Alertas para o Resource Manager
Este artigo lista os alertas de segurança que você pode receber para o Gerenciador de Recursos do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Resource Manager
Nota
Os alertas com uma indicação de acesso delegado são acionados devido à atividade de provedores de serviços terceirizados. Saiba mais sobre as indicações de atividade dos prestadores de serviços.
Operação do Azure Resource Manager a partir de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de informações sobre ameaças.
Táticas MITRE: Execução
Gravidade: Média
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos em suas assinaturas
(ARM_MicroBurst.AzDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Baixa
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos em suas assinaturas
(ARM_MicroBurst.AzureDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Baixa
Kit de ferramentas de exploração MicroBurst usado para executar código em sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de código em uma VM ou em uma lista de VMs. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para executar um script em uma VM para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para executar código em sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
Descrição: O kit de ferramentas de exploração do MicroBurst foi usado para executar código em suas máquinas virtuais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair chaves de seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves de um Cofre de Chaves do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair chaves para suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves para a(s) Conta(s) de Armazenamento. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais na(s) sua(s) conta(s) de armazenamento. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair segredos de seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de segredos de um Cofre de Chaves do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar segredos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure AD para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do AzureAD para o Azure. Isso foi detetado analisando as operações do Azure Resource Manager em seu locatário.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima em sua organização. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas
(ARM_PowerZure.ShowStorageContent)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para executar um Runbook em sua assinatura
(ARM_PowerZure.StartRunbook)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para executar um Runbook. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para extrair o conteúdo do Runbook. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
PREVIEW - Azurite toolkit run detected
(ARM_Azurite)
Descrição: Um kit de ferramentas de reconhecimento de ambiente de nuvem conhecido foi executado em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos de suas assinaturas e identificar configurações inseguras.
Táticas MITRE: Coleção
Gravidade: Alta
PREVIEW - Criação suspeita de recursos computacionais detetada
(ARM_SuspiciousComputeCreation)
Descrição: O Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação na sua subscrição utilizando Máquinas Virtuais/Azure Scale set. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que o principal está comprometido e está sendo usado com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
PREVIEW - Recuperação suspeita do cofre de chaves detetada
(Arm_Suspicious_Vault_Recovering)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de recuperação suspeita para um recurso de cofre de chaves excluído por software. O usuário que recupera o recurso é diferente do usuário que o excluiu. Isso é altamente suspeito porque o usuário raramente invoca tal operação. Além disso, o usuário fez logon sem autenticação multifator (MFA). Isso pode indicar que o usuário está comprometido e está tentando descobrir segredos e chaves para obter acesso a recursos confidenciais ou para executar movimentos laterais em sua rede.
Táticas MITRE: Movimento lateral
Gravidade: Média/alta
PREVIEW - Sessão de gerenciamento suspeita usando uma conta inativa detetada
(ARM_UnusedAccountPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Um principal que não está em uso por um longo período de tempo agora está executando ações que podem garantir a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.CredentialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a credenciais. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
PREVIEW - Deteção de invocação suspeita de uma operação de "Recolha de Dados" de alto risco por uma entidade de serviço
(ARM_AnomalousServiceOperation.Coleção)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Coleção
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de "evasão de defesa" de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Evasão de Defesa)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Execução' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Execução)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Execução de Defesa
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Impacto)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Acesso Inicial' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.InitialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso inicial
Gravidade: Média
PREVIEW - Deteção de invocação suspeita de uma operação de "Acesso Lateral ao Movimento" de alto risco por uma entidade de serviço
(ARM_AnomalousServiceOperation.Movimento Lateral)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Movimento lateral
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'persistência' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Persistência)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Escalonamento de privilégios' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
PREVIEW - Sessão de gerenciamento suspeita usando uma conta inativa detetada
(ARM_UnusedAccountPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Um principal que não está em uso por um longo período de tempo agora está executando ações que podem garantir a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Sessão de gerenciamento suspeita usando o PowerShell detetada
(ARM_UnusedAppPowershellPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW â€" Sessão de gerenciamento suspeita usando o portal do Azure detetada
(ARM_UnusedAppIbizaPersistence)
Descrição: a análise dos registos de atividade da subscrição detetou um comportamento suspeito. Uma entidade que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente) agora está usando o portal do Azure e executando ações que podem proteger a persistência para um invasor.
Táticas MITRE: Persistência
Gravidade: Média
Função personalizada privilegiada criada para a sua subscrição de forma suspeita (Pré-visualização)
(ARM_PrivilegedRoleDefinitionCreation)
Descrição: O Microsoft Defender for Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando criar uma função privilegiada para usar no futuro para evitar a deteção.
Táticas MITRE: Escalada de Privilégios, Evasão de Defesa
Gravidade: Informativo
Atribuição de função suspeita do Azure detetada (Pré-visualização)
(ARM_AnomalousRBACRoleAssignment)
Descrição: O Microsoft Defender for Resource Manager identificou uma atribuição de função suspeita do Azure / executada usando PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas são projetadas para permitir que os administradores concedam aos principais acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar a atribuição de funções para aumentar suas permissões, permitindo que eles avancem seu ataque.
Táticas MITRE: Movimento Lateral, Evasão de Defesa
Gravidade: Baixa (PIM) / Alta
Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco detetada (visualização)
(ARM_AnomalousOperation.CredentialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a credenciais. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Detetada invocação suspeita de uma operação de «Recolha de Dados» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Coleção)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Coleção
Gravidade: Média
Detetada invocação suspeita de uma operação de "evasão de defesa" de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Evasão de Defesa)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Execução)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Execução
Gravidade: Média
Detetada invocação suspeita de uma operação «Impacto» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Impacto)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
Invocação suspeita de uma operação de "Acesso Inicial" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.InitialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Detetada invocação suspeita de uma operação de «Movimento Lateral» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Movimento Lateral)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação de elevação de acesso suspeita (Pré-visualização)(ARM_AnomalousElevateAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma operação suspeita "Elevate Access". A atividade é considerada suspeita, uma vez que este mandante raramente invoca tais operações. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar uma operação "Elevar acesso" para executar o escalonamento de privilégios para um usuário comprometido.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Persistência)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Persistência
Gravidade: Média
Invocação suspeita de uma operação de "Escalonamento de privilégios" de alto risco detetada (visualização)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Uso do kit de ferramentas de exploração MicroBurst para executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para executar código arbitrário para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Persistência, Acesso a Credenciais
Gravidade: Alta
Uso de técnicas NetSPI para manter a persistência em seu ambiente do Azure
(ARM_NetSPI.ManterPersistência)
Descrição: Uso da técnica de persistência NetSPI para criar um backdoor webhook e manter a persistência em seu ambiente do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure
(ARM_PowerZure.RunCodeOnBehalf)
Descrição: O kit de ferramentas de exploração do PowerZure foi detetado tentando executar código ou exfiltrar credenciais de conta da Automação do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Uso da função PowerZure para manter a persistência em seu ambiente do Azure
(ARM_PowerZure.ManterPersistência)
Descrição: O kit de ferramentas de exploração do PowerZure detetou a criação de um backdoor de webhook para manter a persistência em seu ambiente do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Atribuição de função clássica suspeita detetada (Pré-visualização)
(ARM_AnomalousClassicRoleAssignment)
Descrição: O Microsoft Defender for Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas são projetadas para fornecer compatibilidade com versões anteriores com funções clássicas que não são mais comumente usadas. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essa atribuição para conceder permissões a outra conta de usuário sob seu controle.
Táticas MITRE: Movimento Lateral, Evasão de Defesa
Gravidade: Alta
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários