Alertas de segurança – um guia de referência
Este artigo lista os alertas de segurança que você pode receber do Microsoft Defender for Cloud e de qualquer plano do Microsoft Defender habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Na parte inferior desta página, há uma tabela descrevendo a cadeia de kill do Microsoft Defender for Cloud alinhada com a versão 9 da matriz MITRE ATT&CK.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas para máquinas Windows
O Microsoft Defender for Servers Plan 2 fornece deteções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender for Endpoint. Os alertas fornecidos para máquinas Windows são:
Foi detetado um logon de um IP mal-intencionado. [visto várias vezes]
Descrição: Ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Um ataque bem-sucedido provavelmente ocorreu. Os arquivos com as extensões .scr são arquivos de proteção de tela e normalmente residem e são executados a partir do diretório do sistema Windows.
Gravidade: Alta
A violação da política de controle de aplicativos adaptáveis foi auditada
VM_AdaptiveApplicationControlWindowsViolationAudited
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos.
Táticas MITRE: Execução
Gravidade: Informativo
Adição da conta de convidado ao grupo Administradores locais
Descrição: A análise dos dados do host detetou a adição da conta interna de convidado ao grupo Administradores locais em %{Host comprometido}, que está fortemente associada à atividade do invasor.
Gravidade: Média
Um log de eventos foi limpo
Descrição: Os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome de usuário}' em Máquina: '%{CompromisedEntity}'. O log %{log channel} foi limpo.
Gravidade: Informativo
Falha na ação antimalware
Descrição: O Microsoft Antimalware encontrou um erro ao executar uma ação sobre malware ou outro software potencialmente indesejado.
Gravidade: Média
Ação antimalware tomada
Descrição: O Microsoft Antimalware para Azure tomou uma ação para proteger esta máquina contra malware ou outro software potencialmente indesejado.
Gravidade: Média
Exclusão de arquivos amplos antimalware em sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: A exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tal exclusão praticamente desativando a proteção Antimalware. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Média
Antimalware desativado e execução de código em sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes desativam os scanners antimalware para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Gravidade: Alta
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do seu scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: A exclusão temporária de arquivo da extensão antimalware em paralelo à execução de código por meio de extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: A desativação da proteção em tempo real da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: A desativação temporária da extensão antimalware de proteção em tempo real foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: A desativação temporária da extensão antimalware em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Alta
Verificações antimalware bloqueadas em busca de arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: foi detetada uma regra de exclusão na sua máquina virtual para impedir que a extensão antimalware analise determinados ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos das verificações antimalware para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Gravidade: Média
Exclusão de arquivo incomum antimalware em sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: A exclusão de arquivo incomum da extensão antimalware foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS
Descrição: A análise dos dados do host detetou ações que mostram os arquivos de log do IIS sendo desabilitados e/ou excluídos.
Gravidade: Média
Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido.
Gravidade: Média
Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC
Descrição: A análise dos dados do host em %{Host comprometido} detetou que uma chave do Registro que pode ser abusada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar passar de acesso sem privilégios (usuário padrão) para acesso privilegiado (por exemplo, administrador) em um host comprometido.
Gravidade: Média
Decodificação detetada de um executável usando a ferramenta certutil.exe integrada
Descrição: A análise dos dados do host em %{Host comprometido} detetou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente.
Gravidade: Alta
Detetada a ativação da chave de registo WDigest UseLogonCredential
Descrição: A análise dos dados do host detetou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, essa chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como o Mimikatz.
Gravidade: Média
Executável codificado detetado em dados de linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou um executável codificado em base 64. Isso já foi associado a invasores que tentam construir executáveis em tempo real através de uma sequência de comandos e tentam escapar de sistemas de deteção de intrusão, garantindo que nenhum comando individual acione um alerta. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Linha de comando ofuscada detetada
Descrição: Os atacantes usam técnicas de ofuscação cada vez mais complexas para evitar deteções que são executadas contra os dados subjacentes. A análise dos dados do host em %{Compromised Host} detetou indicadores suspeitos de ofuscação na linha de comando.
Gravidade: Informativo
Detetada possível execução do executável keygen
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo cujo nome é indicativo de uma ferramenta keygen, tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download é frequentemente empacotado com outro software mal-intencionado. O grupo de atividades GOLD é conhecido por fazer uso de tais keygens para obter secretamente acesso à porta dos fundos para hosts que eles comprometem.
Gravidade: Média
Detetada possível execução de malware dropper
Descrição: A análise dos dados do host em %{Compromised Host} detetou um nome de arquivo que foi anteriormente associado a um dos métodos do grupo de atividade GOLD de instalar malware em um host vítima.
Gravidade: Alta
Detetada possível atividade de reconhecimento local
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar atividade de reconhecimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas da maneira que ocorreu aqui é raro.
Gravidade: Baixa
Detetado uso potencialmente suspeito da ferramenta Telegram
Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para o sistema móvel quanto para desktop. Os atacantes são conhecidos por abusar deste serviço para transferir binários maliciosos para qualquer outro computador, telefone ou tablet.
Gravidade: Média
Supressão detetada de aviso legal exibido aos usuários no logon
Descrição: A análise dos dados do host em %{Host comprometido} detetou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que esta é uma atividade comum realizada por atacantes depois de ter comprometido um host.
Gravidade: Baixa
Detetada combinação suspeita de HTA e PowerShell
Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos mal-intencionados do PowerShell. Os atacantes geralmente recorrem a ter um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e escolhe executá-lo, os comandos e scripts do PowerShell que ele contém são executados. A análise dos dados do host em %{Compromised Host} detetou mshta.exe iniciar comandos do PowerShell.
Gravidade: Média
Argumentos de linha de comando suspeitos detetados
Descrição: A análise dos dados do host em %{Compromised Host} detetou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividade HYDROGEN.
Gravidade: Alta
Linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório
Descrição: A análise dos dados do host detetou um processo suspeito em execução em %{Host comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que possam residir em um diretório. Isso pode ser uma indicação de um host comprometido.
Gravidade: Média
Credenciais suspeitas detetadas na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividade BORON. Este grupo de atividade é conhecido por usar essa senha para executar malware Pirpi em um host vítima.
Gravidade: Alta
Credenciais de documentos suspeitos detetadas
Descrição: A análise dos dados do host em %{Compromised Host} detetou um hash de senha pré-computado comum e suspeito usado por malware sendo usado para executar um arquivo. O grupo de atividade HYDROGEN é conhecido por usar essa senha para executar malware em um host vítima.
Gravidade: Alta
Execução suspeita detetada do comando VBScript.Encode
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para os usuários examinarem o código. A pesquisa de ameaças da Microsoft mostra que os invasores geralmente usam arquivos VBscript codificados como parte de seu ataque para escapar dos sistemas de deteção. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Média
Execução suspeita detetada via rundll32.exe
Descrição: A análise dos dados do host em %{Compromised Host} detetou rundll32.exe sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividade GOLD ao instalar seu implante de primeiro estágio em um host comprometido.
Gravidade: Alta
Comandos de limpeza de ficheiros suspeitos detetados
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que já foi associada a um dos métodos do grupo de atividades GOLD de executar atividades de autolimpeza pós-comprometimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas, seguido por um comando delete da maneira que ocorreu aqui é raro.
Gravidade: Alta
Criação de ficheiros suspeitos detetada
Descrição: A análise dos dados do host em %{Compromised Host} detetou a criação ou execução de um processo que indicou anteriormente uma ação pós-comprometimento tomada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades é conhecido por usar essa técnica para baixar mais malware para um host comprometido depois que um anexo em um documento de phishing é aberto.
Gravidade: Alta
Detetadas comunicações suspeitas de pipe nomeado
Descrição: A análise dos dados do host em %{Host comprometido} detetou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Os pipes nomeados são conhecidos por serem um canal usado por atacantes para executar tarefas e comunicar com um implante malicioso. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Atividade de rede suspeita detetada
Descrição: A análise do tráfego de rede de %{Compromised Host} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Gravidade: Baixa
Nova regra de firewall suspeita detetada
Descrição: A análise dos dados do host detetou que uma nova regra de firewall foi adicionada via netsh.exe para permitir o tráfego de um executável em um local suspeito.
Gravidade: Média
Detetado uso suspeito de Cacls para reduzir o estado de segurança do sistema
Descrição: Os atacantes usam inúmeras maneiras como força bruta, spear phishing, etc. para alcançar o compromisso inicial e obter uma posição na rede. Uma vez que o compromisso inicial é alcançado, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ€"abreviação de change access control list é o utilitário de linha de comando nativo do Microsoft Windows frequentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado pelos atacantes para baixar as configurações de segurança de um sistema. Isso é feito dando a todos acesso total a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe etc. A análise dos dados do host em %{Compromised Host} detetou o uso suspeito de Cacls para diminuir a segurança de um sistema.
Gravidade: Média
Detetado o uso suspeito do FTP -s Switch
Descrição: A análise dos dados de criação do processo a partir do %{Compromised Host} detetou o uso da opção FTP "-s:filename". Essa opção é usada para especificar um arquivo de script FTP para o cliente executar. Malware ou processos maliciosos são conhecidos por usar essa opção FTP (-s:filename) para apontar para um arquivo de script, que é configurado para se conectar a um servidor FTP remoto e baixar binários mais maliciosos.
Gravidade: Média
Detetado uso suspeito de Pcalua.exe para iniciar código executável
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é componente do Microsoft Windows "Assistente de Compatibilidade de Programas", que deteta problemas de compatibilidade durante a instalação ou execução de um programa. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas do sistema Windows para executar ações maliciosas, por exemplo, usando pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou a partir de compartilhamentos remotos.
Gravidade: Média
Detetada a desativação de serviços críticos
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando "net.exe stop" sendo usado para parar serviços críticos como SharedAccess ou o aplicativo de Segurança do Windows. A interrupção de qualquer um desses serviços pode ser indício de um comportamento mal-intencionado.
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Construção dinâmica de script PS
Descrição: A análise dos dados do host em %{Host comprometido} detetou um script do PowerShell sendo construído dinamicamente. Os atacantes às vezes usam essa abordagem de construir progressivamente um script para escapar dos sistemas IDS. Esta pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.
Gravidade: Média
Executável encontrado a partir de uma localização suspeita
Descrição: A análise dos dados do host detetou um arquivo executável em %{Compromised Host} que está sendo executado a partir de um local em comum com arquivos suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Comportamento de ataque sem arquivo detetado
(VM_FilelessAttackBehavior.Windows)
Descrição: A memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Técnica de ataque sem arquivo detetada
(VM_FilelessAttackTechnique.Windows)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem:
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Imagem executável injetada no processo, como em um ataque de injeção de código.
- Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
- Esvaziamento de processos, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para agir como um contêiner para código hostil.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(VM_FilelessAttackToolkit.Windows)
Descrição: A memória do processo especificado contém um kit de ferramentas de ataque sem ficheiro: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivo usam técnicas que minimizam ou eliminam vestígios de malware no disco e reduzem consideravelmente as chances de deteção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:
- Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Executável malicioso injetado na memória do processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Média
Software de alto risco detetado
Descrição: A análise dos dados do host de %{Compromised Host} detetou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software malicioso é empacotá-lo dentro de ferramentas benignas, como a vista neste alerta. Quando você usa essas ferramentas, o malware pode ser instalado silenciosamente em segundo plano.
Gravidade: Média
Os membros do grupo Administradores locais foram enumerados
Descrição: Os logs da máquina indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio do Grupo Enumerado}%{Nome do Grupo Enumerado}. Especificamente, %{Enumerating User Domain Name}%{Enumerating User Name} enumerou remotamente os membros do grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Essa atividade pode ser uma atividade legítima ou uma indicação de que uma máquina em sua organização foi comprometida e usada para reconhecimento %{vmname}.
Gravidade: Informativo
Regra de firewall maliciosa criada pelo implante do servidor ZINC [visto várias vezes]
Descrição: Uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra foi possivelmente usada para abrir uma porta em %{Host comprometido} para permitir comunicações de Comando e Controle. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Atividade SQL maliciosa
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é considerada maliciosa.
Gravidade: Alta
Várias contas de domínio consultadas
Descrição: A análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado dentro de um curto período de tempo a partir de %{Host comprometido}. Este tipo de atividade pode ser legítimo, mas também pode ser um indício de compromisso.
Gravidade: Média
Possível dumping de credenciais detetado [visto várias vezes]
Descrição: A análise dos dados do host detetou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de uma forma que permite extrair credenciais da memória. Os atacantes geralmente usam essas técnicas para extrair credenciais que depois usam ainda mais para movimento lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Tentativa potencial de ignorar o AppLocker detetada
Descrição: A análise dos dados do host em %{Host comprometido} detetou uma tentativa potencial de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limite quais executáveis podem ser executados em um sistema Windows. O padrão de linha de comando semelhante ao identificado neste alerta foi associado anteriormente a tentativas de invasores de contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Grupo de serviço SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
Descrição: O processo do sistema SVCHOST foi observado executando um grupo de serviços raros. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Informativo
Ataque de teclas pegajosas detetado
Descrição: A análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas adesivas, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Host comprometido}.
Gravidade: Média
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Descrição: Foram detetadas várias tentativas de início de sessão a partir da mesma fonte. Alguns autenticados com sucesso no host. Isso se assemelha a um ataque burst, no qual um invasor executa várias tentativas de autenticação para encontrar credenciais de conta válidas.
Táticas MITRE: Exploração
Gravidade: Média/Alta
Nível de integridade suspeito indicativo de sequestro de PDR
Descrição: A análise dos dados do host detetou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.
Gravidade: Média
Instalação de serviço suspeita
Descrição: A análise dos dados do host detetou a instalação do tscon.exe como um serviço: este binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado neste host sequestrando conexões RDP, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.
Gravidade: Média
Parâmetros de ataque Kerberos Golden Ticket suspeitos observados
Descrição: A análise dos dados do host detetou parâmetros de linha de comando consistentes com um ataque Kerberos Golden Ticket.
Gravidade: Média
Criação de conta suspeita detetada
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a criação ou utilização de uma conta local %{Nome de conta suspeito} : este nome de conta assemelha-se muito a uma conta padrão do Windows ou nome de grupo '%{Similar ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano.
Gravidade: Média
Atividade suspeita detetada
(VM_SuspiciousActivity)
Descrição: A análise dos dados do host detetou uma sequência de um ou mais processos em execução em %{nome da máquina} que historicamente foram associados a atividades maliciosas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Táticas MITRE: Execução
Gravidade: Média
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Descrição: Embora nenhum deles tenha tido sucesso, algumas delas usaram contas foram reconhecidas pelo anfitrião. Isso se assemelha a um ataque de dicionário, no qual um invasor executa várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidos para encontrar credenciais válidas para acessar o host. Isso indica que alguns dos nomes da sua conta de host podem existir em um dicionário de nomes de conta bem conhecido.
Táticas MITRE: Sondagem
Gravidade: Média
Segmento de código suspeito detetado
Descrição: indica que um segmento de código foi alocado usando métodos não padronizados, como injeção refletiva e esvaziamento do processo. O alerta fornece mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.
Gravidade: Média
Arquivo de extensão dupla suspeito executado
Descrição: A análise dos dados do host indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode induzir os utilizadores a pensar que os ficheiros são seguros para serem abertos e pode indicar a presença de malware no sistema.
Gravidade: Alta
Download suspeito usando Certutil detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Download suspeito usando Certutil detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Média
Atividade suspeita do PowerShell detetada
Descrição: A análise dos dados do host detetou um script do PowerShell em execução em %{Host comprometido} que tem recursos em comum com scripts suspeitos conhecidos. Esse script pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Cmdlets suspeitos do PowerShell executados
Descrição: a análise dos dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos.
Gravidade: Média
Processo suspeito executado [visto várias vezes]
Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Processo suspeito executado
Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais.
Gravidade: Alta
Nome do processo suspeito detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Nome do processo suspeito detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.
Gravidade: Média
Atividade suspeita do SQL
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é incomum com esta conta.
Gravidade: Média
Processo SVCHOST suspeito executado
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.
Gravidade: Alta
Processo de sistema suspeito executado
(VM_SystemProcessInAbnormalContext)
Descrição: O processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa esse nome de processo para mascarar sua atividade maliciosa.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Atividade suspeita de cópia de sombra de volume
Descrição: A análise dos dados do host detetou uma atividade de exclusão de cópia de sombra no recurso. A Cópia Sombra de Volume (VSC) é um artefacto importante que armazena os instantâneos de dados. Alguns malwares e, especificamente, o Ransomware, têm como alvo o VSC para sabotar estratégias de backup.
Gravidade: Alta
Valor de registo WindowPosition suspeito detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma tentativa de alteração na configuração do registro WindowPosition que poderia ser indicativa de ocultar janelas de aplicativos em seções não visíveis da área de trabalho. Esta pode ser uma atividade legítima ou uma indicação de uma máquina comprometida: este tipo de atividade foi previamente associado a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware como Win32/Creprote. Quando o valor WindowPosition é definido como 201329664, (Hex: 0x0c00 0c00, correspondente ao eixo X=0c00 e ao eixo Y=0c00), isso coloca a janela do aplicativo de console em uma seção não visível da tela do usuário em uma área oculta da visualização abaixo do menu Iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.
Gravidade: Baixa
Processo suspeito nomeado detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é muito semelhante, mas diferente de um processo executado com muita frequência (%{Similar ao Nome do Processo}). Embora esse processo possa ser benigno, sabe-se que os invasores às vezes se escondem à vista de todos, nomeando suas ferramentas maliciosas para se assemelhar a nomes de processos legítimos.
Gravidade: Média
Redefinição de configuração incomum em sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: Uma redefinição de configuração incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Execução de processo incomum detetada
Descrição: A análise dos dados do host em %{Host comprometido} detetou a execução de um processo por %{Nome de Usuário} que era incomum. Contas como %{Nome de Usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora de caráter e pode ser suspeita.
Gravidade: Alta
Redefinição de senha de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: Uma redefinição de senha de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: Uma redefinição de chave SSH de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alocação de objeto HTTP VBScript detetada
Descrição: Foi detetada a criação de um ficheiro VBScript utilizando a Linha de Comandos. O script a seguir contém o comando HTTP object allocation (alocação de objetos HTTP). Esta ação pode ser usada para descarregar ficheiros maliciosos.
Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Alertas para máquinas Linux
O Microsoft Defender for Servers Plan 2 fornece deteções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender for Endpoint. Os alertas fornecidos para máquinas Linux são:
Um arquivo de histórico foi limpo
Descrição: A análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus vestígios. A operação foi executada pelo usuário: '%{nome de usuário}'.
Gravidade: Média
A violação da política de controle de aplicativos adaptáveis foi auditada
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos.
Táticas MITRE: Execução
Gravidade: Informativo
Exclusão de arquivos amplos antimalware em sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: A exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tal exclusão praticamente desativando a proteção Antimalware. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Média
Antimalware desativado e execução de código em sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes desativam os scanners antimalware para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Gravidade: Alta
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do seu scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: A exclusão temporária de arquivo da extensão antimalware em paralelo à execução de código por meio de extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: A desativação da proteção em tempo real da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: A desativação temporária da extensão antimalware de proteção em tempo real foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: A desativação temporária da extensão antimalware em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Alta
Verificações antimalware bloqueadas em busca de arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: foi detetada uma regra de exclusão na sua máquina virtual para impedir que a extensão antimalware analise determinados ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos das verificações antimalware para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Gravidade: Média
Exclusão de arquivo incomum antimalware em sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: A exclusão de arquivo incomum da extensão antimalware foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comportamento semelhante ao ransomware detetado [visto várias vezes]
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a execução de ficheiros que têm semelhanças com ransomware conhecido que pode impedir os utilizadores de aceder ao seu sistema ou ficheiros pessoais, e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Contêiner com uma imagem de minerador detetada
(VM_MinerInContainerImage)
Descrição: Os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido.
Gravidade: Média
Download de arquivo detetado de uma fonte maliciosa conhecida
Descrição: A análise dos dados do host detetou o download de um arquivo de uma fonte de malware conhecida em %{Host comprometido}.
Gravidade: Média
Atividade de rede suspeita detetada
Descrição: A análise do tráfego de rede de %{Compromised Host} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Gravidade: Baixa
Comportamento relacionado à mineração de moeda digital detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Desativação do log auditado [visto várias vezes]
Descrição: O sistema Linux Audit fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Ele registra o máximo possível de informações sobre os eventos que estão acontecendo em seu sistema. A desativação do log auditado pode dificultar a descoberta de violações das políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Exploração da vulnerabilidade do Xorg [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou o usuário do Xorg com argumentos suspeitos. Os atacantes podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Falha no ataque de força bruta SSH
(VM_SshBruteForceFailed)
Descrição: Foram detetados ataques de força bruta com falha dos seguintes atacantes: %{Atacantes}. Os atacantes estavam a tentar aceder ao anfitrião com os seguintes nomes de utilizador: %{Contas utilizadas em tentativas falhadas de início de sessão para anfitrião}.
Táticas MITRE: Sondagem
Gravidade: Média
Comportamento de ataque sem arquivo detetado
(VM_FilelessAttackBehavior.Linux)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Baixa
Técnica de ataque sem arquivo detetada
(VM_FilelessAttackTechnique.Linux)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(VM_FilelessAttackToolkit.Linux)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a deteção por software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Execução de ficheiros ocultos detetada
Descrição: A análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. Esta atividade pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido.
Gravidade: Informativo
Nova chave SSH adicionada [visto várias vezes]
(VM_SshKeyAddition)
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Táticas MITRE: Persistência
Gravidade: Baixa
Nova chave SSH adicionada
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.
Gravidade: Baixa
Possível backdoor detetado [visto várias vezes]
Descrição: A análise dos dados do host detetou um arquivo suspeito sendo baixado e executado em %{Host comprometido} em sua assinatura. Esta atividade já foi associada à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Possível exploração do servidor de correio detetado
(VM_MailserverExploitation )
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma execução incomum na conta do servidor de email
Táticas MITRE: Exploração
Gravidade: Média
Possível shell da web malicioso detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um possível shell da web. Os atacantes geralmente carregam um shell da web para uma máquina que comprometeram para ganhar persistência ou para exploração adicional.
Gravidade: Média
Possível alteração de senha usando o método crypt detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou alteração de senha usando o método crypt. Os atacantes podem fazer essa alteração para continuar o acesso e ganhar persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Processo associado à mineração de moeda digital detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto mais de 100 vezes hoje nas seguintes máquinas: [Nome da máquina]
Gravidade: Média
Processo associado à mineração de moeda digital detetado
Descrição: A análise de dados do host detetou a execução de um processo que normalmente está associado à mineração de moeda digital.
Táticas MITRE: Exploração, Execução
Gravidade: Média
Downloader codificado Python detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser uma indicação de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Captura de tela tirada no host [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detetou o usuário de uma ferramenta de captura de tela. Os atacantes podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Shellcode detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou shellcode sendo gerado a partir da linha de comando. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
Descrição: A análise dos dados do host detetou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de login. Foram feitos logins bem-sucedidos a partir desse IP com o(s) seguinte(s) utilizador(es): %{Contas utilizadas para iniciar sessão com êxito no anfitrião}. Isso significa que o host pode ser comprometido e controlado por um ator mal-intencionado.
Táticas MITRE: Exploração
Gravidade: Alta
Criação de conta suspeita detetada
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a criação ou utilização de uma conta local %{Nome de conta suspeito} : este nome de conta assemelha-se muito a uma conta padrão do Windows ou nome de grupo '%{Similar ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano.
Gravidade: Média
Módulo de kernel suspeito detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Esta pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Acesso suspeito à palavra-passe [visto várias vezes]
Descrição: A análise dos dados do host detetou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Informativo
Acesso suspeito à palavra-passe
Descrição: A análise dos dados do host detetou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}.
Gravidade: Informativo
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Descrição: Os logs da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora esse comportamento possa ser intencional, ele pode indicar que o nó está executando um contêiner comprometido.
Táticas MITRE: LateralMovement
Gravidade: Média
Redefinição de configuração incomum em sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: Uma redefinição de configuração incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de senha de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: Uma redefinição de senha de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: Uma redefinição de chave SSH de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Alertas para DNS
Importante
A partir de 1º de agosto de 2023, os clientes com uma assinatura existente do Defender for DNS poderão continuar a usar o serviço, mas novos assinantes receberão alertas sobre atividades suspeitas de DNS como parte do Defender for Servers P2.
Utilização anómala do protocolo de rede
(AzureDNS_ProtocolAnomaly)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso anômalo do protocolo. Esse tráfego, embora possivelmente benigno, pode indicar abuso desse protocolo comum para ignorar a filtragem de tráfego de rede. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Táticas MITRE: Exfiltração
Gravidade: -
Atividade da rede de anonimato
(AzureDNS_DarkWeb)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou atividade de rede anônima. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente empregada por atacantes para evitar o rastreamento e a impressão digital das comunicações da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Anonimato atividade de rede usando web proxy
(AzureDNS_DarkWebProxy)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou atividade de rede anônima. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente empregada por atacantes para evitar o rastreamento e a impressão digital das comunicações da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Tentativa de comunicação com domínio suspeito sufocado
(AzureDNS_SinkholedDomain)
Descrição: Análise de transações DNS de %{CompromisedEntity} detetou solicitação de domínio sufocado. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Comunicação com possível domínio de phishing
(AzureDNS_PhishingDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma solicitação para um possível domínio de phishing. Essa atividade, embora possivelmente benigna, é frequentemente realizada por invasores para coletar credenciais para serviços remotos. É provável que a atividade típica de invasores relacionados inclua a exploração de quaisquer credenciais no serviço legítimo.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Comunicação com domínio suspeito gerado por algoritmos
(AzureDNS_DomainGenerationAlgorithm)
Descrição: A análise de transações DNS de %{CompromisedEntity} detetou o possível uso de um algoritmo de geração de domínio. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Comunicação com nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou o uso de um nome de domínio suspeito gerado aleatoriamente. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para escapar do monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Informativo
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Ativação de assinatura de deteção de intrusão de rede
(AzureDNS_SuspiciousDomain)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou uma assinatura de rede maliciosa conhecida. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Média
Possível download de dados via túnel DNS
(AzureDNS_DataInfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível exfiltração de dados via túnel DNS
(AzureDNS_DataExfiltration)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Possível transferência de dados via túnel DNS
(AzureDNS_DataObfuscation)
Descrição: A análise das transações DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por invasores para evitar o monitoramento e filtragem da rede. É provável que a atividade típica de invasores relacionados inclua o download e a execução de software mal-intencionado ou ferramentas de administração remota.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Alertas para extensões de VM do Azure
Esses alertas se concentram na deteção de atividades suspeitas de extensões de máquina virtual do Azure e fornecem informações sobre as tentativas dos invasores de comprometer e executar atividades maliciosas em suas máquinas virtuais.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por agentes de ameaças para várias intenções maliciosas, por exemplo:
Recolha e monitorização de dados
Execução de código e implantação de configuração com altos privilégios
Redefinindo credenciais e criando usuários administrativos
Encriptação de discos
Saiba mais sobre as proteções mais recentes do Defender for Cloud contra o abuso das extensões de VM do Azure.
Falha suspeita ao instalar a extensão GPU na sua subscrição (Pré-visualização)
(VM_GPUExtensionSuspiciousFailure)
Descrição: intenção suspeita de instalar uma extensão de GPU em VMs não suportadas. Esta extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, neste caso, as máquinas virtuais não estão equipadas com tal. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações de tal extensão para fins de mineração de criptomoedas.
Táticas MITRE: Impacto
Gravidade: Média
Foi detetada uma instalação suspeita de uma extensão GPU na sua máquina virtual (Pré-visualização)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. Esta atividade é considerada suspeita, uma vez que o comportamento do responsável se afasta dos seus padrões habituais.
Táticas MITRE: Impacto
Gravidade: Baixa
Executar comando com um script suspeito foi detetado em sua máquina virtual (visualização)
(VM_RunCommandSuspiciousScript)
Descrição: Um Comando Executar com um script suspeito foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.
Táticas MITRE: Execução
Gravidade: Alta
Foi detetada uma utilização suspeita não autorizada do Comando de Execução na sua máquina virtual (Pré-visualização)
(VM_RunCommandSuspiciousFailure)
Descrição: O uso não autorizado suspeito do Comando Executar falhou e foi detetado em sua máquina virtual analisando as operações do Gerenciador de Recursos do Azure em sua assinatura. Os invasores podem tentar usar o Comando Executar para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes.
Táticas MITRE: Execução
Gravidade: Média
O uso suspeito do Comando de Execução foi detetado em sua máquina virtual (Visualização)
(VM_RunCommandSuspiciousUsage)
Descrição: O uso suspeito do Run Command foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes.
Táticas MITRE: Execução
Gravidade: Baixa
Foi detetada uma utilização suspeita de várias extensões de monitorização ou recolha de dados nas suas máquinas virtuais (Pré-visualização)
(VM_SuspiciousMultiExtensionUsage)
Descrição: o uso suspeito de várias extensões de monitoramento ou coleta de dados foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Este uso é considerado suspeito, pois não foi comumente visto antes.
Táticas MITRE: Reconhecimento
Gravidade: Média
Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais (Pré-visualização)
(VM_DiskEncryptionSuspiciousUsage)
Descrição: A instalação suspeita de extensões de criptografia de disco foi detetada em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem abusar da extensão de encriptação de disco para implementar encriptações de disco completas nas suas máquinas virtuais através do Azure Resource Manager numa tentativa de executar atividade de ransomware. Esta atividade é considerada suspeita, pois não foi comumente vista antes e devido ao alto número de instalações de extensão.
Táticas MITRE: Impacto
Gravidade: Média
Foi detetada uma utilização suspeita da extensão VMAccess nas suas máquinas virtuais (Pré-visualização)
(VM_VMAccessSuspiciousUsage)
Descrição: Foi detetada uma utilização suspeita da extensão VMAccess nas suas máquinas virtuais. Os invasores podem abusar da extensão VMAccess para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão.
Táticas MITRE: Persistência
Gravidade: Média
A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada na máquina virtual (Pré-visualização)
(VM_DSCExtensionSuspiciousScript)
Descrição: A extensão de Configuração de Estado Desejado (DSC) com um script suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.
Táticas MITRE: Execução
Gravidade: Alta
Foi detetada uma utilização suspeita de uma extensão de Configuração de Estado Desejado (DSC) nas suas máquinas virtuais (Pré-visualização)
(VM_DSCExtensionSuspiciousUsage)
Descrição: o uso suspeito de uma extensão de Configuração de Estado Desejado (DSC) foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão.
Táticas MITRE: Execução
Gravidade: Baixa
Foi detetada uma extensão de script personalizada com um script suspeito na sua máquina virtual (Pré-visualização)
(VM_CustomScriptExtensionSuspiciousCmd)
Descrição: A extensão de script personalizada com um script suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os atacantes podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas.
Táticas MITRE: Execução
Gravidade: Alta
Falha suspeita na execução da extensão de script personalizada em sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Descrição: Falha suspeita de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tais falhas podem estar associadas a scripts mal-intencionados executados por essa extensão.
Táticas MITRE: Execução
Gravidade: Média
Exclusão incomum da extensão de script personalizado em sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Descrição: A exclusão incomum de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Execução incomum de extensão de script personalizado em sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Descrição: A execução incomum de uma extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Extensão de script personalizada com ponto de entrada suspeito em sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descrição: uma extensão de script personalizada com um ponto de entrada suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. O ponto de entrada refere-se a um repositório GitHub suspeito. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Extensão de script personalizada com carga suspeita em sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Descrição: A extensão de script personalizada com uma carga de um repositório GitHub suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure.
Táticas MITRE: Execução
Gravidade: Média
Alertas para o Serviço de Aplicativo do Azure
Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows
(AppServices_LinuxCommandOnWindows)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de executar um comando Linux em um Serviço de Aplicativo do Windows. Esta ação foi executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Um IP conectado à Interface FTP do Serviço de Aplicativo do Azure foi encontrado no Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Descrição: o log FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem que foi encontrada no feed de inteligência de ameaças. Durante essa conexão, um usuário acessou as páginas listadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Média
Tentativa de executar o comando de alto privilégio detetado
(AppServices_HighPrivilegeCommand)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de executar um comando que requer altos privilégios. O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento também é observado em atividades maliciosas. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ligação à página Web a partir de um endereço IP anómalo detetado
(AppServices_AnomalousPageAccess)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial a partir do endereço IP de origem listado. Isso pode indicar que alguém está tentando um ataque de força bruta nas páginas de administração do seu aplicativo Web. Também pode ser o resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança esse alerta para este recurso. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Registro DNS persistente para um recurso do Serviço de Aplicativo detetado
(AppServices_DanglingDomain)
Descrição: foi detetado um registo DNS que aponta para um recurso do Serviço de Aplicação recentemente eliminado (também conhecido como entrada "DNS pendente"). Isso deixa você suscetível a uma aquisição de subdomínio. As obtenções de controlo de subdomínios permitem que os intervenientes maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Executável codificado detetado em dados de linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrição: A análise dos dados do host em {Host comprometido} detetou um executável codificado em base 64. Isso já foi associado a invasores que tentam construir executáveis em tempo real através de uma sequência de comandos e tentam escapar de sistemas de deteção de intrusão, garantindo que nenhum comando individual acione um alerta. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Download de arquivo detetado de uma fonte maliciosa conhecida
(AppServices_SuspectDownload)
Descrição: A análise dos dados do host detetou o download de um arquivo de uma fonte de malware conhecida em seu host. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Escalonamento de Privilégios, Execução, Exfiltração, Comando e Controle
Gravidade: Média
Descarregamento de ficheiros suspeitos detetado
(AppServices_SuspectDownloadArtifacts)
Descrição: A análise dos dados do host detetou o descarregamento suspeito do arquivo remoto. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Persistência
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detetado
(AppServices_DigitalCurrencyMining)
Descrição: A análise dos dados do host no Inn-Flow-WebJobs detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Executável decodificado usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrição: A análise dos dados do host em [Entidade comprometida] detetou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Comportamento de ataque sem arquivo detetado
(AppServices_FilelessAttackBehaviorDetection)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Técnica de ataque sem arquivo detetada
(AppServices_FilelessAttackTechniqueDetection)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(AppServices_FilelessAttackToolkitDetection)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a deteção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Alerta de teste do Microsoft Defender for Cloud para o Serviço de Aplicativo (não é uma ameaça)
(AppServices_EICAR)
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Não é necessária mais nenhuma ação. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Verificação NMap detetada
(AppServices_Nmap)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada está associada ao NMAP. Os atacantes geralmente usam essa ferramenta para sondar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Informativo
Conteúdo de phishing hospedado em Webapps do Azure
(AppServices_PhishingContent)
Descrição: URL usada para ataque de phishing encontrada no site do Azure AppServices. Este URL fazia parte de um ataque de phishing enviado a clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes a inserir suas credenciais corporativas ou informações financeiras em um site de aparência legítima. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Alta
Arquivo PHP na pasta de upload
(AppServices_PhpInUploadFolder)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página PHP suspeita localizada na pasta de carregamento. Este tipo de pasta geralmente não contém arquivos PHP. A existência deste tipo de ficheiro pode indicar uma exploração que tira partido de vulnerabilidades arbitrárias de carregamento de ficheiros. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Possível download de Cryptocoinminer detetado
(AppServices_CryptoCoinMinerDownload)
Descrição: A análise dos dados do host detetou o download de um arquivo normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível exfiltração de dados detetada
(AppServices_DataEgressArtifacts)
Descrição: A análise dos dados do host/dispositivo detetou uma possível condição de saída de dados. Os atacantes geralmente emitem dados de máquinas que comprometeram. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Coleta, Exfiltração
Gravidade: Média
Registro DNS pendente potencial para um recurso do Serviço de Aplicativo detetado
(AppServices_PotentialDanglingDomain)
Descrição: foi detetado um registo DNS que aponta para um recurso do Serviço de Aplicação recentemente eliminado (também conhecido como entrada "DNS pendente"). Isso pode deixá-lo suscetível a uma aquisição de subdomínio. As obtenções de controlo de subdomínios permitem que os intervenientes maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas. Nesse caso, foi encontrado um registro de texto com a ID de Verificação de Domínio. Esses registros de texto impedem a tomada de controle do subdomínio, mas ainda recomendamos remover o domínio pendente. Se você deixar o registro DNS apontando para o subdomínio, correrá o risco se alguém em sua organização excluir o arquivo TXT ou registro no futuro. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Potencial shell reverso detetado
(AppServices_ReverseShell)
Descrição: A análise dos dados do host detetou um potencial shell reverso. Eles são usados para fazer com que uma máquina comprometida chame de volta para uma máquina que um invasor possui. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Download de dados brutos detetado
(AppServices_DownloadCodeFromWebsite)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de baixar código de sites de dados brutos, como o Pastebin. Esta ação foi executada por um processo PHP. Esse comportamento está associado a tentativas de baixar shells da Web ou outros componentes mal-intencionados para o Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Salvando a saída curl no disco detetado
(AppServices_CurlToDisk)
Descrição: A análise dos processos do Serviço de Aplicativo detetou a execução de um comando curl no qual a saída foi salva no disco. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com shells da Web. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Baixa
Referenciador de pasta de spam detetado
(AppServices_SpamReferrer)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica a atividade da Web que foi identificada como originária de um site associado à atividade de spam. Isso pode ocorrer se o seu site for comprometido e usado para atividades de spam. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Acesso suspeito a página da Web possivelmente vulnerável detetado
(AppServices_ScanSensitivePage)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Esta atividade suspeita originou-se de um endereço IP de origem cujo padrão de acesso se assemelha ao de um scanner da web. Esta atividade está frequentemente associada a uma tentativa de um intruso de analisar a sua rede para tentar obter acesso a páginas Web sensíveis ou vulneráveis. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Referência de nome de domínio suspeita
(AppServices_CommandlineSuspectDomain)
Descrição: Análise dos dados do host detetados referência a nome de domínio suspeito. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração
Gravidade: Baixa
Download suspeito usando Certutil detetado
(AppServices_DownloadUsingCertutil)
Descrição: A análise dos dados do host em {NAME} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Execução suspeita de PHP detetada
(AppServices_SuspectPhp)
Descrição: Os logs da máquina indicam que um processo PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP a partir da linha de comando, usando o processo PHP. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento pode indicar atividades maliciosas, como tentativas de infetar sites com shells da Web. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
Descrição: a análise dos dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Processo suspeito executado
(AppServices_KnownCredential AccessTools)
Descrição: Os logs da máquina indicam que o processo suspeito: '%{caminho do processo}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Acesso a credenciais
Gravidade: Alta
Nome do processo suspeito detetado
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrição: A análise dos dados do host em {NAME} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Persistência, Evasão de Defesa
Gravidade: Média
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Agente de usuário suspeito detetado
(AppServices_UserAgentInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica solicitações com agente de usuário suspeito. Esse comportamento pode indicar tentativas de explorar uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Informativo
Invocação suspeita de tema WordPress detetada
(AppServices_WpThemeInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada se assemelha à de uma manipulação do tema WordPress para suportar a execução de código do lado do servidor, seguida por uma solicitação direta da web para invocar o arquivo de tema manipulado. Este tipo de atividade foi visto no passado como parte de uma campanha de ataque ao WordPress. Se o recurso do Serviço de Aplicativo não estiver hospedando um site WordPress, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Verificador de vulnerabilidade detetado
(AppServices_DrupalScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada assemelha-se à de ferramentas direcionadas a um sistema de gerenciamento de conteúdo (CMS). Se o recurso do Serviço de Aplicativo não estiver hospedando um site do Drupal, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificador de vulnerabilidade detetado
(AppServices_JoomlaScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada assemelha-se à de ferramentas direcionadas a aplicações Joomla. Se o recurso do Serviço de Aplicativo não estiver hospedando um site Joomla, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificador de vulnerabilidade detetado
(AppServices_WpScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada se assemelha à de ferramentas direcionadas a aplicativos WordPress. Se o recurso do Serviço de Aplicativo não estiver hospedando um site WordPress, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Impressão digital da Web detetada
(AppServices_WebFingerprinting)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada está associada a uma ferramenta chamada Blind Elephant. A ferramenta de impressão digital servidores web e tenta detetar os aplicativos instalados e versão. Os atacantes geralmente usam essa ferramenta para sondar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Média
O site é marcado como malicioso no feed de inteligência de ameaças
(AppServices_SmartScreen)
Descrição: Seu site, conforme descrito abaixo, é marcado como um site mal-intencionado pelo Windows SmartScreen. Se você acha que isso é um falso positivo, entre em contato com o Windows SmartScreen através do link de feedback de relatório fornecido. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Média
Alertas para contêineres - clusters Kubernetes
O Microsoft Defender for Containers fornece alertas de segurança no nível do cluster e nos nós de cluster subjacentes monitorando o plano de controle (servidor de API) e a própria carga de trabalho em contêiner. Os alertas de segurança do plano de controle podem ser reconhecidos por um prefixo do K8S_
tipo de alerta. Os alertas de segurança para carga de trabalho em tempo de execução nos clusters podem ser reconhecidos pelo prefixo K8S.NODE_
do tipo de alerta. Todos os alertas são suportados apenas no Linux, salvo indicação em contrário.
Serviço Postgres exposto com configuração de autenticação de confiança no Kubernetes detetada (Visualização)
(K8S_ExposedPostgresTrustAuth)
Descrição: A análise de configuração de cluster do Kubernetes detetou a exposição de um serviço Postgres por um balanceador de carga. O serviço é configurado com o método de autenticação de confiança, que não requer credenciais.
Táticas MITRE: InitialAccess
Gravidade: Média
Serviço Postgres exposto com configuração arriscada no Kubernetes detetada (Visualização)
(K8S_ExposedPostgresBroadIPRange)
Descrição: A análise de configuração de cluster do Kubernetes detetou a exposição de um serviço Postgres por um balanceador de carga com uma configuração arriscada. Expor o serviço a uma ampla gama de endereços IP representa um risco de segurança.
Táticas MITRE: InitialAccess
Gravidade: Média
Tentativa de criar um novo namespace Linux a partir de um contêiner detetado
(K8S. NODE_NamespaceCreation) 1
Descrição: A análise de processos em execução dentro de um contêiner no cluster Kubernetes detetou uma tentativa de criar um novo namespace Linux. Embora esse comportamento possa ser legítimo, ele pode indicar que um invasor tenta escapar do contêiner para o nó. Algumas explorações CVE-2022-0185 usam essa técnica.
Táticas MITRE: PrivilegeEscalation
Gravidade: Informativo
Um arquivo de histórico foi limpo
(K8S. NODE_HistoryFileCleared) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus rastros. A operação foi executada pela conta de usuário especificada.
Táticas MITRE: DefesaEvasão
Gravidade: Média
Atividade anormal da identidade gerenciada associada ao Kubernetes (Visualização)
(K8S_AbnormalMiActivity)
Descrição: A análise das operações do Azure Resource Manager detetou um comportamento anormal de uma identidade gerenciada usada por um addon AKS. A atividade detetada não é consistente com o comportamento do addon associado. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a identidade foi obtida por um invasor, possivelmente de um contêiner comprometido no cluster do Kubernetes.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação anormal da conta de serviço Kubernetes detetada
(K8S_ServiceAccountRareOperation)
Descrição: A análise do log de auditoria do Kubernetes detetou um comportamento anormal por uma conta de serviço no cluster do Kubernetes. A conta de serviço foi usada para uma operação, o que não é comum para essa conta de serviço. Embora essa atividade possa ser legítima, esse comportamento pode indicar que a conta de serviço está sendo usada para fins mal-intencionados.
Táticas MITRE: Movimento Lateral, Acesso a Credenciais
Gravidade: Média
Uma tentativa de conexão incomum detetada
(K8S. NODE_SuspectConnection) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma tentativa de conexão incomum utilizando um protocolo socks. Isso é muito raro em operações normais, mas uma técnica conhecida para invasores que tentam ignorar as deteções da camada de rede.
Táticas MITRE: Execução, Exfiltração, Exploração
Gravidade: Média
Tentativa de parar o serviço apt-daily-upgrade.timer detetado
(K8S. NODE_TimerServiceDisabled) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Os atacantes têm sido observados parando este serviço para baixar arquivos maliciosos e conceder privilégios de execução para seus ataques. Esta atividade também pode acontecer se o serviço for atualizado através de ações administrativas normais.
Táticas MITRE: DefesaEvasão
Gravidade: Informativo
Comportamento semelhante aos bots comuns do Linux detetados (Visualização)
(K8S. NODE_CommonBot)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou a execução de um processo normalmente associado a botnets Linux comuns.
Táticas MITRE: Execução, Coleta, Comando e Controle
Gravidade: Média
Comando dentro de um contêiner em execução com altos privilégios
(K8S. NODE_PrivilegedExecutionInContainer) 1
Descrição: Os logs da máquina indicam que um comando privilegiado foi executado em um contêiner do Docker. Um comando privilegiado tem privilégios estendidos na máquina host.
Táticas MITRE: PrivilegeEscalation
Gravidade: Informativo
Contêiner em execução no modo privilegiado
(K8S. NODE_PrivilegedContainerArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou a execução de um comando do Docker que está executando um contêiner privilegiado. O contêiner privilegiado tem acesso total ao pod de hospedagem ou recurso de host. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao pod ou host de hospedagem.
Táticas MITRE: PrivilegeEscalation, Execução
Gravidade: Informativo
Recipiente com uma montagem de volume sensível detetada
(K8S_SensitiveMount)
Descrição: A análise de log de auditoria do Kubernetes detetou um novo contêiner com uma montagem de volume sensível. O volume detetado é um tipo hostPath que monta um arquivo ou pasta confidencial do nó para o contêiner. Se o contêiner for comprometido, o invasor poderá usar essa montagem para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Informativo
Modificação CoreDNS no Kubernetes detetada
(K8S_CoreDnsModification) 2 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma modificação da configuração CoreDNS. A configuração do CoreDNS pode ser modificada substituindo seu configmap. Embora essa atividade possa ser legítima, se os invasores tiverem permissões para modificar o configmap, eles poderão alterar o comportamento do servidor DNS do cluster e envenená-lo.
