utiliza frequentemente SVCHOST para mascarar a sua atividade maliciosa. Evasão de Defesa, Execução Informativo
Ataque de teclas presas detetado A análise dos dados do anfitrião indica que um atacante pode estar a subverter um binário de acessibilidade (por exemplo, teclas presas, teclado no ecrã, narrador) para fornecer acesso de backdoor ao anfitrião %{Anfitrião Comprometido}. - Médio
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Foram detetadas várias tentativas de início de sessão a partir da mesma origem. Alguns autenticaram-se com êxito no anfitrião.
Isto assemelha-se a um ataque de rajada, no qual um atacante efetua várias tentativas de autenticação para encontrar credenciais de conta válidas.
Exploração Médio/Alto
Nível de integridade suspeito indicativo de sequestro de RDP A análise dos dados do anfitrião detetou a tscon.exe em execução com privilégios SYSTEM– isto pode ser indicativo de um atacante que abusa deste binário para mudar de contexto para qualquer outro utilizador com sessão iniciada neste anfitrião; É uma técnica de atacante conhecida para comprometer mais contas de utilizador e mover-se lateralmente através de uma rede. - Médio
Instalação do serviço suspeito A análise dos dados do anfitrião detetou a instalação de tscon.exe como um serviço: este binário que está a ser iniciado como um serviço permite potencialmente que um atacante mude trivialmente para qualquer outro utilizador com sessão iniciada neste anfitrião ao sequestrar ligações RDP; É uma técnica de atacante conhecida para comprometer mais contas de utilizador e mover-se lateralmente através de uma rede. - Médio
Parâmetros de ataque da Permissão Dourada Kerberos suspeitos observados Análise dos dados do anfitrião detetados parâmetros de linha de comandos consistentes com um ataque Kerberos Golden Ticket. - Médio
Criação de Conta Suspeita Detetada Análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a criação ou utilização de uma conta local %{Nome de conta suspeita}: este nome de conta assemelha-se a uma conta ou nome de grupo padrão do Windows "%{Semelhante ao Nome da Conta}". Esta é potencialmente uma conta não autorizado criada por um atacante, assim chamada para evitar ser notada por um administrador humano. - Médio
Atividade Suspeita Detetada
(VM_SuspiciousActivity)
A análise dos dados do anfitrião detetou uma sequência de um ou mais processos em execução em %{machine name} que historicamente foram associados a atividades maliciosas. Enquanto os comandos individuais podem parecer benignos o alerta é classificado com base numa agregação destes comandos. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. Execução Médio
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Apesar de nenhuma delas ter sido bem-sucedida, algumas delas utilizaram contas reconhecidas pelo anfitrião. Isto assemelha-se a um ataque de dicionário, no qual um atacante efetua várias tentativas de autenticação com um dicionário de nomes de conta e palavras-passe predefinidos para encontrar credenciais válidas para aceder ao anfitrião. Isto indica que alguns dos nomes da sua conta de anfitrião podem existir num dicionário de nome de conta conhecido. Pesquisa Médio
Segmento de código suspeito detetado Indica que um segmento de código foi alocado através de métodos não padrão, como injeção reflexiva e oca de processos. O alerta fornece mais caraterísticas do segmento de código que foram processadas para fornecer contexto para as capacidades e comportamentos do segmento de código comunicado. - Médio
Execução de comandos suspeitas
(VM_SuspiciousCommandLineExecution)
Os registos do computador indicam uma execução suspeita da linha de comandos pelo utilizador %{nome de utilizador}. Execução Alto
Ficheiro de extensão dupla suspeito executado A análise dos dados do anfitrião indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode levar os utilizadores a pensar que os ficheiros são seguros para serem abertos e pode indicar a presença de software maligno no sistema. - Alto
Transferência suspeita com Certutil detetada [vista várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para a transferência de um binário em vez do seu objetivo principal relacionado com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações maliciosas, por exemplo, através de certutil.exe para transferir e descodificar um executável malicioso que será posteriormente executado. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Médio
Transferência suspeita com Certutil detetada A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para a transferência de um binário em vez do seu objetivo principal relacionado com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações maliciosas, por exemplo, através de certutil.exe para transferir e descodificar um executável malicioso que será posteriormente executado. - Médio
Falha suspeita na execução da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Foi detetada uma falha suspeita de uma extensão de script personalizado na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Estas falhas podem estar associadas a scripts maliciosos executados por esta extensão.
Execução Médio
Atividade suspeita do PowerShell Detetada A análise dos dados do anfitrião detetou um script do PowerShell em execução em %{Anfitrião Comprometido} que tem funcionalidades em comum com scripts suspeitos conhecidos. Este script pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Alto
Cmdlets suspeitos do PowerShell executados A análise dos dados do anfitrião indica a execução de cmdlets do PowerSploit maliciosos conhecidos do PowerShell. - Médio
Processo suspeito executado [visto várias vezes] Os registos do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução no computador, frequentemente associado a tentativas de acesso de atacantes às credenciais. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Alto
Processos suspeitos executados Os registos do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução no computador, frequentemente associado a tentativas de acesso de atacantes às credenciais. - Alto
Nome de processo suspeito detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é suspeito, por exemplo, correspondente a uma ferramenta de atacante conhecida ou nomeado de uma forma sugestiva de ferramentas atacantes que tentam ocultar à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que um dos seus computadores foi comprometido. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes das máquinas] - Médio
Nome do processo suspeito detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é suspeito, por exemplo, correspondente a uma ferramenta de atacante conhecida ou nomeado de uma forma sugestiva de ferramentas atacantes que tentam ocultar à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que um dos seus computadores foi comprometido. - Médio
Rajada de terminação de processo suspeita
(VM_TaskkillBurst)
A análise dos dados do anfitrião indica um pico de terminação de processo suspeito em %{Nome do Computador}. Especificamente, os processos %{NumberOfCommands} foram eliminados entre %{Begin} e %{Ending}. Evasão de Defesa Baixo
Processo de Deteção de Ecrãs Suspeito executado
(VM_SuspiciousScreenSaverExecution)
O processo "%{process name}" foi observado a ser executado a partir de uma localização invulgar. Os ficheiros com as extensões .scr são ficheiros de poupança de ecrã e normalmente residem e são executados a partir do diretório de sistema do Windows. Evasão de Defesa, Execução Médio
Atividade SQL suspeita Os registos do computador indicam que "%{process name}" foi executado pela conta: %{nome de utilizador}. Esta atividade é invulgar com esta conta. - Médio
Processo SVCHOST suspeito executado O processo de sistema SVCHOST foi observado em execução num contexto anormal. O software maligno utiliza frequentemente SVCHOST para mascarar a sua atividade maliciosa. - Alto
Processo de sistema suspeito executado
(VM_SystemProcessInAbnormalContext)
O processo de sistema %{process name} foi observado em execução num contexto anormal. O software maligno utiliza frequentemente este nome de processo para mascarar a sua atividade maliciosa. Evasão de Defesa, Execução Alto
Atividade Suspeita de Cópia Sombra em Volume A análise dos dados do anfitrião detetou uma atividade de eliminação de cópia sombra no recurso. A Cópia Sombra de Volume (VSC) é um artefacto importante que armazena os instantâneos de dados. Alguns softwares malignos e, especificamente, Ransomware, visam o VSC para sabotar estratégias de cópia de segurança. - Alto
Valor de registo WindowsPosition suspeito detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma tentativa de alteração da configuração do registo WindowPosition que pode ser indicativa de ocultar janelas de aplicações em secções não visíveis do ambiente de trabalho. Pode ser uma atividade legítima ou uma indicação de um computador comprometido: este tipo de atividade foi anteriormente associado ao adware conhecido (ou software indesejável), como Win32/OneSystemCare e Win32/SystemHealer e software maligno, como Win32/Creprote. Quando o valor WindowPosition está definido como 201329664( Hex: 0x0c00 0c00, correspondente a X-axis=0c00 e Y-axis=0c00), isto coloca a janela da aplicação de consola numa secção não visível do ecrã do utilizador numa área oculta da vista abaixo do menu iniciar/barra de tarefas visível. O valor Hexadeciente conhecido inclui, mas não está limitado a c000c000 - Baixo
Processo com nome suspeito detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é muito semelhante, mas diferente de um processo de execução muito comum (%{Semelhante ao Nome do Processo}). Embora este processo possa ser benigno, por vezes, os atacantes escondem-se à vista de todos ao atribuir nomes legítimos a ferramentas maliciosas para se assemelharem a nomes de processos legítimos. - Médio
Reposição de configuração invulgar na máquina virtual
(VM_VMAccessUnusualConfigReset)
Foi detetada uma reposição de configuração invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor a configuração na máquina virtual e comprometê-la.
Acesso a Credenciais Médio
Eliminação invulgar da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Foi detetada uma eliminação invulgar de uma extensão de script personalizado na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Execução invulgar da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Foi detetada uma execução invulgar de uma extensão de script personalizado na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Execução de processo invulgar detetada A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo por %{Nome de Utilizador} invulgar. Contas como %{User Name} tendem a executar um conjunto limitado de operações, esta execução foi determinada como estando fora do caráter e pode ser suspeita. - Alto
Reposição de palavra-passe de utilizador invulgar na máquina virtual
(VM_VMAccessUnusualPasswordReset)
Foi detetada uma reposição de palavra-passe de utilizador invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor as credenciais de um utilizador local na máquina virtual e comprometê-la.
Acesso a Credenciais Médio
Reposição invulgar da chave SSH do utilizador na máquina virtual
(VM_VMAccessUnusualSSHReset)
Foi detetada uma reposição de chave SSH de utilizador invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor a chave SSH de uma conta de utilizador na máquina virtual e comprometê-la.
Acesso a Credenciais Médio
Alocação de objetos HTTP do VBScript detetada Foi detetada a criação de um ficheiro VBScript com a Linha de Comandos. O script seguinte contém o comando de alocação de objetos HTTP. Esta ação pode ser utilizada para transferir ficheiros maliciosos. - Alto
Método de persistência do registo do Windows detetado
(VM_RegistryPersistencyKey)
A análise dos dados do anfitrião detetou uma tentativa de manter um executável no registo do Windows. O software maligno, muitas vezes, utiliza esta técnica para continuam a vigorar após um arranque. Persistência Baixo

Alertas para computadores Linux

O Microsoft Defender para Servidores Plano 2 fornece alertas e deteções exclusivos, além dos fornecidos pelo Microsoft Defender para Endpoint. Os alertas fornecidos para computadores Linux são:

