Alertas de segurança preteridos

Este artigo lista alertas de segurança preteridos no Microsoft Defender for Cloud.

Alertas do Defender for Containers preterido

As listas a seguir incluem os alertas de segurança do Defender for Containers que foram preteridos.

Manipulação do firewall do host detetada

(K8S. NODE_FirewallDisabled)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma possível manipulação do firewall no host. Os atacantes geralmente desativam isso para exfiltrar dados.

Táticas MITRE: DefesaEvasão, Exfiltração

Gravidade: Média

Uso suspeito de DNS sobre HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou o uso de uma chamada DNS sobre HTTPS de forma incomum. Esta técnica é usada por atacantes para ocultar chamadas para sites suspeitos ou maliciosos.

Táticas MITRE: DefesaEvasão, Exfiltração

Gravidade: Média

Foi detetada uma possível ligação a uma localização maliciosa

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detetou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Este é um indicador de que pode ter ocorrido um compromisso.

Táticas MITRE: InitialAccess

Gravidade: Média

Atividade de mineração de moeda digital

(K8S. NODE_CurrencyMining)

Descrição: A análise das transações DNS detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.

Táticas MITRE: Exfiltração

Gravidade: Baixa

Alertas do Defender for Servers Linux preteridos

VM_AbnormalDaemonTermination

Nome de exibição do alerta: terminação anormal

Gravidade: Baixa

VM_BinaryGeneratedFromCommandLine

Nome de exibição do alerta: binário suspeito detetado

Gravidade: Média

VM_CommandlineSuspectDomain Suspeito

Nome de exibição do alerta: referência de nome de domínio

Gravidade: Baixa

VM_CommonBot

Nome de exibição do alerta: comportamento semelhante aos bots comuns do Linux detetados

Gravidade: Média

VM_CompCommonBots

Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detetados

Gravidade: Média

VM_CompSuspiciousScript

Nome de exibição do alerta: Shell Script detetado

Gravidade: Média

VM_CompTestRule

Nome de exibição do alerta: Alerta de teste analítico composto

Gravidade: Baixa

VM_CronJobAccess

Nome de exibição do alerta: manipulação de tarefas agendadas detetada

Gravidade: Informativo

VM_CryptoCoinMinerArtifacts

Nome de exibição do alerta: Processo associado à mineração de moeda digital detetado

Gravidade: Média

VM_CryptoCoinMinerDownload

Nome de exibição do alerta: Possível download do Cryptocoinminer detetado

Gravidade: Média

VM_CryptoCoinMinerExecution

Nome de exibição do alerta: Potencial minerador de moedas criptográficas iniciado

Gravidade: Média

VM_DataEgressArtifacts

Nome de exibição do alerta: Possível exfiltração de dados detetada

Gravidade: Média

VM_DigitalCurrencyMining

Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado

Gravidade: Alta

VM_DownloadAndRunCombo

Nome de exibição do alerta: Download suspeito e executar atividade

Gravidade: Média

VM_EICAR

Nome de exibição do alerta: alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)

Gravidade: Alta

VM_ExecuteHiddenFile

Nome de exibição do alerta: Execução de arquivo oculto

Gravidade: Informativo

VM_ExploitAttempt

Nome de exibição do alerta: Possível tentativa de exploração da linha de comando

Gravidade: Média

VM_ExposedDocker

Nome de exibição do alerta: daemon do Docker exposto no soquete TCP

Gravidade: Média

VM_FairwareMalware

Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detetado

Gravidade: Média

VM_FirewallDisabled

Nome de exibição do alerta: Manipulação do firewall do host detetada

Gravidade: Média

VM_HadoopYarnExploit

Nome de exibição do alerta: possível exploração do Hadoop Yarn

Gravidade: Média

VM_HistoryFileCleared

Nome para exibição do alerta: um arquivo de histórico foi limpo

Gravidade: Média

VM_KnownLinuxAttackTool

Nome de exibição do alerta: Possível ferramenta de ataque detetada

Gravidade: Média

VM_KnownLinuxCredentialAccessTool

Nome para exibição do alerta: Possível ferramenta de acesso a credenciais detetada