Táticas MITRE: Movimento Lateral
Gravidade: Baixa
Criação de configuração de webhook de admissão detetada
(K8S_AdmissionController) 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova configuração de webhook de admissão. O Kubernetes tem dois controladores de admissão genéricos integrados: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento desses controladores de admissão é determinado por um webhook de admissão que o usuário implanta no cluster. O uso de tais controladores de admissão pode ser legítimo, no entanto, os invasores podem usar esses webhooks para modificar as solicitações (no caso de MutatingAdmissionWebhook) ou inspecionar as solicitações e obter informações confidenciais (no caso de ValidatingAdmissionWebhook).
Táticas MITRE: Acesso a credenciais, persistência
Gravidade: Informativo
Download de arquivo detetado de uma fonte maliciosa conhecida
(K8S. NODE_SuspectDownload) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um download de um arquivo de uma fonte frequentemente usada para distribuir malware.
Táticas MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravidade: Média
Descarregamento de ficheiros suspeitos detetado
(K8S. NODE_SuspectDownloadArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um download suspeito de um arquivo remoto.
Táticas MITRE: Persistência
Gravidade: Informativo
Detetado uso suspeito do comando nohup
(K8S. NODE_SuspectNohup) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um uso suspeito do comando nohup. Os atacantes foram vistos usando o comando nohup para executar arquivos ocultos de um diretório temporário para permitir que seus executáveis sejam executados em segundo plano. É raro ver esse comando ser executado em arquivos ocultos localizados em um diretório temporário.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Média
Detetado o uso suspeito do comando useradd
(K8S. NODE_SuspectUserAddition) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um uso suspeito do comando useradd.
Táticas MITRE: Persistência
Gravidade: Média
Contêiner de mineração de moeda digital detetado
(K8S_MaliciousContainerImage) 3
Descrição: A análise de log de auditoria do Kubernetes detetou um contêiner que tem uma imagem associada a uma ferramenta de mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Comportamento relacionado à mineração de moeda digital detetado
(K8S. NODE_DigitalCurrencyMining) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma execução de um processo ou comando normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Operação de compilação do Docker detetada em um nó do Kubernetes
(K8S. NODE_ImageBuildOnNode) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar suas imagens maliciosas localmente para evitar a deteção.
Táticas MITRE: DefesaEvasão
Gravidade: Informativo
Painel do Kubeflow exposto detetado
(K8S_ExposedKubeflow)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição do Istio Ingress por um balanceador de carga em um cluster que executa o Kubeflow. Essa ação pode expor o painel do Kubeflow à Internet. Se o painel estiver exposto à Internet, os invasores poderão acessá-lo e executar contêineres ou códigos mal-intencionados no cluster. Encontre mais detalhes no seguinte artigo: https://aka.ms/exposedkubeflow-blog
Táticas MITRE: Acesso Inicial
Gravidade: Média
Painel do Kubernetes exposto detetado
(K8S_ExposedDashboard)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição do Painel do Kubernetes por um serviço LoadBalancer. O painel exposto permite um acesso não autenticado ao gerenciamento de cluster e representa uma ameaça à segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Serviço Kubernetes exposto detetado
(K8S_ExposedService)
Descrição: A análise do log de auditoria do Kubernetes detetou a exposição de um serviço por um balanceador de carga. Esse serviço está relacionado a um aplicativo confidencial que permite operações de alto impacto no cluster, como a execução de processos no nó ou a criação de novos contêineres. Em alguns casos, este serviço não requer autenticação. Se o serviço não exigir autenticação, expô-lo à Internet representa um risco de segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Serviço Redis exposto no AKS detetado
(K8S_ExposedRedis)
Descrição: A análise de log de auditoria do Kubernetes detetou a exposição de um serviço Redis por um balanceador de carga. Se o serviço não exigir autenticação, expô-lo à Internet representa um risco de segurança.
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Indicadores associados ao kit de ferramentas DDOS detetados
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou nomes de arquivos que fazem parte de um kit de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir controle total sobre o sistema infetado. Esta também poderia ser uma atividade legítima.
Táticas MITRE: Persistência, Movimento Lateral, Execução, Exploração
Gravidade: Média
Solicitações de API K8S do endereço IP do proxy detetado
(K8S_TI_Proxy) 3
Descrição: A análise de log de auditoria do Kubernetes detetou solicitações de API para seu cluster a partir de um endereço IP associado a serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando os invasores tentam ocultar seu IP de origem.
Táticas MITRE: Execução
Gravidade: Baixa
Eventos do Kubernetes excluídos
(K8S_DeleteEvents) 2 3
Descrição: O Defender for Cloud detetou que alguns eventos do Kubernetes foram excluídos. Os eventos do Kubernetes são objetos no Kubernetes que contêm informações sobre alterações no cluster. Os invasores podem excluir esses eventos para ocultar suas operações no cluster.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Ferramenta de teste de penetração do Kubernetes detetada
(K8S_PenTestToolsKubeHunter)
Descrição: A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos.
Táticas MITRE: Execução
Gravidade: Baixa
Alerta de teste do Microsoft Defender for Cloud (não é uma ameaça).
(K8S. NODE_EICAR) 1
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Não é necessária mais nenhuma ação.
Táticas MITRE: Execução
Gravidade: Alta
Novo contêiner no namespace kube-system detetado
(K8S_KubeSystemContainer) 3
Descrição: A análise do log de auditoria do Kubernetes detetou um novo contêiner no namespace kube-system que não está entre os contêineres que normalmente são executados nesse namespace. Os namespaces kube-system não devem conter recursos do usuário. Os invasores podem usar esse namespace para ocultar componentes mal-intencionados.
Táticas MITRE: Persistência
Gravidade: Informativo
Nova função de altos privilégios detetada
(K8S_HighPrivilegesRole) 3
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova função com altos privilégios. Uma associação a uma função com altos privilégios dá ao usuário\grupo altos privilégios no cluster. Privilégios desnecessários podem causar escalonamento de privilégios no cluster.
Táticas MITRE: Persistência
Gravidade: Informativo
Possível ferramenta de ataque detetada
(K8S. NODE_KnownLinuxAttackTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma chamada de ferramenta suspeita. Esta ferramenta é frequentemente associada a utilizadores mal-intencionados que atacam outros.
Táticas MITRE: Execução, Coleta, Comando e Controle, Sondagem
Gravidade: Média
Possível backdoor detetado
(K8S. NODE_LinuxBackdoorArtifact) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um arquivo suspeito sendo baixado e executado. Esta atividade já foi associada à instalação de um backdoor.
Táticas MITRE: Persistência, DefesaEvasão, Execução, Exploração
Gravidade: Média
Possível tentativa de exploração da linha de comando
(K8S. NODE_ExploitAttempt) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detetou uma possível tentativa de exploração contra uma vulnerabilidade conhecida.
Táticas MITRE: Exploração
Gravidade: Média
Possível ferramenta de acesso a credenciais detetada
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou que uma possível ferramenta de acesso a credenciais conhecida estava em execução no contêiner, conforme identificado pelo processo especificado e pelo item de histórico de linha de comando. Essa ferramenta é frequentemente associada a tentativas de invasores de acessar credenciais.
Táticas MITRE: CredentialAccess
Gravidade: Média
Possível download de Cryptocoinminer detetado
(K8S. NODE_CryptoCoinMinerDownload) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou o download de um arquivo normalmente associado à mineração de moeda digital.
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível atividade de violação de log detetada
(K8S. NODE_SystemLogRemoval) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma possível remoção de arquivos que rastreiam a atividade do usuário durante o curso de sua operação. Os atacantes geralmente tentam escapar da deteção e não deixam vestígios de atividades maliciosas excluindo esses arquivos de log.
Táticas MITRE: DefesaEvasão
Gravidade: Média
Possível alteração de senha usando o método crypt detetado
(K8S. NODE_SuspectPasswordChange) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e ganhar persistência após o comprometimento.
Táticas MITRE: CredentialAccess
Gravidade: Média
Potencial encaminhamento de porta para endereço IP externo
(K8S. NODE_SuspectPortForwarding) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou um início de encaminhamento de porta para um endereço IP externo.
Táticas MITRE: Exfiltração, Comando e Controle
Gravidade: Média
Potencial shell reverso detetado
(K8S. NODE_ReverseShell) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um potencial shell reverso. Eles são usados para fazer com que uma máquina comprometida chame de volta para uma máquina que um invasor possui.
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Contêiner privilegiado detetado
(K8S_PrivilegedContainer)
Descrição: A análise do log de auditoria do Kubernetes detetou um novo contêiner privilegiado. Um contêiner privilegiado tem acesso aos recursos do nó e quebra o isolamento entre contêineres. Se comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao nó.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Informativo
Processo associado à mineração de moeda digital detetado
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou a execução de um processo normalmente associado à mineração de moeda digital.
Táticas MITRE: Execução, Exploração
Gravidade: Média
Processo visto acessando o arquivo de chaves autorizadas SSH de uma maneira incomum
(K8S. NODE_SshKeyAccess) 1
Descrição: Um ficheiro authorized_keys SSH foi acedido num método semelhante a campanhas de malware conhecidas. Esse acesso pode significar que um ator está tentando obter acesso persistente a uma máquina.
Táticas MITRE: Desconhecido
Gravidade: Informativo
Ligação de função à função de administrador de cluster detetada
(K8S_ClusterAdminBinding)
Descrição: A análise do log de auditoria do Kubernetes detetou uma nova associação à função de administrador de cluster que concede privilégios de administrador. Privilégios de administrador desnecessários podem causar escalonamento de privilégios no cluster.
Táticas MITRE: Persistência
Gravidade: Informativo
Encerramento de processo relacionado à segurança detetado
(K8S. NODE_SuspectProcessTermination) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou uma tentativa de encerrar processos relacionados ao monitoramento de segurança no contêiner. Os invasores geralmente tentam encerrar esses processos usando scripts predefinidos pós-comprometimento.
Táticas MITRE: Persistência
Gravidade: Baixa
O servidor SSH está sendo executado dentro de um contêiner
(K8S. NODE_ContainerSSH) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou um servidor SSH em execução dentro do contêiner.
Táticas MITRE: Execução
Gravidade: Informativo
Modificação suspeita do carimbo de data/hora do arquivo
(K8S. NODE_TimestampTampering) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma modificação suspeita de carimbo de data/hora. Os atacantes geralmente copiam carimbos de data/hora de arquivos legítimos existentes para novas ferramentas para evitar a deteção desses arquivos recém-descartados.
Táticas MITRE: Persistência, DefesaEvasão
Gravidade: Baixa
Solicitação suspeita para a API do Kubernetes
(K8S. NODE_KubernetesAPI) 1
Descrição: A análise de processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está sendo executado no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Solicitação suspeita para o Painel do Kubernetes
(K8S. NODE_KubernetesDashboard) 1
Descrição: A análise dos processos em execução dentro de um contêiner indica que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um contêiner no cluster. Embora esse comportamento possa ser intencional, ele pode indicar que um contêiner comprometido está sendo executado no cluster.
Táticas MITRE: LateralMovement
Gravidade: Média
Potencial minerador de criptomoedas começou
(K8S. NODE_CryptoCoinMinerExecution) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um processo sendo iniciado de uma forma normalmente associada à mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Média
Acesso suspeito à palavra-passe
(K8S. NODE_SuspectPasswordFileAccess) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou tentativas suspeitas de acessar senhas de usuário criptografadas.
Táticas MITRE: Persistência
Gravidade: Informativo
Possível shell da web malicioso detetado.
(K8S. NODE_Webshell) 1
Descrição: A análise de processos em execução dentro de um contêiner detetou um possível web shell. Os atacantes geralmente carregam um web shell para um recurso de computação que comprometeram para ganhar persistência ou para exploração adicional.
Táticas MITRE: Persistência, Exploração
Gravidade: Média
A explosão de vários comandos de reconhecimento pode indicar a atividade inicial após o comprometimento
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Descrição: A análise dos dados do host/dispositivo detetou a execução de vários comandos de reconhecimento relacionados à coleta de detalhes do sistema ou host realizada por invasores após o comprometimento inicial.
Táticas MITRE: Discovery, Collection
Gravidade: Baixa
Download suspeito e execute a atividade
(K8S. NODE_DownloadAndRunCombo) 1
Descrição: Análise de processos em execução dentro de um contêiner ou diretamente em um nó Kubernetes, detetou um arquivo sendo baixado e executado no mesmo comando. Embora isso nem sempre seja malicioso, essa é uma técnica muito comum que os invasores usam para colocar arquivos maliciosos nas máquinas das vítimas.
Táticas MITRE: Execução, ComandoAndControl, Exploração
Gravidade: Média
Acesso ao arquivo kubelet kubeconfig detetado
(K8S. NODE_KubeConfigAccess) 1
Descrição: A análise de processos em execução em um nó de cluster do Kubernetes detetou acesso ao arquivo kubeconfig no host. O arquivo kubeconfig, normalmente usado pelo processo Kubelet, contém credenciais para o servidor de API de cluster do Kubernetes. O acesso a esse arquivo é frequentemente associado a invasores que tentam acessar essas credenciais ou a ferramentas de verificação de segurança que verificam se o arquivo está acessível.
Táticas MITRE: CredentialAccess
Gravidade: Média
Acesso ao serviço de metadados na nuvem detetado
(K8S. NODE_ImdsCall) 1
Descrição: Análise de processos em execução dentro de um contêiner detetado acesso ao serviço de metadados em nuvem para aquisição de token de identidade. O contêiner normalmente não executa essa operação. Embora esse comportamento possa ser legítimo, os invasores podem usar essa técnica para acessar recursos de nuvem depois de obter acesso inicial a um contêiner em execução.
Táticas MITRE: CredentialAccess
Gravidade: Média
MITRE Caldera agente detetado
(K8S. NODE_MitreCalderaTools) 1
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou um processo suspeito. Isto é frequentemente associado ao agente MITRE 54ndc47, que pode ser usado maliciosamente para atacar outras máquinas.
Táticas MITRE: Persistência, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravidade: Média
1: Pré-visualização para clusters não AKS: este alerta está geralmente disponível para clusters AKS, mas está em pré-visualização para outros ambientes, como Azure Arc, EKS e GKE.
2: Limitações em clusters GKE: O GKE usa uma política de auditoria do Kubernetes que não suporta todos os tipos de alerta. Como resultado, esse alerta de segurança, que se baseia em eventos de auditoria do Kubernetes, não é suportado para clusters GKE.
3: Este alerta é suportado em nós/contentores do Windows.
Alertas para o Banco de Dados SQL e o Azure Synapse Analytics
Uma possível vulnerabilidade à injeção de SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrição: um aplicativo gerou uma instrução SQL defeituosa no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há duas razões possíveis para uma declaração defeituosa. Um defeito no código do aplicativo pode ter construído a instrução SQL defeituosa. Ou, o código do aplicativo ou os procedimentos armazenados não limparam a entrada do usuário ao construir a instrução SQL defeituosa, que pode ser explorada para injeção de SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Fazer logon a partir de um Data Center do Azure incomum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrição: houve uma alteração no padrão de acesso a um SQL Server, em que alguém entrou no servidor a partir de um Data Center do Azure incomum. Em alguns casos, o alerta deteta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta deteta uma ação maliciosa (invasor operando a partir de recurso violado no Azure).