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
um ficheiro de histórico foi limpo A análise dos dados do anfitrião indica que o ficheiro de registo do histórico de comandos foi limpo. Os atacantes podem fazê-lo para cobrir os respetivos rastreios. A operação foi efetuada pelo utilizador: "%{nome de utilizador}". - Médio
Acesso ao ficheiro htaccess detetado
(VM_SuspectHtaccessFileAccess)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma possível manipulação de um ficheiro htaccess. O Htaccess é um ficheiro de configuração avançado que lhe permite fazer múltiplas alterações num servidor Web que executa o software Apache Web, incluindo a funcionalidade de redirecionamento básico, ou para funções mais avançadas, como a proteção de palavras-passe básica. Os atacantes modificam frequentemente ficheiros htaccess em máquinas que comprometeram para obter persistência. Persistência, Evasão de Defesa, Execução Médio
Exclusão de ficheiros amplos antimalware na máquina virtual
(VM_AmBroadFilesExclusion)
A exclusão de ficheiros da extensão antimalware com uma regra de exclusão abrangente foi detetada na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição. Essa exclusão está praticamente a desativar a proteção Antimalware.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar o computador com software maligno.
- Médio
Antimalware desativado e execução de código na máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware desativado ao mesmo tempo que a execução de código na máquina virtual. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição.
Os atacantes desativam os detetores antimalware para impedir a deteção enquanto executam ferramentas não autorizadas ou infetam o computador com software maligno.
- Alto
Antimalware desativado na máquina virtual
(VM_AmDisablement)
Antimalware desativado na máquina virtual. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar o antimalware na máquina virtual para impedir a deteção.
Evasão de Defesa Médio
Exclusão de ficheiros antimalware e execução de código na máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Ficheiro excluído do scanner antimalware ao mesmo tempo que o código foi executado através de uma extensão de script personalizado na máquina virtual. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção enquanto executam ferramentas não autorizadas ou infetar o computador com software maligno.
Evasão de Defesa, Execução Alto
Exclusão de ficheiros antimalware e execução de código na máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de ficheiros da extensão antimalware em paralelo à execução de código através da extensão de script personalizado foi detetada na máquina virtual através da análise das operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar o computador com software maligno.
Evasão de Defesa, Execução Alto
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Ficheiro excluído do scanner antimalware na máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de ferramentas não autorizadas ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada na máquina virtual
(VM_AmRealtimeProtectionDisabled)
A desativação da proteção em tempo real da extensão antimalware foi detetada na máquina virtual ao analisar as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente na máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A desativação temporária da proteção em tempo real da extensão antimalware foi detetada na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A desativação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código através da extensão de script personalizado foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da análise antimalware na máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
- Alto
Análises antimalware bloqueadas para ficheiros potencialmente relacionados com campanhas de software maligno na máquina virtual (Pré-visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Foi detetada uma regra de exclusão na máquina virtual para impedir que a extensão antimalware analisasse determinados ficheiros suspeitos de estarem relacionados com uma campanha de software maligno. A regra foi detetada ao analisar as operações do Azure Resource Manager na sua subscrição. Os atacantes podem excluir ficheiros de análises antimalware para impedir a deteção durante a execução de código arbitrário ou infetar o computador com software maligno. Evasão à Defesa Médio
Antimalware temporariamente desativado na máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware temporariamente desativado na sua máquina virtual. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem desativar o antimalware na máquina virtual para impedir a deteção.
- Médio
Exclusão invulgar de ficheiros antimalware na sua máquina virtual
(VM_UnusualAmFileExclusion)
Foi detetada uma exclusão de ficheiro invulgar da extensão antimalware na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem excluir ficheiros da análise antimalware na máquina virtual para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com software maligno.
Evasão à Defesa Médio
Tentativa de parar o serviço apt-daily-upgrade.timer detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os atacantes têm sido observados a parar este serviço, a transferir ficheiros maliciosos e a conceder privilégios de execução para o ataque. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Baixo
Tentativa de parar o serviço apt-daily-upgrade.timer detetado
(VM_TimerServiceDisabled)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os atacantes têm sido observados a parar este serviço, a transferir ficheiros maliciosos e a conceder privilégios de execução para o ataque. Evasão à Defesa Baixo
Comportamento semelhante aos bots comuns do Linux detetados [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de um processo normalmente associado a botnets do Linux comuns. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Comportamento semelhante aos bots comuns do Linux detetados
(VM_CommonBot)
A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de um processo normalmente associado a botnets do Linux comuns. Execução, Coleção, Comando e Controlo Médio
Comportamento semelhante ao ransomware Fairware detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de comandos rm -rf aplicados a localizações suspeitas. Como rm -rf irá eliminar ficheiros de forma recursiva, é normalmente utilizado em pastas discretas. Neste caso, está a ser utilizado numa localização que pode remover muitos dados. O ransomware fairware é conhecido por executar comandos rm -rf nesta pasta. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Comportamento semelhante ao ransomware Fairware detetado
(VM_FairwareMalware)
A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de comandos rm -rf aplicados a localizações suspeitas. Como rm -rf irá eliminar ficheiros de forma recursiva, é normalmente utilizado em pastas discretas. Neste caso, está a ser utilizado numa localização que pode remover muitos dados. O ransomware fairware é conhecido por executar comandos rm -rf nesta pasta. Execução Médio
Comportamento semelhante ao ransomware detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de ficheiros que têm semelhanças com ransomware conhecido que podem impedir os utilizadores de acederem ao respetivo sistema ou ficheiros pessoais e exige o pagamento de resgate para recuperar o acesso. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Alto
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com o domínio suspeito foi detetada através da análise de transações DNS do recurso e da comparação com domínios maliciosos conhecidos identificados por feeds de informações sobre ameaças. A comunicação com domínios maliciosos é frequentemente efetuada por atacantes e pode implicar que o recurso está comprometido. Acesso Inicial, Persistência, Execução, Comando e Controlo, Exploração Médio
Contentor com uma imagem de mineiro detetada
(VM_MinerInContainerImage)
Os registos de máquinas indicam a execução de um contentor do Docker que executa uma imagem associada a uma extração de moeda digital. Execução Alto
Execução de mineiro de moedas criptográficas
(VM_CryptoCoinMinerExecution)
A análise dos dados do anfitrião/dispositivo detetou um processo que está a ser iniciado de uma forma muito semelhante a um processo de extração de moedas. Execução Médio
Extensão de script personalizado com comando suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizado com comando suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar a extensão de script personalizado para executar um código malicioso na sua máquina virtual através do Resource Manager do Azure.
Execução Médio
Extensão de script personalizado com um ponto de entrada suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizado com um ponto de entrada suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição. O ponto de entrada refere-se a um repositório do GitHub suspeito.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Extensão de script personalizado com payload suspeito na máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizado com um payload de um repositório do GitHub suspeito foi detetada na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Foi detetada uma mistura anómalo de carateres maiúsculas e minúsculas na linha de comandos A análise dos dados do anfitrião em %{Host Comprometido} detetou uma linha de comandos com uma mistura anómalo de carateres maiúsculas e minúsculas. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido. - Médio
Transferência de ficheiros detetada a partir de uma origem maliciosa conhecida [vista várias vezes]
(VM_SuspectDownload)
A análise dos dados do anfitrião detetou a transferência de um ficheiro a partir de uma origem de software maligno conhecida em %{Anfitrião Comprometido}. Este comportamento foi visto mais de [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] Escalamento de Privilégios, Execução, Exfiltração, Comando e Controlo Médio
Transferência de ficheiros detetada a partir de uma origem maliciosa conhecida A análise dos dados do anfitrião detetou a transferência de um ficheiro a partir de uma origem de software maligno conhecida em %{Anfitrião Comprometido}. - Médio
Tentativa de persistência detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a instalação de um script de arranque para o modo de utilizador único. É extremamente raro que qualquer processo legítimo precise de ser executado nesse modo, pelo que isto pode indicar que um atacante adicionou um processo malicioso a todos os níveis de execução para garantir a persistência. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Tentativa de persistência detetada
(VM_NewSingleUserModeStartupScript)
A análise de dados do anfitrião detetou que foi instalado um script de arranque para o modo de utilizador único.
Uma vez que é raro que qualquer processo legítimo seja necessário para ser executado nesse modo, isto pode indicar que um atacante adicionou um processo malicioso a todos os níveis de execução para garantir a persistência.
Persistência Médio
Transferência de ficheiros suspeitos detetada [vista várias vezes] A análise dos dados do anfitrião detetou a transferência suspeita do ficheiro remoto em %{Anfitrião Comprometido}. Este comportamento foi visto 10 vezes hoje nos seguintes computadores: [Nome da máquina] - Baixo
Transferência de ficheiros suspeitos detetada
(VM_SuspectDownloadArtifacts)
A análise dos dados do anfitrião detetou a transferência suspeita do ficheiro remoto em %{Anfitrião Comprometido}. Persistência Baixo
Atividade de rede suspeita detetada A análise do tráfego de rede de %{Anfitrião Comprometido} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente utilizado por um atacante para comunicar com servidores maliciosos para transferência de ferramentas, comando e controlo e exfiltração de dados. A atividade típica do atacante relacionado inclui copiar ferramentas de administração remota para um anfitrião comprometido e exfiltrar dados de utilizador a partir do mesmo. - Baixo
Foi detetada uma utilização suspeita do comando useradd [visto várias vezes] A análise dos dados do anfitrião detetou a utilização suspeita do comando useradd em %{Host Comprometido}. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Foi detetada uma utilização suspeita do comando useradd
(VM_SuspectUserAddition)
A análise dos dados do anfitrião detetou a utilização suspeita do comando useradd em %{Host Comprometido}. Persistência Médio
Comportamento relacionado com a extração de moeda digital detetado A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de um processo ou comando normalmente associado à extração de moeda digital. - Alto
Desativar o registo auditado [visto várias vezes] O sistema de Auditoria do Linux fornece uma forma de controlar as informações relevantes para a segurança no sistema. Regista o máximo de informação possível sobre os eventos que estão a ocorrer no seu sistema. Desativar o registo auditado pode dificultar a deteção de violações das políticas de segurança utilizadas no sistema. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Baixo
Executável encontrado em execução a partir de uma localização suspeita
(VM_SuspectExecutablePath)
A análise dos dados do anfitrião detetou um ficheiro executável em %{Anfitrião Comprometido} que está a ser executado a partir de uma localização em comum com ficheiros suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. Execução Alto
Exploração da vulnerabilidade Xorg [vista várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou o utilizador do Xorg com argumentos suspeitos. Os atacantes podem utilizar esta técnica em tentativas de escalamento de privilégios. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Daemon do Docker exposto no socket TCP
(VM_ExposedDocker)
Os registos de máquinas indicam que o daemon do Docker (dockerd) expõe um socket TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando um socket TCP está ativado. Isto permite o acesso total ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. Execução, Exploração Médio
Ataque de força bruta SSH falhado
(VM_SshBruteForceFailed)
Foram detetados ataques de força bruta falhados dos seguintes atacantes: %{Atacantes}. Os atacantes estavam a tentar aceder ao anfitrião com os seguintes nomes de utilizador: %{Contas utilizadas no início de sessão falhado nas tentativas de anfitrião}. Pesquisa Médio
Comportamento de Ataque Sem Ficheiro Detetado
(VM_FilelessAttackBehavior.Linux)
A memória do processo especificado abaixo contém comportamentos normalmente utilizados por ataques sem ficheiros.
Os comportamentos específicos incluem: {list of observed behaviors}
Execução Baixo
Técnica de Ataque Sem Ficheiro Detetada
(VM_FilelessAttackTechnique.Linux)
A memória do processo especificado abaixo contém provas de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança.
Os comportamentos específicos incluem: {list of observed behaviors}
Execução Alto
Toolkit de Ataque Sem Ficheiros Detetado
(VM_FilelessAttackToolkit.Linux)
A memória do processo especificado abaixo contém um toolkit de ataque sem ficheiros: {ToolKitName}. Normalmente, os toolkits de ataque sem ficheiros não têm uma presença no sistema de ficheiros, dificultando a deteção por software antivírus tradicional.
Os comportamentos específicos incluem: {list of observed behaviors}
Evasão de Defesa, Execução Alto
Execução oculta de ficheiros detetada A análise dos dados do anfitrião indica que um ficheiro oculto foi executado por %{nome de utilizador}. Esta atividade pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido. - Informativo
Indicadores associados ao toolkit DDOS detetado [visto várias vezes] A análise dos dados do anfitrião em %{Compromised Host} detetou nomes de ficheiros que fazem parte de um toolkit associado a software maligno capaz de iniciar ataques DDoS, abrir portas e serviços e assumir o controlo total sobre o sistema infetado. Isto também pode ser uma atividade legítima. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Foram detetados indicadores associados ao toolkit DDOS
(VM_KnownLinuxDDoSToolkit)
A análise dos dados do anfitrião em %{Compromised Host} detetou nomes de ficheiros que fazem parte de um toolkit associado a software maligno capaz de iniciar ataques DDoS, abrir portas e serviços e assumir o controlo total sobre o sistema infetado. Isto também pode ser uma atividade legítima. Persistência, Movimento Lateral, Execução, Exploração Médio
Reconhecimento de anfitrião local detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Compromised} detetou a execução de um comando normalmente associado ao reconhecimento de bots do Linux comum. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Reconhecimento de anfitrião local detetado
(VM_LinuxReconnaissance)
A análise dos dados do anfitrião em %{Host Compromised} detetou a execução de um comando normalmente associado ao reconhecimento de bots do Linux comum. Deteção Médio
Manipulação da firewall do anfitrião detetada [vista várias vezes]
(VM_FirewallDisabled)
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível manipulação da firewall no anfitrião. Os atacantes irão muitas vezes desativar esta opção para exfiltrar dados. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] Evasão à Defesa, Exfiltração Médio
Manipulação da firewall do anfitrião detetada A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível manipulação da firewall no anfitrião. Os atacantes irão muitas vezes desativar esta opção para exfiltrar dados. - Médio
Agente MITRE Caldera detetado
(VM_MitreCalderaTools)
Os registos do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução em %{Anfitrião Comprometido}. Isto é frequentemente associado ao agente MITRE 54ndc47, que poderia ser utilizado maliciosamente para atacar outras máquinas de alguma forma. Todos Médio
Nova chave SSH adicionada [vista várias vezes]
(VM_SshKeyAddition)
Foi adicionada uma nova chave SSH ao ficheiro de chaves autorizadas. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] Persistência Baixo
Nova chave SSH adicionada Foi adicionada uma nova chave SSH ao ficheiro de chaves autorizadas - Baixo
Possível ferramenta de ataque detetada [vista várias vezes] Os registos do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução em %{Anfitrião Comprometido}. Esta ferramenta está frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Possível ferramenta de ataque detetada
(VM_KnownLinuxAttackTool)
Os registos do computador indicam que o processo suspeito: "%{Processo Suspeito}" estava em execução em %{Anfitrião Comprometido}. Esta ferramenta está frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. Execução, Coleção, Comando e Controlo, Sondagem Médio
Possível backdoor detetada [vista várias vezes] A análise dos dados do anfitrião detetou a transferência de um ficheiro suspeito e, em seguida, é executada em %{Anfitrião Comprometido} na sua subscrição. Esta atividade já foi associada à instalação de uma backdoor. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Possível ferramenta de acesso a credenciais detetada [vista várias vezes] Os registos de máquinas indicam que uma possível ferramenta de acesso a credenciais conhecida estava em execução em %{Anfitrião Comprometido} iniciada pelo processo: "%{Processo Suspeito}". Esta ferramenta está frequentemente associada a tentativas de acesso de atacantes a credenciais. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Possível ferramenta de acesso a credenciais detetada
(VM_KnownLinuxCredentialAccessTool)
Os registos de máquinas indicam que uma possível ferramenta de acesso a credenciais conhecida estava em execução em %{Anfitrião Comprometido} iniciada pelo processo: "%{Processo Suspeito}". Esta ferramenta está frequentemente associada a tentativas de acesso de atacantes a credenciais. Acesso a Credenciais Médio
Possível exfiltração de dados [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível condição de saída de dados. Os atacantes irão frequentemente efetuar a saída de dados de computadores que tenham comprometido. Este comportamento foi visto [x]] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Possível exfiltração de dados
(VM_DataEgressArtifacts)
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível condição de saída de dados. Os atacantes irão frequentemente efetuar a saída de dados de computadores que tenham comprometido. Coleção, Exfiltração Médio
Possível exploração do Hadoop Yarn
(VM_HadoopYarnExploit)
A análise dos dados do anfitrião em %{Host Comprometido} detetou a possível exploração do serviço Hadoop Yarn. Exploração Médio
Possível exploração do mailerver detetado
(VM_MailserverExploitation )
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma execução invulgar na conta do servidor de correio Exploração Médio
Possível Atividade de Adulteração de Registos Detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível remoção de ficheiros que monitorizam a atividade do utilizador durante a operação. Muitas vezes, os atacantes tentam evitar a deteção e não deixam qualquer rastreio de atividades maliciosas ao eliminar esses ficheiros de registo. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Possível Atividade de Adulteração de Registos Detetada
(VM_SystemLogRemoval)
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível remoção de ficheiros que monitorizam a atividade do utilizador durante a operação. Muitas vezes, os atacantes tentam evitar a deteção e não deixam qualquer rastreio de atividades maliciosas ao eliminar esses ficheiros de registo. Evasão à Defesa Médio
Possível shell Web maliciosa detetada [vista várias vezes]
(VM_Webshell)
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível shell Web. Os atacantes muitas vezes carregam uma shell Web para uma máquina que comprometeram para obter persistência ou para exploração adicional. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] Persistência, Exploração Médio
Possível shell Web maliciosa detetada A análise dos dados do anfitrião em %{Host Comprometido} detetou uma possível shell Web. Os atacantes muitas vezes carregam uma shell Web para uma máquina que comprometeram para obter persistência ou para exploração adicional. - Médio
Possível alteração de palavra-passe com o método crypt detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a alteração da palavra-passe com o método crypt. Os atacantes podem fazer esta alteração para continuar o acesso e obter persistência após o compromisso. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Potencial substituição de ficheiros comuns [visto várias vezes] A análise dos dados do anfitrião detetou executáveis comuns que estão a ser substituídos em %{Anfitrião Comprometido}. Os atacantes irão substituir ficheiros comuns como uma forma de obfuscar as suas ações ou persistência. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Potencial substituição de ficheiros comuns
(VM_OverridingCommonFiles)
A análise dos dados do anfitrião detetou executáveis comuns que estão a ser substituídos em %{Anfitrião Comprometido}. Os atacantes irão substituir ficheiros comuns como uma forma de obfuscar as suas ações ou persistência. Persistência Médio
Potencial reencaminhamento de porta para o endereço IP externo [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou o início do reencaminhamento de portas para um endereço IP externo. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Potencial reencaminhamento de porta para o endereço IP externo
(VM_SuspectPortForwarding)
A análise de dados do anfitrião detetou o início do reencaminhamento de portas para um endereço IP externo. Exfiltração, Comando e Controlo Médio
Shell inversa potencial detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou uma potencial shell inversa. Estes são utilizados para obter um computador comprometido para ligar de volta para um computador que um atacante possui. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Shell inversa potencial detetada
(VM_ReverseShell)
A análise dos dados do anfitrião em %{Host Comprometido} detetou uma potencial shell inversa. Estes são utilizados para obter um computador comprometido para ligar de volta para um computador que um atacante possui. Exfiltração, Exploração Médio
Execução de comandos com privilégios no contentor
(VM_PrivilegedExecutionInContainer)
Os registos de máquinas indicam que foi executado um comando com privilégios num contentor do Docker. Um comando privilegiado tem privilégios alargados no computador anfitrião. Escalamento de Privilégios Baixo
Contentor Privilegiado Detetado
(VM_PrivilegedContainerArtifacts)
Os registos de máquinas indicam que um contentor do Docker com privilégios está em execução. Um contentor com privilégios tem acesso total aos recursos do anfitrião. Se for comprometido, um atacante pode utilizar o contentor com privilégios para obter acesso ao computador anfitrião. Escalamento de Privilégios, Execução Baixo
Processo associado à extração de moeda digital detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de um processo normalmente associado à extração de moeda digital. Este comportamento foi visto mais de 100 vezes hoje nas seguintes máquinas: [Nome da máquina] - Médio
Processo associado à extração de moeda digital detetado A análise de dados do anfitrião detetou a execução de um processo que está normalmente associado à extração de moeda digital. Exploração, Execução Médio
Processo visto a aceder ao ficheiro de chaves autorizadas SSH de uma forma invulgar
(VM_SshKeyAccess)
Foi acedido um ficheiro de chaves autorizadas SSH num método semelhante a campanhas de software maligno conhecidas. Este acesso pode indicar que um atacante está a tentar obter acesso persistente a um computador. - Baixo
O descarregador codificado do Python foi detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução do Python codificado que transfere e executa código a partir de uma localização remota. Isto pode ser uma indicação de atividade maliciosa. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Baixo
Captura de ecrã tirada no anfitrião [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou o utilizador de uma ferramenta de captura de ecrã. Os atacantes podem utilizar estas ferramentas para aceder a dados privados. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Baixo
Erro de correspondência da extensão de script detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Compromised} detetou um erro de correspondência entre o interpretador de script e a extensão do ficheiro de script fornecido como entrada. Isto tem sido frequentemente associado a execuções de scripts de atacantes. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Erro de correspondência da extensão do script detetado
(VM_MismatchedScriptFeatures)
A análise dos dados do anfitrião em %{Host Compromised} detetou um erro de correspondência entre o interpretador de script e a extensão do ficheiro de script fornecido como entrada. Isto tem sido frequentemente associado a execuções de scripts de atacantes. Evasão à Defesa Médio
Shellcode detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou que o shellcode estava a ser gerado a partir da linha de comandos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
A análise dos dados do anfitrião detetou um ataque de força bruta bem-sucedido. O IP %{IP de origem do atacante} foi visto a fazer várias tentativas de início de sessão. Foram efetuados inícios de sessão com êxito a partir desse IP com os seguintes utilizadores: %{Contas utilizadas para iniciar sessão com êxito no anfitrião}. Isto significa que o anfitrião pode ser comprometido e controlado por um ator malicioso. Exploração Alto
Acesso a Ficheiros de Palavra-passe Suspeito
(VM_SuspectPasswordFileAccess)
A análise dos dados do anfitrião detetou acesso suspeito a palavras-passe de utilizador encriptadas. Persistência Informativo
Criação de Conta Suspeita Detetada A análise dos dados do anfitrião em %{Host Comprometido} detetou a criação ou utilização de uma conta local %{Nome da conta suspeita}: este nome de conta assemelha-se a uma conta ou nome de grupo padrão do Windows "%{Nome da Conta Semelhante a}". Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano. - Médio
Compilação suspeita detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou compilação suspeita. Os atacantes compilam frequentemente exploits num computador que comprometeram para escalar privilégios. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Compilação suspeita detetada
(VM_SuspectCompilation)
A análise dos dados do anfitrião em %{Host Comprometido} detetou compilação suspeita. Os atacantes compilam frequentemente exploits num computador que comprometeram para escalar privilégios. Escalamento de Privilégios, Exploração Médio
DNS Suspeito através de Https
(VM_SuspiciousDNSOverHttps)
A análise dos dados do anfitrião indica a utilização de uma chamada DNS através de HTTPS de uma forma invulgar. Esta técnica é utilizada pelos atacantes para ocultar chamadas a sites suspeitos ou maliciosos. DefenseEvasion, Exfiltration Médio
Execução com falhas suspeitas da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Foi detetada uma falha suspeita de uma extensão de script personalizado na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Estas falhas podem estar associadas a scripts maliciosos executados por esta extensão.
Execução Médio
Módulo de kernel suspeito detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou um ficheiro de objeto partilhado a ser carregado como um módulo kernel. Pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Médio
Acesso a palavra-passe suspeita [visto várias vezes] A análise dos dados do anfitrião detetou acesso suspeito a palavras-passe de utilizador encriptadas em %{Anfitrião Comprometido}. Este comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes de máquinas] - Informativo
Acesso a palavra-passe suspeita A análise dos dados do anfitrião detetou acesso suspeito a palavras-passe de utilizador encriptadas em %{Anfitrião Comprometido}. - Informativo
Execução de PHP suspeita detetada
(VM_SuspectPhp)
Os registos do computador indicam que está a ser executado um processo PHP suspeito. A ação incluiu uma tentativa de executar comandos do SO ou código PHP a partir da linha de comandos com o processo PHP. Embora este comportamento possa ser legítimo, nas aplicações Web este comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com shells Web. Execução Médio
Pedido suspeito para o Dashboard do Kubernetes
(VM_KubernetesDashboard)
Os registos do computador indicam que foi feito um pedido suspeito ao Dashboard do Kubernetes. O pedido foi enviado a partir de um nó do Kubernetes, possivelmente a partir de um dos contentores em execução no nó. Embora este comportamento possa ser intencional, pode indicar que o nó está a executar um contentor comprometido. LateralMovement Médio
Domínio Suspeito da Linha de Comandos Intel de Ameaças
(VM_ThreatIntelCommandLineSuspectDomain)
O processo "PROCESSNAME" em "HOST" ligado a uma localização que foi reportada como maliciosa ou invulgar. Este é um indicador de que pode ter ocorrido um compromisso. Acesso Inicial Médio
Reposição de configuração invulgar na máquina virtual
(VM_VMAccessUnusualConfigReset)
Foi detetada uma reposição de configuração invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor a configuração na máquina virtual e comprometê-la.
Acesso a Credenciais Médio
Eliminação invulgar da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Foi detetada uma eliminação invulgar de uma extensão de script personalizado na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Execução invulgar da extensão de script personalizado na máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Foi detetada uma execução invulgar de uma extensão de script personalizado na sua máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Resource Manager do Azure.
Execução Médio
Reposição de palavra-passe de utilizador invulgar na máquina virtual
(VM_VMAccessUnusualPasswordReset)
Foi detetada uma reposição de palavra-passe de utilizador invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor as credenciais de um utilizador local na máquina virtual e comprometê-la.
Acesso a Credenciais Médio
Reposição invulgar da chave SSH do utilizador na máquina virtual
(VM_VMAccessUnusualSSHReset)
Foi detetada uma reposição de chave SSH de utilizador invulgar na máquina virtual ao analisar as operações de Resource Manager do Azure na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão de Acesso da VM para repor a chave SSH de uma conta de utilizador na máquina virtual e comprometê-la.
Acesso a Credenciais Médio

Alertas para Serviço de Aplicações do Azure

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Uma tentativa de executar comandos do Linux num windows Serviço de Aplicações
(AppServices_LinuxCommandOnWindows)
A análise dos processos de Serviço de Aplicações detetou uma tentativa de executar um comando do Linux num Serviço de Aplicações do Windows. Esta ação foi executada pela aplicação Web. Este comportamento é frequentemente visto durante campanhas que exploram uma vulnerabilidade numa aplicação Web comum.
(Aplica-se a: Serviço de Aplicações no Windows)
- Médio
Foi encontrado um IP ligado à interface de FTP Serviço de Aplicações do Azure nas Informações sobre Ameaças
(AppServices_IncomingTiClientIpFtp)
Serviço de Aplicações do Azure registo de FTP indica uma ligação de um endereço de origem que foi encontrado no feed de informações sobre ameaças. Durante esta ligação, um utilizador acedeu às páginas listadas.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Acesso Inicial Médio
Foi detetado um comando de tentativa de execução de privilégios elevados
(AppServices_HighPrivilegeCommand)
A análise de processos Serviço de Aplicações detetou uma tentativa de executar um comando que requer privilégios elevados.
O comando foi executado no contexto da aplicação Web. Embora este comportamento possa ser legítimo, nas aplicações Web este comportamento também é observado em atividades maliciosas.
(Aplica-se a: Serviço de Aplicações no Windows)
- Médio
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detetada através da análise de transações DNS do recurso e da comparação com domínios maliciosos conhecidos identificados por feeds de informações sobre ameaças. A comunicação com domínios maliciosos é frequentemente efetuada por atacantes e pode implicar que o recurso está comprometido. Acesso Inicial, Persistência, Execução, Comando e Controlo, Exploração Médio
Ligação à página Web a partir de um endereço IP anómalo detetado
(AppServices_AnomalousPageAccess)
Serviço de Aplicações do Azure registo de atividades indica uma ligação anómalo a uma página Web confidencial do endereço IP de origem listado. Isto pode indicar que alguém está a tentar um ataque de força bruta nas páginas de administração da sua aplicação Web. Também pode ser o resultado de um novo endereço IP ser utilizado por um utilizador legítimo. Se o endereço IP de origem for fidedigno, pode suprimir este alerta com segurança para este recurso. Para saber como suprimir alertas de segurança, veja Suprimir alertas do Microsoft Defender para a Cloud.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Acesso Inicial Baixo
Registo DNS pendente de um recurso Serviço de Aplicações detetado
(AppServices_DanglingDomain)
Foi detetado um registo DNS que aponta para um recurso de Serviço de Aplicações eliminado recentemente (também conhecido como entrada DNS pendente). Isto deixa-o suscetível a uma aquisição de subdomínio. As aquisições de subdomínios permitem que os atores maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
- Alto
Executável codificado detetado nos dados da linha de comandos
(AppServices_Base64EncodedExecutableInCommandLineParams)
A análise dos dados do anfitrião no {Compromised host} detetou um executável codificado com base 64. Isto já foi associado a atacantes que tentam construir executáveis no momento através de uma sequência de comandos e tentar fugir aos sistemas de deteção de intrusões ao garantir que nenhum comando individual acionaria um alerta. Pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido.
(Aplica-se a: Serviço de Aplicações no Windows)
Evasão de Defesa, Execução Alto
Transferência de ficheiros detetada a partir de uma origem maliciosa conhecida
(AppServices_SuspectDownload)
A análise dos dados do anfitrião detetou a transferência de um ficheiro a partir de uma origem de software maligno conhecida no seu anfitrião.
(Aplica-se a: Serviço de Aplicações no Linux)
Escalamento de Privilégios, Execução, Exfiltração, Comando e Controlo Médio
Transferência de ficheiros suspeitos detetada
(AppServices_SuspectDownloadArtifacts)
A análise dos dados do anfitrião detetou uma transferência suspeita do ficheiro remoto.
(Aplica-se a: Serviço de Aplicações no Linux)
Persistência Médio
Comportamento relacionado com a extração de moeda digital detetado
(AppServices_DigitalCurrencyMining)
A análise dos dados do anfitrião no Inn-Flow-WebJobs detetou a execução de um processo ou comando normalmente associado à extração de moeda digital.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Alto
Executável descodificado com certutil
(AppServices_ExecutableDecodedUsingCertutil)
A análise dos dados do anfitrião em [Entidade comprometida] detetou que certutil.exe, um utilitário de administrador incorporado, estava a ser utilizado para descodificar um executável em vez do seu objetivo base relacionado com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente.
(Aplica-se a: Serviço de Aplicações no Windows)
Evasão de Defesa, Execução Alto
Comportamento de Ataque Sem Ficheiro Detetado
(AppServices_FilelessAttackBehaviorDetection)
A memória do processo especificado abaixo contém comportamentos normalmente utilizados por ataques sem ficheiros.
Os comportamentos específicos incluem: {list of observed behaviors}
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Médio
Técnica de Ataque Sem Ficheiros Detetada
(AppServices_FilelessAttackTechniqueDetection)
A memória do processo especificado abaixo contém provas de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança.
Os comportamentos específicos incluem: {list of observed behaviors}
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Alto
Toolkit de Ataques Sem Ficheiros Detetado
(AppServices_FilelessAttackToolkitDetection)
A memória do processo especificado abaixo contém um toolkit de ataque sem ficheiros: {ToolKitName}. Normalmente, os toolkits de ataque sem ficheiros não têm presença no sistema de ficheiros, dificultando a deteção por software antivírus tradicional.
Os comportamentos específicos incluem: {list of observed behaviors}
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Evasão de Defesa, Execução Alto
Microsoft Defender para o alerta de teste da Cloud para Serviço de Aplicações (não uma ameaça)
(AppServices_EICAR)
Este é um alerta de teste gerado pelo Microsoft Defender para a Cloud. Não é necessária mais nenhuma ação.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
- Alto
Análise de NMap detetada
(AppServices_Nmap)
Serviço de Aplicações do Azure registo de atividades indica uma possível atividade de impressão digital na Web no recurso Serviço de Aplicações.
A atividade suspeita detetada está associada ao NMAP. Os atacantes utilizam frequentemente esta ferramenta para sondar a aplicação Web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Pré-ataque Médio
Conteúdo de phishing alojado nas Webapps do Azure
(AppServices_PhishingContent)
URL utilizado para ataque de phishing encontrado no site appServices do Azure. Este URL fazia parte de um ataque de phishing enviado para Microsoft 365 clientes. Normalmente, o conteúdo atrai os visitantes para introduzirem as suas credenciais empresariais ou informações financeiras num site legítimo.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Coleção Alto
Ficheiro PHP na pasta de carregamento
(AppServices_PhpInUploadFolder)
Serviço de Aplicações do Azure registo de atividades indica um acesso a uma página PHP suspeita localizada na pasta de carregamento.
Normalmente, este tipo de pasta não contém ficheiros PHP. A existência deste tipo de ficheiro pode indicar uma exploração que tira partido de vulnerabilidades arbitrárias de carregamento de ficheiros.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Médio
Possível transferência do Cryptocoinminer detetada
(AppServices_CryptoCoinMinerDownload)
A análise dos dados do anfitrião detetou a transferência de um ficheiro normalmente associado à extração de moeda digital.
(Aplica-se a: Serviço de Aplicações no Linux)
Evasão de Defesa, Comando e Controlo, Exploração Médio
Possível transferência de dados não autorizada detetada
(AppServices_DataEgressArtifacts)
A análise dos dados do anfitrião/dispositivo detetou uma possível condição de saída de dados. Muitas vezes, os atacantes irão enviar dados de máquinas que comprometeram.
(Aplica-se a: Serviço de Aplicações no Linux)
Collection, Exfiltration Médio
Potencial registo DNS pendente para um recurso Serviço de Aplicações detetado
(AppServices_PotentialDanglingDomain)
Foi detetado um registo DNS que aponta para um recurso de Serviço de Aplicações eliminado recentemente (também conhecido como entrada DNS pendente). Isto pode deixá-lo suscetível a uma aquisição de subdomínio. As aquisições de subdomínios permitem que os atores maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas. Neste caso, foi encontrado um registo de texto com o ID de Verificação de Domínio. Estes registos de texto impedem a aquisição de subdomínios, mas recomendamos que remova o domínio pendente. Se deixar o registo DNS a apontar para o subdomínio, estará em risco se alguém na sua organização eliminar o ficheiro ou registo TXT no futuro.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
- Baixo
Potencial shell inverso detetado
(AppServices_ReverseShell)
A análise dos dados do anfitrião detetou uma potencial shell inversa. Estes são utilizados para obter um computador comprometido para ligar de volta para um computador de que um atacante é proprietário.
(Aplica-se a: Serviço de Aplicações no Linux)
Exfiltração, Exploração Médio
Transferência de dados não processados detetada
(AppServices_DownloadCodeFromWebsite)
A análise dos processos Serviço de Aplicações detetou uma tentativa de transferir código de sites de dados não processados, como Pastebin. Esta ação foi executada por um processo PHP. Este comportamento está associado a tentativas de transferir shells Web ou outros componentes maliciosos para o Serviço de Aplicações.
(Aplica-se a: Serviço de Aplicações no Windows)
Execução Médio
A guardar a saída curl no disco detetada
(AppServices_CurlToDisk)
A análise dos processos Serviço de Aplicações detetou a execução de um comando curl no qual a saída foi guardada no disco. Embora este comportamento possa ser legítimo, nas aplicações Web este comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com shells Web.
(Aplica-se a: Serviço de Aplicações no Windows)
- Baixo
Referência de pasta de spam detetada
(AppServices_SpamReferrer)
Serviço de Aplicações do Azure registo de atividades indica a atividade Web identificada como tendo origem num site associado à atividade de spam. Isto pode ocorrer se o seu site estiver comprometido e for utilizado para atividade de spam.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
- Baixo
Foi detetado acesso suspeito a uma página Web possivelmente vulnerável
(AppServices_ScanSensitivePage)
Serviço de Aplicações do Azure registo de atividades indica que foi acedida uma página Web sensível. Esta atividade suspeita teve origem num endereço IP de origem cujo padrão de acesso se assemelha ao de um scanner Web.
Esta atividade é frequentemente associada a uma tentativa de um atacante de analisar a sua rede para tentar obter acesso a páginas Web confidenciais ou vulneráveis.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
- Baixo
Referência de nome de domínio suspeito
(AppServices_CommandlineSuspectDomain)
A análise dos dados do anfitrião detetou referência ao nome de domínio suspeito. Esta atividade, embora possivelmente legítima, é frequentemente uma indicação da transferência ou execução de software malicioso. É provável que a atividade de atacante relacionada típica inclua a transferência e a execução de software malicioso adicional ou ferramentas de administração remota.
(Aplica-se a: Serviço de Aplicações no Linux)
Exfiltração Baixo
Transferência suspeita com Certutil detetada
(AppServices_DownloadUsingCertutil)
A análise dos dados do anfitrião em {NAME} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para a transferência de um binário em vez do seu objetivo principal relacionado com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações maliciosas, por exemplo, através de certutil.exe para transferir e descodificar um executável malicioso que será posteriormente executado.
(Aplica-se a: Serviço de Aplicações no Windows)
Execução Médio
Execução suspeita de PHP detetada
(AppServices_SuspectPhp)
Os registos do computador indicam que está em execução um processo PHP suspeito. A ação incluiu uma tentativa de executar comandos do sistema operativo ou código PHP a partir da linha de comandos, utilizando o processo PHP. Embora este comportamento possa ser legítimo, nas aplicações Web este comportamento pode indicar atividades maliciosas, como tentativas de infetar sites com shells Web.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Médio
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
A análise dos dados do anfitrião indica a execução de cmdlets do PowerSploit maliciosos conhecidos do PowerShell.
(Aplica-se a: Serviço de Aplicações no Windows)
Execução Médio
Processos suspeitos executados
(AppServices_KnownCredential AccessTools)
Os registos do computador indicam que o processo suspeito: "%{process path}" estava em execução no computador, muitas vezes associado a tentativas de acesso de atacantes às credenciais.
(Aplica-se a: Serviço de Aplicações no Windows)
Acesso a Credenciais Alto
Nome do processo suspeito detetado
(AppServices_ProcessWithKnownSuspiciousExtension)
A análise dos dados do anfitrião em {NAME} detetou um processo cujo nome é suspeito, por exemplo correspondente a uma ferramenta de atacante conhecida ou com o nome de uma forma sugestiva de ferramentas atacantes que tentam ocultar à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que um dos seus computadores foi comprometido.
(Aplica-se a: Serviço de Aplicações no Windows)
Persistência, Evasão de Defesa Médio
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
O processo de sistema SVCHOST foi observado em execução num contexto anormal. O software maligno utiliza frequentemente SVCHOST para mascarar a sua atividade maliciosa.
(Aplica-se a: Serviço de Aplicações no Windows)
Evasão de Defesa, Execução Alto
Agente de Utilizador Suspeito detetado
(AppServices_UserAgentInjection)
Serviço de Aplicações do Azure registo de atividades indica pedidos com um agente de utilizador suspeito. Este comportamento pode indicar tentativas de exploração de uma vulnerabilidade na sua aplicação Serviço de Aplicações.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Acesso Inicial Médio
Invocação de tema suspeita do WordPress detetada
(AppServices_WpThemeInjection)
Serviço de Aplicações do Azure registo de atividades indica uma possível atividade de injeção de código no recurso Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à de uma manipulação do tema WordPress para suportar a execução de código do lado do servidor, seguida de um pedido Web direto para invocar o ficheiro de tema manipulado.
Este tipo de atividade foi visto no passado como parte de uma campanha de ataque através do WordPress.
Se o recurso Serviço de Aplicações não estiver a alojar um site do WordPress, não é vulnerável a esta exploração específica de injeção de código e pode suprimir este alerta com segurança para o recurso. Para saber como suprimir alertas de segurança, veja Suprimir alertas do Microsoft Defender para a Cloud.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Execução Alto
Detetado um detetor de vulnerabilidades
(AppServices_DrupalScanner)
Serviço de Aplicações do Azure registo de atividades indica que foi utilizado um possível detetor de vulnerabilidades no recurso Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas destinadas a um sistema de gestão de conteúdos (CMS).
Se o recurso Serviço de Aplicações não estiver a alojar um site Drupal, não será vulnerável a esta exploração específica de injeção de código e poderá suprimir este alerta de forma segura para o recurso. Para saber como suprimir alertas de segurança, veja Suprimir alertas do Microsoft Defender para a Cloud.
(Aplica-se a: Serviço de Aplicações no Windows)
Pré-ataque Médio
Detetado um detetor de vulnerabilidades
(AppServices_JoomlaScanner)
Serviço de Aplicações do Azure registo de atividades indica que foi utilizado um possível detetor de vulnerabilidades no recurso Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas destinadas às aplicações Joomla.
Se o recurso Serviço de Aplicações não estiver a alojar um site Joomla, não é vulnerável a esta exploração específica de injeção de código e pode suprimir este alerta de forma segura para o recurso. Para saber como suprimir alertas de segurança, veja Suprimir alertas do Microsoft Defender para a Cloud.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Pré-ataque Médio
Detetado um detetor de vulnerabilidades
(AppServices_WpScanner)
Serviço de Aplicações do Azure registo de atividades indica que foi utilizado um possível detetor de vulnerabilidades no recurso Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas direcionadas para aplicações do WordPress.
Se o recurso Serviço de Aplicações não estiver a alojar um site do WordPress, não é vulnerável a esta exploração específica de injeção de código e pode suprimir este alerta com segurança para o recurso. Para saber como suprimir alertas de segurança, veja Suprimir alertas do Microsoft Defender para a Cloud.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Pré-ataque Médio
Deteção de impressões digitais na Web
(AppServices_WebFingerprinting)
Serviço de Aplicações do Azure registo de atividades indica uma possível atividade de impressão digital na Web no recurso Serviço de Aplicações.
A atividade suspeita detectada está associada a uma ferramenta chamada Elefante Cego. A ferramenta de impressões digitais servidores Web e tenta detetar as aplicações e a versão instaladas.
Os atacantes utilizam frequentemente esta ferramenta para sondar a aplicação Web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Pré-ataque Médio
O site é identificado como malicioso no feed de informações sobre ameaças
(AppServices_SmartScreen)
O seu site, conforme descrito abaixo, está marcado como um site malicioso pelo Windows SmartScreen. Se considerar que se trata de um falso positivo, contacte o Windows SmartScreen através da ligação de feedback do relatório fornecida.
(Aplica-se a: Serviço de Aplicações no Windows e Serviço de Aplicações no Linux)
Coleção Médio