Gravidade: Média

VM_KnownLinuxDDoSToolkit

Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detetados

Gravidade: Média

VM_KnownLinuxScreenshotTool

Nome de exibição do alerta: captura de tela tirada no host

Gravidade: Baixa

VM_LinuxBackdoorArtifact

Nome de exibição do alerta: Possível backdoor detetado

Gravidade: Média

VM_LinuxReconnaissance

Nome de exibição do alerta: reconhecimento do host local detetado

Gravidade: Média

VM_MismatchedScriptFeatures

Nome de exibição do alerta: incompatibilidade de extensão de script detetada

Gravidade: Média

VM_MitreCalderaTools

Nome de exibição do alerta: Agente MITRE Caldera detetado

Gravidade: Média

VM_NewSingleUserModeStartupScript

Nome de exibição do alerta: tentativa de persistência detetada

Gravidade: Média

VM_NewSudoerAccount

Nome de exibição do alerta: Conta adicionada ao grupo sudo

Gravidade: Baixa

VM_OverridingCommonFiles

Nome de exibição do alerta: Substituição potencial de arquivos comuns

Gravidade: Média

VM_PrivilegedContainerArtifacts

Nome de exibição do alerta: contêiner em execução no modo privilegiado

Gravidade: Baixa

VM_PrivilegedExecutionInContainer

Nome de exibição do alerta: comando dentro de um contêiner em execução com altos privilégios

Gravidade: Baixa

VM_ReadingHistoryFile

Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash

Gravidade: Informativo

VM_ReverseShell

Nome de exibição do alerta: Potencial shell reverso detetado

Gravidade: Média

VM_SshKeyAccess

Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de uma maneira incomum

Gravidade: Baixa

VM_SshKeyAddition

Nome de exibição do alerta: Nova chave SSH adicionada

Gravidade: Baixa

VM_SuspectCompilation

Nome de exibição do alerta: compilação suspeita detetada

Gravidade: Média

VM_SuspectConnection

Nome de exibição do alerta: uma tentativa de conexão incomum detetada

Gravidade: Média

VM_SuspectDownload

Nome de exibição do alerta: download de arquivo detetado de uma fonte maliciosa conhecida

Gravidade: Média

VM_SuspectDownloadArtifacts

Nome de exibição do alerta: Detetado o download de arquivos suspeitos

Gravidade: Baixa

VM_SuspectExecutablePath

Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito

Gravidade: Média

VM_SuspectHtaccessFileAccess

Nome de exibição do alerta: Acesso do arquivo htaccess detetado

Gravidade: Média

VM_SuspectInitialShellCommand

Nome de exibição do alerta: primeiro comando suspeito no shell

Gravidade: Baixa

VM_SuspectMixedCaseText

Nome de exibição do alerta: Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando

Gravidade: Média

VM_SuspectNetworkConnection

Nome de exibição do alerta: conexão de rede suspeita

Gravidade: Informativo

VM_SuspectNohup

Nome de exibição do alerta: Detetado o uso suspeito do comando nohup

Gravidade: Média

VM_SuspectPasswordChange

Nome de exibição do alerta: Possível alteração de senha usando o método crypt detetado

Gravidade: Média

VM_SuspectPasswordFileAccess

Nome de exibição do alerta: acesso suspeito à senha

Gravidade: Informativo

VM_SuspectPhp

Nome de exibição do alerta: execução suspeita do PHP detetada

Gravidade: Média

VM_SuspectPortForwarding

Nome de exibição do alerta: Potencial encaminhamento de porta para endereço IP externo

Gravidade: Média

VM_SuspectProcessAccountPrivilegeCombo

Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se root inesperadamente

Gravidade: Média

VM_SuspectProcessTermination

Nome de exibição do alerta: Encerramento do processo relacionado à segurança detetado

Gravidade: Baixa

VM_SuspectUserAddition

Nome de exibição do alerta: Detetado o uso suspeito do comando useradd

Gravidade: Média

VM_SuspiciousCommandLineExecution

Nome de exibição do alerta: execução de comando suspeito

Gravidade: Alta

VM_SuspiciousDNSOverHttps

Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS

Gravidade: Média

VM_SystemLogRemoval

Nome de exibição do alerta: possível atividade de violação de log detetada

Gravidade: Média

VM_ThreatIntelCommandLineSuspectDomain

Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada

Gravidade: Média

VM_ThreatIntelSuspectLogon

Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado

Gravidade: Alta

VM_TimerServiceDisabled

Nome de exibição do alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detetado

Gravidade: Informativo

VM_TimestampTampering

Nome de exibição do alerta: modificação suspeita do carimbo de data/hora do arquivo

Gravidade: Baixa

VM_Webshell

Nome de exibição do alerta: Possível shell da Web mal-intencionado detetado

Gravidade: Média

Alertas do Windows do Defender for Servers preterido

SCUBA_MULTIPLEACCOUNTCREATE

Nome de exibição de alerta: criação suspeita de contas em vários hosts

Gravidade: Média

SCUBA_PSINSIGHT_CONTEXT

Nome de exibição do alerta: uso suspeito do PowerShell detetado

Gravidade: Informativo

SCUBA_RULE_AddGuestToAdministrators

Nome de Exibição do Alerta: Adição da conta de convidado ao grupo Administradores Locais