Táticas MITRE: Sondagem
Gravidade: Baixa
Faça logon a partir de um local incomum
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor a partir de uma localização geográfica incomum. Em alguns casos, o alerta deteta uma ação legítima (uma nova manutenção de programador ou aplicação). Em outros casos, o alerta deteta uma ação maliciosa (um ex-funcionário ou invasor externo).
Táticas MITRE: Exploração
Gravidade: Média
Login de um usuário principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrição: Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esse banco de dados for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Login a partir de um domínio não visto em 60 dias
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrição: um utilizador iniciou sessão no seu recurso a partir de um domínio ao qual nenhum outro utilizador se ligou nos últimos 60 dias. Se esse recurso for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Iniciar sessão a partir de um IP suspeito
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrição: O seu recurso foi acedido com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Potencial injeção de SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrição: Ocorreu uma exploração ativa contra um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando injetar instruções SQL mal-intencionadas usando o código do aplicativo vulnerável ou os procedimentos armazenados.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta usando um usuário válido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso. O invasor está usando o usuário válido (nome de usuário), que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
O SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado por invasores para baixar carga maliciosa e, em seguida, executá-la na máquina e comprometê-la. Isso permite que um invasor execute tarefas maliciosas sob direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados para um destino externo.
Táticas MITRE: Execução
Gravidade: Alta
Carga útil incomum com peças ofuscadas foi iniciada pelo SQL Server
(SQL. VM_PotentialSqlInjection)
Descrição: Alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional enquanto oculta o comando na consulta SQL. Os atacantes geralmente escondem comandos impactantes que são monitorados popularmente como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos como concatenação de cordas, casting, mudança de base e outros, para evitar a deteção de regex e prejudicar a legibilidade dos logs.
Táticas MITRE: Execução
Gravidade: Alta
Alertas para bancos de dados relacionais de código aberto
Suspeita de ataque de força bruta usando um usuário válido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso. O invasor está usando o usuário válido (nome de usuário), que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Login de um usuário principal não visto em 60 dias
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descrição: Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esse banco de dados for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Login a partir de um domínio não visto em 60 dias
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descrição: um utilizador iniciou sessão no seu recurso a partir de um domínio ao qual nenhum outro utilizador se ligou nos últimos 60 dias. Se esse recurso for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Fazer logon a partir de um Data Center do Azure incomum
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar.
Táticas MITRE: Sondagem
Gravidade: Baixa
Logon de um provedor de nuvem incomum
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um fornecedor de nuvem não visto nos últimos 60 dias. É rápido e fácil para os agentes de ameaças obterem poder de computação descartável para uso em suas campanhas. Se esse comportamento for esperado causado pela recente adoção de um novo provedor de nuvem, o Defender for Cloud aprenderá com o tempo e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Faça logon a partir de um local incomum
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar.
Táticas MITRE: Exploração
Gravidade: Média
Iniciar sessão a partir de um IP suspeito
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descrição: O seu recurso foi acedido com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Alertas para o Resource Manager
Nota
Os alertas com uma indicação de acesso delegado são acionados devido à atividade de provedores de serviços terceirizados. Saiba mais sobre as indicações de atividade dos prestadores de serviços.
Operação do Azure Resource Manager a partir de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de informações sobre ameaças.
Táticas MITRE: Execução
Gravidade: Média
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos em suas assinaturas
(ARM_MicroBurst.AzDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Baixa
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos em suas assinaturas
(ARM_MicroBurst.AzureDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de operações de coleta de informações para descobrir recursos, permissões e estruturas de rede. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Baixa
Kit de ferramentas de exploração MicroBurst usado para executar código em sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de código em uma VM ou em uma lista de VMs. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para executar um script em uma VM para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para executar código em sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
Descrição: O kit de ferramentas de exploração do MicroBurst foi usado para executar código em suas máquinas virtuais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair chaves de seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves de um Cofre de Chaves do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair chaves para suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves para a(s) Conta(s) de Armazenamento. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais na(s) sua(s) conta(s) de armazenamento. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração MicroBurst usado para extrair segredos de seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de segredos de um Cofre de Chaves do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para listar segredos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure AD para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do AzureAD para o Azure. Isso foi detetado analisando as operações do Azure Resource Manager em seu locatário.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima em sua organização. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas
(ARM_PowerZure.ShowStorageContent)
Descrição: O kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para executar um Runbook em sua assinatura
(ARM_PowerZure.StartRunbook)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para executar um Runbook. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
Descrição: O kit de ferramentas de exploração PowerZure foi usado para extrair o conteúdo do Runbook. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
PREVIEW - Azurite toolkit run detected
(ARM_Azurite)
Descrição: Um kit de ferramentas de reconhecimento de ambiente de nuvem conhecido foi executado em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos de suas assinaturas e identificar configurações inseguras.
Táticas MITRE: Coleção
Gravidade: Alta
PREVIEW - Criação suspeita de recursos computacionais detetada
(ARM_SuspiciousComputeCreation)
Descrição: O Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação na sua subscrição utilizando Máquinas Virtuais/Azure Scale set. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que o principal está comprometido e está sendo usado com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
PREVIEW - Recuperação suspeita do cofre de chaves detetada
(Arm_Suspicious_Vault_Recovering)
Descrição: O Microsoft Defender for Resource Manager detetou uma operação de recuperação suspeita para um recurso de cofre de chaves excluído por software. O usuário que recupera o recurso é diferente do usuário que o excluiu. Isso é altamente suspeito porque o usuário raramente invoca tal operação. Além disso, o usuário fez logon sem autenticação multifator (MFA). Isso pode indicar que o usuário está comprometido e está tentando descobrir segredos e chaves para obter acesso a recursos confidenciais ou para executar movimentos laterais em sua rede.
Táticas MITRE: Movimento lateral
Gravidade: Média/alta
PREVIEW - Sessão de gerenciamento suspeita usando uma conta inativa detetada
(ARM_UnusedAccountPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Um principal que não está em uso por um longo período de tempo agora está executando ações que podem garantir a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.CredentialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a credenciais. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
PREVIEW - Deteção de invocação suspeita de uma operação de "Recolha de Dados" de alto risco por uma entidade de serviço
(ARM_AnomalousServiceOperation.Coleção)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Coleção
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de "evasão de defesa" de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Evasão de Defesa)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Execução' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Execução)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Execução de Defesa
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Impacto)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Acesso Inicial' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.InitialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso inicial
Gravidade: Média
PREVIEW - Deteção de invocação suspeita de uma operação de "Acesso Lateral ao Movimento" de alto risco por uma entidade de serviço
(ARM_AnomalousServiceOperation.Movimento Lateral)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Movimento lateral
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'persistência' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.Persistência)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Invocação suspeita de uma operação de 'Escalonamento de privilégios' de alto risco por uma entidade de serviço detetada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
PREVIEW - Sessão de gerenciamento suspeita usando uma conta inativa detetada
(ARM_UnusedAccountPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Um principal que não está em uso por um longo período de tempo agora está executando ações que podem garantir a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW - Sessão de gerenciamento suspeita usando o PowerShell detetada
(ARM_UnusedAppPowershellPersistence)
Descrição: A análise dos registos de atividade da subscrição detetou comportamentos suspeitos. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor.
Táticas MITRE: Persistência
Gravidade: Média
PREVIEW â€" Sessão de gerenciamento suspeita usando o portal do Azure detetada
(ARM_UnusedAppIbizaPersistence)
Descrição: a análise dos registos de atividade da subscrição detetou um comportamento suspeito. Uma entidade que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente) agora está usando o portal do Azure e executando ações que podem proteger a persistência para um invasor.
Táticas MITRE: Persistência
Gravidade: Média
Função personalizada privilegiada criada para a sua subscrição de forma suspeita (Pré-visualização)
(ARM_PrivilegedRoleDefinitionCreation)
Descrição: O Microsoft Defender for Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando criar uma função privilegiada para usar no futuro para evitar a deteção.
Táticas MITRE: Escalada de Privilégios, Evasão de Defesa
Gravidade: Informativo
Atribuição de função suspeita do Azure detetada (Pré-visualização)
(ARM_AnomalousRBACRoleAssignment)
Descrição: O Microsoft Defender for Resource Manager identificou uma atribuição de função suspeita do Azure / executada usando PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas são projetadas para permitir que os administradores concedam aos principais acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar a atribuição de funções para aumentar suas permissões, permitindo que eles avancem seu ataque.
Táticas MITRE: Movimento Lateral, Evasão de Defesa
Gravidade: Baixa (PIM) / Alta
Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco detetada (visualização)
(ARM_AnomalousOperation.CredentialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a credenciais. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Detetada invocação suspeita de uma operação de «Recolha de Dados» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Coleção)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de recolha de dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Coleção
Gravidade: Média
Detetada invocação suspeita de uma operação de "evasão de defesa" de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Evasão de Defesa)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de evasão das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Execução)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Execução
Gravidade: Média
Detetada invocação suspeita de uma operação «Impacto» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Impacto)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Impacto
Gravidade: Média
Invocação suspeita de uma operação de "Acesso Inicial" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.InitialAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aceder a recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Detetada invocação suspeita de uma operação de «Movimento Lateral» de alto risco (Pré-visualização)
(ARM_AnomalousOperation.Movimento Lateral)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação de elevação de acesso suspeita (Pré-visualização)(ARM_AnomalousElevateAccess)
Descrição: O Microsoft Defender for Resource Manager identificou uma operação suspeita "Elevate Access". A atividade é considerada suspeita, uma vez que este mandante raramente invoca tais operações. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar uma operação "Elevar acesso" para executar o escalonamento de privilégios para um usuário comprometido.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização)
(ARM_AnomalousOperation.Persistência)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Persistência
Gravidade: Média
Invocação suspeita de uma operação de "Escalonamento de privilégios" de alto risco detetada (visualização)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descrição: O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua subscrição, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa.
Táticas MITRE: Escalonamento de privilégios
Gravidade: Média
Uso do kit de ferramentas de exploração MicroBurst para executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure. Os agentes de ameaças usam scripts automatizados, como o MicroBurst, para executar código arbitrário para atividades maliciosas. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente por intenções maliciosas.
Táticas MITRE: Persistência, Acesso a Credenciais
Gravidade: Alta
Uso de técnicas NetSPI para manter a persistência em seu ambiente do Azure
(ARM_NetSPI.ManterPersistência)
Descrição: Uso da técnica de persistência NetSPI para criar um backdoor webhook e manter a persistência em seu ambiente do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou exfiltrar credenciais de conta da Automação do Azure
(ARM_PowerZure.RunCodeOnBehalf)
Descrição: O kit de ferramentas de exploração do PowerZure foi detetado tentando executar código ou exfiltrar credenciais de conta da Automação do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Uso da função PowerZure para manter a persistência em seu ambiente do Azure
(ARM_PowerZure.ManterPersistência)
Descrição: O kit de ferramentas de exploração do PowerZure detetou a criação de um backdoor de webhook para manter a persistência em seu ambiente do Azure. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura.
Gravidade: Alta
Atribuição de função clássica suspeita detetada (Pré-visualização)
(ARM_AnomalousClassicRoleAssignment)
Descrição: O Microsoft Defender for Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas são projetadas para fornecer compatibilidade com versões anteriores com funções clássicas que não são mais comumente usadas. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essa atribuição para conceder permissões a outra conta de usuário sob seu controle.
Táticas MITRE: Movimento Lateral, Evasão de Defesa
Gravidade: Alta
Alertas para o Armazenamento do Azure
Acesso a partir de uma aplicação suspeita
(Storage.Blob_SuspiciousApp)
Descrição: indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado em sua organização. Aplica-se a: Azure Blob Storage, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média
Acesso a partir de um endereço IP suspeito
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Descrição: indica que esta conta de armazenamento foi acedida com êxito a partir de um endereço IP considerado suspeito. Este alerta é alimentado pelo Microsoft Threat Intelligence. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Táticas MITRE: Pré Ataque
Gravidade: Alta/Média/Baixa
Conteúdo de phishing hospedado em uma conta de armazenamento
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Descrição: uma URL usada em um ataque de phishing aponta para sua conta de Armazenamento do Azure. Este URL fez parte de um ataque de phishing que afetou os utilizadores do Microsoft 365. Normalmente, o conteúdo hospedado nessas páginas é projetado para induzir os visitantes a inserir suas credenciais corporativas ou informações financeiras em um formulário da Web que pareça legítimo. Este alerta é alimentado pelo Microsoft Threat Intelligence. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Coleção
Gravidade: Alta
Conta de armazenamento identificada como fonte de distribuição de malware
(Storage.Files_WidespreadeAm)
Descrição: os alertas antimalware indicam que um arquivo infetado está armazenado em um compartilhamento de arquivos do Azure montado em várias VMs. Se os invasores obtiverem acesso a uma VM com um compartilhamento de arquivos do Azure montado, eles poderão usá-lo para espalhar malware para outras VMs que montam o mesmo compartilhamento. Aplica-se a: Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Média
O nível de acesso de um contêiner de blob de armazenamento potencialmente sensível foi alterado para permitir acesso público não autenticado
(Storage.Blob_OpenACL)
Descrição: O alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que pode conter dados confidenciais, para o nível 'Contêiner', para permitir acesso público não autenticado (anônimo). A alteração foi feita através do portal do Azure. Com base na análise estatística, o contêiner de blob é sinalizado como possivelmente contendo dados confidenciais. Essa análise sugere que contêineres de blob ou contas de armazenamento com nomes semelhantes normalmente não são expostos ao acesso público. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium).
Táticas MITRE: Coleção
Gravidade: Média
Acesso autenticado de um nó de saída do Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Descrição: Um ou mais contêineres de armazenamento / compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizante). Os agentes de ameaças usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial / Pré-Ataque
Gravidade: Alta/Média
Acesso a partir de um local incomum a uma conta de armazenamento
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Descrição: indica que houve uma alteração no padrão de acesso a uma conta de Armazenamento do Azure. Alguém acedeu a esta conta a partir de um endereço IP considerado desconhecido quando comparado com a atividade recente. Um invasor obteve acesso à conta ou um usuário legítimo se conectou a partir de uma localização geográfica nova ou incomum. Um exemplo deste último é a manutenção remota de um novo aplicativo ou desenvolvedor. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média/Baixa
Acesso não autenticado incomum a um contêiner de armazenamento
(Storage.Blob_AnonymousAccessAnomaly)
Descrição: Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura ao(s) contêiner(es) de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Baixa
Potencial malware carregado para uma conta de armazenamento
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Descrição: indica que um blob contendo malware potencial foi carregado para um contêiner de blob ou um compartilhamento de arquivos em uma conta de armazenamento. Este alerta baseia-se na análise de reputação do hash, que utiliza o poder das informações sobre ameaças da Microsoft, e que inclui hashes para vírus, trojans, spyware e ransomware. As causas potenciais podem incluir um upload intencional de malware por um invasor ou um upload não intencional de um blob potencialmente malicioso por um usuário legítimo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure (somente para transações pela API REST) Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Contêineres de armazenamento acessíveis ao público descobertos com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Descrição: uma descoberta bem-sucedida de contêiner(es) de armazenamento aberto publicamente em sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de varredura.
Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles.
O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Táticas MITRE: Coleção
Gravidade: Alta/Média
Contêineres de armazenamento acessíveis publicamente verificados sem êxito
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Descrição: Na última hora, foi realizada uma série de tentativas falhadas de procurar contentores de armazenamento abertos publicamente.
Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles.
O agente de ameaças pode usar seu próprio script ou usar ferramentas de verificação conhecidas, como o Microburst, para verificar se há contêineres abertos publicamente.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Táticas MITRE: Coleção
Gravidade: Alta/Baixa
Inspeção de acesso incomum em uma conta de armazenamento
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Descrição: indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de forma incomum, em comparação com a atividade recente nessa conta. Uma causa potencial é que um atacante realizou reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Discovery
Gravidade: Alta/Média
Quantidade incomum de dados extraídos de uma conta de armazenamento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Descrição: indica que uma quantidade anormalmente grande de dados foi extraída em comparação com a atividade recente neste contêiner de armazenamento. Uma causa potencial é que um invasor extraiu uma grande quantidade de dados de um contêiner que contém armazenamento de blob. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Táticas MITRE: Exfiltração
Gravidade: Alta/Baixa
Aplicativo incomum acessou uma conta de armazenamento
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Descrição: indica que um aplicativo incomum acessou essa conta de armazenamento. Uma causa potencial é que um invasor acessou sua conta de armazenamento usando um novo aplicativo. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Alta/Média
Exploração de dados incomum em uma conta de armazenamento
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Descrição: indica que blobs ou contêineres em uma conta de armazenamento foram enumerados de forma anormal, em comparação com a atividade recente nessa conta. Uma causa potencial é que um atacante realizou reconhecimento para um ataque futuro. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure
Táticas MITRE: Execução
Gravidade: Alta/Média
Exclusão incomum em uma conta de armazenamento
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Descrição: indica que uma ou mais operações de exclusão inesperadas ocorreram em uma conta de armazenamento, em comparação com a atividade recente nessa conta. Uma causa potencial é que um invasor excluiu dados da sua conta de armazenamento. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Táticas MITRE: Exfiltração
Gravidade: Alta/Média
Acesso público não autenticado incomum a um contêiner de blob sensível (Visualização)
Storage.Blob_AnonymousAccessAnomaly.Sensível
Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento sem autenticação, usando um endereço IP externo (público). Esse acesso é suspeito, pois o contêiner de blob é aberto para acesso público e normalmente só é acessado com autenticação de redes internas (endereços IP privados). Esse acesso pode indicar que o nível de acesso do contêiner de blob está configurado incorretamente e um ator mal-intencionado pode ter explorado o acesso público. O alerta de segurança inclui o contexto de informações confidenciais descobertas (tempo de varredura, rótulo de classificação, tipos de informações e tipos de arquivo). Saiba mais sobre a deteção de ameaças a dados sensíveis. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Quantidade incomum de dados extraídos de um contêiner de blob sensível (Visualização)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Descrição: o alerta indica que alguém extraiu uma quantidade anormalmente grande de dados de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Exfiltração
Gravidade: Média
Número incomum de blobs extraídos de um recipiente de blob sensível (Preview)
Storage.Blob_DataExfiltration.NúmeroDeBlobsAnomalia.Sensível
Descrição: o alerta indica que alguém extraiu um número anormalmente grande de blobs de um contêiner de blob com dados confidenciais na conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de deteção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Exfiltração
Acesso de um aplicativo suspeito conhecido a um contêiner de blob confidencial (Visualização)
Storage.Blob_SuspiciousApp.Sensível
Descrição: o alerta indica que alguém com um aplicativo suspeito conhecido acessou um contêiner de blob com dados confidenciais na conta de armazenamento e realizou operações autenticadas.
O acesso pode indicar que um agente de ameaça obteve credenciais para acessar a conta de armazenamento usando um aplicativo suspeito conhecido. No entanto, o acesso também poderia indicar um teste de penetração realizado na organização.
Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de deteção de ameaças de sensibilidade de dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Alta
Acesso de um endereço IP suspeito conhecido a um contêiner de blob confidencial (Visualização)
Storage.Blob_SuspiciousIp.Sensível
Descrição: o alerta indica que alguém acessou um contêiner de blob com dados confidenciais na conta de armazenamento a partir de um endereço IP suspeito conhecido associado a informações sobre ameaças pelo Microsoft Threat Intelligence. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Pré-Ataque
Gravidade: Alta
Acesso de um nó de saída do Tor a um contêiner de blob sensível (Visualização)
Storage.Blob_TorAnomaly.Sensível
Descrição: O alerta indica que alguém com um endereço IP conhecido por ser um nó de saída do Tor acessou um contêiner de blob com dados confidenciais na conta de armazenamento com acesso autenticado. O acesso autenticado de um nó de saída do Tor indica fortemente que o ator está tentando permanecer anônimo para uma possível intenção maliciosa. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Pré-Ataque
Gravidade: Alta
Acesso de um local incomum a um contêiner de blob sensível (Visualização)
Storage.Blob_GeoAnomaly.Sensível
Descrição: o alerta indica que alguém acessou o contêiner de blob com dados confidenciais na conta de armazenamento com autenticação de um local incomum. Como o acesso foi autenticado, é possível que as credenciais que permitem o acesso a essa conta de armazenamento tenham sido comprometidas. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Acesso Inicial
Gravidade: Média
O nível de acesso de um contêiner de blob de armazenamento confidencial foi alterado para permitir acesso público não autenticado (Visualização)
Storage.Blob_OpenACL.Sensível
Descrição: o alerta indica que alguém alterou o nível de acesso de um contêiner de blob na conta de armazenamento, que contém dados confidenciais, para o nível 'Contêiner', que permite acesso público não autenticado (anônimo). A alteração foi feita através do portal do Azure. A alteração do nível de acesso pode comprometer a segurança dos dados. Recomendamos tomar medidas imediatas para proteger os dados e impedir o acesso não autorizado caso esse alerta seja acionado. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage com o recurso de deteção de ameaças de sensibilidade a dados habilitado.
Táticas MITRE: Coleção
Gravidade: Alta
Acesso externo suspeito a uma conta de armazenamento do Azure com token SAS excessivamente permissivo (Pré-visualização)
Storage.Blob_AccountSas.InternalSasUsedExternally
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. Este tipo de acesso é considerado suspeito porque o token SAS é normalmente usado apenas em redes internas (a partir de endereços IP privados). A atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, usar um token SAS de alta permissão com uma data de expiração longa vai contra as práticas recomendadas de segurança e representa um risco potencial de segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Média
Operação externa suspeita para uma conta de armazenamento do Azure com token SAS excessivamente permissivo (Visualização)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS excessivamente permissivo com uma data de expiração longa. O acesso é considerado suspeito porque as operações invocadas fora da sua rede (não a partir de endereços IP privados) com este token SAS são normalmente utilizadas para um conjunto específico de operações de Leitura/Escrita/Eliminação, mas ocorreram outras operações, o que torna este acesso suspeito. Essa atividade pode indicar que um token SAS foi vazado por um ator mal-intencionado ou vazado involuntariamente de uma fonte legítima. Mesmo que o acesso seja legítimo, usar um token SAS de alta permissão com uma data de expiração longa vai contra as práticas recomendadas de segurança e representa um risco potencial de segurança. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Média
O token SAS incomum foi usado para acessar uma conta de armazenamento do Azure a partir de um endereço IP público (Visualização)
Storage.Blob_AccountSas.UnusualExternalAccess
Descrição: o alerta indica que alguém com um endereço IP externo (público) acessou a conta de armazenamento usando um token SAS de conta. O acesso é altamente incomum e considerado suspeito, já que o acesso à conta de armazenamento usando tokens SAS normalmente vem apenas de endereços IP internos (privados). É possível que um token SAS tenha sido vazado ou gerado por um ator mal-intencionado dentro da sua organização ou externamente para obter acesso a essa conta de armazenamento. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano Defender for Storage.
Táticas MITRE: Exfiltração / Desenvolvimento de Recursos / Impacto
Gravidade: Baixa
Arquivo malicioso carregado para a conta de armazenamento
Storage.Blob_AM. MalwareFound
Descrição: o alerta indica que um blob malicioso foi carregado para uma conta de armazenamento. Este alerta de segurança é gerado pelo recurso de verificação de malware no Defender for Storage. As causas potenciais podem incluir um carregamento intencional de malware por um agente de ameaça ou um carregamento não intencional de um ficheiro malicioso por um utilizador legítimo. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de verificação de malware habilitado.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
O blob malicioso foi transferido de uma conta de armazenamento (Pré-visualização)
Storage.Blob_MalwareDownload
Descrição: o alerta indica que um blob mal-intencionado foi baixado de uma conta de armazenamento. As causas potenciais podem incluir malware que foi carregado para a conta de armazenamento e não foi removido ou colocado em quarentena, permitindo assim que um agente de ameaça o transfira, ou um descarregamento não intencional do malware por utilizadores legítimos ou aplicações. Aplica-se a: contas de armazenamento de Blob do Azure (Standard general-purpose v2, Azure Data Lake Storage Gen2 ou blobs de bloco premium) com o novo plano do Defender for Storage com o recurso de verificação de malware habilitado.
Táticas MITRE: Movimento Lateral
Gravidade: Alta, se Eicar - baixa
Alertas para o Azure Cosmos DB
Acesso a partir de um nó de saída do Tor
(CosmosDB_TorAnomaly)
Descrição: Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor, um proxy anonimizado. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade.
Táticas MITRE: Acesso Inicial
Gravidade: Alta/Média
Acesso a partir de um IP suspeito
(CosmosDB_SuspiciousIp)
Descrição: Esta conta do Azure Cosmos DB foi acedida com êxito a partir de um endereço IP que foi identificado como uma ameaça pelo Microsoft Threat Intelligence.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Acesso a partir de um local incomum
(CosmosDB_GeoAnomaly)
Descrição: Esta conta do Azure Cosmos DB foi acedida a partir de uma localização considerada desconhecida, com base no padrão de acesso habitual.
Um agente de ameaça obteve acesso à conta ou um usuário legítimo se conectou a partir de uma localização geográfica nova ou incomum
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Volume incomum de dados extraídos
(CosmosDB_DataExfiltrationAnomaly)
Descrição: um volume anormalmente grande de dados foi extraído desta conta do Azure Cosmos DB. Isso pode indicar que um agente de ameaça exfiltrou dados.
Táticas MITRE: Exfiltração
Gravidade: Média
Extração de chaves de contas do Azure Cosmos DB por meio de um script potencialmente mal-intencionado
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de operações de listagem de chaves para obter as chaves das contas do Azure Cosmos DB em sua assinatura. Os agentes de ameaças usam scripts automatizados, como o Microburst, para listar chaves e encontrar contas do Azure Cosmos DB que podem acessar.
Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer contas do Azure Cosmos DB em seu ambiente para intenções maliciosas.
Alternativamente, um insider mal-intencionado pode estar tentando acessar dados confidenciais e executar movimentos laterais.
Táticas MITRE: Coleção
Gravidade: Média
Extração suspeita de chaves de conta do Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Descrição: uma fonte suspeita extraiu chaves de acesso da conta do Azure Cosmos DB da sua assinatura. Se essa fonte não for legítima, isso pode ser um problema de alto impacto. A chave de acesso que foi extraída fornece controle total sobre os bancos de dados associados e os dados armazenados nele. Veja os detalhes de cada alerta específico para entender por que a fonte foi sinalizada como suspeita.
Táticas MITRE: Acesso a credenciais
Gravidade: alta
Injeção de SQL: potencial exfiltração de dados
(CosmosDB_SqlInjection.DataExfiltration)
Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.
A declaração injetada pode ter conseguido exfiltrar dados que o agente de ameaça não está autorizado a acessar.
Devido à estrutura e aos recursos das consultas do Azure Cosmos DB, muitos ataques conhecidos de injeção de SQL em contas do Azure Cosmos DB não podem funcionar. No entanto, a variação usada neste ataque pode funcionar e os agentes de ameaça podem exfiltrar dados.
Táticas MITRE: Exfiltração
Gravidade: Média
Injeção de SQL: tentativa de difusão
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Descrição: uma instrução SQL suspeita foi usada para consultar um contêiner nesta conta do Azure Cosmos DB.
Como outros ataques de injeção de SQL bem conhecidos, esse ataque não terá êxito em comprometer a conta do Azure Cosmos DB.
No entanto, é uma indicação de que um agente de ameaça está tentando atacar os recursos dessa conta e seu aplicativo pode estar comprometido.
Alguns ataques de injeção de SQL podem ser bem-sucedidos e usados para exfiltrar dados. Isso significa que, se o invasor continuar executando tentativas de injeção de SQL, poderá comprometer sua conta do Azure Cosmos DB e exfiltrar dados.
Você pode evitar essa ameaça usando consultas parametrizadas.
Táticas MITRE: Pré-ataque
Gravidade: Baixa
Alertas para a camada de rede do Azure
Comunicação de rede com uma máquina maliciosa detetada
(Network_CommunicationWithC2)
Descrição: A análise de tráfego de rede indica que a sua máquina (IP %{Victim IP}) comunicou com o que é possivelmente um centro de Comando e Controlo. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo) se comunicaram com o que é possivelmente um centro de Comando e Controle.
Táticas MITRE: Comando e Controle
Gravidade: Média
Possível máquina comprometida detetada
(Network_ResourceIpIndicatedAsMalicious)
Descrição: A inteligência de ameaças indica que a sua máquina (no IP %{IP da máquina}) pode ter sido comprometida por um malware do tipo Conficker. O Conficker era um worm de computador que tinha como alvo o sistema operacional Microsoft Windows e foi detetado pela primeira vez em novembro de 2008. O Conficker infetou milhões de computadores, incluindo computadores governamentais, empresariais e domésticos em mais de 200 países/regiões, tornando-se a maior infeção conhecida por worms de computador desde o worm Welchia de 2003.
Táticas MITRE: Comando e Controle
Gravidade: Média
Possíveis tentativas de força bruta de entrada de %{Nome do Serviço} detetadas
(Generic_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou a comunicação de entrada de %{Nome do Serviço} para %{IP da vítima}, associada ao seu recurso %{Host comprometido} de %{IP do invasor}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Porta de Vítima}. Essa atividade é consistente com tentativas de força bruta contra servidores %{Nome do Serviço}.
Táticas MITRE: PreAttack
Gravidade: Informativo
Possíveis tentativas de força bruta SQL de entrada detetadas
(SQL_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou comunicação SQL de entrada para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram atividade suspeita entre %{Hora de Início} e %{Hora de Término} na porta %{Número da Porta} (%{Tipo de Serviço SQL}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Possível ataque de negação de serviço de saída detetado
(DDOS)
Descrição: A análise de tráfego de rede detetou atividade de saída anômala originada de %{Host comprometido}, um recurso em sua implantação. Essa atividade pode indicar que seu recurso foi comprometido e agora está envolvido em ataques de negação de serviço contra pontos de extremidade externos. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, a atividade suspeita pode indicar que um ou mais dos recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo) foram comprometidos. Com base no volume de conexões, acreditamos que os seguintes IPs são possivelmente os alvos do ataque DOS: %{Possíveis Vítimas}. Note que é possível que a comunicação a alguns destes IPs seja legítima.
Táticas MITRE: Impacto
Gravidade: Média
Atividade de rede RDP de entrada suspeita de várias fontes
(RDP_Incoming_BF_ManyToOne)
Descrição: A análise de tráfego de rede detetou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{Victim IP}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de IPs invasores} IPs exclusivos se conectando ao seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutalmente seu ponto final RDP de vários hosts (Botnet).