Alertas para contentores - clusters do Kubernetes

Microsoft Defender para Contentores fornece alertas de segurança ao nível do cluster e nos nós de cluster subjacentes ao monitorizar o plano de controlo (servidor de API) e a própria carga de trabalho em contentores. Os alertas de segurança do plano de controlo podem ser reconhecidos por um prefixo do K8S_ tipo de alerta. Os alertas de segurança para a carga de trabalho de runtime nos clusters podem ser reconhecidos pelo K8S.NODE_ prefixo do tipo de alerta. Todos os alertas são suportados apenas no Linux, salvo indicação em contrário.

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Tentativa de criar um novo espaço de nomes do Linux a partir de um contentor detetado
(K8S. NODE_NamespaceCreation) 1
A análise dos processos em execução num contentor no cluster do Kubernetes detetou uma tentativa de criar um novo espaço de nomes do Linux. Embora este comportamento possa ser legítimo, pode indicar que um atacante tenta escapar do contentor para o nó. Algumas explorações CVE-2022-0185 utilizam esta técnica. PrivilegeEscalation Médio
Um ficheiro de histórico foi limpo
(K8S. NODE_HistoryFileCleared) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou que o ficheiro de registo do histórico de comandos foi limpo. Os atacantes podem fazê-lo para cobrir os seus rastos. A operação foi efetuada pela conta de utilizador especificada. DefenseEvasion Médio
Atividade anormal da identidade gerida associada ao Kubernetes (Pré-visualização)
(K8S_AbnormalMiAcitivty)
A análise das operações do Azure Resource Manager detetou um comportamento anormal de uma identidade gerida utilizada por um suplemento do AKS. A atividade detetada não é consistente com o comportamento do suplemento associado. Embora esta atividade possa ser legítima, tal comportamento pode indicar que a identidade foi obtida por um atacante, possivelmente a partir de um contentor comprometido no cluster do Kubernetes. Movimento Lateral Médio
Foi detetada uma operação anormal da conta de serviço do Kubernetes
(K8S_ServiceAccountRareOperation)
A análise do registo de auditoria do Kubernetes detetou um comportamento anormal por parte de uma conta de serviço no cluster do Kubernetes. A conta de serviço foi utilizada para uma operação que não é comum para esta conta de serviço. Embora esta atividade possa ser legítima, tal comportamento pode indicar que a conta de serviço está a ser utilizada para fins maliciosos. Movimento Lateral, Acesso a Credenciais Médio
Foi detetada uma tentativa de ligação invulgar
(K8S. NODE_SuspectConnection) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma tentativa de ligação invulgar ao utilizar um protocolo socks. Isto é muito raro em operações normais, mas uma técnica conhecida para atacantes que tentam ignorar as deteções de camadas de rede. Execução, Exfiltração, Exploração Médio
Implementação anómalo do pod (Pré-visualização)
(K8S_AnomalousPodDeployment) 3
A análise do registo de auditoria do Kubernetes detetou a implementação de pods que é anómalo com base na atividade de implementação de pods anterior. Esta atividade é considerada uma anomalia ao ter em conta a forma como as diferentes funcionalidades vistas na operação de implementação estão em relações entre si. As funcionalidades monitorizadas incluem o registo de imagens de contentor utilizado, a conta que executa a implementação, o dia da semana, a frequência com que esta conta efetua implementações de pods, o agente de utilizador utilizado na operação, se este é um espaço de nomes no qual ocorrem frequentemente implementações de pods e outras funcionalidades. As principais razões que contribuem para gerar este alerta, uma vez que a atividade anómalo é detalhada nas propriedades expandidas do alerta. Execução Médio
Acesso a segredos anómalos (Pré-visualização)
(K8S_AnomalousSecretAccess) 2
A análise do registo de auditoria do Kubernetes detetou um pedido de acesso secreto anómalo com base na atividade de acesso a segredos anterior. Esta atividade é considerada uma anomalia ao ter em conta a forma como as diferentes funcionalidades vistas na operação de acesso secreto estão em relações entre si. As funcionalidades monitorizadas por esta análise incluem o nome de utilizador utilizado, o nome do segredo, o nome do espaço de nomes, o agente de utilizador utilizado na operação ou outras funcionalidades. As principais razões que contribuem para gerar este alerta, uma vez que a atividade anómalo é detalhada nas propriedades expandidas do alerta. CredentialAccess Médio
Tentativa de parar o serviço apt-daily-upgrade.timer detetado
(K8S. NODE_TimerServiceDisabled) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Foram observados atacantes a parar este serviço para transferir ficheiros maliciosos e conceder privilégios de execução para os ataques. Esta atividade também pode ocorrer se o serviço for atualizado através de ações administrativas normais. DefenseEvasion Informativo
Comportamento semelhante aos bots do Linux comuns detetados (Pré-visualização)
(K8S. NODE_CommonBot)
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou a execução de um processo normalmente associado a botnets do Linux comuns. Execução, Coleção, Comando e Controlo Médio
Comportamento semelhante ao ransomware Fairware detetado
(K8S. NODE_FairwareMalware) 1
A análise dos processos em execução num contentor detetou a execução de comandos rm -rf aplicados a localizações suspeitas. Como rm -rf irá eliminar ficheiros recursivamente, é normalmente utilizado em pastas discretas. Neste caso, está a ser utilizado numa localização que pode remover muitos dados. O ransomware fairware é conhecido por executar comandos rm -rf nesta pasta. Execução Médio
Comando num contentor em execução com privilégios elevados
(K8S. NODE_PrivilegedExecutionInContainer) 1
Os registos do computador indicam que foi executado um comando com privilégios num contentor do Docker. Um comando com privilégios tem privilégios alargados no computador anfitrião. PrivilegeEscalation Baixo
Contentor em execução no modo privilegiado
(K8S. NODE_PrivilegedContainerArtifacts) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou a execução de um comando do Docker que está a executar um contentor com privilégios. O contentor com privilégios tem acesso total ao pod de alojamento ou ao recurso anfitrião. Se for comprometido, um atacante pode utilizar o contentor com privilégios para obter acesso ao pod ou anfitrião de alojamento. PrivilegeEscalation, Execution Baixo
Contentor com montagem de volume sensível detetada
(K8S_SensitiveMount)
A análise do registo de auditoria do Kubernetes detetou um novo contentor com uma montagem de volume sensível. O volume detetado é um tipo hostPath que monta um ficheiro ou pasta confidencial do nó para o contentor. Se o contentor ficar comprometido, o atacante pode utilizar esta montagem para obter acesso ao nó. Escalamento de Privilégios Médio
Modificação do CoreDNS no Kubernetes detetada
(K8S_CoreDnsModification) 23
A análise do registo de auditoria do Kubernetes detetou uma modificação da configuração do CoreDNS. A configuração do CoreDNS pode ser modificada ao substituir o respetivo configmap. Embora esta atividade possa ser legítima, se os atacantes tiverem permissões para modificar o configmap, podem alterar o comportamento do servidor DNS do cluster e envenená-lo. Movimento Lateral Baixo
Foi detetada a criação da configuração do webhook de admissão
(K8S_AdmissionController) 3
A análise do registo de auditoria do Kubernetes detetou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos incorporados: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento destes controladores de admissão é determinado por um webhook de admissão que o utilizador implementa no cluster. A utilização desses controladores de admissão pode ser legítima, no entanto, os atacantes podem utilizar esses webhooks para modificar os pedidos (no caso de MutatingAdmissionWebhook) ou inspecionar os pedidos e obter informações confidenciais (no caso de ValidatingAdmissionWebhook). Acesso a Credenciais, Persistência Baixo
Transferência de ficheiros detetada a partir de uma origem maliciosa conhecida
(K8S. NODE_SuspectDownload) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma transferência de um ficheiro de uma origem frequentemente utilizada para distribuir software maligno. PrivilegeEscalation, Execution, Exfiltration, Command And Control Médio
Transferência de ficheiros suspeitos detetada
(K8S. NODE_SuspectDownloadArtifacts) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma transferência suspeita de um ficheiro remoto. Persistência Baixo
Foi detetada uma utilização suspeita do comando nohup
(K8S. NODE_SuspectNohup) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma utilização suspeita do comando nohup. Os atacantes foram vistos a utilizar o comando nohup para executar ficheiros ocultos a partir de um diretório temporário para permitir a execução dos executáveis em segundo plano. É raro ver este comando ser executado em ficheiros ocultos localizados num diretório temporário. Persistência, DefenseEvasion Médio
Foi detetada uma utilização suspeita do comando useradd
(K8S. NODE_SuspectUserAddition) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma utilização suspeita do comando useradd. Persistência Médio
Contentor de extração de moeda digital detetado
(K8S_MaliciousContainerImage) 3
A análise do registo de auditoria do Kubernetes detetou um contentor que tem uma imagem associada a uma ferramenta de extração de moeda digital. Execução Alto
Comportamento relacionado com a extração de moeda digital detetado
(K8S. NODE_DigitalCurrencyMining) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma execução de um processo ou comando normalmente associado à extração de moeda digital. Execução Alto
Operação de compilação do Docker detetada num nó do Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma operação de compilação de uma imagem de contentor num nó do Kubernetes. Embora este comportamento possa ser legítimo, os atacantes podem criar as suas imagens maliciosas localmente para evitar a deteção. DefenseEvasion Baixo
Permissões de função excessivas atribuídas no cluster do Kubernetes (Pré-visualização)
(K8S_ServiceAcountPermissionAnomaly) 3
A análise dos registos de auditoria do Kubernetes detetou uma atribuição excessiva de funções de permissões ao cluster. As permissões listadas para as funções atribuídas não são comuns à conta de serviço específica. Esta deteção considera as atribuições de funções anteriores à mesma conta de serviço em clusters monitorizados pelo Azure, o volume por permissão e o impacto da permissão específica. O modelo de deteção de anomalias utilizado para este alerta tem em conta a forma como esta permissão é utilizada em todos os clusters monitorizados pelo Microsoft Defender para a Cloud. Escalamento de Privilégios Baixo
Executável encontrado em execução a partir de uma localização suspeita (Pré-visualização)
(K8S. NODE_SuspectExecutablePath)
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou um ficheiro executável que está a ser executado a partir de uma localização associada a ficheiros suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um sistema comprometido. Execução Médio
Dashboard do Kubeflow exposto detetado
(K8S_ExposedKubeflow)
A análise do registo de auditoria do Kubernetes detetou a exposição da Entrada istio por um balanceador de carga num cluster que executa o Kubeflow. Esta ação pode expor o dashboard do Kubeflow à Internet. Se o dashboard estiver exposto à Internet, os atacantes podem aceder-lhe e executar contentores ou código maliciosos no cluster. Encontre mais detalhes no seguinte artigo: https://aka.ms/exposedkubeflow-blog Acesso Inicial Médio
Dashboard do Kubernetes exposto detetado
(K8S_ExposedDashboard)
A análise do registo de auditoria do Kubernetes detetou a exposição do Dashboard do Kubernetes por um serviço LoadBalancer. O dashboard exposto permite um acesso não autenticado à gestão do cluster e representa uma ameaça à segurança. Acesso Inicial Alto
Serviço do Kubernetes exposto detetado
(K8S_ExposedService)
A análise do registo de auditoria do Kubernetes detetou a exposição de um serviço por um balanceador de carga. Este serviço está relacionado com uma aplicação sensível que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de novos contentores. Em alguns casos, este serviço não requer autenticação. Se o serviço não necessitar de autenticação, expô-lo na Internet representa um risco para a segurança. Acesso Inicial Médio
Serviço Redis exposto no AKS detetado
(K8S_ExposedRedis)
A análise do registo de auditoria do Kubernetes detetou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não necessitar de autenticação, expô-lo na Internet representa um risco para a segurança. Acesso Inicial Baixo
Foram detetados indicadores associados ao toolkit DDOS
(K8S. NODE_KnownLinuxDDoSToolkit) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou nomes de ficheiros que fazem parte de um toolkit associado a software maligno capaz de iniciar ataques DDoS, abrir portas e serviços e assumir o controlo total sobre o sistema infetado. Isto também pode ser uma atividade legítima. Persistência, LateralMovement, Execução, Exploração Médio
Pedidos da API K8S do endereço IP proxy detetados
(K8S_TI_Proxy) 3
A análise do registo de auditoria do Kubernetes detetou pedidos de API para o cluster a partir de um endereço IP associado a serviços proxy, como o TOR. Embora este comportamento possa ser legítimo, é frequentemente visto em atividades maliciosas, quando os atacantes tentam ocultar o IP de origem. Execução Baixo
Eventos do Kubernetes eliminados
(K8S_DeleteEvents) 23
O Defender para a Cloud detetou que alguns eventos do Kubernetes foram eliminados. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os atacantes podem eliminar esses eventos por ocultarem as operações no cluster. Evasão à Defesa Baixo
Ferramenta de teste de penetração do Kubernetes detetada
(K8S_PenTestToolsKubeHunter)
A análise do registo de auditoria do Kubernetes detetou a utilização da ferramenta de teste de penetração do Kubernetes no cluster do AKS. Embora este comportamento possa ser legítimo, os atacantes podem utilizar essas ferramentas públicas para fins maliciosos. Execução Baixo
Manipulação da firewall do anfitrião detetada
(K8S. NODE_FirewallDisabled) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma possível manipulação da firewall no anfitrião. Os atacantes irão muitas vezes desativar esta opção para exfiltrar dados. DefenseEvasion, Exfiltration Médio
Microsoft Defender para o alerta de teste da Cloud (não uma ameaça).
(K8S. NODE_EICAR) 1
Este é um alerta de teste gerado pelo Microsoft Defender para a Cloud. Não é necessária mais nenhuma ação. Execução Alto
Novo contentor no espaço de nomes do sistema kube detetado
(K8S_KubeSystemContainer) 3
A análise do registo de auditoria do Kubernetes detetou um novo contentor no espaço de nomes do sistema kube que não está entre os contentores que normalmente são executados neste espaço de nomes. Os espaços de nomes do sistema kube não devem conter recursos de utilizador. Os atacantes podem utilizar este espaço de nomes para ocultar componentes maliciosos. Persistência Baixo
Nova função de privilégios elevados detetada
(K8S_HighPrivilegesRole) 3
A análise do registo de auditoria do Kubernetes detetou uma nova função com privilégios elevados. Um enlace a uma função com privilégios elevados dá ao utilizador\grupo privilégios elevados no cluster. Privilégios desnecessários podem causar um escalamento de privilégios no cluster. Persistência Baixo
Possível ferramenta de ataque detetada
(K8S. NODE_KnownLinuxAttackTool) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma invocação de ferramenta suspeita. Esta ferramenta está frequentemente associada a utilizadores maliciosos que atacam outras pessoas. Execução, Coleção, Comando e Controlo, Pesquisa Médio
Possível backdoor detetada
(K8S. NODE_LinuxBackdoorArtifact) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou um ficheiro suspeito a ser transferido e executado. Esta atividade já foi associada à instalação de uma backdoor. Persistência, DefenseEvasion, Execução, Exploração Médio
Possível tentativa de exploração da linha de comandos
(K8S. NODE_ExploitAttempt) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma possível tentativa de exploração contra uma vulnerabilidade conhecida. Exploração Médio
Possível ferramenta de acesso a credenciais detetada
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contentor, conforme identificado pelo processo especificado e pelo item do histórico de linhas de comandos. Esta ferramenta está frequentemente associada a tentativas de acesso de atacantes a credenciais. CredentialAccess Médio
Possível transferência do Cryptocoinminer detetada
(K8S. NODE_CryptoCoinMinerDownload) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou a transferência de um ficheiro normalmente associado à extração de moeda digital. DefenseEvasion, Comando e Controlo, Exploração Médio
Possível exfiltração de dados detetada
(K8S. NODE_DataEgressArtifacts) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma possível condição de saída de dados. Os atacantes irão frequentemente enviar dados de computadores que tenham comprometido. Coleção, Exfiltração Médio
Possível Atividade de Adulteração de Registos Detetada
(K8S. NODE_SystemLogRemoval) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma possível remoção de ficheiros que monitorizam a atividade do utilizador durante a operação. Muitas vezes, os atacantes tentam evitar a deteção e não deixam qualquer rastreio de atividades maliciosas ao eliminar esses ficheiros de registo. DefenseEvasion Médio
Possível alteração de palavra-passe com o método crypt detetado
(K8S. NODE_SuspectPasswordChange) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma alteração de palavra-passe com o método crypt. Os atacantes podem fazer esta alteração para continuar o acesso e obter persistência após o compromisso. CredentialAccess Médio
Potencial reencaminhamento de porta para o endereço IP externo
(K8S. NODE_SuspectPortForwarding) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou um início do reencaminhamento de portas para um endereço IP externo. Exfiltração, Comando e Controlo Médio
Shell inversa potencial detetada
(K8S. NODE_ReverseShell) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma potencial shell inversa. Estes são utilizados para obter um computador comprometido para ligar de volta para um computador que um atacante possui. Exfiltração, Exploração Médio
Contentor privilegiado detetado
(K8S_PrivilegedContainer)
A análise do registo de auditoria do Kubernetes detetou um novo contentor com privilégios. Um contentor com privilégios tem acesso aos recursos do nó e interrompe o isolamento entre contentores. Se for comprometido, um atacante pode utilizar o contentor com privilégios para obter acesso ao nó. Escalamento de Privilégios Baixo
Processo associado à extração de moeda digital detetado
(K8S. NODE_CryptoCoinMinerArtifacts) 1
A análise dos processos em execução num contentor detetou a execução de um processo normalmente associado à extração de moeda digital. Execução, Exploração Médio
Processo visto a aceder ao ficheiro de chaves autorizadas SSH de uma forma invulgar
(K8S. NODE_SshKeyAccess) 1
Um ficheiro de authorized_keys SSH foi acedido num método semelhante a campanhas de software maligno conhecidas. Este acesso pode significar que um ator está a tentar obter acesso persistente a um computador. Desconhecido Baixo
Enlace de função à função de administrador de cluster detetada
(K8S_ClusterAdminBinding)
A análise do registo de auditoria do Kubernetes detetou um novo enlace à função de administrador do cluster que dá privilégios de administrador. Privilégios de administrador desnecessários podem causar um escalamento de privilégios no cluster. Persistência Baixo
Terminação do processo relacionada com segurança detetada
(K8S. NODE_SuspectProcessTermination) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma tentativa de terminar processos relacionados com a monitorização de segurança no contentor. Muitas vezes, os atacantes tentam terminar esses processos com scripts predefinidos após o compromisso. Persistência Baixo
O servidor SSH está em execução dentro de um contentor
(K8S. NODE_ContainerSSH) 1
A análise dos processos em execução num contentor detetou um servidor SSH em execução no contentor. Execução Médio
Modificação suspeita do carimbo de data/hora do ficheiro
(K8S. NODE_TimestampTampering) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma modificação suspeita do carimbo de data/hora. Os atacantes copiam frequentemente carimbos de data/hora de ficheiros legítimos existentes para novas ferramentas para evitar a deteção destes ficheiros recentemente removidos. Persistência, DefenseEvasion Baixo
Pedido suspeito à API do Kubernetes
(K8S. NODE_KubernetesAPI) 1
A análise dos processos em execução num contentor indica que foi feito um pedido suspeito à API do Kubernetes. O pedido foi enviado a partir de um contentor no cluster. Embora este comportamento possa ser intencional, pode indicar que um contentor comprometido está em execução no cluster. LateralMovement Médio
Pedido suspeito para o Dashboard do Kubernetes
(K8S. NODE_KubernetesDashboard) 1
A análise dos processos em execução num contentor indica que foi feito um pedido suspeito ao Dashboard do Kubernetes. O pedido foi enviado a partir de um contentor no cluster. Embora este comportamento possa ser intencional, pode indicar que um contentor comprometido está em execução no cluster. LateralMovement Médio
Potencial mineiro de moeda criptográfica iniciado
(K8S. NODE_CryptoCoinMinerExecution) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou um processo que está a ser iniciado de uma forma normalmente associada à extração de moeda digital. Execução Médio
Acesso a palavra-passe suspeita
(K8S. NODE_SuspectPasswordFileAccess) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma tentativa suspeita de acesso a palavras-passe de utilizador encriptadas. Persistência Informativo
Utilização suspeita do DNS através de HTTPS
(K8S. NODE_SuspiciousDNSOverHttps) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou a utilização de uma chamada DNS através de HTTPS de uma forma invulgar. Esta técnica é utilizada pelos atacantes para ocultar chamadas para sites suspeitos ou maliciosos. DefenseEvasion, Exfiltration Médio
Foi detetada uma possível ligação a uma localização maliciosa.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou uma ligação a uma localização que foi reportada como maliciosa ou invulgar. Este é um indicador de que pode ter ocorrido um compromisso. InitialAccess Médio
Possível shell Web maliciosa detetada.
(K8S. NODE_Webshell) 1
A análise dos processos em execução num contentor detetou uma possível shell Web. Muitas vezes, os atacantes carregam uma shell Web para um recurso de computação que comprometeram para obter persistência ou para exploração adicional. Persistência, Exploração Médio
A expansão de vários comandos de reconhecimento pode indicar a atividade inicial após o compromisso
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
A análise dos dados do anfitrião/dispositivo detetou a execução de vários comandos de reconhecimento relacionados com a recolha de detalhes do sistema ou do anfitrião efetuados por atacantes após o compromisso inicial. Deteção, Coleção Baixo
Transferência Suspeita e, em seguida, Executar Atividade
(K8S. NODE_DownloadAndRunCombo) 1
A análise dos processos em execução num contentor ou diretamente num nó do Kubernetes detetou que um ficheiro está a ser transferido e, em seguida, executado no mesmo comando. Embora nem sempre seja malicioso, esta é uma técnica muito comum que os atacantes utilizam para colocar ficheiros maliciosos em máquinas de vítimas. Execução, CommandAndControl, Exploração Médio
Atividade de extração de moeda digital
(K8S. NODE_CurrencyMining) 1
A análise das transações DNS detetou a atividade de extração de moeda digital. Essa atividade, embora possivelmente legítima, é executada frequentemente pelos atacantes após o comprometimento dos recursos. É provável que a atividade de atacante relacionada típica inclua a transferência e a execução de ferramentas de extração comuns. Exfiltração Baixo
Acesso ao ficheiro kubeconfig do kubelet detetado
(K8S. NODE_KubeConfigAccess) 1
A análise dos processos em execução num nó de cluster do Kubernetes detetou o acesso ao ficheiro kubeconfig no anfitrião. O ficheiro kubeconfig, normalmente utilizado pelo processo do Kubelet, contém credenciais para o servidor de API de cluster do Kubernetes. O acesso a este ficheiro é frequentemente associado a atacantes que tentam aceder a essas credenciais ou a ferramentas de análise de segurança que verificam se o ficheiro está acessível. CredentialAccess Médio
Acesso ao serviço de metadados na cloud detetado
(K8S. NODE_ImdsCall) 1
A análise dos processos em execução num contentor detetou o acesso ao serviço de metadados da cloud para adquirir o token de identidade. Normalmente, o contentor não executa tal operação. Embora este comportamento possa ser legítimo, os atacantes podem utilizar esta técnica para aceder aos recursos da cloud depois de obterem acesso inicial a um contentor em execução. CredentialAccess Médio
Agente MITRE Caldera detetado
(K8S. NODE_MitreCalderaTools) 1
A análise de processos em execução num contentor ou diretamente num nó do Kubernetes detetou um processo suspeito. Isto é frequentemente associado ao agente MITRE 54ndc47 que pode ser utilizado maliciosamente para atacar outras máquinas. Persistência, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation Médio