Gravidade: Média

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands

Gravidade: Média

SCUBA_RULE_KnownBruteForcingTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownCollectionTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownDefenseEvasionTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownExecutionTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownPassTheHashTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_KnownSpammingTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Média

SCUBA_RULE_Lowering_Security_Settings

Nome de exibição do alerta: detetada a desativação de serviços críticos

Gravidade: Média

SCUBA_RULE_OtherKnownHackerTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

SCUBA_RULE_RDP_session_hijacking_via_tscon

Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP

Gravidade: Média

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Nome de exibição do alerta: instalação de serviço suspeito

Gravidade: Média

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Nome de exibição do alerta: Supressão detetada do aviso legal exibido aos usuários no logon

Gravidade: Baixa

SCUBA_RULE_WDigest_Enabling

Nome de Exibição do Alerta: Detetada a ativação da chave do Registro WDigest UseLogonCredential

Gravidade: Média

VM.Windows_ApplockerBypass

Nome de exibição do alerta: Tentativa potencial de ignorar o AppLocker detetada

Gravidade: Alta

VM.Windows_BariumKnownSuspiciousProcessExecution

Nome de exibição do alerta: criação de arquivos suspeitos detetados

Gravidade: Alta

VM.Windows_Base64EncodedExecutableInCommandLineParams

Nome de exibição do alerta: executável codificado detetado nos dados da linha de comando

Gravidade: Alta

VM.Windows_CalcsCommandLineUse

Nome de exibição do alerta: Detetado o uso suspeito de Cacls para reduzir o estado de segurança do sistema

Gravidade: Média

VM.Windows_CommandLineStartingAllExe

Nome de exibição do alerta: linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório

Gravidade: Média

VM.Windows_DisablingAndDeletingIISLogFiles

Nome de exibição do alerta: ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS

Gravidade: Média

VM.Windows_DownloadUsingCertutil

Nome de exibição do alerta: Download suspeito usando Certutil detetado

Gravidade: Média

VM.Windows_EchoOverPipeOnLocalhost

Nome de exibição do alerta: Comunicações suspeitas de pipe nomeado detetadas

Gravidade: Alta

VM.Windows_EchoToConstructPowerShellScript

Nome para exibição do alerta: construção de script do PowerShell dinâmico

Gravidade: Média

VM.Windows_ExecutableDecodedUsingCertutil

Nome de exibição do alerta: decodificação detetada de um executável usando a ferramenta certutil.exe integrada

Gravidade: Média

VM.Windows_FileDeletionIsSospisiousLocation

Nome de exibição do alerta: exclusão de arquivo suspeito detetada

Gravidade: Média

VM.Windows_KerberosGoldenTicketAttack

Nome de exibição do alerta: parâmetros suspeitos de ataque Kerberos Golden Ticket observados

Gravidade: Média

VM.Windows_KeygenToolKnownProcessName

Nome de exibição do alerta: Detetada possível execução do executável keygen Processo suspeito executado

Gravidade: Média

VM.Windows_KnownCredentialAccessTools

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

VM.Windows_KnownSuspiciousPowerShellScript

Nome de exibição do alerta: uso suspeito do PowerShell detetado

Gravidade: Alta

VM.Windows_KnownSuspiciousSoftwareInstallation

Nome de exibição do alerta: software de alto risco detetado

Gravidade: Média

VM.Windows_MsHtaAndPowerShellCombination

Nome de exibição do alerta: Detetada combinação suspeita de HTA e PowerShell

Gravidade: Média

VM.Windows_MultipleAccountsQuery

Nome de exibição do alerta: várias contas de domínio consultadas

Gravidade: Média

VM.Windows_NewAccountCreation

Nome de exibição do alerta: criação de conta detetada

Gravidade: Informativo

VM.Windows_ObfuscatedCommandLine

Nome de exibição do alerta: linha de comando ofuscada detetada.