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou comunicação anômala de entrada do protocolo RDP (Remote Desktop Protocol) para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de entrada para seu recurso, o que é considerado anormal para esse ambiente. Esta atividade pode indicar uma tentativa de força bruta no ponto final RDP
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita de várias fontes
(SSH_Incoming_BF_ManyToOne)
Descrição: A análise de tráfego de rede detetou comunicação SSH de entrada anômala para %{IP da vítima}, associada ao seu recurso %{Host comprometido}, de várias fontes. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de IPs invasores} IPs exclusivos se conectando ao seu recurso, o que é considerado anormal para esse ambiente. Essa atividade pode indicar uma tentativa de forçar brutalmente seu ponto final SSH de vários hosts (Botnet)
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou comunicação SSH de entrada anômala para %{Victim IP}, associada ao seu recurso %{Compromised Host}, de %{Attacker IP}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de entrada suspeito foi encaminhado para um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de entrada para seu recurso, o que é considerado anormal para esse ambiente. Esta atividade pode indicar uma tentativa de forçar brutalmente o seu ponto final SSH
Táticas MITRE: PreAttack
Gravidade: Média
Tráfego de saída suspeito de %{Protocolo Atacado} detetado
(PortScanning)
Descrição: A análise de tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido} para a porta de destino %{Porta mais comum}. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Esse comportamento pode indicar que seu recurso está participando de tentativas de força bruta ou ataques de varredura de porta de %{Protocolo Atacado}.
Táticas MITRE: Discovery
Gravidade: Média
Atividade suspeita de rede RDP de saída para vários destinos
(RDP_Outgoing_BF_OneToMany)
Descrição: A análise de tráfego de rede detetou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para vários destinos originados de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram sua máquina se conectando a IPs exclusivos de %{Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais RDP externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.
Táticas MITRE: Discovery
Gravidade: Alta
Atividade suspeita de rede RDP de saída
(RDP_Outgoing_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou comunicação anômala de saída do protocolo RDP (Remote Desktop Protocol) para %{Victim IP} originada de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de saída do seu recurso, o que é considerado anormal para este ambiente. Essa atividade pode indicar que sua máquina foi comprometida e agora é usada para pontos finais RDP externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Alta
Atividade suspeita de rede SSH de saída para vários destinos
(SSH_Outgoing_BF_OneToMany)
Descrição: A análise de tráfego de rede detetou comunicação SSH de saída anômala para vários destinos originada de %{Host comprometido} (%{IP do invasor}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram seu recurso se conectando a IPs exclusivos de %{Número de IPs Atacados}, o que é considerado anormal para esse ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.
Táticas MITRE: Discovery
Gravidade: Média
Atividade suspeita de rede SSH de saída
(SSH_Outgoing_BF_OneToOne)
Descrição: A análise de tráfego de rede detetou comunicação SSH de saída anômala para %{Victim IP} originada de %{Compromised Host} (%{Attacker IP}), um recurso em sua implantação. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Especificamente, os dados de rede de amostra mostram %{Número de conexões} conexões de saída do seu recurso, o que é considerado anormal para este ambiente. Essa atividade pode indicar que seu recurso foi comprometido e agora é usado para pontos finais SSH externos de força bruta. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Tráfego detetado a partir de endereços IP recomendados para bloqueio
(Network_TrafficFromUnrecommendedIP)
Descrição: O Microsoft Defender for Cloud detetou tráfego de entrada de endereços IP recomendados para serem bloqueados. Isso normalmente ocorre quando esse endereço IP não se comunica regularmente com esse recurso. Como alternativa, o endereço IP foi sinalizado como malicioso pelas fontes de inteligência de ameaças do Defender for Cloud.
Táticas MITRE: Sondagem
Gravidade: Informativo
Alertas para o Azure Key Vault
Acesso a partir de um endereço IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccess)
Descrição: Um cofre de chaves foi acedido com êxito por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso de um nó de saída TOR a um cofre de chaves
(KV_TORAccess)
Descrição: Um cofre de chaves foi acessado a partir de um nó de saída TOR conhecido. Isso pode ser uma indicação de que um agente de ameaça acessou o cofre de chaves e está usando a rede TOR para ocultar seu local de origem. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alto volume de operações em um cofre de chaves
(KV_OperationVolumeAnomaly)
Descrição: um número anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alteração suspeita de política e consulta secreta em um cofre de chaves
(KV_PutGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de alteração de política do Vault Put seguida por uma ou mais operações Secret Get. Esse padrão normalmente não é executado pelo usuário ou entidade de serviço especificada. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça atualizou a política do cofre de chaves para acessar segredos anteriormente inacessíveis. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Lista de segredos suspeita e consulta num key vault
(KV_ListGetAnomaly)
Descrição: um usuário ou entidade de serviço executou uma operação anômala de Lista Secreta seguida por uma ou mais operações de Obter Secreto. Este padrão normalmente não é executado pelo utilizador ou principal de serviço especificada e normalmente está associado à captura de segredos. Isso pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e está tentando descobrir segredos que podem ser usados para se mover lateralmente pela sua rede e/ou obter acesso a recursos confidenciais. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso incomum negado - Usuário que acessa alto volume de cofres de chaves negado
(KV_AccountVolumeAccessDeniedAnomaly)
Descrição: um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Discovery
Gravidade: Baixa
Acesso incomum negado - Usuário incomum acessando cofre de chaves negado
(KV_UserAccessDeniedAnomaly)
Descrição: Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele.
Táticas MITRE: Acesso inicial, descoberta
Gravidade: Baixa
Aplicativo incomum acessou um cofre de chaves
(KV_AppAnomaly)
Descrição: um cofre de chaves foi acessado por uma entidade de serviço que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Padrão de operação incomum em um cofre de chaves
(KV_OperationPatternAnomaly)
Descrição: um padrão anômalo de operações do cofre de chaves foi executado por um usuário, entidade de serviço e/ou um cofre de chaves específico. Esse padrão de atividade anômalo pode ser legítimo, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Usuário incomum acessou um cofre de chaves
(KV_UserAnomaly)
Descrição: um cofre de chaves foi acessado por um usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Par usuário-aplicativo incomum acessou um cofre de chaves
(KV_UserAppAnomaly)
Descrição: um cofre de chaves foi acessado por um par de entidade de serviço de usuário que normalmente não o acessa. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso ao cofre de chaves em uma tentativa de acessar os segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
O usuário acessou um grande volume de cofres de chaves
(KV_AccountVolumeAnomaly)
Descrição: um usuário ou entidade de serviço acessou um volume anormalmente alto de cofres de chaves. Esse padrão de acesso anômalo pode ser uma atividade legítima, mas pode ser uma indicação de que um agente de ameaça obteve acesso a vários cofres de chaves na tentativa de acessar os segredos contidos neles. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Acesso negado de um IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccessDenied)
Descrição: Um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Baixa
Acesso incomum ao cofre de chaves a partir de um IP suspeito (não Microsoft ou externo)
(KV_UnusualAccessSuspiciousIP)
Descrição: um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não seja da Microsoft nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alertas para Proteção contra DDoS do Azure
Ataque DDoS detetado para IP público
(NETWORK_DDOS_DETECTED)
Descrição: Ataque DDoS detetado para IP público (endereço IP) e sendo mitigado.
Táticas MITRE: Sondagem
Gravidade: Alta
Ataque DDoS mitigado para IP público
(NETWORK_DDOS_MITIGATED)
Descrição: Ataque DDoS mitigado para IP público (endereço IP).
Táticas MITRE: Sondagem
Gravidade: Baixa
Alertas para o Defender for APIs
Pico suspeito de nível populacional no tráfego da API para um ponto de extremidade da API
(API_PopulationSpikeInAPITraffic)
Descrição: um pico suspeito no tráfego da API foi detetado em um dos pontos de extremidade da API. O sistema de deteção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego de API de rotina entre todos os IPs e o ponto de extremidade, com a linha de base sendo específica para o tráfego da API para cada código de status (como 200 Success). O sistema de deteção assinalou um desvio incomum desta linha de base, levando à deteção de atividades suspeitas.
Táticas MITRE: Impacto
Gravidade: Média
Pico suspeito no tráfego da API de um único endereço IP para um ponto de extremidade da API
(API_SpikeInAPITraffic)
Descrição: Um pico suspeito no tráfego da API foi detetado de um IP do cliente para o ponto de extremidade da API. O sistema de deteção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego de API de rotina para o ponto de extremidade proveniente de um IP específico para o ponto de extremidade. O sistema de deteção assinalou um desvio incomum desta linha de base, levando à deteção de atividades suspeitas.
Táticas MITRE: Impacto
Gravidade: Média
Carga útil de resposta excepcionalmente grande transmitida entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInPayload)
Descrição: Um pico suspeito no tamanho da carga útil de resposta da API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o tamanho típico da carga útil de resposta da API entre um IP específico e um ponto de extremidade da API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque um tamanho de carga útil de resposta da API se desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
Corpo de solicitação excepcionalmente grande transmitido entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInPayload)
Descrição: Um pico suspeito no tamanho do corpo da solicitação de API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o tamanho típico do corpo da solicitação de API entre um IP específico e um ponto de extremidade da API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque o tamanho de uma solicitação de API se desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
(Pré-visualização) Pico suspeito de latência para o tráfego entre um único endereço IP e um ponto de extremidade de API
(API_SpikeInLatency)
Descrição: Foi observado um pico suspeito de latência para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa a latência de tráfego de API de rotina entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque uma latência de chamada de API se desviou significativamente da linha de base histórica.
Táticas MITRE: Acesso inicial
Gravidade: Média
As solicitações de API pulverizam de um único endereço IP para um número anormalmente grande de pontos de extremidade de API distintos
(API_SprayInRequests)
Descrição: Um único IP foi observado fazendo chamadas de API para um número excepcionalmente grande de pontos finais distintos. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defenders for APIs aprende uma linha de base que representa o número típico de pontos de extremidade distintos chamados por um único IP em janelas de 20 minutos. O alerta foi acionado porque o comportamento de um único IP se desviou significativamente da linha de base histórica.
Táticas MITRE: Discovery
Gravidade: Média
Enumeração de parâmetros em um ponto de extremidade da API
(API_ParameterEnumeration)
Descrição: Um único IP foi observado enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados por um único IP ao acessar esse ponto de extremidade em janelas de 20 minutos. O alerta foi acionado porque um único IP de cliente acessou recentemente um ponto de extremidade usando um número anormalmente grande de valores de parâmetros distintos.
Táticas MITRE: Acesso inicial
Gravidade: Média
Enumeração de parâmetros distribuídos em um ponto de extremidade de API
(API_DistributedParameterEnumeration)
Descrição: A população agregada de usuários (todos os IPs) foi observada enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados pela população de usuários (todos os IPs) ao acessar um ponto de extremidade em janelas de 20 minutos. O alerta foi acionado porque a população de usuários acessou recentemente um ponto de extremidade usando um número anormalmente grande de valores de parâmetros distintos.
Táticas MITRE: Acesso inicial
Gravidade: Média
Valor(es) de parâmetro com tipos de dados anômalos em uma chamada de API
(API_UnseenParamType)
Descrição: Um único IP foi observado acessando um de seus pontos de extremidade de API e usando valores de parâmetros de um tipo de dados de baixa probabilidade (por exemplo, string, inteiro, etc.). Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende os tipos de dados esperados para cada parâmetro de API. O alerta foi acionado porque um IP acessou recentemente um ponto de extremidade usando um tipo de dados anteriormente de baixa probabilidade como entrada de parâmetro.
Táticas MITRE: Impacto
Gravidade: Média
Parâmetro inédito usado em uma chamada de API
(API_UnseenParam)
Descrição: Um único IP foi observado acessando um dos pontos de extremidade da API usando um parâmetro inédito ou fora dos limites na solicitação. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende um conjunto de parâmetros esperados associados a chamadas para um ponto de extremidade. O alerta foi acionado porque um IP acessou recentemente um ponto de extremidade usando um parâmetro inédito.
Táticas MITRE: Impacto
Gravidade: Média
Acesso de um nó de saída do Tor a um ponto de extremidade da API
(API_AccessFromTorExitNode)
Descrição: Um endereço IP da rede Tor acessou um dos seus pontos de extremidade da API. Tor é uma rede que permite que as pessoas acessem a Internet, mantendo seu IP real escondido. Embora existam usos legítimos, é frequentemente usado por atacantes para ocultar a sua identidade quando visam os sistemas das pessoas online.
Táticas MITRE: Pré-ataque
Gravidade: Média
Acesso ao API Endpoint a partir de IP suspeito
(API_AccessFromSuspiciousIP)
Descrição: Um endereço IP que acede a um dos seus pontos de extremidade de API foi identificado pela Microsoft Threat Intelligence como tendo uma elevada probabilidade de ser uma ameaça. Ao observar o tráfego malicioso da Internet, este IP surgiu como envolvido no ataque a outros alvos online.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Agente de usuário suspeito detetado
(API_AccessFromSuspiciousUserAgent)
Descrição: O agente de usuário de uma solicitação que acessa um dos pontos de extremidade da API continha valores anômalos indicativos de uma tentativa de execução remota de código. Isso não significa que nenhum dos seus pontos de extremidade de API tenha sido violado, mas sugere que uma tentativa de ataque está em andamento.
Táticas MITRE: Execução
Gravidade: Média
Alertas do Defender for Containers preterido
As listas a seguir incluem os alertas de segurança do Defender for Containers que foram preteridos.
Manipulação do firewall do host detetada
(K8S. NODE_FirewallDisabled)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma possível manipulação do firewall no host. Os atacantes geralmente desativam isso para exfiltrar dados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uso suspeito de DNS sobre HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou o uso de uma chamada DNS sobre HTTPS de forma incomum. Esta técnica é usada por atacantes para ocultar chamadas para sites suspeitos ou maliciosos.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Foi detetada uma possível ligação a uma localização maliciosa.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detetou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Este é um indicador de que pode ter ocorrido um compromisso.