1: Pré-visualização para clusters não AKS: este alerta está geralmente disponível para clusters do AKS, mas está em pré-visualização para outros ambientes, como o Azure Arc, EKS e GKE.

2: Limitações nos clusters GKE: a GKE utiliza uma política de auditoria do Kuberenetes que não suporta todos os tipos de alerta. Como resultado, este alerta de segurança, baseado em eventos de auditoria do Kubernetes, não é suportado para clusters GKE.

3: Este alerta é suportado em nós/contentores do Windows.

Alertas para o Base de Dados SQL e o Azure Synapse Analytics

Mais detalhes e notas

Alerta Description Táticas MITRE
(Saiba mais)
Gravidade
Uma possível vulnerabilidade à Injeção de SQL
(SQL. VM_VulnerabilityToSqlInjection
SQL. DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL. DW_VulnerabilityToSqlInjection)
Uma aplicação gerou uma instrução SQL com falhas na base de dados. Isto pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há duas razões possíveis para uma declaração defeituosa. Um defeito no código da aplicação pode ter construído a instrução SQL com falhas. Em alternativa, o código da aplicação ou os procedimentos armazenados não limparam a entrada do utilizador ao construir a instrução SQL com falhas, que pode ser explorada para injeção de SQL. Pré-ataque Médio
Tentativa de início de sessão por uma aplicação potencialmente prejudicial
(SQL. DB_HarmfulApplication
SQL. VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL. DW_HarmfulApplication)
Uma aplicação potencialmente prejudicial tentou aceder ao SQL Server "{name}". Pré-ataque Alto
Iniciar sessão a partir de um DataCenter do Azure invulgar
(SQL. DB_DataCenterAnomaly
SQL. VM_DataCenterAnomaly
SQL. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Houve uma alteração no padrão de acesso a uma SQL Server, em que alguém iniciou sessão no servidor a partir de um Datacenter do Azure invulgar. Em alguns casos, o alerta deteta uma ação legítima (uma nova aplicação ou serviço do Azure). Noutros casos, o alerta deteta uma ação maliciosa (o atacante está a operar a partir de um recurso violado no Azure). Pesquisa Baixo
Iniciar sessão a partir de uma localização invulgar
(SQL. DB_GeoAnomaly
SQL. VM_GeoAnomaly
SQL. DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Ocorreu uma alteração no padrão de acesso para SQL Server, em que alguém iniciou sessão no servidor a partir de uma localização geográfica invulgar. Em alguns casos, o alerta deteta uma ação legítima (uma nova manutenção de programador ou aplicação). Noutros casos, o alerta deteta uma ação maliciosa (um antigo funcionário ou atacante externo). Exploração Médio
Iniciar sessão a partir de um utilizador principal que não é visto há 60 dias
(SQL. DB_PrincipalAnomaly
SQL. VM_PrincipalAnomaly
SQL. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esta base de dados for nova ou se este comportamento for esperado causado por alterações recentes nos utilizadores que acedem à base de dados, o Defender para Cloud identificará alterações significativas aos padrões de acesso e tentará impedir futuros falsos positivos. Exploração Médio
Iniciar sessão a partir de um IP suspeito
(SQL. VM_SuspiciousIpAnomaly)
O recurso foi acedido com êxito a partir de um endereço IP que Microsoft o Threat Intelligence associou a atividades suspeitas. Pré-ataque Médio
Potencial tentativa de Força Bruta do SQL Ocorreu um número anormalmente elevado de tentativas de início de sessão falhado com credenciais diferentes. Em alguns casos, o alerta deteta testes de penetração em ação. Noutros casos, o alerta deteta um ataque de força bruta. Pesquisa Alto
Potencial injeção de SQL
(SQL. DB_PotentialSqlInjection
SQL. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Ocorreu uma exploração ativa contra uma aplicação identificada vulnerável à injeção de SQL. Isto significa que um atacante está a tentar injetar instruções SQL maliciosas através do código de aplicação vulnerável ou dos procedimentos armazenados. Pré-ataque Alto
Ação Potencialmente Insegura
(SQL. DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL. DW_UnsafeCommands)
Foi tentada uma ação potencialmente insegura na base de dados "{name}" no servidor "{name}". - Alto
Suspeita de ataque de força bruta com um utilizador válido Foi detetado um potencial ataque de força bruta no recurso. O atacante está a utilizar a sa de utilizador válida, que tem permissões para iniciar sessão. Pré-ataque Alto
Suspeita de ataque de força bruta Foi detetado um potencial ataque de força bruta no servidor SQL "{name}". Pré-ataque Alto
Suspeito de ataque de força bruta bem-sucedida
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce)
Ocorreu um início de sessão bem-sucedido após um aparente ataque de força bruta ao recurso Pré-ataque Alto
Localização de exportação invulgar Alguém extraiu uma grande quantidade de dados do seu SQL Server "{name}" para uma localização invulgar. Exfiltração Alto