Gravidade: Alta

VM.Windows_PcaluaUseToLaunchExecutable

Nome de exibição do alerta: Detetado o uso suspeito de Pcalua.exe para iniciar o código executável

Gravidade: Média

VM.Windows_PetyaRansomware

Nome de exibição do alerta: Indicadores do ransomware Petya detetados

Gravidade: Alta

VM.Windows_PowerShellPowerSploitScriptExecution

Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados

Gravidade: Média

VM.Windows_RansomwareIndication

Nome de exibição do alerta: Indicadores de ransomware detetados

Gravidade: Alta

VM.Windows_SqlDumperUsedSuspiciously

Nome de exibição do alerta: Possível dumping de credenciais detetado [visto várias vezes]

Gravidade: Média

VM.Windows_StopCriticalServices

Nome de exibição do alerta: detetada a desativação de serviços críticos

Gravidade: Média

VM.Windows_SubvertingAccessibilityBinary

Nome de exibição do alerta: Ataque de chaves adesivas detetado Criação de conta suspeita detetada Médio

VM.Windows_SuspiciousAccountCreation

Nome de exibição do alerta: criação de conta suspeita detetada

Gravidade: Média

VM.Windows_SuspiciousFirewallRuleAdded

Nome de exibição do alerta: nova regra de firewall suspeita detetada

Gravidade: Média

VM.Windows_SuspiciousFTPSSwitchUsage

Nome de exibição do alerta: Detetado o uso suspeito do switch FTP -s

Gravidade: Média

VM.Windows_SuspiciousSQLActivity

Nome de exibição do alerta: atividade SQL suspeita

Gravidade: Média

VM.Windows_SVCHostFromInvalidPath

Nome de exibição do alerta: Processo suspeito executado

Gravidade: Alta

VM.Windows_SystemEventLogCleared

Nome para Exibição do Alerta: O log de Segurança do Windows foi limpo

Gravidade: Informativo

VM.Windows_TelegramInstallation

Nome de exibição de alerta: Detetado uso potencialmente suspeito da ferramenta Telegram

Gravidade: Média

VM.Windows_UndercoverProcess

Nome de exibição do alerta: processo com nome suspeito detetado

Gravidade: Alta

VM.Windows_UserAccountControlBypass

Nome de Exibição do Alerta: Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC

Gravidade: Média

VM.Windows_VBScriptEncoding

Nome de exibição do alerta: Execução suspeita detetada do comando VBScript.Encode

Gravidade: Média

VM.Windows_WindowPositionRegisteryChange

Nome de exibição do alerta: valor do Registro WindowPosition suspeito detetado

Gravidade: Baixa

VM.Windows_ZincPortOpenningUsingFirewallRule

Nome de exibição do alerta: Regra de firewall maliciosa criada pelo implante do servidor ZINC

Gravidade: Alta

VM_DigitalCurrencyMining

Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado

Gravidade: Alta

VM_MaliciousSQLActivity

Nome de exibição do alerta: atividade maliciosa do SQL

Gravidade: Alta

VM_ProcessWithDoubleExtensionExecution

Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado

Gravidade: Alta

VM_RegistryPersistencyKey

Nome de exibição do alerta: método de persistência do registro do Windows detetado

Gravidade: Baixa

VM_ShadowCopyDeletion

Nome de exibição do alerta: Executável suspeito da atividade de cópia de sombra de volume encontrado em execução a partir de um local suspeito

Gravidade: Alta

VM_SuspectExecutablePath

Nome de exibição do alerta: Executável encontrado em execução a partir de um local suspeito Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando

Gravidade: Informativo

Médio

VM_SuspectPhp

Nome de exibição do alerta: execução suspeita do PHP detetada

Gravidade: Média

VM_SuspiciousCommandLineExecution

Nome de exibição do alerta: execução de comando suspeito

Gravidade: Alta

VM_SuspiciousScreenSaverExecution

Nome de exibição do alerta: processo suspeito do protetor de tela executado

Gravidade: Média

VM_SvcHostRunInRareServiceGroup

Nome de exibição do alerta: grupo de serviço SVCHOST raro executado

Gravidade: Informativo

VM_SystemProcessInAbnormalContext

Nome de exibição do alerta: Processo suspeito do sistema executado

Gravidade: Média

VM_ThreatIntelCommandLineSuspectDomain

Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada

Gravidade: Média

VM_ThreatIntelSuspectLogon

Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado

Gravidade: Alta

VM_VbScriptHttpObjectAllocation

Nome de exibição do alerta: alocação de objeto HTTP VBScript detetada

Gravidade: Alta

VM_TaskkillBurst

Nome de exibição do alerta: Interrupção suspeita de encerramento do processo

Gravidade: Baixa

VM_RunByPsExec

Nome de exibição do alerta: execução PsExec detetada

Gravidade: Informativo

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos

• Alertas de segurança no Microsoft Defender for Cloud
• Gerir e responder a alertas de segurança no Microsoft Defender para a Cloud
• Exporte continuamente dados do Defender for Cloud