Táticas MITRE: InitialAccess
Gravidade: Média
Atividade de mineração de moeda digital
(K8S. NODE_CurrencyMining)
Descrição: A análise das transações DNS detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Alertas do Defender for Servers Linux preteridos
VM_AbnormalDaemonTermination
Nome de exibição do alerta: terminação anormal
Gravidade: Baixa
VM_BinaryGeneratedFromCommandLine
Nome de exibição do alerta: binário suspeito detetado
Gravidade: Média
VM_CommandlineSuspectDomain Suspeito
Nome de exibição do alerta: referência de nome de domínio
Gravidade: Baixa
VM_CommonBot
Nome de exibição do alerta: comportamento semelhante aos bots comuns do Linux detetados
Gravidade: Média
VM_CompCommonBots
Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detetados
Gravidade: Média
VM_CompSuspiciousScript
Nome de exibição do alerta: Shell Script detetado
Gravidade: Média
VM_CompTestRule
Nome de exibição do alerta: Alerta de teste analítico composto
Gravidade: Baixa
VM_CronJobAccess
Nome de exibição do alerta: manipulação de tarefas agendadas detetada
Gravidade: Informativo
VM_CryptoCoinMinerArtifacts
Nome de exibição do alerta: Processo associado à mineração de moeda digital detetado
Gravidade: Média
VM_CryptoCoinMinerDownload
Nome de exibição do alerta: Possível download do Cryptocoinminer detetado
Gravidade: Média
VM_CryptoCoinMinerExecution
Nome de exibição do alerta: Potencial minerador de moedas criptográficas iniciado
Gravidade: Média
VM_DataEgressArtifacts
Nome de exibição do alerta: Possível exfiltração de dados detetada
Gravidade: Média
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado
Gravidade: Alta
VM_DownloadAndRunCombo
Nome de exibição do alerta: Download suspeito e executar atividade
Gravidade: Média
VM_EICAR
Nome de exibição do alerta: alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)
Gravidade: Alta
VM_ExecuteHiddenFile
Nome de exibição do alerta: Execução de arquivo oculto
Gravidade: Informativo
VM_ExploitAttempt
Nome de exibição do alerta: Possível tentativa de exploração da linha de comando
Gravidade: Média
VM_ExposedDocker
Nome de exibição do alerta: daemon do Docker exposto no soquete TCP
Gravidade: Média
VM_FairwareMalware
Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detetado
Gravidade: Média
VM_FirewallDisabled
Nome de exibição do alerta: Manipulação do firewall do host detetada
Gravidade: Média
VM_HadoopYarnExploit
Nome de exibição do alerta: possível exploração do Hadoop Yarn
Gravidade: Média
VM_HistoryFileCleared
Nome para exibição do alerta: um arquivo de histórico foi limpo
Gravidade: Média
VM_KnownLinuxAttackTool
Nome de exibição do alerta: Possível ferramenta de ataque detetada
Gravidade: Média
VM_KnownLinuxCredentialAccessTool
Nome para exibição do alerta: Possível ferramenta de acesso a credenciais detetada
Gravidade: Média
VM_KnownLinuxDDoSToolkit
Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detetados
Gravidade: Média
VM_KnownLinuxScreenshotTool
Nome de exibição do alerta: captura de tela tirada no host
Gravidade: Baixa
VM_LinuxBackdoorArtifact
Nome de exibição do alerta: Possível backdoor detetado
Gravidade: Média
VM_LinuxReconnaissance
Nome de exibição do alerta: reconhecimento do host local detetado
Gravidade: Média
VM_MismatchedScriptFeatures
Nome de exibição do alerta: incompatibilidade de extensão de script detetada
Gravidade: Média
VM_MitreCalderaTools
Nome de exibição do alerta: Agente MITRE Caldera detetado
Gravidade: Média
VM_NewSingleUserModeStartupScript
Nome de exibição do alerta: tentativa de persistência detetada
Gravidade: Média
VM_NewSudoerAccount
Nome de exibição do alerta: Conta adicionada ao grupo sudo
Gravidade: Baixa
VM_OverridingCommonFiles
Nome de exibição do alerta: Substituição potencial de arquivos comuns
Gravidade: Média
VM_PrivilegedContainerArtifacts
Nome de exibição do alerta: contêiner em execução no modo privilegiado
Gravidade: Baixa
VM_PrivilegedExecutionInContainer
Nome de exibição do alerta: comando dentro de um contêiner em execução com altos privilégios
Gravidade: Baixa
VM_ReadingHistoryFile
Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash
Gravidade: Informativo
VM_ReverseShell
Nome de exibição do alerta: Potencial shell reverso detetado
Gravidade: Média
VM_SshKeyAccess
Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de uma maneira incomum
Gravidade: Baixa
VM_SshKeyAddition
Nome de exibição do alerta: Nova chave SSH adicionada
Gravidade: Baixa
VM_SuspectCompilation
Nome de exibição do alerta: compilação suspeita detetada
Gravidade: Média
VM_SuspectConnection
Nome de exibição do alerta: uma tentativa de conexão incomum detetada
Gravidade: Média
VM_SuspectDownload
Nome de exibição do alerta: download de arquivo detetado de uma fonte maliciosa conhecida
Gravidade: Média
VM_SuspectDownloadArtifacts
Nome de exibição do alerta: Detetado o download de arquivos suspeitos
Gravidade: Baixa
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito
Gravidade: Média
VM_SuspectHtaccessFileAccess
Nome de exibição do alerta: Acesso do arquivo htaccess detetado
Gravidade: Média
VM_SuspectInitialShellCommand
Nome de exibição do alerta: primeiro comando suspeito no shell
Gravidade: Baixa
VM_SuspectMixedCaseText
Nome de exibição do alerta: Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Média
VM_SuspectNetworkConnection
Nome de exibição do alerta: conexão de rede suspeita
Gravidade: Informativo
VM_SuspectNohup
Nome de exibição do alerta: Detetado o uso suspeito do comando nohup
Gravidade: Média
VM_SuspectPasswordChange
Nome de exibição do alerta: Possível alteração de senha usando o método crypt detetado
Gravidade: Média
VM_SuspectPasswordFileAccess
Nome de exibição do alerta: acesso suspeito à senha
Gravidade: Informativo
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita do PHP detetada
Gravidade: Média
VM_SuspectPortForwarding
Nome de exibição do alerta: Potencial encaminhamento de porta para endereço IP externo
Gravidade: Média
VM_SuspectProcessAccountPrivilegeCombo
Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se root inesperadamente
Gravidade: Média
VM_SuspectProcessTermination
Nome de exibição do alerta: Encerramento do processo relacionado à segurança detetado
Gravidade: Baixa
VM_SuspectUserAddition
Nome de exibição do alerta: Detetado o uso suspeito do comando useradd
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeito
Gravidade: Alta
VM_SuspiciousDNSOverHttps
Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS
Gravidade: Média
VM_SystemLogRemoval
Nome de exibição do alerta: possível atividade de violação de log detetada
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado
Gravidade: Alta
VM_TimerServiceDisabled
Nome de exibição do alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detetado
Gravidade: Informativo
VM_TimestampTampering
Nome de exibição do alerta: modificação suspeita do carimbo de data/hora do arquivo
Gravidade: Baixa
VM_Webshell
Nome de exibição do alerta: Possível shell da Web mal-intencionado detetado
Gravidade: Média
Alertas do Windows do Defender for Servers preterido
SCUBA_MULTIPLEACCOUNTCREATE
Nome de exibição de alerta: criação suspeita de contas em vários hosts
Gravidade: Média
SCUBA_PSINSIGHT_CONTEXT
Nome de exibição do alerta: uso suspeito do PowerShell detetado
Gravidade: Informativo
SCUBA_RULE_AddGuestToAdministrators
Nome de Exibição do Alerta: Adição da conta de convidado ao grupo Administradores Locais
Gravidade: Média
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands
Gravidade: Média
SCUBA_RULE_KnownBruteForcingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownCollectionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownExecutionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownPassTheHashTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownSpammingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Média
SCUBA_RULE_Lowering_Security_Settings
Nome de exibição do alerta: detetada a desativação de serviços críticos
Gravidade: Média
SCUBA_RULE_OtherKnownHackerTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP
Gravidade: Média
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome de exibição do alerta: instalação de serviço suspeito
Gravidade: Média
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome de exibição do alerta: Supressão detetada do aviso legal exibido aos usuários no logon
Gravidade: Baixa
SCUBA_RULE_WDigest_Enabling
Nome de Exibição do Alerta: Detetada a ativação da chave do Registro WDigest UseLogonCredential
Gravidade: Média
VM.Windows_ApplockerBypass
Nome de exibição do alerta: Tentativa potencial de ignorar o AppLocker detetada
Gravidade: Alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome de exibição do alerta: criação de arquivos suspeitos detetados
Gravidade: Alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome de exibição do alerta: executável codificado detetado nos dados da linha de comando
Gravidade: Alta
VM.Windows_CalcsCommandLineUse
Nome de exibição do alerta: Detetado o uso suspeito de Cacls para reduzir o estado de segurança do sistema
Gravidade: Média
VM.Windows_CommandLineStartingAllExe
Nome de exibição do alerta: linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório
Gravidade: Média
VM.Windows_DisablingAndDeletingIISLogFiles
Nome de exibição do alerta: ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS
Gravidade: Média
VM.Windows_DownloadUsingCertutil
Nome de exibição do alerta: Download suspeito usando Certutil detetado
Gravidade: Média
VM.Windows_EchoOverPipeOnLocalhost
Nome de exibição do alerta: Comunicações suspeitas de pipe nomeado detetadas
Gravidade: Alta
VM.Windows_EchoToConstructPowerShellScript
Nome para exibição do alerta: construção de script do PowerShell dinâmico
Gravidade: Média
VM.Windows_ExecutableDecodedUsingCertutil
Nome de exibição do alerta: decodificação detetada de um executável usando a ferramenta certutil.exe integrada
Gravidade: Média
VM.Windows_FileDeletionIsSospisiousLocation
Nome de exibição do alerta: exclusão de arquivo suspeito detetada
Gravidade: Média
VM.Windows_KerberosGoldenTicketAttack
Nome de exibição do alerta: parâmetros suspeitos de ataque Kerberos Golden Ticket observados
Gravidade: Média
VM.Windows_KeygenToolKnownProcessName
Nome de exibição do alerta: Detetada possível execução do executável keygen Processo suspeito executado
Gravidade: Média
VM.Windows_KnownCredentialAccessTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome de exibição do alerta: uso suspeito do PowerShell detetado
Gravidade: Alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome de exibição do alerta: software de alto risco detetado
Gravidade: Média
VM.Windows_MsHtaAndPowerShellCombination
Nome de exibição do alerta: Detetada combinação suspeita de HTA e PowerShell
Gravidade: Média
VM.Windows_MultipleAccountsQuery
Nome de exibição do alerta: várias contas de domínio consultadas
Gravidade: Média
VM.Windows_NewAccountCreation
Nome de exibição do alerta: criação de conta detetada
Gravidade: Informativo
VM.Windows_ObfuscatedCommandLine
Nome de exibição do alerta: linha de comando ofuscada detetada.
Gravidade: Alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome de exibição do alerta: Detetado o uso suspeito de Pcalua.exe para iniciar o código executável
Gravidade: Média
VM.Windows_PetyaRansomware
Nome de exibição do alerta: Indicadores do ransomware Petya detetados
Gravidade: Alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados
Gravidade: Média
VM.Windows_RansomwareIndication
Nome de exibição do alerta: Indicadores de ransomware detetados
Gravidade: Alta
VM.Windows_SqlDumperUsedSuspiciously
Nome de exibição do alerta: Possível dumping de credenciais detetado [visto várias vezes]
Gravidade: Média
VM.Windows_StopCriticalServices
Nome de exibição do alerta: detetada a desativação de serviços críticos
Gravidade: Média
VM.Windows_SubvertingAccessibilityBinary
Nome de exibição do alerta: Ataque de chaves adesivas detetado Criação de conta suspeita detetada Médio
VM.Windows_SuspiciousAccountCreation
Nome de exibição do alerta: criação de conta suspeita detetada
Gravidade: Média
VM.Windows_SuspiciousFirewallRuleAdded
Nome de exibição do alerta: nova regra de firewall suspeita detetada
Gravidade: Média
VM.Windows_SuspiciousFTPSSwitchUsage
Nome de exibição do alerta: Detetado o uso suspeito do switch FTP -s
Gravidade: Média
VM.Windows_SuspiciousSQLActivity
Nome de exibição do alerta: atividade SQL suspeita
Gravidade: Média
VM.Windows_SVCHostFromInvalidPath
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_SystemEventLogCleared
Nome para Exibição do Alerta: O log de Segurança do Windows foi limpo
Gravidade: Informativo
VM.Windows_TelegramInstallation
Nome de exibição de alerta: Detetado uso potencialmente suspeito da ferramenta Telegram
Gravidade: Média
VM.Windows_UndercoverProcess
Nome de exibição do alerta: processo com nome suspeito detetado
Gravidade: Alta
VM.Windows_UserAccountControlBypass
Nome de Exibição do Alerta: Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC
Gravidade: Média
VM.Windows_VBScriptEncoding
Nome de exibição do alerta: Execução suspeita detetada do comando VBScript.Encode
Gravidade: Média
VM.Windows_WindowPositionRegisteryChange
Nome de exibição do alerta: valor do Registro WindowPosition suspeito detetado
Gravidade: Baixa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome de exibição do alerta: Regra de firewall maliciosa criada pelo implante do servidor ZINC
Gravidade: Alta
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado
Gravidade: Alta
VM_MaliciousSQLActivity
Nome de exibição do alerta: atividade maliciosa do SQL
Gravidade: Alta
VM_ProcessWithDoubleExtensionExecution
Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado
Gravidade: Alta
VM_RegistryPersistencyKey
Nome de exibição do alerta: método de persistência do registro do Windows detetado
Gravidade: Baixa
VM_ShadowCopyDeletion
Nome de exibição do alerta: Executável suspeito da atividade de cópia de sombra de volume encontrado em execução a partir de um local suspeito
Gravidade: Alta
VM_SuspectExecutablePath
Nome de exibição do alerta: Executável encontrado em execução a partir de um local suspeito Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Informativo
Médio
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita do PHP detetada
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeito
Gravidade: Alta
VM_SuspiciousScreenSaverExecution
Nome de exibição do alerta: processo suspeito do protetor de tela executado
Gravidade: Média
VM_SvcHostRunInRareServiceGroup
Nome de exibição do alerta: grupo de serviço SVCHOST raro executado
Gravidade: Informativo
VM_SystemProcessInAbnormalContext
Nome de exibição do alerta: Processo suspeito do sistema executado
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado
Gravidade: Alta
VM_VbScriptHttpObjectAllocation
Nome de exibição do alerta: alocação de objeto HTTP VBScript detetada
Gravidade: Alta
VM_TaskkillBurst
Nome de exibição do alerta: Interrupção suspeita de encerramento do processo
Gravidade: Baixa
VM_RunByPsExec
Nome de exibição do alerta: execução PsExec detetada
Gravidade: Informativo
Táticas MITRE ATT&CK
Compreender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento mais facilmente. Para ajudar com esses esforços, os alertas do Microsoft Defender for Cloud incluem as táticas MITRE com muitos alertas.
A série de passos que descrevem a progressão de um ciberataque do reconhecimento à exfiltração de dados é muitas vezes referida como uma "cadeia de morte".
As intenções de kill chain suportadas pelo Defender for Cloud são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.
Tática | Versão ATT&CK | Description |
---|---|---|
Pré-ataque | PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa, originada de fora da rede, de verificar o sistema de destino e identificar um ponto de entrada. | |
Acesso inicial | V7, V9 | O Acesso Inicial é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é relevante para hosts de computação e recursos, como contas de usuário, certificados, etc. Muitas vezes, os agentes de ameaças poderão controlar o recurso após esta fase. |
Persistência | V7, V9 | Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um agente de ameaça uma presença persistente nesse sistema. Os agentes de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fornecer um backdoor alternativo para que eles recuperem o acesso. |
Escalamento de Privilégios | V7, V9 | O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Certas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas uma escalada de privilégios. |
Evasão de Defesa | V7, V9 | A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. Às vezes, essas ações são as mesmas (ou variações de) técnicas em outras categorias que têm o benefício adicional de subverter uma defesa ou mitigação específica. |
Acesso a credenciais | V7, V9 | O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários do domínio com acesso de administrador) para usar na rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior dentro do ambiente. |
Descoberta | V7, V9 | A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem orientar-se para o que eles agora têm controle e quais os benefícios operacionais desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento. |
Movimento Lateral | V7, V9 | O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar o movimento lateral para muitos fins, incluindo a execução remota de ferramentas, pivotar para mais sistemas, acesso a informações ou arquivos específicos, acesso a mais credenciais ou para causar um efeito. |
Execução | V7, V9 | A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário num sistema local ou remoto. Esta tática é frequentemente usada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos em uma rede. |
Coleção | V7, V9 | A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Comando e Controlo | V7, V9 | A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo. |
Exfiltração | V7, V9 | Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Impacto | V7, V9 | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional. Isso geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outras. |
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.