Alertas para bases de dados relacionais open source

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Suspeita de ataque de força bruta com um utilizador válido
(SQL. PostgreSQL_BruteForce
SQL. MariaDB_BruteForce
SQL. MySQL_BruteForce)
Foi detetado um potencial ataque de força bruta no recurso. O atacante está a utilizar o utilizador válido (nome de utilizador), que tem permissões para iniciar sessão. Pré-ataque Alto
Suspeito de ataque de força bruta bem-sucedida
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
Ocorreu um início de sessão bem-sucedido após um aparente ataque de força bruta ao recurso. Pré-ataque Alto
Suspeita de ataque de força bruta
("SQL. MySQL_BruteForce")
Foi detetado um potencial ataque de força bruta no servidor SQL "{name}". Pré-ataque Alto
Tentativa de início de sessão por uma aplicação potencialmente prejudicial
(SQL. PostgreSQL_HarmfulApplication
SQL. MariaDB_HarmfulApplication
SQL. MySQL_HarmfulApplication)
Uma aplicação potencialmente prejudicial tentou aceder ao recurso. Pré-ataque Alto
Iniciar sessão a partir de um utilizador principal que não é visto há 60 dias
(SQL. PostgreSQL_PrincipalAnomaly
SQL. MariaDB_PrincipalAnomaly
SQL. MySQL_PrincipalAnomaly)
Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esta base de dados for nova ou se este comportamento for esperado causado por alterações recentes nos utilizadores que acedem à base de dados, o Defender para Cloud identificará alterações significativas aos padrões de acesso e tentará impedir futuros falsos positivos. Exploração Médio
Iniciar sessão a partir de um domínio que não é visto há 60 dias
(SQL. MariaDB_DomainAnomaly
SQL. PostgreSQL_DomainAnomaly
SQL. MySQL_DomainAnomaly)
Um utilizador iniciou sessão no recurso a partir de um domínio a partir do qual nenhum outro utilizador se ligou nos últimos 60 dias. Se este recurso for novo ou se este comportamento for esperado causado por alterações recentes nos utilizadores que acedem ao recurso, o Defender para Cloud identificará alterações significativas aos padrões de acesso e tentará impedir futuros falsos positivos. Exploração Médio
Iniciar sessão a partir de um Centro de Dados do Azure invulgar
(SQL. PostgreSQL_DataCenterAnomaly
SQL. MariaDB_DataCenterAnomaly
SQL. MySQL_DataCenterAnomaly)
Alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar. Pesquisa Baixo
Início de sessão de um fornecedor de cloud invulgar
(SQL. PostgreSQL_CloudProviderAnomaly
SQL. MariaDB_CloudProviderAnomaly
SQL. MySQL_CloudProviderAnomaly)
Alguém iniciou sessão no seu recurso a partir de um fornecedor de cloud que não foi visto nos últimos 60 dias. É rápido e fácil para os atores de ameaças obterem poder de computação descartável para utilização nas suas campanhas. Se este comportamento for esperado causado pela recente adoção de um novo fornecedor de cloud, o Defender para Cloud irá aprender ao longo do tempo e tentar evitar falsos positivos futuros. Exploração Médio
Iniciar sessão a partir de uma localização invulgar
(SQL. MariaDB_GeoAnomaly
SQL. PostgreSQL_GeoAnomaly
SQL. MySQL_GeoAnomaly)
Alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar. Exploração Médio
Iniciar sessão a partir de um IP suspeito
(SQL. PostgreSQL_SuspiciousIpAnomaly
SQL. MariaDB_SuspiciousIpAnomaly
SQL. MySQL_SuspiciousIpAnomaly)
O recurso foi acedido com êxito a partir de um endereço IP que Microsoft o Threat Intelligence associou a atividades suspeitas. Pré-ataque Médio

Alertas para Resource Manager

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Operação de Resource Manager do Azure a partir de endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
Microsoft Defender para Resource Manager detetou uma operação a partir de um endereço IP que foi marcado como suspeito em feeds de informações sobre ameaças. Execução Médio
Operação de Resource Manager do Azure a partir de endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender para Resource Manager detetou uma operação de gestão de recursos a partir de um endereço IP associado a serviços proxy, como o TOR. Embora este comportamento possa ser legítimo, é frequentemente visto em atividades maliciosas, quando os atores de ameaças tentam ocultar o IP de origem. Evasão à Defesa Médio
Toolkit de exploração microBurst utilizado para enumerar recursos nas suas subscrições
(ARM_MicroBurst.AzDomainInfo)
O módulo Recolha de Informações da MicroBurst foi executado na sua subscrição. Esta ferramenta pode ser utilizada para detetar recursos, permissões e estruturas de rede. Isto foi detetado ao analisar os registos de Atividades do Azure e as operações de gestão de recursos na sua subscrição - Alto
Toolkit de exploração microBurst utilizado para enumerar recursos nas suas subscrições
(ARM_MicroBurst.AzureDomainInfo)
O módulo Recolha de Informações da MicroBurst foi executado na sua subscrição. Esta ferramenta pode ser utilizada para detetar recursos, permissões e estruturas de rede. Isto foi detetado ao analisar os registos de Atividades do Azure e as operações de gestão de recursos na sua subscrição - Alto
Toolkit de exploração microBurst utilizado para executar código na máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
O toolkit de exploração da MicroBurst foi utilizado para executar código nas suas máquinas virtuais. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. Execução Alto
Toolkit de exploração microBurst utilizado para executar código na máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
O toolkit de exploração da MicroBurst foi utilizado para executar código nas suas máquinas virtuais. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. - Alto
Toolkit de exploração microBurst utilizado para extrair chaves dos cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
O toolkit de exploração da MicroBurst foi utilizado para extrair chaves dos cofres de chaves do Azure. Isto foi detetado ao analisar os registos de Atividades do Azure e as operações de gestão de recursos na sua subscrição. - Alto
Toolkit de exploração microBurst utilizado para extrair chaves para as suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
O toolkit de exploração da MicroBurst foi utilizado para extrair chaves para as suas contas de armazenamento. Isto foi detetado ao analisar os registos de Atividades do Azure e as operações de gestão de recursos na sua subscrição. Coleção Alto
Toolkit de exploração microBurst utilizado para extrair segredos dos cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
O toolkit de exploração da MicroBurst foi utilizado para extrair segredos dos cofres de chaves do Azure. Isto foi detetado através da análise dos registos de Atividades do Azure e das operações de gestão de recursos na sua subscrição. - Alto
Toolkit de exploração do PowerZure utilizado para elevar o acesso de Azure AD para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
O toolkit de exploração do PowerZure foi utilizado para elevar o acesso do AzureAD para o Azure. Isto foi detetado através da análise das operações de Resource Manager do Azure no seu inquilino. - Alto
Toolkit de exploração do PowerZure utilizado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
O toolkit de exploração do PowerZure foi utilizado para enumerar recursos em nome de uma conta de utilizador legítima na sua organização. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição. Coleção Alto
Toolkit de exploração do PowerZure utilizado para enumerar contentores de armazenamento, partilhas e tabelas
(ARM_PowerZure.ShowStorageContent)
O Toolkit de exploração do PowerZure foi utilizado para enumerar partilhas de armazenamento, tabelas e contentores. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição. - Alto
Toolkit de exploração do PowerZure utilizado para executar um Runbook na sua subscrição
(ARM_PowerZure.StartRunbook)
O Toolkit de exploração do PowerZure foi utilizado para executar um Runbook. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição. - Alto
Toolkit de exploração do PowerZure utilizado para extrair conteúdos de Runbooks
(ARM_PowerZure.AzureRunbookContent)
O Toolkit de exploração do PowerZure foi utilizado para extrair conteúdos do Runbook. Isto foi detetado através da análise das operações de Resource Manager do Azure na sua subscrição. Coleção Alto
PRÉ-VISUALIZAÇÃO - Atividade de um endereço IP de risco
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
Foi detetada a atividade dos utilizadores a partir de um endereço IP identificado como um endereço IP de proxy anónimo.
Estes proxies são utilizados por pessoas que pretendem ocultar o endereço IP do dispositivo e podem ser utilizados para intenções maliciosas. Esta deteção utiliza um algoritmo de machine learning que reduz falsos positivos, como endereços IP com etiquetas incorretas que são amplamente utilizados pelos utilizadores na organização.
Requer uma licença de Microsoft Defender for Cloud Apps ativa.
- Médio
PRÉ-VISUALIZAÇÃO - Atividade do país pouco frequente
(ARM. MCAS_ActivityFromInfrequentCountry)
Ocorreu atividade a partir de uma localização que não foi visitada recentemente ou alguma vez visitada por qualquer utilizador na organização.
Esta deteção considera localizações de atividade anteriores para determinar localizações novas e pouco frequentes. O motor de deteção de anomalias armazena informações sobre localizações anteriores utilizadas pelos utilizadores na organização.
Requer uma licença de Microsoft Defender for Cloud Apps ativa.
- Médio
PRÉ-VISUALIZAÇÃO – Azure Toolkit Run detetado
(ARM_Azurite)
Foi detetada uma execução conhecida do toolkit de reconhecimento de ambientes na cloud no seu ambiente. A ferramenta Azurite pode ser utilizada por um atacante (ou um teste de penetração) para mapear os recursos das suas subscrições e identificar configurações inseguras. Coleção Alto
PRÉ-VISUALIZAÇÃO - Atividade de viagem impossível
(ARM. MCAS_ImpossibleTravelActivity)
Ocorreram duas atividades de utilizador (numa única ou múltiplas sessões), originárias de localizações geograficamente distantes. Isto ocorre num período de tempo inferior ao tempo que levaria o utilizador a viajar da primeira para a segunda localização. Isto indica que um utilizador diferente está a utilizar as mesmas credenciais.
Esta deteção utiliza um algoritmo de machine learning que ignora falsos positivos óbvios que contribuem para as condições de deslocação impossíveis, como VPNs e localizações utilizadas regularmente por outros utilizadores na organização. A deteção tem um período de aprendizagem inicial de sete dias, durante o qual aprende o padrão de atividade de um novo utilizador.
Requer uma licença de Microsoft Defender for Cloud Apps ativa.
- Médio
PRÉ-VISUALIZAÇÃO – Recuperação suspeita do cofre de chaves detetada
(Arm_Suspicious_Vault_Recovering)
Microsoft Defender para Resource Manager detetou uma operação de recuperação suspeita para um recurso do cofre de chaves eliminado de forma recuperável.
O utilizador que está a recuperar o recurso é diferente do utilizador que o eliminou. Isto é altamente suspeito porque o utilizador raramente invoca tal operação. Além disso, o utilizador iniciou sessão sem autenticação multifator (MFA).
Isto pode indicar que o utilizador está comprometido e está a tentar detetar segredos e chaves para obter acesso a recursos confidenciais ou para efetuar movimentos laterais na sua rede.
Movimento lateral Médio/alto
PRÉ-VISUALIZAÇÃO – sessão de gestão suspeita com uma conta inativa detetada
(ARM_UnusedAccountPersistence)
A análise dos registos de atividades da subscrição detetou um comportamento suspeito. Um principal que não está a ser utilizado durante um longo período de tempo está agora a executar ações que podem proteger a persistência de um atacante. Persistência Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Acesso a Credenciais" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.CredentialAccess)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de acesso às credenciais. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Acesso a credenciais Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Recolha de Dados" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.Collection)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para recolher dados confidenciais sobre recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Coleção Médio
PRÉ-VISUALIZAÇÃO - Invocação suspeita de uma operação de "Evasão de Defesa" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.DefenseEvasion)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de fugir às defesas. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente a postura de segurança dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para evitar ser detetado enquanto compromete recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Evasão de Defesa Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Execução" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.Execution)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco num computador na sua subscrição, o que pode indicar uma tentativa de execução de código. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Execução da Defesa Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Impacto" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.Impact)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Impacto Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Acesso Inicial" de alto risco por um principal de serviço detetado
(ARM_AnomalousServiceOperation.InitialAccess)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de acesso a recursos restritos. As operações identificadas foram concebidas para permitir que os administradores acedam eficientemente aos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para obter acesso inicial a recursos restritos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Acesso inicial Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Acesso de Movimento Lateral" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.LateralMovement)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de efetuar movimentos laterais. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para comprometer mais recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Movimento lateral Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "persistência" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.Persistência)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para estabelecer persistência no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas. Persistência Médio
PRÉ-VISUALIZAÇÃO – invocação suspeita de uma operação de "Escalamento de Privilégios" de alto risco detetada por um principal de serviço
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para escalar privilégios enquanto compromete recursos no seu ambiente. Isto pode indicar que o principal de serviço está comprometido e está a ser utilizado com intenções maliciosas.. Escalamento de privilégios Médio
PRÉ-VISUALIZAÇÃO – sessão de gestão suspeita com uma conta inativa detetada
(ARM_UnusedAccountPersistence)
A análise dos registos de atividades da subscrição detetou um comportamento suspeito. Um principal que não está a ser utilizado durante um longo período de tempo está agora a executar ações que podem proteger a persistência de um atacante. Persistência Médio
PRÉ-VISUALIZAÇÃO – sessão de gestão suspeita com o PowerShell detetado
(ARM_UnusedAppPowershellPersistence)
A análise dos registos de atividades da subscrição detetou um comportamento suspeito. Um principal que não utiliza regularmente o PowerShell para gerir o ambiente de subscrição está agora a utilizar o PowerShell e a executar ações que podem proteger a persistência de um atacante. Persistência Médio
PRÉ-VISUALIZAÇÃO – sessão de gestão suspeita com portal do Azure detetado
(ARM_UnusedAppIbizaPersistence)
A análise dos registos de atividades da subscrição detetou um comportamento suspeito. Um principal que não utiliza regularmente o portal do Azure (Ibiza) para gerir o ambiente de subscrição (não tem utilizado portal do Azure para gerir nos últimos 45 dias ou uma subscrição que está a gerir ativamente), está agora a utilizar o portal do Azure e a realizar ações que podem proteger a persistência de um atacante. Persistência Médio
Função personalizada com privilégios criada para a sua subscrição de forma suspeita (Pré-visualização)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender para Resource Manager detetou uma criação suspeita da definição de função personalizada com privilégios na sua subscrição. Esta operação pode ter sido efetuada por um utilizador legítimo na sua organização. Em alternativa, pode indicar que uma conta na sua organização foi violada e que o ator de ameaças está a tentar criar uma função privilegiada para utilizar no futuro para evitar a deteção. Escalamento de Privilégios, Evasão de Defesa Baixo
Atribuição de função suspeita do Azure detetada (Pré-visualização)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender para Resource Manager identificou uma atribuição de função do Azure suspeita/executada com o PIM (Privileged Identity Management) no seu inquilino, o que pode indicar que uma conta na sua organização foi comprometida. As operações identificadas foram concebidas para permitir que os administradores concedam aos principais acesso aos recursos do Azure. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar a atribuição de funções para aumentar as suas permissões, permitindo-lhes avançar com o ataque. Movimento Lateral, Evasão de Defesa Baixa (PIM) /Alta
Invocação suspeita de uma operação de "Acesso a Credenciais" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de acesso às credenciais. As operações identificadas foram concebidas para permitir que os administradores acedam eficientemente aos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenções maliciosas. Acesso a Credenciais Médio
Invocação suspeita de uma operação de "Recolha de Dados" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Collection)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas foram concebidas para permitir que os administradores efetuem a gestão eficiente dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para recolher dados confidenciais sobre recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenções maliciosas. Coleção Médio
Invocação suspeita de uma operação de "Evasão de Defesa" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de fugir às defesas. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente a postura de segurança dos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para evitar ser detetado enquanto compromete recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenções maliciosas. Evasão de Defesa Médio
Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Execution)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco num computador na sua subscrição, o que pode indicar uma tentativa de execução de código. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente os respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Execução Médio
Invocação suspeita de uma operação de "Impacto" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Impact)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente os respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para aceder a credenciais restritas e comprometer recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Impacto Médio
Invocação suspeita de uma operação de alto risco de "Acesso Inicial" detetada (Pré-visualização)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de acesso a recursos restritos. As operações identificadas foram concebidas para permitir que os administradores acedam eficazmente aos respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para obter acesso inicial a recursos restritos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Acesso Inicial Médio
Invocação suspeita de uma operação de alto risco "Movimento Lateral" detetada (Pré-visualização)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de efetuar movimentos laterais. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente os respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para comprometer mais recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Movimento Lateral Médio
Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Persistência)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente os respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para estabelecer persistência no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Persistência Médio
Invocação suspeita de uma operação de alto risco "Escalamento de Privilégios" detetada (Pré-visualização)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de escalar privilégios. As operações identificadas foram concebidas para permitir aos administradores gerir eficazmente os respetivos ambientes. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essas operações para escalar privilégios, comprometendo os recursos no seu ambiente. Isto pode indicar que a conta está comprometida e está a ser utilizada com intenção maliciosa. Escalamento de Privilégios Médio
Utilização do toolkit de exploração microBurst para executar um código arbitrário ou exfiltrar credenciais de conta Automatização do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Utilização do toolkit de exploração microBurst para executar um código arbitrário ou exfiltrar credenciais de conta Automatização do Azure. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. Persistência, Acesso a Credenciais Alto
Utilização de técnicas netSPI para manter a persistência no seu ambiente do Azure
(ARM_NetSPI.MaintainPersistence)
Utilização da técnica de persistência netSPI para criar um backdoor de webhook e manter a persistência no seu ambiente do Azure. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. - Alto
Utilização do toolkit de exploração do PowerZure para executar um código arbitrário ou exfiltrar credenciais de conta Automatização do Azure
(ARM_PowerZure.RunCodeOnBehalf)
O toolkit de exploração do PowerZure detetou a tentativa de executar código ou exfiltrar credenciais de conta Automatização do Azure. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. - Alto
Utilização da função do PowerZure para manter a persistência no seu ambiente do Azure
(ARM_PowerZure.MaintainPersistence)
O toolkit de exploração do PowerZure detetou a criação de um backdoor de webhook para manter a persistência no seu ambiente do Azure. Isto foi detetado ao analisar as operações de Resource Manager do Azure na sua subscrição. - Alto
Atribuição de função clássica suspeita detetada (Pré-visualização)
(ARM_AnomalousClassicRoleAssignment)
Microsoft Defender para Resource Manager identificou uma atribuição de função clássica suspeita no seu inquilino, o que pode indicar que uma conta na sua organização foi comprometida. As operações identificadas foram concebidas para fornecer retrocompatibilidade com funções clássicas que já não são utilizadas frequentemente. Embora esta atividade possa ser legítima, um ator de ameaças pode utilizar essa atribuição para conceder permissões a uma conta de utilizador mais sob o seu controlo.  Movimento Lateral, Evasão à Defesa Alto

Alertas para DNS

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Utilização anómalo do protocolo de rede
(AzureDNS_ProtocolAnomaly)
A análise das transações DNS de %{CompromisedEntity} detetou a utilização anómalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso deste protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica do atacante relacionado inclui copiar ferramentas de administração remota para um anfitrião comprometido e exfiltrar dados de utilizador a partir do mesmo. Exfiltração -
Atividade de rede anonimizada
(AzureDNS_DarkWeb)
A análise das transações DNS de %{CompromisedEntity} detetou a atividade de rede de anonimato. Essa atividade, embora possivelmente legítima, é utilizada frequentemente pelos atacantes para evitar o controlo e a impressão digital das comunicações de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Atividade de rede anonimizada com o proxy Web
(AzureDNS_DarkWebProxy)
A análise das transações DNS de %{CompromisedEntity} detetou a atividade de rede de anonimato. Essa atividade, embora possivelmente legítima, é utilizada frequentemente pelos atacantes para evitar o controlo e a impressão digital das comunicações de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Tentativa de comunicação com domínio de sumidouro suspeito
(AzureDNS_SinkholedDomain)
A análise das transações DNS de %{CompromisedEntity} detetou o pedido de domínio em sumidouro. Essa atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação da transferência ou execução de software malicioso. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de mais software malicioso ou ferramentas de administração remota. Exfiltração -
Comunicação com um possível domínio de phishing
(AzureDNS_PhishingDomain)
A análise das transações DNS de %{CompromisedEntity} detetou um pedido para um possível domínio de phishing. Esta atividade, embora possivelmente benigna, é frequentemente executada pelos atacantes para recolher credenciais para serviços remotos. É provável que a atividade de atacante relacionada típica inclua a exploração de quaisquer credenciais no serviço legítimo. Exfiltração -
Comunicação com domínios gerados por algoritmos suspeitos
(AzureDNS_DomainGenerationAlgorithm)
A análise das transações DNS de %{CompromisedEntity} detetou uma possível utilização de um algoritmo de geração de domínio. Esta atividade, embora possivelmente benigna, é frequentemente realizada pelos atacantes para evitar a monitorização e filtragem de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com o domínio suspeito foi detetada através da análise de transações DNS do recurso e da comparação com domínios maliciosos conhecidos identificados por feeds de informações sobre ameaças. A comunicação com domínios maliciosos é frequentemente efetuada por atacantes e pode implicar que o recurso está comprometido. Acesso Inicial Médio
Comunicação com nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
A análise das transações DNS de %{CompromisedEntity} detetou a utilização de um nome de domínio gerado aleatoriamente suspeito. Esta atividade, embora possivelmente benigna, é frequentemente realizada pelos atacantes para evitar a monitorização e filtragem de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Atividade de extração de moeda digital
(AzureDNS_CurrencyMining)
A análise das transações DNS de %{CompromisedEntity} detetou a atividade de extração de moeda digital. Esta atividade, embora possivelmente legítima, é executada frequentemente pelos atacantes após o comprometimento dos recursos. É provável que a atividade de atacante relacionada típica inclua a transferência e a execução de ferramentas de extração comuns. Exfiltração -
Ativação da assinatura de deteção de intrusões de rede
(AzureDNS_SuspiciousDomain)
A análise das transações DNS de %{CompromisedEntity} detetou uma assinatura de rede maliciosa conhecida. Essa atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação da transferência ou execução de software malicioso. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de mais software malicioso ou ferramentas de administração remota. Exfiltração -
Possível transferência de dados através do túnel DNS
(AzureDNS_DataInfiltration)
A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Esta atividade, embora possivelmente legítima, é executada frequentemente pelos atacantes para evitar a monitorização e filtragem de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Possível exfiltração de dados através do túnel DNS
(AzureDNS_DataExfiltration)
A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Esta atividade, embora possivelmente legítima, é executada frequentemente pelos atacantes para evitar a monitorização e filtragem de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Possível transferência de dados através do túnel DNS
(AzureDNS_DataObfuscation)
A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Esta atividade, embora possivelmente legítima, é executada frequentemente pelos atacantes para evitar a monitorização e filtragem de rede. É provável que a atividade de atacante relacionada típica inclua a transferência e execução de software malicioso ou ferramentas de administração remota. Exfiltração -

Alertas para o Armazenamento do Azure

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
PRÉ-VISUALIZAÇÃO - Acesso a partir de uma aplicação suspeita
(Storage.Blob_SuspiciousApp)
Indica que uma aplicação suspeita acedeu com êxito a um contentor de uma conta de armazenamento com autenticação.
Isto pode indicar que um atacante obteve as credenciais necessárias para aceder à conta e está a explorá-la. Isto também pode ser uma indicação de um teste de penetração realizado na sua organização.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Acesso Inicial Médio
Acesso a partir de um endereço IP suspeito
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Indica que esta conta de armazenamento foi acedida com êxito a partir de um endereço IP considerado suspeito. Este alerta é alimentado por Microsoft Threat Intelligence.
Saiba mais sobre as capacidades de inteligência sobre ameaças do Microsoft.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Acesso Inicial Médio
PRÉ-VISUALIZAÇÃO – Conteúdo de phishing alojado numa conta de armazenamento
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Um URL utilizado num ataque de phishing aponta para a sua conta de Armazenamento do Azure. Este URL fazia parte de um ataque de phishing que afetava os utilizadores do Microsoft 365.
Normalmente, os conteúdos alojados nessas páginas são concebidos para enganar os visitantes a introduzir as suas credenciais empresariais ou informações financeiras num formulário Web que parece legítimo.
Este alerta é alimentado por Microsoft Threat Intelligence.
Saiba mais sobre as capacidades de inteligência sobre ameaças do Microsoft.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure
Coleção Alto
PRÉ-VISUALIZAÇÃO - Conta de armazenamento identificada como origem para distribuição de software maligno
(Storage.Files_WidespreadeAm)
Os alertas antimalware indicam que um(s) ficheiro(s) infetado está armazenado numa partilha de ficheiros do Azure montada em várias VMs. Se os atacantes obtiverem acesso a uma VM com uma partilha de ficheiros do Azure montada, podem utilizá-la para espalhar software maligno para outras VMs que montam a mesma partilha.
Aplica-se a: Ficheiros do Azure
Movimento Lateral, Execução Alto
PRÉ-VISUALIZAÇÃO – A conta de armazenamento com dados potencialmente confidenciais foi detetada com um contentor exposto publicamente
(Storage.Blob_OpenACL)
A política de acesso de um contentor na sua conta de armazenamento foi modificada para permitir o acesso anónimo. Isto poderá originar uma falha de segurança de dados se o contentor tiver dados confidenciais. Este alerta baseia-se na análise do registo de atividades do Azure.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Escalamento de Privilégios Médio
Acesso autenticado a partir de um nó de saída do Tor
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Um ou mais contentores de armazenamento/partilhas de ficheiros na sua conta de armazenamento foram acedidos com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizador). Os atores de ameaças utilizam o Tor para dificultar o rastreio da atividade. O acesso autenticado a partir de um nó de saída do Tor é uma indicação provável de que um ator de ameaças está a tentar ocultar a sua identidade.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Acesso inicial Alto/Médio
Acesso a partir de uma localização invulgar para uma conta de armazenamento
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Indica que ocorreu uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acedeu a esta conta a partir de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um atacante obteve acesso à conta ou um utilizador legítimo ligou-se a partir de uma localização geográfica nova ou invulgar. Um exemplo deste último é a manutenção remota de uma nova aplicação ou programador.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Exploração Baixo
Acesso não autenticado invulgar a um contentor de armazenamento
(Storage.Blob_AnonymousAccessAnomaly)
Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. Normalmente, o acesso de leitura a este contentor é autenticado. Isto pode indicar que um ator de ameaças conseguiu explorar o acesso de leitura público aos contentores de armazenamento nesta(s) conta(s) de armazenamento.
Aplica-se a: Armazenamento de Blobs do Azure
Coleção Baixo
Potencial malware carregado para uma conta de armazenamento
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Indica que um blob que contém software maligno potencial foi carregado para um contentor de blobs ou uma partilha de ficheiros numa conta de armazenamento. Este alerta baseia-se na análise de reputação do hash, que utiliza o poder das informações sobre ameaças da Microsoft, e que inclui hashes para vírus, trojans, spyware e ransomware. As causas potenciais podem incluir um carregamento intencional de software maligno por um atacante ou um carregamento não intencional de um blob potencialmente malicioso por um utilizador legítimo.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure (apenas para transações através da API REST)
Saiba mais sobre a análise de reputação de hash do Azure para malware.
Saiba mais sobre as capacidades de inteligência sobre ameaças do Microsoft.
Movimento Lateral Alto
Contentores de armazenamento acessíveis publicamente detetados com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Uma deteção bem-sucedida de contentores de armazenamento abertos publicamente na sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de análise.

Normalmente, isto indica um ataque de reconhecimento, em que o ator de ameaças tenta listar blobs ao adivinhar nomes de contentores, na esperança de encontrar contentores de armazenamento abertos mal configurados com dados confidenciais.

O ator de ameaças pode utilizar o seu próprio script ou utilizar ferramentas de análise conhecidas, como a Microburst, para procurar contentores abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Ficheiros do Azure
✖ Azure Data Lake Storage Gen2
Coleção Médio
Contentores de armazenamento acessíveis publicamente analisados sem êxito
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Uma série de tentativas falhadas de procurar contentores de armazenamento abertos publicamente foram realizadas na última hora.

Normalmente, isto indica um ataque de reconhecimento, em que o ator de ameaças tenta listar blobs ao adivinhar nomes de contentores, na esperança de encontrar contentores de armazenamento abertos mal configurados com dados confidenciais.

O ator de ameaças pode utilizar o seu próprio script ou utilizar ferramentas de análise conhecidas, como a Microburst, para procurar contentores abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Ficheiros do Azure
✖ Azure Data Lake Storage Gen2
Coleção Baixo
Inspeção de acesso invulgar numa conta de armazenamento
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de uma forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante efetuou um reconhecimento para um ataque futuro.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure
Coleção Médio
Quantidade invulgar de dados extraídos de uma conta de armazenamento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Indica que foi extraída uma quantidade invulgarmente grande de dados em comparação com a atividade recente neste contentor de armazenamento. Uma causa potencial é que um atacante extraiu uma grande quantidade de dados de um contentor que contém o armazenamento de blobs.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Exfiltração Médio
A aplicação invulgar acedeu a uma conta de armazenamento
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Indica que uma aplicação invulgar acedeu a esta conta de armazenamento. Uma causa potencial é que um atacante acedeu à sua conta de armazenamento com uma nova aplicação.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure
Exploração Médio
Alteração invulgar das permissões de acesso numa conta de armazenamento
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Indica que as permissões de acesso deste contentor de armazenamento foram alteradas de uma forma invulgar. Uma causa potencial é que um atacante alterou as permissões de contentor para enfraquecer a sua postura de segurança ou para obter persistência.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Persistência Médio
Exploração de dados invulgar numa conta de armazenamento
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Indica que os blobs ou contentores numa conta de armazenamento foram enumerados de forma anormal, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante efetuou um reconhecimento para um ataque futuro.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure
Coleção Médio
Eliminação invulgar numa conta de armazenamento
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Indica que uma ou mais operações de eliminação inesperadas ocorreram numa conta de armazenamento, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante eliminou dados da sua conta de armazenamento.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Exfiltração Médio
Carregamento invulgar de .cspkg para uma conta de armazenamento
(Storage.Blob_CspkgUploadAnomaly)
Indica que um pacote de Serviços Cloud do Azure (ficheiro.cspkg) foi carregado para uma conta de armazenamento de uma forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é um atacante estar a preparar-se para implementar código malicioso da sua conta de armazenamento num serviço cloud do Azure.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Movimento Lateral, Execução Médio
Carregamento invulgar de .exe para uma conta de armazenamento
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Indica que um ficheiro .exe foi carregado para uma conta de armazenamento de uma forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante carregou um ficheiro executável malicioso para a sua conta de armazenamento ou que um utilizador legítimo carregou um ficheiro executável.
Aplica-se a: Armazenamento de Blobs do Azure, Ficheiros do Azure, Azure Data Lake Storage Gen2
Movimento Lateral, Execução Médio

Alertas para o Azure Cosmos DB

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Acesso a partir de um nó de saída do Tor
(CosmosDB_TorAnomaly)
Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anonimizador. O acesso autenticado a partir de um nó de saída do Tor é uma indicação provável de que um ator de ameaças está a tentar ocultar a sua identidade. Acesso Inicial Alto/Médio
Acesso a partir de um IP suspeito
(CosmosDB_SuspiciousIp)
Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP que foi identificado como uma ameaça pelo Microsoft Threat Intelligence. Acesso Inicial Médio
Acesso a partir de uma localização invulgar
(CosmosDB_GeoAnomaly)
Esta conta do Azure Cosmos DB foi acedida a partir de uma localização considerada desconhecida, com base no padrão de acesso habitual.

Um ator de ameaças obteve acesso à conta ou um utilizador legítimo ligou-se a partir de uma localização geográfica nova ou invulgar
Acesso Inicial Baixo
Volume invulgar de dados extraídos
(CosmosDB_DataExfiltrationAnomaly)
Foi extraído um volume de dados invulgarmente grande desta conta do Azure Cosmos DB. Isto pode indicar que um ator de ameaças exfiltrava dados. Exfiltração Médio
Extração de chaves de contas do Azure Cosmos DB através de um script potencialmente malicioso
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Um script do PowerShell foi executado na sua subscrição e efetuou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB na sua subscrição. Os atores de ameaças utilizam scripts automatizados, como o Microburst, para listar chaves e localizar contas do Azure Cosmos DB às quais podem aceder.

Esta operação pode indicar que uma identidade na sua organização foi violada e que o ator de ameaças está a tentar comprometer as contas do Azure Cosmos DB no seu ambiente por intenções maliciosas.

Em alternativa, um utilizador interno malicioso pode estar a tentar aceder a dados confidenciais e a realizar movimentos laterais.
Coleção Alto
Extração suspeita de chaves de conta do Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Uma origem suspeita extraiu chaves de acesso da conta do Azure Cosmos DB da sua subscrição. Se esta origem não for uma origem legítima, este poderá ser um problema de elevado impacto. A chave de acesso que foi extraída fornece controlo total sobre as bases de dados associadas e os dados armazenados no . Veja os detalhes de cada alerta específico para compreender por que motivo a origem foi sinalizada como suspeita. Acesso a Credenciais alta
Injeção de SQL: potencial exfiltração de dados
(CosmosDB_SqlInjection.DataExfiltration)
Foi utilizada uma instrução SQL suspeita para consultar um contentor nesta conta do Azure Cosmos DB.

A instrução injetada pode ter conseguido exfiltrar dados aos quais o ator de ameaças não está autorizado a aceder.

Devido à estrutura e às capacidades das consultas do Azure Cosmos DB, muitos ataques conhecidos de injeção de SQL em contas do Azure Cosmos DB não podem funcionar. No entanto, a variação utilizada neste ataque pode funcionar e os atores de ameaças podem exfiltrar dados.
Exfiltração Médio
Injeção de SQL: tentativa de difusão
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Foi utilizada uma instrução SQL suspeita para consultar um contentor nesta conta do Azure Cosmos DB.

Tal como outros ataques de injeção de SQL conhecidos, este ataque não conseguirá comprometer a conta do Azure Cosmos DB.

No entanto, é uma indicação de que um ator de ameaças está a tentar atacar os recursos nesta conta e que a sua aplicação pode estar comprometida.

Alguns ataques de injeção de SQL podem ser bem-sucedidos e utilizados para exfiltrar dados. Isto significa que, se o atacante continuar a executar tentativas de injeção de SQL, poderá comprometer a sua conta do Azure Cosmos DB e exfiltrar dados.

Pode evitar esta ameaça através de consultas parametrizadas.
Pré-ataque Baixo

Alertas para a camada de rede do Azure

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Comunicação de rede com uma máquina maliciosa detetada
(Network_CommunicationWithC2)
A análise de tráfego de rede indica que o computador (IP %{IP da Vítima}) comunicou com o que é possivelmente um Centro de Comandos e Controlo. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, a atividade suspeita pode indicar que um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou gateway de aplicação) comunicaram com o que é possivelmente um Centro de Comandos e Controlo. Comando e Controlo Médio
Possível computador comprometido detetado
(Network_ResourceIpIndicatedAsMalicious)
As informações sobre ameaças indicam que o computador (no IP %{Machine IP}) pode ter sido comprometido por um software maligno do tipo Conficker. O Conficker era um worm de computador que tinha como alvo a Microsoft sistema operativo Windows e foi detetado pela primeira vez em Novembro de 2008. Conficker infectou milhões de computadores, incluindo computadores governamentais, empresariais e domésticos em mais de 200 países/regiões, tornando-se a maior infecção conhecida do worm informático desde o worm Welchia de 2003. Comando e Controlo Médio
Possíveis tentativas de força bruta de entrada %{Service Name} detetadas
(Generic_Incoming_BF_OneToOne)
A análise de tráfego de rede detetou a comunicação de entrada %{Nome do Serviço} para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido} de %{IP do Atacante}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram atividade suspeita entre %{Hora de Início} e %{Hora de Fim} na porta %{Porta da Vítima}. Esta atividade é consistente com tentativas de força bruta contra servidores %{Service Name}. Pré-ataque Médio
Possíveis tentativas de força bruta do SQL de entrada detetadas
(SQL_Incoming_BF_OneToOne)
A análise de tráfego de rede detetou a comunicação SQL recebida para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido}, a partir de %{IP do Atacante}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram atividade suspeita entre %{Hora de Início} e %{Hora de Fim} na porta %{Número de Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL. Pré-ataque Médio
Possível ataque denial-of-service de saída detetado
(DDOS)
A análise de tráfego de rede detetou uma atividade de saída anómalo proveniente de %{Anfitrião Comprometido}, um recurso na sua implementação. Esta atividade pode indicar que o recurso foi comprometido e está agora envolvido em ataques denial-of-service contra pontos finais externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, a atividade suspeita pode indicar que um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação) foram comprometidos. Com base no volume de ligações, acreditamos que os seguintes IPs são possivelmente alvos do ataque dos DOS: %{Possíveis Vítimas}. Tenha em atenção que é possível que a comunicação com alguns destes IPs seja legítima. Impacto Médio
Atividade de rede RDP de entrada suspeita de várias origens
(RDP_Incoming_BF_ManyToOne)
A análise de tráfego de rede detetou uma comunicação anómalo de entrada do Protocolo RDP (Remote Desktop Protocol) para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido}, a partir de várias origens. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram %{Number of Attacking IPs} iPs exclusivos que se ligam ao recurso, o que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa de forçar brutamente o ponto final RDP de vários anfitriões (Botnet) Pré-ataque Médio
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
A análise de tráfego de rede detetou uma comunicação anómalo de entrada do Protocolo RDP (Remote Desktop Protocol) para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido}, a partir de %{IP do Atacante}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram %{Número de Ligações} ligações recebidas ao recurso, o que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa de forçar brutamente o ponto final rdp Pré-ataque Médio
Atividade de rede SSH de entrada suspeita de várias origens
(SSH_Incoming_BF_ManyToOne)
A análise de tráfego de rede detetou comunicações SSH de entrada anómalos para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido}, a partir de várias origens. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram %{Number of Attacking IPs} iPs exclusivos que se ligam ao recurso, o que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa de forçar brutamente o ponto final SSH de vários anfitriões (Botnet) Pré-ataque Médio
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
A análise de tráfego de rede detetou comunicações SSH de entrada anómalos para %{IP da Vítima}, associada ao recurso %{Anfitrião Comprometido}, de %{IP do Atacante}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi reencaminhado para um ou mais dos recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram %{Número de Ligações} ligações recebidas ao recurso, o que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa de forçar brutamente o ponto final SSH Pré-ataque Médio
Tráfego de saída suspeito %{Attacked Protocol} detetado
(PortScanning)
A análise de tráfego de rede detetou tráfego de saída suspeito de %{Anfitrião Comprometido} para a porta de destino %{Porta Mais Comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de saída suspeito teve origem num ou mais recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Este comportamento pode indicar que o recurso está a participar em tentativas de força bruta %{Attacked Protocol} ou ataques de varrimento de portas. Deteção Médio
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
A análise de tráfego de rede detetou comunicação RDP (Remote Desktop Protocol) de saída anómalo para vários destinos provenientes de %{Anfitrião Comprometido} (%{IP do Atacante}), um recurso na sua implementação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de saída suspeito teve origem num ou mais recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram o computador a ligar-se a IPs exclusivos %{Number of Attacked IPs}, que é considerado anormal para este ambiente. Esta atividade pode indicar que o recurso foi comprometido e é agora utilizado para forçar pontos finais rdp externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Deteção Alto
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
A análise de tráfego de rede detetou comunicação rdp (Remote Desktop Protocol) de envio anómalo para %{IP da Vítima com origem em %{Anfitrião Comprometido} (%{IP do Atacante}), um recurso na sua implementação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de saída suspeito teve origem num ou mais recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram as ligações de saída %{Number of Connections} do recurso, que é considerada anormal para este ambiente. Esta atividade pode indicar que a máquina foi comprometida e que, agora, está a ser utilizada força bruta externa nos pontos finais RDP. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Movimento Lateral Alto
Atividade de rede SSH de saída suspeita para vários destinos
(SSH_Outgoing_BF_OneToMany)
A análise de tráfego de rede detetou comunicação SSH de saída anómalo para vários destinos provenientes de %{Anfitrião Comprometido} (%{IP do Atacante}), um recurso na sua implementação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de saída suspeito teve origem num ou mais recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram o recurso a ligar-se a IPs exclusivos %{Number of Attacked IPs}, que é considerado anormal para este ambiente. Esta atividade pode indicar que o recurso foi comprometido e é agora utilizado para forçar pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Deteção Médio
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
A análise de tráfego de rede detetou comunicações SSH de saída anómalos para %{IP da Vítima com origem em %{Anfitrião Comprometido} (%{IP do Atacante}), um recurso na sua implementação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicação, o tráfego de saída suspeito teve origem num ou mais recursos no conjunto de back-end (do balanceador de carga ou do gateway de aplicação). Especificamente, os dados de rede de exemplo mostram as ligações de saída %{Number of Connections} do recurso, que é considerada anormal para este ambiente. Esta atividade pode indicar que o recurso foi comprometido e é agora utilizado para forçar pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Movimento Lateral Médio
Tráfego detetado a partir de endereços IP recomendados para bloqueio Microsoft Defender para a Cloud detetou tráfego de entrada a partir de endereços IP que são recomendados para serem bloqueados. Normalmente, isto ocorre quando este endereço IP não comunica regularmente com este recurso. Em alternativa, o endereço IP foi sinalizado como malicioso pelas origens de informações sobre ameaças do Defender para a Cloud. Pesquisa Baixo

Alertas para o Azure Key Vault

Mais detalhes e notas

Alerta (tipo de alerta) Description Táticas MITRE
(Saiba mais)
Gravidade
Acesso a partir de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Um cofre de chaves foi acedido com êxito por um IP que foi identificado pelo Microsoft Threat Intelligence como um endereço IP suspeito. Isto pode indicar que a sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. Saiba mais sobre as capacidades de inteligência sobre ameaças do Microsoft. Acesso a Credenciais Médio
Acesso a partir de um nó de saída do TOR para um cofre de chaves
(KV_TORAccess)
Foi acedido um cofre de chaves a partir de um nó de saída do TOR conhecido. Isto pode ser uma indicação de que um ator de ameaças acedeu ao cofre de chaves e está a utilizar a rede TOR para ocultar a localização de origem. Recomendamos mais investigações. Acesso a Credenciais Médio
Elevado volume de operações num cofre de chaves
(KV_OperationVolumeAnomaly)
Um número anómalo de operações do cofre de chaves foi realizado por um utilizador, principal de serviço e/ou um cofre de chaves específico. Este padrão de atividade anómalo pode ser legítimo, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves e aos segredos contidos no mesmo. Recomendamos mais investigações. Acesso a Credenciais Médio
Alteração de política suspeita e consulta secreta num cofre de chaves
(KV_PutGetAnomaly)
Um utilizador ou principal de serviço efetuou uma operação anómalo de alteração de políticas do Vault Put, seguida de uma ou mais operações de Obtenção de Segredos. Normalmente, este padrão não é executado pelo utilizador ou principal de serviço especificado. Esta pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças atualizou a política do cofre de chaves para aceder a segredos anteriormente inacessíveis. Recomendamos mais investigações. Acesso a Credenciais Médio
Listagem e consulta de segredos suspeitos num cofre de chaves
(KV_ListGetAnomaly)
Um utilizador ou principal de serviço efetuou uma operação anómalo da Lista de Segredos seguida de uma ou mais operações de Obtenção de Segredos. Normalmente, este padrão não é executado pelo utilizador ou principal de serviço especificado e está normalmente associado à captura de segredos. Esta pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves e está a tentar descobrir segredos que podem ser utilizados para se mover lateralmente através da sua rede e/ou obter acesso a recursos confidenciais. Recomendamos mais investigações. Acesso a Credenciais Médio
Acesso incomum negado – Utilizador que acede a um grande volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Um utilizador ou principal de serviço tentou aceder a um volume anómalo de cofres de chaves nas últimas 24 horas. Este padrão de acesso anómalo pode ser uma atividade legítima. Embora esta tentativa não tenha sido bem sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos no mesmo. Recomendamos mais investigações. Deteção Baixo
Acesso invulgar negado – Utilizador invulgar a aceder ao cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Um acesso ao cofre de chaves foi tentado por um utilizador que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima. Embora esta tentativa não tenha sido bem sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos no mesmo. Acesso Inicial, Deteção Baixo
A aplicação invulgar acedeu a um cofre de chaves
(KV_AppAnomaly)
Um cofre de chaves foi acedido por um principal de serviço que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves numa tentativa de aceder aos segredos contidos no mesmo. Recomendamos mais investigações. Acesso a Credenciais Médio
Padrão de operação invulgar num cofre de chaves
(KV_OperationPatternAnomaly)
Um padrão anómalo das operações do cofre de chaves foi executado por um utilizador, principal de serviço e/ou um cofre de chaves específico. Este padrão de atividade anómalo pode ser legítimo, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves e aos segredos contidos no mesmo. Recomendamos mais investigações. Acesso a Credenciais Médio
Utilizador invulgar acedeu a um cofre de chaves
(KV_UserAnomaly)
Um cofre de chaves foi acedido por um utilizador que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves numa tentativa de aceder aos segredos nele contidos. Recomendamos mais investigações. Acesso a Credenciais Médio
Um par de aplicações de utilizador invulgar acedeu a um cofre de chaves
(KV_UserAppAnomaly)
Um cofre de chaves foi acedido por um par de principais de serviço de utilizador que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças obteve acesso ao cofre de chaves numa tentativa de aceder aos segredos nele contidos. Recomendamos mais investigações. Acesso a Credenciais Médio
O utilizador acedeu a um elevado volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Um utilizador ou principal de serviço acedeu a um volume anómalo elevado de cofres de chaves. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator de ameaças obteve acesso a vários cofres de chaves numa tentativa de aceder aos segredos contidos nos mesmos. Recomendamos mais investigações. Acesso a Credenciais Médio

Alertas para o Azure DDoS Protection

Mais detalhes e notas

Alerta Description Táticas MITRE
(Saiba mais)
Gravidade
Ataque DDoS detetado para IP Público Ataque DDoS detetado para IP Público (endereço IP) e a ser mitigado. Pesquisa Alto
Ataque DDoS mitigado para IP Público Ataque DDoS mitigado para IP Público (endereço IP). Pesquisa Baixo

Alertas de incidentes de segurança

Mais detalhes e notas

Alerta Description Táticas MITRE
(Saiba mais)
Gravidade
Incidente de segurança com processo partilhado detetado O incidente que começou a {Hora de Início (UTC)} e recentemente detetado em {Hora Detetada (UTC)} indica que um atacante tem {Action taken} o seu recurso {Host} - Alto
Incidente de segurança detetado em vários recursos O incidente que começou a {Hora de Início (UTC)} e recentemente detetado em {Hora Detetada (UTC)} indica que foram executados métodos de ataque semelhantes nos recursos da cloud {Host} - Médio
Incidente de segurança detetado na mesma origem O incidente que começou a {Hora de Início (UTC)} e recentemente detetado em {Hora Detetada (UTC)} indica que um atacante tem {Action taken} o seu recurso {Host} - Alto
Incidente de segurança detetado em vários computadores O incidente que começou a {Hora de Início (UTC)} e recentemente detetado em {Hora Detetada (UTC)} indica que um atacante tem {Action taken} os seus recursos {Host} - Médio

Táticas MITRE ATT&CK

Compreender a intenção de um ataque pode ajudá-lo a investigar e comunicar o evento mais facilmente. Para ajudar com estes esforços, Microsoft Defender para alertas da Cloud incluem as táticas MITRE com muitos alertas.

A série de passos que descrevem a progressão de um ciberataque do reconhecimento à exfiltração de dados é frequentemente referida como uma "cadeia de eliminação".

As intenções de cadeia de eliminação suportadas do Defender para Cloud baseiam-se na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.

Tática Versão ATT&CK Description
Pré-ataque O Pré-ataque pode ser uma tentativa de aceder a um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa falhada de obter acesso a um sistema de destino para recolher informações antes da exploração. Normalmente, este passo é detetado como uma tentativa, originária de fora da rede, para analisar o sistema de destino e identificar um ponto de entrada.
Acesso Inicial V7, V9 O Acesso Inicial é a fase em que um atacante consegue obter um ponto de apoio no recurso atacado. Esta fase é relevante para anfitriões de computação e recursos, como contas de utilizador, certificados, etc. Muitas vezes, os atores de ameaças poderão controlar o recurso após esta fase.
Persistência V7, V9 A persistência é qualquer alteração de acesso, ação ou configuração a um sistema que proporciona a um ator de ameaças uma presença persistente nesse sistema. Muitas vezes, os atores de ameaças terão de manter o acesso aos sistemas através de interrupções, tais como reinícios do sistema, perda de credenciais ou outras falhas que exigiriam que uma ferramenta de acesso remoto reiniciasse ou fornecesse uma backdoor alternativa para recuperarem o acesso.
Escalamento de Privilégios V7, V9 O escalamento de privilégios é o resultado de ações que permitem a um adversário obter um nível mais elevado de permissões num sistema ou rede. Determinadas ferramentas ou ações requerem um nível de privilégio mais elevado para funcionar e são provavelmente necessárias em muitos pontos ao longo de uma operação. As contas de utilizador com permissões para aceder a sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem o seu objetivo também podem ser consideradas um escalamento de privilégios.
Evasão de Defesa V7, V9 A evasão de defesa consiste em técnicas que um adversário pode utilizar para evitar a deteção ou evitar outras defesas. Por vezes, estas ações são as mesmas que (ou variações de) técnicas noutras categorias que têm o benefício adicional de subverter uma determinada defesa ou mitigação.
Acesso a Credenciais V7, V9 O acesso a credenciais representa técnicas que resultam no acesso ou controlo sobre credenciais de sistema, domínio ou serviço que são utilizadas num ambiente empresarial. É provável que os adversários tentem obter credenciais legítimas de utilizadores ou contas de administrador (administrador de sistema local ou utilizadores de domínio com acesso de administrador) para utilizar na rede. Com acesso suficiente numa rede, um adversário pode criar contas para utilização posterior no ambiente.
Deteção V7, V9 A deteção consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, têm de se orientar para aquilo de que têm agora controlo e quais os benefícios que o funcionamento desse sistema dá ao seu objectivo actual ou aos seus objetivos gerais durante a intrusão. O sistema operativo fornece muitas ferramentas nativas que ajudam nesta fase de recolha de informações pós-compromisso.
LateralMovement V7, V9 O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e podem, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário recolha informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode utilizar o movimento lateral para muitas finalidades, incluindo a Execução remota de ferramentas, dinamizar para mais sistemas, aceder a informações ou ficheiros específicos, aceder a mais credenciais ou causar um efeito.
Execução V7, V9 A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário num sistema local ou remoto. Esta tática é frequentemente utilizada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos numa rede.
Coleção V7, V9 A coleção consiste em técnicas utilizadas para identificar e recolher informações, como ficheiros confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange localizações num sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Comando e Controlo V7, V9 A táctica de comando e controlo representa a forma como os adversários comunicam com os sistemas sob o seu controlo dentro de uma rede de destino.
Exfiltração V7, V9 Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário a remover ficheiros e informações de uma rede de destino. Esta categoria também abrange localizações num sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Impacto V7, V9 Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo operacional ou empresarial. Isto refere-se frequentemente a técnicas como ransomware, depreciação, manipulação de dados, entre outras.

Nota

Para alertas que estão em pré-visualização: os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas para disponibilidade geral.

Passos seguintes

Para saber mais sobre Microsoft Defender para alertas de segurança na Cloud, veja o seguinte: